Wirus "ukash"


(Komandor77) #1

Witam , mam problem z wirusem który chce kod ukash

OTL skan

http://wklej.to/f7Lld

Extras skan

http://wklej.to/B0tNX

proszę o pomoc.

jeśli będę miał coś wpisać w program OTL to on otwiera się tak że nie widzę co tam wklejam (można uruchomić ten program tak by widzieć co się wkleja?) , w systemie awaryjnym ten program powinien działać czy muszę go uruchomić jak poprzednio "tryb z obsługą wiersza poleceń" ?


(adam9870) #2

Uruchom Tryb awaryjny albo Tryb awaryjny z obsługą sieci.

W Panelu sterowania odinstaluj: helperbar, babylon, ask, incredibar.com, sweetim, conduit, Complitly, wxDfast

Uruchom OTL. W okno Własne opcje skanowana / skrypt wklej (zaczynając od dwukropka)

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?st=1&barid={141DB6CD-EC5E-11E0-BCB5-6CF049EF03BD}

IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=bc01d6cf-86f6-4360-9346-f4d6f78aa0cb&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}

IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={141DB6CD-EC5E-11E0-BCB5-6CF049EF03BD}

IE - HKU\S-1-5-21-220523388-1604221776-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?st=1&barid={141DB6CD-EC5E-11E0-BCB5-6CF049EF03BD}

IE - HKU\S-1-5-21-220523388-1604221776-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=bc01d6cf-86f6-4360-9346-f4d6f78aa0cb&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}

IE - HKU\S-1-5-21-220523388-1604221776-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=bc01d6cf-86f6-4360-9346-f4d6f78aa0cb&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}

IE - HKU\S-1-5-21-220523388-1604221776-1417001333-500\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)

IE - HKU\S-1-5-21-220523388-1604221776-1417001333-500\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=bc01d6cf-86f6-4360-9346-f4d6f78aa0cb&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}

IE - HKU\S-1-5-21-220523388-1604221776-1417001333-500\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=108988&babsrc=SP_ss&mntrId=c8334f0c0000000000006cf049ef03bd

IE - HKU\S-1-5-21-220523388-1604221776-1417001333-500\..\SearchScopes\{5BCC4415-C2CD-45BC-A2AB-84ECD006AC37}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=17E03BDC-2E88-4FEA-B1D5-EF7609139B0C&apn_sauid=3A387EB4-B701-44FD-89C1-32761E9B5A2D

IE - HKU\S-1-5-21-220523388-1604221776-1417001333-500\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6R8qHsSmXL&i=26

IE - HKU\S-1-5-21-220523388-1604221776-1417001333-500\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={141DB6CD-EC5E-11E0-BCB5-6CF049EF03BD}

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Ask.com"

FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search"

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}"

FF - prefs.js..browser.search.order.1: "Ask.com"

FF - prefs.js..browser.search.selectedEngine: "Web Search"

FF - prefs.js..browser.startup.homepage: "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=bc01d6cf-86f6-4360-9346-f4d6f78aa0cb&affid=111583&searchtype=hp&babsrc=lnkry"

FF - prefs.js..extensions.enabledItems: helperbar@helperbar.com:1.0

FF - prefs.js..keyword.URL: "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=bc01d6cf-86f6-4360-9346-f4d6f78aa0cb&affid=111583&searchtype=ds&babsrc=lnkry&q="

FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="

FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found

[2012-01-01 17:16:03 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516}

[2011-10-01 20:49:28 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}

[2012-04-22 17:03:33 | 000,000,000 | ---D | M] (wxDfast) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\extensions\4f905a0e289c6@4f905a0e289c8.info

[2012-04-22 17:03:52 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\extensions\ffxtlbr@incredibar.com

[2012-09-04 22:43:20 | 000,000,000 | ---D | M] ("Linkury Smartbar") -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\extensions\helperbar@helperbar.com

[2012-07-21 15:16:16 | 000,002,331 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\searchplugins\askcom.xml

[2010-01-20 13:16:28 | 000,000,939 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\searchplugins\conduit.xml

[2010-10-07 01:02:56 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\searchplugins\daemon-search.xml

[2012-04-22 17:03:29 | 000,002,203 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\searchplugins\MyStart Search.xml

[2011-10-01 20:49:27 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\searchplugins\sweetim.xml

[2012-09-08 14:02:02 | 000,002,469 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\searchplugins\Web Search.xml

[2011-05-03 20:39:14 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\1yo2extc.default\searchplugins\web-search.xml

[2012-01-01 17:16:06 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml

[2012-04-05 20:52:59 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml

O2 - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Documents and Settings\Administrator\Dane aplikacji\Complitly\Complitly.dll (SimplyGen)

O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O3 - HKU\S-1-5-21-220523388-1604221776-1417001333-500\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

O3 - HKU\S-1-5-21-220523388-1604221776-1417001333-500\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O4 - HKLM..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)

O4 - HKU\S-1-5-21-220523388-1604221776-1417001333-500..\Run: [aiwyoslvpzgqzun] C:\WINDOWS\aiwyoslv.exe (Cybernet Manufacturing)

O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html ()

[2012-09-09 16:03:34 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\jxmycljjpebhqmw

[2012-09-09 16:03:32 | 000,162,816 | ---- | C] (Cybernet Manufacturing) -- C:\WINDOWS\aiwyoslv.exe

[2012-09-09 16:26:00 | 000,000,250 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job

[2012-09-09 16:03:33 | 000,078,021 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\ibmrzshmxxsglzk

[2012-01-01 17:16:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\Babylon

[2012-02-11 11:11:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\BabylonToolbar

[2012-01-01 17:16:01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\Complitly

[2012-04-22 17:06:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\Incredibar.com

[2012-04-28 00:56:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Ask

[2012-01-01 17:16:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon

[2012-09-09 16:03:34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\jxmycljjpebhqmw

[2012-09-09 16:26:00 | 000,000,250 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

[2011-10-11 14:42:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\SweetIM


:Commands

[emptytemp]

Kliknij Wykonaj skrypt. Zgódź się na ponowne uruchomienie (restart).

Użyj AdwCleaner (opcja Delete).

Po wszystkim pokazujesz nowy log Skanuj, raport z usuwania OTL i raport z AdwCleaner.


(Komandor77) #3

sweetim sa 2 programy oby dwa usunąć ?

ask tez sa 2 , dwa usunąć ?

helperbar - tego nie mogę znaleźć zaczyna się to od litery H czy w drugim czy trzecim słowie w nazwie to występuje ?

conduit - to samo co wyżej

Complitly - to samo co wyżej

wxDfast - to samo co wyżej

wchodzę w panel sterowania , dalej w dodaj lub usuń programy - tu powinienem wejść ?

wklejam skan jeszcze combofix-a

http://wklej.to/3v2CA


(adam9870) #4

Jeżeli są 2 to usuwasz dwa. Jeżeli nie ma albo są problemy z deinstalacją, to przechodzisz dalej.

Nie używaj ComboFix bez nadzoru specjalistów: http://www.fixitpc.pl/topic/7-dezynfekc … bofix/#cf4, potem usuniemy go.


(Komandor77) #5

jak chce teraz usunąć te 2 programy co po 2 razy występują to pisze mi

nie można uzyskać dostępu do usługi instalator windows . może to mieć miejscy gdy system windows jest uruchomiony w systemie awaryjnym…"


(adam9870) #6

Jeżeli nie ma albo są problemy z deinstalacją, to przechodzisz dalej, czyli do skryptu OTL.


(Komandor77) #7

AdwCleaner ściągnąłem i uruchomiłem i cały czas mi pisze “waiting for an action”

ale nie widzę by coś się działo mam coś nacisnąć czy czekać ?

serach , delete - wcisnąć coś muszę?


