UKASH-proszę o pomoc

[koper470]

Niestety trafiłem na to forum trochę za późno. Sam uruchomiłem program Combofix, mam nadzieję że nic nie "sknociłem". Proszę o pomoc i z góry dziękuję.

Załączniki:

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Log z GMER zrobiłeś w niewłaściwych warunkach, przy czynnym sterowniku emulatora napędów wirtualnych (KLIK). Ale zostaw to już. Skoro uruchamiałeś ComboFix, to należało pokazać raport, który wtedy utworzył. W logu OTL brak oznak infekcji UKASH, ale mamy do usunięcia jeszcze śmietnisko adware.

 

1. Odinstaluj adware:

- Otwórz Firefox i w Dodatkach odinstaluj Babylon, Complitly, DealPly, DAEMON Tools Toolbar, free-downloads.net Community Toolbar.

- Otwórz Google Chrome i w Rozszerzeniach odinstaluj Complitly, DealPly, SweetIM for Facebook, SweetPacks Chrome Extension, RewardsArcade

- Przez Panel sterowania odinstaluj Babylon toolbar on IE, DAEMON Tools Toolbar, Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1.

 

2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner oraz log utworzony wtedy przez ComboFix (nie uruchamiaj narzędzia ponownie).

 

 

 

.

[koper470]

Zrobione:

OTL.Txt

AdwCleanerS1.txt

ComboFix.txt

[picasso]

Log ComboFix potwierdza co tu było usuwane. ComboFix przy okazji ścinał niektóre adware (Complitly + DealPly), ale nie zrobił tego kompletnie. Już log z OTL to dowodował. AdwCleaner tu miał sporo do roboty. Wymagana drobna poprawka:

 

1. Zamknij Firefox (nie może być uruchomiony). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..extensions.enabledItems: {ecdee021-0d17-467f-a1ff-c7a115230949}:3.3.3.2
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.6.0158
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"crossriderapp498@crossrider.com"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Services
VMC302
catchme
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

 

2. Do oceny wystarczy tylko ten log z wynikami usuwania. Nowy skan OTL zbędny.

 

 

 

.

[koper470]

Wykonałem, system został zrestartowany, ale nie otworzy się log z wynikami usuwania.

[picasso]

Log jest na dysku w katalogu C:\_OTL.

 

 

 

[koper470]

Mam foldery tak:

C:\_OTL\MovedFiles\10162012_161450\ten folder jest pusty

 

Jedyne co mi wyskoczyło to jakieś dziwne ikony na pulpicie, o nazwach: desktop.ini, photothumb.db.

Wcześniej ich nie miałem.

[picasso]

Szukaj pliku tekstowego. Być powinien, jeśli skrypt został wykonany.

[koper470]

Nigdzie nie widzę nowego pliku tekstowego. Czy można powtórzyć tą operację?

[picasso]

Skoro nie ma pliku, to mam wątpliwości czy skrypt się wykonał. Powtórz go, ale usuń z niego tę część:

 

:Commands

[emptytemp]

 

 

[koper470]

wyskoczyło coś takiego:

Nowy dokument tekstowy.txt

[picasso]

Z raportu wynika, że pół na pół, coś się wtedy wykonało, a coś teraz. Kończymy:

 

1. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

%localappdata%\Opera\Opera\temporary_downloads\ComboFix.exe /uninstall

 

2. Usuń i inne narzędzia: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. Odinstaluj też potwornie stary Ad-Aware SE Personal.

 

3. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Log notuje wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ========== 
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) ----> odinstaluj
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera) ----> już jest najnowsza
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)

 

+ Service Pack dla Microsoft SQL Server 2005: KB913089

 

 

PS. Widzę Gadu-Gadu 10. Sugeruję zamienić lżejszą alternatywą, do wyboru: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.

[koper470]

Rozumiem, że to już koniec? Jak tak, to kłaniam się w pas i bardzo dziękuje.