SlajderStudio Opublikowano 23 Grudnia 2012 Zgłoś Udostępnij Opublikowano 23 Grudnia 2012 Witam, otrzymałem link do tego forum z powodu znajomości informatyków o tym wirusie. Mój komputer został zainfekowany tym weelsof dzisiaj o 1.00 w nocy. Wygląda on jednak inaczej niż jak miałem go kiedyś. Jest odliczanie 48 godzin, że jeśli nie zapłacę 400 zł to usuną mi pliki i na stałe zablokują komputer. Komputer nie uruchamia się w: -trybie normalnym -trybie z obsługą sieci -trybie awaryjnym Uruchamia się natomiast tylko w trybie awaryjnym z wierszem polecenia, ale nie mogę użyć tam plików AUTORUNS, jak doradzał CERT POLSKA. Wyskakuje jakiś błąd. Jedyne co mi świta na myśli, to wklejenie na forum LOGÓW, ale zupełnie nie wiem jak to się robi. Proszę o jaką kolwiek pomoc, liczę na waszą profesjonalność. Są święta a ja nawet nie mogę w gry pograć. Odłączenie internetu i wpisywanie kodów, również nie skutkuje... Odnośnik do komentarza
Prince Opublikowano 23 Grudnia 2012 Zgłoś Udostępnij Opublikowano 23 Grudnia 2012 Temat jest intensywnie analizowany w wątku użytkownika "Goska" -> http://www.fixitpc.p...erzeniem-block/ Weelsof Ransomware/ukash (w zasadzie spotkałem się kilkukrotnie z różnym nazewnictwem tego trojana), który dotychczas straszył policyjną planszą wyświetlaną na całym ekranie rozwija się i mutuje nieprzerwanie od maja 2012 (picasso natrafiła nawet na wzmianki z marca br.) na dzień dzisiejszy szyfruje pliki (min. graficzne i dokumenty, dopisuje rozszerzenie *.Block). Chciałbym Cię zapewnić, że temat nie stoi w miejscu i trwa międzynarodowa dyskusja na różnych forach (min. kaspersky) jak się odnaleźć w tej bardzo groźnej sytuacji. Oczywiście nie płacimy szantażyście żadnych pieniędzy za rzekome odblokowanie plików, oto przykład co spotkało osobę która zapłaciła: (po angielsku) Posted 20 December 2012 - 10:27 AM Okay, here is my experience with this virus (both the computer program and the person who made it). First I contacted the yahoo e-mail address (he uses the fake name Tarence Benefield), and the person wanted me to pay them using western union... I sent them the money, and the yahoo email address got blocked... now he uses the e-mail address removed (WARNING, DO NOT SEND HIM MONEY). So after I sent this guy my money, and his e-mail gets deleted by yahoo, I feel like and idiot... But then I was able to track down his new e-mail address and got in touch with him again. Now he wants me to send him another payment! This guy is a scammer and a low life (As if we didn't already know that); he doesn't care about you or your hard work. Please NO-ONE SEND HIM ANY MONEY! If we encourage this guy, then in the future we will only see more of these kind of viruses! I made a mistake, you should not make the same mistake! These guys do not negotiate; they do not sympathise; all they care about is themselves, they would sell their mother to gangsters just for a few dollars. Its seams that not too many people have fallen victim to this scam so far, which is good; but those that have fallen should NOT send any money no matter what! Call your local police (FBI, RCMP, ect) fraud unit and report this; the more reports we make, the more likely they will start catching these guys! They already caught a few, only a few more to go! James Man pozdrawiam Prince Odnośnik do komentarza
SlajderStudio Opublikowano 23 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 23 Grudnia 2012 Tak wiem, szukałem wszędzie topików. Widziałem nawet topik Gosi, ale chciałbym aby ktoś konkretnie pomógł mi. Nakierować mnie jak mam skopiować te logi, skoro kompa mogę uruchomić tylko w trybie awaryjnym z wierszem polecenia. Odnośnik do komentarza
