Problem z ukash

[figo1987]

Witam. Dziś dopadł mnie ten głupi wirus ukash. Poniżej przedstawiam aż 4 pliki z OTL, za co serdecznie przepraszam. Pierwsze dwa pliki bez cyferki 1 są wynikiem mojej głupoty i spanikowania i niewłaściwego przeczytania regulaminu korzystania z OTL, dlatego iz nie zaznaczyłem opcji wykrywania infekcji, a gdy już się zorientowałem to wykonałem jeszcze raz skanowanie już z tą opcją. Wiec pliki z cyferką 1 są już tymi właściwymi. Ponadto mam pytanie wirus zablokował mi podstawowy profil użytkowania, teraz ten post powstaje na profilu " zapasowym". Moje pytanie jest następujące, ( wiem że pytanie może wydać sie banalne i głupie) ale czy ten drugi profil " zapasowy" będzie ewentualnie przeszkodą w rozwiązaniu mojego problemu czy tez nie.

Dziękuje z góry za pomoc

OTL.Txt

Extras.Txt

[picasso]

Poniżej przedstawiam aż 4 pliki z OTL, za co serdecznie przepraszam. Pierwsze dwa pliki bez cyferki 1 są wynikiem mojej głupoty i spanikowania i niewłaściwego przeczytania regulaminu korzystania z OTL, dlatego iz nie zaznaczyłem opcji wykrywania infekcji, a gdy już się zorientowałem to wykonałem jeszcze raz skanowanie już z tą opcją. Wiec pliki z cyferką 1 są już tymi właściwymi.

 

Zbędne logi usuwam, zostawiając tylko właściwe. Wręcz przeciwnie, bardziej poprawne logi to ten pierwszy zestaw "bez cyferek". OTL ma być ustawiony wszędzie na Użyj filtrowania, a ten drugi zestaw logów OTL "z cyferkami" miał ustawiony Rejestr na Wszystko.

 

Przechodząc do usuwania infekcji:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\0tbpw.pad
C:\Users\Roman\AppData\Roaming\toolplugin
C:\Program Files\mozilla firefox\searchplugins\Search the web.src
C:\found.*
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
IE - HKLM\..\SearchScopes\{3F065374-F750-46EF-AAB0-ABEF5B1F7618}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640"
IE - HKU\S-1-5-21-3359816063-1812077048-1429335202-1001\..\SearchScopes\{338BFA52-5BEA-44E4-9970-A8BA9C88284A}: "URL" = "http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=937811&p={searchTerms}"
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-3359816063-1812077048-1429335202-1001..\Run: [HW_OPENEYE_OUC_blueconnect] "C:\Program Files\blueconnect\UpdateDog\ouc.exe" File not found
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} "http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet)
DRV - [2012-06-17 21:08:10 | 000,031,744 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

 

2. Przez Panel sterowania odinstaluj: adware Ask Toolbar, DAEMON Tools Toolbar, DriverIdentifier Toolbar, Free_Lunch_Design Toolbar, free-downloads.net Toolbar, LiveVDO plugin 1.3, szczątki LiveUpdate 3.2 (Symantec Corporation) + LiveUpdate Notice (Symantec Corporation) oraz bardzo stary firewall Sunbelt Personal Firewall.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj, przypominam wszędzie ma być Użyj filtrowania, ale pliku Extras po raz drugi nie dołączaj. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[figo1987]

Dziękuje bardzo za pomoc. Pomogło. W załączeniu przedstawiam pliki logi z OTL i ADW.

 

Pozdrawiam i jeszcze raz dziękuje.

OTL.Txt

AdwCleanerS1.txt

[picasso]

Wszystko wykonane. Ale w związku z tym, że teraz logi są z innego konta, są wymagane kolejne popraki, bo na innym koncie są wpisy dodatkowe wymagające interwencji.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\SearchScopes\{14CDC32D-48BE-4C4B-A05B-48438C2CE0CD}: "URL" = "http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=937811&p={searchTerms}"
IE - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\SearchScopes\{3F065374-F750-46EF-AAB0-ABEF5B1F7618}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640"
IE - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/driveridentifier/{34026661-5BE4-4025-9A14-285FBFA8D2AE}?q={searchTerms}"
IE - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640"
IE - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\SearchScopes\{B1B2E3C2-1225-4F11-BADD-7D03654B1C29}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000"
O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O3 - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O3 - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\Toolbar\WebBrowser: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O4 - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000..\Run: []  File not found
O37 - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\...com [@ = ComFile] -- Reg Error: Key error. File not found
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Po Symantec pozostał jeden sterownik:

 

DRV - [2009-01-06 00:55:28 | 000,124,464 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\SYMEVENT.SYS -- (SymEvent)

 

Przejdź w Tryb awaryjny Windows i zastosuj narzędzie Norton Removal Tool.

 

3. Zrób nowy, już ostatni, log OTL z opcji Skanuj (bez Extras).

 

 

 

.

Edytowane 1 Lutego 2013 przez picasso
1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso