Wirus ukash

[karrot]

Witam. Ten wirus to już chyba plaga. Trochę dziwnie prosić o pomoc lecz samemu nic już nie zmajstruję. Od dawnych lat wychodzę z takich opresji "Ghostem", lecz tym razem chyba pora na przejrzenie mojego majstrowania w logach. Zapewne wyjdzie w nich parę dodatkowych ciekawostek ..chociaż każdy grubszy problem do tej pory traktowałem "Duszkiem" partycji systemowej, więc może nie jest tak źle.. Na zaś serdeczne dzięki za podpowiedzi !

Najciekawsze linijki z loga to chyba

Spoiler:

Kod: Zaznacz wszystko

[2012-08-17 23:14:37 | 000,026,838 | ---- | M] () -- C:\Windows\System32\jcsball.dat
[2012-08-17 23:14:37 | 000,006,454 | ---- | M] () -- C:\Windows\System32\jcsb.new
[2012-08-17 23:14:37 | 000,003,581 | ---- | M] () -- C:\Windows\System32\jerror.dat
[2012-08-17 23:14:20 | 000,024,944 | ---- | M] () -- C:\Windows\System32\drivers\GVTDrv.sys
[2012-08-17 23:14:20 | 000,000,004 | ---- | M] () -- C:\Windows\System32\GVTunner.ref
[2012-08-17 23:14:16 | 000,016,608 | ---- | M] (Windows (R) 2000 DDK provider) -- C:\Windows\gdrv.sys
[2012-08-17 23:14:01 | 000,001,032 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012-08-17 23:08:29 | 000,000,051 | ---- | M] () -- C:\ProgramData\ofpiufglduxuxdt
[2012-08-17 23:08:23 | 000,091,136 | ---- | M] (Hyundai) -- C:\ProgramData\wifjhtkw.exe
[2012-08-17 23:08:23 | 000,091,136 | ---- | M] (Hyundai) -- C:\Users\Bender\0.058522811206724534.exe

oraz

Spoiler:

Kod: Zaznacz wszystko

[2012-08-17 23:08:23 | 000,000,051 | ---- | C] () -- C:\ProgramData\ofpiufglduxuxdt

[wojtas]

odinstaluj : V9Software" = V9 HomeTool
Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1337784935_456187
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1337784935_456187
IE - HKU\S-1-5-21-1848486269-2507684271-631995896-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1337784935_456187
IE - HKU\S-1-5-21-1848486269-2507684271-631995896-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1337784935_456187
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://www.vnations.net/house.php"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=110004&babsrc=adbartrp&mntrId=bab2fd0b000000000000002719be1907&q="
[2012-05-25 13:26:02 | 000,000,000 | ---D | M] (Facemoods) -- C:\Users\Bender\AppData\Roaming\mozilla\Firefox\Profiles\ydfhhb86.default\extensions\ffxtlbr@Facemoods.com
[2012-05-25 13:26:02 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\Bender\AppData\Roaming\mozilla\Firefox\Profiles\ydfhhb86.default\extensions\ffxtlbr@funmoods.com
[2012-04-15 18:06:41 | 000,001,800 | ---- | M] () -- C:\Users\Bender\AppData\Roaming\Mozilla\Firefox\Profiles\ydfhhb86.default\searchplugins\funmoods.xml
[2012-04-21 19:52:56 | 000,000,792 | ---- | M] () -- C:\Users\Bender\AppData\Roaming\Mozilla\Firefox\Profiles\ydfhhb86.default\searchplugins\startsear.xml
[2012-05-23 16:55:35 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
O4 - HKU\S-1-5-21-1848486269-2507684271-631995896-1000..\Run: [wifjhtkwbadgrsu] C:\ProgramData\wifjhtkw.exe (Hyundai)
O4 - HKLM..\RunOnce: [InnoSetupRegFile.0000000001] "C:\Windows\is-N8NP4.exe" /REG File not found
[2012-08-17 23:08:29 | 000,091,136 | ---- | C] (Hyundai) -- C:\ProgramData\wifjhtkw.exe
[2012-08-17 23:08:29 | 000,000,000 | ---D | C] -- C:\ProgramData\txbbvceobhuvcof
[2012-08-17 23:08:21 | 000,091,136 | ---- | C] (Hyundai) -- C:\Users\Bender\0.058522811206724534.exe
[2012-08-17 23:14:01 | 000,001,032 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012-08-17 23:08:29 | 000,000,051 | ---- | M] () -- C:\ProgramData\ofpiufglduxuxdt
[2012-08-17 23:08:23 | 000,091,136 | ---- | M] (Hyundai) -- C:\ProgramData\wifjhtkw.exe
[2012-08-17 23:08:23 | 000,091,136 | ---- | M] (Hyundai) -- C:\Users\Bender\0.058522811206724534.exe
[2012-08-17 22:16:00 | 000,001,036 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012-08-17 23:14:21 | 000,026,838 | ---- | C] () -- C:\Windows\System32\jcsball.dat
[2012-08-17 23:14:21 | 000,006,454 | ---- | C] () -- C:\Windows\System32\jcsb.new
[2012-08-17 23:14:21 | 000,003,581 | ---- | C] () -- C:\Windows\System32\jerror.dat
[2012-07-02 19:32:53 | 000,107,520 | RHS- | C] () -- C:\Windows\System32\TAKDSDecoder.dll

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Użyj AdwCleaner i kliknij w nim Delete (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator)
Pokaż raport z niego

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzyła się po restarcie).

[karrot]

Ogromne dzięki za pomoc! chyba teraz postprzątać otl nalezy?

[wojtas]

*Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie )
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, gdy coś znajdzie pokaż raport, i usuń wszystko za pomocą tego programu )
* Skasuj stan przywracania systemu