Komputer został zablokowany z powodu naruszenia prawa polskiego - Infekcja Weelsof

[Vittek]

Witam, dziś około południa wyskoczył mi komunikat, że mój komputer został zablokowany z powodu naruszenia prawa polskiego. Po początkowym przerażeniu wyczytałem, że jest to wirus. Bardzo proszę o pomoc

 

 

OLT http://wklej.org/id/828466/

 

Extras http://wklej.org/id/828468/

[picasso]

Na temat używania ComboFix: KLIK.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=151a43ba-479b-11e1-a7df-485b391619a1&q={searchTerms}"
IE - HKLM\..\SearchScopes\{8ADE4849-A52E-41F3-BF71-D45AE21306E1}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=151a43ba-479b-11e1-a7df-485b391619a1&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={D5C1FDAA-E64B-11E1-A8ED-485B391619A1}"
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627"
IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=VX&apn_dtid=YYYYYYYYPL&apn_uid=07FF7C86-8DFE-45C5-A5C1-42D27BFD37DC&apn_sauid=1A67C524-FEDE-4CAE-AADD-B8001593A298"
IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\SearchScopes\{6C729D2B-A519-4B5B-8449-CD90B61D1ED2}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392"
IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\SearchScopes\{8ADE4849-A52E-41F3-BF71-D45AE21306E1}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157"
IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=151a43ba-479b-11e1-a7df-485b391619a1&q={searchTerms}"
IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3:64bit: - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O4:64bit: - HKLM..\Run: [combofix] C:\ComboFix\CF29161.3XE /c C:\ComboFix\Combobatch.bat File not found
O4:64bit: - HKLM..\Run: [RpcPing] C:\Users\Anetka\AppData\Local\Microsoft\Windows\495\RpcPing.exe File not found
O4:64bit: - HKLM..\Run: [simpdata] C:\Users\Rafał\AppData\Local\Microsoft\Windows\2582\simpdata.exe File not found
O4:64bit: - HKLM..\Run: [systemcpl] C:\Users\Paweł\AppData\Local\Microsoft\Windows\1866\systemcpl.exe File not found
O4:64bit: - HKLM..\Run: [WPDShextAutoplay] C:\Users\aaa\AppData\Local\Microsoft\Windows\1316\WPDShextAutoplay.exe ()
O4 - HKLM..\Run: [browsers Protector] C:\Program Files (x86)\Browsers Protector\regmon32.exe File not found
O4 - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000..\Run: [fsm]  File not found
O8:64bit: - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
O8:64bit: - Extra context menu item: Translate with Babylon - res://C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm File not found
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm File not found
 
:Files
C:\Users\Anetka\AppData\Local\Microsoft\Windows\495
C:\Users\Rafał\AppData\Local\Microsoft\Windows\2582
C:\Users\Paweł\AppData\Local\Microsoft\Windows\1866
C:\Users\aaa\AppData\Local\Microsoft\Windows\1316
C:\Users\aaa\AppData\Roaming\hellomoto
C:\Users\Anetka\AppData\Roaming\hellomoto
C:\Users\Paweł\AppData\Roaming\hellomoto
C:\Users\Rafał\AppData\Roaming\hellomoto
C:\Users\Paweł\AppData\Roaming\Babylon
C:\Program Files (x86)\mozilla firefox\extensions\{2ab9fc46-89c1-61e8-c203-8779d827ff6b}
C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Program Files (x86)\Common Files\AskToolbarInstaller.exe
C:\Windows\Tasks\{0D88FD0A-97D1-4206-B923-A98BD0C6A69A}.job
C:\Windows\Tasks\{385E6D88-4A8B-49E3-BE6C-C18C5B293D63}.job
C:\Windows\Tasks\{9502F5D6-E1A1-498A-A38D-85AB84E96944}.job
C:\Windows\Tasks\{9D18196C-755E-4BA4-AD29-7A3029A10FCD}.job
C:\Windows\Tasks\{AC0846C3-6597-42D7-8CB1-9B6E2ADA7609}.job
C:\Windows\Tasks\{EE9A4572-3746-496C-AE64-DEFED56E3079}.job
netsh advfirewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. Kolejne operacje już z poziomu Trybu normalnego Windows:

 

2. Odinstaluj adware:

- Otwórz Firefox i w Dodatkach odinstaluj Ask Toolbar, Babylon, BitTorrentBar, DAEMON Tools Toolbar, DVDVideoSoftTB Toolbar, free-downloads.net Toolbar, XfireXO Toolbar.

- Otwórz Google Chrome. W Rozszerzeniach odinstaluj: StartSearch Video plug-in, Babylon Translator, VshareComplete, vshare plugin, BitTorrentBar, LiveVDO plugin. Z listy stron startowych wmaż search.conduit.com.

- Przez Panel sterowania odinstaluj: Browsers Protector, Contextual Tool Extrafind, Dealio Toolbar v4.3, DVDVideoSoftTB Toolbar, 50 FREE MP3s +1 Free Audiobook!, free-downloads.net Toolbar, LiveVDO plugin 1.3, Softonic Deutsch FF Toolbar, StartSearch Toolbar 1.3, Update Manager for SweetPacks 1.0, V9 HomeTool, VDownloader Toolbar, VDownloader Toolbar Updater, vShare Plugin, vShare plugin 1.3, VshareComplete, Winamp Toolbar, XfireXO Toolbar..

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[Vittek]

Wielkie dzięki za pomoc ! ) I za poświęcony czas Co do ComboFix to było tak że najpierw zrobiłem potem pomyślałem. Przeczytałem gdzieś szybko ze pomoże to spróbowałem, dopiero poźniej doczytałem się jakie mogą być konsekwencje użycia tego programu Na przyszłość będę wiedział co zrobić ; )

AdwCleanerS1.txt

OTL ad1.txt

OTL ad4.Txt

[picasso]

Zadania wykonane. Wymagane poprawki na odpadki po adware:

 

1. W Google Chrome zostały trzy wtyczki, Babylon Chrome Plugin + StartSearch Video plug-in:

 

========== Chrome  ==========
 
CHR - plugin: StartSearch Video plug-in (Enabled) = C:\Users\Pawe\u0142\AppData\Local\Google\Chrome\User Data\Default\Extensions\bildoibdboopgomcbiplincneeicgipj\1.3_0\chvsharetvplg.dll
CHR - plugin: StartSearch Video plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll
CHR - plugin: Babylon Chrome Plugin (Enabled) = C:\Users\Pawe\u0142\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.4_0\BabylonChromePI.dll

 

Ich wycięcie wymaga edycji pliku Preferences Google Chrome, jak tu w punkcie 3: KLIK. Oczywiście u Ciebie są inne nazwy wtyczek.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\SearchScopes\{CFA91CCB-0727-43F3-ADC9-2AE92A565D12}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=VX&apn_dtid=YYYYYYYYPL&apn_uid=07FF7C86-8DFE-45C5-A5C1-42D27BFD37DC&apn_sauid=1A67C524-FEDE-4CAE-AADD-B8001593A298"
IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - No CLSID value found
IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - No CLSID value found
IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - No CLSID value found
O3 - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\Toolbar\WebBrowser: (no name) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - No CLSID value found.
O3 - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\Toolbar\WebBrowser: (no name) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - No CLSID value found.
O3 - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\Toolbar\WebBrowser: (no name) - {9D81AF43-DE53-48D0-A199-42C2A226B24C} - No CLSID value found.
O3 - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\Toolbar\WebBrowser: (no name) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - No CLSID value found.
[2012-09-13 13:50:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\32wfb8f8.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}
[2012-09-13 13:50:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\32wfb8f8.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
[2012-09-13 13:50:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\32wfb8f8.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}
[2012-09-13 13:50:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\32wfb8f8.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949}
[2012-09-13 13:49:56 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\32wfb8f8.default\extensions\DTToolbar@toolbarnet.com
[2012-09-13 13:49:27 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\32wfb8f8.default\extensions\ffxtlbr@babylon.com
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

4. Zrób nowy log OTL, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, resztę opcji ustaw na Brak + szukanie plików na Żadne, klik w Skanuj.

 

 

 

.

Edytowane 12 Października 2012 przez picasso
12.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso