Wirus Weelsof - Policja Polska Cyberprzestępczość Departament

[pax10]

Witam,

 

Zaatakował mnie wirus Weelsof. Każe wpłacić za pomocą Paysafecard 400 PLN za odblokowanie komputera.

 

Zanim znalazłem to forum próbowałem skorzystać z pomocy zamieszczonej tutaj - http://www.cert.pl/news/5707

Metoda 1 nie zadziałała gdyż, po uruchomieniu komputera w trybie awaryjnym z wierszem polecenia, polecenie wywołujące dysk USB (wmic logicaldisk get caption,volumename) nie reagowało. Pojawiał się taki napis:

"ERROR:

Description = Wykonanie serwera nie powiodło się. "

 

Metoda 2 się uruchomiła, komputer został przeskanowany, wg instrukcji. Po restarcie i zalogowaniu do użytkownika wirus znów się pojawił.

 

Następnie znalazłem ten post: http://www.fixitpc.p...-po-combofixie/

 

Zacząłem od opisanego rozwiązania tutaj: http://sposob-na-kom...e/wirus-weelsof. Niestety przy uruchamianiu komputera w trybie awaryjnym z obsługą sieci po zalogowaniu się do użytkownika od razu pojawia się wirus na ekranie.

 

Wiem, że konieczne jest zamieszczenie raportu OTL i Extras. Niestety nie wiem jak mogę to zrobić w momencie, kiedy każde uruchomienie komputera kończy się włączeniem wirusa na całym ekranie.

 

Bardzo proszę o pomoc.

 

Pozdrawiam

 

Edycja:

Po przeczytaniu tego wpisu: https://www.fixitpc.pl/topic/15504-wirus-policja-po-uzyciu-combofix/ dodaję, że po logowaniu na konto administratora wirus również od razu się uaktywnia na ekranie

Edytowane 10 Stycznia 2013 przez pax10

[picasso]

Wiem, że konieczne jest zamieszczenie raportu OTL i Extras. Niestety nie wiem jak mogę to zrobić w momencie, kiedy każde uruchomienie komputera kończy się włączeniem wirusa na całym ekranie.

 

Wybierz Tryb awaryjny z Wierszem polecenia. A logować się masz na konto na którym jest problem.

 

 

.

[pax10]

Problem jest na obu kontach.

Jak w wierszu polecenia wybrać instalację OTL? Wcześniej z USB nie dało się odczytać zawartości poprzez wiersz polecenia. Nagrać na płytę program? A jak dalej?

[picasso]

Jeśli w Trybie awaryjnym USB nie jest rozpoznane, to zamiennie zrób log z poziomu środowiska zewnętrznego OTLPE.

[pax10]

Plik OTL wygenerowany przy użyciu OTLPE.

 

OTLPE pozostawiłem uruchomione na komputerze.

OTL.Txt

[picasso]

1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
 
:Files
C:\Users\Kuba\wgsdgsdgdsgsd.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\dsgsdgdsgdsgw.js
C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
rd /s /q "C:\Kaspersky Rescue Disk 10.0" /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Run Fix. System zostanie odblokowany, toteż loguj się normalnie do Windows.

 

2. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, Babylon Toolbar, Funmoods Toolbar.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowe logi ze standardowego OTL z opcji Skanuj, a by powstał plik Extras, opcja "Rejestr - skan dodatkowy" musi być ustawiona na "Użyj filtrowania". Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[pax10]

Zrobione wg instrukcji.

 

Logi poniżej

AdwCleanerS1.txt

Extras.Txt

OTL.Txt

[picasso]

Zadania pomyślnie wykonane. Wymagane drobne korekty. I są tu jakieś dziwne pliki o modelu nazwy:

 

[2012-08-20 14:28:27 | 000,034,121 | ---- | C] () -- C:\Users\Kuba\akl.class
[2012-08-20 14:28:27 | 000,023,721 | ---- | C] () -- C:\Users\Kuba\aif.class
[2012-08-20 14:28:27 | 000,021,119 | ---- | C] () -- C:\Users\Kuba\akv.class
[2012-08-20 14:28:27 | 000,007,085 | ---- | C] () -- C:\Users\Kuba\abe.class
[2012-08-20 14:28:27 | 000,006,327 | ---- | C] () -- C:\Users\Kuba\afo.class
[2012-08-20 14:28:27 | 000,005,743 | ---- | C] () -- C:\Users\Kuba\agn.class
[2012-08-20 14:28:27 | 000,005,740 | ---- | C] () -- C:\Users\Kuba\ahk.class
[2012-08-20 14:28:27 | 000,005,672 | ---- | C] () -- C:\Users\Kuba\aji.class
[2012-08-20 14:28:27 | 000,005,355 | ---- | C] () -- C:\Users\Kuba\aka.class
[2012-08-20 14:28:27 | 000,005,030 | ---- | C] () -- C:\Users\Kuba\aec.class
[2012-08-20 14:28:27 | 000,005,020 | ---- | C] () -- C:\Users\Kuba\afx.class
[2012-08-20 14:28:27 | 000,004,919 | ---- | C] () -- C:\Users\Kuba\adx.class
[2012-08-20 14:28:27 | 000,004,889 | ---- | C] () -- C:\Users\Kuba\afd.class
[2012-08-20 14:28:27 | 000,004,746 | ---- | C] () -- C:\Users\Kuba\ahh.class
[2012-08-20 14:28:27 | 000,004,517 | ---- | C] () -- C:\Users\Kuba\aea.class
[2012-08-20 14:28:27 | 000,004,489 | ---- | C] () -- C:\Users\Kuba\agj.class
[2012-08-20 14:28:27 | 000,004,468 | ---- | C] () -- C:\Users\Kuba\air.class
[2012-08-20 14:28:27 | 000,004,307 | ---- | C] () -- C:\Users\Kuba\aip.class
[2012-08-20 14:28:27 | 000,004,116 | ---- | C] () -- C:\Users\Kuba\ajm.class
[2012-08-20 14:28:27 | 000,004,102 | ---- | C] () -- C:\Users\Kuba\ahw.class
[2012-08-20 14:28:27 | 000,004,063 | ---- | C] () -- C:\Users\Kuba\abj.class
[2012-08-20 14:28:27 | 000,004,015 | ---- | C] () -- C:\Users\Kuba\ajc.class
[2012-08-20 14:28:27 | 000,003,980 | ---- | C] () -- C:\Users\Kuba\adr.class
[2012-08-20 14:28:27 | 000,003,970 | ---- | C] () -- C:\Users\Kuba\aer.class
[2012-08-20 14:28:27 | 000,003,939 | ---- | C] () -- C:\Users\Kuba\agy.class
[2012-08-20 14:28:27 | 000,003,927 | ---- | C] () -- C:\Users\Kuba\afl.class
[2012-08-20 14:28:27 | 000,003,756 | ---- | C] () -- C:\Users\Kuba\agl.class
[2012-08-20 14:28:27 | 000,003,679 | ---- | C] () -- C:\Users\Kuba\ajd.class
[2012-08-20 14:28:27 | 000,003,670 | ---- | C] () -- C:\Users\Kuba\aez.class
etc.

 

Będę je usuwać.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1Qzu0DzzyD0DyE0CzytC0D0E0DyEzz0D0DyEtN0D0Tzu0CtAyCyBtN1L2XzutBtFtBtFtCtFyEtDyB&cr=1811665544" 
IE - HKU\S-1-5-21-904139527-4008665556-3145402209-1000\..\SearchScopes\{026E8082-4507-6924-339B-08A35C209F73}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110823&tt=040912_ctrl_3612_8&babsrc=SP_ss&mntrId=6e9b8dd4000000000000d85d4c91ded4"
O3 - HKU\S-1-5-21-904139527-4008665556-3145402209-1001\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKLM..\Run: [ROC_ROC_JULY_P1] "C:\Program Files\AVG Secure Search\ROC_ROC_JULY_P1.exe" / /PROMPT /CMPID=ROC_JULY_P1 File not found
O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-904139527-4008665556-3145402209-1001\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{026E8082-4507-6924-339B-08A35C209F73}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Files
C:\Users\Kuba\*.class
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

Edytowane 18 Lutego 2013 przez picasso
18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso