Zablokowany komputer - wirus Ukash

[kazimierz09]

Witam. Niestety ja również padłem "ofiarą" tego wirusa. Trochę poczytałem forum i postąpiłem zgodnie z instrukcją. Odpaliłem system w trybie awaryjnym, uruchomiłem skan w OTL. Z góry przepraszam za zabrany czas i dziękuję za ewentualną pomoc, będę zobowiązany.

 

Oto logi:

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Kamil\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
C:\Documents and Settings\All Users\Dane aplikacji\Premium
C:\Documents and Settings\Kamil\Dane aplikacji\PriceGong
C:\Documents and Settings\Kamil\Dane aplikacji\SendSpace
C:\Documents and Settings\Kamil\Dane aplikacji\Temporary
C:\Documents and Settings\Kamil\Dane aplikacji\Toolbar4
C:\Documents and Settings\Kamil\Dane aplikacji\winxrar
C:\Documents and Settings\Kamil\Dane aplikacji\wyUpdate AU
C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
C:\Program Files\mozilla firefox\searchplugins\aolsearch.xml
netsh firewall reset /C
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Start Page"="about:blank"
 
:OTL
IE - HKLM\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = "http://startsear.ch/?q={searchTerms}"
IE - HKLM\..\SearchScopes\{71C86A82-4BFC-458C-8833-A72A3F32C46E}: "URL" = "http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms}"
IE - HKLM\..\SearchScopes\{9E368067-03C9-414F-B145-84E53FDA4BA7}: "URL" = "http://search.aol.com/aolcom/search?query={searchTerms}&invocationType=msie70a"
IE - HKU\S-1-5-21-1229272821-920026266-725345543-1003\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp"
IE - HKU\S-1-5-21-1229272821-920026266-725345543-1003\..\SearchScopes\{27A367B7-E9FA-4CA3-B4E4-CC44422D8C4D}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=D08D32F1-571D-48CB-A15A-79A960FFC3BD&apn_sauid=DB322327-17A9-4405-8F6C-F7E8E95F9F57"
IE - HKU\S-1-5-21-1229272821-920026266-725345543-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={6DEB252B-C1BC-41FC-9A1A-BD85F4ED6CDE}&mid=efb8105b8d11df64d91c4c7bb76e7ecf-f714cc32239c674359a96df917aeab2f04455ea0&lang=pl&ds=AVG&pr=pa&d=2011-12-04 11:30:46&v=9.0.0.18&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-1229272821-920026266-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2670199"
IE - HKU\S-1-5-21-1229272821-920026266-725345543-1003\..\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}: "URL" = "http://search.freecause.com/search?ourmark=4&fr=freecause&ei=utf-8&type=63263&p={searchTerms}"
IE - HKU\S-1-5-21-1229272821-920026266-725345543-1003\..\SearchScopes\{F03C4192-CC85-4CC5-A2FA-8DE0BCC8A351}: "URL" = "http://search.aol.com/aolcom/search?query={searchTerms}&invocationType=msie70a"
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found 
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-21-1229272821-920026266-725345543-1003\..\URLSearchHook:  - No CLSID value found
IE - HKU\S-1-5-21-1229272821-920026266-725345543-1003\..\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - No CLSID value found
FF - HKLM\Software\MozillaPlugins\@gentek.com/thinclient: C:\IGG\twclient_ph\npthinclient.dll File not found
FF - HKLM\Software\MozillaPlugins\@nexon.net/NxGame: C:\Documents and Settings\All Users\Dane aplikacji\NexonUS\NGM\npNxGameUS.dll File not found
FF - HKLM\Software\MozillaPlugins\@ngm.nexoneu.com/NxGame: C:\Documents and Settings\All Users\Dane aplikacji\NexonEU\NGM\npNxGameeu.dll File not found
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll ()
FF - HKCU\Software\MozillaPlugins\@eximion.com/KalydoPlayer3.10.04: C:\Documents and Settings\Kamil\Dane aplikacji\Kalydo\KalydoPlayer\npkalydo.dll File not found
FF - HKCU\Software\MozillaPlugins\@g2.com/iggweb3dupdater: C:\Documents and Settings\Kamil\Dane aplikacji\IGG\Web3D\1.0.0.38\NPIGGWeb3DUpdater.dll File not found
FF - HKCU\Software\MozillaPlugins\@g2.com/joyconnectshell: C:\Documents and Settings\Kamil\Dane aplikacji\IGG\Web3D\1.0.0.38\NPJoyConnectShell.dll File not found
FF - HKCU\Software\MozillaPlugins\@gentek.com/thinclient: C:\IGG\twclient_ph\npthinclient.dll File not found
FF - HKCU\Software\MozillaPlugins\@powerchallenge.com/PowerLoader: C:\DOCUME~1\Kamil\DANEAP~1\POWERC~1\nppowerloader.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKU\S-1-5-21-1229272821-920026266-725345543-1003\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva400.sys -- (XDva400)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva391.sys -- (XDva391)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva385.sys -- (XDva385)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva346.sys -- (XDva346)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\wanatw4.sys -- (wanatw)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Jeszcze nie opuszczaj Trybu awaryjnego, gdyż:

 

2. W systemie działają odpadkowe sterowniki ESET. Zastosuj narzędzie ESET Uninstaller. I dopiero teraz wychodzisz z Trybu awaryjnego:

 

3. Przez Panel sterowania odinstaluj adware i zbędniki: Akamai NetSession Interface, DAEMON Tools Toolbar, DownloadnSave, Free Lunch Design TB Toolbar, Pazera Toolbar, Viewpoint Media Player. Otwórz Google Chrome i w Rozszerzeniach odinstaluj adware DownloadnSave.

 

4. Zresetuj Firefox zabrudzony przez adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

6. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

7. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[kazimierz09]

Super, dzięki. Tylko jeszcze pozwolę się zapytać o jedną rzecz, przed wykonaniem tych poleceń. Znużony walką z tym wirusikiem przywróciłem system o jeden dzień wstecz, problem zniknął. Czy mimo to mam wklejać te skrypty do OTL?

[picasso]

To oznacza, że tylko kilka rzeczy już nie istnieje, nadal jest masa innych obiektów wymagających interwencji. Zrób co napisałam, ewentualne błędy skryptu zignoruj, i prócz logów o które proszę dodaj też log z wynikami usuwania OTL (to będzie potwierdzenie ile ze skryptu zostało przetworzone w sposób rzeczywisty).

 

 

.

Edytowane 6 Grudnia 2012 przez picasso
6.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso