Pozostałości po ukash?

[swiniak]

Elo, prośba o pomoc. Może napiszę trochę inaczej bo poprzedni wpis miało czytelny byl, dopiero teraz się zorientowałem A więc było to dziadostwo policyjne coś tam, komputer zeskanowany esetem online znalazł kilkanaście śmieci. Po tym zabiegu działał chwilę normalnie, ale za chwilę zablokował pulpit i wszystko inne, nic nie można włączyć, ani odpalić. Następnie coś się samo skopało i wogóle nie można odpalić trybu normalnego, tzn próbuje się załadować po wybraniu usera i wisi. Próbowałem powywalać jakieś śmieciowe wpisy hijackiem w trybie awaryjnym ale chyba za mało skutecznie i mało profesjonalnie W logach z OTL widziałem sporo syfu jeszcze po babyloon i bandoo, oraz chyba głównego winowajcę czyli:

 

[2013-01-14 17:36:31 | 000,000,159 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.reg

[2013-01-14 17:36:31 | 000,000,066 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.bat

[2013-01-14 17:36:28 | 095,023,320 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.pad

 

Przynajmniej tak mi się wydaje. A wiem, że mnóstwo toolbarów i trochę śmieci ale to poczyszczę jak już uda się w trybie normalnym pracować.

Proszę o pomoc

Extras.Txt

OTL.Txt

[picasso]

Następnie coś się samo skopało i wogóle nie można odpalić trybu normalnego, tzn próbuje się załadować po wybraniu usera i wisi.

 

Katastrofa w antywirusach, działają w tym samym czasie aż trzy: Ad-Aware, Avast, ESET NOD32 Antivirus. Przy czym Avast wygląda na niepełnie odinstalowany (brak na liście zainstalowanych wejścia). To prawdopodobnie przyczyna zablokowania systemu.

 

 

Próbowałem powywalać jakieś śmieciowe wpisy hijackiem w trybie awaryjnym ale chyba za mało skutecznie i mało profesjonalnie

 

HijackThis nie nadaje się dla Twojego systemu, jest niezgodny z systemem 64-bit, pokazuje na nim głupoty i nieprawdziwe dane, bo nie potrafi pobrać natywnie 64-bitowych komponentów. Jakie konkretnie wpisy usuwałeś HijackThis?

 

 

1. Na początek zrób coś z antywirusami. Szczątków Avast pozbądź się narzędziem firmowym Avast Uninstall Utility. Spróbuj też odinstalować Ad-aware, ale nie wiem czy to się uda z poziomu Trybu awaryjnego.

 

2. Opuść Tryb awaryjny. Odinstaluj adware / paski Ask Toolbar, Ask Toolbar Updater, Bing Bar, Babylon toolbar on IE, DAEMON Tools Toolbar, FoxTab PDF Creator, Fun4IM, Norton Security Scan, Pasek narzędzi AOL 5.0, Windows Searchqu Toolbar, TheFreeDictionarycom Toolbar. Otwórz Google Chrome, w Rozszerzeniach odinstaluj Ask Toolbar, w zarządzaniu wyszukiwarkami ustaw domyślną na Google, po tym usuń Ask z listy.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\dsgsdgdsgdsgw.reg
C:\ProgramData\dsgsdgdsgdsgw.bat
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Daria\AppData\Roaming\Lyemi
C:\Users\Daria\AppData\Roaming\Edxyli
C:\Users\Daria\AppData\Roaming\Azwaal
C:\Users\Daria\AppData\Roaming\Babylon
C:\Users\Daria\AppData\Roaming\Bandoo
C:\Users\Daria\AppData\Roaming\mozilla\Firefox\Profiles\nw5577ax.default\prefs.js
C:\Users\Daria\AppData\Roaming\mozilla\Firefox\Profiles\nw5577ax.default\extensions\ffxtlbr@babylon.com
C:\Users\Daria\AppData\Roaming\mozilla\Firefox\Profiles\nw5577ax.default\extensions\firefox@bandoo.com
C:\Users\Daria\AppData\Roaming\mozilla\Firefox\Profiles\nw5577ax.default\extensions\toolbar@ask.com
C:\Users\Daria\AppData\Roaming\mozilla\firefox\profiles\nw5577ax.default\searchplugins\askcom.xml
C:\Users\Daria\AppData\Roaming\mozilla\firefox\profiles\nw5577ax.default\searchplugins\SearchquWebSearch.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\SearchquWebSearch.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
netsh advfirewall reset /C
 
:OTL
IE:64bit: - HKLM\..\SearchScopes\{E2266939-D0B5-48FB-9D20-4DCF02B6402B}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKLM\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7403}: "URL" = "http://www.searchqu.com/web?src=ieb&systemid=403&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2314472"
IE - HKLM\..\SearchScopes\{E2266939-D0B5-48FB-9D20-4DCF02B6402B}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKU\S-1-5-21-945435631-88583327-2723173488-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=77610ed400000000000000216b4fd852"
IE - HKU\S-1-5-21-945435631-88583327-2723173488-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://www.google.pl/cse?q={searchTerms}&cx=partner-pub-2489206448026482%3A4041638047&tbm=&ie=UTF-8#gsc.tab=0&gsc.q={searchTerms}"
IE - HKU\S-1-5-21-945435631-88583327-2723173488-1000\..\SearchScopes\{3FA920BB-7CCD-4AB1-9696-25FC9D82C50C}: "URL" = "http://www.bing.com/search?q={searchTerms}&form=MS8TDF&pc=MS8TDF&src=IE-SearchBox"
IE - HKU\S-1-5-21-945435631-88583327-2723173488-1000\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7403}: "URL" = "http://www.searchqu.com/web?src=ieb&systemid=403&q={searchTerms}"
IE - HKU\S-1-5-21-945435631-88583327-2723173488-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2314472"
IE - HKU\S-1-5-21-945435631-88583327-2723173488-1000\..\SearchScopes\{DCAC745C-7D17-4CB5-8150-DDEC6AC84568}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=0531DD8D-9DE0-4C28-BC3E-01BC17D3AEB6&apn_sauid=AA3E6D94-4B05-4D58-8580-0CF259F83BF2"
IE - HKU\S-1-5-21-945435631-88583327-2723173488-1000\..\SearchScopes\{E2266939-D0B5-48FB-9D20-4DCF02B6402B}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKLM\..\URLSearchHook: {d1e06b91-60e6-4492-af9f-53043fa32716} - No CLSID value found
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\firefox@bandoo.com: C:\Users\Daria\AppData\Roaming\Mozilla\Firefox\Profiles/nw5577ax.default\extensions\firefox@bandoo.com [2011-01-11 23:16:36 | 000,000,000 | ---D | M]
O3 - HKU\S-1-5-21-945435631-88583327-2723173488-1000\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll File not found
O3 - HKU\S-1-5-21-945435631-88583327-2723173488-1000\..\Toolbar\WebBrowser: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files (x86)\AOL\Pasek narzędzi AOL 5.0\aoltb.dll File not found
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O4 - HKLM..\Run: []  File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Uwaga: w skrypcie resetuję wszystkie preferencje starego Firefoxa poprzez usunięcie pliku prefs.js.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[swiniak]

Co do AV to nie przyszło mi do głowy sprawdzić (nie mój komputer), wydawało mi się, że to dziadostwo jeszcze siedzi bo czytałem, że on tak blokuje. Co do Hijacka to bije się w czoło, nie pomyślałem o tym, a usunięte raczej tylko wpisy od toolbarów (przynajmniej część). W rozszerzeniach nie znalazłem ASK`a, ale z listy usunięty. Skrypt OTL się wysypał prawdopodobnie przy czyszczeniu temp, po prostu sie zawiesił :/ Załączam nowe logi. Mocno zaniedbany i zagracony komp, przyda mu sie generalne czyszczenie.

AdwCleanerS1.txt

OTL nowy.Txt

[picasso]

Duża poprawa wyglądu raportu. Tylko drobne korekty i kończymy:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\.DEFAULT..\RunOnce: [AutoLaunch] C:\Program Files (x86)\Lavasoft\Ad-Aware\AutoLaunch.exe monthly File not found
O4 - HKU\S-1-5-18..\RunOnce: [AutoLaunch] C:\Program Files (x86)\Lavasoft\Ad-Aware\AutoLaunch.exe monthly File not found
[2013-01-14 23:40:52 | 000,000,000 | ---D | C] -- C:\ProgramData\WindowsSearch
[2013-01-14 22:45:01 | 000,000,496 | ---- | M] () -- C:\Windows\tasks\Ad-Aware Update (Weekly).job
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Korekta domyślnych wyszukiwarek Internt Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

4. W Dzienniku zdarzeń jest zgłaszany błąd WMI numer 10. Instrukcje naprawy dla Vista: KB950375

 

5. Wyczyść foldery Przywracania systemu: KLIK.

 

6. Odinstaluj wszystkie stare Adobe + Java i zastąp najnowszymi, zaktualizuj Firefox oraz wtyczkę Silverlight w Google Chrome: KLIK. Wg raportu obecnie w systemie są wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216035FF}" = Java™ 6 Update 35
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Mozilla Firefox 7.0.1 (x86 pl)" = Mozilla Firefox 7.0.1 (x86 pl)
 
CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll

 

Jest tu też Gadu-Gadu 10. Program: starawy, pamięciożerny, reklamodawczy i używający stary Adobe Flash. Od razu proponuję deinstalację i zamianę lżejszą alternatywą z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

 

.

[swiniak]

OTL się wykrzaczył znowu na czyszczeniu TEMP, zamiast tego użyłem TFC. Wszystko zrobione, została aktualizacja ale to jak będę miał chwilę. Wielkie dzięki Picasso, jak zawsze cudowna i niezastąpiona Twoja pomoc. Gorące pozdrowionka