PerezVCF Opublikowano 8 Marca 2013 Zgłoś Udostępnij Opublikowano 8 Marca 2013 Witam! Stałem się kolejną ofiarą tzw. policyjnego wirusu weelsof no i oczywiście nie wiem jak sobie z nim poradzić, próbowałem wiele sposobów, więc poza ComboFix'em tylko OTL mi pozostał. Załączam raport, jeżeli coś w nich jest nie tak proszę o napisanie. Proszę o pomoc w usunięciu tego wirusa Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 9 Marca 2013 Zgłoś Udostępnij Opublikowano 9 Marca 2013 Logi są zrobione z błędnego konta. Mają być z konta zainfekowanego użytkownika a nie z Administratora: Computer Name: ROBERT | User Name: Administrator | Logged in as Administrator. W ten sposób nie widać komponentów Weelsof i nie można brać się za usuwanie. Wykonaj logi raz jeszcze z prawidłowego konta. Odnośnik do komentarza
PerezVCF Opublikowano 9 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2013 Tylko jak to zrobić, skoro w trybie awaryjnym moge sie zarejestrować tylko na administratora. Przecież zaznaczylem, ze dla wszystkich użytkowników :/ Dodam, ze mam Windows XP Udało mi się wreszcie w trybie awaryjnym z obsługą sieci przeprowadzić raport na poziomie użytkownika Mam nadzieję, że wszystko teraz jest już dobrze Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 9 Marca 2013 Zgłoś Udostępnij Opublikowano 9 Marca 2013 Temat oczyszczam ze zbędnych postów. Małe wyjaśnienie co do tego: Przecież zaznaczylem, ze dla wszystkich użytkowników :/ To jest myląca opcja i wcale nie służy do tego o czym myślałeś. Konta mają inne rejestry i dlatego logi wyglądają różnie z poziomu każdego z nich. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\Installer\{68995E46-92E0-400B-F1CA-BBDFD1AEA071}\syshost.exe /service -- (syshost32) DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\zumbus.sys -- (zumbus) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\wanatw4.sys -- (wanatw) DRV - File not found [Kernel | Auto | Stopped] -- f:\Program Files\YouWave_Android\vb\VBoxDrv.sys -- (VBoxDrv) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmcunic.sys -- (lgmcunic) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmcobex.sys -- (lgmcobex) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmcnd5.sys -- (lgmcnd5) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmcmgmt.sys -- (lgmcmgmt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmcmdm.sys -- (lgmcmdm) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmcmdfl.sys -- (lgmcmdfl) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmcbus.sys -- (lgmcbus) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=51&cf=452e2e20-db17-11e0-8cdb-00038a000015" IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=452e2e20-db17-11e0-8cdb-00038a000015&q={searchTerms}" IE - HKLM\..\SearchScopes\{16804BB5-9DD3-4ECE-B3F6-8D5047766B11}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=452e2e20-db17-11e0-8cdb-00038a000015&q={searchTerms}" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://search.b1.org/?bsrc=4hixr&chid=c167991" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.b1.org/?bsrc=4hixr&chid=c167991" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Before = "http://startsear.ch/?aff=51&cf=452e2e20-db17-11e0-8cdb-00038a000015" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\..\SearchScopes\{08DB2BEB-9619-47C2-B3A4-653AF425F77C}: "URL" = "http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6OyTGLZWDq&i=26" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=452e2e20-db17-11e0-8cdb-00038a000015&q={searchTerms}" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=5E057AA4-A28D-4DB0-88EF-DEF0FE6B2DD8&apn_sauid=704C6140-5CAF-43F5-AF70-0D59346EBCFD" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\..\SearchScopes\{AC129BF9-68BF-4bc4-A1DC-ECB62712FF99}: "URL" = "http://search.kikin.com/search/?q={searchTerms}" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2964267" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://startsear.ch/?src=sp&aff=51&cf=452e2e20-db17-11e0-8cdb-00038a000015&q={searchTerms}" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\..\SearchScopes\{EB71BF8B-65E3-413C-8175-FC16FA910CA8}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&babsrc=SP_ss&mntrId=54dbc839000000000000001fd00d99df" O4 - HKU\S-1-5-21-448539723-1614895754-682003330-1004..\Run: [cdoosoft] C:\DOCUME~1\Roberto\USTAWI~1\Temp\herss.exe File not found O4 - HKU\S-1-5-21-448539723-1614895754-682003330-1004..\Run: [KiesTrayAgent] File not found :Files C:\Documents and Settings\Roberto\Dane aplikacji\skype.ini C:\Documents and Settings\Roberto\Dane aplikacji\skype.dat :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / BabylonObjectInstaller / Incredibar Toolbar on IE / LiveVDO / LiveVDO plugin 1.3 / uTorrentBar Toolbar / vShare Plugin / Yontoo 1.10.03 Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
PerezVCF Opublikowano 9 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2013 Ale w panel sterowania wejść przez tryb awaryjny czy już normalnie Windows sie uruchomi? Odnośnik do komentarza
Landuss Opublikowano 9 Marca 2013 Zgłoś Udostępnij Opublikowano 9 Marca 2013 Windows powinien uruchomić się normalnie i wtedy działaj w panelu. Odnośnik do komentarza
PerezVCF Opublikowano 9 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2013 Proszę OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 10 Marca 2013 Zgłoś Udostępnij Opublikowano 10 Marca 2013 (edytowane) Nie do końca wszystko zostało wykonane także jeszcze: 1. Do deinstalacji także AVG Security Toolbar, IB Updater 2.0.0.574, IB Updater Service, McAfee Security Scan, TornTV, Viewpoint Media Player. 2. Reset Firefox nie wygląda na wykonany. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - [2013-03-07 15:47:35 | 000,060,416 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\31a4c9538c0597bf.sys -- (31a4c9538c0597bf) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://search.b1.org/?bsrc=4hixr&chid=c167991" IE - HKLM\..\SearchScopes\{5F657C9E-7A97-4409-AA15-50D10565BC12}: "URL" = "http://search.aol.com/aolcom/search?query={searchTerms}&invocationType=msie70a" IE - HKCU\..\SearchScopes\{08DB2BEB-9619-47C2-B3A4-653AF425F77C}: "URL" = "http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6OyTGLZWDq&i=26" IE - HKCU\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKCU\..\SearchScopes\{56DFA0C7-DA3A-4064-A59D-C0FAA50A3B2B}: "URL" = "http://search.aol.com/aolcom/search?query={searchTerms}&invocationType=msie70a" IE - HKCU\..\SearchScopes\{5AA2BA46-9913-4DC7-9620-69AB0FA17AE7}: "URL" = "http://search.alot.com/web?q={searchTerms}&pr=prov&client_id=4D3A04A001CC128500520FC0&install_time=2011-05-14T22:21:47Z&src_id=12297&camp_id=2600&tb_version=2.5.20000.3" IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" IE - HKCU\..\SearchScopes\{AC129BF9-68BF-4bc4-A1DC-ECB62712FF99}: "URL" = "http://search.kikin.com/search/?q={searchTerms}" IE - HKCU\..\SearchScopes\{EB71BF8B-65E3-413C-8175-FC16FA910CA8}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&babsrc=SP_ss&mntrId=54dbc839000000000000001fd00d99df" FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}: C:\Program Files\IB Updater\Firefox O4 - HKLM..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" File not found O4 - HKCU..\Run: [cdoosoft] C:\DOCUME~1\Roberto\USTAWI~1\Temp\herss.exe File not found O4 - HKCU..\Run: [KiesTrayAgent] File not found :Files C:\WINDOWS\tasks\Your File Updater.job C:\Program Files\LiveVDO plugin C:\Program Files\mozilla firefox\plugins\npfflivevdoplg.dll C:\Documents and Settings\Roberto\Ustawienia lokalne\Dane aplikacji\B1E C:\Documents and Settings\Roberto\Dane aplikacji\B1Toolbar C:\Documents and Settings\Roberto\Dane aplikacji\iFunbox_UserCache C:\Documents and Settings\Roberto\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Enigma Software Group C:\WINDOWS\System32\sh4native.exe netsh firewall reset /C :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):"autocheck autochk *" [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Search Page Before"=- "Secondary Start Pages"=- "Start Page Before"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Nowy log z OTL do oceny. Edytowane 17 Maja 2013 przez picasso Poprawki instrukcji. //picasso 17.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi