- czytamy na blogu AVG.Weelsof po raz pierwszy pojawił się w maju, wtedy pojawiły się pierwsze zgłoszenia jeszcze za granicą. Infekcja wtedy żądała okupu w funtach/euro i była spersonalizowana pod inne kraje. Krótko po tym pojawiła się polska mutacja Weelsof. Pierwsza wersja nieudolnie przetłumaczona i wciąż z informacją o wpłaceniu 100 euro. Potem kolejne wersje były już dużo lepiej opracowane, opatrzone lepszymi grafikami i żądały opłaty w PLN.
Tak wygląda okno z monitem o wpłacenie okupu w jednej z ostatnich wersji infekcji:
Jak się pozbyć Weelsof?
CERT Polska przygotował generator kodu Ukash. Wygenerowany kod można użyć wpisać go w monit infekcji. Jeżeli będzie poprawny, komputer zostanie odblokowany. Za każdym razem gdy odświeżysz stronę z generatorem, pojawi się nowy kod więc możesz spróbować kilka razy. Zanim wprowadzisz kod, odłącz komputer od internetu. Generator ten radzi sobie bez problemów ze starszymi mutacjami Weelsof, w nowszych kod jest odrzucany. Jeżeli uda Ci się odblokować komputer, zaktualizuj swój program antywirusowy oraz przeprowadź pełne skanowanie systemu.
Usuwanie Weelsof za pomocą AVG Rescue CD (dla zaawansowanych)
1. Pobierz AVG Rescue CD
Uruchom komputer z nośnika ratunkowego. Po załadowaniu RescueCD wybierz:
Utilities
Registry EditorWskaż dysk o rozmiarze odpowiadającym Twojej partycji z systemem Windows i wciśnij Enter.
W oknie edytora rejestru przejdź do gałęzi (poruszamy się strzałkami, wybór Enter, wróć Enter na pozycji z „..”):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Wybierz „Shell”
Otworzy się okno ze szczegółami tego wpisu. Interesują nas szczegóły parametru „Shell”
Poprawny wpis jak widać na załączonym zrzucie ekranu to explorer.exe w przypadku infekcji Weelsof będzie on podmieniony na explorer_new.exe.
Popraw wpis na Explorer.exe i zapisz (klawiszem Tab przejdź do Save&Return, wciśnij Enter, potwierdź zapisanie zmian).
W edytorze rejestru przechodzimy do gałęzi:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVerion\Run\
Na liście będą widniały wszystkie programy uruchamiane automatycznie z komputerem. Weelsof tworzy w tym miejscu wpis, którego nazwa to po prostu losowy ciąg liter.
Wybierz ten wpis i w szczegółach tego wpisu odnajdziesz informacje z jakiej ścieżki uruchamiany jest plik infekcji.
Przykładowy wpis w kluczu RUN:
Wpis infekcji będzie zaczynał się od widocznego na wcześniejszym etapie ciągu losowych znaków i będzie wskazywał na konkretny plik uruchamiany przy starcie komputera:
„losowy_ciąg_znaków”=”C:\Documents and Settings\All users\….”
Celowo wskazałem na Documents and Settings bo w większości przypadków właśnie tam Weelsof zapisuje swój plik infekcji.
W systemach Win Vista/7/8 może to być Users\Default\
Koniecznie zapisz sobie ścieżkę do tego pliku.
Po zanotowaniu sobie tej ścieżki usuń ten wiersz. TYLKO ten jeden wiersz dotyczący infekcji.
Zapisz zmiany wybierając Save&Return i wyjdź z edytora rejestru.
Wróć do okna Utilities, wybierz pierwsze narzędzie File Manager.
Przejdź do:
C:\Windows\System32\
Sprawdź czy jest w tym miejscu plik o nazwie explorer_new.exe
Jeśli jest usuń go – F8 i potwierdzamy YES.
Przejdź do ścieżki, którą zanotowałeś przed usunięciem wpisu infekcji z klucza RUN.
Prawdopodobnie będzie to w Documents and settings\All users\Dane aplikacji\ lub w Vista/7/8 Users\Default\
Folder z infekcją będzie się nazywał tak samo jak nazywał się wpis z losowego ciągu znaków, który znalazłeś w rejestrze w kluczu RUN.
Usuń ten folder w całości.
Zamknij File Manager wybierając F10 i potwierdzając YES.
Uruchom komputer ponownie i powinien on być już wolnym od infekcji.
Źródło: blog.avg.pl
