Zablokowało mi kompa :/ help weelsof

[Grzesiek1300]

witam przyplątał mi sie weelsof w wersji 100 200 i 500 zł do wyboru do koloru próbowałem kodami nic nie dało po odłączeniu internetu mam biały ekran próbowałem włączyć go w trybie awaryjnym ale sie restartuje sam komp po chwili działa mi tylko tryb awaryjny z wierszem poleceń otworzyłem nowego urzytkownika na komputerze i tam wszystko działa jak wirus usunol mi antywirusa i pliki instalacyjne antywirusa :/ przesyłam pliki OTL i raport z adwcleaner proszę o pomoc sorry za balagan w pisaniu to moj pierwszy post

Extras.Txt

OTL.Txt

AdwCleanerR1.txt

[picasso]

Posługujesz się kompletnie przestarzałym OTL 3.2.17.3, pozbawionym nowych skanów i poprawek. AdwCleaner nie ma związku z tą infekcją. Poza tym podajesz go, a omijasz obowiązkowy tu log z GMER oraz najważniejsą modyfikację zrobioną "po cichu", czyli użycie ComboFix. Na temat używania tego programu: KLIK. Wyraźnie mówię w zasadach działach, by przedstawić log, jeśli już niestety go użyto. Dostarcz C:\ComboFix.txt.

 

 

wirus usunol mi antywirusa i pliki instalacyjne antywirusa

 

To nie Weelsof to Brontok prędzej, bo są tu oznaki infekcji tym robakiem.

 

 

---

Przechodząc do usuwania infekcji:

 

1. Pobierz najnowszy OTL: KLIK. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL\y]
 
:Files
C:\Users\1\AppData\Roaming\skype.dat
C:\Users\1\AppData\Roaming\skype.ini
C:\Users\1\AppData\Roaming\winsvcns.sys
C:\Users\1\AppData\Roaming\{DCD48218-E972-4D0C-9E5F-43462BC13E3B}
C:\Users\1\AppData\Roaming\Mail.Ru
C:\Users\1\AppData\Roaming\Yandex
C:\Users\1\AppData\Local\*Bron*
C:\Users\1\S-80-5421-8975-4765
C:\Users\1\S-80-5849-4992-4820
C:\Windows\System32\operaprefs_fixed.ini
C:\Windows\9E897D0FF80441A3966C7BB6EB5B6BE8.TMP
C:\Users\1\AppData\Roaming\mozilla
 
:OTL
O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found.
O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found.
SRV - File not found [Auto | Stopped] --  -- (HWDeviceService.exe)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\SymIM.sys -- (SymIMMP)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Blokada zniknie, więc przejdź w Tryb normalny konieczny do wykonania tego:

 

2. Przez Panel sterowania odinstaluj adware 50 FREE MP3s +1 Free Audiobook!, Download Updater (AOL Inc.), Internet Explorer Toolbar 4.7 by SweetPacks, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1, Video Converter Bundle by SweetPacks, Winamp Toolbar oraz wątpliwy skaner SpyHunter.

 

3. Dopiero po tym uruchom AdwCleaner i zastosuj Usuń.

 

4. Zrób nowy log OTL z opcji Skanuj. Ponadto, uruchom SystemLook i w oknie wklej co poniżej i klik w Look:

 

:regfind

mail.ru
yandex

 

Dołącz log utworzony przez AdwCleaner i zaległy C:\ComboFix.txt.

 

 

 

.

[Grzesiek1300]

witam przesyłam log z adwcleaner i przy okazji z otl ale zabij mnie i nie mogę znaleźć nigdzie raportu combofix ale komp już w pełni działa śmiga jak marzenie wiec z góry dziękuje bardzo za wszystko i obiecuje ze jak dostane wypłatę na konto to nie zapomnę o dotacji

 

jeszcze mam pytanie czy zna Pani jakiegos dobrego i najlepiej darmowego antywirusa ????

AdwCleanerS1laa.txt

Extras1.Txt

OTL1.Txt

SystemLook.txt

[diox]

Co masz w folderze C:\Qoobox ?

Co do antywirusa, np. Avast!.

[Grzesiek1300]

to chyba pozostałość po combofixie bo niestety uzywalem juz go nie mam

[diox]

Nie masz tego folderu? Kasowałeś ComboFixa? Jak usunąłeś?

[picasso]

Sprawa nie ukończona, jeszcze należy usunąć Mail.Ru / Yandex z rejestru, szczątki SpyHunter oraz prawidłowo posprzątać na koniec.

 

1. W Google Chrome jest nadal rosyjska strona startowa oraz zdeaktywowana wyszukiwarka:

 

========== Chrome ==========
 

CHR - default_search_provider: (Disabled)

CHR - default_search_provider: search_url =

CHR - default_search_provider: suggest_url =

CHR - homepage: http://mail.ru/cnt/7993/

 

Wejdź do opcji przeglądarki, stronę startową Mail.ru usuń z listy + ustaw jako domyślną wyszukiwarkę Google.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fd\DefaultIcon]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mail.Ru]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{471117BE-13D8-49B3-916F-1DEDD58935B6}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{BDA87226-64BC-4546-8E69-239D46EE53D7}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Activities]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\\Users\\1\\AppData\\Roaming\\Yandex\\"=-
"C:\\Users\\1\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\nahd6ha2.default\\extensions\\staged\\yasearch@yandex.ru\\cbapp\\parts\\platform\\"=-
"C:\\Users\\1\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\nahd6ha2.default\\extensions\\staged\\yasearch@yandex.ru\\cbapp\\parts\\"=-
"C:\\Users\\1\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\nahd6ha2.default\\extensions\\staged\\yasearch@yandex.ru\\cbapp\\"=-
"C:\\Users\\1\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\nahd6ha2.default\\extensions\\staged\\yasearch@yandex.ru\\"=-
"C:\\Users\\1\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\nahd6ha2.default\\extensions\\staged\\yasearch@yandex.ru\\cbapp\\parts\\xb\\ui\\behaviour\\"=-
"C:\\Users\\1\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\nahd6ha2.default\\extensions\\staged\\yasearch@yandex.ru\\cbapp\\parts\\xb\\ui\\"=-
"C:\\Users\\1\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\nahd6ha2.default\\extensions\\staged\\yasearch@yandex.ru\\cbapp\\parts\\xb\\"=-
"C:\\Users\\1\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\nahd6ha2.default\\extensions\\staged\\yasearch@yandex.ru\\modules\\"=-
"C:\\Users\\1\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\nahd6ha2.default\\extensions\\staged\\yasearch@yandex.ru\\components\\"=-
"C:\\Users\\1\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\nahd6ha2.default\\extensions\\staged\\yasearch@yandex.ru\\modules\\foundation\\"=-
"C:\\Users\\1\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\nahd6ha2.default\\extensions\\staged\\yasearch@yandex.ru\\META-INF\\"=-
"C:\\Users\\1\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\nahd6ha2.default\\extensions\\staged\\yasearch@yandex.ru\\defaults\\preferences\\"=-
"C:\\Users\\1\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\nahd6ha2.default\\extensions\\staged\\yasearch@yandex.ru\\defaults\\"=-
"C:\\Users\\1\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\nahd6ha2.default\\extensions\\staged\\yasearch@yandex.ru\\cbapp\\parts\\native\\"=-
"C:\\Users\\1\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\nahd6ha2.default\\extensions\\staged\\yasearch@yandex.ru\\chrome\\"=-
"C:\\Users\\1\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\nahd6ha2.default\\extensions\\staged\\yasearch@yandex.ru\\defaults\\dynamic-preferences\\"=-
"C:\\Users\\1\\AppData\\Local\\Yandex\Updater\\"=-
"C:\\Users\\1\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\nahd6ha2.default\\yandex-offer\\"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\05E88EE23E3D79A4DA62E61D5D4B6A37]
"3C7FC57F13BAE4E43AD850D136E42E6A"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\17761764B5486134D8FE4269928D096C]
"3C7FC57F13BAE4E43AD850D136E42E6A"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\191C01BF338DA4444895D1BC15944B2C]
"3C7FC57F13BAE4E43AD850D136E42E6A"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\20CC33F45422D2B49876CA9F4ABE646D]
"3C7FC57F13BAE4E43AD850D136E42E6A"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\249ED7E5A5DDC984CA88D656ACBDCE34]
"3C7FC57F13BAE4E43AD850D136E42E6A"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\30A1C4876D8E468439A93A9BCE9A02B4]
"3C7FC57F13BAE4E43AD850D136E42E6A"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\4FAC334063C7EA341BCD3ACE99FA82C5]
"3C7FC57F13BAE4E43AD850D136E42E6A"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\602D8C81456A6AD4187AF036F1ACBA90]
"3C7FC57F13BAE4E43AD850D136E42E6A"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\62395BDD7945E8C4A8F996E6595B46BE]
"3C7FC57F13BAE4E43AD850D136E42E6A"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\808A14F8D29D2A54B9B2677FB62BFC36]
"3C7FC57F13BAE4E43AD850D136E42E6A"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\974288A8959BB634A88E1D435EA8EBDB]
"3C7FC57F13BAE4E43AD850D136E42E6A"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9E5F37388F77C6344967A89E18E3FCB7]
"3C7FC57F13BAE4E43AD850D136E42E6A"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A7A1A3DDCE0EBC74997338A38F966435]
"3C7FC57F13BAE4E43AD850D136E42E6A"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B2EBC30C67AE7384486A9868B3CA2DF7]
"3C7FC57F13BAE4E43AD850D136E42E6A"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B5EEAE0E07773CF47BFA519A9D2DE038]
"3C7FC57F13BAE4E43AD850D136E42E6A"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D3E48114A9E049F4AB07EB22D21AB049]
"3C7FC57F13BAE4E43AD850D136E42E6A"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DDE3FB37D8E4F3D49B9E30F73ED04C80]
"3C7FC57F13BAE4E43AD850D136E42E6A"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E4ABB0180203A4A4DADC301360B9BA32]
"3C7FC57F13BAE4E43AD850D136E42E6A"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37E4CAD4-EF08-462C-9142-0D8DAF2126EA}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{52D4CEF4-472D-4760-8826-D496CB7839C0}]
 
[-HKEY_CURRENT_USER\Software\AppDataLow\Software\Mail.Ru]
 
[-HKEY_CURRENT_USER\Software\AppDataLow\Software\Yandex]
 
[-HKEY_CURRENT_USER\Software\Classes\.crx]
 
[-HKEY_CURRENT_USER\Software\Classes\YandexBrowser.crx]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\4eea1e35_0]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\f8faa002_0]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{0DF1ABD2-D97D-4F99-948C-B2D9EECC2728}]
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{86745113-8263-4302-BE26-D8600A8173CF}]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\Yandex]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\yandex.ru-140556]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\yandex.ru-163515]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\yandex.ru-163959]
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"=-
 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\YandexBrowser]
 
[-HKEY_CURRENT_USER\Software\Yandex]
 
[-HKEY_USERS\S-1-5-18\Software\Mail.Ru]
 
[-HKEY_USERS\S-1-5-18\Software\AppDataLow\Software\Yandex]
 
[-HKEY_USERS\S-1-5-18\Software\AppDataLow\Yandex]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL


DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)

[2013-03-16 14:47:44 | 000,001,006 | ---- | M] () -- C:\Users\1\Desktop\SpyHunter4 — skrót.lnk

[2013-03-16 13:41:49 | 000,000,000 | ---D | C] -- C:\sh4ldr

[2013-03-16 13:41:49 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group

[2013-03-16 11:48:58 | 000,318,976 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\cmd.execf

[2013-03-16 11:48:53 | 000,000,000 | ---D | C] -- C:\32788R22FWJFW

 

Klik w Wykonaj skrypt.

 

 

 

 

.

Edytowane 17 Maja 2013 przez picasso
17.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso