Sprawdzenie lagów - blad po wirusie Ukash

[wolny]

WItam! To mój pierwszy post na tym forum.
Do tej pory miałem doczynienia z dwoma Ukashami (jakos sobie radziłem) wczoraj był kolejny...
W trybie awaryjnym z wierszem polecen wyczysciłem wszystko CCleaner a nastepnie odpalilem ComboFix (pierwszy raz)!
Wszystko poszło jak należy pod koniec Combofix dokonał lagu i zapisał na kompie:
lag z Combofix : http://www.wklej.eu/index.php?id=77dfd8e22d
W tym momencie zaczyna sie problem poniewaz przy otwieraniu komputera pokazuje sie BLĄD RunDLL !
(Wystapił problem podczas uruchamiania pliku C:\PROGRA~2\wohwrjr.plz nie mozna odnaleźć określonego modułu)
Przeskanowałem programem Malwarebytes i wykrył kilka błędów,usunąłem je a tu log: http://www.wklej.eu/index.php?id=fb41936935
Prosze o pomoc!!!

OTL - http://www.wklej.eu/index.php?id=706f701a88
Extras - http://www.wklej.eu/index.php?id=04402e9a6f

[mateo8898]

ComboFix całkowicie niepotrzebnie użyty.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
SRV - File not found [On_Demand | Stopped] -- -- (BsHelpCS)
SRV - File not found [Auto | Stopped] -- -- (BlueSoleilCS)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (VIAHdAudAddService)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (VcommMgr)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (VComm)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Wolny\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | Boot | Stopped] -- -- (BTHidMgr)
DRV - File not found [Kernel | Boot | Stopped] -- -- (BTHidEnum)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (BT)
IE - HKU\S-1-5-21-2342444559-4047630553-3061306393-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
IE - HKU\S-1-5-21-2342444559-4047630553-3061306393-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddr
O4 - HKLM..\Run: [Regedit32] C:\Windows\system32\regedit.exe File not found
O4 - HKU\S-1-5-21-2342444559-4047630553-3061306393-1000..\Run: [KiesAirMessage] D:\Samsung Kies\Kies\KiesAirMessage.exe -startup File not found
O8 - Extra context menu item: Funkcja Google Sidewiki - Reg Error: Value error. File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
[2013-10-09 15:18:52 | 095,025,368 | ---- | M] () -- C:\ProgramData\rjrwhow.pff
[2013-10-09 15:17:51 | 000,000,000 | ---- | M] () -- C:\ProgramData\rjrwhow.ctrl
[2013-10-09 15:14:36 | 000,001,041 | ---- | M] () -- C:\Users\Wolny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rjrwhow.lnk
[2013-10-04 21:00:00 | 000,000,906 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-2342444559-4047630553-3061306393-1000Core.job
[2011-07-16 14:10:32 | 000,000,000 | ---D | M] -- C:\Users\Wolny\AppData\Roaming\OpenCandy

:Files
c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2342444559-4047630553-3061306393-1000UA.job

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowe logi z OTL.

Opróżnij kwarantannę Malwarebytes.

[wolny]

Kwarantanna usunieta!

Log z usuwania - http://www.wklej.eu/index.php?id=d0e7c802ab
Log z OTL - http://www.wklej.eu/index.php?id=ae8cc9c987
LOg z Extras - http://www.wklej.eu/index.php?id=9f3e800e34

Jakie działanie radziłbyś w przypadku kolejnego ataku Ukasha procz ComboFixa??

[mateo8898]

ComboFix`a to ja zdecydowanie odradzam używać na własną rękę. Zgłoś się z kompletem logów OTL + Gmer.

Wklej w OTL:

:OTL
IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu 10"=-
"Facebook Update"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"=-

Klikasz Wykonaj skrypt, następnie Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Zainstaluj SP1 http://www.instalki.pl/programy/download/Windows/aktualizacje/Windows_7_Service_Pack_1.html

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/download/Windows/przegladarki_www/Internet_Explorer.html

Odinstaluj starą wersję Javy:

Java(TM) 6 Update 22

i zainstaluj najnowszą http://www.instalki.pl/programy/download/Windows/biblioteki/Java.html

Czy Avast działa Ci prawidłowo??? Bo nie widzę jego wpisu w autostarcie.

[wolny]

OK wszystko zrobione jak napisałeś!
po wklejeniu w OTL co podałeś mam cos takiego - http://www.wklej.eu/index.php?id=86821f6be8
CCleaner przeczyscił!
Zainstalowane SP1
Zainstalowany IE do najnowszej wersji
Odinstalowana stara JAVA
Zainstalowana najnowsza!
Avast tez zaktualizowany do najnowszej wersji!
Zrobilem na koniec ponownie skanowanie
OTL - http://www.wklej.eu/index.php?id=936f8036b9
Ekstras - http://www.wklej.eu/index.php?id=e6d4da4c66
Po wejsciu do Edytora Rejestru i wyszukaniu C:\PROGRA~2\wohwrjr.plz otrzymuje takie cos!?
http://img21.otofotki.pl/no530_edytor-rejestru.png.html
Błędu juz zadnego nie mam ale czy trzeba cos z tym jeszcze robic?
Ostatnie pytanie czy Malwerebytes trzymac cały czas zainstalowany i aktywny wraz z Avastem czy nie?

[mateo8898]

Co do rejestru: prawoklik na ServiceDll Modyfikuj Dane wartości zmień na:

%SystemRoot%\system32\wbem\WMIsvc.dll

[wolny]

Jesli to juz wszystko to chciałem podziekować za pomoc!
Wszystko chodzi jak powinno, żadnych błędów;)
Pozdrawiam

[mateo8898]

Tak to wszystko.