Też Ukash

[bowie15]

Witam. Tak jak większość zgłaszam się o pomoc z Ukash-em. Standardowo zablokowany ekran z komunikatem po niemiecku. Logowanie na konto użytkownika w trybie awaryjnym to samo, tak samo brak był możliwości wejścia w folder użytkownika po zalogowaniu jako administrator. Po zalogowaniu na konto administratora skan Dr.Web i usunięcie wirusa z pliku winlogon.exe. po tym już mogę się zalogować na swoje konto. System potem został uaktualniony do SP3 i zainstalowałem antywirusa MSE - poprzednio był stary AVG. Załączam logi z OTL z prośbą o analizę czy coś jeszcze pozostało - szczególnie martwi mnie ten Alternate Data Stream.

OTL.Txt

Extras.Txt

[Landuss]

System nadal jest według logów zainfekowany, poza tym są też śmieci sponsoringowe do usuwania.

 

szczególnie martwi mnie ten Alternate Data Stream.

 

Tym się nie przejmuj, to zwykły strumień na folderze Temp i nie jest szkodliwy, a widoczny w wielu logach.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Web Assistant\ExtensionUpdaterService.exe -- (Web Assistant Updater)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=nps"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.27010003&st=12&barid={AD65BDD9-E682-40F2-9B47-B935A5F40EE4}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=17&q={searchTerms}&barid={AD65BDD9-E682-40F2-9B47-B935A5F40EE4}"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=nps"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.27010003&st=12&barid={AD65BDD9-E682-40F2-9B47-B935A5F40EE4}"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113676&tt=2912_5&babsrc=SP_ss&mntrId=08bd355c000000000000001a4d5e4492"
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb161/?search={searchTerms}&loc=IB_DS&a=6OyG6G8Vq2&i=26"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=17&q={searchTerms}&barid={AD65BDD9-E682-40F2-9B47-B935A5F40EE4}"
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.27010003&st=12&barid={AD65BDD9-E682-40F2-9B47-B935A5F40EE4}"
FF - prefs.js..extensions.enabledAddons: {EEE6C361-6118-11DC-9C72-001320C79847}:1.6.0.3
FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&crg=3.27010003&barid={AD65BDD9-E682-40F2-9B47-B935A5F40EE4}&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=113676&tt=2912_5&babsrc=HP_ss&mntrId=08bd355c000000000000001a4d5e4492"
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q="
[2012-06-16 17:48:09 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Uzytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\1ml1kjno.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
[2012-06-26 11:25:01 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Documents and Settings\Uzytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\1ml1kjno.default\extensions\ffxtlbr@incredibar.com
[2012-08-30 17:07:54 | 000,169,792 | ---- | M] () (No name found) -- C:\Documents and Settings\Uzytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\1ml1kjno.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
[2012-06-26 11:24:53 | 000,002,203 | ---- | M] () -- C:\Documents and Settings\Uzytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\1ml1kjno.default\searchplugins\MyStart Search.xml
[2012-09-13 20:34:02 | 000,003,984 | ---- | M] () -- C:\Documents and Settings\Uzytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\1ml1kjno.default\searchplugins\sweetim.xml
[2012-07-17 19:57:52 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2012-06-16 17:12:41 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found
O2 - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension32.dll File not found
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found
O4 - HKCU..\Run: [usygyvz] C:\Documents and Settings\Uzytkownik\Dane aplikacji\Adezce\keep.exe (power Stay)
 
:Files
C:\Documents and Settings\Uzytkownik\Dane aplikacji\System
C:\Documents and Settings\Uzytkownik\Dane aplikacji\Xoodz
C:\Documents and Settings\Uzytkownik\Dane aplikacji\Feypug
C:\Documents and Settings\Uzytkownik\Dane aplikacji\Adezce
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Uzytkownik\Dane aplikacji\system\winlogon.exe"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Web Assistant 2.0.0.445 / SweetIM for Messenger 3.7 / Internet Explorer Toolbar 4.6 by SweetPacks / Babylon toolbar on IE / Incredibar Toolbar on IE / Deinstalator Strony V9 / Winamp Toolbar

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Babylon Toolbar / SweetIM for Facebook

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[bowie15]

Polecenia wykonane, załączam log OTL. Pozdrawiam

OTL.Txt

[Landuss]

To by było na tyle z usuwania. Wykon aj kroki kończące.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Otwórz Google Chrome i w zarządzaniu wyszukiwarkami przestaw bieżącą SweetIM na Google, po tym SweetIM usuń z listy. Również stronę startową Chrome ustaw na pustą. I w rozszerzeniach nadal widać nieodmontowane Babylon Toolbar więc to wykonaj.

 

4. Zaktualizuj wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 7.0.5730.13)

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9 - Polish

"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[bowie15]

Dziękuję za pomoc i pozdrawiam