Komputer zblokowany przez Weelsof

[slash44]

Wczoraj mój kompuer został zaatakowany przez Weelsof, komputer jest całkowicie zablokowany. Nie jestem w stanie sobie z tym samodzielnie poradzić, prosze o pomoc.

System Windows Vista Home Prenium 32-bit.

Oto logi skanów wykonane w trybie awaryjnym z dostępem do sieci:

Extras.Txt

Gmer.txt

OTL.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [structuredQuery] C:\Users\Wiesia\AppData\Local\Microsoft\Windows\473\StructuredQuery.exe (Microsoft Corporation)
O4 - HKCU..\Run: [Wiesia] C:\Users\Wiesia\Wiesia.exe File not found
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392"
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392"
 
:Files
C:\Users\Wiesia\AppData\Local\Microsoft\Windows\473
C:\Users\Wiesia\AppData\Roaming\hellomoto
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Kolejne działania już w Trybie normalnym:

 

2. Przez Panel sterowania odinstaluj adware BitTorrentBar Toolbar, McAfee Security Scan Plus, pdfforge Toolbar v4.7, Softonic-Polska Toolbar.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Jest tu kompletnie archaiczny Firefox 3.5.19. Nie warto go czyścić precyzyjnie z adware, za to warto wykonać czystą instalację. Za pomocą MozBackup zrób kopię zapasową zakładek i ew. haseł (nic więcej). Odinstaluj Firefox oraz wszystkie Adobe i Java. Popraw po deinstalacji, czyli otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Mozilla /f

reg delete HKLM\SOFTWARE\Mozilla /f
reg delete HKLM\SOFTWARE\mozilla.org /f
reg delete HKLM\SOFTWARE\MozillaPlugins /f
rd /s /q C:\Users\Wiesia\AppData\Roaming\mozilla
rd /s /q "C:\Program Files\mozilla firefox"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz Uruchom jako Administrator.

 

5. Zainstaluj najnowszą wersję Firefox 16.0.2. Zaimportuj dane z MozBackup. Doinstaluj najnowszy Adobe Flash, o ile konieczne. Wszystko w przyklejonym: KLIK.

 

6. Masz zainstalowane dwa programy, które mogą wzajemnie wejść w konflikt, a poza tym są stare: Ad-Aware, Avira AntiVir Personal. To również wszystko do deinstalacji.

 

7. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[slash44]

Postąpiłem wg. instrukcji, nie było problemów, jaki antywir zamiast aviry? Załączam logi z OTL i AdwCleaner:

OTL.Txt

AdwCleanerS1.txt

[picasso]

Wszystko wykonane, zostały drobne poprawki na odpadki / wpisy puste.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{67A2568C-7A0A-4EED-AECC-B5405DE63B64}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{67A2568C-7A0A-4EED-AECC-B5405DE63B64}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:OTL
IE - HKU\S-1-5-21-1628886457-2773356022-2754745019-1000\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found
O3 - HKU\S-1-5-21-1628886457-2773356022-2754745019-1000\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found.
O4 - HKU\.DEFAULT..\Run: [fsc-reg] c:\fsc-reg\fscreg.exe File not found
O4 - HKU\.DEFAULT..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found
O4 - HKU\S-1-5-18..\Run: [fsc-reg] c:\fsc-reg\fscreg.exe File not found
O4 - HKU\S-1-5-18..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found
[2012-10-30 09:53:25 | 000,000,064 | ---- | M] () -- C:\Windows\System32\rp_stats.dat
[2012-10-30 09:53:25 | 000,000,044 | ---- | M] () -- C:\Windows\System32\rp_rules.dat
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zrób pełne skanowanie w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

.

[slash44]

Postąpiłem wg. instrukcji, jedynie Anti-Malware odnalazł jednego trojana, którego sie pozbył. Drugi skan nic nie wykazał. Dodatkowo wrzucam log z pierwszwgo skanu. Picasso chciał bym Ci serdecznie podziękować za pomoc z uporaniem sie z tym wrednym i nie dobrym oprogramowanie, Dziękuje Ci bardzo jesteś genialna picasso, tak na marginesie mam jeszcze sporo problemów ze swoim starym kompem, ale to juz w nowym temacie, dzięki. Oto log z pierwszego skanu Anti-Malware:

mbam-log-2012-10-31 (20-42-33).txt

[picasso]

Tak, wynik w MBAM był to usunięcia. Jak rozumiem to już załatwione. Na zakończenie należy zabezpieczyć system:

 

1. Podstawy aktualizacyjne do wykonania: KLIK. Wg Twojego raportu OTL masz zainstalowane:

 

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{31BFEC6C-1F27-45B5-839C-BCBAE327993A}" = OpenOffice.org 3.0
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"KLiteCodecPack_is1" = K-Lite Codec Pack 4.6.2 (Full)
 
CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files\Microsoft Silverlight\5.0.61118.0\npctrl.dll

 

Przede wszystkim, system ma krytyczny poziom zabezpieczeń (brak pakietu SP2, IE9 i łat wydanych po) oraz jest zablokowany do pobierania aktualizacji (tylko Vista SP2 jest dopuszczona). Należy wszystko sumiennie uzupełnić. Odinstaluj stary Silverlight, zaktualizuj resztę. Zaleciłam Ci wcześniej usunięcie wszystkich starych Adobe i Java. Mam nadzieję, że to wykonałeś i te pozycje są już nieaktualne:

 

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java™ 6 Update 30
"{58BAA8D0-404E-4585-9FD3-ED1BB72AC2EE}" = Adobe Flash Player 9 ActiveX
"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish

 

2. Instalacja nowego antywirusa, wcześniej były przeterminowane w systemie. Z darmowych możesz wybrać np. coś z tego: Avast, COMODO Internet Security, AVG, Panda Cloud Antivirus.

 

 

PS. Widzę tu także zainstalowaną parę Nowe Gadu-Gadu + Gadu-Gadu 10. Polecam alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

 

.