Ukash - zablokowany komputer

[mf24]

Witam. Znany problem - Ukash. Zablokowane konto(baner) + restart w trybie awaryjnym. Skan wykonany z nowego konta administratora

 

skan OTL:

http://www.wklejto.pl/149337

 

Extras:

http://www.wklejto.pl/149338

[picasso]

Skan wykonany z nowego konta administratora

 

Bezużyteczny. Oczywiście infekcji nie widać w raporcie. Konta mają inne rejestry i foldery, nie widzą między sobą zawartości. Skan musi być zrobiony z poziomu konta na którym działa infekcja. Startuj do Trybu awaryjnego, loguj się na właściwe konto i zrób nowe logi. Jeśli nie wejdzie zwykły Tryb awaryjny, działa infekcja ładowana przez Shell graficzny konta i należy wybrać Tryb awaryjny z Wierszem polecenia, w celu uruchomienia OTL z linii komend.

 

 

 

.

[mf24]

udalo sie:

 

OTL:

http://wklejto.pl/149346

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
 
:Files
C:\Users\Piotrek\AppData\Roaming\skype.dat
C:\Users\Piotrek\AppData\Roaming\skype.ini
C:\Users\Piotrek\AppData\Roaming\BabMaint.exe
C:\Users\Piotrek\AppData\Roaming\Mozilla
C:\Program Files (x86)\Mozilla Firefox
 
:OTL
IE - HKU\S-1-5-21-322920993-2757694357-3889756669-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4612_7&babsrc=SP_ss&mntrId=62ef96bd0000000000004cedde77bb4c"
IE - HKU\S-1-5-21-322920993-2757694357-3889756669-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-322920993-2757694357-3889756669-1000\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{58bd07eb-0ee0-4df0-8121-dc9b693373df}: C:\ProgramData\Browser Manager\2.6.1123.78\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension
O3 - HKU\S-1-5-21-322920993-2757694357-3889756669-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKU\S-1-5-21-322920993-2757694357-3889756669-1000..\Run: []  File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny, Windows zostanie odblokowany

 

2. Otwórz Google Chrome i wejdź do ustawień. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń z listy Conduit. W Rozszerzeniach odinstaluj Babylon Toolbar, DealPly, uTorrentControl_v2. Z listy stron startowych usuń odnośniki search.babylon.com.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[mf24]

AdwCleaner Scan:

http://www.wklejto.pl/149387

 

Nowy skan OTL:

http://wklejto.pl/149386

[picasso]

Zadania pomyślnie wykonane. Przechodzimy do wykończeń:

 

1. Poprawka domyślnych wyszukiwarek IE (AdwCleaner je wyzerował). Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{57C55764-DC33-4FDB-A4FA-3A7065FCCCAB}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{57C55764-DC33-4FDB-A4FA-3A7065FCCCAB}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{938E9FBC-F3EE-4D4F-ADDE-1794AC076C3A}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Aktualizacje: usuń starą Java i produkty Adobe, zaktualizuj Skype, zainstaluj Service Packi dla Windows Office 2010 i SQL Server 2005: KLIK / KLIK. Wg listy zainstalowanych obecnie posiadasz:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java™ 6 Update 26
"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla alternatyw)
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005

 

Uwaga dodatkowa na temat Gadu-Gadu 10. Program jest starawy już (część usług w nim nie działa), pamięciożerny i przeładowany reklamami, a także będzie przywracał stary dziurawy Adobe Flash. Sprawdź najnowsze GG11 (jest lepiej), albo alternatywne komunikatory: WTW, Kadu, Miranda NG, AQQ. Wszystkie opisy: KLIK.

 

5. Wypadałoby dorzucić bardziej rozbudowaną osłonę, bo tu widać jedynie McAfee SiteAdvisor.

 

 

.