Ukash blokada komputera

emptysiak · 14 Lipiec 2012 21:07

Witam w piątek rano złapałem każdemu pewnie znanego trojana ukash. Zablokował mi cały komputer, próbowałem go usunąć wg. jednego poradnika programem HitmanPro 3.6 lecz to nic nie pomogło i postanowiłem napisać na forum gdyż komputer jest mi niezbędny do pracy. Proszę o pomoc i rozwiązanie mojego problemu.

Logi z Combofix oraz OTL

otl:

http://hostuje.net/file.php?id=f20466f3 … 244f12553a

extras.txt

http://hostuje.net/file.php?id=ea1c98f7 … bb61f984f5

combofix

http://hostuje.net/file.php?id=fd554e41 … d0c4594809

Atis · 14 Lipiec 2012 21:36

Raporty umieszczamy na http://www.wklej.org, http://www.wklej.to a w poście na forum podajemy linka do wklejki.

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html

emptysiak · 14 Lipiec 2012 21:43

już poprawione:

otl

http://wklej.to/b9XHC

extras

http://wklej.to/eUAUm

combofix

http://wklej.to/ZqRPu

Atis · 14 Lipiec 2012 21:49

Odinstaluj DAEMON Tools Toolbar.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE - HKU\S-1-5-21-3973318647-1128835050-2179378286-1000…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch&babsrc=SP_ss&mntrId=a436648800000000000000ff01000001 IE - HKU\S-1-5-21-3973318647-1128835050-2179378286-1000…\SearchScopes{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: “URL” = http://www.daemon-search.com/search/web?q={searchTerms} FF - prefs.js…browser.search.defaultenginename: “Search the web (Babylon)” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…keyword.URL: “http://isearch.babylon.com/?babsrc=adbartrp&babsrc=SP_ss&mntrId=a436648800000000000000ff01000001&q=” [2011-02-20 14:16:53 | 000,002,059 | ---- | M] () – C:\Users\Empty\AppData\Roaming\Mozilla\Firefox\Profiles\vqjurbuu.default\searchplugins\daemon-search.xml [2012-03-13 00:25:30 | 000,002,298 | ---- | M] () – C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM…\Run: [WinSCard] C:\Users\Empty\AppData\Local\Microsoft\Windows\125\WinSCard.exe () O4 - HKU\S-1-5-21-3973318647-1128835050-2179378286-1000…\Run: [Wisdom-soft AutoScreenRecorder 3.1 Free] 0 File not found [2012-07-13 08:27:57 | 000,000,000 | —D | C] – C:\Users\Empty\AppData\Roaming\hellomoto :Files C:\Users\Empty\AppData\Local\Microsoft\Windows\125 C:\Users\Empty\AppData\Local\Temp*.html :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

emptysiak · 14 Lipiec 2012 22:10

raport

http://wklej.to/8jkHH

skan

http://wklej.to/5gUS9

Atis · 14 Lipiec 2012 22:31

Nie widać infekcji, więc dlaczego system nadal uruchomiony w trybie awaryjnym?

Wklej i kliknij Wykonaj skrypt:

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware.

Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

emptysiak · 14 Lipiec 2012 22:32

już wszystko śmiga, dzięki wielkie za pomoc