Woytas29 Opublikowano 30 Stycznia 2013 Zgłoś Udostępnij Opublikowano 30 Stycznia 2013 Witam serdecznie, Niestety mój komputer został zainfekowany wirusem policyjnym Weelsof. Komputer reaguje tylko na tryb awaryjny z wierszem poleceń i dzięki temu wykonałem skan OTL'em. Bardzo prosze o pomoc, z góry dziękując. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 30 Stycznia 2013 Zgłoś Udostępnij Opublikowano 30 Stycznia 2013 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Secondary Start Pages"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Files C:\Users\User\AppData\Roaming\skype.dat C:\Users\User\AppData\Roaming\skype.ini C:\Users\User\AppData\Roaming\Mozilla netsh advfirewall reset /C :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={7E44CECA-7386-4D05-B8EF-F00090F1C9AF}" IE - HKU\S-1-5-21-1419223704-2698365353-2421532034-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={7E44CECA-7386-4D05-B8EF-F00090F1C9AF}" IE - HKU\S-1-5-21-1419223704-2698365353-2421532034-1001\..\SearchScopes\{F3190AA1-905C-41C9-849C-98187F1E1D6C}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny, blokada powinna zniknąć. 2. Przez Panel sterowania odinstaluj adware Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, uTorrentControl2 Toolbar. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
Woytas29 Opublikowano 30 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Stycznia 2013 Wszystko wykonane. System wstał bez blokady. W załączniku logi OTL'a i ADWCleaner'a. AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2013 Zgłoś Udostępnij Opublikowano 31 Stycznia 2013 Wszystko zrobione. Poprawki: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{687578B9-7132-4A7A-80E4-30EE31099E03}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{687578b9-7132-4a7a-80e4-30ee31099e03}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}] [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. W Google Chrome nadal strony startowe adware i pusta wyszukiwarka: ========== Chrome ========== CHR - homepage: "http://home.sweetim.com/?st=6&barid={7E44CECA-7386-4D05-B8EF-F00090F1C9AF}"CHR - default_search_provider: ()CHR - default_search_provider: search_url = CHR - default_search_provider: suggest_url = CHR - homepage: "http://home.sweetim.com/?st=6&barid={7E44CECA-7386-4D05-B8EF-F00090F1C9AF}" Wejdź do ustawień przeglądarki. W sekcji "Po uruchomieniu" z listy stron startowych wymaż SweetIM, przestaw opcję na "Otwórz stronę nowej karty". W zarządzaniu wyszukiwarkami ustaw Google jako domyślną. Wyczyść Historię. 3. Zrób nowy log z OTL ograniczony do: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. . Odnośnik do komentarza
Woytas29 Opublikowano 31 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2013 Zrobione. Oto nowy log OTL.Txt Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2013 Zgłoś Udostępnij Opublikowano 31 Stycznia 2013 1. W Google Chrome nadal strony startowe SweetIM: ========== Chrome ========== CHR - homepage: "http://home.sweetim.com/?st=6&barid={7E44CECA-7386-4D05-B8EF-F00090F1C9AF}"CHR - homepage: "http://home.sweetim.com/?st=6&barid={7E44CECA-7386-4D05-B8EF-F00090F1C9AF}" Czy na pewno dobrze opcje sprawdziłeś? Jeśli rzeczywiście tego tam nie widać, to ręcznie zedytuj preferencje. Zamknij Google Chrome, przeglądarka nie może być w procesach podczas tej operacji. Otwórz w Notatniku plik: C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Preferences Wyszukaj w nim dwie frazy homepage i zamień adresy. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj wyliczone poniżej stare wersje programów: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java 7 Update 5"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin Uwaga na Javę, to m.in. jej luki są przyczyną infekcji, a nawet najnowsza z dostępnych wersji niestety dziurawa. . Odnośnik do komentarza
Woytas29 Opublikowano 31 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2013 Zrobione. Bardzo dziękuję za pomoc. Pozdrawiam serdecznie. Temat do zamknięcia. Odnośnik do komentarza
Rekomendowane odpowiedzi