Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Komputer został zablokowany z powodu naruszenia prawa polskiego - Infekcja Weelsof

ciekawyzycia

Przez ciekawyzycia
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

ciekawyzycia

ciekawyzycia

Opublikowano
Opublikowano

Witam!

Na pulpicie laptopa kolegi, wyświetliła się nakładka z godłem Polski i komunikatem w nagłówku: "Komputer został zablokowany z powodu naruszenia prawa polskiego".

Komunikat wygląda tak:

http://imageshack.us...djcie0014w.jpg/

http://imageshack.us...jcie0016dg.jpg/

Jak już chyba ogólnie wiadomo jest to próba wyłudzenia pieniędzy, a infekcja jest znana pod nazwą Weelsof.

Znalazłem generator kodów Ukash odblokowujących komputer http://www.cert.pl/news/5483 ale niestety ten sposób już nie działa - niezależnie od tego czy komputer jest podłączony do sieci czy nie.

Następnie uruchomiłem komputer w trybie awaryjnym z obsługą sieci i przeskanowałem system programem Malwarebytes Anti-Malware 1.62.0.1300 (oczywiście z aktualną bazą zagrożeń), który niestety nic nie wykrył.

Przeskanowałem też system OTL'em na ustawieniach domyślnych (wszędzie zaznaczone "użyj filtrowania" "pliki młodsze niż 30 dni" + "wszyscy użytkownicy" oraz "infekcja LOP" i "infekcja Purity"). Po skanowaniu włączyłem "sprzątanie" i po restarcie komputera wydawało się być dobrze ale po kilkudziesięciu sekundach znów na pierwszy plan wyskoczył ten nieszczęsny komunikat...

 

Podaje logi z OTL i proszę o skrypty usuwające to malware.

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O4 - HKU\S-1-5-21-2668039614-1087686881-2239194232-1000..\Run: [werdiagcontroller] C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\4634\werdiagcontroller.exe ()
O4 - Startup: C:\Users\Agnieszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Orion.lnk =  File not found
 
:Files
C:\Users\Agnieszka\AppData\Roaming\hellomoto
C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\4634
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Odnośnik do komentarza
ciekawyzycia

ciekawyzycia

Opublikowano
  • Autor
Opublikowano

Witam ponownie!

Wielkie dzięki Landuss!

Zrobiłem wszystko według Twoich wskazówek i "blokada" została usunięta, a komputer działa bez zarzutu.

Widzę, że pomogliście już na tym forum wielu osobom i muszę przyznać, że moderatorzy i administratorzy "fixitpc.pl" działają skutecznie i w pełni profesjonalnie.

 

OTL'a mam na pendrive i z niego odpaliłem skrypt na zainfekowanym komputerze. Po wykonaniu skryptu i ponownym uruchomieniu komputera OTL zapisał mi na pendrive log o nazwie "07232012_183951.log". Próbowałem załączyć go do mojej odpowiedzi ale wyskoczył mi komunikat, że nie mam uprawnień do wysyłania tego rodzaju plików. Zrobiłem ponownego skana OTL'em i wygenerowany log zamieszczam w załączniku.

 

Niepokoi mnie jeszcze jedna rzecz - oprócz wspomnianego logu, utworzył mi się na pendrive katalog o nazwie "_OTL" i w nim kilka plików (nie mam zielonego pojęcia do czego służą), a wśród nich plik o tej samej nazwie co log ale wykonywalny (z rozszerzeniem exe). AVG wykrył go jako wirusa, więc przeniosłem go na razie do przechowalni. Czy to ta infekcja, która zaraziła system?

 

Mam jeszcze jedną małą prośbę, a mianowicie czy możesz mi podpowiedzieć, które programy, dla bezpieczeństwa, powinienem usunąć? Z tego co wyczytałem na forum to na pewno wszelkie Toolbar'y i domyślam się, że pewnie programy do ściągania plików typu Ares czy Emule. Czy coś jeszcze?

 

Pozdrawiam

OTL.Txt

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Infekcje masz usunięta. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 7.0.6002.18005)

"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)

"{AC76BA86-7AD7-1033-7B44-A81000000003}" = Adobe Reader 8.1.0

"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 23

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

 

Niepokoi mnie jeszcze jedna rzecz - oprócz wspomnianego logu, utworzył mi się na pendrive katalog o nazwie "_OTL" i w nim kilka plików (nie mam zielonego pojęcia do czego służą), a wśród nich plik o tej samej nazwie co log ale wykonywalny (z rozszerzeniem exe). AVG wykrył go jako wirusa, więc przeniosłem go na razie do przechowalni. Czy to ta infekcja, która zaraziła system?

 

To jest kwarantanna OTL więc nie musisz się nic obawiać.

 

Mam jeszcze jedną małą prośbę, a mianowicie czy możesz mi podpowiedzieć, które programy, dla bezpieczeństwa, powinienem usunąć? Z tego co wyczytałem na forum to na pewno wszelkie Toolbar'y i domyślam się, że pewnie programy do ściągania plików typu Ares czy Emule. Czy coś jeszcze?

 

W logach u Ciebie nie widać toolbarów sponsoringowych. Nie liczę Google Toolbar bo to nie jest toolbar z tej kategorii i może być przydatny dlatego jego nie każemy tutaj usuwać. A jeśli chodzi o programy do ściągania plików to jeśli korzystasz to nie musisz usuwać. Wystarczy być ostrożnym abyś wiedział co pobierasz.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...