Wirus Weelsof / Ukash

[Piotr3k]

Wczoraj komputer (laptop Samsung R780-JS06PL / system Windows 7) został zainfekowany wirusem typu Weelsof / Ukash ze zmyślnym oknem wyskakującym dopiero po połączeniu z internetem (bez sieci komputer działa normalnie) blokującym dalsze użytkowanie. Okno przedstawia blokadę komputera z logiem policji / moim adresem IP / wypunktowanymi domniemanymi "naruszeniami prawa" i karą w wysokości 200 zł / zasadą wpłat Ukash / oraz obraz z aktywnej w tym momencie kamerki laptopowej. Mam nadzieję, że dobrze zdefiniowałem wirusa.

Komputer w trybie awaryjnym pozwala już na normalne korzystanie z sieci.

 

W załączniku przesyłam logi z OTL. Mam nadzieję również, że mój post nie naruszył regulaminu.

 

Dziękuję z góry za pomoc.

Extras.Txt

OTL.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\0tbpw.pad
C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll
C:\Program Files (x86)\mozilla firefox\extensions\{1d00c651-7edc-565e-3b0e-98ee9a606359}
C:\Users\Piotrek\AppData\Roaming\mozilla\firefox\profiles\84s7r6si.default\searchplugins\startsear.xml
C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PowerReg SchedulerV2.exe
 
:OTL
FF - prefs.js..extensions.enabledAddons: {1d00c651-7edc-565e-3b0e-98ee9a606359}:4.6.8.5
IE - HKU\S-1-5-21-909473078-334251275-3577417344-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=274abddb-8978-11e1-ad75-b482fe5107cd&q={searchTerms}"
O2:64bit: - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found.
O2:64bit: - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found.
O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found.
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, blokada zniknie. Działasz już w Trybie normalnym:

 

2. Przez Panel sterowania odinstaluj adware Browsers Protector, Contextual Tool Extrafind, StartSearch Toolbar 1.3, V9 Homepage Uninstaller. W Firefox ustaw sobie inną stronę startową (aktualnie adware startsear.ch).

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

 

 

 

.

[Piotr3k]

Dziękuję serdecznie za tak szybką odpowiedź i tak fachową pomoc. Oczywiście blokady już nie ma. Jako ciekawostkę powiem, że zanim znalazłem to forum - skontaktowałem się w okolicy z informatykiem warszawskim (niestety z racji że tu studiuję i zależało mi na czasie - nie miałem wielkiego wyboru) - usunięcie tego szkodnika wycenił na 150 zł biednemu studentowi... Oczywiście nie stać mnie na taki koszt więc odmówiłem i zacząłem szukać pomocy w internecie. Panom samozwańczym "specjalistom" serdecznie dziękuję...

 

Takiego jak to forum naprawdę ze świecą szukać - polecę je znajomym

 

Mam nadzieję, że wykonałem wszystko wg Pani wskazówek. Przesyłam obecne logi OLT i plik wygenerowany przez AdwCleaner.

OTL.Txt

AdwCleanerS1.txt

[picasso]

Zadania pomyślnie wykonane.

 

1. Drobna poprawka pod kątem ustawień Internet Explorer. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{E2911343-4604-45AD-9A99-6A7AADB5E778}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

2. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj system i wyliczone poniżej aplikacje: KLIK. W raporcie notowalny brak pakietu SP1 dla Windows 7 i wersje programów:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 ----> doinstaluj pakiet SP3
"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)
"HOMESTUDENTR" = Microsoft Office Home and Student 2007 ----> doinstaluj pakiet SP3
"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\5.0.61118.0\npctrl.dll ( Microsoft Corporation)

 

 

PS. Apropos Gadu-Gadu 10 dręczącego zasoby ... Polecam alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

 

 

.