Wirus ukash! proszę o szybką pomoc!

[Dzagoda534]

Cześć. Słuchajcie, jakąś godzinę wyskoczył mi ten głupi wirus ukash. Każą mi zapłacić 500 zł i zablokowali mi kompa. W pierwszym momencie się wystraszyłam. Wyłączyłam kompa i włączyłam tryb awaryjny z dostępem do sieci. Poczytałam na ten temat i wiem że to ściema. Ale teraz muszę go jakoś usunąć, a sama nie dam sobie rady. Sciągnęłam OTL i proszę WAS BARDZO o pomoc.. .

[Mikou@j]

Ściągnięcie OTL ,to już pół sukcesu. A gdzie są z niego logi ?
wszystko-o-logach-aktualizacja-30-01-2012-vt117887.html

Autor postu otrzymał pochwałę

[bugbug1]

ja zrobiłem tak:
pobrałem http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx wrzuciłem na pena
(Autoruns.chm, Autoruns.exe, Autorunsc.exe, Eula.txt)
Uruchomiłem tryb awaryjny z wierszem poleceń. wpisałem komendę na wyszukanie USB

Kod: Zaznacz wszystko

wmic logicaldisk get caption,volumename

po czym wszedłem na pendrive poprzez wpisanie litery i : np.

Kod: Zaznacz wszystko

F:

i wykonałem komendę:

Kod: Zaznacz wszystko

autoruns.exe

odpalił się program i wyszukałem wszystkie dziwne pliki i usunąłem. Dziwne nazwy i miejsca lokalizacji.
zaznaczasz pliki i usuwasz czerwonym X (1)

Dobrze jest zaznaczyć Hide Microsoft and Windows Entries w Options co zawęzi listę podejrzanych plików.

Nie jest to prost ale usunąłem wszystko w ten sposób. Pewniej będzie jak podasz logi. Ja ich podać nie mogłem bo tryb awaryjny u mnie nie działał(również się wyświetlał komunikat o zapłacie)

[Dzagoda534]

Dobra. Mam Windows 7 wersje 64 bitową ale nie wiem o co chodzi z tymi logami? Czy mógłbyś mi wytłumaczyć co i jak mam zrobić?

Dodano Dzisiaj, 18:39:
Tak więc zrobiłam logi, przesyłam je w załącznikach co dalej?

Dodano Dzisiaj, 18:59:
Ludzie, błagam Was! Pomóżcie mi. Zrobiłam logi i nie wiem co mam dalej robić...

[ordynat]

1) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O4 - HKU\S-1-5-21-4231043965-2128743055-2275361071-1000..\Run: [lrwknktsnlrwutk] C:\ProgramData\lrwknkts.exe (RedFox)
O4 - HKU\S-1-5-21-4231043965-2128743055-2275361071-1000..\Run: [MSIDLL] C:\Windows\SysWOW64\rundll32.exe msihbu32.dll,SljeaKb File not found
O4 - HKU\S-1-5-21-4231043965-2128743055-2275361071-1000..\Run: [Ygytl] C:\Users\Jaga\AppData\Roaming\Ziixqy\emyre.exe ()
[2012/09/14 15:04:09 | 000,000,000 | ---D | C] -- C:\ProgramData\augivlbmnwkfjpb
[2012/09/14 13:39:53 | 000,000,000 | ---D | C] -- C:\Users\Jaga\AppData\Roaming\Ziixqy
[2012/09/14 13:39:53 | 000,000,000 | ---D | C] -- C:\Users\Jaga\AppData\Roaming\Piboy
[2012/09/14 13:39:53 | 000,000,000 | ---D | C] -- C:\Users\Jaga\AppData\Roaming\Evhi
[2012/09/14 15:04:10 | 000,078,031 | ---- | M] () -- C:\ProgramData\zyghgszrzljmgct
[2011/04/09 19:03:26 | 000,000,000 | -HSD | M] -- C:\Users\Jaga\AppData\Roaming\.#

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

2) Użyj >Adw-cleaner. Kliknij w nim Delete
Pokaż raport z niego C:\AdwCleaner[S1].txt

3) Zrób nowy log OTL.

4) Zainstaluj nowszą, bezpieczniejszą wersję Javy:
>http://www.oracle.com/technetwork/java/javase/downloads/jre7u7-downloads-1836441.html
zaznacz okienko przy: Accept License Agreement
kliknij: jre-7u7-windows-X64.exe,
.

[Dzagoda534]

Ok. Napiszę zaraz by podziałało.

Dodano Dzisiaj, 20:31:
Powiedz mi jeszcze czy jak wkleje ten skrypt i zatwierdzę restart to komp mi się automatycznia załączy na nowo w normalnym trybie?

[ordynat]

powinien

[bugbug1]

4) Zainstaluj nowszą, bezpieczniejszą wersję Javy:
>http://www.oracle.com/technetwork/java/javase/downloads/jre7u7-downloads-1836441.html

Czy ta wersja coś pomaga? ja taką posiadałem a wirus napastował mnie rano
Tak naprawdę jak można się ochronić przed kolejnym jego atakiem?
Bo my go usuwamy ale on również znowu może wbić na kompa.

[Dzagoda534]

Komp załączył mi się normalnie. Nie wyskoczyło od razu okno z tym wirusem, więc myślę, że jest dobrze. Ale daję wszysto Ci do sprawdzenia jak prosiłeś.

[ordynat]

Powinno już być OK.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=132693_1050624_10150845_3219913727_BE448AF1&ts=1342384878
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=132693_1050624_10150845_3219913727_BE448AF1&ts=1342384878
IE - HKU\S-1-5-21-4231043965-2128743055-2275361071-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=132693_1050624_10150845_3219913727_BE448AF1&ts=1342384878
IE - HKU\S-1-5-21-4231043965-2128743055-2275361071-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms}
IE - HKU\S-1-5-21-4231043965-2128743055-2275361071-1000\..\URLSearchHook: {90eee664-34b1-422a-a782-779af65cdf6d} - No CLSID value found

Kliknij w Wykonaj Skrypt. Tym razem restartu nie będzie.
Potem kończymy:
W Adw-Cleaner kliknij na przycisk Uninstall
W OTL kliknij na przycisk Sprzątanie - zniknie OTL.
To wszystko.

[Dzagoda534]

BARDZO CI DZIĘKUJE!