Trojan Weelsof

[hurin]

Witam, mam problem z trojanem Weelsof.

W momencie włączania Wi-Fi (połączenie z internetem przez Wi-Fi) nawet bez odpalenia przeglądarki internetowej wyskakuje znany komunikat z logo policji i żądaniem wpłaty 100euro. Generator kodów Ukash nie pomógł.

Kompa uruchomiłem w trybie awaryjnym.

 

Proszę o pomoc w załączeniu logi.

 

EDIT: Dołączyłem poprawione pliki.

Extras.Txt

OTL.Txt

[picasso]

Log z OTL błędnie skonfigurowany. Wszystkie opcje ustawione na Wszystko, a ma być Użyj filtrowania. Proszę wrócić do instrukcji (KLIK) i zrobić prawidłowe raporty, następnie opcją Edytuj podmienić Załączniki w pierwszym poście i zgłosić mi na PW wykonanie edycji. Nie odpisuj w nowym poście.

 

EDIT:

 

Logi dodane. Przechodzimy do czyszczenia infekcji:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{E9C4C973-0779-4094-98BE-89732F6D61CC}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKU\S-1-5-21-2280519345-1645989171-1106866036-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=&apn_uid=64914075-9D17-4E8B-A12E-705E7A1BB6B6&apn_sauid=0595726D-FCCE-4B12-8941-0CD67D48CDF0"
IE - HKU\S-1-5-21-2280519345-1645989171-1106866036-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKU\S-1-5-21-2280519345-1645989171-1106866036-1000\..\SearchScopes\{E9C4C973-0779-4094-98BE-89732F6D61CC}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.startup.homepage: "http://pl.v9.com/?utm_source=b&utm_medium=vlt"
FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC&o=15000&locale=en_US&apn_uid=64914075-9D17-4E8B-A12E-705E7A1BB6B6&apn_ptnrs=PV&apn_sauid=0595726D-FCCE-4B12-8941-0CD67D48CDF0&apn_dtid=&q="
[2011-03-05 15:01:12 | 000,002,557 | ---- | M] () -- C:\Users\Emil Walczak\AppData\Roaming\Mozilla\Firefox\Profiles\2v699cbx.default\searchplugins\askcom.xml
[2009-07-06 20:28:29 | 000,002,921 | ---- | M] () -- C:\Users\Emil Walczak\AppData\Roaming\Mozilla\Firefox\Profiles\2v699cbx.default\searchplugins\daemon-search.xml
[2012-04-24 09:06:28 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) -  - No CLSID value found.
O4 - HKU\S-1-5-21-2280519345-1645989171-1106866036-1000..\Run: [] C:\Users\Emil Walczak\AppData\Local\Temp\ptqlhchbya.exe (Sabrent)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj paski DAEMON Tools Toolbar + Pasek narzędzi AOL 5..

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

.

[hurin]

Wszystkie kroki wykonałem zgodnie z instrukcją. Pomogło.

W załączeniu pliki z OTL.

Dziękuje za pomoc.

07102012_201623.txt

OTL.Txt

[picasso]

W porządku. Wykonaj:

 

1. Mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-2280519345-1645989171-1106866036-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKLM..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui File not found
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{D0398258-D921-450D-989B-0DD5A0C9E203}C:\program files\sopcast\adv\sopadver.exe"=-
"TCP Query User{DF90EF3F-D4F2-4AE2-8865-FE9CECBCFF92}D:\programy\sopcast\adv\sopadver.exe"=-
"UDP Query User{165A8F85-F86D-4003-9556-AC5B10A2F199}D:\programy\sopcast\adv\sopadver.exe"=-
"UDP Query User{9EBA19D9-6505-4EA5-BAE6-4D5F91BE234F}C:\program files\sopcast\adv\sopadver.exe"=-

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Po tym w OTL uruchom Sprzątanie, które skasuje z dysku OTL i kwarantannę.

 

2. Napraw drobny bląd WMI numer 10 bazując na artykule: KB950375.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. W razie wykrycia czegoś przedstaw raport.

 

5. Wykonaj podstawy aktualizacyjne: KLIK. Wyciąg z listy zainstalowanych, wykazujący krytyczny status aktualizacji systemu (brak SP2 + IE9 i łat wydanych po nich) i następujące wersje:

 

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{3248F0A8-6813-11D6-A77B-00B0D0160060}" = Java™ 6 Update 6
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Gadu-Gadu" = Gadu-Gadu 7.7
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

W pierwszej kolejności wykonaj pełne Windows Update, bo tak niski poziom wewnętrznych zabezpieczeń brzmi podejrzanie i może sugerować jakąś usterkę uniemożliwiającą aktualizacje. I zgłoś się tu z potwierdzeniem wykonania zadania.

 

Gadu-Gadu 7.7 też tu zakreślam w ramach rozważań pobocznych, gdyż ta wersja charakteryzuje się niskim poziomem zabezpieczeń (brak szyfrowania połączenia umożliwiający podsłuch) i brakiem kompatybilności z własną siecią (n.in. problem długich numerów). Zainteresuj się po prostu alternatywami: WTW, Kadu, Miranda czy AQQ. Opisy znajdziesz w artykule Darmowe komunikatory.

 

 

.