Wirus Ukash - jak usunąć?

[takisobiepiotrek 0]

Tak, znam

[filutka78 11]

-------------------->>@takisobiepiotrek

 

To w takim razie chyba wszystko już w porządku.

 

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

[takisobiepiotrek 0]

Ok. Dzięki wielkie!

[robert_rozmus 0]

dobra, wyskoczyło mi też coś takiego, nie jestem pedofilem, ani tym bardziej biegły w kwestiach oprogramowania, więc nie wiem, czy dobrze wykonałem te wszystkie logi, ale wierzę, że tak. Problem występuje tylko na moim użytkowniku (maciek), więc skanowanie siłą rzeczy zrobiłem na innym, ale zaznaczyłem, żeby przeszperał wszystkich.

OTL.Txt

[tomciorider 0]

--------------------------------->>>@Palusik

 

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

 

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Scriptem.

 

F.

 

****************************************************************************

 

--------------------------------->>>@trant

 

Jest OK.

Kończymy:

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

W Adw-Cleaner kliknij na przycisk Uninstall.

 

F.

 

****************************************************************************

 

--------------------------------->>>@ tomciorider

 

1) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

 

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Scriptem.

 

2) Użyj >Adw-cleaner (ściągnij na Pulpit i kliknij w nim Delete

Pokaż raport z niego C:\AdwCleaner[s1].txt

 

3) Zainstaluj nowszą wersję Javy:

>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1637588.html

zaznacz okienko przy: Accept License Agreement

kliknij: jre-7u5-windows-i586.exe, itd ...

 

F.

 

****************************************************************************

 

--------------------------------->>>@ takisobiepiotrek

 

aha, u Ciebie nic się nie da zrobić.

Spróbuj jeszcze zrobić logi z OTLPE >http://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujacych-windows/page__p__32551#entry32546

 

 

F.

 

 

Kimkolwiek jesteś to chylę czoła i wielkie dzięki za pomoc. U mnie już wszystko ok . Te raporty to mam pokazać co pisałaś? Pozdrawiam

[Kiciuk 0]

Włąśnie zrobiłeś bład.

Log ma być wykonany z zarażonego konta z trybu awaryjnego z obsługą sieci.

[robert_rozmus 0]

ok, dałem radę, teraz powinno być idealnie

OTL.Txt

[Kiciuk 0]

------------------------------>@robert_rozmus

1. Uruchom OTL i w okno Własne opcje skanowania /skrypt

 

Wklej

 

:OTL
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)
O4 - HKCU..\Run: [WinSyncMetastore] C:\Users\Maciek\AppData\Local\Microsoft\Windows\824\WinSyncMetastore.exe ()
@Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:42EB3EF1
:Files
C:\Users\Maciek\AppData\Roaming\hellomoto
C:\Users\Maciek\AppData\Local\Microsoft\Windows\824
:Commands
[emptytemp]

 

Kliknij Wykonaj skrypt

 

 

 

2.Po restarcie kliknij Sprzątanie

 

 

3.Wyskanuj system skanerem malwarebytes anti malware(odzruć ofertę testowa)

[robert_rozmus 0]

dzięki wielkie, wszystko WYDAJE SIĘ być ok. wklejam log z tego antywirusa, tak jakby ktoś chciał zerknąć i coś z tego wyczyta. To normalne, że po sprzątaniu OTL zniknął mi z dysku?

mbam-log-2012-08-05 (10-23-15).txt

[Kiciuk 0]

Normalne że zniknął.

USuń te śmieci wykryte przez mbam-a.

Teraz juz jest czysto.

Jeżeli masz w dodaj/usuń programy ask toolbar to go odinstaluj.

[blacksacrum 0]

Cześć forumowicze!

Jestem tutaj pierwszy raz i fajnie, że na Was trafiłam bo jestem podłamana.

Jakieś świnstwo wkradło się do mojego systemu i przy włączeniu pojawia się na moment biały pulpit, a potem kursor myszki ucieka w prawy dolny róg i za żadne skarby nie chce się ruszyć dalej.

Do wiadomości załączam mój log z otl.

Jesteście moją ostatnią deską ratunku - bo ja całkowicie jestem zielona.

Pozdrawiam.

OTL.Txt

[filutka78 11]

Nie masz infekcji "UKASH", więc dlaczego podpięłaś się pod ten temat?

 

1) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL

O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~1\BEARSH~2\MediaBar\ToolBar\BearshareMediabarDx.dll File not found

O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\5.bin\MGSBAR.DLL (My Global Search)

O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found.

O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\PROGRA~1\BEARSH~2\MediaBar\Datamngr\IEBHO.dll File not found

O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Asus\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found

O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~1\BEARSH~2\MediaBar\ToolBar\BearshareMediabarDx.dll File not found

O3 - HKLM\..\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\5.bin\MGSBAR.DLL (My Global Search)

O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-18272BE37E29} - No CLSID value found.

O3 - HKU\S-1-5-21-4170525577-788732018-777597724-1000\..\Toolbar\WebBrowser: (no name) - {2C688203-7EB3-4327-9995-1CB417BA23F9} - No CLSID value found.

O3 - HKU\S-1-5-21-4170525577-788732018-777597724-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.

O3 - HKU\S-1-5-21-4170525577-788732018-777597724-1000\..\Toolbar\WebBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\5.bin\MGSBAR.DLL (My Global Search)

O4 - HKLM..\Run: [] File not found

O4 - HKLM..\Run: [bearShare] "C:\Program Files\BearShare\BearShare.exe" /pause File not found

O4 - HKU\S-1-5-21-4170525577-788732018-777597724-1000..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h File not found

O4 - HKU\S-1-5-21-4170525577-788732018-777597724-1000..\Run: [bitComet] "C:\Program Files\BitComet\BitComet.exe" /tray File not found

O4 - HKU\S-1-5-21-4170525577-788732018-777597724-1000..\Run: [ChomikBox] D:\chomix\chomikbox.exe File not found

O4 - HKU\S-1-5-21-4170525577-788732018-777597724-1000..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found

O4 - HKU\S-1-5-21-4170525577-788732018-777597724-1000..\Run: [Java] C:\Users\Asus\AppData\Roaming\Microsoft\jusched.exe ()

O4 - HKU\S-1-5-21-4170525577-788732018-777597724-1000..\Run: [Legion] C:\Program Files\Legion\Legion.exe File not found

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI8CBC~1\OFFICE11\EXCEL.EXE/3000 File not found

O33 - MountPoints2\{ea7ffb64-b63c-11dd-8ab6-0022151f22e4}\Shell\Auto\command - "" = fun.xls.exe

O33 - MountPoints2\{ea7ffb64-b63c-11dd-8ab6-0022151f22e4}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

 

:Commands

[emptytemp]

 

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Scriptem.

 

2) Użyj >Adw-cleaner (ściągnij na Pulpit i kliknij w nim Delete

Pokaż raport z niego C:\AdwCleaner[s1].txt

 

F.

[Alek063 0]

Witam mam podobny problem co inni proszę o pomoc Dzięki pozdrawiam

OTL.Txt

[Kiciuk 0]

----------------------------->@Alek063

1. Uruchom OTL i w okno Własne opcje skanowania /skrypt

 

Wklej

 

:OTL
O3 - HKLM\..\Toolbar: (Gutscheinmieze) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - C:\Users\Andrzej\AppData\Roaming\Gutscheinmieze\toolbar.dll (Synatix GmbH)
O3 - HKCU\..\Toolbar\WebBrowser: (Gutscheinmieze) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - C:\Users\Andrzej\AppData\Roaming\Gutscheinmieze\toolbar.dll (Synatix GmbH)
O4 - HKCU..\Run: [WSTPager] C:\Users\Andrzej\AppData\Local\Microsoft\Windows\2010\WSTPager.exe ()
@Alternate Data Stream - 150 bytes -> C:\ProgramData\Temp:5D7E5A8F
@Alternate Data Stream - 149 bytes -> C:\ProgramData\Temp:93EB7685
@Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:4D066AD2
@Alternate Data Stream - 143 bytes -> C:\ProgramData\Temp:CDFF58FE
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:E36F5B57
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:E1F04E8D
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:0B9176C0
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:E3C56885
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:798A3728
:Files
C:\Users\Andrzej\AppData\Local\Microsoft\Windows\2010
C:\Users\Andrzej\AppData\Roaming\hellomoto
:Commands
[emptytemp]

 

Kliknij Wykonaj skrypt

 

 

2.Użyj adwcleaner-a

 

http://general-changelog-team.fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

 

Opcja delete

 

 

3.Wyskanuj system skanerem malwarebytes anti malware(odrzuć ofertę testowa)

[The Gimp 0]

Przy najbliższej okazji znów użyj Dr.Webcureit - trzeba sprawdzić, czy na pewno wirus już nie istnieje.

Jakoś nie chce mi się wierzyć w to, że tak łatwo dał się usunąć.

Jeśli będzie dalej, to podam inne skanery.

 

F.

 

Witam ponownie.

Przypominam sie po tygodniu Droga Filutko. Moje perypetie z ukashem zaczely sie od postu #389 w tym watku. Dr Web wykryl ponownie sectora, szczegoly w zalaczniku, a takze swiezy raport z OTL. Wlascicielka komputera mowi, ze przestal jej dzialac modem na usb po tych walkach z rejestrem. Po ukashu nie widac sladu, ale warto doprowadzic to do konca jesli znajdziesz chwile czasu. Z gory dziekuje

Piotr

OTL.Txt

dr.txt

[filutka78 11]

---------------->>@The Gimp

 

Nie wiem, co było najpierw: Dr.Web czy OTL.

