Weelsof i problem z combofix

[Henzetai]

Witam
Mam problem z virusem o nazwie Weelsof, który poszywa się pod policję blokując komputer. Swego czasu miałem już z nim do czynienia lecz wtedy pomogło zwykłe wpisanie kodu z generatora CERT. Ten jednak jest inny (m.in posiada coś w rodzaju monitorowania, bo uruchamia kamerkę internetową). Wpisywanie kodów, również przy odłaczonym internecie, nie pomaga i wirus twierdzi, że są nieprawidłowe. Następnie użyłem programu ComboFix, który tak jest polecany i dopiero zaczął się problem. Program zrobił skanowanie, uruchomił ponownie system i wyświetlił raport. Jednak kiedy chciałem uruchomoć jakikolwiek program dostawałem informację, że nie może on zostać uruchomiony ze wzgledu na wpis do rejestru, który jest oznaczony jako do usunięcia. Dodatkowo nie było połaczenia z internetem, a opcja "rozwiązywanie problemów" wyświetlała informację, że nie można znaleźć automatycznych ustawień serwera proxy. Po zrestartowaniu systemu, programy uruchamiały się normalnie, lecz problem z siecią pozostał. Użyłem więc opcji przywrócenia systemu do stanu utworzonego wcześniej przez ComboFix. Internet powrócił, ale razem z nim cholerny wirus. Próbowałem również używać sposobu opisanego przez CERT z użyciem trybu awaryjnego z wierszem poleceń. Nie potrafię jednak określić, co jest zainfekowane a porady podane przez CERT czyli
dziwna nazwa i położenie w Documents&Settings nie jest pomocne ponieważ, wszystkie pliki mają normalne nazwy i żadnen nie znajduje się w D&S.

Zamieszczam również raport (usuniete pliki) jaki wyrzucił ComboFix

C:\install.exe
c:\program files (x86)\INSTALL.LOG
c:\programdata\1350243925.bdinstall.bin
c:\programdata\1350304108.bdinstall.bin
c:\programdata\dsgsdgdsgdsgw.pad
c:\programdata\FullRemove.exe
c:\programdata\lsass.exe
c:\users\Henzetai\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
c:\users\Henzetai\AppData\Roaming\Yqxuu
c:\users\Henzetai\AppData\Roaming\Yqxuu\ixryi.agi
c:\users\Public\sdelevURL.tmp
c:\windows\IsUn0415.exe
c:\windows\SysWow64\muzapp.exe
c:\windows\SysWow64\URTTemp
c:\windows\SysWow64\URTTemp\regtlib.exe

[wojtas]

Następnie użyłem programu ComboFix, który tak jest polecany

Kto tak poleca ?

Proszę zastosować się do obowiązkowych zasad w dziale bezpieczeństwo
- wstaw wymagane logi zgodnie ze swoim systemem
- wrzuć logi na forum w formie załącznika,

[Henzetai]

Oba wymagane logi.

[wojtas]

Uruchom Kaspersky TDSSKiller, gdy coś znajdzie zastosuj akcje, takie same jak program ustali (nie zmieniaj ich), zresetuj swój komputer po działaniu . daj raport

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
FF - prefs.js..browser.search.defaultenginename: "Search the web"
FF - prefs.js..browser.search.order.1: "Search the web"
FF - prefs.js..browser.search.selectedEngine: "Search the web"
FF - prefs.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
FF - user.js..browser.search.selectedEngine: "Search the web"
FF - user.js..browser.search.order.1: "Search the web"
FF - user.js..browser.search.defaultenginename: "Search the web"
FF - user.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
[2012/07/11 15:29:44 | 000,003,752 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml
[2011/11/09 20:20:45 | 000,000,158 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-676421523-3364266500-1880333527-1001\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found
O4 - HKU\S-1-5-21-676421523-3364266500-1880333527-1001..\Run: [] File not found
O4 - Startup: C:\Users\Henzetai\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
[2012/10/24 18:02:27 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\lsass.exe
[2012/10/24 20:29:54 | 083,023,306 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2012/10/24 18:02:28 | 000,000,830 | ---- | C] () -- C:\Users\Henzetai\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
@Alternate Data Stream - 5120 bytes -> C:\ProgramData:gs5sys
@Alternate Data Stream - 1536 bytes -> C:\Users\Public\Documents\desktop.ini:gs5sys
@Alternate Data Stream - 1536 bytes -> C:\Users\Henzetai\Documents\desktop.ini:gs5sys
@Alternate Data Stream - 1536 bytes -> C:\Users\Henzetai\Desktop\desktop.ini:gs5sys
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:58D8F144

:Files
C:\Windows\tasks\At*.job
C:\windows\system64

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Użyj AdwCleaner i kliknij w nim Delete (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator)
Pokaż raport z niego


Odbuduj HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

# 127.0.0.1 localhost
# ::1 localhost

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia
Plik wstaw do folderu C:\Windows\system32\drivers\etc.

tak więc daj nowy log z OTL, raport z Kaspra, z AdwCleanera, Uruchom także Farbar Service Scanner , zaznacz wszystkie opcje i klik w Scan. Przedstaw log

[Henzetai]

Dobra, teraz to sie dopiero cos popsulo dokumentnie. Kaspersky nie wykryl niczego. Dzialajac wciaz w trybie awaryjnym wykonalem skrypt w OTL. Po restarcie jednak niezaleznie czy wybiore tryb awaryjny czy normalny system nie laduje sie. Wlacza sie za to tryb naprawy windows, wyszukuje problem a nastepnie twierdzi ze nie moze nic naprawic i wylacza komputer. Teraz musze pisac z komorki wiec nie ma polskich znakow

edit
nie wiem czy cos to da ale akurat przed wykonywaniem skryptu zgralem na USB AVG Rescue CD. niestety nie wykrywa on polaczenia z internetem i nie moze zaktualizowac sie. Skany jednak wykonuje

Zauwazylem tez ze w opcjach naprawy mam dostep do Acer Recovery Management a w nim mozliwosc powrotu do ustawien fabrycznych z usunieciem wszystkich danych z dysku C, oraz mozliwosc przywrocenia ustawien bez naruszania plikow uzytkownikow, ktor zostana przeniesione do folderu Backup

[wojtas]

no to odpal opcje z bez naruszenia plików. może powstanie komputer.

lub odpal narzędzie do naprawy:
http://www.fixitpc.pl/topic/54-winre-metody-startu-opis-funkcji-naprawczych/

[Henzetai]

Jestem już po przywracaniu ustawień fabrycznych. Komp działa, sieć działa, nic się nie blokuje. Część programów została usunięta a cześć jakby częściowo, ale ponowna ich instalacja naprawia problemy. Generalnie nie stało się nic czego nie dałoby się załatwić ponowną instalacją/ściągnięciem z sieci. Jedyne co rzuca się w oczy to to, że na dysku C posiadam teraz dwa foldery Użytkownicy. W jednym z nich znajduje się nowe konto, a w drugim zapisane pliki z Moich Dokumentów poprzedniego (sprzed czyszczenia dysku). Podejrzane pliki zostały przeniesione do folderu C:\_OTL\MovedFiles\10242012_230017 i nie bardzo wiem co z nimi zrobić teraz. Załączam świeżo wykonane raporty z OTL.