UKASH - i mnie dopadł

[igorr84]

Witam. Tak jak gro użytkowników mam problem z zablokowanym komputerem.

 

Proszę o pomoc Szanownych Kolegów i Koleżanki i z góry dziękuję za odpowiedź.

 

Dołączam obowiązkowe pliki:

OTL.Txt

Extras.Txt

[Landuss]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\DRIVERS\vserial.sys -- (vserial)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt -- (EverestDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //RealDesktop.toolbaroptions.com/?tmp=toolbar_RealDesktop_homepage&prt=realdesktb04ie&v=15
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = http: //RealDesktop.toolbaroptions.com/?tmp=toolbar_RealDesktop_homepage&prt=realdesktb04ie&v=15
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=10
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/web?src=ieb&q={searchTerms}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}
IE - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=10
IE - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //tbsearch.ask.com/redirect?client=ie&tb=UT2V5&o=15158&src=crm&q={searchTerms}&locale=en_US
IE - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000\..\SearchScopes\{4B2B3119-A820-436F-A482-5AD5E990F7A4}: "URL" = http: //mp3tubetoolbarsearch.com/?tmp=toolbar_Mp3Tube_results&prt=pinballtb01ie&Keywords={searchTerms}&clid=fc1013d6bfeb4b8186bbb2f4b452d231
IE - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/web?src=ieb&q={searchTerms}
IE - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000\..\SearchScopes\{A079715A-B637-45AA-BA3D-F8B2756DDC84}: "URL" = http: //RealDesktop.toolbaroptions.com/?tmp=toolbar_RealDesktop_results&prt=realdesktb01ie&v=15&Keywords={searchTerms}
IE - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms}
IE - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}
O4 - HKLM..\Run: [WWanAPI] C:\Users\Igor\AppData\Local\Microsoft\Windows\908\WWanAPI.exe ()
O4 - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000..\Run: []  File not found
O4 - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000..\Run: [KiesTrayAgent]  File not found
 
:Files
C:\Users\Igor\AppData\Local\Temp*.html
C:\Users\Igor\AppData\Local\Microsoft\Windows\908
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

[igorr84]

Dziękuję bardzo.

 

tylko ten jeden bo pokazuje że nie mam uprawnień do wysyłania tego typu plików. Co zrobić?

 

 

 

 

Udało mi się dodać ten drugi plik. 8 godzin w pracy myślałem i wymyśliłem. Proszę o sprawdzenie tych plików i ewentualne wskazówki co dalej robić. I jeszcze jedno pytanko, które pewnie zadaje sobie wiele osób którym pomogliście. Czy w przypadku ponownego ataku przez łUKASHa powyższy tekst, który wklejaliśmy do OTLa zadziała poraz drugi czy będzie trzeba kolejny raz uśmiechnąć sie do Was i poprosić o opracowanie następnego?

 

Pozdrawiam serdecznie

Igor

OTL.Txt

po kasowaniu.txt

Edytowane 11 Lipca 2012 przez igorr84

[Landuss]

Czy w przypadku ponownego ataku przez łUKASHa powyższy tekst, który wklejaliśmy do OTLa zadziała poraz drugi czy będzie trzeba kolejny raz uśmiechnąć sie do Was i poprosić o opracowanie następnego?

 

Tak dobrze nie ma. Po pierwsze infekcja ta ma różne wersje a po drugie tworzy obiekty o zmiennych nazwach więc to samo nigdy nie przejdzie.

 

Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL i usuń z dysku ten folder C:\Users\Igor\AppData\Roaming\hellomoto

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[igorr84]

Już zrobione. Jeszcze raz wielkie dzieki.