System zablokowany kodem UKASH

[sylvija90]

Dzień dobry, mam taki sam problem: https://www.fixitpc.pl/topic/9266-ukash-komputer-zablokowany-komunikat-z-prosbagrozba/. Poniżej załączam pliki z OTL i proszę o pomoc.

 

Pozdrawiam

Sylwia

OTL.Txt

Extras.Txt

[Landuss]

1. Wejdź w panel usuwania programów i odinstaluj śmieci: Babylon Toolbar / StartSearch Toolbar 1.3

 

2. Uruchom AdwCleaner z opcji Delete

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=dc3c9659-b319-11e1-a1de-002258e3dc5b
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //start.facemoods.com/?a=ironto&s={searchTerms}&f=4
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{31737155-0EAD-409D-BA71-3E299A863780}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=dc3c9659-b319-11e1-a1de-002258e3dc5b&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=dc3c9659-b319-11e1-a1de-002258e3dc5b
IE - HKCU\..\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - No CLSID value found
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=ironto&s={searchTerms}&f=4
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=19946&mntrId=6a8a34860000000000000026ed9ccccfcccf
IE - HKCU\..\SearchScopes\{31737155-0EAD-409D-BA71-3E299A863780}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=dc3c9659-b319-11e1-a1de-002258e3dc5b&q={searchTerms}
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Freecorder Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=dc3c9659-b319-11e1-a1de-002258e3dc5b&q="
[2012-03-06 19:55:04 | 000,000,923 | ---- | M] () -- C:\Users\Sylwia\AppData\Roaming\Mozilla\Firefox\Profiles\hxnadata.default\searchplugins\conduit.xml
[2012-06-10 18:32:50 | 000,000,792 | ---- | M] () -- C:\Users\Sylwia\AppData\Roaming\Mozilla\Firefox\Profiles\hxnadata.default\searchplugins\startsear.xml
[2011-08-30 22:22:48 | 000,002,291 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2012-01-09 14:38:11 | 000,002,049 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
O4 - HKLM..\Run: [Freecorder FLV Service] "C:\Program Files\Freecorder\FLVSrvc.exe" /run File not found
O4 - HKLM..\Run: [uIAutomationCore] C:\Users\Sylwia\AppData\Local\Microsoft\Windows\3347\UIAutomationCore.exe ()
 
:Files
C:\Users\Sylwia\AppData\Roaming\hellomoto
C:\Users\Sylwia\AppData\Local\Microsoft\Windows\3347
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

[sylvija90]

Komputer odblokowany, dziękuje

Przesyłam log

OTL.Txt

[Landuss]

Infekcja poprawnie usunięta. Przejdź do kroków końcowych:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj system instalując Service Pack 1 oraz Jave do najnowszej wersji::

 

 Professional  (Version = 6.1.7600) - Type = NTWorkstation

 

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.