Twój komputer został zablokowany! Problem z wirusem weelsof.

[dawid090]

Witam ! 5 dni temu podczas korzystania z internetu wyświetlił mi się komunikat

pt. ,, Twój komputer został zablokowany ... ''. Wszedłem na tryb awaryjny i poczytałem trochę informacji na różnych forach, i dowiedziałem się, że jest to wirus weelsof. Zaczęłem szukać rozwiązania na ten problem. Dowiedziałem się, że pomóc może mi jedynie combofix . Użyłem go i po ponownym włączeniu komputera nic się nie wyświetlało, tylko czarny ekran i komputer się ponownie uruchamiał. Combofix wyczyścił mi prawie cały komputer. Bardzo proszę o pomoc!

 

Proszę oto logi z OTL'a i Combofix'a :

ComboFix.txt

OTL.Txt

Extras.Txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\FileServe Toolbar\FileServeSvc.exe -- (FileServe Toolbar Helper)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys -- (EraserUtilRebootDrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilDrvI10.sys -- (EraserUtilDrvI10)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\PROGRA~1\DScaler\DSDrv4.sys -- (DSDrv4)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: /startsear.ch/?aff=1&cf=09fda31c-33e6-11e1-aa51-14d64d18f495
IE - HKLM\..\SearchScopes,DefaultScope = {AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
IE - HKLM\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=09fda31c-33e6-11e1-aa51-14d64d18f495&q={searchTerms}
IE - HKU\S-1-5-21-796845957-308236825-1417001333-1004\..\SearchScopes\{01EAFFF6-2D8F-47DA-B7AD-1E163BDD7D9B}: "URL" = http: //fileservehome.com/?tmp=toolbar_FileServe_results&prt=fileservetb01ie&Keywords={searchTerms}&clid=d78cdc82a8434b6bb2d8480dbbc29986
IE - HKU\S-1-5-21-796845957-308236825-1417001333-1004\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=09fda31c-33e6-11e1-aa51-14d64d18f495&q={searchTerms}
IE - HKU\S-1-5-21-796845957-308236825-1417001333-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3106777
IE - HKU\S-1-5-21-796845957-308236825-1417001333-1004\..\SearchScopes\{C281AD45-EE2F-4618-8E83-32E9CAD4BA77}: "URL" = http: //www.daemon-search.com/search?q={searchTerms}
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627"
FF - prefs.js..browser.search.order.1: "Yahoo-FileServe"
FF - prefs.js..browser.search.selectedEngine: "Web Search..."
FF - prefs.js..browser.search.selectedEngineURL: "http://fileservehome.com/?tmp=toolbar_fileserve_results&prt=fileservetb01ff&clid=d78cdc82a8434b6bb2d8480dbbc29986&subid=&Keywords={searchTerms}"
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..extensions.enabledItems: fileserve@fileserve.com:2.9
FF - prefs.js..network.proxy.autoconfig_url: "http://fileserve.com/"
[2012-06-19 06:16:28 | 000,000,000 | ---D | M] (WinZipBar Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\z7fz9l5m.default\extensions\{50fafaf0-70a9-419d-a109-fa4b4ffd4e37}
[2011-08-01 19:15:33 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\z7fz9l5m.default\extensions\DTToolbar@toolbarnet.com
[2010-05-26 15:18:50 | 000,002,333 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\z7fz9l5m.default\searchplugins\askcom.xml
[2012-02-21 21:10:05 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\z7fz9l5m.default\searchplugins\startsear.xml
[2011-03-20 17:39:00 | 000,000,000 | ---D | M] (FileServe Toolbar) -- C:\Program Files\Mozilla Firefox\extensions\fileserve@fileserve.com
[2010-11-26 10:48:32 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2011-04-20 17:22:42 | 000,001,213 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fileserve.xml
O2 - BHO: (FileServeManager) - {00000001-AB3B-4334-9DA2-EC6B2A02AFC6} - D:\Program Files\FileServe Manager\FileServeBHO.dll File not found
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - D:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found
O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll File not found
O2 - BHO: (IplexToALLPlayer) - {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - D:\PROGRA~1\ALLPLA~1\Iplex\IPLEXT~1.DLL File not found
O2 - BHO: (EpsonToolBandKicker Class) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll File not found
O3 - HKLM\..\Toolbar: (FileServe Toolbar) - {0E91EFA2-AF48-4333-9965-5DD29DE31B56} - "C:\Program Files\FileServe Toolbar\fileservetb.dll" File not found
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll File not found
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - D:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found
O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll File not found
O3 - HKLM\..\Toolbar: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - D:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll File not found
O3 - HKU\S-1-5-21-796845957-308236825-1417001333-1004\..\Toolbar\WebBrowser: (FileServe Toolbar) - {0E91EFA2-AF48-4333-9965-5DD29DE31B56} - "C:\Program Files\FileServe Toolbar\fileservetb.dll" File not found
O3 - HKU\S-1-5-21-796845957-308236825-1417001333-1004\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll File not found
O3 - HKU\S-1-5-21-796845957-308236825-1417001333-1004\..\Toolbar\WebBrowser: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - D:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll File not found
O4 - HKLM..\Run: [PWRISOVM.EXE] D:\Program Files\PowerISO\PWRISOVM.EXE File not found
O4 - HKU\S-1-5-21-796845957-308236825-1417001333-1004..\Run: [ALLUpdate] "D:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" File not found
O4 - HKU\S-1-5-21-796845957-308236825-1417001333-1004..\Run: [KPeerNexonEU] C:\Nexon\NEXON_EU_Downloader\nxEULauncher.exe File not found
O4 - HKU\S-1-5-21-796845957-308236825-1417001333-1004..\Run: [Vidalia] "D:\Documents and Settings\user\Moje dokumenty\Pobieranie\Tor Browser\App\vidalia.exe" File not found
 
:Files
C:\Documents and Settings\user\Dane aplikacji\hellomoto
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Wejdź w panel usuwania programów i odinstaluj: Conduit Engine / FileServe Toolbar / uTorrentBar Toolbar / Deinstalator Strony V9 / vShare.tv plugin 1.3 / WinZipBar Toolbar

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

[dawid090]

OTL podczas wykonywania skryptu zawiesza się i muszę wyłączyć komputer . Co robić ?

[picasso]

Odetnij ze skryptu tę spodnią część:

 

:Commands

[emptytemp]

 

 

.

[dawid090]

Wykonałem ten skrypt bez :

SRV - File not found [Auto | Stopped] -- C:\Program Files\FileServe Toolbar\FileServeSvc.exe -- (FileServe Toolbar Helper)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys -- (EraserUtilRebootDrv)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilDrvI10.sys -- (EraserUtilDrvI10)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)

DRV - File not found [Kernel | On_Demand | Stopped] -- D:\PROGRA~1\DScaler\DSDrv4.sys -- (DSDrv4)

Przy tym się zacina . Reszta zrobiła się normalnie . Czy to wystarczy ?

[picasso]

Wykonałem ten skrypt bez

 

Te martwe usługi możesz usunąć za pomocą Autoruns. Wpis pierwszy będzie w karcie Services. Reszta w karcie Drivers.

 

 

Reszta zrobiła się normalnie . Czy to wystarczy ?

 

Przecież masz wykonać nowy skan w OTL, co nam udowodni co się wykonało. Skan zrób już po w/w operacji w Autoruns.

 

 

.

[dawid090]

Proszę . Oto nowy log OTL :

OTL2.Txt

[Landuss]

Wykonane nie do końca. Rób jeszcze jeden skrypt:

 

:OTL
IE - HKLM\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=09fda31c-33e6-11e1-aa51-14d64d18f495&q={searchTerms}
IE - HKU\S-1-5-21-796845957-308236825-1417001333-1004\..\SearchScopes\{01EAFFF6-2D8F-47DA-B7AD-1E163BDD7D9B}: "URL" = http: //fileservehome.com/?tmp=toolbar_FileServe_results&prt=fileservetb01ie&Keywords={searchTerms}&clid=d78cdc82a8434b6bb2d8480dbbc29986
IE - HKU\S-1-5-21-796845957-308236825-1417001333-1004\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=09fda31c-33e6-11e1-aa51-14d64d18f495&q={searchTerms}
IE - HKU\S-1-5-21-796845957-308236825-1417001333-1004\..\SearchScopes\{C281AD45-EE2F-4618-8E83-32E9CAD4BA77}: "URL" = http: //www.daemon-search.com/search?q={searchTerms}
[2012-07-14 15:02:53 | 000,001,565 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\z7fz9l5m.default\searchplugins\web-search.xml
O2 - BHO: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found.
O2 - BHO: (no name) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - No CLSID value found.
O2 - BHO: (no name) - {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - No CLSID value found.
O2 - BHO: (no name) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {0E91EFA2-AF48-4333-9965-5DD29DE31B56} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - No CLSID value found.

 

Klik w Wykonaj skrypt.

 

Nowy log do oceny (bez extras)

[dawid090]

Oto nowy log OTL :

OTL.Txt

[Landuss]

Teraz mogę powiedzieć, że jest dobrze.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 7.0.5730.13)

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31

"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.3 - Polish

"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.