Weelsof

[marciano]

Witam,

 

Znowu mnie dopadł wirus Weelsof albo coś w tym rodzaju (Wyświetla się okno"Cyberpolicji"). Odznaczyłem go póki co w autostarcie.

Logi z OTL:

Extras - http://www.wklej.org/id/1105594/
OTL - http://www.wklej.org/id/1105593/

 

Prośba o pomoc.

 

Pozdr.,

[picasso]

Odznaczyłeś w starcie = nie wiadomo co to było, gdyż OTL na ustawieniach domyślnych nie skanuje msconfig. Na razie widzę tylko szczątki infekcji na dysku. Przeprowadź następujące działania:

 

1. Na początek drobne porządki po adware:

- Przez Panel sterowania odinstaluj zbędny McAfee Security Scan.

- Wyczyść preferencje Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-1034896762-105475695-347534386-1000\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EnableShellExecuteHooks = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: HideFastUserSwitching = 0
O7 - HKU\S-1-5-21-1034896762-105475695-347534386-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0
O7 - HKU\S-1-5-21-1034896762-105475695-347534386-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 0
[2013-08-11 00:01:34 | 000,000,165 | ---- | M] () -- C:\ProgramData\uyqfmuncfpwcgmsmglj.reg
[2013-08-11 00:01:34 | 000,000,070 | ---- | M] () -- C:\ProgramData\uyqfmuncfpwcgmsmglj.bat
[2013-08-10 18:00:02 | 000,000,464 | ---- | M] () -- C:\Windows\tasks\ParetoLogic Registration.job
[2013-02-23 17:16:26 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Bofob
[2013-02-28 19:56:24 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Egadl
[2013-03-02 14:36:21 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Ergyy
[2013-02-20 17:37:23 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Ewapz
[2013-02-24 17:08:09 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Hoxuh
[2013-02-23 17:16:26 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Oxegn
[2013-03-01 20:50:42 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Vuyg
[2013-02-28 19:56:24 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Vyadro
[2013-02-23 17:16:26 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Ydvi
[2013-02-24 17:08:09 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Yfxywo
[2013-02-24 17:08:09 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Ywhae
[2013-02-28 19:56:24 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Zytay
[2012-11-24 05:44:16 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\_MDLogs
 
:Reg
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej słowo msconfig i klik w Skanuj (a nie Wykonaj skrypt). Przedstaw wynikowy log.

 

 

 

.

Edytowane 20 Września 2013 przez picasso
20.09.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso