Wirus weelsof

gabilu · 16 Czerwiec 2013 21:53

Witam!

Mam na komputerze wirusa zwanego weelsofem. Ściągnęłam program OTL na zainfekowany komputer i zrobiłam jego skan. Według instrukcji podaję raporty jakie uzyskałam:

Bardzo proszę o kolejne kroki postępowania.

Z góry dziękuję

Atis · 16 Czerwiec 2013 22:08

Do okna Własne opcje skanowania / skrypt wklej:

:OTL [2013-06-06 10:33:26 | 000,000,000 | —D | M] (No name found) – C:\Program Files (x86)\mozilla firefox\extensions\ffxtlbr@babylon.com [2013-04-12 19:34:40 | 000,003,269 | ---- | M] () – C:\Program Files (x86)\mozilla firefox\searchplugins\Web Search.xml O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1394705173-1251499994-1232866367-1000…\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1394705173-1251499994-1232866367-1000…\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found. O3 - HKU\S-1-5-21-1394705173-1251499994-1232866367-1001…\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM…\Run: [PWMTRV] rundll32 C:\PROGRA~2\ThinkPad\UTILIT~1\PWMTR64V.DLL,PwrMgrBkGndMonitor File not found O4 - HKLM…\Run: [unlockerAssistant] “C:\Program Files (x86)\Unlocker\UnlockerAssistant.exe” File not found O4 - HKU\S-1-5-21-1394705173-1251499994-1232866367-1001…\Run: [{471B549B-8269-4678-A785-E2145AE156F0}] “C:\Users\Gabriela\Desktop\imindmap6_windows_6.2.1.exe” /cmdloc “HKCU\Software\ThinkBuzan AiTemp{471B549B-8269-4678-A785-E2145AE156F0}” File not found O4 - HKU\S-1-5-21-1394705173-1251499994-1232866367-1001…\Run: [Hoolapp Android] “C:\Users\Gabriela\AppData\Roaming\HOOLAP~1\Hoolapp.exe” /Minimized File not found O4 - HKU\S-1-5-21-1394705173-1251499994-1232866367-1001…\Run: [swg] “C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O20 - HKU\S-1-5-21-1394705173-1251499994-1232866367-1001 Winlogon: Shell - (C:\Users\Gabriela\AppData\Roaming\skype.dat) - C:\Users\Gabriela\AppData\Roaming\skype.dat () :Files C:\Users\Gabriela\AppData\Roaming\skype.imi :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- [-HKEY_USERS\S-1-5-21-1394705173-1251499994-1232866367-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

Uruchom system w normalnym trybie i odinstaluj dwa programy antywirusowe, bo masz zainstalowane trzy, Norton Internet Security, Avast, Microsoft Security Essentials.

Zostaw tylko jeden program antywirusowy.

Odinstaluj BrowserDefender, Browser Updater 1.1, Pandora Service, McAfee Security Scan.

Uruchom AdwCleaner i kliknij Usuń.
Kliknij Skanuj i pokaż nowy log z OTL.

gabilu · 17 Czerwiec 2013 07:06

Miałam trudności z restartem komputera. Kiedy próbował ponownie się uruchomić, to po zalogowaniu na użytkownika, nic się nie wyświetlało. Dopiero za trzecim razem się zalogował. Uzyskałam takie dwa pliki (nie jestem pewna, czy to są te raporty, ale tylko te dwa pliki miały rozszerzenie .log):

a) http://www.wklej.org/id/1067801/

b) http://www.wklej.org/id/1067802/

Zostawiłam z programów antywirusowych Microsoft Security Essentials. Nie udało mi się jedynie odinstalować BrowserDefender.
Uruchomiłam i kliknęłam Usuń.
Zeskanowałam i otrzymałam:

a) http://www.wklej.org/id/1067813/

Atis · 17 Czerwiec 2013 08:57

Sterownik od Avasta usuń za pomocą avast! Uninstall Utility:

Dezinstalacja za pomocą użycia narzędzia avast! Uninstall Utility

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE - HKLM…\SearchScopes{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: “URL” = http://search.certified-toolbar.com?si= … -949053&q={searchTerms} IE - HKCU…\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found IE - HKCU…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://www.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=A2A23C970E24C292 IE - HKCU…\SearchScopes{5DB2C40F-800A-49CE-B466-A6FC5E963FAD}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033 IE - HKCU…\SearchScopes{CD272A2E-4B72-4E1E-BB7D-3A35ADE053F0}: “URL” = http://start.funmoods.com/results.php?f=4&a=make&q={searchTerms} O4 - HKLM…\Run: [ROC_ROC_NT] “C:\Program Files (x86)\AVG Secure Search\ROC_ROC_NT.exe” / /PROMPT /CMPID=ROC_NT File not found O4 - HKCU…\RunOnce: [Report] \AdwCleaner[s2].txt File not found O20 - AppInit_DLLs: (c:\progra~3\browse~1\261339~1.144{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserDefender\2.6.1339.144{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.dll () [2013-06-06 10:33:46 | 000,000,000 | —D | C] – C:\ProgramData\BrowserDefender :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

gabilu · 17 Czerwiec 2013 12:58

Usunęłam sterownik od Avasta.

Raport z usuwania:

http://www.wklej.org/id/1067965/

Raport ze skanowania:

http://www.wklej.org/id/1067981/

Atis · 17 Czerwiec 2013 13:14

Wklej i kliknij Wykonaj skrypt:

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://wstaw.org/m/2012/12/29/2012-12-29_005346.png

gabilu · 17 Czerwiec 2013 16:16

Zrobiłam już wszystko. Przy pełnym skanowaniu dasku nie wystąpiły żadne zagrożenia. Atis, bardzo Ci dziękuję za pomoc i odratowanie mojego komputera, w tak krótkim czasie. Wszystko działa jak powinno, a nawet jeszcze lepiej. Wcześniej mi trochę komputer “przymulał”, a po tych wszystkich aktualizacjach, czyszczenianiach itd. działa o wiele szybciej.