Witam , mam problem z wirusem który chce kod ukash
OTL skan
Extras skan
proszę o pomoc.
jeśli będę miał coś wpisać w program OTL to on otwiera się tak że nie widzę co tam wklejam (można uruchomić ten program tak by widzieć co się wkleja?) , w systemie awaryjnym ten program powinien działać czy muszę go uruchomić jak poprzednio “tryb z obsługą wiersza poleceń” ?
Uruchom Tryb awaryjny albo Tryb awaryjny z obsługą sieci.
W Panelu sterowania odinstaluj: helperbar, babylon, ask, incredibar.com, sweetim, conduit, Complitly, wxDfast
Uruchom OTL. W okno Własne opcje skanowana / skrypt wklej (zaczynając od dwukropka)
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?st=1&barid={141DB6CD-EC5E-11E0-BCB5-6CF049EF03BD}
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=bc01d6cf-86f6-4360-9346-f4d6f78aa0cb&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={141DB6CD-EC5E-11E0-BCB5-6CF049EF03BD}
IE - HKU\S-1-5-21-220523388-1604221776-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?st=1&barid={141DB6CD-EC5E-11E0-BCB5-6CF049EF03BD}
IE - HKU\S-1-5-21-220523388-1604221776-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=bc01d6cf-86f6-4360-9346-f4d6f78aa0cb&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}
IE - HKU\S-1-5-21-220523388-1604221776-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=bc01d6cf-86f6-4360-9346-f4d6f78aa0cb&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}
IE - HKU\S-1-5-21-220523388-1604221776-1417001333-500\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)
IE - HKU\S-1-5-21-220523388-1604221776-1417001333-500\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=bc01d6cf-86f6-4360-9346-f4d6f78aa0cb&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}
IE - HKU\S-1-5-21-220523388-1604221776-1417001333-500\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=108988&babsrc=SP_ss&mntrId=c8334f0c0000000000006cf049ef03bd
IE - HKU\S-1-5-21-220523388-1604221776-1417001333-500\..\SearchScopes\{5BCC4415-C2CD-45BC-A2AB-84ECD006AC37}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=17E03BDC-2E88-4FEA-B1D5-EF7609139B0C&apn_sauid=3A387EB4-B701-44FD-89C1-32761E9B5A2D
IE - HKU\S-1-5-21-220523388-1604221776-1417001333-500\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6R8qHsSmXL&i=26
IE - HKU\S-1-5-21-220523388-1604221776-1417001333-500\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={141DB6CD-EC5E-11E0-BCB5-6CF049EF03BD}
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Web Search"
FF - prefs.js..browser.startup.homepage: "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=bc01d6cf-86f6-4360-9346-f4d6f78aa0cb&affid=111583&searchtype=hp&babsrc=lnkry"
FF - prefs.js..extensions.enabledItems: helperbar@helperbar.com:1.0
FF - prefs.js..keyword.URL: "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=bc01d6cf-86f6-4360-9346-f4d6f78aa0cb&affid=111583&searchtype=ds&babsrc=lnkry&q="
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2012-01-01 17:16:03 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516}
[2011-10-01 20:49:28 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
[2012-04-22 17:03:33 | 000,000,000 | ---D | M] (wxDfast) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\extensions\4f905a0e289c6@4f905a0e289c8.info
[2012-04-22 17:03:52 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\extensions\ffxtlbr@incredibar.com
[2012-09-04 22:43:20 | 000,000,000 | ---D | M] ("Linkury Smartbar") -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\extensions\helperbar@helperbar.com
[2012-07-21 15:16:16 | 000,002,331 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\searchplugins\askcom.xml
[2010-01-20 13:16:28 | 000,000,939 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\searchplugins\conduit.xml
[2010-10-07 01:02:56 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\searchplugins\daemon-search.xml
[2012-04-22 17:03:29 | 000,002,203 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\searchplugins\MyStart Search.xml
[2011-10-01 20:49:27 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\searchplugins\sweetim.xml
[2012-09-08 14:02:02 | 000,002,469 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\searchplugins\Web Search.xml
[2011-05-03 20:39:14 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\searchplugins\web-search.xml
[2012-01-01 17:16:06 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2012-04-05 20:52:59 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
O2 - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Documents and Settings\Administrator\Dane aplikacji\Complitly\Complitly.dll (SimplyGen)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKU\S-1-5-21-220523388-1604221776-1417001333-500\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\S-1-5-21-220523388-1604221776-1417001333-500\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O4 - HKU\S-1-5-21-220523388-1604221776-1417001333-500..\Run: [aiwyoslvpzgqzun] C:\WINDOWS\aiwyoslv.exe (Cybernet Manufacturing)
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html ()
[2012-09-09 16:03:34 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\jxmycljjpebhqmw
[2012-09-09 16:03:32 | 000,162,816 | ---- | C] (Cybernet Manufacturing) -- C:\WINDOWS\aiwyoslv.exe
[2012-09-09 16:26:00 | 000,000,250 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2012-09-09 16:03:33 | 000,078,021 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\ibmrzshmxxsglzk
[2012-01-01 17:16:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\Babylon
[2012-02-11 11:11:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\BabylonToolbar
[2012-01-01 17:16:01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\Complitly
[2012-04-22 17:06:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\Incredibar.com
[2012-04-28 00:56:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Ask
[2012-01-01 17:16:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon
[2012-09-09 16:03:34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\jxmycljjpebhqmw
[2012-09-09 16:26:00 | 000,000,250 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
[2011-10-11 14:42:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\SweetIM
:Commands
[emptytemp]
Kliknij Wykonaj skrypt. Zgódź się na ponowne uruchomienie (restart).
Użyj AdwCleaner (opcja Delete).
Po wszystkim pokazujesz nowy log Skanuj, raport z usuwania OTL i raport z AdwCleaner.
sweetim sa 2 programy oby dwa usunąć ?
ask tez sa 2 , dwa usunąć ?
helperbar - tego nie mogę znaleźć zaczyna się to od litery H czy w drugim czy trzecim słowie w nazwie to występuje ?
conduit - to samo co wyżej
Complitly - to samo co wyżej
wxDfast - to samo co wyżej
wchodzę w panel sterowania , dalej w dodaj lub usuń programy - tu powinienem wejść ?
wklejam skan jeszcze combofix-a
Jeżeli są 2 to usuwasz dwa. Jeżeli nie ma albo są problemy z deinstalacją, to przechodzisz dalej.
Nie używaj ComboFix bez nadzoru specjalistów: http://www.fixitpc.pl/topic/7-dezynfekc … bofix/#cf4, potem usuniemy go.
jak chce teraz usunąć te 2 programy co po 2 razy występują to pisze mi
nie można uzyskać dostępu do usługi instalator windows . może to mieć miejscy gdy system windows jest uruchomiony w systemie awaryjnym…"
Jeżeli nie ma albo są problemy z deinstalacją, to przechodzisz dalej, czyli do skryptu OTL.
AdwCleaner ściągnąłem i uruchomiłem i cały czas mi pisze “waiting for an action”
ale nie widzę by coś się działo mam coś nacisnąć czy czekać ?
serach , delete - wcisnąć coś muszę?
Naciśnij Delete, potem zostaniesz zapytany o restart, zgódź się. Powstanie log C:\AdwCleaner[s1].txt
Po wszystkim pokazujesz nowy log Skanuj, raport z usuwania OTL i raport z AdwCleaner.
AdwCleaner
zaraz podrzucę w edycji OTL bo muszę tam wejść z trybu “obsługa wiersza poleceń” bo w awaryjnym nie chce mi się uruchomić.
Pomyliłeś się, kliknąłeś Search zamiast Delete. Uruchom AdwCleaner i kliknij Delete.
Zajmij się OTL, to jest droga do rozwiązania problemu z Ukashem, AdwCleaner to tylko dodatek żeby wyczyścić system z pasków reklamowych w przeglądarkach i innego tego rodzaju oprogramowania.
tak pierw kliknąłem search a później delete 2 pliki wygenerowało
tutaj ten 2 plik http://wklej.to/onUe2
uruchomiłem w trybie normalnym i jak narazie działa , jaka jest szansze że ktoś np. przechwycił hasła do poczty ? pozmieniać to wszystko coś jeszcze zrobić ?
mam drugi komputer laptopa coś mu szwankuje jak się włącza to strasznie piszczy fire fox nie chce się odpalać , możesz mi jeszcze w tym pomóc ? też go przeskanować OTL i podać ?
mogę się jakoś odwdzięczyć za tą pomoc ?
Już po infekcji, można korzystać z systemu w trybie normalnym.
Odinstaluj V9 HomeTool. W razie problemów kontynuuj.
Uruchom OTL. W okno Własne opcje skanowana / skrypt wklej (zaczynając od dwukropka)
Kliknij Wykonaj skrypt. Zgódź się na ponowne uruchomienie (restart).
Finalizacja
Uruchom OTL i kliknij Sprzątanie, aby usunąć OTL wraz z jego kwarantanną.
Uruchom AdwCleaner i kliknij Uninstall, aby usunąć AdwCleaner.
[Czyszczenie folderów przywracania systemu](http://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/page p 50#entry50)
Użyj SecurityCheck i zaktualizuj programy oznaczone jako “Out of date!”. To jedna z metod zapobiegania podobnym infekcjom w przyszłości. Szkodliwe oprogramowanie może dostać się do komputera przez luki w starych wersjach programów podczas gdy nowsze wersje programów posiadają załatane luki, które są obecne w starszych wersjach tychże.
