Zablokowany internet - Ukash

[Strikeforce18]

Witam

Mam problem właśnie z tym wirusem, żądają 300zł podając się za policje, tak jak w wielu przypadkach tylko, że ja mogę włączyć komputer i normalnie na nim działać ale już internetu nie mogę włączyć bo mi go blokuje. Próbowałem z nim walczyć przez skanowanie antywirusem(Ashampoo Anti-Malware) ale nic to nie dało. Proszę o pomoc w związku z tym problem.

Extras.Txt

OTL.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Gadzio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Gadzio\AppData\Roaming\svchost.exe
C:\Users\Gadzio\AppData\Roaming\rundll32.exe
C:\Users\Gadzio\AppData\Roaming\csrss.exe
C:\Users\Gadzio\dognymiwagil.exe
C:\Users\Gadzio\AppData\Roaming\Babylon
C:\Users\Gadzio\AppData\Roaming\Cioh
C:\Users\Gadzio\AppData\Roaming\Edivok
C:\Users\Gadzio\AppData\Roaming\Feaqi
C:\Users\Gadzio\AppData\Roaming\Giveor
C:\Users\Gadzio\AppData\Roaming\Imcazi
C:\Users\Gadzio\AppData\Roaming\Irun
C:\Users\Gadzio\AppData\Roaming\Ubep
C:\Users\Gadzio\AppData\Roaming\Xatu
C:\Users\Gadzio\AppData\Roaming\Zayti
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
netsh advfirewall reset /C
 
:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKU\S-1-5-21-4016191852-2622321514-1773976110-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-4016191852-2622321514-1773976110-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110809&tt=3312_2&babsrc=SP_ss&mntrId=2479033a000000000000000000000000"
IE - HKU\S-1-5-21-4016191852-2622321514-1773976110-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-4016191852-2622321514-1773976110-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKU\S-1-5-21-4016191852-2622321514-1773976110-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKU\S-1-5-21-4016191852-2622321514-1773976110-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-4016191852-2622321514-1773976110-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-4016191852-2622321514-1773976110-1000\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
O4 - HKLM..\Run: [NPSStartup]  File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. Odinstaluj adware:

- Przez Panel sterowania odinstaluj Yontoo 1.10.02.

- Google Chrome: W Rozszerzeniach odmontuj uTorrentControl2. W zarządzaniu wyszukiwarkami przestaw domyślną z Search the web (Babylon) na Google, po tym Search the web (Babylon) usuń z listy. Z listy stron startowych wymaż search.babylon.com. Wyczyść Historię.

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Strikeforce18]

Dzięki

AdwCleanerS1.txt

OTL.Txt

[picasso]

Nie wygląda na to byś wykonał to:

 

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

Otóż akcja ta została zadana przed uruchomieniem AdwCleaner, powoduje ona stworzenie nowych czystych preferencji Firefox. A co jest w logu z AdwCleaner? Usuwanie adware z preferencji Firefox. To nie powinno mieć miejsca po zresetowaniu programu. Dodatkowo, w logu nie widać na Pulpicie utworzenia folderu "Stare dane programu Firefox", który pojawia się po resecie. Tak więc: czy to robiłeś czy nie?

 

 

 

.

[Strikeforce18]

Wchodze w to ale nie widze tam czegoś takiego jak "Zresetuj program Firefox"

[picasso]

Który Firefox uruchamiasz? Wg OTL są zainstalowane dwa:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Firefox (3.6)" = Mozilla Firefox (3.6)
"Mozilla Firefox 14.0.1 (x86 en-US)" = Mozilla Firefox 14.0.1 (x86 en-US)

 

Przy czym inne wpisy mówią, że ten okropnie stary jest na D:, a nowszy na C:

 

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012-08-08 14:23:39 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6\extensions\\Components: D:\programy\firefox\components [2012-09-01 16:28:14 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6\extensions\\Plugins: D:\programy\firefox\plugins [2012-08-08 14:16:55 | 000,000,000 | ---D | M]

 

Jeśli Ty uruchamiasz ten z D, to nie licz na to. Funkcja Resetuj jest cechą Firefox 13 i w górę. Druga sprawa: Firefox 3.6 powinien ekstracugiem wylecieć z dysku, jest to wersja archaiczna, zupełnie niewspierana i niezabezpieczona (przestano wydawać łaty, bo wersję wycofano ze wsparcia).

 

 

 

.

[Strikeforce18]

Przepraszam, że tak długo nie pisałem ale nie było mnie w domu na święta. I co się okazuje jak przyjeżdżam? Że wyskoczyło to znowu i to dzisiaj z pół godziny temu...Satrego firefoxa usunąłem i zaktualizowałem nowego jescze przed wyjazdem, a teraz go zresetowałem. Załączam logi zrobione dosłownie 5 minut temu.

Extras.Txt

OTL.Txt

[picasso]

Log z OTL nieprawidłowo utworzony, ustawiłeś opcję Rejestr na Wszystko, a ma być Użyj filtrowania.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Gadzio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
 
:OTL
CHR - Extension: uTorrentControl2 = C:\Users\Gadzio\AppData\Local\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc\2.3.15.10_0\
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Zrób nowy log OTL z opcji Skanuj i przypominam: Użyj filtrowania. Pliku Extras po raz drugi mi nie dołączaj.

 

 

 

.

[Strikeforce18]

Niewiem czemu drugi raz mi to wyskoczyło? Może przez antywirus? Możesz mi doradzić jak się uchronić przed ty problemem? A te stare dane programu firefox to mam je usunąć czy moge je "wkleić" do przeglądarki bo miałem tam sporo zapisanych haseł oraz stron?

OTL.Txt

[picasso]

Niewiem czemu drugi raz mi to wyskoczyło? Może przez antywirus? Możesz mi doradzić jak się uchronić przed ty problemem?

 

Dyskusja o tej infekcji: KLIK.

 

 

A te stare dane programu firefox to mam je usunąć czy moge je "wkleić" do przeglądarki bo miałem tam sporo zapisanych haseł oraz stron?

 

Przecież po to był właśnie reset, by wyczyścić Firefox z adware. Reset tworzy "Stare dane programu Firefox", które są już do wyrzucenia a nie do wstawiania na powrót (to zniszczy cały reset). Jak działa reset: KLIK. Zakładki i hasła są zachowane po resecie, nadal je masz, ale już na czystym nowym profilu Firefox.

 

 

---

Zadania wykonane i przechodzimy do wykończeń:

 

1. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj Windows i poniżej wyliczone aplikacje: KLIK. Wg Twojego raportu są tu wersje:

 

64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish
"{BB21B808-F784-4883-A4D4-B1473384C1C6}" = LibreOffice 3.5
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

 

Windows zupełnie nieaktualizowany (brak SP1+IE9), stara 32-bitowa Java™ 6 Update 31 do wyrzucenia, Adobe do zastąpienia najnowszymi wersjami, LibreOffice do aktualizacji.

 

 

PS. Widzę też Gadu-Gadu 10. Program zasobożerny i ciężki. Poczytaj o alternatywach z obsługą sieci Gadu, mniej dręczących zasoby: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.

[Strikeforce18]

Kolejny raz zablokowało mi się i niewiem co może byc tego przyczyną...

OTL.Txt

[picasso]

Przyczyna: wszedłeś znów na jakąś stronę, która serwuje tego trojana. Nie masz zainstalowanej żadnej ochrony, a aktualizacji pewnie nie zdążyłeś ruszyć palcem. Cóż, powtarzamy;

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Gadzio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

Edytowane 14 Grudnia 2012 przez picasso
14.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso