Wirus Ukash - jak usunąć?

[Eminem2345 0]

OK, Podczas skanowania OTL złapał "Freeza" przy driverze AVG(Coś tam) ale się odwiesił - jeżeli będzie czegoś jeszcze brakowało w logu zrobię ponowny skan. I czy ten wirus wysyła dane,hasła , loginy do "Bazy" hakerów i czy on jest keyloggerem? I czy robić reinstal systemu z tego powodu. Dziekuje za odpowiedz a o to LOGI z OTL'a:

12202012_231250.rar

OTL2.rar

[filutka78 11]

---------->>@Eminem2345

 

Jest OK, kończymy:

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

Nie zapomnij o odinstalowaniu AVG Secure Search (tylko nie pomyl z AVG 20013!)

 

czy ten wirus wysyła dane,hasła , loginy do "Bazy" hakerów i czy on jest keyloggerem?

Nie, nic nie wysyła, nie jest Keyloggerem.

 

I czy robić reinstal systemu z tego powodu.

Nie warto z powodu tej prymitywnej infekcji formatować dysku.

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[Eminem2345 0]

---------->>@Eminem2345

 

Jest OK, kończymy:

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

Nie zapomnij o odinstalowaniu AVG Secure Search (tylko nie pomyl z AVG 20013!)

 

 

Nie, nic nie wysyła, nie jest Keyloggerem.

 

 

Nie warto z powodu tej prymitywnej infekcji formatować dysku.

 

F.

 

>UKASH-uniwersalne-usuwanie

.

Dzięki wielkie! Wesołych Świąt życzę,czy instalować najnowszą Jave itp.? bo chyba mi usunęło. I czy usuwać rejestr CCleanerem teraz?

[filutka78 11]

--------->>@Eminem2345

 

czy instalować najnowszą Jave itp.? bo chyba mi usunęło.

Dlaczego sądzisz, że usunęło?

W logu Extras.txt było:

"{26A24AE4-039D-4CA4-87B4-2F86417010FF}" = Java 7 Update 10 (64-bit)

a ja nie dawałam Javy do usuwania (a tylko jej stare ActiveX)

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[Eminem2345 0]

--------->>@Eminem2345

 

 

Dlaczego sądzisz, że usunęło?

W logu Extras.txt było:

 

a ja nie dawałam Javy do usuwania (a tylko jej stare ActiveX)

 

F.

 

>UKASH-uniwersalne-usuwanie

.

 

Wybacz ,wczoraj pokazywało mi na https://www.mozilla.org/pl/plugincheck/ ,że moja JAva jest nie aktualna (a ją aktulizowałem przed skanem z OTL) teraz wszystko jest dobrze. Jeszcze raz dzięki wielkie!

[dragoth150 0]

Witam

Również mam problem z ukash i dlatego zwracam się do Was z prośbą o pomoc w usunięciu wirusa.

Mam pytanie, czy jest konieczność zmiany haseł internetowych?

Poniżej dodaje załączniki.

 

Sorry ale w jednym mi się nie zmieściło, bo pliki mają powyżej 100KB.

OTL.Txt

Extras.Txt

[filutka78 11]

---------->>@dragoth150

 

Sądząc po logach, to nie masz ani tej infekcji, ani żadnej innej.

Prawdopodobnie usunęło go któreś z użytych przez Ciebie narzędzi (ComboFix, SpyHunter, Avast)

 

czy jest konieczność zmiany haseł internetowych?

Nie potrzeba, to zbyt prymitywna infekcja.

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[dragoth150 0]

Avast to nawet nie zareagował podczas infekcji

Podczas skanu SpyHunter pokazuje mi że mam zainfekowany komputer. Ale skoro w OTL nic nie wykazało to jestem spokojny

Wielkie dzięki za pomoc.

[filutka78 11]

--------->>@dragoth150

 

Gdzie widzi to Spy Hunter?

 

F.

[dragoth150 0]

Teraz się przyjrzałem że wykrywa tylko ciasteczka. A ukash'a musiał usunąć ComboFix. Jeszcze jedno, jak należy poprawnie odinstalować ComboFix bo wiem że mocno ingeruje w system.

[raveno 0]

Witam,

 

dzisiaj zaatakował mnie ten wirus. Próbowałem usunąć metoda uniwersalną. Skutek jest taki, że nie pojawia się już ekran blokady, ale komputer dalej jest zablokowany. Załączam loga z OTL. Proszę o pomoc. Dzięki z góry.

 

Pzdr

OTL.Txt

[filutka78 11]

------->>@raveno

 

to wygląda tak, jakbyś w ogóle nie próbował uniwersalnego usuwania, lub infekcja zaraz powróciła

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2012-12-13 18:42:51 | 000,368,102 | ---- | C] () -- C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\funmoods-speeddial_sf.crx

[2012-12-13 18:42:50 | 000,031,465 | ---- | C] () -- C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\funmoods.crx

O4 - HKLM..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" File not found

[2012-05-30 15:10:04 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml

[2012-12-12 20:59:42 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com

[2012-12-16 19:03:33 | 000,002,308 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\bfnpvppl.default\searchplugins\askcom.xml

[2012-12-17 21:02:42 | 000,002,432 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\bfnpvppl.default\searchplugins\babylon1.xml

[2012-12-17 21:01:26 | 000,002,349 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\bfnpvppl.default\searchplugins\BrowserProtect.xml

[2012-12-13 18:43:00 | 000,002,345 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\bfnpvppl.default\searchplugins\Funmoods.xml

[2012-12-17 21:01:46 | 000,000,000 | ---D | M] (Babylon Toolbar) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\bfnpvppl.default\Extensions\ffxtlbr@babylon.com

[2012-12-16 19:03:33 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\bfnpvppl.default\Extensions\toolbar@ask.com

FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=&locale=&apn_uid=90421311-ED44-4943-A87D-52ED080FC198&apn_ptnrs=U3&apn_sauid=7C38518A-D673-4C1B-AABD-2FE368BDCCEE&apn_dtid=OSJ000YYPL&&q="

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Ask.com"

FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"

IE - HKCU\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}

DRV - File not found [File_System | On_Demand | Stopped] -- C:\Program Files\Anti Trojan Elite\ATEPMon.sys -- (ATE_PROCMON)

DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\DgiVecp.sys -- (DgiVecp)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\SystemRequirementsLab\cpudrv.sys -- (cpudrv)

DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\mdmxsdk.sys -- (mdmxsdk)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\w39n51.sys -- (w39n51)

DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tifm21.sys -- (tifm21)

DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT)

DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\s24trans.sys -- (s24trans)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\LV561AV.SYS -- (PID_0928)

SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.3.2\ToolbarUpdater.exe -- (vToolbarUpdater13.3.2)

 

:Files

C:\Documents and Settings\User\Menu Start\Programy\Autostart\runctf.lnk

C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad

C:\Documents and Settings\User\wgsdgsdgdsgsd.dll

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).

Kliknij w nim Usuń

Pokaż raport z niego C:\AdwCleaner[s1].txt

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[filutka78 11]

******************************************************************************************************************

 

-------------->>@dragoth150

jak należy poprawnie odinstalować ComboFix bo wiem że mocno ingeruje w system.

Owszem, ingeruje w System, ale tylko wtedy, gdy jest uruchomiony. Jeśli nie uruchomisz go, to nie ingeruje w System.

 

>START >>> URUCHOM >>> wklej i wywołaj polecenie "c:\tu wpisz ścieżkę\ComboFix.exe" /uninstall

np. "c:\ComboFix\ComboFix.exe" /uninstall

 

F.

[raveno 0]

Dzieki za szybka pomoc. Ponizej wklejam logi.

 

pzdr

 

tutaj jeszcze log ze skryptu

OTL2.txt

AdwCleanerS2.txt

skrypt.txt

[filutka78 11]

-------->>@raveno

 

Jest OK, kończymy:

W Adw-Cleaner kliknij na przycisk Odinstaluj

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

Jednocześnie zniknie ComboFix.

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[raveno 0]

Dzieki jeszcze raz, jestes w porzadku:)

[dragoth150 0]

Wielkie dzięki. Naprawde szybka i konkretna pomoc

[jedraz 0]

http://wklej.org/id/903569/ log

http://wklej.org/id/903570/ extras

 

Witam ponownie, pare miesiecy temu bawilem sie z ukashem dzis znowu mnie zaskoczlo tylko ze PAYSAFE. dziwna sprawa b pokazalo mi sie to co zawsze,wylogowalem sie i ekran wirusa juz sie nie pokazal.. ale dla sprawdze nia prosze o pomoc FILUTKA jestes naszym zbawieniem hehe

[filutka78 11]

--------->>@jedraz

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\ProgramData\dsgsdgdsgdsgw.pad

C:\ProgramData\dsgsdgdsgdsgw.js

C:\Users\jedraz\wgsdgsdgdsgsd.dll

 

:OTL

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 [2012/11/18 10:32:20 | 000,000,000 | ---D | M]

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 [2012/11/18 10:32:20 | 000,000,000 | ---D | M]

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=2&cf=c367910e-ea18-11e1-97be-206a8a484453

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[agata03 0]

Witam,

mam problem z ukashem. Próbowałam usunąć metodą uniwersalną, ale niestety nie zadziałała.

Proszę o pomoc!

OTL.Txt

[filutka78 11]

---------->>@agata03

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

SRV - [2012-12-22 12:26:13 | 000,194,936 | ---- | M] (Корпорация Майкрософт) [Auto | Stopped] -- C:\Users\UZYTKO~1\wgsdgsdgdsgsd.exe -- (Winmgmt)

O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.

O4 - HKLM..\Run: [] File not found

O4 - HKLM..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" File not found

O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Reg Error: Key error.)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)

O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Java Plug-in 1.5.0)

O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)

 

:Files

C:\Users\Uzytkownik\wgsdgsdgdsgsd.exe

C:\ProgramData\dsgsdgdsgdsgw.pad

C:\ProgramData\dsgsdgdsgdsgw.js

C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

C:\found.000

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[agata03 0]

Wrzucam pliki po wykonaniu skryptu

OTL.Txt

12222012_1706361.txt

[filutka78 11]

--------->>@agata03

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[agata03 0]

Dodaję nowe logi

OTL2.Txt

12222012_1755441.txt

[filutka78 11]

--------->>@agata03

 

Jest OK, kończymy:

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

 

>UKASH-uniwersalne-usuwanie

.