Ukash

[jaree]

Ukash po rak kolejny już na tym komputerze miałem to dziadostwo i było usuwane. Może jednak nie do końca? Proszę o pomoc. Logi w załączeniu

Extras.Txt

OTL.Txt

[picasso]

już na tym komputerze miałem to dziadostwo i było usuwane. Może jednak nie do końca?

 

Zupełnie inny wariant teraz, złapałeś to na nowo i tyle. Logi z OTL zrobione z poziomu niewłaściwego konta, czyli wbudowanego w system konta Administrator a nie konta użytkownika:

 

Computer Name: MAKSIU | User Name: Administrator | Logged in as Administrator.

 

Konta mają inne rejestry i foldery, infekcja działająca po stronie konkretnego konta nie jest widoczna z poziomu innego. Tak tu jest, ledwie poboczne pliki widoczne lecz nie skrót w starcie. Logi muszą być robione z poziomu konta, na którym jest problem. Loguj się na właściwe konto, zrób nowe logi, podmień w pierwszym poście i na PW daj znać o edycji.

 

 

EDIT: Logi podmienione. Przechodząc do czyszczenia infekcji:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
E:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
E:\Documents and Settings\lewowskiw\Menu Start\Programy\Autostart\runctf.lnk
E:\Documents and Settings\lewowskiw\wgsdgsdgdsgsd.exe
E:\Documents and Settings\lewowskiw\Dane aplikacji\Hieles
E:\Documents and Settings\lewowskiw\Dane aplikacji\Olwunye
E:\Documents and Settings\lewowskiw\Dane aplikacji\wtxpcom
E:\Documents and Settings\lewowskiw\Ustawienia lokalne\Dane aplikacji\_
netsh firewall reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
IE - HKLM\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm073YYpl&ptnrS=HJxdm073YYpl&si=pconverter&ptb=75CE62E0-299F-4BB1-8486-172546C4F9CB&ind=2012111414&n=77ee6236&psa=&st=sb&searchfor={searchTerms}"
IE - HKU\S-1-5-21-1948071013-2685299966-1230682356-1145\..\SearchScopes\{A17ACD65-F6CD-41EE-8287-873EBB1884B5}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SLS&o=APN10610&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^ADI&apn_dtid=^YYYYYY^YY^PL&apn_uid=f7cb6d07-b6fb-44d7-91bf-5b161e48c3ec&apn_sauid=F33BAA7D-ACE1-44AB-8F42-2EE0A11A7EC1"
IE - HKU\S-1-5-21-1948071013-2685299966-1230682356-1145\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm073YYpl&ptnrS=HJxdm073YYpl&si=pconverter&ptb=75CE62E0-299F-4BB1-8486-172546C4F9CB&ind=2012111414&n=77ee6236&psa=&st=sb&searchfor={searchTerms}"
IE - HKU\S-1-5-21-1948071013-2685299966-1230682356-1145\..\URLSearchHook: {93a3111f-4f74-4ed8-895e-d9708497629e} - No CLSID value found
FF - HKLM\Software\MozillaPlugins\@VideoDownloadConverter_4z.com/Plugin: E:\Program Files\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll (MindSpark)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\4zffxtbr@VideoDownloadConverter_4z.com: E:\Program Files\VideoDownloadConverter_4z\bar\1.bin [2012-12-05 08:47:18 | 000,000,000 | ---D | M]
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-1948071013-2685299966-1230682356-1145..\Run: [bpidnkkhlbfphoq] E:\Documents and Settings\All Users\Dane aplikacji\bpidnkkh.exe File not found
O4 - Startup: E:\Documents and Settings\lewowskiw\Menu Start\Programy\Autostart\COMODO BackUp.lnk =  File not found
O4 - Startup: E:\Documents and Settings\wlodzimierz\Menu Start\Programy\Autostart\Rejestrowanie produktów Corela.lnk =  File not found
O8 - Extra context menu item: &Search - "http://tbedits.videodownloadconverter.com/one-toolbaredits/menusearch.jhtml?s=205320000&p=HJxdm073YYpl&si=pconverter&a=75CE62E0-299F-4BB1-8486-172546C4F9CB&n=2012111414&cv=2" File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Opuść Tryb awaryjny.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, FoxTab Video To MP3, VideoDownloadConverter Toolbar oraz zbędny Akamai NetSession Interface.

 

3. Google Chrome: wejdź do opcji. W sekcji "Po uruchomieniu" usuń stronę startową www.ask.com. W zarządzaniu wyszukiwarkami przestaw domyślną z Ask na Google, po tym, Ask usuń z listy. W Rozszerzeniach odinstaluj Ask Toolbar.

 

4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Uruchom AdwCleaner (najnowszą wersję) i zastosuj Delete. Na dysku E powstanie log z usuwania.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[jaree]

Wykonane logi w załączniku.

AdwCleanerS2.txt

OTL.Txt

[picasso]

Prawie wszystko zrobione, wymagane drobne poprawki:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [Auto | Stopped] -- E:\PROGRA~1\VIDEOD~2\bar\1.bin\4zbarsvc.exe -- (VideoDownloadConverter_4zService)
O2 - BHO: (Toolbar BHO) - {312f84fb-8970-4fd3-bddb-7012eac4afc9} - E:\PROGRA~1\VIDEOD~2\bar\1.bin\4zbar.dll File not found
O2 - BHO: (Search Assistant BHO) - {c547c6c2-561b-4169-a2a5-20ba771ca93b} - E:\Program Files\VideoDownloadConverter_4z\bar\1.bin\4zSrcAs.dll File not found
O3 - HKLM\..\Toolbar: (VideoDownloadConverter) - {48586425-6bb7-4f51-8dc6-38c88e3ebb58} - E:\Program Files\VideoDownloadConverter_4z\bar\1.bin\4zbar.dll File not found
O3 - HKU\S-1-5-21-1948071013-2685299966-1230682356-1145\..\Toolbar\WebBrowser: (VideoDownloadConverter) - {48586425-6BB7-4F51-8DC6-38C88E3EBB58} - E:\Program Files\VideoDownloadConverter_4z\bar\1.bin\4zbar.dll File not found
O4 - HKLM..\Run: [VideoDownloadConverter Search Scope Monitor] "E:\PROGRA~1\VIDEOD~2\bar\1.bin\4zsrchmn.exe" /m=2 /w /h File not found
O4 - HKLM..\Run: [VideoDownloadConverter_4z Browser Plugin Loader] E:\PROGRA~1\VIDEOD~2\bar\1.bin\4zbrmon.exe File not found
O4 - HKU\S-1-5-21-1948071013-2685299966-1230682356-1145..\Run: [Akamai NetSession Interface] "E:\Documents and Settings\lewowskiw\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" File not found
[2012-11-14 20:54:35 | 000,000,000 | ---D | C] -- E:\Documents and Settings\lewowskiw\Ustawienia lokalne\Dane aplikacji\APN
[2012-11-14 20:50:44 | 000,000,000 | ---D | C] -- E:\Program Files\VideoDownloadConverter_4z
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{A79C9D60-6969-4A08-83C3-C1E891BE4FF4}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EE6E08FB-1A04-456D-B8F3-272A9EC455BB}]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. W Google Chrome nadal widzę zduplikowaną stronę startową Ask:

 

========== Chrome  ==========
 
CHR - homepage: "http://www.ask.com/?l=dis&o=APN10610cr&gct=hp"

 

Czy jest jakiś problem z jej usunięciem?

 

3. Zrób nowy log z OTL, ale limitowany do: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

 

 

.

Edytowane 1 Lutego 2013 przez picasso
1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso