sumienie
6 Sierpień 2012 08:46
#1
witam!
proszę o pomoc w sprawie infekcji Weelsof
moje logi
OTL - http://www.wklej.org/id/804973/
Extras - http://www.wklej.org/id/804986/
z góry dziękuję
sumienie
Acorus
6 Sierpień 2012 09:06
#2
Odinstaluj Vuze_Remote Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/ IE - HKLM…\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuze.dll (Conduit Ltd.) IE - HKLM…\SearchScopes{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: “URL” = http://startsear.ch/?q={searchTerms} IE - HKLM…\SearchScopes{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: “URL” = http://slirsredirect.search.aol.com/sli … 685&query={searchTerms}&invocationType=tb50winampie7 IE - HKU.DEFAULT…\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18…\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\URLSearchHook: {88ac3cb6-596b-4217-964c-b6757ef9602d} - No CLSID value found IE - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuze.dll (Conduit Ltd.) IE - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\URLSearchHook: CFBFAE00-17A6-11D0-99CB-00C04FD64497} - No CLSID value found IE - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\URLSearchHook: ecdee021-0d17-467f-a1ff-c7a115230949} - No CLSID value found IE - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&affID=113480&tt=060612_5_&babsrc=SP_ss&mntrId=dc238faa000000000000000feae31986 IE - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\SearchScopes{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: “URL” = http://startsear.ch/?q={searchTerms} IE - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\SearchScopes{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: “URL” = http://www.daemon-search.com/search?q={searchTerms} IE - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\SearchScopes{AFE55858-2421-4262-BDFA-4BC29520C33B}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3176921 IE - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\SearchScopes{CF739809-1C6C-47C0-85B9-569DBB141420}: “URL” = http://toolbar.ask.com/toolbarv/askRedi … t=&gc=1&q={searchTerms}&crm=1&toolbar=VZ2 IE - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\SearchScopes{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: “URL” = http://slirsredirect.search.aol.com/sli … 685&query={searchTerms}&invocationType=tb50winampie7 O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuze.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (no name) - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKLM…\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuze.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\Toolbar\WebBrowser: (no name) - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - No CLSID value found. O3 - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\Toolbar\WebBrowser: (no name) - {88AC3CB6-596B-4217-964C-B6757EF9602D} - No CLSID value found. O3 - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O3 - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files\Vuze_Remote\tbVuze.dll (Conduit Ltd.) O4 - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\Run: [PokerStrategy.com SideKick] “C:\Users\AndrzejAnia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PokerStrategy.com \PokerStrategy.com SideKick.appref-ms” File not found O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe File not found O9 - Extra ‘Tools’ menuitem : @C :\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll,-103 - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - Reg Error: Key error. File not found O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shoc … tor/sw.cab (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) [2012-08-05 23:22:47 | 000,000,000 | —D | C] – C:\Users\AndrzejAnia\AppData\Roaming\hellomoto :Commands [emptytemp]
Kliknij Wykonaj skrypt.
Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
sumienie
6 Sierpień 2012 09:49
#3
Acorus
6 Sierpień 2012 10:26
#4
W OTL użyj opcji Sprzątanie.Wyłącz i włącz przywracanie systemu.
http://www.searchengines.pl/Czyszczenie … 41981.html
Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”
Zainstaluj aktualizacje do programow wskazanych przez Security Check
analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.
sumienie
6 Sierpień 2012 12:13
#5
zrobiłem wszystko tak jak napisałeś za wyjątkiem aktualizacji malwera bo jak podłączam internernet to od razu ten wirus wyskakuje. Po skanowaniu wykrył 7 trojanów, które usunąłem. Ale w dalszym ciągu moge uruchomić tylko w awaryjnym. mam wszystko powtórzyć jeszcze raz? Po sprzątaniu wyskakuje mi komunikat że mam ponownie uruchomić koputer. Po ponownym uruchomieniu znika z pulpitu program OTl. To normalne, czy jakiś błąd?
Atis
6 Sierpień 2012 14:02
#6
W ostatnim logu widać tego trojana:
Do okna Własne opcje skanowania / skrypt wklej:
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
sumienie
6 Sierpień 2012 14:36
#7
Atis
6 Sierpień 2012 15:00
#8
Wklej i kliknij Wykonaj skrypt:
:OTL O3 - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1112515897-1356431709-701816398-1000…\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. [2012-08-06 12:38:18 | 000,000,000 | —D | C] – C:\Users\AndrzejAnia\AppData\Roaming\hellomoto [2012-04-09 11:57:25 | 000,000,000 | —D | M] – C:\Users\AndrzejAnia\AppData\Roaming\Babylon
Później kliknij Sprzątanie i to wszystko.
sumienie
6 Sierpień 2012 15:34
#9
wygląda na to że już wszystko jest w porządku. bardzo dziękuję za pomoc. sam nie byłbym w stanie rozwiązać tego problemu dzięki. pozdrawiam serdecznie