Kama Opublikowano 2 Czerwca 2013 Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 Witam. Mam problem z usunięciem wirusa Weelsof, który rzekomo przejmuje nasz komputer przez policję. Szukałam już dużo na ten temat i znam kilka sposobów, jednak problem pojawia się w momencie próby naprawy systemu. Nie mogę uruchomić komputera w trybie awaryjnym i w trybie awaryjnym z dostępem do sieci, ponieważ po kilku sekundach komputer restartuje się do normalnego trybu i pojawia się ten sam komunikat. Tryb awaryjny z wierszem poleceń działa. Próbowałam już odznaczyć wszystkie nieznane mi aplikacje w msconfig, jednak to nic nie dało. Tematyka OTL i innych jest mi kompletnie nieznana, dlatego proszę o szczegółowe wyjaśnienia. Za pomoc z góry dziękuję. Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2013 Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 Tryb awaryjny z wierszem poleceń działa. To wystarczy. - Pobierz OTL i zapisz na pendrive. Podepnij pendrive do zainfekowanego systemu. - Wejdź w Tryb awaryjny z Wierszem polecenia, loguj się na właściwe zainfekowane konto. Wpisz komendę notepad i ENTER co otworzy Notatnik. W Notatniku z menu Plik > Otwórz > z boku klik w Komputer i sprawdź pod jaką literą widać pendrive. - Następnie w linii komend wpisz X:\OTL.exe (gdzie X = litera pendrive pobrana poprzez Notatnik) i ENTER. Uruchomi się program, robisz skan, logi zostaną zapisane na pendrive i tu je dostarczasz do oceny. . Odnośnik do komentarza
Kama Opublikowano 2 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 Proszę, oto wynik skanu. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2013 Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 To jest niepełny log, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Prócz infekcji jest też adware. Przechodzimy do czyszczenia:1. Przygotuj skrypt usuwający. W Notatniku zapisz plik o treści::FilesC:\Users\Kamila\AppData\Roaming\skype.datC:\Users\Kamila\AppData\Roaming\skype.iniC:\Users\Kamila\AppData\Roaming\BabMaint.exe:Reg[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"=-:Commands[emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik umieść na pendrive.2. Wejdź w Tryb awaryjny z Wierszem polecenia. W linii komend wklep polecenie notepad i w Notatniku otwórz plik zrobiony w punkcie 1. Następnie uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej treść pliku z Notatnika i klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu F:\_OTL powstanie log z wynikami usuwania.3. System zostanie odblokowany. Logujesz się normalnie i przechodzisz do usunięcia adware:- Przez Panel sterowania odinstaluj: Ask Toolbar, Ask Toolbar Updater, BrowserProtect, McAfee Security Scan.- Następnie powtórz deinstalację Ask Toolbar po kolei w przeglądarkach: w Google Chrome w Rozszerzeniach + w Firefox w Dodatkach.4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.5. Zrób nowy log OTL z opcji Skanuj (przypominam o pliku Extras). Dołącz log z usuwania OTL z punktu 2 oraz log utworzony przez AdwCleaner.. Odnośnik do komentarza
Kama Opublikowano 3 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2013 Mam nadzieję, że tym razem dobrze wykonałam AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2013 Zgłoś Udostępnij Opublikowano 3 Czerwca 2013 Nadal brakuje pliku Extras. Skan OTL ma utworzyć dwa pliki: log główny (dodałeś) i log dodatkowy Extras (nie podałeś). Mówiłam jaka opcja powoduje, że powstaje plik Extras. Odnośnik do komentarza
Kama Opublikowano 3 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2013 Przepraszam - tu wychodzi mój brak wiedzy na te tamaty. Extras.Txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2013 Zgłoś Udostępnij Opublikowano 3 Czerwca 2013 Akcje wykonane. Kończymy: 1. Drobna poprawka na domyślne wyszukiwarki IE nadpisane przez AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{140AC671-8D2C-45FD-9865-C870D379F711}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{98D74D62-FC27-43D5-995C-2858B23C7755}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Usuń wszystkie stare Java (m.in. ich luki prowadzą to tej infekcji), zaktualizuj Adobe Reader i starego Firefoxa: KLIK. Wg Extras są tu zainstalowane następujące wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33 "{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17 "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.1) "Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl) Dodatkowa uwaga poboczna: jest także zainstalowane Gadu-Gadu 10. Toto już stare i strasznie kiepskie. Albo sprawdź jak wygląda najnowsze GG11, albo alternatywne programy (WTW, Kadu, Miranda NG, AQQ): KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi