Ukash :/

[Thorgal]

Witam!

Także mam problem z tym dziadostwem.

Załączam załączniki OTL.

 

 

Za wszelką pomoc z góry dziękuję.

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029"
IE - HKU\S-1-5-21-1469102125-4081553141-2784540763-1002\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20110816&user_guid=AEF82EC682A449F3B984F333E1E2A385&machine_id=e62c30b5b597a94946803be1abd44677&browser=IE&os=win&os_version=6.1-x64-SP0&iesrc={referrer:source}"
IE - HKU\S-1-5-21-1469102125-4081553141-2784540763-1002\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100470&mntrId=2a83ba71000000000000bcaec52d2573"
IE - HKU\S-1-5-21-1469102125-4081553141-2784540763-1002\..\SearchScopes\{1CBD6AB4-DB5D-49FF-B77A-374D290DBD85}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=7EBAEC19-E6E7-4889-BBDC-DB79AD7F8A73&apn_sauid=6E118661-B5A1-4767-A9B1-B269E8A9EDB9&"
IE - HKU\S-1-5-21-1469102125-4081553141-2784540763-1002\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029"
O4:64bit: - HKLM..\Run: [seagull Drivers] ssdal_nc.exe startup File not found
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [startNowToolbarHelper] "C:\Program Files (x86)\StartNow Toolbar\ToolbarHelper.exe" File not found
O4 - HKU\S-1-5-21-1469102125-4081553141-2784540763-1002..\Run: [npczjhrxeulyfhk] C:\Windows\npczjhrx.exe (Seagate)
 
:Files
C:\windows\SysWow64\Microsoft
C:\ProgramData\vksgolbkaapmtqj
C:\ProgramData\okgzbwzpejqzqfr
C:\ProgramData\npczjhrx.exe
C:\Users\user\AppData\Roaming\Babylon
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. Działasz już w Trybie normalnym Windows:

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Conduit Engine, Deinstalator Strony V9, MyAshampoo Toolbar, StartNow Toolbar oraz archaiczny martwy Skaner on-line mks_vir.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[Thorgal]

Zrobione, system już działa. Załączam pliki.

 

Podziękowania i ogrom wdzięczności !!!

09052012_192409.txt

AdwCleanerS1.txt

OTL.Txt

[picasso]

Zrobione.

 

1. Mini poprawka na odpadek po pasku. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-1469102125-4081553141-2784540763-1002\..\Toolbar\WebBrowser: (no name) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - No CLSID value found.

 

Klik w Wykonaj skrypt. Tym razem przeleci bez restartu.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Na wszelki wypadek zrób skan w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

 

 

.

[Thorgal]

Zrobione.

Skanowanie nic na szczęście nie wykryło.

Zaktualizowałem także Javę oraz odinstalowałem NOD'a (był 100 dni po licencji) i w jego miejsce zainstalowałem Avast'a Free.

 

Dziękuje picasso jesteś moim guru.

 

A tak z ciekawości, co było kluczowe w tym skrypcie, który podałaś w I fazie do pozbycia się blokady?

Jak tak sobie patrzałem to najbardziej pasowało mi:

 

:OTL

O4 - HKU\S-1-5-21-1469102125-4081553141-2784540763-1002..\Run: [npczjhrxeulyfhk] C:\Windows\npczjhrx.exe (Seagate)

 

 

:Files

C:\ProgramData\vksgolbkaapmtqj

C:\ProgramData\okgzbwzpejqzqfr

C:\ProgramData\npczjhrx.exe

 

 

 

Ale to głównie na podstawie dziwnych nazw katalogów i tego pliku exe.

 

 

C:\windows\SysWow64\Microsoft

 

A czy ten katalog także jest zakładany przez ukash'a?

 

Z poważaniem.

[picasso]

Zaktualizowałem także Javę oraz odinstalowałem NOD'a (był 100 dni po licencji) i w jego miejsce zainstalowałem Avast'a Free.

 

Jeszcze to:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight 4.0.60831.0
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Office14.SingleImage" = Microsoft Office 2010 dla Użytkowników Domowych i Małych Firm ----> brak SP1

 

 

A tak z ciekawości, co było kluczowe w tym skrypcie, który podałaś w I fazie do pozbycia się blokady?

 

To co zakreślasz właśnie.

 

 

C:\windows\SysWow64\Microsoft

 

A czy ten katalog także jest zakładany przez ukash'a?

 

Nie widziałam tego wcześniej przy UKASHach. Powody usuwania: ten folder domyślnie nie istnieje w tej lokalizacji + świeże utworzenie nie wiadomo z jakiego powodu.

 

 

.