Wirus Ukash

[sheverod]

Witam, myślę, że mam podobny problem. Proszę o pomoc...

Logi:

extras: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Temat.

Każdy ma mieć swój własny temat. Tym razem wydzielimy, ale pamiętaj na przyszłość.

"MozillaMaintenanceService" = Mozilla Maintenance Service
"MozBackup" = MozBackup 1.5.1
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1

Odinstaluj.

Podawanie Logów.

Logi podajemy poprzez Dostępne tylko dla zarejestrowanych użytkowników, ponieważ inne hostingi czasem ucinają logi (np. w Twoim przypadku - sprawdź).

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\pepe\AppData\Local\Temp\catchme.sys -- (catchme)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = Dostępne tylko dla zarejestrowanych użytkowników{SUB_RFC1766}/srchasst/srchcust.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników{SUB_RFC1766}/srchasst/srchasst.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
FF - prefs.js..browser.search.defaultenginename: "SearchOnMe"
FF - prefs.js..browser.search.order.1: "SearchOnMe"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..keyword.URL: "http://search.searchonme.com/?l=1&q="
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
[2013-04-23 19:23:59 | 000,000,000 | ---D | M] (EPUBReader) -- C:\Users\pepe\AppData\Roaming\mozilla\Firefox\Profiles\swfh2wsa.default\extensions\{5384767E-00D9-40E9-B72F-9CC39D655D6F}
[2013-04-23 19:23:59 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\pepe\AppData\Roaming\mozilla\Firefox\Profiles\swfh2wsa.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
[2013-04-23 19:23:59 | 000,000,000 | ---D | M] (Codec-C) -- C:\Users\pepe\AppData\Roaming\mozilla\Firefox\Profiles\swfh2wsa.default\extensions\info@allpremiumplay.info
[2012-01-20 15:40:50 | 000,550,833 | ---- | M] () (No name found) -- C:\Users\pepe\AppData\Roaming\mozilla\firefox\profiles\swfh2wsa.default\extensions\DivXWebPlayer@divx.com.xpi
[2013-05-08 23:24:35 | 000,870,680 | ---- | M] () (No name found) -- C:\Users\pepe\AppData\Roaming\mozilla\firefox\profiles\swfh2wsa.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2012-03-21 21:01:06 | 000,000,464 | ---- | M] () -- C:\Users\pepe\AppData\Roaming\mozilla\firefox\profiles\swfh2wsa.default\searchplugins\SearchOnMe.xml
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: disableregistrytools = 0
[2013-06-23 19:39:45 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013-06-23 19:32:31 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2013-05-09 20:40:52 | 000,000,000 | R--D | C] -- C:\MSOCache

:Files
$RECYCLE.BIN /alldrives

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z TDSSKiller + nowe logi z OTL.

[sheverod]

Przepraszam za bałagan...

Oto logi:

Usuwanie: Dostępne tylko dla zarejestrowanych użytkowników
ADWCleaner: Dostępne tylko dla zarejestrowanych użytkowników
TDSSKiller: Dostępne tylko dla zarejestrowanych użytkowników
Nowe logi z OTL: Dostępne tylko dla zarejestrowanych użytkowników (W tym miejscu spostrzegłem się, że skrypt zastosowałem do plików z domyślną opcją "młodsze niż 30 dni" natomiast poprzednie raporty były robione z opcją "wszystkie". Czy robi to mi jaką różnicę?)

[kominekl]

Czy robi to mi jaką różnicę?

Tobie - nie . Mi - tak. Tak, jak wcześniej (czyli zgodnie z instrukcja jest OK ) .

ADWCleaner.

Naciśnij w Nim przycisk Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
[2013-06-24 00:20:57 | 002,066,480 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\pepe\Desktop\TDSSKiller.exe
[2013-06-23 23:57:38 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2013-06-23 19:39:45 | 000,000,000 | ---D | C] -- C:\Windows\temp

:Files
$RECYCLE.BIN /alldrives
C:\Windows\tasks\*.*

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

[sheverod]

Podaję logi

OTL: Dostępne tylko dla zarejestrowanych użytkowników

Autoruns: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Autoruns.

W trybie awaryjnym, w Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Adobe ARM
GrooveMonitor
RTHDVCPL

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

DAEMON Tools Lite
THPanel

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AdobeARMservice
MBAMScheduler
MBAMService
Microsoft Office Groove Audit Service
npggsvc
nvsvc
nvUpdatusService
odserv
ose
Stereo Service
WinDefend
WMPNetworkSvc

Następnie podajesz nowe logi z OTL.

[sheverod]

OTL Dostępne tylko dla zarejestrowanych użytkowników
EXTRAS Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
[2013-06-23 19:39:45 | 000,000,000 | ---D | C] -- C:\Windows\temp

:Files
$RECYCLE.BIN /alldrives

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL naciśnij przycisk Sprzątanie.

Internet Explorer (Version = 8.0.7601.17514)

Zaktualizuj Ie do najnowszej wersji (nawet, jeśli Go nie używasz).

Kroki Finalizujące.

Wykonaj pełne skanowanie Dostępne tylko dla zarejestrowanych użytkowników (nie gódź się na wersję testową), jeśli coś znajdzie usuń i daj raport.
Przeczyść dysk i rejestr Dostępne tylko dla zarejestrowanych użytkowników.

[sheverod]

OTL - usuwanie Dostępne tylko dla zarejestrowanych użytkowników
MBAM - Dostępne tylko dla zarejestrowanych użytkowników


Jest jeszcze jedno małe, ale nie wiem czy ma to jakiś związek.
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Jest jeszcze jedno małe, ale nie wiem czy ma to jakiś związek.
Dostępne tylko dla zarejestrowanych użytkowników

To folder aktualizacyjny. Można Go usunąć.

Malwarebytes.

Miałeś się nie godzić na okres testowy. Opróznij kwarantannę Malwarebytes`a (przycisk Usuń Wszystko).

[sheverod]

Dziękuję Ci za pomoc. Pozdrawiam

[kominekl]

Dziękuję Ci za pomoc. Pozdrawiam

. Czy można zamknąć temat?