W każdym bądź razie w logu OTL SALITY jest widoczny.

Jeśli OTL był robiony po Dr.Web, to:

Jeśli znasz się na komputerach, to najlepszym sposobem jest wypalenie na innym komputerze bootowalnej płytki z AV, i użycie jej na swoim komputerze >http://www.fixitpc.pl/index.php?/topic/102-plyty-startowe-ze-skanerami/

Jeśli nie znasz się zbytnio na komputerach, to pozostaje tradycyjne usuwanie:

1) Użyj Sality Killer -->http://support.kaspersky.com/downloads/utils/salitykiller.exe

Link zapasowy, gdyby wirus zablokował stronę narzędzia: > http://www.mediafire.com/?5e3b0870wm7xefk

2) Użyj Sality Remover/rmsality>http://www.softpedia.com/progDownload/Win32-Sality-Remover-Download-105925.html

Link zapasowy >http://www.mediafire.com/?fshl3w75ipoe3sh

3) Użyj >http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html

Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >>http://www.mediafire.com/?d6lt86rz23k161q

4) wszystkie skany powtarzaj po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.

5) sprawdź, czy Tryb Awaryjny nie jest uszkodzony (F8 przed startem Systemu)

6) wtedy dasz logi z OTL - OTL.txt i Extras.txt (czyli przed skanem musisz zaznaczyć "Użyj filtrowania" w polu "Rejestr-skan dodatkowy).

 

F.

[The Gimp 0]

Byl DrWeb, potem OTL, wiec sality wciaz buszuje.

Nie wypada mi napisac, ze znam sie na komputerach, bo wtedy sam bym umial pisac te skrypty Ale plyte bootowalna moglbym trzasnac, tylko o ktorej mowa w tym przypadku?

 

Wspominasz tryb awaryjny, czy zakladasz ze mam wykonywac te czynnosci w nim, bo jak dotad dzialam w pelnym win.

 

1. sality killer nic nie znalazl (wczesniej tez byl uzywany bezowocnie)

2. remover wykryl 74 zainfekowane pliki i wyleczyl

w drugim biegu 14

w trzecim 4

 

3. czy dr web ma byc szybi scan czy jakies opcje bogatsze? (pytam, bo i tak trwa to ponad 20 min w wersji szybkiej)

[Kiciuk 0]

Tu nie chodzi o to żebyś się znał poprostu pobierasz płytkę dr.web live cd i wypalasz ją z opcji "nagraj obraz dysku" póżniej w laptopie przestawiasz bootowanie na dvd i bootujesz z płyty dr,weba.

Pamiętaj że płyte masz tworzyć na nie zainfekowanym komputerze.

dr.web-em to robisz pełny skan

[The Gimp 0]

Heh, pytanie czy moj jest niezainfekowany ciekawi mnie rowniez. Zamieszczam logi z potencjalnie zdrowego kompa w zalaczniku.

extras: http://wklej.org/id/805444/

 

Co do tych skanerow to chyba sie nie uda, bo wciaz wykrywa obecnosc mimo kolejnych iteracji czyszczenia. Czyli pozostanie mi odpalic z plyty.

OTL.Txt

[filutka78 11]

---------------->>@The Gimp

 

W Twoich logach nic nie wskazuje na istnienie jakiejkolwiek infekcji.

 

F.

[The Gimp 0]

Super!

Tymczasem po wielokrotnym przetrzepaniu skanerami wydaje sie ze sality sie juz nie namnaza, oto logi:

 

http://wklej.org/id/805498/

http://wklej.org/id/805500/

[filutka78 11]

-------------->>@The Gimp

 

W tych logach już nie widać śladów SALITY.

 

Przy okazji:

Użyj >Adw-cleaner (ściągnij na Pulpit i kliknij w nim Delete

Pokaż raport z niego C:\AdwCleaner[s1].txt

 

F.

[The Gimp 0]

Dodaje raport. Na samym poczatku polecalas tez uzycie USBfix i instalacje javy, po uporaniu sie z sality i ukash, czy juz pora na te kroki?

AdwCleanerS1.txt

[filutka78 11]

--------------------------------->>>@The Gimp

 

Na samym poczatku polecalas tez uzycie USBfix i instalacje javy, po uporaniu sie z sality i ukash, czy juz pora na te kroki?

Jeśli już nie ma SALITY, to tak, pora na to.

 

W Adw-Cleaner kliknij na przycisk Uninstall.

 

F.

[The Gimp 0]

Odpalilem USBfix, potem dogralem jave oraz finalny scan OTL

 

usb: http://wklej.org/id/805704/

otl: http://wklej.org/id/805702/

extras: http://wklej.org/id/805703/

 

Czy to wyglada juz zdrowo? Planuje instalacje swiezego avasta i oddanie laptopa wlascicielce