Naruszenie prawa polskiego - Ukash

[piter3033]

Mam problem związany z tym wirusem. Logi:

 

OTL.txt

Extras.txt

 

Z góry dziękuję za pomoc!

[picasso]

Przehostuj logi na jakiś ludzki serwis typu wklej.org. Po 30 sec czekać na pobranie każdego loga to ja nie będę.

[piter3033]

OTL.txt

Extras.txt

 

Już zmieniłem.

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultenginename: "MyStart Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Freecorder Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=2&q="
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6OyCKtHyrO&i=26"
IE - HKCU\..\SearchScopes\{DF3E7353-37C0-4F7E-9B7D-CC611986B7EC}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933"
O2 - BHO: (Incredibar.com Helper Object) - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll File not found
O3 - HKLM\..\Toolbar: (Incredibar Toolbar) - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll File not found
O4 - HKLM..\Run: [Aeria Ignite] "C:\Program Files (x86)\Aeria Games\Ignite\aeriaignite.exe" silent File not found
O4 - HKCU..\Run: [uesiwcidemdkxsd] C:\Windows\uesiwcid.exe (Cybernet Manufacturing)
 
:Files
C:\ProgramData\ltsgetgdebijoqe
C:\ProgramData\ojufloigiipubpi
C:\ProgramData\uesiwcid.exe
C:\Users\oem\0.9756878106397417.exe
C:\Users\oem\AppData\Roaming\Mozilla\Firefox\Profiles\b7aswsb6.default\searchplugins\conduit.xml
C:\Users\oem\AppData\Roaming\Mozilla\Firefox\Profiles\b7aswsb6.default\searchplugins\MyStart Search.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. Od tego momentu działasz w Trybie normalnym Windows:

 

2. Odinstaluj adware i zbędniki:

- Przez Panel sterowania odinstaluj: Complitly, Deinstalator Strony V9, Freecorder Toolbar, Incredibar Toolbar on IE, Optimizer Pro v3.0, Web Assistant 2.0.0.440. Przy okazji możesz wyrzucić też zbędne Akamai NetSession Interface + Norton Security Scan.

- Otwórz Firefox i w Dodatkach odinstaluj: ADDICT-THING, Complitly, Freecorder Community Toolbar, Freecorder YouTube Download Wizard, incredibar.com, Web Assistant.

- Otwórz Google Chrome i w Roszerzeniach odinstaluj: ADDICT-THING, Complitly, Web Assistant. Z listy stron startowych wymaż domredi.com.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

 

 

 

.

[piter3033]

AdwCleaner

OTL

[picasso]

Zadania wykonane. Tylko drobne poprawki.

 

1. Start > w polu szukania wpisz regedit > wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions

 

Z prawokliku skasuj wartość {336D0C35-8A85-403a-B9D2-65C292C39087}.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - No CLSID value found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {1392B8D2-5C05-419F-A8F6-B9F15A596612} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Users\oem\AppData\Local\Akamai\netsession_win.exe" File not found
[2012/05/23 19:08:00 | 000,000,000 | ---D | M] (ADDICT-THING) -- C:\Users\oem\AppData\Roaming\mozilla\Firefox\Profiles\b7aswsb6.default\extensions\4fbc958701daa@4fbc958701de3.info

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Pokaż log z wynikami usuwania, tylko tyle wystarczy.

 

 

.

 

 

[piter3033]

Log

[picasso]

Wszystko zrobione.

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

 

.

[piter3033]

Wykryło 8 zagrożeń.

 

Raport

 

Dzieki za pomoc!

[picasso]

1. Wyniki: nic strasznego. Możesz usunąć tylko wyniki z katalogu Downloads + kopię WinRAR_Downloader(1).exe (te instalatory mają w sobie adware, ot co), a reszta to fałszywe alarmy.

 

2. Na zakończenie zaktualizuj wyliczone poniżej aplikacje. Szczegóły aktualizacyjne: KLIK.

 

========== HKEY_LOCAL_MACHINE Uninstall List ========== 
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010 ----> doinstaluj pakiet SP1
"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)

 

 

 

.

[piter3033]

Usunąłem te 8 zagrożeń a te pliki które były potrzebne do usuwania tego wirusa też usunąłem. Co napisałeś trzeba to zrobić? czy niekoniecznie?

[picasso]

Jak już coś to napisałam. Aktualizacje aplikacji są istotne, luki w przestarzałych mogą prowadzić do infekcji.

[piter3033]

Już zrobiłem to wszystko.