Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

"Komputer został zablokowany"-Weelsof

Kiecha131

Przez Kiecha131
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Kiecha131

Kiecha131

Opublikowano
Opublikowano

Witam,

 

Podczas przeglądania strony internetowej hxxp://blog.iphone-dev.org/ na moim komputerze pojawił się taki obraz

c3c65d2ffe81695878fffcc5aa1c05c1,62,37.jpg

 

czytając różnego rodzaju fora dowiedziałem się że jest to wirus weelsof. Podążając za instrukcją zamieszczoną na tej stronie http://tech.wp.pl/ka...ml?ticaid=1ede7 skorzystałem z progrmau combofix ,lecz to nie pomogło podążając za instrukcją ze strony http://www.cert.pl/news/5483 próbowałem użyć losowego kodu lecz i to nieposkutkowało. Korzystając z trybu awaryjnego zrobiłem logi.

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Strona wp.pl wyrządza dużo złego. Na temat użytkowania ComboFix: KLIK. I zasady działu wyraźnie mówią, by przedstawić log z jego pracy (nie uruchamiaj narzędzia ponownie).

 

W systemie notowalne także resztki innych infekcji (m.in. Qooqlle) oraz adware.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=ec5485dc-1540-11e1-8b89-00241ddbc95d&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2832599"
IE - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=ec5485dc-1540-11e1-8b89-00241ddbc95d&q={searchTerms}"
IE - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109993&tt=090212_noffx&babsrc=SP_ss&mntrId=e035a4150000000000000060b344cac8"
IE - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=&apn_uid=6F0F606A-9AE4-4826-AF69-A80D2EE7780E&apn_sauid=1BEA4CED-58FB-4096-841B-3A33875CAC8F"
IE - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000\..\SearchScopes\{2DF3D4EF-C477-4A55-A3C9-7DBE9B3459C1}: "URL" = "http://searchya.com/?chnl=dcom-100&s=1&cr=1765550354&cd=2XzutAtN2Y1L1QzutN0D0TzutBtDtCtBtDyEtBtA&q={searchTerms}"
IE - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000\..\SearchScopes\{95A0BD22-2FD4-4D11-89C7-ADF740F8D089}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20110826&user_guid=E1A279A477DC44DCB3B93759F92AB9AD&machine_id=8dcb35a55c4ae1924312a47bba28a6a4&browser=IE&os=win&os_version=6.1-x64-SP0&iesrc={referrer:source}"
IE - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2832599"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.defaultthis.engineName: "InnoGames Polska Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2832599&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.startup.homepage: "http://searchya.com/?chnl=dcom-100&s=0&cr=1765550354&cd=2XzutAtN2Y1L1QzutN0D0TzutBtDtCtBtDyEtBtA"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2832599&q="
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.110.0: C:\Program Files (x86)\Battlelog Web Plugins\1.110.0\npesnlaunch.dll File not found
CHR - homepage: "http://searchya.com/?chnl=dcom-100&s=0&cr=1765550354&cd=2XzutAtN2Y1L1QzutN0D0TzutBtDtCtBtDyEtBtA"
O2:64bit: - BHO: (no name) - {8664889D-ED18-4713-918F-E2BB69D8452B} - No CLSID value found.
O2 - BHO: (IeMonitorBho Class) - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - g:\Program Files (x86)\Megaupload\Mega Manager\MegaIEMn.dll (Megaupload Limited)
O2 - BHO: (DownloadnSave Class) - {1E964D5C-16D3-5374-08D1-B75890A4F7FE} - C:\ProgramData\DownloadnSave\bhoclass.dll File not found
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3:64bit: - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - {8664889D-ED18-4713-918F-E2BB69D8452B} - No CLSID value found.
O4:64bit: - HKLM..\Run: [combofix] C:\ComboFix\CF28859.3XE /c C:\ComboFix\Combobatch.bat File not found
O4:64bit: - HKLM..\Run: [sqlServerSpatial] C:\Users\Kiecha\AppData\Local\Microsoft\Windows\2074\SqlServerSpatial.exe ()
O4 - HKLM..\Run: [Desktop Window Manager] C:\WINDOWS\debug\dwm.exe File not found
O4 - HKLM..\Run: [Display Driver] C:\WINDOWS\debug\nvscvr32.exe File not found
O4 - HKLM..\Run: [switchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe File not found
O4 - HKLM..\Run: [Windows Font Manager] C:\\WINDOWS\\FontCache_x64.exe File not found
O4 - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000..\Run: [Desktop Window Manager] C:\WINDOWS\debug\dwm.exe File not found
O4 - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000..\Run: [Display Driver] C:\WINDOWS\debug\nvscvr32.exe File not found
O4 - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000..\Run: [RDReminder]  File not found
O4 - HKU\S-1-5-21-3407819016-2735834526-3671976630-1000..\Run: [Windows Font Manager] C:\\WINDOWS\\FontCache_x64.exe File not found
 
:Files
C:\Windows\exsvmotnv.exe
C:\Windows\kotwyzvzq.exe
C:\Windows\xwnldyrmk.exe
C:\Windows\kdgyobrwx.exe
C:\Windows\ctrfpnpxx.exe
C:\Windows\mrodqcqnu.exe
C:\Windows\ynmortsqt.exe
C:\Windows\kwtivbyhv.exe
C:\ProgramData\nvwiz.exe
C:\Users\Kiecha\AppData\Local\Microsoft\Windows\2074
C:\Users\Kiecha\AppData\Roaming\hellomoto
C:\Users\Kiecha\AppData\Roaming\3DFA
C:\Users\Kiecha\AppData\Roaming\log
C:\Users\Kiecha\AppData\Roaming\OpenCandy
C:\Users\Kiecha\AppData\Roaming\etc.dat
C:\Users\Kiecha\AppData\Roaming\DirectX.dat
C:\Users\Kiecha\Documents\i68Backups
C:\Users\Kiecha\Documents\i68Fifa12
C:\Users\Kiecha\AppData\Roaming\Mozilla\Firefox\Profiles\pzohxa2z.default\searchplugins\askcom.xml
C:\Users\Kiecha\AppData\Roaming\Mozilla\Firefox\Profiles\pzohxa2z.default\searchplugins\conduit.xml
C:\Users\Kiecha\AppData\Roaming\Mozilla\Firefox\Profiles\pzohxa2z.default\searchplugins\daemon-search.xml
C:\Users\Kiecha\AppData\Roaming\Mozilla\Firefox\Profiles\pzohxa2z.default\searchplugins\searchya.xml
C:\Users\Kiecha\AppData\Roaming\Mozilla\Firefox\Profiles\pzohxa2z.default\searchplugins\startsear.xml
C:\Users\Kiecha\AppData\Roaming\Mozilla\Firefox\Profiles\pzohxa2z.default\searchplugins\yahoo-zugo.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
C:\Program Files (x86)\tbSoft.dll
C:\Windows\tasks\DLL-files.com Fixer_UPDATES.job
C:\Users\Kiecha\AppData\Local\Temp*.html
netsh advfirewall reset /C
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przeprowadź deinstalacje adware:

  • Przez Panel sterowania odinstaluj: Babylon toolbar on IE, Conduit Engine, DownloadnSave, InnoGames Polska Toolbar, Optimizer Pro v3.0, SearchYa Toolbar on IE and Chrome, Softonic-Polska Toolbar, Sopcast Ask Toolbar, Sopcast Ask Toolbar Updater, StartNow Toolbar, V9 HomeTool, vShare.tv plugin 1.3, VshareComplete, YouTube Downloader Toolbar v6.1. Od razu pozbądź się też wątpliwego programu Dll-Files.com Fixer oraz archaicznego Spybot - Search & Destroy.
  • Otwórz Firefox i w Dodatkach odinstaluj: Conduit Engine, DownloadnSave, InnoGames Polska Community Toolbar, Sopcast Ask Toolbar, ST-Polska Community Toolbar, VshareComplete, uTorrentBar Community Toolbar

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

Edytowane przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...