wasil Opublikowano 8 Lipca 2012 Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Witam szanownych forumowiczów . Jak zauważyłem wielu użytkowników ostatnio ma ten sam problem z Weelsofem. Otóż u mnie wygląda to następująco - dostałem przez kolegę laptopa z poleceniem 'napraw i nie skasuj plików, bo ważne'. Po zalogowaniu . przywitał mnie ekran z poleceniem zapłaty i oczywiście nic nie można zrobić w samym Windowsie (Vista Home Premium x32). Próbowałem wejść w tryb awaryjny z terminalem, jednak coś jest nie tak, ponieważ po załadowaniu sterowników pojawia się kursor, czarne tło a po chwili następuje reset. Pobrałem najnowszego Kaspersky Rescue Disc i przeskanowałem system. Znalazło 4 zagrożenia, które zidentyfikowało jako trojany i usunęło je. Jednak problem dalej występuje. Poczytałem co nieco o sposobie działania robaka i na podstawie różnych informacji zajrzałem do rejestru (dalej z poziomu Rescue Disc) ale jako Shell dalej uruchamiany jest explorer.exe. Użyłem także Kaspersky WindowsUnlocker który miał wyczyścić rejestr z wpisów zostawionych przez ransomware -nic nie dało. Znalazłem w C:\Users\All Users\ folder którego nazwą był przypadkowy ciąg znaków. W środku była właściwie cała strona wyświetlana podczas próby wyłudzenia pieniędzy, było tam m.in kilka obrazków, jakiś skrypt w javie, stronka w html i php jeśli się nie mylę. Postanowiłem skasować folder, ale jedyne co osiągnąłem to to, że teraz Weelsof nie może załadować strony (pokazuje błąd połączenia). Laptop aktualnie nie posiada dostępu do Internetu . W folderze autostartu też nie ma żadnych podejrzanych programów. To by było na tyle z mojej strony, innych narzędzi nie używałem bo i nie mam jak skoro nie mogę dostać się do Windowsa. Co ważne, przynajmniej pliki zapisane na pulpicie muszą przeżyć dezynfekcję, ponieważ są to podobno jakieś projekty z urzędu gminy. Oczywiście mógłbym je skopiować na swój dysk/pendrive ale nie mam pewności czy nie skopiuję przy okazji sobie jakiegoś robaka, a na pulpicie i ogólnie laptopie jest taki bajzel że szkoda gadać. Dlatego też nie jestem w 100% pewny czy nie ma zainstalowanego jakiegoś programu emulującego napędy, ale z tego co przeglądałem po folderach to wydaje mi się, że nie. Bardzo proszę o pomoc, poniżej zamieszczam log z OTLPE. Z góry dziękuję OTL.Txt Odnośnik do komentarza
picasso Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 1. Przygotuj w Notatniku skrypt o treści: :OTL O4 - HKU\marek_ON_C..\Run: [bigfoleudlgwlra] C:\ProgramData\bigfoleu.exe () [2012/07/07 09:22:23 | 000,000,051 | ---- | M] () -- C:\ProgramData\obcyzpkukulmhgo [2012/07/08 18:22:30 | 000,000,068 | ---- | M] () -- C:\ProgramData\.directory O4 - Startup: C:\Users\marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.directory () O4 - Startup: C:\Users\marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ComboFix.exe (Swearware) O4 - Startup: C:\Users\marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HitmanPro36.exe (SurfRight B.V.) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. (tak, usuwam ComboFix i Hitmana z Autostartu, niepożądane uruchamianie tego tym sposobem) Zapisz pod nazwą FIX.TXT i plik umieść na medium, które będzie dostępne z poziomu OTLPE, np. pendrive. 2. Z poziomu OTLPE uruchom OTL i klik w Run Fix. Przy pytaniu o plik skryptu wskaż FIX.TXT. Na dysku C powstanie log z przetwarzania tego. 3. Restart do Windows i przeprowadź kolejne działania czyszczące: 4. Przez Panel sterowania odinstaluj adware Ask Toolbar, Burn4Free Toolbar, Dealio Toolbar oraz SpeedBit Video Downloader (wstawił adware SearchPredict). 5. Uruchom AdwCleaner i wybierz opcję Delete. Wynikowo powstanie log na dysku C. 6. Wygeneruj już tradycyjne logi OTL z opcji Skanuj (przypominam o Extras) oraz GMER. Dołącz log z usuwania OTL z punktu 2 oraz AdwCleaner z punktu 5. . Odnośnik do komentarza
wasil Opublikowano 9 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2012 No tak, zapomniałem że w akcie desperacji wsadziłem do autostartu combofixa i hitmana. Dziękuję pięknie za pomoc, teraz Weelsof zniknął Czy mam przeprowadzić jeszcze jakieś czyszczenie czy to już wszystko? Załączam logi: 07092012_131120.txt AdwCleanerS1.txt OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Skrypt się nie zgadza, tak jakby był podwójnie użyty, gdyż wszystko jest "not found". Komputer został odblokowany, toteż nasuwa się koncepcja z podwójnym (nie mającym sensu) uruchomieniem skryptu. Wymagane jeszcze poprawki. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "searchpredict@speedbit.com"=- "{0329E7D6-6F54-462D-93F6-F5C3118BADF2}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Search Page"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{4F11ACBB-393F-4c86-A214-FF3D0D155CC3}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{7F4EFF06-7032-458e-AE16-1C1D8255C28A}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{1D4C6C6B-31F1-46E4-85C5-13DDA826742D}C:\program files\sopcast\adv\sopadver.exe"=- "TCP Query User{95AA1C71-151C-4C23-A9EC-C52ECD848286}C:\program files\sopcast\adv\sopadver.exe"=- "UDP Query User{143EBAA0-4727-4E86-B73C-4247AC3BEDBB}C:\program files\sopcast\adv\sopadver.exe"=- "UDP Query User{1A360D96-506C-47A4-B290-8C52F74CEE56}C:\program files\sopcast\adv\sopadver.exe"=- :Files C:\Users\marek\AppData\Roaming\Mozilla\Firefox\Profiles\zsymnfxy.default\searchplugins\speedbit.xml Klik w Wykonaj skrypt. Obejdzie się bez restartu. Logów już nie muszę weryfikować. 2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Avast potwornie stary. Odinstaluj przez Panel sterowania. Następnie z poziomu Trybu awaryjnego popraw przez Avast Uninstall Utility. Zainstaluj najnowszą wersję, zaktualizuj bazy i wykonaj pełne skanowanie. Gdyby coś zostało wykryte, przeklej tu wyniki. 5. Na koniec istotne aktualizacje: KLIK. Logi twierdzą, iż status załatania systemu krytyczny (brak SP2 + IE9 oraz łat następujących po nich), i w systemie obecne wersje: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstationInternet Explorer (Version = 8.0.6001.19088) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 27"{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Google Chrome" = Google Chrome"Mozilla Firefox 8.0 (x86 pl)" = Mozilla Firefox 8.0 (x86 pl) . Odnośnik do komentarza
wasil Opublikowano 9 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Skrypt się nie zgadza, bo faktycznie był uruchomiony 2 razy, bo za pierwszym razem laptop dostał zwiechy gdzieś w połowie oczyszczania. W każdym razie porządki i aktualizacje porobione, skanowanie nie wykryło nic podejrzanego, pozostaje mi tylko podziękować za tak szybką i profesjonalną pomoc A więc: dziękuję pięknie! Odnośnik do komentarza
Rekomendowane odpowiedzi