Policja - wgsdgsdgdsgsd.exe

[Seba12]

Witam,

Zaatakował mnie dziś wirus (podszywający się za policję), który zablokował komputer. Komp był mi bardzo pilnie potrzebny i na szybkości z telefonu znalazłem tylko instrukcję jak go usunąć za pomocą combofixa. Blokada zniknęła, ale teraz przy włączaniu kompa wyskakuje mi komunikat:

"Wystąpił problem podczas uruchamiania pliku

C:\Users\Sony\wgsdgsdgdsgsd.exe

Nie można znaleźć określonego modułu"

Prośba o pomoc jak się tego pozbyć i o sprawdzenie czy wszystko jest ok z systemem.

W załączeniu log z combofixa.

ComboFix.txt

[picasso]

Na temat używania ComboFix: KLIK. Zasady działu jakie raporty się tu obowiązkowo dostarcza: KLIK. Błąd się pojawia, gdyż ComboFix nie usunął infekcji w sposób kompletny, jest w starcie uruchamiany skrót runctf.lnk.

 

 

1. Uruchom OTL. i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Sony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 
:Services
cpuz134
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Błąd powinien ustąpić.

 

2. Wyczyść Firefox z adware Babylon: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowe logi OTL z opcji Skanuj, by powstał plik Extras, opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania". Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Seba12]

Bardzo dziękuję. Komunikat przy włączaniu już nie wyskakuje.

Czy wszystko jest już w porządku?

Czy w jakiś sposób usówać pozostałości po ComboFixie i OTL? Na dysku C powstało wiele plików...

AdwCleanerS1.txt

Extras.Txt

OTL.Txt

[picasso]

Wszystko zrobione, tylko poprawki i kończymy.

 

1. Korekta domyślnych wyszukiwarek Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{27B4851A-3207-45A2-B947-BE8AFE6163AB}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{27B4851A-3207-45A2-B947-BE8AFE6163AB}]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Przez SHIFT+DEL skasuj te foldery:

 

C:\Users\Sony\Desktop\Stare dane programu Firefox

C:\Windows\system32\%LOCALAPPDATA%

C:\Windows\erdnt

 

3. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Sony\Downloads\ComboFix.exe /uninstall

 

Gdy komenda zrobi co należy, wykończ pozostałe: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie.

 

4. Odinstaluj wszystkie stare Java i Adobe, zastąp najnowszymi wersjami, zainstaluj pakiet SP1 dla Office 2010: KLIK. Wg raportu obecnie masz zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java™ 6 Update 22 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22
"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010
"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.4) MUI
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

 

 

 

.

[Seba12]

Zrobione. Zostały mi jeszcze na dysku (E:) 2 foldery, których wcześniej nie było: $RECYCLE.BIN i MSOCache. Ten drugi ma kilkaset mega, czy je mogę usunąć ręcznie?

[picasso]

$RECYCLE.BIN to jest prawdziwy folder Kosza dysku E (to co na Pulpicie to tylko wirtualizowany skrót). MSOCache to jest lokalne źródło instalacji Office, używane do naprawy pakietu. Nie, ich usuwać nie można. Te foldery zresztą nie powstały wcale w trakcie, były wcześniej tylko ich nie widziałeś. Oba foldery mają atrybuty HS (ukryty systemowy), są widoczne dopiero po odznaczeniu opcji w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego.

 

I coś tu mi się nie zgadza. Po prawidłowej deinstalacji ComboFix oraz użyciu opcji Sprzątanie w OTL (obie procedury rekonfigurują ukryte pliki) nie powinieneś widzieć tych obiektów...

 

 

 

 

.

[Seba12]

Opcja "Ukryj chronione pliki systemu operacyjnego" jest zaznaczona, a jednak widzę te foldery... Czy zaznaczyć w nich atrybut ukryty?

[picasso]

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep komendy:

 

attrib +s +h E:\$RECYCLE.BIN

attrib +s +h E:\MSOCache

 

Po nałożeniu tych atrybutów przestaną być widoczne przy zaznaczonej opcji "Ukryj chronione pliki systemu operacyjnego".

 

 

 

.

[Seba12]

Wszystko zrobione. Jeszcze raz dziękuję!

[Seba12]

Witam,

Po raz drugi zostałem zaatakowany przez to ustrojstwo. Komputer działa tylko z trybu awaryjnego. Proszę o pomoc.

Extras.Txt

OTL.Txt

[Anonim8]

Postaram Ci się pomóc. Myślę, że Picasso jest w trasie do kraju i nieprędko przyjdzie pomoc.

 

Uruchom OTL i w okno Własne opcję skanowania/ skrypt wklej:

 

:Files
C:\Users\Sony\wgsdgsdgdsgsd.dll
C:\Users\Sony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\dsgsdgdsgdsgw.js

:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt.

 

Powinno być dobrze.

[Seba12]

Dzięki Belfegor, pomogło, ale nie do końca... Komputer odblokowało (to najważniejsze), ale przy włączaniu wyskakuje komunikat:

 

"Wystąpił problem podczas uruchamiania pliku wgsdgsdgdsgsd.dll

Nie można odnaleźć określonego modułu."

 

Zrobiłem skan Avastem i wykrył plik o tej nazwie: wgsdgsdgdsgsd.dll - przeniesiony do kwarantanny.

 

Wstawiam wykonane ponownie logi i czekam na Picasso.

OTL.Txt

[Anonim8]

Dzięki Belfegor, pomogło, ale nie do końca... Komputer odblokowało (to najważniejsze), ale przy włączaniu wyskakuje komunikat:

 

"Wystąpił problem podczas uruchamiania pliku wgsdgsdgdsgsd.dll

Nie można odnaleźć określonego modułu."

 

Bo został ten wpis nie usunięty z Autostartu

 

Uruchom OTL i wklej skrypt:

 

:Files
C:\Users\Sony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

:Commands
[reboot]

 

Kliknij w Wykonaj skrypt.

[Seba12]

Skrypt wykonałem. Komunikat przy włączaniu już nie wyskakuje, natomiast teraz w różnych folderach pojawiły się ukryte pliki chyba systemowe... Czekam na pomoc kogoś z administratorów i proszę o sprawdzenie czy wszytko inne jest ok.

OTL.Txt

[Anonim8]

natomiast teraz w różnych folderach pojawiły się ukryte pliki chyba systemowe...

 

OTL przestawia widoczność plików (odkrywa ukryte)

 

Wszystko ładnie zeszło. Urzyj opcji Sprzątanie w OTL.

 

Wyczyść foldery Przywracania systemu https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/page__p__42415#entry42415

 

Zmień hasła logowania do serwisów i poczty. To wszystko