W razie problemów z samodzielnym przejrzeniem raportu z SecurityCheck, przedstaw go proszę na forum, to pomyślimy razem. Już teraz widzę kilka nieaktualnych programów. Od razu to załatwimy. Odinstaluj:
Java 6 Update 31
Adobe Reader 6.0 CE
Wchodzisz na stronę:
http://www.oracle.com/technetwork/java/ … 36473.html
Zaznaczasz Accept License Agreement
Pobierz i zainstaluj plik jre-6u35-windows-i586.exe
Pobierz i zainstaluj Adobe Reader X 10.1.4 http://ardownload.adobe.com/pub/adobe/r … _en_US.exe (źródło linka http://www.dobreprogramy.pl/Adobe-Reade … 11539.html)
Jeżeli np. na Pulpicie konta Administrator, to wejdź sobie do Start >>> Uruchom >>> wpisz:
“C:\Documents and settings\Administrator\Pulpit\ComboFix.exe” /uninstall
Kliknij OK. Jak powiesz gdzie masz plik ComboFix.exe to pomogę.
uruchomiłem w trybie normalnym i jak narazie działa , jaka jest szansze że ktoś np. przechwycił hasła do poczty ? pozmieniać to wszystko coś jeszcze zrobić ?
mam drugi komputer laptopa coś mu szwankuje jak się włącza to strasznie piszczy fire fox nie chce się odpalać , możesz mi jeszcze w tym pomóc ? też go przeskanować OTL i podać ?
mogę się jakoś odwdzięczyć za tą pomoc ?
wpisałem to też do edycji do poprzedniego posta
Najpierw sprawy techniczne: wykonaj instrukcje z mojej poprzedniej wiadomości.
Dobrze sobie poradziłeś. 
Wątpię, żeby ktoś przechwycił hasła, ale profilaktycznie możesz pozmieniać hasła do ważnych stron.
Co do laptopa, załóż osobny temat i popatrzymy. Kiedy chcesz - czy dzisiaj, czy jutro czy za tydzień.
Chyba nie możesz odwdzięczyć się, poza “dziękuję”. Albo sprawdź PW ucp.php?i=pm&folder=inbox
Dziękuję.
Pozdrawiam.
taki mam komunikat z security check
jave i adobe , odinstalowałem i zainstalowałem , coś jeszcze tak mam zrobić ?
combofix przeniosłem na pendrive i do laptopa podłączyłem.
Raport z Security Check można wkleić do posta, czytelniej to wygląda.
Odinstaluj
Java 6 Update 31
Adobe Reader 6
Zainstaluj
Java 6 Update 35
Wchodzisz na stronę:
http://www.oracle.com/technetwork/java/ … 36473.html
Zaznaczasz Accept License Agreement
Pobierz i zainstaluj plik jre-6u35-windows-i586.exe
Pobierz i zainstaluj Adobe Reader X 10.1.4
http://ardownload.adobe.com/pub/adobe/r … _en_US.exe
Źródło linka http://www.dobreprogramy.pl/Adobe-Reade … 11539.html
Brakuje antywirusa w systemie. Zainstaluj choćby darmowego Avasta, z tego co pamiętam po zarejestrowaniu działa rok czasu.
Odinstalowałeś ComboFiksa? Jeżeli nie, powiedz gdzie go trzymasz, a pomogę. 
Po wszystkim możesz pokazać nowy raport z SecurityCheck.
jave i adobe , odinstalowałem i zainstalowałem , coś jeszcze tak mam zrobić ?
combofix przeniosłem na pendrive i do laptopa podłączyłem.
Results of screen317’s Security Check version 0.99.50
Windows XP Service Pack 3 x86
Internet Explorer 8
Antivirus/Firewall Check:
WMI entry may not exist for antivirus; attempting automatic update.
Anti-malware/Other Utilities Check:
Java 6 Update 35
Java 7 Update 7
Adobe Flash Player 11.4.402.265
Adobe Reader X (10.1.4)
Mozilla Firefox (15.0.1)
Process Check: objlist.exe by Laurent
Malwarebytes Anti-Malware mbamservice.exe
System Health check
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````
Z aktualizacjami jest OK. Brakuje antywirusa, proponowałem w swojej poprzedniej wiadomości instalację Avasta.
Podawałem sposób deinstalacji ComboFiksa.
Podłącz pendrive. Załóżmy, że pendrive ma literkę G i ComboFix jest w głównym katalogu pendrive. Start >>> uruchom >>> wpisz G:\ComboFix.exe /uninstall i kliknij OK. Na przyszłość nie używaj ComboFix samemu, bo to narzędzie silnie integrujące w system, za http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/
odinstalowałem combofixa z pendrive, tego laptopa możemy tu zrobić czy założyć nowy wątek ?
zainstaluje tego antywirusa.
Jak dla mnie obojętnie.