Ukash - trojan Komuter zablokowany

[pnowy]

Witam,

Mój komputer został zainfekowany wirusem/trojanem ukash, co powoduje blokadę komputera oraz wyświetlanie się komunikatu wzywającego do wpłacenia kary 500PLN.

 

W załączeniu przesyłam wymagane logi.

 

Muszę przyznać że jestem nieco zielony w tym temacie ale liczę że uda Wam się pomóc w rozwiązaniu mojego problemu.

z góry dziękuję i pozdrawiam.

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\DRIVERS\btwrchid.sys -- (btwrchid)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwl2cap.sys -- (btwl2cap)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\DRIVERS\btwavdt.sys -- (btwavdt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btwaudio.sys -- (btwaudio)
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:6.2
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:6.2
FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=971163&p="
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392"
IE - HKU\S-1-5-21-2347890369-278313877-3582344017-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392"
IE - HKU\S-1-5-21-2347890369-278313877-3582344017-1000\..\SearchScopes\{B7B664DF-3AF9-4C8E-8148-F42BB7831D27}: "URL" = "http://www.ask.com/web?o=15710&l=dis&q={searchTerms}"
IE - HKU\S-1-5-21-2347890369-278313877-3582344017-1000\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found
O3 - HKU\S-1-5-21-2347890369-278313877-3582344017-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-2347890369-278313877-3582344017-1000..\Run: [WmiMgmt] C:\Users\Dorcia\AppData\Local\Microsoft\Windows\2219\WmiMgmt.exe ()
 
:Files
C:\Users\Dorcia\AppData\Local\Microsoft\Windows\2219
C:\Users\Dorcia\AppData\Roaming\hellomoto
netsh advfirewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie i działasz już w Trybie normalnym:

 

2. Przez Panel sterowania odinstaluj adware Conduit Engine, FoxTab Video Converter, pdfforge Toolbar v6.2, RelevantKnowledge, Softonic-Polska Toolbar.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

 

 

 

.

 

[pnowy]

Zrobiłem wszystko zgodnie z instrukcją. Teraz śmiga jak należy!

Załączam Log OTL i AdwCleaner.

Bardzo dziękuję za szybką i profesjonalną pomoc.

Pozdrawiam serdecznie.

AdwCleanerS1.txt

OTL.Txt

[picasso]

1. Mini poprawka na szczątki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-2347890369-278313877-3582344017-1000\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found
O3 - HKU\S-1-5-21-2347890369-278313877-3582344017-1000\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found.
O4 - HKLM..\Run: [EeeSplendidAgent] C:\Program Files\ASUS\EPC\EeeSplendid\AsAgent.exe File not found

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Avast wygląda na pozornie odinstalowany. Przejdź w Tryb awaryjny Windows i zastosuj firmowy Avast Uninstall Utility.

 

3. Czyszczenie po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

4. Czyszczenie folderów Przywracania systemu: KLIK.

 

5. Aktualizacje wyliczonych poniżej aplikacji: KLIK. Log OTL wykazuje brak SP1 dla Windows 7 oraz wersje:

 

Starter Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 30
"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI
"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-2347890369-278313877-3582344017-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome 8.0.552.224

 

 

PS. Widząc Gadu-Gadu 10 sugeruję obejrzenie lżejszych alternatywnych programów z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.