Zablokowany przez Weelsof

[skinner87]

Witam

Mój komputer został zaatakowany przez wirus weelsof. Skąd to wiem? Wyszukałem w Googlach taka stronę: http://www.wirtualnemedia.pl/artykul/uwaga-na-wirusa-weelsof-zada-100-euro-za-odblokowanie-komputera# . Niestety nie pomne, co wpisałem w Google, by to znaleźć... Tu potwierdziły się przypuszczenia ze to wirus, i ta strona pozwoliła mi go "nazwać". Różnica jest taka ze mój wirus świadom jest mojej biedy, i prosi o złotówki, nie euro.

 

Drugim moim krokiem była panika, a potem pomocy wołanie. Użyłem "Malwarebytes Anti-malware", ale nie znalazło nic. Potem użyłem za porada kumpla Spybot - Search & Destroy, chętnie podam jego wyniki pracy ale nie wiem gdzie ich szukać. Coś znalazł i usunął, ale nic to nie dało.

Potem użyłem programu Kaspersky Rescue Disk 27.06.2012 , ale tez nie nawojował. No i jestem w kropce. Pracować na kompie się nie da, bo co to za praca na trybie awaryjnym ( gdzie mam neta), a obrazu który wirus generuje nijak zdjąć nie można. Wpisywanie kodów z generatora tez niewiele dało ( chociaż spróbowałem tego ledwie kilka razy, na początku)

 

 

jak doszło do infekcji? Dostałem maila, od "beaty kowal", kobiety nie znam, ale czekałem na informacje newsletterem z internetowego sklepu, myślałem ze to może właśnie jest on, i klikłem nie myśląc. Strona gdzieś mnie chciała przekierować ale wyłączyłem. Niestety nie pamiętam co na tej stronie było. Felerny adres to: hxxp://rafflescatering.com/jtosag.html

 

Ps: dodam jedynie ze jestem kompletnie zielony w tym temacie, i juz wstępnie przepraszam za moje nie-kumanie

OTL.Txt

Extras.Txt

[picasso]

Potem użyłem za porada kumpla Spybot - Search & Destroy, chętnie podam jego wyniki pracy ale nie wiem gdzie ich szukać. Coś znalazł i usunął, ale nic to nie dało.

 

Kumpel siedzi w średniowieczu diagnostyki. Ten program jest przestarzały, nieodporny i technicznie niezdolny pracować na wyższym poziomie niż user mode. W przeszłości był pomocny, w bieżących warunkach to ostatnie co polecę do skanowania i gdy widzę u kogoś ten program sugeruję deinstalację, coby się nie łudzić w dobre zabezpieczenia. Tu na dodatek jeszcze słaba zgodność z platformą operacyjną, posiadasz system 64-bit, Spybot jest 32-bitowy i nie widzi połowy Twojego systemu.

 

 

---

Przechodząc do usuwania zasadniczego:

 

1. Odblokowanie komputera i usunięcie odpadków adware. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [uuzkbhplfssupuj] C:\ProgramData\uuzkbhpl.exe ()
O4 - HKU\S-1-5-21-3838177539-63238664-746215969-1000..\Run: [uuzkbhplfssupuj] C:\ProgramData\uuzkbhpl.exe ()
[2012-06-28 15:17:14 | 000,000,000 | ---D | C] -- C:\ProgramData\fxvsllyuanlfzvj
[2012-06-28 15:17:16 | 000,000,052 | ---- | M] () -- C:\ProgramData\lnvdmlvhibxklfx
[2012-06-28 15:17:08 | 000,112,640 | ---- | M] () -- C:\ProgramData\qqrbtusl.exe
IE - HKU\S-1-5-21-3838177539-63238664-746215969-1000\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - No CLSID value found
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3:64bit: - HKU\S-1-5-21-3838177539-63238664-746215969-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System będzie restartował, nastąpi odblokowanie, w katalogu C:\_OTL pojawi się log z wynikami usuwania.

 

2. System ma dziwnie zmodyfikowany plik HOSTS. Skorzystaj z automatu Fix-it do resetu tego pliku: KB972034

 

3. Odinstaluj FileServe Manager (adware: KLIK) w menedżerze dodatków Firefox oraz w Panelu sterowania. Zastosuj AdwCleaner z opcji Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi z usuwania narzędziami w punktach 1+3.

 

 

 

.

[skinner87]

log po restarcie:

 

All processes killed

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\uuzkbhplfssupuj deleted successfully.

C:\ProgramData\uuzkbhpl.exe moved successfully.

Registry value HKEY_USERS\S-1-5-21-3838177539-63238664-746215969-1000\Software\Microsoft\Windows\CurrentVersion\Run\\uuzkbhplfssupuj deleted successfully.

File C:\ProgramData\uuzkbhpl.exe not found.

C:\ProgramData\fxvsllyuanlfzvj folder moved successfully.

