Infekcja Weelsof

[funofski]

Witam,

ja też proszę o pomoc, bo mam podobny problem z weelsof'em. Użyłem malwarbytes w trybie awaryjnym i usunąłem 4 pliki. Komp działa, ale trochę inaczej, brak dostępu do internetu. Podaję logi z MAM i OTL.

 

Przy okazji proszę o info jak pozbyć się komunikatu o nieaktualnej wersji Windows 7, mam wersję OEM i nijak nie mogę się przebić przez oficjalną stronę Microsoftu.

 

Z góry dziękuję,

Lukas

OTL.Txt

Extras.Txt

mbam-log-2013-01-29 (22-35-56).txt

[picasso]

Zasady działu: KLIK. Tu jest zakaz dopisywania się do cudzych tematów. Wydzielam w osobny.

 

Tu zostały tylko do doczyszczenia szczątki infekcji i adware.

 

1. Przez Panel sterowania odinstaluj adware 50 FREE MP3s +1 Free Audiobook!, Babylon toolbar on IE, Browsers Protector, Complitly, DealPly, Download Updater (AOL LLC), Searchcore Toolbar, Softonic toolbar on IE and Chrome, StartSearch Toolbar 1.3, Updater Service, vShare Plugin, Winamp Toolbar oraz zbędny downloader Akamai NetSession Interface.

 

2. Otwórz Google Chrome i wejdź do ustawień. W sekcji "Po uruchomieniu" z listy stron startowych usuń startsear.ch. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym Search Results usuń z listy. W Rozszerzeniach odinstaluj Complitly plugin for chrome, DealPly, StartSearch Video plug-in.

 

3. Wyłącz rezydent MBAM, by nie przeszkadzał. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Łukasz\AppData\Roaming\skype.ini
C:\Users\Łukasz\g2mdlhlpx.exe
C:\ProgramData\IBUpdaterService
netsh advfirewall reset /C
 
:OTL
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2426}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=151111&systemid=426&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{0F6B054B-2C3C-4397-8F04-B085A11E0909}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=075ae5ea-7905-11e1-b43e-705ab6429ad7&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2426}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=151111&systemid=426&sr=0&q={searchTerms}"
IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=dc408cc60000000000007af1a1f5458a"
IE - HKCU\..\SearchScopes\{0F6B054B-2C3C-4397-8F04-B085A11E0909}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=075ae5ea-7905-11e1-b43e-705ab6429ad7&q={searchTerms}"
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2426}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=151111&systemid=426&sr=0&q={searchTerms}"
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
SRV - [2012-04-30 09:16:59 | 000,397,848 | ---- | M] () [Disabled | Stopped] -- C:\ProgramData\IBUpdaterService\ibsvc.exe -- (IBUpdaterService)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

Komp działa, ale trochę inaczej, brak dostępu do internetu.

 

Co to konkretnie oznacza? Wyłączałeś coś w msconfig (bo widzę bardzo łysy autostart)? Może Norton 360 blokuje sieć.

 

 

Przy okazji proszę o info jak pozbyć się komunikatu o nieaktualnej wersji Windows 7, mam wersję OEM i nijak nie mogę się przebić przez oficjalną stronę Microsoftu.

 

"Nieaktualna" czy "nielegalna"? Jak ten komunikat dokładnie brzmi?

 

 

 

.

[funofski]

Dzięki,

 

internet nie chodzi, ale jeszcze powalczę,

zmienił się trochę interfejs, był bardziej 'ruchomy' ale to drobnostka byle Windows był oryginalny

 

W msconfig wyłączyłem cztery elementy, ale potem włączyłem

 

wszystko wykonane oprócz

W Rozszerzeniach odinstaluj Complitly plugin for chrome, DealPly, StartSearch Video plug-in.

nie znalazłem w rozszerzeniach, ale może źle szukałem

 

Logi poniżej.

 

Komunikat Windy brzmi:

Windows 7

Kompilacja 7600

Ta kopia systemu Windows nie jest oryginalna

 

Po wejściu na ich stronę utykam na jakieś ich weryfikacji i to trwa w nieskończoność. Nie dochodzę do podania 'product key'

 

OTL.Txt

AdwCleanerS1.txt

[picasso]

wszystko wykonane oprócz (...) W Rozszerzeniach odinstaluj Complitly plugin for chrome, DealPly, StartSearch Video plug-in.

nie znalazłem w rozszerzeniach, ale może źle szukałem

 

Widocznie główne deinstalacje z punktu 1 to ruszyły z Chrome, bo rzeczywiście w nowym logu w konfiguracji przeglądarki nie widzę już tego.

 

 

zmienił się trochę interfejs, był bardziej 'ruchomy' ale to drobnostka byle Windows był oryginalny

 

Tego fragmentu wypowiedzi nie rozumiem. O jakim "interfejsie" i jakiej jego "ruchomości" mowa? Aero?

 

 

W msconfig wyłączyłem cztery elementy, ale potem włączyłem

 

No nie sądzę, że "tylko 4". Popatrz w swój log z OTL, pomijając golusieński autostart (co uznaję za niemożliwe w widzianym tu układzie oprogramowania), cała masa usług ma stan Disabled (Wyłączone):

 

========== Services (SafeList) ==========
 
SRV:64bit: - [2012-04-06 03:16:02 | 000,236,544 | ---- | M] (AMD) [Disabled | Stopped] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility)
SRV:64bit: - [2012-04-05 14:48:02 | 000,255,376 | ---- | M] (Acer Incorporated) [Disabled | Stopped] -- C:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe -- (Updater Service)
SRV:64bit: - [2012-04-05 14:48:02 | 000,255,376 | ---- | M] (Acer Incorporated) [Disabled | Stopped] -- C:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe -- (Live Updater Service)
SRV:64bit: - [2011-02-25 11:38:48 | 001,436,424 | ---- | M] (Acresso Software Inc.) [Disabled | Stopped] -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe -- (FLEXnet Licensing Service 64)
SRV:64bit: - [2010-09-22 18:10:10 | 000,057,184 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Program Files\Windows Live\Mesh\wlcrasvc.exe -- (wlcrasvc)
SRV:64bit: - [2010-02-26 10:57:52 | 000,841,248 | ---- | M] (Acer Incorporated) [Disabled | Stopped] -- C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe -- (ePowerSvc)
SRV:64bit: - [2009-07-14 02:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV:64bit: - [2008-07-29 13:20:28 | 004,737,024 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- c:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\Remote Debugger\x64\msvsmon.exe -- (msvsmon90)
SRV - [2013-01-09 17:22:33 | 000,251,400 | ---- | M] (Adobe Systems Incorporated) [Disabled | Stopped] -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012-11-29 20:31:04 | 000,038,608 | ---- | M] () [Disabled | Stopped] -- C:\Program Files (x86)\RealNetworks\RealDownloader\rndlresolversvc.exe -- (RealNetworks Downloader Resolver Service)
SRV - [2012-10-04 09:07:48 | 000,000,000 | ---- | M] () [Disabled | Stopped] -- C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe -- (NOBU)
SRV - [2011-10-01 08:30:22 | 000,219,496 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe -- (sftvsa)
SRV - [2011-10-01 08:30:18 | 000,508,776 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe -- (sftlist)
SRV - [2011-06-06 11:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) [Disabled | Stopped] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2011-02-28 18:44:14 | 000,183,560 | ---- | M] (Microsoft Corporation.) [Disabled | Stopped] -- C:\Program Files (x86)\Microsoft\BingBar\BBSvc.EXE -- (BBSvc)
SRV - [2011-02-25 10:46:22 | 000,249,648 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Program Files (x86)\Microsoft\BingBar\SeaPort.EXE -- (SeaPort)
SRV - [2011-01-30 22:17:48 | 000,079,360 | ---- | M] (Autodesk) [Disabled | Stopped] -- C:\Program Files (x86)\Common Files\Autodesk Shared\Service\AdskScSrv.exe -- (Autodesk Licensing Service)
SRV - [2010-11-12 09:13:31 | 000,867,080 | ---- | M] (Acresso Software Inc.) [Disabled | Stopped] -- C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2010-10-12 18:59:12 | 000,206,072 | ---- | M] (WildTangent, Inc.) [Disabled | Stopped] -- C:\Program Files (x86)\WildTangent Games\App\GamesAppService.exe -- (GamesAppService)
SRV - [2010-06-28 23:23:06 | 000,255,744 | ---- | M] (NewTech Infosystems, Inc.) [Disabled | Stopped] -- C:\Program Files (x86)\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe -- (NTI IScheduleSvc)
SRV - [2010-04-13 17:57:58 | 000,013,336 | ---- | M] (Intel Corporation) [Disabled | Stopped] -- C:\Program Files (x86)\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe -- (IAStorDataMgrSvc)
SRV - [2010-03-18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2010-03-18 05:57:02 | 002,320,920 | ---- | M] (Intel Corporation) [Disabled | Stopped] -- C:\Program Files (x86)\Intel\Intel® Management Engine Components\UNS\UNS.exe -- (UNS)
SRV - [2010-03-18 05:56:56 | 000,268,824 | ---- | M] (Intel Corporation) [Disabled | Stopped] -- C:\Program Files (x86)\Intel\Intel® Management Engine Components\LMS\LMS.exe -- (LMS)
SRV - [2010-01-15 22:08:38 | 000,935,208 | ---- | M] (Nero AG) [Disabled | Stopped] -- C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0)
SRV - [2010-01-08 14:21:22 | 000,023,584 | ---- | M] (Acer Incorporated) [Disabled | Stopped] -- C:\Program Files (x86)\Packard Bell\Registration\GREGsvc.exe -- (GREGService)
SRV - [2009-10-09 05:45:56 | 000,169,312 | ---- | M] (Adobe Systems Incorporated) [Disabled | Stopped] -- c:\Program Files (x86)\Adobe\Elements Organizer 8.0\PhotoshopElementsFileAgent.exe -- (AdobeActiveFileMonitor8.0)
SRV - [2009-06-10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
SRV - [2009-04-29 04:21:18 | 000,436,736 | ---- | M] (Conexant Systems, Inc.) [Disabled | Stopped] -- C:\Windows\SysWOW64\XAudio64.dll -- (HsfXAudioService)
SRV - [2008-06-13 04:05:48 | 001,539,224 | ---- | M] (Autodesk, Inc.) [Disabled | Stopped] -- C:\Program Files (x86)\Common Files\Autodesk Shared\Service\AdskNetSrv.exe -- (Autodesk Network Licensing Service)

 

Tylko usługi MBAM i Norton na chodzie, reszta kaput. Uruchom msconfig. Wejdź do karty Usługi i zmień to wszystko. Mówimy tu o usługach wtórnych, a:

 

 

internet nie chodzi, ale jeszcze powalczę,

(...)

Po wejściu na ich stronę utykam na jakieś ich weryfikacji i to trwa w nieskończoność. Nie dochodzę do podania 'product key'

 

W związku z tym co widzę wyżej, tu jest wysokie prawdopodobieństwo, że sam się załatwiłeś, tzn. wyłączając w msconfig omyłkowo pojechałeś po usługach Microsoftu, które są kluczowe dla działania punktowanych funkcji. Załaduj matrycę domyślną. Pobierz plik Default W7 Home Premium 64 Start v0.04.zip: KLIK. Rozpakuj, w środku jest plik REG, kliknij na niego prawym i wybierz opcję Scal. Zresetuj system. Podaj wyniki, czy sieć oraz aktywacja są na chodzie. Dodatkowo, pokaż mi spis co jest wyłączone w msconfig, bo mam podejrzenie, że trojan tam nadal jest. Uruchom SystemLook x64 i w oknie wklej:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig /s

 

Klik w Look.

 

 

 

.

Edytowane 7 Marca 2013 przez picasso
7.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso