woytas2001 Opublikowano 22 Listopada 2014 Zgłoś Udostępnij Opublikowano 22 Listopada 2014 Witam serdecznie, Bardzo proszę o pomoc przy zainfekowanym komputerze Weelsofem (blokada policyjna). Komputer uruchamia sie tylko w trybie awaryjnym z wierszem polecen. Wykonałem logi poza gmerem. Gmer robil skan ponad 8 godzin i jak skonczyl nie miałem możliwości skopiowania logu, ponieważ nie był widoczny przycisk kopiuj. Resize Enable nie działa chyba poprzez wiersz poleceń. Dlatego wklejam logi bez gmera. Z góry dziękuję za pomoc. Addition.txt Extras.Txt FRST.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2014 Zgłoś Udostępnij Opublikowano 22 Listopada 2014 To wariant Urausy a nie Weelsof. Infekcja uruchamia się poprzez Shell bieżącego użytkownika, dlatego działa tylko interfejs cmd. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2025429265-2111687655-1957994488-1003\...\Winlogon: [shell] C:\Documents and Settings\Feliks\Dane aplikacji\Other.res [172544 2010-12-09] (Symantec Corporation) HKU\S-1-5-21-2025429265-2111687655-1957994488-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" AV: AVG Anti-Virus Free Edition 2012 (Disabled - Up to date) {17DDD097-36FF-435F-9E1B-52D74245D6BF} C:\Documents and Settings\Feliks\Dane aplikacjiprivacy.xml C:\Documents and Settings\Feliks\Dane aplikacjiProductTweaks.xml C:\Documents and Settings\Feliks\Dane aplikacjiuser_gensett.xml C:\Documents and Settings\Feliks\Dane aplikacji\Other.res C:\Documents and Settings\Feliks\Ustawienia lokalne\Dane aplikacji\Google\Chrome Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. System zostanie odblokowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj stare wersje Java (przyczyna infekcji) Java 7 Update 7, Java 6 Update 18 oraz zbędniki McAfee Security Scan Plus, MyFreeCodec. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
woytas2001 Opublikowano 22 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2014 Z podanych czynności miałem problem z odinstalowaniem Java 7 Update 7. Błąd krytyczny instalatora wyskakiwał. Użyłem Revo Uninstaller i udało się usunąć tą wersję. Przesyłam logi. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2014 Zgłoś Udostępnij Opublikowano 22 Listopada 2014 Drobne poprawki. Otwórz Notatnik i wklej: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File FF Plugin: @mcafee.com/McAfeeMssPlugin -> C:\Program Files\McAfee Security Scan\3.8.141\npMcAfeeMss.dll No File RemoveDirectory: C:\FRST-OlderVersion RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\Program Files\MyFree Codec DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Zaprezentuj wynikowy fixlog.txt. Odnośnik do komentarza
woytas2001 Opublikowano 22 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2014 Zrobione. Poniżej log Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2014 Zgłoś Udostępnij Opublikowano 22 Listopada 2014 Porównaj co jest w moim poście a co w Twoim pliku. Wszystkie linie sklejone, prawie nic nie wykonane (z wyjątkiem pierwszej linii). Rób ponownie plik w Notatniku (z wyłączeniem piewszej linii "BHO") - wszystkie przejścia do nowej linii mają wyglądać jak w moim poście. Odnośnik do komentarza
woytas2001 Opublikowano 22 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2014 Faktycznie po wklejeniu do notatnika scalił mi to w jedną linię. Poprawione. Log poniżej. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2014 Zgłoś Udostępnij Opublikowano 22 Listopada 2014 Akcja wykonana i kończymy: 1. Zastosuj DelFix (pobrany GMER dokasuj ręcznie) oraz wyczyść foldery Przywracania systemu: KLIK. 2. Zainstaluj ochronę Malwarebytes Anti-Exploit (dostępna darmowa edycja). Antywirusa dobierz już na własną rękę jaki Ci pasuje. Odnośnik do komentarza
woytas2001 Opublikowano 22 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2014 Bardzo dziękuję po raz kolejny. Jeśli to wszystko to proszę temat zamknąć. Pozdrawiam serdecznie Odnośnik do komentarza
Rekomendowane odpowiedzi