Infekcja Weelsof

DesCorax (Ptelingo) 2012-07-11 13:06:55 UTC #1

Witam, widzę, że nie jestem odosobniony w swoim przypadku, mamy do czynienia wręcz z plagą. Moje logi:

Extras - http://www.wklej.org/id/788431/

Czy powinienem zrobić coś jeszcze? Proszę o i jednocześnie bardzo dziękuję za odpowiedzi.

Acorus (Acorus) 2012-07-11 13:12:49 UTC #2

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

DesCorax (Ptelingo) 2012-07-11 13:39:45 UTC #3

Przy uruchamianiu systemu nic nie wyskoczyło, brak zastrzeżeń. Dziękuję bardzo. A tutaj log:

http://www.wklej.org/id/788451/

Czy już wszystko jest w porządku?

EDIT: za chwilę postaram się dodać też nowy raport OTL, ale wszystko zdaje się być już w porządku.

Acorus (Acorus) 2012-07-11 13:48:01 UTC #4

Odinstaluj uTorrentControl2 Toolbar.Daj nowy log-trzeba jeszcze doczyścić.

DesCorax (Ptelingo) 2012-07-11 14:01:09 UTC #5

Odinstalowałem go z pozycji dodatków w Mozilli, ale po ponownym uruchomieniu przeglądarki wciąż tam wraca. Jak powinienem to zrobić? OTL jeszcze nie skończył skanu, jak tylko to zrobi, wrzucę loga. Jeszcze raz dziękuję za pomoc.

-- Dodane 11.07.2012 (Śr) 16:38 --

Log z OTL:

http://www.wklej.org/id/788479/

Wciąż jednak nie wiem, jak pozbyć się tego cholernego dodatku. Po "odinstalowaniu" nie ma opcji uruchom ponownie, a przy manualnym restarcie Firefoxa wszystkie odinstalowywane dodatki magicznie wracają jako wyłączone. Znalazłem folder extensions, ale nie wiem, jak sprawdzić który z nich odpowiada temu idiotycznemu Toolbarowi.

Acorus (Acorus) 2012-07-11 15:08:58 UTC #6

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKLM..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.) IE - HKLM..\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKLM..\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 IE - HKCU..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.) IE - HKCU..\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.8.0.99999 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" [2012-05-31 06:43:36 | 000,000,000 | ---D | M] (ST-Eng7 Community Toolbar) -- C:\Users\Ja\AppData\Roaming\mozilla\Firefox\Profiles\854cgdmr.default\extensions{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} [2012-05-31 06:43:33 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Ja\AppData\Roaming\mozilla\Firefox\Profiles\854cgdmr.default\extensions{687578b9-7132-4a7a-80e4-30ee31099e03} [2011-11-10 22:19:08 | 000,000,000 | ---D | M] ("Ask Toolbar") -- C:\Users\Ja\AppData\Roaming\mozilla\Firefox\Profiles\854cgdmr.default\extensions\toolbar@ask.com O3 - HKLM..\Toolbar: (uTorrentControl2 Toolbar) - {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.) O3 - HKCU..\Toolbar\WebBrowser: (uTorrentControl2 Toolbar) - {687578B9-7132-4A7A-80E4-30EE31099E03} - C:\Program Files\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.) :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete(w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).

Wyłącz i włącz przywracanie systemu.

http://www.searchengines.pl/Czyszczenie ... 41981.html

Zainstaluj aktualizacje do programow wskazanych przez Security Check

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.

DesCorax (Ptelingo) 2012-07-11 15:09:20 UTC #7

Użyłem AdwCleanera, podziałało. Tylko co z tym ostatnim logiem? Czy wszystko jest w porządku? Planuję jeszcze scan ComboFixem dla pewności.

Acorus (Acorus) 2012-07-11 15:10:54 UTC #8

Combofixa sobie odpuść.

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem