Ukash na innym kompie

[Ldor]

Witam, u mojego brata na komputerze pojawil sie Ukash, w załączniu zamieszczam logi. Mam nadzieję, że tutejsi specjaliści pomogą mi rozwiązać problem i pozbyć się wirusa.

OTL.Txt

Extras.Txt

[picasso]

Sytuacja jest tu bardziej skomplikowana, w systemie działa też trojan ZeroAccess, który poczynił masę szkód w systemie. Poza tym, jest adware i szczątki innych źle doczyszczonych wcześniej infekcji. Czyszczenie będzie wieloetapowe.

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by odładować z pamięci ZeroAccess.

 

2. Otwórz Notatnik i wklej w nim:

 

TAKEOWN /F C:\$Recycle.Bin /R /A /D Y

icacls C:\$Recycle.Bin\S-1-5-18 /grant Everyone:F /T
icacls C:\$Recycle.Bin\S-1-5-21-312141410-1961232833-2059072768-1001\$13f5cb1615bf66d8fde718d175aa1373 /grant Everyone:F /T
rd /s /q C:\$Recycle.Bin
netsh winsock reset
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by dokończyć reset Winsock naruszony przez ZeroAccess.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini
C:\Users\Benamar Krim\AppData\Roaming\skype.dat
C:\Users\Benamar Krim\AppData\Roaming\hellomoto
C:\Users\Benamar Krim\AppData\Roaming\Izegup
C:\Users\Benamar Krim\AppData\Roaming\OpenCandy
C:\Program Files (x86)\mozilla firefox
 
:OTL
IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=e3502f51-ea21-11e1-a878-d0df9af000ea&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2247187"
IE - HKCU\..\SearchScopes\{0BE95377-498B-4FE0-8AFC-7C428406D76D}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=33F89167-8D8D-4CED-A32E-5D0402698CEF&apn_sauid=371C3C5C-677C-4B2E-A13A-9A928B29E909"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch&babsrc=SP_ss&mntrId=7c15bb1e000000000000dadf9aefe062"
IE - HKCU\..\SearchScopes\{8564A1C0-7F17-42B8-84FF-AB609F34739A}: "URL" = "http://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch&babsrc=SP_ss&mntrId=7c15bb1e000000000000d0df9af000ea"
O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [{07781EA4-B081-AD40-F0AC-6365E2F74078}] C:\Users\Benamar Krim\AppData\Roaming\Izegup\akirji.exe ()
O20 - AppInit_DLLs: (c:\progra~3\browse~1\25976~1.107\{c16c1~1\mngr.dll) - c:\ProgramData\Browser Manager\2.5.976.107\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.dll ()
O20 - AppInit_DLLs: (c:\progra~3\browse~1\25911~1.18\{c16c1~1\mngr.dll) -  File not found
SRV - [2012/12/05 18:10:34 | 002,403,352 | ---- | M] () [Auto | Stopped] -- C:\ProgramData\Browser Manager\2.5.976.107\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe -- (Browser Manager)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. System zostanie odblokowany.

 

4. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair.

 

5. Napraw martwą ikonę Centrum Akcji uszkodzoną przez trojana. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

6. Przez Panel sterowania odinstaluj adware Ask Toolbar Updater, Ask Toolbar, Babylon toolbar on IE, Browser Manager, Claro Chrome Toolbar, Claro LTD toolbar on IE, LiveVDO plugin 1.3, Mario Forever Toolbar, McAfee Security Scan Plus. Otwórz Google Chrome i w Rozszerzeniach powtórz deinstalację Claro Toolbar, LiveVDO plugin, Settings Protector.

 

7. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

8. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Uruchom SystemLook x64 i do skanu wklej:

 

:dir

C:\$Recycle.Bin /s
 
:filefind
services.exe
 
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Dołącz też log utworzony przez AdwCleaner.

 

 

 

.

Edytowane 26 Lutego 2013 przez picasso
26.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso