Komputer zablokowany przez kod ukash

[Winterstorm]

Dzień dobry. Tak jak w temacie, mój komputer został zablokowany przez żadanie kodu ukash. Pojawia się okno z żądaniem kodu, nie mam możliwości wyłączenia go, po restarcie systemu nic się nie zmienia. System Windows XP. Komputer obecnie pracuje w trybie awaryjnym. Nie mam pojęcia skąd ściągnęła się ta infekcja, nie przeglądałem żadnych "nierutynowych" stron (tylko standardy takie jak facebook, lastfm itp.). Bardzo proszę o pomoc w uporaniu się z tym problemem. Przesyłam skany (jeśli coś zrobiłem nie tak, proszę o poprawienie mnie, gdyż wszystkie te operacje wykonuję pierwszy raz i jestem laikiem w tych kwestiach).

 

EDIT: Wykonałem skanowania jeszcze raz, tym razem z konta na którym pojawił się problem, chyba teraz wszystko będzie okej.

OTL.Txt

Extras.Txt

gmerscan.txt

[Landuss]

1. Wejdź w panel usuwania programów i odinstaluj śmiecia - SearchYa Web Search oraz Spyware Terminator 2012 (program wątpliwej reputacji)

 

2. Uruchom AdwCleaner z opcji Delete

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //searchya.com/?s=0&chnl=tst-214&cd=2XzutAtN2Y1L1QzuzytD0EyC0B0AtDyCtA0ByB0A0E0FtAzztN0D0TzutBtDtCtBtDyEtDtA&cr=1896048070
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http: //dnl.crawler.com/support/sa_customize.aspx?TbId=60347
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //start.facemoods.com/?a=ironto&s={searchTerms}&f=4
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //searchya.com/?q={searchTerms}&s=1&chnl=tst-214&cd=2XzutAtN2Y1L1QzuzytD0EyC0B0AtDyCtA0ByB0A0E0FtAzztN0D0TzutBtDtCtBtDyEtDtA&cr=1896048070
IE - HKU\S-1-5-21-854245398-484763869-1801674531-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = http: //start.facemoods.com/?a=ironto
IE - HKU\S-1-5-21-854245398-484763869-1801674531-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http: //www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60347
IE - HKU\S-1-5-21-854245398-484763869-1801674531-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //searchya.com/?s=0&chnl=tst-214&cd=2XzutAtN2Y1L1QzuzytD0EyC0B0AtDyCtA0ByB0A0E0FtAzztN0D0TzutBtDtCtBtDyEtDtA&cr=1896048070
IE - HKU\S-1-5-21-854245398-484763869-1801674531-1004\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\S-1-5-21-854245398-484763869-1801674531-1004\..\SearchScopes,Backup.Old.DefaultScope = {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
IE - HKU\S-1-5-21-854245398-484763869-1801674531-1004\..\SearchScopes,DefaultScope = {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
IE - HKU\S-1-5-21-854245398-484763869-1801674531-1004\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=ironto&s={searchTerms}&f=4
IE - HKU\S-1-5-21-854245398-484763869-1801674531-1004\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //searchya.com/?q={searchTerms}&s=1&chnl=tst-214&cd=2XzutAtN2Y1L1QzuzytD0EyC0B0AtDyCtA0ByB0A0E0FtAzztN0D0TzutBtDtCtBtDyEtDtA&cr=1896048070
IE - HKU\S-1-5-21-854245398-484763869-1801674531-1004\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = http: //www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60347
IE - HKU\S-1-5-21-854245398-484763869-1801674531-1004\..\SearchScopes\{3B29465F-3E26-2F70-7C5E-1040137545E9}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ALSV5&o=1665&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=AU&apn_dtid=YYYYYYYYPL&apn_uid=84906E8D-74DA-4BA3-9768-2AE9246B1F91&apn_sauid=16703EC3-F4E5-4F67-938B-5F39C109638F
FF - prefs.js..Backup.old.browser.search.defaultenginename: "Facemoods Search"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Searchya! Web Search"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2012-04-03 19:05:07 | 000,000,000 | ---D | M] (searchya.com) -- C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\6sfzgmse.default\extensions\ffxtlbr@searchya.com
[2010-12-26 01:30:58 | 000,002,567 | ---- | M] () -- C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\6sfzgmse.default\searchplugins\askcom.xml
[2010-09-06 15:44:27 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\6sfzgmse.default\searchplugins\daemon-search.xml
[2012-04-03 19:05:04 | 000,005,423 | ---- | M] () -- C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\6sfzgmse.default\searchplugins\Searchya! Web Search.xml
[2011-05-27 10:02:20 | 000,002,049 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
O3 - HKU\S-1-5-21-854245398-484763869-1801674531-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKLM..\Run: [sqyeyqnwhhtkbmq] C:\Documents and Settings\All Users\Dane aplikacji\sqyeyqnw.exe ()
O4 - HKU\S-1-5-21-854245398-484763869-1801674531-1004..\Run: [DAEMON Tools Lite] "E:\Programy\Daemin\DAEMON Tools Lite\DTLite.exe" -autorun File not found
O4 - HKU\S-1-5-21-854245398-484763869-1801674531-1004..\Run: [sqyeyqnwhhtkbmq] C:\Documents and Settings\All Users\Dane aplikacji\sqyeyqnw.exe ()
 [2012-07-01 10:35:41 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\dxqqeywbccqrlrm
[2012-07-01 10:35:44 | 000,000,052 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\fnuxfytsomcaxbe
[2012-07-01 10:35:34 | 000,078,336 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\lavhscfb.exe
 
:Files
C:\Program Files\Ask.com
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

[Winterstorm]

Polecenia wykonane. Nowe logi:

OTL.Txt

[Landuss]

Skrypt poprawnie wykonany. Przejdź do czynności końcowych:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 29

"{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[Winterstorm]

Wszystkie kroki wykonane, wszystko śmiga jak na razie, dzięki wielkie za pomoc! Jeszcze miałbym jedną kwestię. Zapomniałem na początku dodać, że używam utorrenta i w momencie gdy wyskoczyło mi okno ukasha, był on uruchomiony. Na ile jest możliwe, że to właśnie tamtędy jakoś wirus się prześlizgnął i jak się przed tym teraz uchronić? Bo na razie to boję się utorrenta w ogóle uruchamiać

[Landuss]

Na ile jest możliwe, że to właśnie tamtędy jakoś wirus się prześlizgnął i jak się przed tym teraz uchronić? Bo na razie to boję się utorrenta w ogóle uruchamiać

 

Bardzo prawdopodobne, że coś ściągałeś i to było zainfekowane, ewentualnie odwiedziłeś trefną strone www. Utorrenta możesz odpalić, nic się nie powinno stać tylko uważaj co pobierasz.