Nowa wersja wirusa "Weelsof"

[Protector]

Witam

 

Ostatnio znowu mam problemy z wirusem blokującym system tym razem na Win. 7. Jak zobaczyłem ten komunikat to po wylogowaniu i zalogowaniu się na konto Gościa znikł o tyle dobrze, że mogę coś robić. Po tym jak komunikat znikł, zaaktualizowałem system, ale nie wyłączałem laptopa. Dalej nic nie robiłem.

 

Pozdrawiam

Extras.Txt

OTL.Txt

[picasso]

W poprzednim Twoim temacie był wprawdzie inny system (XP), ale notuję tu podobne zachowania, tzn. znowu zainstalowane aplikacje adware. Nie wykazujesz żadnej uwagi przy instalacjach.

 

 

Jak zobaczyłem ten komunikat to po wylogowaniu i zalogowaniu się na konto Gościa znikł o tyle dobrze, że mogę coś robić

 

Infekcja działa po prostu po stronie określonego konta.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\ProgramData\0tbpw.pad
C:\Users\User\AppData\Roaming\Babylon
C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\1e7k5kms.default\extensions\toolbar@ask.com
C:\Users\User\AppData\Roaming\mozilla\firefox\profiles\1e7k5kms.default\extensions\OneClickDownloader@OneClickDownloader.com.xpi
C:\Users\User\AppData\Roaming\mozilla\firefox\profiles\1e7k5kms.default\searchplugins\askcom.xml
C:\Users\User\AppData\Roaming\mozilla\firefox\profiles\1e7k5kms.default\searchplugins\sweetim.xml
C:\Program Files (x86)\Common Files\ApnToolbarInstaller.exe
C:\Program Files (x86)\Common Files\ApnStub.exe
 
:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={38622221-BBF8-11E1-84D6-CB4C2D4D16C8}"
IE - HKU\S-1-5-21-4196954452-1461916656-233096877-1000\..\SearchScopes\{9B11D6A9-CBE5-43A4-BDDA-0ABA79AA54DC}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=kw&q={searchTerms}&locale=&apn_ptnrs=VX&apn_dtid=YYYYYYYYPL&apn_uid=ED248D5F-6C08-40BD-ABB0-B6D7C04DEBE9&apn_sauid=CC6E862C-2A09-4BD5-B917-908295D48176&"
IE - HKU\S-1-5-21-4196954452-1461916656-233096877-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={38622221-BBF8-11E1-84D6-CB4C2D4D16C8}"
FF - HKLM\Software\MozillaPlugins\@gamersfirst.com/LiveLauncher: C:\Program Files (x86)\GamersFirst\LIVE!\nplivelauncher.dll File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}: C:\Program Files (x86)\RelevantKnowledge\firefox [2012-10-02 17:55:40 | 000,000,000 | ---D | M]
O2:64bit: - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-4196954452-1461916656-233096877-1000..\Run: [soikih] C:\Users\User\AppData\Roaming\Orpi\souz.exe File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

 

2. Przez Panel sterowania odinstaluj adware 1ClickDownloader, Ask Toolbar, Internet Explorer Toolbar 4.6 by SweetPacks, RelevantKnowledge, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.0, Yontoo 1.10.02. Pozbądź się też Amazon.co.uk, eBay (prawdopodobnie preinstalowane z Toshibą) i Norton Security Scan (wątpię, że instalowałeś celowo).

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Protector]

Oto logi:

AdwCleanerS1.txt

OTL.Txt

[picasso]

Zostały poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{181D3AD1-AE22-4E94-BC9D-90874BA304B9}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{5B51C891-4B57-4491-8424-704CF825AD3E}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{5B51C891-4B57-4491-8424-704CF825AD3E}"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. W Google Chrome nadal jest adware (wtyczka RelevantKnowledge + strona startowa SweetIM):

 

========== Chrome  ==========
 
CHR - homepage: "http://home.sweetim.com/?crg=3.1010000.10011&barid={38622221-BBF8-11E1-84D6-CB4C2D4D16C8}"
CHR - plugin: Relevant-Knowledge (Enabled) = C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkndcbhcgphcfkkddanakjiepeknbgle\1.3.332.1_0\plugins/rlcm.dll

 

Usunięcie tych danych wymaga już edycji kodu pliku Preferences Google Chrome. Zrobię to Za Ciebie. Przekopiuj na Pulpit plik:

 

C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Shostuj gdzieś i podaj link. Ja zedytuję i odeślę z powrotem do podmiany. I wtedy poproszę o log potwierdzający. Najpierw prześlij mi plik.

 

 

 

 

.

[Protector]

Log potwierdzający mam dać z OTL ?

 

http://www.mediafire...3zqaf3qv2xtfq0n

[picasso]

1. Przesyłam zedytowany plik zapakowany do ZIP: KLIK. Podczas podmiany plików Preferences Google Chrome musi być zamknięte, w przeciwnym wypadku plik ulegnie uszkodzeniu. Po podmianie plików uruchom Google Chrome, by sprawdzić czy nie zgłasza się żaden błąd startowy.

 

2. Zrób nowy log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

 

 

.

[Protector]

Chrome działa dobrze, nie wywala żadnych błędów.

 

OTL.Txt

[picasso]

Wszystko poprawnie zrobione. Możemy kończyć:

 

1. Wyczyść po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java™ 6 Update 27
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)

 

Czyli: odinstaluj starą Java™ 6 Update 27 (masz już najnowszą Java 7 Update 9), wymień Adobe Reader i Adobe Shockwave Player najnowszymi wersjami, zaktualizuj Firefox, zaktualizuj Skype, zainstaluj pakiet SP3 dla Office 2007.

 

 

PS. Widzę zainstalowane Gadu-Gadu 10. Już w poprzednim temacie mówiłam:

 

Dodatkowa uwaga na temat Gadu-Gadu 10, które jest zasobożerne. Sugeruję obejrzenie alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.