Prawdopodobnie weelsof atakuje!

[jovita]

Standardowa sytulacja. Zablokowany system, wymuszenie płatnośći (500 zł!). Przeskanowałam w trybie awaryjnym Hitmanem, Kaspersky i mbma. Na szczęscie udało mi się usunąć gnoje. Niestety boje się dalej podłączyć lapka do sieci bo nie jestem pewna czy jest czysty.

Wklejam logi i z góry dziękuje za poświęcony czas.

Extras.Txt

OTL.Txt

gmer.txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SRTSPX.SYS -- (SRTSPX)
DRV - File not found [File_System | System | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SRTSP.SYS -- (SRTSP)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS -- (NAVEX15)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS -- (NAVENG)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\CRFILTER.sys -- (CRFILTER)
DRV - [2012-08-02 16:49:22 | 000,100,864 | ---- | M] (GMER) [Kernel | On_Demand | Running] -- C:\pxliypow.sys -- (pxliypow)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/vlt/vlt_1333569906_402572
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}"
IE - HKU\S-1-5-21-3917808847-2981944955-1965402288-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/vlt/vlt_1333569906_402572
IE - HKU\S-1-5-21-3917808847-2981944955-1965402288-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-3917808847-2981944955-1965402288-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}"
IE - HKU\S-1-5-21-3917808847-2981944955-1965402288-1000\..\SearchScopes\{AC9BEE80-C898-4796-B425-9FE0F300A5A7}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VDJ&o=41647960&src=crm&q={searchTerms}&locale=&apn_ptnrs=8R&apn_dtid=YYYYYYYYPL&apn_uid=D2292EFF-00B9-4293-B4B3-1DC9B491D5C8&apn_sauid=DA23186E-A0D0-4FA1-9B46-D304D0E4E5EE"
FF - prefs.js..browser.startup.homepage: "http://search.bearshare.com/"
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKU\S-1-5-21-3917808847-2981944955-1965402288-1000..\Run: []  File not found
 
:Files
C:\ProgramData\34243
C:\ProgramData\stwvvpfpkculudz
C:\ProgramData\vlsqouhuctdqteh
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-3917808847-2981944955-1965402288-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: NCH EN Toolbar

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Edytowane 4 Września 2012 przez picasso
4.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso