Jak usunąć wirusa ukash?? (problem)

**Posty:** 8 · przez **fisherekgda** 11 Sie 2012, 15:12

Jak już zdążyłem zauważyć,to nie tylko mnie dotknął owy problem....Odpalam windowsa ( mam XP'ka),ładuje się pulpit,a za kilka chwil pojawia się komunikat od "policji".
500zł kary by odblokować itp. Z początku byłem trochę zaniepokojony,ale jak widzę to da się coś z tym zrobić, tak więc prosiłbym bardzo kogoś o pomoc,bo nie jestem ogarnięty w temacie OTL'a i nie wiem co mam usunąć,co po wklejać

...próbowałem "Hitmanempro",ale nie przyniosło to skutków....

Oto linki:

OTL http://wklej.org/id/808632/

Extras http://wklej.org/id/808634/

Z góry dziękuję i prosiłbym o jak najszybszą pomoc

**Posty:** 18165 · przez **wojtas** 11 Sie 2012, 15:29

odinstaluj : Ask Toolbar, Babylon toolbar on IE

Podłącz urządzenia które podłączasz do komputera (telefon, pendrive )

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
[2012-09-10 01:07:59 | 000,061,440 | ---- | M] () -- C:\Documents and Settings\fisk\0.05579031935457912.exe
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0AyE0D0Fzy0BtB0Czz0CyCyDzytN0D0Tzu0StBtCtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=597900693
IE - HKLM\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0AyE0D0Fzy0BtB0Czz0CyCyDzytN0D0Tzu0StBtCtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=597900693
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = http://search.babylon.com/?affID=113679&tt=3012_1&babsrc=HP_ss&mntrId=8463c659000000000000001a4df9b2c8
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0AyE0D0Fzy0BtB0Czz0CyCyDzytN0D0Tzu0StBtCtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=597900693
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=113679&tt=3012_1&babsrc=SP_ss&mntrId=8463c659000000000000001a4df9b2c8
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=IMB&o=15785&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=HQ&apn_dtid=YYYYYYYYPL&apn_uid=B9881D3E-1137-4886-AAE3-42F944C283C9&apn_sauid=7D13466D-B7EF-49C6-9711-79DDEAFF3C0C
IE - HKCU\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0AyE0D0Fzy0BtB0Czz0CyCyDzytN0D0Tzu0StBtCtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=597900693
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - prefs.js..backup.old.browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..backup.old.browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=113679&tt=3012_1&babsrc=HP_ss&mntrId=8463c659000000000000001a4df9b2c8"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Search"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0AyE0D0Fzy0BtB0Czz0CyCyDzytN0D0Tzu0StBtCtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=597900693"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=113679&tt=3012_1&babsrc=KW_ss&mntrId=8463c659000000000000001a4df9b2c8&q="
[2012-07-30 13:22:35 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Documents and Settings\fisk\Dane aplikacji\Mozilla\Firefox\Profiles\f6xu2kcd.default\extensions\ffxtlbr@funmoods.com
[2012-07-29 12:45:08 | 000,000,000 | ---D | M] (Yontoo) -- C:\Documents and Settings\fisk\Dane aplikacji\Mozilla\Firefox\Profiles\f6xu2kcd.default\extensions\plugin@yontoo.com
[2012-07-30 13:22:38 | 000,002,337 | ---- | M] () -- C:\Documents and Settings\fisk\Dane aplikacji\Mozilla\Firefox\Profiles\f6xu2kcd.default\searchplugins\Search.xml
[2012-07-29 12:44:47 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O3 - HKLM\..\Toolbar: (Funmoods Toolbar) - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\PROGRA~1\Funmoods\1.5.23.22\escorTlbr.dll File not found
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)
O4 - HKCU..\Run: [api32] C:\DOCUME~1\fisk\USTAWI~1\Temp\apiqq.exe File not found
O4 - HKCU..\Run: [EXPLORER.EXE] C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation)
O4 - HKCU..\Run: [hpqglfkislypgxn] C:\Documents and Settings\All Users\Dane aplikacji\hpqglfki.exe ()
O4 - HKCU..\Run: [jushed] C:\Documents and Settings\All Users\jushed.exe ( )
O4 - HKCU..\Run: [wsctf.exe] wsctf.exe File not found
O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation)
O32 - AutoRun File - [2012-09-11 23:29:45 | 000,000,061 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2012-01-23 22:28:47 | 000,000,051 | RHS- | M] () - D:\AUTORUN.FCB -- [ NTFS ]
O32 - Unable to obtain root file information for disk D:\
O33 - MountPoints2\{077bc3c6-b0e6-11e1-8bcc-e08e56039146}\Shell\AutoRun\command - "" = G:\EXPLORER.EXE
O33 - MountPoints2\{077bc3c6-b0e6-11e1-8bcc-e08e56039146}\Shell\explore\Command - "" = G:\EXPLORER.EXE
O33 - MountPoints2\{077bc3c6-b0e6-11e1-8bcc-e08e56039146}\Shell\open\Command - "" = G:\EXPLORER.EXE
O33 - MountPoints2\{7466ef50-9852-11e1-9d9d-806d6172696f}\Shell\AutoRun\command - "" = C:\9d6resf.exe -- [2010-10-22 15:27:52 | 000,162,304 | RHS- | M] ()
O33 - MountPoints2\{7466ef50-9852-11e1-9d9d-806d6172696f}\Shell\open\Command - "" = C:\9d6resf.exe -- [2010-10-22 15:27:52 | 000,162,304 | RHS- | M] ()
O33 - MountPoints2\{946fea00-cad6-11e1-8bdc-e7faba3bd3c9}\Shell\AutoRun\command - "" = G:\9d6resf.exe
O33 - MountPoints2\{946fea00-cad6-11e1-8bdc-e7faba3bd3c9}\Shell\open\Command - "" = G:\9d6resf.exe
O33 - MountPoints2\{c1dd2990-d5b1-11e1-8c26-001a4df9b2c8}\Shell\AutoRun\command - "" = G:\EXPLORER.EXE
O33 - MountPoints2\{c1dd2990-d5b1-11e1-8c26-001a4df9b2c8}\Shell\explore\Command - "" = G:\EXPLORER.EXE
O33 - MountPoints2\{c1dd2990-d5b1-11e1-8c26-001a4df9b2c8}\Shell\open\Command - "" = G:\EXPLORER.EXE
[2012-09-10 01:08:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\cawidioisyfevvo
[2012-09-02 15:56:14 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Ubisoft
[2012-07-16 22:26:23 | 000,347,136 | ---- | C] (NirSoft) -- C:\Documents and Settings\fisk\Ustawienia lokalne\Dane aplikacji\nircmd.exe
[2012-07-16 20:18:59 | 000,347,136 | RHS- | C] (NirSoft) -- C:\Documents and Settings\All Users\nircmd.exe
[2012-09-12 00:57:11 | 000,000,002 | ---- | M] () -- C:\Documents and Settings\All Users\timerxfile
[2012-09-12 00:57:11 | 000,000,002 | ---- | M] () -- C:\Documents and Settings\All Users\datesavefile
[2012-09-12 00:57:11 | 000,000,001 | ---- | M] () -- C:\Documents and Settings\All Users\varsavefile
[2012-09-10 01:08:04 | 000,000,051 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\dwsfmbgxulsrigg
[2012-09-10 01:07:59 | 000,061,440 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\hpqglfki.exe
[2012-09-11 23:30:00 | 000,000,232 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2012-07-16 22:26:23 | 000,004,768 | ---- | C] () -- C:\Documents and Settings\fisk\Ustawienia lokalne\Dane aplikacji\operaprefs.ini
[2012-07-16 20:18:59 | 000,566,784 | RHS- | C] ( ) -- C:\Documents and Settings\All Users\jushed.exe
[2012-07-16 20:18:59 | 000,004,768 | ---- | C] () -- C:\Documents and Settings\All Users\operaprefs.ini
[2012-07-30 13:18:40 | 000,384,844 | ---- | C] () -- C:\Documents and Settings\fisk\Ustawienia lokalne\Dane aplikacji\funmoods-speeddial.crx
[2012-07-30 13:18:39 | 000,031,465 | ---- | C] () -- C:\Documents and Settings\fisk\Ustawienia lokalne\Dane aplikacji\funmoods.crx

:Files
[override]
C:\WINDOWS\system32\EXPLORER.EXE
[stopoverride]
autorun.inf /alldrives
9d6resf.exe /alldrives

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Użyj AdwCleaner i kliknij w nim Delete (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator)
Pokaż raport z niego

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).