Infekcja Weelsofem, Avira znalazła 7 wirusów

micechal · 21 Lipiec 2012 14:10

Witam. Też padłem ofiarą tego syfu. Zarażone konto to Micechal, konto ma prawa administratora. Piszę teraz z innego konta, bez praw administratora. Nie wiem skąd się to wzięło, przeglądałem wyniki Google Operą i pojawił mi się ten komunikat. Ze strachu zresetowałem komputer i zalogowałem się na drugie konto. Stąd przeskanowałem system Avirą Personal z uprawnieniami administratora. Oto wynik skanu: http://wklejto.pl/129437 Jeśli trzeba będzie zamieścić inny skan, proszę napisać jak to zrobić, boję się że gdy wejdę na konto Micechal znowu zoaczę ten komunikat Nie wydaje mi się żeby Avira sobie poradziła. Usunęła tylko cache Javy

Atis · 21 Lipiec 2012 14:34

Zaloguj się w trybie awaryjnym i pokaż logi z OTL na wklej.org.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

micechal · 21 Lipiec 2012 14:42

Poszedłem na chwilę od komputera zostawiając skan OTL, niestety na tym użytkowniku bez uprawnień administratora. Zamieszczę logi, i jeśli trzeba będzie to zrobić w trybie awaryjnym, zrobię je. OTL.txt: http://wklej.org/id/795062/ Extras.txt: http://wklej.org/id/795063/

Zeskanowałem też MBAMem, nic nie znalazł (zaktualizowany).

Atis · 21 Lipiec 2012 15:30

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – System32\drivers\rdvgkmd.sys – (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\vdrive.sys – (vdrive) DRV - File not found [Kernel | On_Demand | Stopped] – system32\drivers\tsusbhub.sys – (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] – System32\drivers\synth3dvsc.sys – (Synth3dVsc) O3 - HKLM…\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O4 - HKU\S-1-5-21-986151846-1347753247-3591230660-1001…\Run: [] File not found O4 - HKU\S-1-5-21-986151846-1347753247-3591230660-1001…\Run: [TSErrRedir] C:\Users\Micechal\AppData\Local\Microsoft\Windows\2553\TSErrRedir.exe File not found [2012-07-21 14:24:30 | 000,000,000 | —D | C] – C:\Users\Micechal\AppData\Roaming\hellomoto :Files C:\Users\Micechal\AppData\Local\Microsoft\Windows\2553 :Commands [resethosts] [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

micechal · 21 Lipiec 2012 15:49

Wykonałem skrypt, niestety zapomniałem o Avirze, która zablokowała dostęp do pliku hosts. Zabiłem OTL menedżerem, wyłączyłem ochronę w Avirze i wykonałem skrypt. Log po usuwaniu: http://wklej.org/id/795113/. Czy wszystko jest już w porządku? U innych osób widziałem drugi krok, ja nie będę musiał go wykonywać? Jeśli tak to dziękuję za pomoc Weelsof instaluje się przez podatność w nieaktualizowanym oprogramowaniu, w tym przypadku Java, dobrze rozumiem?

– Dodane 21.07.2012 (So) 17:55 –

Według tego wszystko jest w najnowszej wersji. Mam jeszcze jedno pytanie. Gdy wyskoczył mi ten komunikat, zresetowałem komputer. Teraz gdy włączę profil Micecha, Opera autamatycznie otworzy ostatnią sesję. Boję się, że znowu złapę wirusa. Da się jakoś usunąć dane o tej sesji tak, żeby Opera wystartowała ze Speeddialem?

Atis · 21 Lipiec 2012 16:39

Zainstaluj najnowszą wersję Firefoxa.

Możesz utworzyć nowy skrót do opery dodając -nosession

Możesz nacisnąć klawisz z logo Windows + R i wkleić:

“C:\Program Files\Opera\opera.exe” -nosession