Weelsof blokuje komputer

[KcK]

Witam,

 

wczoraj mój komputer został "zablokowany". Informacja policji, cyberprzestępczość department itd.

Jedna plansza naklaniająca do wpłaty 300zł i brak dostępu do czegokolwiek, całkowicie uniemozliwia prace na komputerze. Z informacji dostępnych w sieci nazwa tego ustrojstwa to Weelsof.

 

Pracuje na Windows Vista 32 bit. Komputer urochomiłem w trybie awaryjnym z obsługą sieci, CCleaner posprzątał co miał, skan AVG nic nie wykrył, próbowałem "metody pierwszej" przedstawionej na http://www.cert.pl/news/5707 jednak bezskutecznie. Skany OTL i GMER wykonałem również w trybie awaryjnym z obsługą sieci gdyż w ciągu 2 sekund po zalogowaniu na normalnym trybie pojawia się plansza i już nic więcej zrobić nie umiem.

 

Bardzo proszę o pomoc w rozwiązaniu problemu.

KcK

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

Prócz problemu podstawowego w systemie są też ślady podpinania zainfekowanych nośników USB oraz adware.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\RODZINKA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\0tbpw.pad
C:\Users\RODZINKA\cbzvl.exe
C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml
C:\Windows\System32\drivers\sp_rsdrv2.sys
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"=-
"Search Bar"=-
"Search Page"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
:OTL
IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=GRfox000&fl=0&ptb=R.8pq1lDk1PAR_m2qpwBMw&url=http://search.mywebsearch.com/mywebsearch/dft_redir.jhtml&st=sb&searchfor={searchTerms}"
IE - HKU\S-1-5-21-2873059959-916766575-3296883909-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms}"
IE - HKU\.DEFAULT\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - No CLSID value found
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O3 - HKU\S-1-5-21-2873059959-916766575-3296883909-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa2,version=2.0.0: C:\Program Files\Picasa2\npPicasa2.dll File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Możesz opuścić Tryb awaryjny.

 

2. Wyczyść preferencje Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox..

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[KcK]

Komputer odblokowany, skan OTL z trybu normalnego.

 

Jakieś podpowiedzi jak pozbyć się pozostałych śmieci, infekcji itd? Jedyny sposob jaki dotychczas sotosuje to Ccleaner i AVG.

 

Dziękuję za rozwiązanie głównego problemu. Szybka i efektywna odpowiedź.

OTL2.Txt

[picasso]

Jakieś podpowiedzi jak pozbyć się pozostałych śmieci, infekcji itd? Jedyny sposob jaki dotychczas sotosuje to Ccleaner i AVG.

 

To co powiedziałam oznaczało, że adresuję te zagadnienia w instrukcjach.

 

 

Wszystko pomyślnie przeprowadzone. Przejdź do wykończeń:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie, a "Stare dane programu Firefox" możesz usunąć z Pulpitu.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Na wszelki wypadek zrób jeszcze skan w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Jeżeli coś zostanie wykryte, przedstaw raport. Jeśli nic, to na koniec:

 

4. Obowiązkowe ważne aktualizacje: KLIK. A oto z Twojego raportu co widnieje jako zainstalowane:

 

Windows Vista Home Premium Edition  (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6000.16851)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"AVG8Uninstall" = AVG Free 8.5
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-2873059959-916766575-3296883909-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Firefox 16.0.1 (x86 pl)" = Mozilla Firefox 16.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.0.60831.0\npctrl.dll ( Microsoft Corporation)

 

Przede wszystkim: krytyczny poziom aktualizacji Windows, brakuje pakietów SP1/SP2 + IE9 + wszystkich łat wydanych po, a aktualizacje masz zablokowane (próg dopuszczalny to Vista SP2). W pierwszej kolejności to nadrób. Zainstaluj też pakiet SP3 dla Office 2007. Antywirus w wersji archaicznej sprzed kilku lat. Z systemu wywal wszystkie pokazane tu stare wydania Adobe / Java / Silverlight, zanim zastąpisz je najnowszymi wersjami. Zaktualizuj Firefox.

 

 

PS. Masz równieź niewdzięczną kombinację Gadu-Gadu 7.7 + Nowe Gadu-Gadu. Pierwsze zupełnie przestarzałe, nie obsługuje w pełni własnej sieci, słabo zabezpieczone (brak szyfrowania). Drugie także już starsze, a w reklamach słodkie wrednie. Obejrzyj alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.

[KcK]

Biorę się za "wykończenie", a przynajmniej za jego część, resztę uzupełnię po pracy.

Słuszna uwaga odnośnie archaicznych wersji programów, poza Firefoxem nieczego nie aktualizowłem.

Zakładałem, że to wystarczy- jak widać błędnie.

 

Jeszcze raz dziękuję

i pozdrawiam

KcK

[KcK]

Wykryto 12 pozycji, zgodnie z zasadami nie tykałem, tylko wrzucam tutaj.

 

OTL po kliknięciu "sprzątanie" się deinstaluje? Nie widzę go w folderze, gdzie jeszcze niedawno był oO

mbam-log-2012-10-31 (00-05-16).txt

[picasso]

Wyniki MBAM: wszystko do usunięcia, to są szczątki adware MyWebSearch. Po usuwaniu w programie ponów czyszczenie folderów Przywracania systemu, gdyż nastąpi kolejna zmiana konfiguracyjna w rejestrze.

 

 

OTL po kliknięciu "sprzątanie" się deinstaluje? Nie widzę go w folderze, gdzie jeszcze niedawno był oO

 

Tak, Sprzątanie usuwa z dysku OTL i jego kwarantannę oraz z rejestru klucz OTL, ponadto przywraca opcje widokowe w folderach do postaci domyślnej w Windows.

 

 

.

[KcK]

Przez noc aktualizowałem Viste do SP1, to nie koliduje z czynnościami, które mam wykonać?

 

I czy następne updaty do SP2, IE9 i łatki wykonać przed czy po działaniu MBAM?

[picasso]

Od razu zajmij się tym co znalazł MBAM, bo punkt Przywracania systemu zapamięta te zapisy, a jakby się coś stało przy aktualizacji systemu i trzebaby było cofać system Przywracaniem, to wpisy wrócą... Czyli: najpierw usuń te szczątki śmieci MBAM + wyczyść foldery Przywracania systemu, dopiero po tym aktualizacje.

 

 

 

.

[KcK]

Wszystkie aktualizacje i sugestie (poza aktualizacją SP3 dla Office 2007) zastosowałem.

WTW bardzo ciekawy chociaż złożony w opcjach.

 

Po wszystkich aktualizacjach komputer dłużej się uruchamia i nieco muli. Podejrzewam, że to naturalna konsekwencja podjętych działań.

 

MBAM po 2 tyg. do odinstalowania (mija termin testowania)

 

Jakieś propozycje/ sugestie darmowego Antywirusa ?

 

 

Pozdrawiam

KcK

[picasso]

Po wszystkich aktualizacjach komputer dłużej się uruchamia i nieco muli. Podejrzewam, że to naturalna konsekwencja podjętych działań.

 

MBAM po 2 tyg. do odinstalowania (mija termin testowania)

 

Wyraźnie mówiłam: wybierz wersję darmową a trial. Trial oznacza, że uaktywniłeś rezydenta, co tu było niepożądane ze względu na obecność AVG i jego rezydentów. I tu się nasuwa, że to doinstalowany MBAM ładujący nowe usługi może wpływać negatywnie na start systemu i jego pracę. Czyli pierwsze do testu to deinstalacja aplikacji + restart.

 

 

 

.