C:\ProgramData\lnvdmlvhibxklfx moved successfully.

C:\ProgramData\qqrbtusl.exe moved successfully.

Registry value HKEY_USERS\S-1-5-21-3838177539-63238664-746215969-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{872b5b88-9db5-4310-bdd0-ac189557e5f5} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ not found.

64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ deleted successfully.

64bit-Registry value HKEY_USERS\S-1-5-21-3838177539-63238664-746215969-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.

========== REGISTRY ==========

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully!

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: oem

->Temp folder emptied: 4397890 bytes

->Temporary Internet Files folder emptied: 356518 bytes

->Java cache emptied: 0 bytes

->Google Chrome cache emptied: 6376580 bytes

->Opera cache emptied: 6262632 bytes

->Flash cache emptied: 1641 bytes

 

User: Public

 

User: UpdatusUser

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes

RecycleBin emptied: 17809542 bytes

 

Total Files Cleaned = 34,00 mb

 

 

OTL by OldTimer - Version 3.2.53.0 log created on 06292012_020537

 

Files\Folders moved on Reboot...

C:\Users\oem\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

 

PendingFileRenameOperations files...

File C:\Users\oem\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

 

Registry entries deleted on Reboot...

AdwCleanerS1.txt

OTL.Txt

[picasso]

Infekcja pomyślnie usunięta, plik HOSTS prawidłowo zresetowany, a AdwCleaner swoje wykonał. Możemy przejść do kolejnych czynności:

 

1. Porządki po używanych narzędziach: w AdwCleaner zastosuj opcję Uninstall + w OTL uruchom Sprzątanie. Przez SHIFT+DEL skasuj z dysku te obiekty:

 

C:\Kaspersky Rescue Disk 10.0

C:\Windows\system32\drivers\etc\hosts.old

 

2. Korekta w oprogramowaniu zabezpieczającym: Spybot wyjeżdża z garażu. Ponadto są tu elementy Microsoft Security Essentials wykazujące nierównomierność, wyszczerbione usługi tak jakby program był nieudolnie odinstalowany. Zastosuj automat Fix-it z KB2483120. Następnie uruchom ten diagnostyk KLIK, wybierz tryb auto i sprawdź czy widzi do deinstalacji te 4 pozycje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{05BFB060-4F22-4710-B0A2-2801A1B606C5}" = Microsoft Antimalware
"{42738DB0-FC3E-4672-A99B-9372F5696E30}" = Microsoft Security Client
"{43592B2E-C393-433F-8D0E-5A4B15A8C786}" = Microsoft Antimalware Service PL-PL Language Pack
"{DC911ADF-7B60-40F2-A112-FB1EB6402D07}" = Microsoft Security Client PL-PL Language Pack

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Do wykonania aktualizacje: KLIK. Wykaz wersji z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 29
"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.5
"{B7B3E9B3-FB14-4927-894B-E9124509AF5A}" = Adobe Flash Player 10 ActiveX
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-3838177539-63238664-746215969-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome

 

Brak tu też oprogramowania zabezpieczającego. Dobierz antywirusa.

 

5. Na wszelki wypadek zmień hasła logowania w serwisach.

 

 

 

PS. Widzę, że posługujesz się kalekim okropnie starym Tlenem 6. To kiepski wariant wydarzeń. Powody: program nie ma dostosowań do platformy x64, jest kompletnie przestarzały i niezdolny prawidłowo obsłużyć sieć Gadu, na dodatek firma położyła na nim krzyżyk. Jeśli szukasz sprawnej nowoczesnej alternatywy, to zainteresuj się WTW. Aplikacja: lekka, portable, bezreklamowa, ma natywną wersję x64, obsługuje sieci Gadu i Tlen ... lepiej niż Tlen. Pełny opis w moim artykule Darmowe komunikatory.

 

 

.

[skinner87]

kilka pytan w takim razie.

 

mam wrzucic cos gdy juz wykonam te kroki 1-4?

 

czy moge zainstalowac Microsoft Security Essentials jako antywirusa? ( kiedys go miałem potem cos sie zespuło i nie działał i pewnie od tamtej pory nie mialem zadnej ochrony)

 

sposrod 4 rzeczy w punkcie 2 nie znalazło language packów

[picasso]

mam wrzucic cos gdy juz wykonam te kroki 1-4?

 

Nie. Nie proszę już o logi.

 

 

sposrod 4 rzeczy w punkcie 2 nie znalazło language packów

 

Na wszelki wypadek sprawdź czy nie są widzialne z poziomu normalnego apletu deinstalacji programów w Panelu sterowania.

 

 

czy moge zainstalowac Microsoft Security Essentials jako antywirusa? ( kiedys go miałem potem cos sie zespuło i nie działał i pewnie od tamtej pory nie mialem zadnej ochrony)

 

Tak, oczywiście możesz go ponownie zainstalować w najnowszej wersji.

 

 

 

.