UKASH - kolejna ofiara

[analog82]

Witam.

 

Rowniez i mi to sie przytrafilo, niestety mam ciagle problem z tym chociaz, moze opisze co i jak. Wczoraj wywalilo mi ekran standardowy i nie moglem nic zrobic. Po uruchomieniu w trybie awaryjnym uruchomilem ComboFix. Niestety po restarcie znow wywalo Ukash. Zrobilem restart, ale ze juz bylo pozno polozylem sie i nie logowalem sie do systemu. Z rana ku wielkiemu zdziwieniu po zalogowaniu jest ok (do tej pory nie restartowalem, bo potrzebuje do pracy komputera). Przeskanowalem od tego czasu Malwarebytes, ale skan nic nie wykazal. Natomiast Norton Antyvirus caly czas mi wywala komunikaty (juz z 10K bedzie):

"Typ skanowania: skanowanie Automatyczna ochrona

Zdarzenie: Wykryto zagrożenie!

Wykryto zagrożenie bezpieczeństwa: Trojan.Gen.2

Plik: C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SRTSP\Quarantine\APQ1CCF.tmp

Lokalizacja: C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SRTSP\Quarantine

Komputer: GR4-0009021

Użytkownik: SYSTEM

Podjęte działanie: Oczekująca analiza skutków ubocznych : Odmowa dostępu

Data znalezienia: 9 lipca 2012 13:04:44"

 

Prosba o pomoc w pozbyciu sie tego cholerstwa.

 

Pozdrawiam

 

Edit. Zapomnialem dodac logu z ComboFix.

Extras.Txt

OTL.Txt

ComboFix.txt

[Landuss]

Ja nie widzę byś miał tu aktywną infekcję "Ukash" więc jakieś działania tu już musiały ją usunąć. Niemniej są odpadki sponsoringowe na usuwanie.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Symantec\Symantec Endpoint Protection\SmcLU\Setup\smcinst.exe -- (Smcinst)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\GRACZK~1\USTAWI~1\Temp\catchme.sys -- (catchme)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=12&barid={7B4B4BE0-D2EF-45A6-894C-491D2A47F5D4}
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=1&barid={7B4B4BE0-D2EF-45A6-894C-491D2A47F5D4}&q={searchTerms}&barid={7B4B4BE0-D2EF-45A6-894C-491D2A47F5D4}
IE - HKU\S-1-5-21-323157550-59690136-3293079595-16459\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=12&barid={7B4B4BE0-D2EF-45A6-894C-491D2A47F5D4}
IE - HKU\S-1-5-21-323157550-59690136-3293079595-16459\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKU\S-1-5-21-323157550-59690136-3293079595-16459\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=111434&babsrc=SP_ss&mntrId=9497820a00000000000000f1d000f1d0
IE - HKU\S-1-5-21-323157550-59690136-3293079595-16459\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253
IE - HKU\S-1-5-21-323157550-59690136-3293079595-16459\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=1&barid={7B4B4BE0-D2EF-45A6-894C-491D2A47F5D4}&q={searchTerms}&barid={7B4B4BE0-D2EF-45A6-894C-491D2A47F5D4}
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "uTorrentControl2 Customized Web Search"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}"
[2012-05-31 08:44:26 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\graczkowski\Dane aplikacji\Mozilla\Firefox\Profiles\fp0rbje3.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
[2012-04-18 00:39:24 | 000,000,935 | ---- | M] () -- C:\Documents and Settings\graczkowski\Dane aplikacji\Mozilla\Firefox\Profiles\fp0rbje3.default\searchplugins\conduit.xml
[2012-07-01 01:38:46 | 000,004,002 | ---- | M] () -- C:\Documents and Settings\graczkowski\Dane aplikacji\Mozilla\Firefox\Profiles\fp0rbje3.default\searchplugins\sweetim.xml
[2012-04-03 23:26:13 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2012-01-24 12:56:18 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Wejdź w panel usuwania programów i odinstaluj: Internet Explorer Toolbar 4.6 by SweetPacks / Babylon toolbar on IE / uTorrentControl2 Toolbar

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Edytowane 27 Sierpnia 2012 przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso