Problem z Wirusem Weelsof - jak się go pozbyć?

[krasnallove]

dzisiaj na komputerze pojawiła mi się informacja:

 

KODY LOSOWE NIE POMAGAJĄ

 

Niedawno czytałem artykuł na Onet.pl gdzie pisali że jest to wirus.

proszę o szybką pomoc komputer jest mi niezbędny dzisiaj o godz 20.

 

na komputerze zainstalowany jest windows 7 i odpalić go mozna jedynie za pomocą trybu awaryjnego

 

PROSZĘ O POMOC!

 

z góry dziękuje, krasnallove

p.s. proszę o szczegółowe porady jestem na bakier z tego typu wirusem

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

Nie udostępniaj swojego numeru Gadu publicznie, prosisz się o spam, wycinam. Co robiłeś w narzędziu FRST?

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [themecpl] C:\Users\Katny\AppData\Local\Microsoft\Windows\2556\themecpl.exe ()
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc)
DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\system32\Drivers\SSPORT.sys -- (SSPORT)
 
:Files
C:\Users\Katny\AppData\Local\Microsoft\Windows\2556
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{59A16F46-FCEE-49EC-B353-8E88D0E502F6}C:\users\katny\appdata\local\temp\29af.tmp\kmservice.exe"=-
"TCP Query User{6A9F99AA-9783-4972-B676-7F35BB5CB64C}C:\program files\sopcast\adv\sopadver.exe"=-
"TCP Query User{7C8DD23B-0BCA-416E-A4D4-E7A928005E08}C:\users\katny\appdata\local\temp\7712.tmp\kmservice.exe"=-
"TCP Query User{EDC4F28A-6767-4701-B4FE-61F36F8C893B}C:\program files\sopcast\adv\sopadver.exe"=-
"UDP Query User{2F959480-866F-40AF-AF19-7C040FCAA7ED}C:\users\katny\appdata\local\temp\29af.tmp\kmservice.exe"=-
"UDP Query User{AFEBD26A-96DE-4949-8A19-65C81FD428AD}C:\program files\sopcast\adv\sopadver.exe"=-
"UDP Query User{B61C5C45-5C4E-4013-A7AC-71F1722514CD}C:\program files\sopcast\adv\sopadver.exe"=-
"UDP Query User{C9A2964C-5154-4AEF-B5EF-2C165A53849B}C:\users\katny\appdata\local\temp\7712.tmp\kmservice.exe"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. Windows zostanie odblokowany.

 

2. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) i zaległy GMER. Dołącz log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

.

[krasnallove]

dziękuje za pomoc.

komputer działa wygląda na naprawiony

07052012_203001.txt

OTL.Txt

[picasso]

Log z GMER nadal nie dostarczony (uruchomienie wymaga zdjęcia sterowników emulacji napędów wirtualnych). Kolejna porcja czynności:

 

1. Przypadkowo ominęłam ten folder i przez SHIFT+DEL skasuj go z dysku: C:\Users\Katny\AppData\Roaming\hellomoto.

 

2. W OTL uruchom Sprzątanie, które skasuje kwarantannę OTL i OTL z dysku.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Jest zainstalowany MBAM, toteż wykonaj nim pełne (nie ekspresowe) skanowanie i przedstaw wynikowy log, o ile coś zostanie wykryte.

 

 

 

.

[krasnallove]

GMER został dodany w załącznikach w pierwszym poscie.

przywracanie systemu wyczyszczony, otl posprzątany i folder hellomoto usunięty.

przeskanowałęm i oto wyniki:

 

 

p.s. czy istnieje jakiś sposób aby skutecznie zabezpieczyc komputer (poza programem antywirusowym)

przed ponownym zainfekowaniem weelsofem??

mbam-log-2012-07-06 (00-23-36).txt

[picasso]

1. Jeszcze zapomniałam: przez SHIFT+DEL skasuj folder C:\FRST.

 

2. Do wykonania aktualizacje: KLIK. Tutaj wersje z Twojej listy zainstalowanych:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java™ 6 Update 27
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"Mozilla Firefox 8.0.1 (x86 pl)" = Mozilla Firefox 8.0.1 (x86 pl)

 

Upewnij się, że wszystkie aktualizacje z Windows Update są zainstalowane. Osobna sprawa to Service Pack do SQL Server 2005: KB913089.

 

3. Jeśli nie masz niczego do blokowania reklam w Firefox, to zainstaluj Adblock Plus.

 

PS. I możesz odinstalować McAfee Security Scan Plus, wątpię by była to celowa instalacja, raczej sponsor innej paczki instalacynej (Adobe). A jeśli szukasz alternatyw dla GG10, to skok w temat Darmowe komunikatory.

 

 

p.s. czy istnieje jakiś sposób aby skutecznie zabezpieczyc komputer (poza programem antywirusowym)

przed ponownym zainfekowaniem weelsofem??

 

Dyskusja o źródłach infekcji: KLIK. Nie znam żadnej specyficznej dla tej infekcji metody prewencji poza: oczywistymi rzeczami aktualizacyjnymi (przeglądarki i ich wtyczkowania) kreślonymi powyżej i uwagą przy klikaniu w linki. To są standardowe formułki, ale w większości przypadków na forum okazuje się, że jednak formułki nie są stosowane przez użytkowników. Co drugi system ma braki aktualizacyjne, ślady pobierania i używania "legalnych inaczej", dużo śmieci wskazujących na bezmyślność przy instalacjach, poddanie się socjoinżynieri jak dziecko we mgle i tak dalej. I mają antywirusy ...

 

 

 

.