Skocz do zawartości

Ukash - zablokowany komputer


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Tu chyba było coś robione. Od infekcji jest tylko poboczny folder hellomoto, brak widzialnego glównego wejścia startowego. Czy przypadkiem, bo widzę świeżo utworzony na dysku, nie podejmowano działań w CCleaner w obszarze startowym?

 

Skan potwierdzający. Uruchom SystemLook x64, w oknie wklej:

 

:dir
C:\Users\Ewa\AppData\Local\Microsoft\Windows /s

 

Klik w Look i przedstaw raport.

 

 

.

Odnośnik do komentarza

A jednak, jest nadal na dysku folder główny tej infekcji, choć już ogołocony:

 

C:\Users\Ewa\AppData\Local\Microsoft\Windows\2983	d------	[18:23 22/07/2012]

6459f8bf --a---- 20052 bytes [18:23 22/07/2012] [18:23 22/07/2012]

 

 

1. Przez Panel sterowania odinstaluj adware Sonarca Sound Recorder Free DB Toolbar Toolbar, SweetIM, Wisdom-soft Toolbar. Od razu także sugeruję deinstalację: wątpliwego Uniblue RegistryBooster oraz problematycznego a zbędnego ASUS WebStorage (na forum dużo tematów z błędami explorer.exe z winy tego oprogramowania).

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Ewa\AppData\Local\Microsoft\Windows\2983
C:\Users\Ewa\AppData\Roaming\hellomoto
 
:OTL
IE - HKU\S-1-5-21-309437700-151200629-872606922-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1059861"
IE - HKU\S-1-5-21-309437700-151200629-872606922-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1059861"
IE - HKU\S-1-5-21-309437700-151200629-872606922-1001\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/accmeware/{E6AB23E2-1E92-4D8B-9F69-EF33E84F9ABB}?q={searchTerms}"
 
:Reg
[HKEY_USERS\S-1-5-21-309437700-151200629-872606922-1000\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-309437700-151200629-872606922-1001\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 2 oraz AdwCleaner z punktu 3.

 

 

 

.

Odnośnik do komentarza

To doczyścimy go ręcznie.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-309437700-151200629-872606922-1000\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - No CLSID value found
IE - HKU\S-1-5-21-309437700-151200629-872606922-1000\..\URLSearchHook: {6dfc55bb-bfff-485a-9709-90c3fdf6db58} - C:\Program Files (x86)\Wisdom-soft\tbWisd.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-309437700-151200629-872606922-1001\..\URLSearchHook: {6dfc55bb-bfff-485a-9709-90c3fdf6db58} - C:\Program Files (x86)\Wisdom-soft\tbWisd.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-309437700-151200629-872606922-1000\..\Toolbar\WebBrowser: (Wisdom-soft toolbar) - {6DFC55BB-BFFF-485A-9709-90C3FDF6DB58} - C:\Program Files (x86)\Wisdom-soft\tbWisd.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-309437700-151200629-872606922-1001\..\Toolbar\WebBrowser: (Wisdom-soft toolbar) - {6DFC55BB-BFFF-485A-9709-90C3FDF6DB58} - C:\Program Files (x86)\Wisdom-soft\tbWisd.dll (Conduit Ltd.)
O4:64bit: - HKLM..\Run: [ASUS WebStorage] C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe File not found
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Wisdom-soft Toolbar]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Tym razem bez restartu.

 

2. Do oceny wystarczy mi tylko log z usuwania OTL + potwierdzenie słowne, że wejście zniknęło z listy zainstalowanych.

 

 

.

 

 

Odnośnik do komentarza
  • 2 tygodnie później...

Zrobione. Możemy kończyć:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

2. Korekta sytuacji z zabezpieczeniami: są tu aż dwa obiekty Avira Free Antivirus + Trend Micro Titanium Internet Security. Jeden z antywirusów musi zostać usunięty.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych o co mi chodzi:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 30

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010 ----> brak SP1

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Opera)

"Opera 12.00.1467" = Opera 12.00

 

Adobe, Java i Silverlight odinstaluj, po tym zamontuj najnowsze wersje.

 

 

PS. Gadu-Gadu 10 też polecam zamienić lżejszym programem z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy w artykule Darmowe komunikatory.

 

 

.

Odnośnik do komentarza
  • 3 tygodnie później...
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...