Infekcja Weelsof

[karasiatko1]

Witam!

Na pulpicie laptopa kolezanki, wyświetliła się nakładka z godłem Polski i komunikatem w nagłówku: "Komputer został zablokowany z powodu naruszenia prawa polskiego".

Prosze o pomoc w usunieciu tego problemu.

 

Podaje log z programu OTL i prosze o skrypt usuwajacy to malware

OTL.Txt

 

Za pomoc z gory serdecznie dziekuje.

Pozdrawiam

[Landuss]

Jedna uwaga tylko odnośnie raportu - zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Dołącz ten log w kolejnym poście.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF"
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://search.babylon.com/?affID=110824&tt=031012_ccp_4012_2&babsrc=HP_ss&mntrId=74db51370000000000003859f9385312"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.mywebsearch.com/index.jhtml?n=77DE8857&ptnrS=HJxdm007YYpl&ptb=381AF90F-A119-4213-B449-224E4BDF3D25&si=CIuu4MHj5bICFaTKtAodOXcA3g"
IE - HKCU\..\URLSearchHook: {93a3111f-4f74-4ed8-895e-d9708497629e} - No CLSID value found
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=031012_ccp_4012_2&babsrc=SP_ss&mntrId=74db51370000000000003859f9385312"
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=6F411EA3-AE0D-4076-94CC-4CA2C4264AFD&apn_sauid=B244DF5A-B5E1-4D36-B99B-1A33810761E9"
IE - HKCU\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF"
IE - HKCU\..\SearchScopes\{FEE0DD82-0CF0-4100-A158-6F5A5ED34F71}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=6F411EA3-AE0D-4076-94CC-4CA2C4264AFD&apn_sauid=B244DF5A-B5E1-4D36-B99B-1A33810761E9"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
[2012-07-09 23:19:52 | 000,002,568 | ---- | M] () -- C:\Users\mediaexpert\AppData\Roaming\mozilla\firefox\profiles\0auke9bm.default\searchplugins\askcom.xml
[2012-10-03 22:12:20 | 000,002,360 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.0.7\BabylonToolbarTlbr.dll File not found
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [TRACERT] C:\Users\mediaexpert\AppData\Local\Microsoft\Windows\3654\TRACERT.exe ()
 
:Files
C:\Users\mediaexpert\AppData\Roaming\Obci
C:\Users\mediaexpert\AppData\Roaming\Kaiq
C:\Users\mediaexpert\AppData\Roaming\Hiahf
C:\Users\mediaexpert\AppData\Roaming\Ywvu
C:\Users\mediaexpert\AppData\Roaming\Unumqu
C:\Users\mediaexpert\AppData\Roaming\Qiuxow
C:\Users\mediaexpert\AppData\Roaming\hellomoto
C:\Users\mediaexpert\AppData\Local\Microsoft\Windows\3654
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
"bProtectorDefaultScope"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL (otl.txt + extras.txt)

Edytowane 3 Listopada 2012 przez picasso
3.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso