mnx7 Opublikowano 28 Czerwca 2012 Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Witam Mój komputer został zaatakowany przez wirus weelsof, tzn około minute po uruchomianiu pojawia się białe tło z czerwonymi paskami i informacji o zablokowaniu mojego komputera z powodu odwiedzania nielegalnych stron internetowych, dalej jest informacja o tym aby odblokować komputer należy wykupić voucher za 100 euro i wpisać kod, po czym komputer będzie odblokowany. Po prawej stronie znajduje się ramka do wpisania kodu i przycisk "wyślij kod". Szukałem a internecie jakichś porad na ten temat, dowiedziałem się tylko, że wirus sprawdza początek kodu a reszta może być dowolna, znalazłem generator kodów ale po wpisaniu kodu za każdym razem pojawia się napis wrong code ... Komputer odblokowuje się jak nacisnę przycisk wyłączenia i anuluje wymuszone wyłączanie. Proszę o pomoc OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2012 Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-2797196238-4173465903-2905242863-1000..\Run: [taskmsr] C:\Users\e0n\AppData\Roaming\taskmsr\taskmsr.exe () O4 - HKU\S-1-5-21-2797196238-4173465903-2905242863-1000..\Run: [Windows Login access] C:\Users\e0n\AppData\Roaming\web2net.exe () [2012/06/27 23:05:23 | 000,000,000 | RHSD | C] -- C:\Users\e0n\AppData\Roaming\taskmsr [2012/06/26 23:18:32 | 000,000,000 | ---D | C] -- C:\Users\e0n\P-7-78-8964-9648-3874 [2011/11/14 01:44:14 | 000,000,139 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Suche.src FF - prefs.js..browser.search.defaultenginename: "Suche" FF - prefs.js..browser.search.order.1: "Suche" FF - prefs.js..browser.search.selectedEngine: "Suche" FF - prefs.js..browser.startup.homepage: "http://domredi.com/1/" FF - prefs.js..keyword.URL: "http://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" FF - prefs.js..browser.startup.homepage: "http://www.premierarticles.info" FF - user.js..browser.search.selectedEngine: "Suche" FF - user.js..browser.search.order.1: "Suche" FF - user.js..browser.search.defaultenginename: "Suche" FF - user.js..keyword.URL: "http://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System będzie restartował, nastąpi odblokowanie, w katalogu C:\_OTL pojawi się log z wynikami usuwania. 2. Przejdź do Panelu sterowania i odinstaluj: Download Updater (AOL LLC) + SweetIM Toolbar for Internet Explorer 4.2 + x-plugin-0. Popraw przez AdwCleaner z opcji Delete. 3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi z usuwania narzędziami w punktach 1+2. . Odnośnik do komentarza
mnx7 Opublikowano 28 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 po problemie ! dziękuje bardzo ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-2797196238-4173465903-2905242863-1000\Software\Microsoft\Windows\CurrentVersion\Run\\taskmsr deleted successfully. C:\Users\e0n\AppData\Roaming\taskmsr\taskmsr.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-2797196238-4173465903-2905242863-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Login access deleted successfully. C:\Users\e0n\AppData\Roaming\web2net.exe moved successfully. C:\Users\e0n\AppData\Roaming\taskmsr folder moved successfully. C:\Users\e0n\P-7-78-8964-9648-3874 folder moved successfully. C:\Program Files (x86)\Mozilla Firefox\searchplugins\Suche.src moved successfully. Prefs.js: "Suche" removed from browser.search.defaultenginename Prefs.js: "Suche" removed from browser.search.order.1 Prefs.js: "Suche" removed from browser.search.selectedEngine Prefs.js: "http://domredi.com/1/" removed from browser.startup.homepage Prefs.js: "http://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" removed from keyword.URL Prefs.js: "http://www.premierarticles.info" removed from browser.startup.homepage C:\Users\e0n\AppData\Roaming\Mozilla\FireFox\Profiles\x4glnmwi.default\user.js moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}\ deleted successfully. ========== REGISTRY ========== HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully! Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C360-6118-11DC-9C72-001320C79847}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}\ not found. Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D7562AE-8EF6-416d-A838-AB665251703A}\ not found. Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C360-6118-11DC-9C72-001320C79847}\ not found. Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}\ not found. ========== COMMANDS ========== Error: Unable to interpret <[emptytemp> in the current context! OTL by OldTimer - Version 3.2.53.0 log created on 06282012_132746 inaczej sie nie dalo AdwCleanerS2.txtPobieranie informacji ... OTL2.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2012 Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Źle wkleiłeś skrypt, obciąłeś końcową klamrę, a skutkiem jest niewykonanie czyszczenia plików tymczasowych: Error: Unable to interpret in the current context! 1. Uruchom OTL i do okna Własne opcje skanowania / skrypt wklej (przypominam o klamrze na końcu): :OTL FF - HKLM\Software\MozillaPlugins\@gamersfirst.com/LiveLauncher: C:\Program Files (x86)\GamersFirst\LIVE!\nplivelauncher.dll File not found O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-18272BE37E29} - No CLSID value found. [2012/06/28 13:34:03 | 000,000,000 | ---D | M] -- C:\Users\e0n\AppData\Roaming\xplugin :Commands [emptytemp] Klik w Wykonaj skrypt. System będzie restartował. 2. Wystarczy do oceny tylko log z wynikami usuwania. Wklej do posta. Apropos: Cytat inaczej sie nie dalo Jeśli masz na myśli niemożność bezpośredniego dołączenia pliku z usuwania (błąd "braku uprawnień"), dało się. Próbujesz dołączać format *.LOG, a załączniki akceptują tylko *.TXT. Solucja: zmiana nazwy pliku. Ale log krótki i może być wprost wklejony do posta. . Odnośnik do komentarza
mnx7 Opublikowano 28 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 All processes killed ========== OTL ========== Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@gamersfirst.com/LiveLauncher\ deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{DFEFCDEE-CF1A-4FC8-88AD-18272BE37E29} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFEFCDEE-CF1A-4FC8-88AD-18272BE37E29}\ not found. C:\Users\e0n\AppData\Roaming\xplugin folder moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 396 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: e0n ->Temp folder emptied: 912492114 bytes ->Temporary Internet Files folder emptied: 768440456 bytes ->Java cache emptied: 409612 bytes ->FireFox cache emptied: 869807727 bytes ->Google Chrome cache emptied: 23449105 bytes ->Flash cache emptied: 8128484 bytes User: Gość User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 258379281 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 69186 bytes RecycleBin emptied: 101895332 bytes Total Files Cleaned = 2,807.00 mb OTL by OldTimer - Version 3.2.53.0 log created on 06282012_144743 Files\Folders moved on Reboot... C:\Users\e0n\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. C:\Users\e0n\AppData\Local\Temp\MMDUtl.log moved successfully. File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot. File move failed. C:\Windows\temp\dsiwmis.log scheduled to be moved on reboot. File move failed. C:\Windows\temp\LMutilps.log scheduled to be moved on reboot. PendingFileRenameOperations files... File C:\Users\e0n\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found! File C:\Users\e0n\AppData\Local\Temp\MMDUtl.log not found! [2012/06/28 14:50:01 | 000,000,000 | ---- | M] () C:\Windows\temp\_avast_\Webshlock.txt : Unable to obtain MD5 [2012/06/28 14:50:20 | 000,955,044 | ---- | M] () C:\Windows\temp\dsiwmis.log : Unable to obtain MD5 [2012/06/28 14:50:20 | 001,405,381 | ---- | M] () C:\Windows\temp\LMutilps.log : Unable to obtain MD5 Registry entries deleted on Reboot... Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2012 Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Wszystko wykonane poprawnie. Przechodzimy do finalizacji: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Aktualizacje: KLIK. Do weryfikacji / aktualizacji następujące pozycje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.5.1 MUI"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"avast" = avast! Free Antivirus"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-2797196238-4173465903-2905242863-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome 4. Na wszelki wypadek zmień hasła logowania w serwisach. PS. I rozważ alternatywę dla zasobożernego potwora GG10. Do wglądu materiał Darmowe komunikatory. . Odnośnik do komentarza
Rekomendowane odpowiedzi