Blokada komputera - Weelsof

[Ceremoniarz]

Witam,

 

otrzymałem laptopa, który zainfekowany jest wirusem weelsof. Przy próbie włączenia trybu awaryjnego komputer się wyłącza, więc do konsoli cmd dostałem się poprzez "Napraw komputer". Wykonałem niestety tylko raport FRST, gdyż podczas próby uruchomienia OTL, GREM, czy OTH w konsoli wyskakuje informacja "the subsystem needed to support the image type is not present". Bardzo proszę o pomoc w jego usunięciu.

 

Pozdrawiam

FRST.txt

[picasso]

Wykonałem niestety tylko raport FRST, gdyż podczas próby uruchomienia OTL, GREM, czy OTH w konsoli wyskakuje informacja "the subsystem needed to support the image type is not present".

OTL (w postaci jaka jest uruchamiana spod Windows) i GMER w ogóle się nie uruchomią w środowisku zewnętrznym. Przecież jest napisane w przyklejonym jakie skanery się aplikują: KLIK. A nawet gdyby była taka możliwość, to nie w przypadku tego systemu. System x64 i wszystko co się uruchamia w linii komend "Napraw komputer" musi być natywnie 64-bitowe.

 

W kwestii infekcji: siedzi tu wariant modyfikujący usługę Instrumentacji Windows w kombinacji z rogue "Smart Guard Protection". Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

S2 Winmgmt; C:\ProgramData\7tbnrabnw.zvv [61536 2013-12-17] (Microsoft Corporation)
HKLM\...\Policies\Explorer\Run: [1914] - c:\progra~3\msmqic.exe No File
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\Mariusz\...\Run: [AdobeBridge] - [x]
C:\Users\Mariusz\AppData\Local\Temp\*.exe
C:\Users\Mariusz\AppData\Roaming\9PX9tbY2jLO.mkj
C:\Users\Mariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7tbnrabnw.lnk
C:\Users\Mariusz\Desktop\Smart Guard Protection.lnk
C:\Users\Mariusz\Desktop\Smart Guard Protection support.url
C:\ProgramData\3XDV9nRn
C:\ProgramData\7tbnrabnw.zvv
C:\ProgramData\7tbnrabnw.reg
C:\ProgramData\7tbnrabnw.fee
C:\ProgramData\7tbnrabnw.odd
C:\ProgramData\wnbarnbt7.jss
C:\ProgramData\ms56283FDA.dat
C:\found.*

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zresetuj system i wejdź w Tryb normalny. Przez Panel sterowania odinstaluj zbędny McAfee Security Scan Plus (instalacja sponsoringowa).

 

3. Zrób nowy skan FRST (spod Windows), zaznacz pole Addition, by powstał też drugi log. Dołącz plik fixlog.txt.

 

 

.

[Ceremoniarz]

Dziękuje za pomoc Udało się uruchomić komputer w trybie normalnym - usunąłem McAfee i wykonałem skan.

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Wszystko zrobione. Ten "Smart Guard Protection" jest jeszcze w Menu Start, usuń go ręcznie stamtąd. Natomiast tu jeszcze do usuwania jest adware i pod tym kątem:

 

1. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, V9 Homepage Uninstaller oraz wszystkie stare Java (to jedna z przyczyn infekcji blokujących system) i wtyczki Adobe (Flash, Reader).

 

2. Firefox zabrudzony, ale czyszczenie nieopłacalne, to archaiczna dziurawa wersja Firefox 3.6.13 i należy się jej pozbyć. O ile potrzebne, skopiuj zakładki + hasła (i nic więcej) za pomocą MozBackup. Następnie odinstaluj Firefox, przy pytaniu o usuwanie danych użytkownika wyraź zgodę.

 

3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Uruchom TFC - Temp Cleaner.

 

6. Zrób nowy skan FRST (bez Addition). Dołącz log z AdwCleaner.

 

Będą po tym jeszcze poprawki.

 

 

 

.

[Ceremoniarz]

Starałem się wszystko wykonać według Twojej instrukcji

 

Załączam raporty.

AdwCleanerR0.txt

AdwCleanerS0.txt

FRST.txt

[picasso]

Firefox nie wygląda na odinstalowany, lub deinstalacja była mierna. Potwierdź mi, że go odinstalowałeś i nie widać go już w Panelu sterowania na liście programów, a przejdę do wykończenia go z dysku i rejestru.

 

 

 

.

[Ceremoniarz]

W załączniku dodaje Prt Sc z panelu sterowania w układzie alfabetycznym programów.

[picasso]

OK, czyli zielone światło do usuwania szczątków Firefox:

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\...\Policies\Explorer: [TaskbarNoNotification] 1
HKCU\...\Policies\Explorer: [HideSCAHealth] 1
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll No File
BHO-x32: No Name - {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
C:\found.000
C:\found.001
C:\found.002
C:\ProgramData\Mozilla
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\v9Soft
C:\Users\Mariusz\AppData\Local\Mozilla
C:\Users\Mariusz\AppData\Roaming\Mozilla
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Ponownie zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

 

.