Wirus weelsof

[FreeStyle]

Witam jestem tu nowy nie wiem jak działa wasze forum. Mam problem z pseudo policja zpewne dobrze wam znanym wirusem weelsof posiadam vin 7 64bit. Co muszę wam dostarczyć abyście mogli mi pomóc.

OTL Dostępne tylko dla zarejestrowanych użytkowników
EXTRAS z szybkiego snaknowania Dostępne tylko dla zarejestrowanych użytkowników

[djkamil09061991]

Daj na początek logi z OTL:
http://www.hotfix.pl/obsluga-programu-otl-a143.htm

[FreeStyle]

Jakieś sugestie ?
Użyłem programu combatfix wirus niby został usunięty co moge zrobić aby się teraz przed nim bronic albo co należy zrobić dla profilaktyki uaktualnic stery czy cos?

[kominekl]

Jakieś sugestie ?
Użyłem programu combatfix wirus niby został usunięty co moge zrobić aby się teraz przed nim bronic albo co należy zrobić dla profilaktyki uaktualnic stery czy cos?

Log pokaż z tego działania (pomijam, że nie powinieneś tego robić).

"adawaretb" = Ad-Aware Security Add-on
"AVG Secure Search" = AVG Security Toolbar

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT3220468
IE - HKCU\..\URLSearchHook: {6c97a91e-4524-4019-86af-2aa2d567bf5c} - C:\Program Files (x86)\adawaretb\adawareDx.dll ()
IE - HKCU\..\SearchScopes,DefaultScope = {B11BA9BB-882F-462c-933E-367451E68294}
IE - HKCU\..\SearchScopes\{03667EF9-5D41-4b41-B01D-4C9E1524F9D9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&fr=chr-devicevm&type=PROTOSV
IE - HKCU\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=SPLEP1&pc=SPLH
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{182FEC4B-66D5-46D5-BB6C-8906679167F4}&mid=db361e79c88f42ef95b09f334f9dfb3c-34efbf5b658988ae86d51028b9dcc3572122e41b&lang=pl&ds=xn011&pr=sa&d=2012-10-20 16:27:18&v=13.2.0.3&sap=dsp&q={searchTerms}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT3220468
IE - HKCU\..\SearchScopes\{B11BA9BB-882F-462c-933E-367451E68294}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_135.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{91c612bf-2a7a-48b8-8c8c-6de28589b7a1}: C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{91c612bf-2a7a-48b8-8c8c-6de28589b7a1} [2012-10-09 12:52:02 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{91c612bf-2a7a-48b8-8c8c-6de28589b7a0}: C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{91c612bf-2a7a-48b8-8c8c-6de28589b7a0} [2012-10-09 12:52:01 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{d9284e50-81fc-11da-a72b-0800200c9a66}: C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{d9284e50-81fc-11da-a72b-0800200c9a66} [2012-10-09 12:52:02 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@toolbar: C:\ProgramData\AVG Secure Search\FireFoxExt\13.2.0.5 [2012-11-09 09:47:24 | 000,000,000 | ---D | M]
[2012-10-09 12:39:24 | 000,000,000 | ---D | M] (uTorrentControl_v2) -- C:\Users\Apacz\AppData\Roaming\mozilla\Firefox\extensions\{7473b6bd-4691-4744-a82b-7854eb3d70b6}
[2012-11-09 09:47:15 | 000,003,573 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml
CHR - Extension: uTorrentControl_v2 = C:\Users\Apacz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda\2.3.18.20_0\
CHR - Extension: AVG Secure Search = C:\Users\Apacz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ndibdjnfmopecpmkdieinmbadjfpblof\13.2.0.5_0\
CHR - Extension: AVG Secure Search = C:\Users\Apacz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ndibdjnfmopecpmkdieinmbadjfpblof\13.2.0.5_0\.bak
[2012-12-23 11:44:15 | 000,000,000 | ---D | C] -- C:\32788R22FWJFW
[2012-12-23 00:10:03 | 000,167,936 | ---- | C] (Microsoft Corporation) -- C:\Users\Apacz\wgsdgsdgdsgsd.dll
[2012-12-22 13:29:32 | 029,841,504 | ---- | C] (TeamSpeak Systems GmbH) -- C:\Users\Apacz\Desktop\TeamSpeak3-Client-win32-3-0-8-1.exe

:Files
C:\Program Files (x86)\Google\Update
C:\Windows\tasks\*.*
C:\Users\Apacz\Documents\*.reg
C:\ProgramData\dsgsdgdsgdsgw.js
C:\Users\Apacz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Apacz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + nowe logi z OTL.

[FreeStyle]

Po usunieciu Dostępne tylko dla zarejestrowanych użytkowników
skan z adw Dostępne tylko dla zarejestrowanych użytkowników otwierajac adw mam skan usuń i odinstaluj wybrałem skan Otl po usunieciu Dostępne tylko dla zarejestrowanych użytkowników
Zapomniałem zorbic log po urzyciu combofixa.
Resztę zrobiłem wydaje mi się tak jak mówiłeś

[kominekl]

Zapomniałem zorbic log po urzyciu combofixa.

Odpuść.

otwierajac adw mam skan usuń i odinstaluj wybrałem skan

Miało być Delete, czyli Usuń. Popraw.

OTL.

Ominąłeś początkowe -> :OTL. Popraw, a następnie podaj nowe logi z OTL.

[FreeStyle]

po usunieciu adw Dostępne tylko dla zarejestrowanych użytkowników
po poprawieniu OTL Dostępne tylko dla zarejestrowanych użytkowników
LOG po poprawach Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found
[2012-12-23 14:49:13 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2012-12-23 14:44:20 | 000,000,000 | ---D | C] -- C:\ProgramData\HitmanPro
[2012-12-23 14:05:06 | 002,066,480 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\Apacz\Desktop\TDSSKiller.exe

:Files
$RECYCLE.BIN /alldrives

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[FreeStyle]

Dostępne tylko dla zarejestrowanych użytkowników po usunięciu co do tego linka co podałeś jest tam kilka programów nie do końca wiem co wybrać
Prosze cie bardzo Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

po usunięciu co do tego linka co podałeś jest tam kilka programów nie do końca wiem co wybrać

Widzę jeden, no ale zalinkuję -> http://www.hotfix.pl/infusions/pro_down ... s-p491.htm. Dalej na podanej wyżej stronie masz instrukcję wykonania loga w formie pliku .ARN.