Atak ukash'a

onemoresolo · 8 Sierpień 2012 16:39

Jak w tytule. Proszę o pomoc, poniżej załączam raporty OTL.

Acorus · 8 Sierpień 2012 16:49

Odinstaluj Akamai NetSession Interface,Babylon toolbar on IE,uTorrentControl2 Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL SRV - File not found [Auto | Stopped] – C:\Program Files\NPVR\NRecord.exe – (NPVR Recording Service) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva394.sys – (XDva394) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva393.sys – (XDva393) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\SymIM.sys – (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\SymIM.sys – (SymIM) IE - HKLM…\SearchScopes{56256A51-B582-467e-B8D4-7786EDA79AE0}: “URL” = http://search.mywebsearch.com/mywebsear … searchfor={searchTerms} [2011-06-21 15:32:18 | 000,002,423 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-10-31 22:26:01 | 000,002,520 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\SearchResults.xml O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll (Yontoo LLC) O3 - HKLM…\Toolbar: (no name) - !{32b29df0-2237-4370-9a29-37cebb730e9b} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O3 - HKLM…\Toolbar: (uTorrentControl2 Toolbar) - {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.) O3 - HKLM…\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WINDOW~4\Datamngr\ToolBar\searchqudtx.dll File not found O3 - HKLM…\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM…\Run: [NBKeyScan] “C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe” File not found O4 - HKLM…\Run: [NPSStartup] File not found O4 - HKU.DEFAULT…\RunOnce: [iETI] C:\Program Files\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART File not found O4 - HKU\S-1-5-18…\RunOnce: [iETI] C:\Program Files\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART File not found O4 - HKU\S-1-5-21-343818398-1637723038-725345543-500…\RunOnce: [NeroHomeFirstStart] “C:\Program Files\Common Files\Nero\Lib\NMFirstStart.exe” File not found O4 - Startup: C:\Documents and Settings\domek\Menu Start\Programy\Autostart\GameRanger.lnk = File not found O4 - Startup: C:\Documents and Settings\domek\Menu Start\Programy\Autostart\VDownloader.lnk = File not found [2012-08-08 16:18:09 | 000,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\nnndpukqxgbuies [2012-01-11 21:17:15 | 003,623,592 | ---- | C] (Ask) – C:\Program Files\Common Files\ApnToolbarInstaller.exe [2012-01-11 21:17:15 | 000,143,240 | ---- | C] (Ask.com) – C:\Program Files\Common Files\ApnStub.exe [2012-08-08 16:18:10 | 000,000,051 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\sfnwmtsvppwbtba [2012-08-08 16:17:48 | 000,061,440 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\sapfxbyi.exe :Commands [emptytemp]

Kliknij Wykonaj skrypt.

Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

onemoresolo · 8 Sierpień 2012 17:18

Po kliknięciu “Wykonaj skrypt” komputer się zawiesza, próbowałam 2 razy. Czy to może miec związek z tym, że przeglądarka była otwarta?

– Dodane 08.08.2012 (Śr) 19:22 –

Przed chwilą się dowiedziałam, ze brat włączył skanowanie po użyciu OTL. Podobno jakiś plik został przeniesiony do kwarantanny wirusów, ale przerwano skanowanie. Może o to chodzi? W normalnym trybie wirus wciąż się pojawia.

adam9870 · 8 Sierpień 2012 17:44

Spróbuj zamknąć przeglądarkę, chociaż to i tak nie powinno mieć znaczenia.

Sprawdź w trybie awaryjnym http://www.fixitpc.pl/topic/5694-start- … safe-mode/ i pokaż nowe logi - OTL.Txt i raport z usuwania.

Pozdrawiam.

onemoresolo · 8 Sierpień 2012 18:00

Cały czas siedzę na awaryjnym z dostępem do sieci. Po każdym kliknięciu “wykonaj skrypt” komputer się zawiesza i musze wszystko robić od początku.

adam9870 · 8 Sierpień 2012 18:04

Pokaż nowe logi.

onemoresolo · 8 Sierpień 2012 18:09

OTL: http://www.wklej.org/id/806729/

Extras: http://www.wklej.org/id/806731/

Acorus · 9 Sierpień 2012 08:42

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.

Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

onemoresolo · 9 Sierpień 2012 13:57

OTL: http://wklej.org/id/807321/

raport z usuwania: http://wklej.org/id/807322/

– Dodane 09.08.2012 (Cz) 17:21 –

To wszystko, czy powinnam zrobić coś jeszcze?

Acorus · 9 Sierpień 2012 15:44

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva394.sys – (XDva394) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva393.sys – (XDva393) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\SymIM.sys – (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\SymIM.sys – (SymIM) IE - HKLM…\SearchScopes{56256A51-B582-467e-B8D4-7786EDA79AE0}: “URL” = http://search.mywebsearch.com/mywebsear … searchfor={searchTerms} IE - HKU\S-1-5-21-343818398-1637723038-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://dts.search-results.com/sr?src=ie … 06&sr=0&q={searchTerms} IE - HKU\S-1-5-21-343818398-1637723038-725345543-1003…\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - SOFTWARE\Classes\CLSID{687578b9-7132-4a7a-80e4-30ee31099e03}\InprocServer32 File not found IE - HKU\S-1-5-21-343818398-1637723038-725345543-1003…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=&apn_ptnrs=VX&apn_dtid=YYYYYYYYPL&apn_uid=48586804-6E32-4079-ACA0-AE465848EA89&apn_sauid=45FC1D58-9967-40EC-9309-CA5175469455& IE - HKU\S-1-5-21-343818398-1637723038-725345543-1003…\SearchScopes{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: “URL” = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=5c5c615e000000000000002354d57608&tlver=1.4.19.19&affID=19444 IE - HKU\S-1-5-21-343818398-1637723038-725345543-1003…\SearchScopes{56256A51-B582-467e-B8D4-7786EDA79AE0}: “URL” = http://search.mywebsearch.com/mywebsear … searchfor={searchTerms} IE - HKU\S-1-5-21-343818398-1637723038-725345543-1003…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.defaultthis.engineName: “Softonic-Eng7 Customized Web Search” FF - prefs.js…browser.search.order.1: “Ask.com” FF - prefs.js…browser.startup.homepage: “http://www.searchqu.com/417” FF - prefs.js…extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js…extensions.enabledItems: m3ffxtbr@mywebsearch.com:1.1 FF - prefs.js…extensions.enabledItems: quickstores@quickstores.de:1.1.0 FF - prefs.js…extensions.enabledItems: ffxtlbr@babylon.com:1.1.3 FF - prefs.js…sweetim.toolbar.previous.browser.search.defaultenginename: “SweetIM Search” FF - prefs.js…sweetim.toolbar.previous.browser.search.selectedEngine: “SweetIM Search” FF - prefs.js…browser.startup.homepage: “http://home.sweetim.com” FF - prefs.js…browser.search.defaultenginename: “Yahoo” FF - prefs.js…browser.search.selectedEngine: “Yahoo” FF - prefs.js…keyword.URL: “http://search.yahoo.com/search?ei=utf-8&fr=greentree_ff1&type=937811&ilc=12&p=” FF - prefs.js…browser.search.param.yahoo-fr: “chr-greentree_ff&type=937811&ilc=12” [2012-04-28 16:15:20 | 000,000,000 | —D | M] (uTorrentControl2 Community Toolbar) – C:\Documents and Settings\domek\Dane aplikacji\Mozilla\Firefox\Profiles\d7fub8kr.default\extensions{687578b9-7132-4a7a-80e4-30ee31099e03} [2011-10-31 22:26:10 | 000,000,000 | —D | M] (Searchqu Toolbar) – C:\Documents and Settings\domek\Dane aplikacji\Mozilla\Firefox\Profiles\d7fub8kr.default\extensions{99079a25-328f-4bd4-be04-00955acaa0a7} [2011-12-17 20:26:48 | 000,000,000 | —D | M] (Ashampoo PO Community Toolbar) – C:\Documents and Settings\domek\Dane aplikacji\Mozilla\Firefox\Profiles\d7fub8kr.default\extensions{d43723ae-1ae1-4a25-a6a4-bf0929273cab} [2011-07-23 16:32:19 | 000,000,000 | —D | M] (SweetIM Toolbar for Firefox) – C:\Documents and Settings\domek\Dane aplikacji\Mozilla\Firefox\Profiles\d7fub8kr.default\extensions{EEE6C361-6118-11DC-9C72-001320C79847} [2011-02-14 20:16:26 | 000,000,000 | —D | M] (Conduit Engine) – C:\Documents and Settings\domek\Dane aplikacji\Mozilla\Firefox\Profiles\d7fub8kr.default\extensions\engine@conduit.com [2011-06-21 15:32:18 | 000,000,000 | —D | M] (Babylon) – C:\Documents and Settings\domek\Dane aplikacji\Mozilla\Firefox\Profiles\d7fub8kr.default\extensions\ffxtlbr@babylon.com [2012-04-29 16:08:24 | 000,000,000 | —D | M] (Yontoo) – C:\Documents and Settings\domek\Dane aplikacji\Mozilla\Firefox\Profiles\d7fub8kr.default\extensions\plugin@yontoo.com [2011-08-23 22:16:36 | 000,002,333 | ---- | M] () – C:\Documents and Settings\domek\Dane aplikacji\Mozilla\Firefox\Profiles\d7fub8kr.default\searchplugins\askcom.xml [2010-03-16 11:33:24 | 