Kolejny "policyjny" wirus...ransomware


(Roux Luv) #1

hej, mam problem…

kilka godzin temu na mój komputer wkradł się wirus Wheelsof

na pulpicie pojawił się komunikat mówiący że komputer został zablokowany przez policję ■■■ ta ta.

trzeba zapłacić, wpisać kod.

trochę poczytałam o tym, próbowałam kilku rozwiązań ale to na nic - generator kodów nie działa, dodatkowo mam uniemożliwiony rozruch koputera z CD (wypluwa płytę - zepsuty przycisk w panelu dotykowym, ale mniejsza o to).

może ktoś by mnie pokierował jak to mogę usunąć? posiadam program OTL.

swój profl z uprawnieniami administratora mam całkowicie zablokowany, w tej chwili siedze na koncie z ograniczeniem (nie moge niczego zainstalowac… także rozwiązanie z pogramem ComboFix również odpada)

bardzo proszę o pomoc i z góry dziękuję!

jeżeli ktoś mógłby to sprawdzić

bezpośrednie linki:

http://przeklej.net/down/21869322957163354788090705856669193fa5a2471085ca46045f022.html

http://przeklej.net/down/19119406823277986571116879838262222e37af673f75f7d3c8a8831.html

moja mała sugestia: pozycja 288 i 289 w pierwszym pliku (nazwy - “dsgsdgdsgdsgw.js”, “dsgsdgdsgdsgw.pad” i takie coś “fowje6z1.dat”)

ścieżka dostępu do tych plików: C:\Documents and Settings\All Users\Dane aplikacji


(Atis) #2

Odinstaluj ASK Toolbar i Browsers Protector.

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

Start -> Uruchom (logo Widows + R) -> wpisz: regedit

Odszukaj klucz:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters

Kliknij prawym na wartości ServiceDll wybierz Modyfikuj i wklej to:

%SystemRoot%\system32\wbem\WMIsvc.dll

Zrestartuj komputer i sprawdź czy działa usługa Instrumentacja zarządzania Windows

Kliknij prawym na Mój Komputer -> Zarządzaj -> Usługi

Pokaż nowy log z OTL.


(Roux Luv) #3

nowe:

http://przeklej.net/down/545590475167707601076709357649350996c524f9a07d2f4715af438.html

http://przeklej.net/down/77193271401319621348210536665255577774841e6bf27627189c19e.html

przy próbie zmiany wartości wyskakuje błąd, mianowicie:

“Nie można edytować ServiceDll: Błąd przy edycji nowej wartości”

Cały czas pozostaje ścieżka C:\DOCUME~1\Agu\wgsdgsdgsgsd.exe

czyli ten wirus.

Usunąć ASK Toolbar i Browsers Protector nie mogę bo jestem na koncie z ograniczeniami, czyli takim, które założyłam mojej mamie.

Pozostałe dwa z uprawnieniami admininstrtora są zablokowane, pojawia się ten nieszczęsny ekran.

Dodane 28.12.2012 (Pt) 13:01

Jeszcze instrumentacja zarządzania Windows:

dane: C:\WINDOWS\system32\svchost.exe -k netsvcs

gdy klikam “Uruchom” pojawia się informacja o odmowie dostępu.

podkreślam że nie mam zbyt wielu uprawnień jako użytkownik z ograniczeniami :?


(Atis) #4

Nic nie zostało usunięte.

Nie pokazałaś raportu z usuwania, więc nie wiadomo na czym polega problem.

Może konto z ograniczeniami stanowi problem.

Wykonaj skrypt i pokaż raport.

Pobierz gotowy plik:

http://sendfile.pl/251153/fix.txt

Kliknij Wykonaj skrypt > Wskaż na plik fix.txt > Wykonaj skrypt

Spróbuj zalogować się na zainfekowane konto w trybie awaryjnym z obsługą wiersza polecenia

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny z wierszem polecenia.

https://support.kaspersky.com/pl/faq?SS … 3238595#q1

W wierszu polecenia wpisz: X:\OTL.exe

X - podstawiasz literę dysku na którym zapisany jest OTL.

Nie znasz litery to użyj sposobu z notatnikiem.

  1. W wierszu polecenia wpisz: notepad

  2. W menu notatnika: Plik -> Otwórz

  3. Pliki typu -> Wszystkie pliki

  4. Teraz odszukaj OTL kliknij prawym i z menu kontekstowego wybierz Otwórz lub Uruchom jako…

http://wstaw.org/m/2012/12/23/2012-12-23_205834.png


(Roux Luv) #5

ok, jeszcze raz:

wklejam:

we własne opcje skanowania/skrypt

naciskam “wykonaj skrypt”

komputer ma się zrestartować. co dalej?


(Atis) #6

Po restarcie powinien otworzyć się w notatniku raport z usuwania.

Raport zapisuje się w folderze C:_OTL

Spróbuj ręcznie skasować pliki:


(Roux Luv) #7

okej, próbuję ręcznie.

jeśli to nie pomoże to uruchomię system w trybie awaryjnym z wierszem polecenia.

OTL już mam zgrany na pendrive, a ścieżka dostępu, to F:\OTL.exe

Dodane 28.12.2012 (Pt) 13:31

nic się nie wykasowało.

nic mi nie wyskoczyło.

postaram się to zrobić w systemie awaryjnym, za chwilę dam znac co i jak

Dodane 28.12.2012 (Pt) 14:15

Nic się niestety nie wydarzyło, problem istnieje w dalszym ciągu.

Starałam się usunąć te 4 wpisy, ale po resecie nic się nie zmieniło.


(Atis) #8

Zalogowałaś się w awaryjnym zainfekowane konto?

Spróbuj przywrócić system do czasu przed infekcją:

http://support.microsoft.com/kb/304449/pl

Skoro nie działa CD to niewiele można zrobić.

Normalnie można wykorzystać OTLPE.

http://traxter-online.net/otlpe-tworzen … -systemie/

Możesz spróbować OTLPE na pendrive.

Opis od słów sur Clef USB:

http://forum.malekal.com/otlpe-live-t23453.html#p213090


(Roux Luv) #9

hej, wczoraj w nocy jakoś sobie poradziłam z kompem - w trybie awaryjnym z wierszem polecenia uruchomiłam z pendrive program ComboFix. po 20 minutach był już spokój, pozostało ręczne usuwanie plików które wcześniej stanowiły problem.

na tą chwilę czuję że system działa ciut wolniej, przeskanuję go jeszcze późniejszym wieczorem. Bardzo dziękuję za pomoc!! :smiley:

Dodane 29.12.2012 (So) 19:57

witam ponownie, wklejam nowe raporty OTL po usunięciu infekcji:

http://przeklej.net/down/964864855200867119859516517178079009d0c101b34cbf549d5999e.html

http://przeklej.net/down/43832585858755189553380090371969336dfcc3b35192f463e6d5776.html

prosze o sprawdzenie czy wszystko gra,

pozdrawiam


(Atis) #10

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://wstaw.org/m/2012/12/29/2012-12-29_005346.png