Ukash - pomóżcie!!

[Monika1990]

czesc, mój komp został zaatakowany przez ukash, nie wiem jak sobie z tym poradzic. zrobiłam logi w OTL'u i prosze żeby ktoś je sprawdził i powiedział co sie dzieje z moim kompem, co mam zrobić ... oto moje logi w załączniku.

[wojtas]

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\w810obex.sys -- (w810obex)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\w810mgmt.sys -- (w810mgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\w810mdm.sys -- (w810mdm)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\w810mdfl.sys -- (w810mdfl)
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\ixoue.sys -- (prwkp)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1340620678_999120
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1340620678_999120
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=7&systemid=2&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-329068152-790525478-839522115-1004\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
IE - HKU\S-1-5-21-329068152-790525478-839522115-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=823c3c7900000000000000221574ca5f
IE - HKU\S-1-5-21-329068152-790525478-839522115-1004\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://home.myplaycity.com/results.php?category=web&s={searchTerms}
IE - HKU\S-1-5-21-329068152-790525478-839522115-1004\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=7&systemid=2&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-329068152-790525478-839522115-1004\..\SearchScopes\{E1C3B909-6CF6-492C-87E0-B5626C992329}: "URL" = http://search.freecause.com/search?ourmark=4&fr=freecause&ei=utf-8&type=63009&p={searchTerms}
IE - HKU\S-1-5-21-329068152-790525478-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1340620678_999120
IE - HKU\S-1-5-21-329068152-790525478-839522115-1004\..\URLSearchHook: - No CLSID value found
IE - HKU\S-1-5-21-329068152-790525478-839522115-1004\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - SOFTWARE\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}\InprocServer32 File not found
[2012-01-19 11:33:37 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Documents and Settings\Monika22\Dane aplikacji\Mozilla\Firefox\Profiles\fzskwltr.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7}
[2012-01-21 20:49:49 | 000,000,000 | ---D | M] (Wincore Mediabar) -- C:\Documents and Settings\Monika22\Dane aplikacji\Mozilla\Firefox\Profiles\fzskwltr.default\extensions\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c}
[2012-06-03 12:47:31 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Monika22\Dane aplikacji\Mozilla\Firefox\Profiles\fzskwltr.default\extensions\ffxtlbr@babylon.com
[2012-05-01 14:32:36 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Documents and Settings\Monika22\Dane aplikacji\Mozilla\Firefox\Profiles\fzskwltr.default\extensions\ffxtlbr@funmoods.com
[2010-12-13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml
[2012-01-21 20:49:43 | 000,002,511 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - No CLSID value found.
O2 - BHO: (no name) - {B939CF93-F2CB-443d-956C-DC523D85C9DB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuze.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-329068152-790525478-839522115-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-329068152-790525478-839522115-1004\..\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files\Vuze_Remote\tbVuze.dll File not found
O4 - HKLM..\Run: [wfapigp] C:\Documents and Settings\Monika22\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3132\wfapigp.exe ()
O4 - HKU\S-1-5-21-329068152-790525478-839522115-1004..\Run: [AdobeBridge] File not found
O33 - MountPoints2\{421d5d36-d84a-11de-ac11-00221574ca5f}\Shell\AutoRun\command - "" = K:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe
O33 - MountPoints2\{421d5d36-d84a-11de-ac11-00221574ca5f}\Shell\open\command - "" = K:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe
O20 - AppInit_DLLs: (e:\wszyst~1\programy\bearsh~1\mediabar\datamngr\datamngr.dll) - File not found
O20 - AppInit_DLLs: (e:\wszyst~1\programy\bearsh~1\mediabar\datamngr\iebho.dll) - File not found
[2012-07-31 16:57:21 | 000,000,000 | ---D | C] -- C:\Program Files\Funmoods
[2012-07-30 19:37:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Monika22\Dane aplikacji\hellomoto
[2012-07-31 16:57:24 | 000,302,425 | ---- | C] () -- C:\Documents and Settings\Monika22\Ustawienia lokalne\Dane aplikacji\funmoods-speeddial.crx
[2012-07-31 16:57:23 | 000,031,470 | ---- | C] () -- C:\Documents and Settings\Monika22\Ustawienia lokalne\Dane aplikacji\funmoods.crx
[2012-07-30 21:49:15 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\lwyo.sys
[2009-08-08 10:11:06 | 000,002,045 | -H-- | C] () -- C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\whlb32g.dll
@Alternate Data Stream - 971 bytes -> C:\Documents and Settings\All Users.WINDOWS\Pulpit:$SS_DESCRIPTOR_LBP6VPVFLVGVVFB84LTSUTB92PFNPC7BPV4XFJDMNGTFB5V5NBJ5TBBJMT9Y0N96GMP3V0GRUEF39X8XHH0TCFUL44FTBX4MLSWPBXRTF6VEKLFEJK35PNX0WHNGT9LSVEVF1VTVVTVXVVD
@Alternate Data Stream - 133 bytes -> C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP:0295CBF7
@Alternate Data Stream - 130 bytes -> C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP:11A42F4E
@Alternate Data Stream - 128 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:A5B56640
@Alternate Data Stream - 116 bytes -> C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP:57D54F2A
@Alternate Data Stream - 115 bytes -> C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP:2C22C34B
@Alternate Data Stream - 112 bytes -> C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP:007D45CF
@Alternate Data Stream - 102 bytes -> C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP:90B52091

:Files
C:\Documents and Settings\Monika22\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3132

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

odinstaluj w dodaj usuń : Conduit Engine oraz Windows Searchqu Toolbar

Użyj AdwCleaner i kliknij w nim Delete (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator)
Pokaż raport z niego

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).

[Monika1990]

to są kolejne raporty z OTL'u . nie wiem czy dobrze zrozumiałam ale po użyciu tego ADWCleaner żaden raport mi nie wyskoczył jeśli powinien wyskoczyc.

Dodano Dzisiaj, 11:20:
to jest chyba ten raport z czyszczenia więc dołączam.

Dodano Dzisiaj, 11:40:
wykonałam drugi raz skan przez adwcleaner . potem uruchomilam swój system i wyskoczył mi ten raport z tego programu. nie włączył mi sie juz ten wirus, . jak dodatkowo mam się przed nim chronić?

[wojtas]

nie używasz 2 antywirusów ?

O4 - HKLM..\Run: [avast] C:\Program Files\AVAST Software\Avast\avastUI.exe (AVAST Software)
O4 - HKLM..\Run: [AVG8_TRAY] C:\Program Files\AVG\AVG8\avgtray.exe (AVG Technologies CZ, s.r.o.)

usuń całkowicie jeden. proponuje zostawić Avasta

jak się chronić? uważać na co się w chodzi, i mieć zawsze zaktualizowany system

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKLM..\RunOnce: [removeSearchqutoolbar] cmd.exe /c RD /S /Q "C:\Program Files\Windows Searchqu Toolbar\Datamngr\ToolBar" File not found
O4 - HKCU..\RunOnce: [Report] C:\AdwCleaner[S1].txt ()

[/quote]

kliknij wykonaj skrypt.

*Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie )
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, gdy coś znajdzie pokaż raport, i usuń wszystko za pomocą tego programu )
* Skasuj stan przywracania systemu

Zaktualizuj zabezpieczenia:
>>> Java™ 6
>>> Adobe Flash Player
>>> Avast 7 (odinstaluj starszą wersję i zainstaluj nową)

Autor postu otrzymał pochwałę

[Monika1990]

usunełam już tego avg. skoro wpuścił mi takiego ukasha to musiał być słaby. a czy to sprzątanie i kasowanie stanu przywracania jest konieczne czy nie musze tego robic?

[wojtas]

przyda się

[Monika1990]

dzięki za pomoc;)