Wirus Weelsof

[MasQL]

Witam,

Zostałem zaatakowany wirusem Weelsof, udało mi się włączyć komputer i zrobić skan OTL i GMER.

W załączniku zamieszczam raport końcowy wraz z prośbą o przejrzenie, interpretacje i ewentualne wskazówki odnośnie zakończenia procesu i dalszego postępowania.

Pozdrawiam

Extras.Txt

GMER.txt

OTL.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.maxiwe.com
IE - HKLM\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=as1212y&ir=as1212y&cd=2XzuyEtN2Y1L1QzutDyCtC0FtA0AtAyDtB0DzytC0CzztDzytN0D0Tzu0CtAyEyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=922197144
IE - HKU\S-1-5-21-3323371879-4211962219-1113840987-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119370&tt=190313_wo2&babsrc=SP_ss&mntrId=9E7F061F3A352D91
IE - HKU\S-1-5-21-3323371879-4211962219-1113840987-1000\..\SearchScopes\{47908A81-7389-4E8B-BA1B-8AC173E6E295}: "URL" = http://search.aol.pl/aol/search?s_it=tb50winamp&q={searchTerms}
IE - HKU\S-1-5-21-3323371879-4211962219-1113840987-1000\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=as1212y&ir=as1212y&cd=2XzuyEtN2Y1L1QzutDyCtC0FtA0AtAyDtB0DzytC0CzztDzytN0D0Tzu0CtAyEyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=922197144
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [uIExec] "C:\Program Files\Cyfrowy Polsat\MF669\UIExec.exe" File not found
O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found
O4 - HKU\S-1-5-21-3323371879-4211962219-1113840987-1000..\Run: [MSConfig] C:\Users\aaa\wegy.exe ()
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnet.sys -- (ZTEusbnet)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter)
 
:Files
C:\Users\aaa\AppData\Roaming\skype.dat
C:\Users\aaa\AppData\Roaming\Babylon
C:\Users\aaa\AppData\Local\funmoods-speeddial_sf.crx
C:\Users\aaa\AppData\Local\funmoods.crx
C:\Users\aaa\AppData\Local\Google
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mixiedj
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Google]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Google]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Odinstaluj adware:

- Przez Panel sterowania : Download Updater (AOL Inc.), Funmoods, MaintenanceService-Funmoods oraz McAfee Security Scan Plus (sponsor paczek Adobe).

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[MasQL]

Wszystko zrobione, zamieszczam logi:

 

AdwCleanerS1.txt

OTL.Txt

[picasso]

Wpis trojana nadal w starcie, a przecież był zadany do usuwania. Nie wykonałeś resetu Firefox (nadal zaśmiecony), AdwCleaner nie miał prawa nic grzebać w preferencjach po wykonaniu tej czynności. Kolejne podejście:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-3323371879-4211962219-1113840987-1000..\Run: [MSConfig] C:\Users\aaa\wegy.exe ()
[2013-05-02 20:09:38 | 000,000,000 | -HSD | C] -- C:\found.000
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

2. W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[MasQL]

Czekam na dalsze instrukcje

OTL.Txt

Log po usuwaniu.txt

[picasso]

Nic z tego. OTL to jakoby usuwa, a po restarcie nowy raport pokazuje niezmiennie to samo. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Przedstaw wynikowy raport.



.

[MasQL]

Proszę bardzo, log z MBAM

MBAM-log-2013-05-03 (11-45-18).txt

[picasso]

1. Wszędzie "Nie wykonano akcji". Usuń wykryte wpisy za pomocą programu.

 

2. Zresetuj system. Zrób nowy log OTL z opcji Skanuj.

 

 

.

[MasQL]

Zamieszczam tylko plik "OTL.txt" ponieważ nie mogę znaleść pliku "Extras.txt".

OTL.Txt

[picasso]

Po pierwsze: w opisie OTL masz wyjaśnione dlaczego nie powstaje plik Extras. Po drugie: ten plik nie jest mi już w ogóle potrzebny, mam go w pierwszym poście i powtarzanie tego skanu nic nie wnosi do sprawy.

 

MBAM dał radę, infekcja pomyślnie zniknęła ze startu. Możemy przejść do wykończeń:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj stare wtyczki Adobe i Java (to m.in. jej luki utylizuje Weelsof), zastąp najnowszymi: KLIK. Wg raportu posiadasz wersje:

 

Internet Explorer (Version = 9.0.8112.16421)
 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

"Macromedia Shockwave Player" = Macromedia Shockwave Player
 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()

 

4. I nie posiadasz aktualnie żadnego programu ochronnego. Prócz standardowego antywirusa sugeruję rozwiązanie wirtualizacyjne w typie SandBoxie.

 

 

.

[MasQL]

Dziękuje Pani bardzo  

Ogólnie rzecz biorąc laptop nie jest mój tylko kolegi, u mnie zawsze jest antywirus  

Ostatnie pytanie:

Czy dotacje można nadal składać na te konta które podane są tutaj: https://www.fixitpc.pl/topic/2595-przycisk-dotacji-wsparcie-finansowe-dla-forum/

 

Pozdrawiam

[picasso]

Ogólnie rzecz biorąc laptop nie jest mój tylko kolegi, u mnie zawsze jest antywirus

 

Toteż "poinstruuj" kolegę.

 

 

Czy dotacje można nadal składać na te konta które podane są tutaj

 

Wielkie dzięki za zainteresowanie. Tak, dane aktualne.

 

 

Temat rozwiązany. Zamykam.

 

 

 

.