Wirus ukash blokada policji

[Markus1]

Witam,

 

Tak jak w temacie problem dotyczy słynnego już ukasha. Wirus zaatakował kompa i zablokował system.

Poniżej przedstawiam logi z programu OTL. Próbowałem zrobić raport Gmera dwa razy w trybie awaryjnym z obsługą sieci (tylko taki mogę włączyć bez blokady) ale niestety po 50 % błąd i bluescreen nawet po wdrożeniu : Start w Trybie awaryjnym (Safe Mode).

Proszę o pomoc. Posiadam system vista 32 bit

OTL.Txt

Extras.Txt

[picasso]

Są tu także źle dopczyszczone szczątki innych infekcji oraz adware.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\0tbpw.pad
C:\ProgramData\1a1f059d
C:\ProgramData\6C170A72D09E1E8D00756C16957B3D1A
C:\Users\User\AppData\Roaming\8176e255
C:\Users\User\AppData\Local\f5619c97
C:\Users\User\AppData\Local\ant.exe
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
C:\found.*
 
:OTL
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=249&systemid=406&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.26010003&st=12&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=74f71e8d000000000000001d7d4697c3"
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://www.google.pl/cse?q={searchTerms}&cx=partner-pub-2489206448026482%3A4041638047&tbm=&ie=UTF-8#gsc.tab=0&gsc.q={searchTerms}"
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=249&systemid=406&sr=0&q={searchTerms}"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.26010003&st=12&q={searchTerms}"
IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O2 - BHO: (Plugin for Media Finder) - {AD4DF010-E2FD-43CE-864A-6BD1EDC59AC2} - C:\Users\User\AppData\Roaming\Media Finder\Extensions\IEPlugin32.dll (Media Finder)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKCU..\Run: []  File not found
O4 - HKCU..\Run: [Media Finder] C:\Program Files\Media Finder\MF.exe (Media Finder)
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html ()
O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Search Bar"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. Jest tu zainstalowany okropnie stary Symantec. W Trybie normalnym przez Panel sterowania odinstaluj wszystkie pozycje i LiveUpdate. Przejdź w Tryb awaryjny i popraw narzędziem Norton Removal Tool. Z powrotem przejdź w Tryb normalny i:

 

3. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, BFlix, DealPly, eMusic - 50 Free MP3 offer, FoxTab FLV Player, FoxTab Music Converter, FoxTab PDF Creator, iLivid, Media Finder 1.0.9.14, Winamp Toolbar for Firefox, Windows Searchqu Toolbar oraz naciągaczy GoD 1.95 + Wru! 1.1.3.

 

4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Markus1]

wszystko zrobione podaje logi w załączniku

AdwCleanerS1.txt

OTL.Txt

FSS.txt

[picasso]

Wszystko zrobione.

 

1. Mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"!{2318C2B1-4965-11d4-9B18-009027A5CD4F}"=-
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj wyliczone poniżej foldery.

 

C:\Kaspersky Rescue Disk 10.0

C:\Users\User\Desktop\Stare dane programu Firefox

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zainstaluj Malwarebytes Anti-Malware. Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

 

.

[Markus1]

witam,robiłem wszystko i są problemy wykazane przez malwarebytes,poniżej log

mbam-log-2012-11-27 (13-55-04).txt

[picasso]

1. Wyniki MBAM: znalazły się odpadki tej infekcji policyjnej na końcie Gość, zostało wykryte też adware i keygeny. Usuń wszystko za wyjątkiem wyników prowadzących do folderu C:\Program Files\Cain (jak rozumiem Cain & Abel to była celowa instalacja). Po usuwaniu MBAM ponów czyszczenie folderów Przywracania systemu.

 

2. Zaktualizuj Windows i wyliczone poniżej programy: KLIK. Wg raportu OTL obecnie krytyczny poziom aktualizacji Vista (system także zablokowany, wsparcie ma tylko Vista SP2) oraz są zainstalowane:

 

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.19088)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 24
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2
"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish
"{E1BBBAC5-2857-4155-82A6-54492CE88620}" = Opera 9.64
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)
"Google Chrome" = Google Chrome
"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)

 

W skrócie: deinstalacja wszystkich wyliczonych starych Adobe + Java i zastąpienie najnowszymi wersjami, aktualizacja Firefox i Google Chrome, pełna aktualizacja Windows (SP2 + IE9 + reszta łat).

 

3. Stary wyeliminowany już Symantec zastąp czymś nowoczesnym. Za darmo np.: Avast, AVG, Kingsoft Antivirus, Panda Cloud Antivirus, Microsoft Security Essentials.

 

 

PS. Widzę także zainstalowaną niefortunną parę Gadu-Gadu 7.7 (przestarzałe i słabo zabezpieczone) + Gadu-Gadu 10 (zasobożerne monstrum reklamodawcze). Zamiast dwóch można mieć jeden alternatywny z obsługą sieci Gadu. Programy, które się nadają: WTW, Kadu, AQQ, Miranda. Wszystko opisane tu: Darmowe komunikatory

 

EDIT: Problem z instalacją aktualizacji SP2 wydzieliłam (KLIK). Tu temat zamykam.

 

.