000,000,929 | ---- | M] () – C:\Documents and Settings\domek\Dane aplikacji\Mozilla\Firefox\Profiles\d7fub8kr.default\searchplugins\conduit.xml [2011-04-02 12:37:00 | 000,009,924 | ---- | M] () – C:\Documents and Settings\domek\Dane aplikacji\Mozilla\Firefox\Profiles\d7fub8kr.default\searchplugins\mywebsearch.xml [2010-06-19 17:42:43 | 000,005,114 | ---- | M] () – C:\Documents and Settings\domek\Dane aplikacji\Mozilla\Firefox\Profiles\d7fub8kr.default\searchplugins\search.xml [2011-10-31 22:26:01 | 000,002,520 | ---- | M] () – C:\Documents and Settings\domek\Dane aplikacji\Mozilla\Firefox\Profiles\d7fub8kr.default\searchplugins\SearchResults.xml [2011-07-23 16:31:59 | 000,003,915 | ---- | M] () – C:\Documents and Settings\domek\Dane aplikacji\Mozilla\Firefox\Profiles\d7fub8kr.default\searchplugins\SweetIM Search.xml [2011-07-23 16:32:17 | 000,003,915 | ---- | M] () – C:\Documents and Settings\domek\Dane aplikacji\Mozilla\Firefox\Profiles\d7fub8kr.default\searchplugins\sweetim.xml [2011-06-21 15:32:18 | 000,002,423 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-10-31 22:26:01 | 000,002,520 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\SearchResults.xml O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll (Yontoo LLC) O3 - HKLM…\Toolbar: (no name) - !{32b29df0-2237-4370-9a29-37cebb730e9b} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O3 - HKLM…\Toolbar: (uTorrentControl2 Toolbar) - {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files\uTorrentControl2\prxtbuTor.dll File not found O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found O3 - HKLM…\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WINDOW~4\Datamngr\ToolBar\searchqudtx.dll File not found O3 - HKLM…\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-343818398-1637723038-725345543-1003…\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-343818398-1637723038-725345543-1003…\Toolbar\ShellBrowser: (no name) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - No CLSID value found. O3 - HKU\S-1-5-21-343818398-1637723038-725345543-1003…\Toolbar\WebBrowser: (uTorrentControl2 Toolbar) - {687578B9-7132-4A7A-80E4-30EE31099E03} - C:\Program Files\uTorrentControl2\prxtbuTor.dll File not found O4 - HKLM…\Run: [NBKeyScan] “C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe” File not found O4 - HKLM…\Run: [NPSStartup] File not found O4 - HKU\S-1-5-21-343818398-1637723038-725345543-1003…\Run: [Akamai NetSession Interface] C:\Documents and Settings\domek\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe (Akamai Technologies, Inc) O4 - HKU\S-1-5-21-343818398-1637723038-725345543-1003…\Run: [AshSnap] C:\Program Files\Ashampoo\Ashampoo Snap 5\ashsnap.exe File not found O4 - HKU\S-1-5-21-343818398-1637723038-725345543-1003…\Run: [AutoStartNPSAgent] D:\nasze\samsung pc studio\NPSAgent.exe File not found O4 - HKU\S-1-5-21-343818398-1637723038-725345543-1003…\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe” File not found O4 - HKU\S-1-5-21-343818398-1637723038-725345543-1003…\Run: [GoD] “C:\Documents and Settings\domek\Moje dokumenty\GoD\GoD.exe” /tray File not found O4 - HKU\S-1-5-21-343818398-1637723038-725345543-1003…\Run: [sapfxbyixhudxin] C:\Documents and Settings\All Users\Dane aplikacji\sapfxbyi.exe File not found O4 - HKU.DEFAULT…\RunOnce: [iETI] C:\Program Files\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART File not found O4 - HKU\S-1-5-18…\RunOnce: [iETI] C:\Program Files\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART File not found [2012-08-08 16:17:48 | 000,061,440 | ---- | M] () – C:\Documents and Settings\domek\0.42390191422773493.exe [2012-01-19 20:13:44 | 000,460,624 | ---- | C] () – C:\Documents and Settings\domek\Ustawienia lokalne\Dane aplikacji\promo.exe :Commands [emptytemp]

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete

Wyłącz i włącz przywracanie systemu.

http://www.searchengines.pl/Czyszczenie … 41981.html

Zainstaluj aktualizacje do programow wskazanych przez Security Check

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.

onemoresolo · 9 Sierpień 2012 17:31

To wszystko? Jeśli tak, to bardzo dziękuję za pomoc.