Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

Rafik97

Wirus Ukash - jak usunąć?

Rekomendowane odpowiedzi

---------->>@damian205

 

Jest OK, kończymy:

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-21-1202660629-484763869-682003330-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{C11483F7-D7D8-4804-98D8-6055470BB989}"=-

[HKEY_USERS\S-1-5-21-1202660629-484763869-682003330-1003\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}"=-

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>

plik uruchom (dwuklik i OK).

 

W Adw-Cleaner kliknij na przycisk Odinstaluj

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

 

>UKASH-uniwersalne-usuwanie

 

*************************************************************************************************

 

---------->>@kruti

 

Sądząc po tym logu - to infekcja została usunięta.

Czy są jeszcze jakieś jej objawy?

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Faktycznie - wszedłem w normalny tryb, podłączyłem sieć i nie ma blokady. Nie wiem jak to sie stało... chociaż teraz sobie przypominam, że tuż przed zablokowaniem avast dał komunikat o kwarantannie pliku (ściągałem pdfa z sieci).

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Dzień dobry.

 

Ja też mam problem z tym wirusem. Nie znam się kompletnie na komputerach, próbowałam go dziś włączyć i klops.

 

Ściągnęłam ten program OTL i zrobiłam skan. Czy teraz mam wrzucić na forum te dwa pliki txt, które wyświetliły mi się po zakończeniu skanu i ktoś genialny wyjaśni mi co mam dalej zrobić? :(

 

Jeśli to pytanie było idiotyczne, to przepraszam.

HELP!

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

--------->>@Zainfekowany

 

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\ProgramData\dsgsdgdsgdsgw.js

C:\Users\we\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

C:\ProgramData\dsgsdgdsgdsgw.pad

C:\Users\we\wgsdgsdgdsgsd.dll

 

:OTL

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.9.2)

O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.9.2)

O4 - HKLM..\Run: [ROC_roc_ssl_v12] C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe ()

O4 - HKLM..\Run: [vProt] C:\Program Files (x86)\AVG Secure Search\vprot.exe ()

O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\13.2.0.5\AVG Secure Search_toolbar.dll ()

O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found

O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\13.2.0.5\AVG Secure Search_toolbar.dll ()

O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)

[2012-11-24 22:06:51 | 000,003,571 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml

[2012-09-04 16:06:43 | 000,002,342 | ---- | M] () -- C:\Users\we\AppData\Roaming\mozilla\firefox\profiles\lseft683.default\searchplugins\askcom.xml

[2012-04-24 21:50:42 | 000,000,925 | ---- | M] () -- C:\Users\we\AppData\Roaming\mozilla\firefox\profiles\lseft683.default\searchplugins\conduit.xml

[2011-06-03 13:12:27 | 000,002,059 | ---- | M] () -- C:\Users\we\AppData\Roaming\mozilla\firefox\profiles\lseft683.default\searchplugins\daemon-search.xml

[2012-03-22 17:05:10 | 000,001,565 | ---- | M] () -- C:\Users\we\AppData\Roaming\mozilla\firefox\profiles\lseft683.default\searchplugins\web-search.xml

[2011-06-11 00:20:02 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\we\AppData\Roaming\mozilla\Firefox\Profiles\lseft683.default\extensions\engine@conduit.com

[2012-11-07 22:10:00 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\we\AppData\Roaming\mozilla\Firefox\Profiles\lseft683.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}

[2012-09-04 19:36:57 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\we\AppData\Roaming\mozilla\Firefox\Profiles\lseft683.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}

FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\13.2.0\\npsitesafety.dll ()

FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=2&q="

FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Ask.com"

FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentBar Customized Web Search"

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}"

FF - prefs.js..browser.search.order.1: "Ask.com"

IE - HKU\S-1-5-21-4149630183-1086843384-2693637916-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=100581

IE - HKU\S-1-5-21-4149630183-1086843384-2693637916-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={5BE29C09-F2BD-4DDC-BFBF-25C81E6FA2A6}&mid=e56db3f410874b358f0fae9d6af040da-aabf3c6664dc2614a4789b9cb78323a22801548d&lang=pl&ds=ik011&pr=&d=2012-11-23 15:51:25&v=13.2.0.4&sap=dsp&q={searchTerms}

IE - HKU\S-1-5-21-4149630183-1086843384-2693637916-1000\..\SearchScopes\{A6877F25-7CD4-4628-96A6-7CA7DB3AA97E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=SGT&o=APN10374&src=kw&q={searchTerms}&locale=&apn_ptnrs=^AHO&apn_dtid=^YYYYYY^YY^PL&apn_uid=cf2bc92d-37b3-43f1-9e96-58c8b2528a6d&apn_sauid=E21161FF-5FC0-4EFC-8664-5E91F1B17C0C

IE - HKU\S-1-5-21-4149630183-1086843384-2693637916-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms}

IE - HKU\S-1-5-21-4149630183-1086843384-2693637916-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1333676183_934765

IE - HKU\S-1-5-21-4149630183-1086843384-2693637916-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?l=dis&o=APN10374&gct=hp

IE - HKU\S-1-5-21-4149630183-1086843384-2693637916-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found

IE - HKU\S-1-5-21-4149630183-1086843384-2693637916-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}

SRV - [2012-11-23 15:51:05 | 000,711,112 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe -- (vToolbarUpdater13.2.0)

MOD - [2012-11-24 22:06:42 | 000,997,320 | ---- | M] () -- C:\Program Files (x86)\AVG Secure Search\vprot.exe

MOD - [2012-11-23 15:51:05 | 000,566,728 | ---- | M] () -- C:\Program Files (x86)\Common Files\AVG Secure Search\DNTInstaller\13.2.0\avgdttbx.dll

MOD - [2012-11-23 15:51:05 | 000,134,600 | ---- | M] () -- C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\13.2.0\SiteSafety.dll

 

:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).

Kliknij w nim Usuń

Pokaż raport z niego C:\AdwCleaner[s1].txt

 

F.

 

>UKASH-uniwersalne-usuwanie

 

********************************************************************

 

--------->>@Bubul

 

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.js

C:\Documents and Settings\EeePC\Menu Start\Programy\Autostart\runctf.lnk

C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad

C:\Documents and Settings\EeePC\Ustawienia lokalne\Temp\wpbt0.dll

 

:OTL

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)

O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found

O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found

DRV - File not found [File_System | On_Demand | Stopped] -- system32\DRIVERS\srv.sys -- (Srv)

 

:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

2) Do >SystemLook wklej:

:regfind

wpbt0.dll

Naciśnij Look i pokaż raport.

 

3) Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline)

 

F.

 

>UKASH-uniwersalne-usuwanie

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

@filutka78

 

Wykonałem skrypt, po restarcie otrzymałem log oraz teraz zaczęło się pojawiać takie okienko - znaczy jakiś błąd ze brak jakiegoś biblioteki.

 

SS: http://img202.imageshack.us/img202/9325/83590658.jpg

 

Log po wykonaniu skryptu: http://wklej.org/id/905876/

 

Log Adw-cleaner: http://wklej.org/id/905877/

 

Logi OTL:

OTL: http://wklej.org/id/905880/

Extras: http://wklej.org/id/905882/

 

Ogólnie wielkie dzięki za pomoc:)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

---------->>@Zainfekowany

 

Komunikat wyskakuje, bo jeden plik infekcji jest w dalszym ciągu, i to on szuka tego "wgsdgs..."

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\Users\we\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

F.

 

>UKASH-uniwersalne-usuwanie

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

--------->>@Zainfekowany

 

Jest OK, kończymy:

W Adw-Cleaner kliknij na przycisk Odinstaluj

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

 

>UKASH-uniwersalne-usuwanie

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

---------->>@Bubul

 

1) Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
 00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
 00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
 00,6c,00,6c,00,00,00

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

 

2) Zrób nowy log z SystemLook, na takim samym ustawieniu, jak poprzednio.

 

F.

 

>UKASH-uniwersalne-usuwanie

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

---------->>@Bubul

 

 

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
 00,6c,00,6c,00,00,00

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>

plik uruchom (dwuklik i OK).

 

Powinno już być OK.

 

Potem kończymy:

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

SystemLook - usuń ręcznie

 

F.

 

>UKASH-uniwersalne-usuwanie

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Witam, mam problem z tym wirusem policji. Ściągnełem program OTL lecz nie wiem co mam zrobić aby uzyskać ten kod co podają osoby. Bardzo bym sie cieszył gdyby ktoś napisał jak to zrobić.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Filutka78: BARDZO BARDZO BARDZO CI DZIĘKUJĘ!!! JESTEŚ GENIUSZEM! NIE MAM POJĘCIA, CO TO ZA MAGIA, KTÓRĄ USKUTECZNIASZ, ALE JESTEM POD WRAŻENIEM!!

Mam u Ciebie dług wdzięczności. To niesamowite, że chce Ci się (i to jeszcze w święty dzień) tak pomagać innym! Jeszcze raz dziękuję! <3 <3 <3

 

Witam, mam problem z tym wirusem policji. Ściągnełem program OTL lecz nie wiem co mam zrobić aby uzyskać ten kod co podają osoby. Bardzo bym sie cieszył gdyby ktoś napisał jak to zrobić.

 

Zrób skan tym programem. Potem wyskoczą Ci dwa pliki txt - pt. OTL i extras. Skopiuj te skrypty do wklej.org i wrzuć tutaj na forum. Potem powinieneś dostać wskazówki od jakiegoś geniusza komputerowego z poleceniami co robić, krok po kroku.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Sluchajcie ja mam gorszy problem, mi wyskauje ten komunikat "polska policja departament" i nie mam nawet jak zrobić logów ponieważ, przy uruchamianiu w trybie normalnym czy też awaryjnym z siecią/lub bez sieci wyskakuję od razu ten komunikat blokując dostęp do komputera przed uiszczeniem "opłaty" wpisując kod po opłaceniu 400zł, jak wy robicie te logi żebym mógł to pokazać chcciaż, co robić = tylko format pozostaje ?

Albo dajcie wskazówki jak zrobić logi za pośrednictwem pendrive na win xp przez tryb awaryjny z wierszem poleceń ?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...