Problem z wirusem weelsof polska policja

daniel86 · 22 Grudzień 2012 21:31

Temat pewnie już tu bardzo dobrze znany, poprosiłbym o pomoc jak dla żółtodzioba, ponieważ pierwszy raz korzystam z OTL;)

OTL: http://www.wklej.org/id/904097/

Extras: http://www.wklej.org/id/904098/

Z góry piękne dzięki!

Atis · 22 Grudzień 2012 22:02

Odinstaluj jeden program antywirusowy, bo masz jednocześnie Kaspersky i Avira.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE - HKU\S-1-5-21-1054956138-2478258163-3572275279-1003…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://websearch.ask.com/redirect?clien … &src=kw&q={searchTerms}&locale=en_PL&apn_ptnrs=^ABZ&apn_dtid=^YYYYYY^YY^PL&apn_uid=E21452FC-48BA-4A44-888F-F3139BAE327E&apn_sauid=EF15140D-28AA-421B-922C-45809433DC54 IE - HKU\S-1-5-21-1054956138-2478258163-3572275279-1003…\SearchScopes{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: “URL” = http://www.daemon-search.com/search?q={searchTerms} FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.defaultenginename: “Ask.com” FF - prefs.js…browser.search.order.1: “Ask.com” FF - prefs.js…extensions.enabledItems: vshare@toolbar:1.0.0 [2010-09-11 16:36:25 | 000,000,000 | —D | M] (vShare Plugin) – C:\Users\Daniel\AppData\Roaming\mozilla\Firefox\Profiles\fe212vt1.default\extensions\vshare@toolbar O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1054956138-2478258163-3572275279-1003…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM…\Run: [NWEReboot] File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Value error.) @Alternate Data Stream - 24 bytes -> C:\Windows:5A35E24AE3C7ED96 :Files C:\Users\Daniel\wgsdgsdgdsgsd.dll C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\Windows\Installer{8ec02191-1391-0169-3a1d-36fe7c289a57} C:\Users\Daniel\AppData\Local{8ec02191-1391-0169-3a1d-36fe7c289a57} reg delete HKCU\Software\Classes\CLSID{42aedc87-2188-41fd-b9a3-0c966feabec1} /f /c :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

Wklej do OTL i kliknij Skanuj:

Pokaż ten log.

Pobierz i uruchom Farbar Service Scanner

Zaznacz wszystkie pozycje i kliknij Scan.

Pokaż ten raport.

daniel86 · 22 Grudzień 2012 22:33

To normalne, że na pulpicie pojawiły się ikonki do plików wyglądające jak ‘ukryte’?

OTL po restarcie: http://www.wklej.org/id/904155/

To co podałeś w kolejnych punktach też wykonać teraz?

Atis · 22 Grudzień 2012 22:51

To normalne, że widać ukryte pliki, a domyślne ustawienia przywróci Sprzątanie.

Wykonaj punkty 2 i 3.

daniel86 · 22 Grudzień 2012 23:07

Nie wiem czy ten drugi punk dobrze ogarnąłem, ale prosze:

http://www.wklej.org/id/904177/

a to raport z Farbara: http://www.wklej.org/id/904179/

Jeszcze dodatkowo spytam, ma to jakieś znaczenie, że wszystko robie w trybie awaryjnym? Niestety tylko tak mogę, normalnie wirus blokuje mi dostęp do neta.

Atis · 23 Grudzień 2012 11:39

Pobierz i uruchom ESET ServicesRepair

Kliknij prawym na ServicesRepair i wybierz uruchom jako administrator.

Postępuj zgodnie z zaleceniami programu.

Później utwórz nowy raport z Farbar Service Scanner

daniel86 · 24 Grudzień 2012 09:33

Sory nie zaglądałem tu wczoraj.

Nowy raport z FSS: http://www.wklej.org/id/905087/

Atis · 24 Grudzień 2012 10:42

Uruchom ServicesRepair i pokaż nowy raport Farbar.

daniel86 · 24 Grudzień 2012 12:42

http://www.wklej.org/id/905224/

Nie wiem czemu ale przeglądarka stała się mniej stabilna (firefox 12.0) i nie działają niektóre funkcje na kompie

Atis · 24 Grudzień 2012 12:53

Musisz usługi naprawić ręcznie.

Windows defender i aktualizacje. Pobierz i rozpakuj archiwum:

http://sendfile.pl/191604/plik.zip

Kliknij prawym na pliku FIX i wybierz Scal.

Rekonstrukcja Zapory systemu Windows

Rekonstrukcja Centrum zabezpieczeń systemu Windows

daniel86 · 24 Grudzień 2012 14:02

Plik FIX ściągnąłem i zrobiłem tak jak napisałeś. Z Rekonstrukcją będzie gorzej, ale podłubie przy tym. Coś jeszcze powinienem zrobić? Przeskanować? Naprawić?

Tak w ogóle to WIELKIE DZIĘKI!

Atis · 24 Grudzień 2012 21:06

Infekcja została usunięta, a trojan ZeroAccess (Sirefef) uszkodził niektóre usługi.

Nie działa systemowa zapora i centrum zabezpieczeń, a ESET ServicesRepair nie potrafi tego naprawić.

Jeżeli masz inne problemy, to możesz spróbować przywrócić system do czasu przed infekcją:

http://windows.microsoft.com/pl-PL/wind … em-restore

Uruchom OTL i kliknij Sprzątanie.

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://wstaw.org/m/2012/08/27/2012-08-27_234556.png