Weelsof - zablokowany komputer.

[bukowski87]

Witam wszystkich.

 

Widziałem posty innych użytkowników zaatakowanych przez Weelsof. I jestem kolejną ofiarą, która prosi was o pomoc. Od razu zaznaczam, że próbowałem usunąć ten program (nie wiedząc jeszcze z czym mam do czynienia tak na prawdę). A mianowicie w moim systemie Windows 7, po uruchomieniu komputera pojawiła się prośba o wpisanie kodu ukash. Uznałem, że to zwykły wirus/trojan/robak etc i wcisnąłem klawisze alt-ctrl-delete i udało mi się właczyć menadżera zadań, uruchomić przeglądarkę i zainstalować spybot'a search and destroy myśląc, że to coś mi pomoże jednak nie. Komputer zachowywał się normalnie aż do momentu ponownego uruchomienia systemu gdzie okazalało się, że Weelsof wciaż jest obecny. Także tak wygląda to co dotąd zrobiłem.

 

Mój system to Windows 7 64-bitowy.

Wykonałem logi z OTLa tak jak to jest opisane w waszym poście instruktażowym.

Mam nadzieję, że dostarczyłem wam odpowiednią ilość informacji we właściwej formie. Proszę o waszą pomoc i z góry dziękuję.

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [Microsoft Windows System] C:\Users\Ewa\P-7-78-8964-9648-3874\windll.exe ()
O4 - HKCU..\Run: [nwoyopd] C:\Users\Ewa\AppData\Local\mkapwy.exe ()
O4 - HKCU..\Run: [taskmsr] C:\Users\Ewa\AppData\Roaming\taskmsr\taskmsr.exe ()
O4 - Startup: C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lxphk.exe ()
[2012-06-27 23:05:33 | 000,000,000 | RHSD | C] -- C:\Users\Ewa\AppData\Roaming\taskmsr
[2012-06-27 11:38:01 | 000,000,000 | ---D | C] -- C:\Users\Ewa\P-7-78-8964-9648-3874
FF - prefs.js..browser.startup.homepage: "http://domredi.com/1/"
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions]
"crossriderapp1950@crossrider.com"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System będzie restartował, nastąpi odblokowanie, w katalogu C:\_OTL pojawi się log z wynikami usuwania.

 

2. Przejdź do Panelu sterowania i odinstaluj: DAEMON Tools Toolbar, LiveVDO plugin 1.3. RewardsArcadeSuite.

 

3. Zastosuj AdwCleaner z opcji Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi z usuwania narzędziami w punktach 1+3.

 

 

 

.

[bukowski87]

Dziękuję mocno za pomoc.

 

Załączam logi.

OTL.Txt

AdwCleanerS1.txt

[picasso]

Zapomniałeś dodać plik z wynikami usuwania OTL, choć w zasadzie teraz już mi zbędny. Zadanie podstawowe wykonane, ale czy na pewno odinstalowałeś RewardsArcadeSuite? Nadal widzę ten obiekt w Internet Explorer:

 

O2 - BHO: (RewardsArcadeSuite) - {B6EF6C45-5E8D-4c3b-B580-A5073261A381} - C:\Program Files (x86)\RewardsArcadeSuite\RewardsArcadeSuite.dll (215 Apps)

 

Odinstaluj jeśli tego nie zrobiłeś, a jeśli instalacja już była to:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{B6EF6C45-5E8D-4c3b-B580-A5073261A381}]
 
:Files
C:\Program Files (x86)\RewardsArcadeSuite
C:\user.js

 

Klik w Wykonaj skrypt.

 

2. Do oceny wystarczy tylko log z wynikami usuwania. Nie musisz robić pełnego pełnego skanowania.

 

 

 

.

[bukowski87]

Za chwilę prześlę wyniki.

 

Witam. Tak przyznaję się, że nie przesłałem wczoraj logu z wynikami usuwania OTL ponieważ nie wiedziałem jak ten plik .log tutaj zapostować. Natomiast przesyłam teraz wyniki z dzisiejszego usuwania OTL. Zmieniłem rozszerzenie z .log na .txt więc mam nadzieję, że to nie błąd. Na przyszłość czy mogę tak robić?

OTL.Txt

[picasso]

Zmieniłem rozszerzenie z .log na .txt więc mam nadzieję, że to nie błąd. Na przyszłość czy mogę tak robić?

 

Załączniki nie przyjmują formatu *.LOG, toteż zmiana na *.TXT słuszna. W tym przypadku zresztą log był tak krótki, iż można go było wkleić wprost w poście.

 

 

---

Sprawa załatwiona. Przechodzimy do wykończeń:

 

1. Porządki po narzędziach: w AdwCleaner Uninstall + w OTL Sprzątanie.

 

2. Wyczyść foldery Przywraania systemu: KLIK.

 

3. Wykonaj aktualizacje: KLIK. Z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.6
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{E33DB440-A008-4928-8A4E-5FC5ADDED608}" = OpenOffice.org 2.4
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Google Chrome" = Google Chrome > to chyba jakaś resztka, nie widzę w logu komponentów konfiguracyjnych

 

Spybot - Search & Destroy do całkowitej deinstalacji. Przestarzały program ze słabym dopasowaniem do systemu 64-bit (nie widzi 64-bitowej części).

 

4. Na wszelki wypadek zmień hasła logowania w serwisach.

 

 

 

.

[bukowski87]

Dziękuję Ci ogromnie za pomoc i za rady. Wszystkie kroki, które zostały powyżej napisane wykonałem. Jeszcze raz dziękuję