Landuss Opublikowano 24 Grudnia 2012 Zgłoś Udostępnij Opublikowano 24 Grudnia 2012 Pobierz narzędzie OTL z poziomu innego komputera i zapisz na pendrive, wejdź w Tryb awaryjny z obsługą Wiersza polecenia, w linii komend wpisz X:\OTL.exe (gdzie X = litera pendrive) i ENTER, uruchomi się OTL i w nim opcja Skanuj, na pendrive powstaną logi. Odnośnik do komentarza
SlajderStudio Opublikowano 25 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 25 Grudnia 2012 Przesyłam logi, jednak OTL.txt - jest strasznie długi i zajmuje aż 2 MB... Extras.Txt OTL.Txt Odnośnik do komentarza
SlajderStudio Opublikowano 25 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 25 Grudnia 2012 Panowie, nie trzeba już nic zmieniać w logach. Włączyłem rano z ciekawości komputer i wirus się nie uaktywnił. Szybko więc pobrałem program ComboFix, który polecam każdemu bo robi automatyczny skan. Po restarcie komputera przez ten program wirus został całkowicie usunięty. Odnośnik do komentarza
Landuss Opublikowano 25 Grudnia 2012 Zgłoś Udostępnij Opublikowano 25 Grudnia 2012 ComboFixa nie wolno używać na własną rękę. Jest to napisane w temacie przyklejonym na tym forum. Mimo wszystko tu jest jeszcze co robić. Wykonuj ponizsze czynności. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Slajder\USTAWI~1\Temp\ASFWHide -- (ASFWHide) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\anvsnddrv.sys -- (anvsnddrv) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?st=6&barid={B4B58B19-F7B4-4C2A-94B5-8E37E0517859}" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = "http://www.startsearcher.com" IE - HKLM\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://www.startsearcher.com/?q={searchTerms}&src=IETB" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={B4B58B19-F7B4-4C2A-94B5-8E37E0517859}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://dts.search-results.com/sidebar.html?src=ssb&appid=0&systemid=2&sr=0" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?st=6&barid={B4B58B19-F7B4-4C2A-94B5-8E37E0517859}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = "http://www.startsearcher.com" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{7F4EFF06-7032-458e-AE16-1C1D8255C28A}: "URL" = "http://home.speedbit.com/search.aspx?aff=115&q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={B4B58B19-F7B4-4C2A-94B5-8E37E0517859}" O3 - HKLM\..\Toolbar: (no name) - !{687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKCU..\Run: [] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe File not found O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm File not found O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm File not found :Files C:\Documents and Settings\Slajder\wgsdgsdgdsgsd.dll C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\Slajder\Menu Start\Programy\Autostart\runctf.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 1.10.02 / Internet Explorer Toolbar 4.6 by SweetPacks / uTorrentControl2 Toolbar Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj SweetIM for Facebook / SweetPacks Chrome Extension 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie jednak zaznacz w nim opcję "Pomiń pliki Microsoftu", tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
SlajderStudio Opublikowano 26 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 26 Grudnia 2012 Komputer uległ zmianie po usunięciu wirusa, więc zamieszczam plik OTL.txt z dzisiaj rano http://wklej.to/lfrB2 Więc na razie wstrzymam się z wykonaniem skryptu, który mi podałeś. Wejdź w ten link i zobacz co jest nie tak i jak możesz to podaj naprawiony log. Z góry dziękuje! Odnośnik do komentarza
Landuss Opublikowano 9 Stycznia 2013 Zgłoś Udostępnij Opublikowano 9 Stycznia 2013 (edytowane) Wykonaj to co pisałem wyżej, tam są podane jeszcze inne operacje poboczne, nie tylko usuwanie wirusa. Edytowane 18 Lutego 2013 przez picasso 18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi