Wirus ukash

[ksider]

Witam

Niestety ale mnie również dopadł ten wirus, także prosił bym o pomoc

załączam logi

[defacto19]

Odinstaluj:

SweetIM Toolbar for Internet Explorer 4.0
free-downloads.net Toolbar
SweetIM Toolbar Helper
DAEMON Tools Toolbar
uTorrentBar Toolbar

Plik:

C:\sccfg.sys

przeskanuj na https://www.virustotal.com/ i pokaż wynik.


Uruchom OTL i w sekcji (Własne opcje skanowania/Skrypt) wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva390.sys -- (XDva390)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=nv1&s={searchTerms}&f=4
IE - HKLM\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTor.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1330964216_693526
IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTor.dll (Conduit Ltd.)
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=nv1&s={searchTerms}&f=4
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=101570&tt=090212_noffx&babsrc=SP_ss&mntrId=6824619e0000000000001c659d239abc
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92823334101335854
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
[2011-10-19 00:49:18 | 000,000,000 | ---D | M] (free-downloads.net Toolbar) -- C:\Users\Mateusz\AppData\Roaming\mozilla\Firefox\Profiles\3nxusfv4.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949}
[2011-09-05 20:52:02 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Mateusz\AppData\Roaming\mozilla\Firefox\Profiles\3nxusfv4.default\extensions\DTToolbar@toolbarnet.com
[2012-02-17 15:50:27 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Mateusz\AppData\Roaming\mozilla\Firefox\Profiles\3nxusfv4.default\extensions\ffxtlbr@babylon.com
[2012-02-17 15:52:06 | 000,000,000 | ---D | M] (toolplugin) -- C:\Users\Mateusz\AppData\Roaming\mozilla\Firefox\Profiles\3nxusfv4.default\extensions\welcome@toolmin.com
[2012-02-17 15:50:20 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2011-11-28 19:45:55 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
[2012-02-17 15:52:06 | 000,000,158 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search the web.src
O4 - HKLM..\Run: [] File not found
O4 - HKCU..\Run: [ilnszfwvlhtjuha] C:\ProgramData\ilnszfwv.exe ()
O33 - MountPoints2\{7620b28e-d7f0-11e0-bbdd-5cac4ce026e7}\Shell - "" = AutoRun
O33 - MountPoints2\{7620b28e-d7f0-11e0-bbdd-5cac4ce026e7}\Shell\AutoRun\command - "" = F:\install.exe
O33 - MountPoints2\{9459a338-1fd9-11e1-9000-5cac4ce026e7}\Shell - "" = AutoRun
O33 - MountPoints2\{9459a338-1fd9-11e1-9000-5cac4ce026e7}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL I:\setup.hta
O33 - MountPoints2\{99e8cea6-d95b-11e1-be1e-f04da288ebe9}\Shell - "" = AutoRun
O33 - MountPoints2\{99e8cea6-d95b-11e1-be1e-f04da288ebe9}\Shell\AutoRun\command - "" = K:\unlock.exe autoplay=true
O33 - MountPoints2\{b4047842-fb03-11e0-bc5d-5cac4ce026e7}\Shell - "" = AutoRun
O33 - MountPoints2\{b4047842-fb03-11e0-bc5d-5cac4ce026e7}\Shell\AutoRun\command - "" = H:\setup\rsrc\Autorun.exe
O33 - MountPoints2\{b4047842-fb03-11e0-bc5d-5cac4ce026e7}\Shell\dinstall\command - "" = H:\Directx\dxsetup.exe
O33 - MountPoints2\{c3474bb4-4fd4-11e1-892f-5cac4ce026e7}\Shell - "" = AutoRun
O33 - MountPoints2\{c3474bb4-4fd4-11e1-892f-5cac4ce026e7}\Shell\AutoRun\command - "" = J:\AutoRun.exe
O33 - MountPoints2\{c3474bbb-4fd4-11e1-892f-5cac4ce026e7}\Shell - "" = AutoRun
O33 - MountPoints2\{c3474bbb-4fd4-11e1-892f-5cac4ce026e7}\Shell\AutoRun\command - "" = J:\AutoRun.exe

:Files
C:\Users\Mateusz\0.7810275066426774.exe
C:\ProgramData\zgdsrquvlakohfz
C:\ProgramData\wodlypcitpzxsqv
C:\ProgramData\ilnszfwv.exe
C:\Users\Mateusz\AppData\Local\promo.exe
C:\Users\Mateusz\AppData\Local\{813189D0-BD16-4E2E-9F26-6666E48B2921}
C:\Users\Mateusz\AppData\Local\Temp*.html

:Commands
[emptytemp]

Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, i kliknij skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

Autor postu otrzymał pochwałę

[ksider]

wydaje się że wszystko wróciło do normy wklejam log po skanie i raport

[defacto19]

Wszystko ładnie się usuneło, i po infekcji nie ma już śladu.
Została tylko drobna kosmetyka:

Uruchom OTL i w sekcji (Własne opcje skanowania/Skrypt) wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (aevlf5jj)
[2011-09-05 12:23:56 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Mateusz\AppData\Roaming\mozilla\Firefox\Profiles\3nxusfv4.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
O3 - HKLM\..\Toolbar: (toolplugin) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - C:\Users\Mateusz\AppData\Roaming\toolplugin\toolbar.dll File not found
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
O4 - HKLM..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
[2012-08-10 13:40:10 | 000,001,034 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012-08-08 16:00:02 | 000,001,038 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

:Commands
[emptytemp]

Kliknij wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie, i pokaż go na forum.

[ksider]

Załączam raport

Komputer chodzi jak nowy wielkie dzięki za pomoc

[defacto19]

Możemy przejść do finalizacji tematu:

Uruchom OTL i użyj opcji sprzątanie, to go usunie razem z jego kwarantanną.

Zainstaluj aktualizacje do programow wskazanych przez Security Check -> http://screen317.spywareinfoforum.org/
jako out of date.