Infekcja Ukash

[VanKris]

Serdecznie prosze o pomoc w usunieciu. Ponizej logi

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1824094206-3368800242-148891328-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=BT5&o=15443&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=GX&apn_dtid=YYYYYYB3PL&apn_uid=2577B1C1-D36F-4846-8738-665B40A98E2B&apn_sauid=D834DC84-DDE0-4048-901E-F2CF19246F81"
IE - HKU\S-1-5-21-1824094206-3368800242-148891328-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={B880FA96-BBD6-4331-85D0-DAED69726E8A}&mid=8632c3e4620947d09b1699127f31d3c1-4ae1de3e815fd0c207b15d00a1c3a3684e621e6b&lang=pl&ds=xn011&pr=sa&d=2012-11-11 13:21:47&v=13.2.0.4&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-1824094206-3368800242-148891328-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-1824094206-3368800242-148891328-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6OyUbU7DTi&i=26"
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\IB UPDATER\FIREFOX [2012-11-14 18:13:37 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\IB Updater\Firefox [2012-11-14 18:13:37 | 000,000,000 | ---D | M]
O4:64bit: - HKLM..\Run: [ProxyCap] D:\PROGRA~2\PROXYL~1\ProxyCap\pcapui.exe File not found
O4 - HKLM..\Run: [NPSStartup]  File not found
O4 - HKU\S-1-5-21-1824094206-3368800242-148891328-1000..\Run: [fsm]  File not found
O4 - HKU\S-1-5-21-1824094206-3368800242-148891328-1000..\Run: [RMFon]  File not found
O4 - HKU\S-1-5-21-1824094206-3368800242-148891328-1000..\Run: [sqlncli] C:\Users\user\AppData\Local\Microsoft\Windows\2575\sqlncli.exe (The GLib developer community)
F3:64bit: - HKU\S-1-5-21-1824094206-3368800242-148891328-1000 WinNT: Load - (C:\Users\user\AppData\Local\Temp\{81592~1.EXE) -  File not found
F3 - HKU\S-1-5-21-1824094206-3368800242-148891328-1000 WinNT: Load - (C:\Users\user\AppData\Local\Temp\{81592~1.EXE) -  File not found
 
:Files
C:\Users\user\AppData\Local\Microsoft\Windows\2575
C:\Users\user\AppData\Roaming\hellomoto
C:\Users\user\AppData\Local\Temp*.html
C:\user.js
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Opuść Tryb awaryjny.

 

2. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, DAEMON Tools Toolbar, IB Updater 2.0.0.530, IB Updater Service, Incredibar Toolbar on IE, TornTV oraz zbędny Akamai NetSession Interface Service.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Edytowane 18 Grudnia 2012 przez picasso
19.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso