Ukash - zablokowany komputer. POMOCY

[Muzyk1]

Proszę o pomoc w pozbycu się tego doabelstwa.

Z góry dzięki.

OTL.Txt

Extras.Txt

[picasso]

Widziałam logi przed podmianą załączników. Używałeś już AdwCleaner, a jednocześnie nie zostały odinstalowane paski adware naturalną drogą (to się robi przed użyciem narzędzia, bo AdwCleaner może uniemożliwić czyściejszą deinstalację).

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [themecpl] C:\Documents and Settings\Marek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3356\themecpl.exe ()
O4 - HKLM..\Run: [HDD Regenerator] "C:\Program Files\HDD Regenerator\HDD Regenerator.exe" File not found
O4 - HKLM..\Run: [switchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe File not found
O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" File not found
O4 - HKLM..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin File not found
O4 - HKU\S-1-5-21-796845957-261478967-1801674531-1004..\Run: [AdobeBridge]  File not found
O4 - HKU\S-1-5-21-796845957-261478967-1801674531-1004..\Run: [mxClock] F:\Dysk Nowy\Instale\mxClock.exe File not found
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard)
O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} "http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.)"
IE - HKU\S-1-5-21-796845957-261478967-1801674531-1004\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - No CLSID value found
O3 - HKU\S-1-5-21-796845957-261478967-1801674531-1004\..\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found.
IE - HKU\S-1-5-21-796845957-261478967-1801674531-1004\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-796845957-261478967-1801674531-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392"
IE - HKU\S-1-5-21-796845957-261478967-1801674531-1004\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&toolbar=BT" 
FF - prefs.js..browser.search.defaultthis.engineName: "BitTorrentBar Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "BitTorrentBar Customized Web Search"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=2&q="
 
:Files
C:\Documents and Settings\Marek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3356
C:\Documents and Settings\Marek\Dane aplikacji\hellomoto
C:\WINDOWS\System32\dll.dll
C:\WINDOWS\System32\crt.dat
C:\WINDOWS\System32\shimg.dll
C:\WINDOWS\System32\mdhcp32.dll
C:\WINDOWS\System32\ope2BB.exe
C:\WINDOWS\System32\FileOps.exe
C:\Documents and Settings\Marek\Dane aplikacji\Mozilla\Firefox\Profiles\29bywmo2.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}
C:\Documents and Settings\Marek\Dane aplikacji\Mozilla\Firefox\Profiles\29bywmo2.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
C:\Documents and Settings\Marek\Dane aplikacji\Mozilla\Firefox\Profiles\29bywmo2.default\extensions\ffxtlbr@Facemoods.com
C:\Documents and Settings\Marek\Dane aplikacji\Mozilla\Firefox\Profiles\29bywmo2.default\searchplugins\conduit.xml
C:\Documents and Settings\Marek\Dane aplikacji\BabylonToolbar
C:\Documents and Settings\Marek\Dane aplikacji\facemoods.com
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj adware BitTorrentBar Toolbar + FoxTab FLV Player.

 

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[Muzyk1]

Przepraszam troche namieszałem ale zrobiłem wg instrukcji.

Nie chciał się usunać BitTorrentBar Toolbar.

Przesyłam logi. Nie wim tylko gdzie powinien byc log z punktu 1.

Znalazłem w katalogu _LOG

OTL.Txt

07082012_165228.log.txt

[picasso]

Nie chciał się usunać BitTorrentBar Toolbar.

 

Skutki nieprawidłowych działań przed zgłoszeniem się po pomoc, czyli punktowanej złej kolejności: AdwCleaner prawdopodobnie naruszył poboczne elementy uniemożliwiając naturalną deinstalację. AdwCleaner należy stosować po deinstalacji aplikacji a nie przed. Trudno, trzeba będzie to "dokończyć" brutalną metodą, ale jest to nieeleganckie działanie. Na przyszłość zasady działu i ustęp o niepodpatrywaniu cudzych instrukcji: KLIK. Nie wolno takich rzeczy robić, my prowadzimy u każdego sprawy indywidualnie i czyścimy również inne rzeczy spoza zakresu głównej infekcji.

 

 

---

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-796845957-261478967-1801674531-1004\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - C:\Program Files\BitTorrentBar\prxtbBitT.dll (Conduit Ltd.)
O2 - BHO: (BitTorrentBar Toolbar) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - C:\Program Files\BitTorrentBar\prxtbBitT.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (BitTorrentBar Toolbar) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - C:\Program Files\BitTorrentBar\prxtbBitT.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-796845957-261478967-1801674531-1004\..\Toolbar\WebBrowser: (BitTorrentBar Toolbar) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - C:\Program Files\BitTorrentBar\prxtbBitT.dll (Conduit Ltd.)
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BitTorrentBar Toolbar]
 
:Files
C:\Program Files\BitTorrentBar

 

Klik w Wykonaj skrypt. Tym razem pójdzie szybko i bez restartu.

 

2. Do oceny wystarczy tylko log z wynikami usuwania, nie ma potrzeby robić skanu po raz drugi.

 

 

 

.

 

[Muzyk1]

Przesyłam wynikowy log

wynikowy.log.txt

[picasso]

Zadanie wykonane. Przejdź do kolejnych czynności:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

.

[Muzyk1]

Przesyłam raport.

mbam-log-2012-07-14 (16-47-40).txt

[picasso]

1. Czy na pewno wykonałeś punkt 2 i czyszczenie folderów Przywracania systemu na wszystkich dyskach? Bardzo dużo wyników z katalogu System Volume Information (Przywracania systemu) na dysku D. Ogólnie rzecz biorąc 99% wyników nie ma znaczenia. Te rekordy z katalogów Thinstall + Xenocode (wirtualizacje), podobnie jak "rozrywkowe" Viagry, wyglądają na fałszywe alarmy. Cracki bez komentarza. W sumie usuń tylko te:

 

C:\Documents and Settings\Marek\Moje dokumenty\Pobieranie\FLVPlayerSetup.exe (Adware.Agent) -> Nie wykonano akcji.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temp\527015.Uninstall\Uninstall.exe (Adware.Agent) -> Nie wykonano akcji.
C:\Program Files\Mozilla Firefox\sname (Spyware.Agent) -> Nie wykonano akcji.

 

2. Wykonaj podsrtawowe aktualizacje: KLIK. Tutaj z Twojej listy zainstalowanych wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{26A24AE4-039D-4CA4-87B4-2F83217003FF}" = Java™ 7 Update 3
"{32A3A4F4-B792-11D6-A78A-00B0D0170020}" = Java™ SE Development Kit 7 Update 2
"{7148F0A8-6813-11D6-A77B-00B0D0142050}" = Java 2 Runtime Environment, SE v1.4.2_05
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla Firefox)

 

3. Notowany brak antywirusa. Może coś z tych darmowych: Avast, AVG, Panda Cloud Antivirus, Microsoft Security Essentials.

 

 

PS. I polecam coś zdziałać z Gadu-Gadu 10, program konsumuje olbrzymią ilość zasobów. W temacie Darmowe komunikatory są opisane alternatywy z obsługą sieci Gadu: WTW, Kadu, AQQ, Miranda.

 

 

.

[Muzyk1]

Pkt. 2 wykonałem wg instrukcji. Program antywirusowy miałem Essentials ale teraz zainstalowałem licencjonowanego Kasperskiego.

Zrobiłem pozostałe wskazówki.

Dziękuję za pomoc i serdecznie pozdrawiam.