(adam9870) #8

Naciśnij Delete, potem zostaniesz zapytany o restart, zgódź się. Powstanie log C:\AdwCleaner[s1].txt

Po wszystkim pokazujesz nowy log Skanuj, raport z usuwania OTL i raport z AdwCleaner.


(Komandor77) #9

AdwCleaner

http://wklej.to/tJrvm

zaraz podrzucę w edycji OTL bo muszę tam wejść z trybu “obsługa wiersza poleceń” bo w awaryjnym nie chce mi się uruchomić.


(adam9870) #10

Pomyliłeś się, kliknąłeś Search zamiast Delete. Uruchom AdwCleaner i kliknij Delete.

Zajmij się OTL, to jest droga do rozwiązania problemu z Ukashem, AdwCleaner to tylko dodatek żeby wyczyścić system z pasków reklamowych w przeglądarkach i innego tego rodzaju oprogramowania.


(Komandor77) #11

http://wklej.to/DeELF

http://wklej.to/onUe2

tak pierw kliknąłem search a później delete 2 pliki wygenerowało

tutaj ten 2 plik http://wklej.to/onUe2

uruchomiłem w trybie normalnym i jak narazie działa , jaka jest szansze że ktoś np. przechwycił hasła do poczty ? pozmieniać to wszystko coś jeszcze zrobić ?

mam drugi komputer laptopa coś mu szwankuje jak się włącza to strasznie piszczy fire fox nie chce się odpalać , możesz mi jeszcze w tym pomóc ? też go przeskanować OTL i podać ?

mogę się jakoś odwdzięczyć za tą pomoc ?


(adam9870) #12

Już po infekcji, można korzystać z systemu w trybie normalnym.

Odinstaluj V9 HomeTool. W razie problemów kontynuuj.

Uruchom OTL. W okno Własne opcje skanowana / skrypt wklej (zaczynając od dwukropka)

Kliknij Wykonaj skrypt. Zgódź się na ponowne uruchomienie (restart).

Finalizacja

  1. Uruchom OTL i kliknij Sprzątanie, aby usunąć OTL wraz z jego kwarantanną.

  2. Uruchom AdwCleaner i kliknij Uninstall, aby usunąć AdwCleaner.

  3. [Czyszczenie folderów przywracania systemu](http://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/page p 50#entry50)

  4. Użyj SecurityCheck i zaktualizuj programy oznaczone jako “Out of date!”. To jedna z metod zapobiegania podobnym infekcjom w przyszłości. Szkodliwe oprogramowanie może dostać się do komputera przez luki w starych wersjach programów podczas gdy nowsze wersje programów posiadają załatane luki, które są obecne w starszych wersjach tychże.

W razie problemów z samodzielnym przejrzeniem raportu z SecurityCheck, przedstaw go proszę na forum, to pomyślimy razem. Już teraz widzę kilka nieaktualnych programów. Od razu to załatwimy. Odinstaluj:

Java 6 Update 31

Adobe Reader 6.0 CE

Wchodzisz na stronę:

http://www.oracle.com/technetwork/java/ … 36473.html

Zaznaczasz Accept License Agreement

Pobierz i zainstaluj plik jre-6u35-windows-i586.exe

Pobierz i zainstaluj Adobe Reader X 10.1.4 http://ardownload.adobe.com/pub/adobe/r … _en_US.exe (źródło linka http://www.dobreprogramy.pl/Adobe-Reade … 11539.html)

  1. Deinstalacja ComboFix. Gdzie masz plik ComboFix.exe?

Jeżeli np. na Pulpicie konta Administrator, to wejdź sobie do Start >>> Uruchom >>> wpisz:

“C:\Documents and settings\Administrator\Pulpit\ComboFix.exe” /uninstall

Kliknij OK. Jak powiesz gdzie masz plik ComboFix.exe to pomogę.


(Komandor77) #13

uruchomiłem w trybie normalnym i jak narazie działa , jaka jest szansze że ktoś np. przechwycił hasła do poczty ? pozmieniać to wszystko coś jeszcze zrobić ?

mam drugi komputer laptopa coś mu szwankuje jak się włącza to strasznie piszczy fire fox nie chce się odpalać , możesz mi jeszcze w tym pomóc ? też go przeskanować OTL i podać ?

mogę się jakoś odwdzięczyć za tą pomoc ?

wpisałem to też do edycji do poprzedniego posta


(adam9870) #14

Najpierw sprawy techniczne: wykonaj instrukcje z mojej poprzedniej wiadomości.

Dobrze sobie poradziłeś. :slight_smile:

Wątpię, żeby ktoś przechwycił hasła, ale profilaktycznie możesz pozmieniać hasła do ważnych stron.

Co do laptopa, załóż osobny temat i popatrzymy. Kiedy chcesz - czy dzisiaj, czy jutro czy za tydzień.

Chyba nie możesz odwdzięczyć się, poza “dziękuję”. Albo sprawdź PW ucp.php?i=pm&folder=inbox

Dziękuję.

Pozdrawiam.


(Komandor77) #15

http://wklej.to/sGf7i

taki mam komunikat z security check

jave i adobe , odinstalowałem i zainstalowałem , coś jeszcze tak mam zrobić ?

combofix przeniosłem na pendrive i do laptopa podłączyłem.


(adam9870) #16

Raport z Security Check można wkleić do posta, czytelniej to wygląda.

Odinstaluj

Java 6 Update 31

Adobe Reader 6

Zainstaluj

Java 6 Update 35

Wchodzisz na stronę:

http://www.oracle.com/technetwork/java/ … 36473.html

Zaznaczasz Accept License Agreement

Pobierz i zainstaluj plik jre-6u35-windows-i586.exe

Pobierz i zainstaluj Adobe Reader X 10.1.4

http://ardownload.adobe.com/pub/adobe/r … _en_US.exe

Źródło linka http://www.dobreprogramy.pl/Adobe-Reade … 11539.html

Brakuje antywirusa w systemie. Zainstaluj choćby darmowego Avasta, z tego co pamiętam po zarejestrowaniu działa rok czasu.

Odinstalowałeś ComboFiksa? Jeżeli nie, powiedz gdzie go trzymasz, a pomogę. :wink:

Po wszystkim możesz pokazać nowy raport z SecurityCheck.


(Komandor77) #17

jave i adobe , odinstalowałem i zainstalowałem , coś jeszcze tak mam zrobić ?

combofix przeniosłem na pendrive i do laptopa podłączyłem.

Results of screen317’s Security Check version 0.99.50

Windows XP Service Pack 3 x86

Internet Explorer 8

Antivirus/Firewall Check:

WMI entry may not exist for antivirus; attempting automatic update.

Anti-malware/Other Utilities Check:

Java 6 Update 35

Java 7 Update 7

Adobe Flash Player 11.4.402.265

Adobe Reader X (10.1.4)

Mozilla Firefox (15.0.1)

Process Check: objlist.exe by Laurent

Malwarebytes Anti-Malware mbamservice.exe

System Health check

Total Fragmentation on Drive C::

````````````````````End of Log``````````````````````


(adam9870) #18

Z aktualizacjami jest OK. Brakuje antywirusa, proponowałem w swojej poprzedniej wiadomości instalację Avasta.

Podawałem sposób deinstalacji ComboFiksa.

Podłącz pendrive. Załóżmy, że pendrive ma literkę G i ComboFix jest w głównym katalogu pendrive. Start >>> uruchom >>> wpisz G:\ComboFix.exe /uninstall i kliknij OK. Na przyszłość nie używaj ComboFix samemu, bo to narzędzie silnie integrujące w system, za http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/


(Komandor77) #19

odinstalowałem combofixa z pendrive, tego laptopa możemy tu zrobić czy założyć nowy wątek ?

zainstaluje tego antywirusa.


(adam9870) #20

Jak dla mnie obojętnie.