Skocz do zawartości

Weelsof - i mnie dopadł


Rekomendowane odpowiedzi

Witam.

Jestem kompletnym ,zawstydzonym laikiem. Trzy razy zablokowało mi komputer,ale na tyle łagodnie,że po restarcie powracał do działania.Przy pomocy kilku osob usunęłam plik z logo Policji,ale obawiam się,że nie wszystko zrobiłam poprawnie.Zeskanowałam OTL i mam nadzieję,że uda mi się dodać logi.

Może dam radę wykonać wzkazówki,za które z góry dziękuję

Extras.TxtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
  Cytat
Przy pomocy kilku osob usunęłam plik z logo Policji,ale obawiam się,że nie wszystko zrobiłam poprawnie.

 

Gdzie prowadzono tę pomoc? Był tu stosowany też ComboFix. Zasady działu wyraźnie mówią, by się do tego przyznać + przedstawić log z narzędzia. Toteż proszę o pokazanie: gdzie pomocy udzialano + log z comboFix z tamtego uruchomienia (nie uruchamiaj narzędzia ponownie!).

 

O ile Weelsof zdaje się być usunięty, to tu są znaki trojana ZeroAccess

 

[2008-04-15 14:00:00 | 000,002,048 | -HS- | C] () -- C:\Documents and Settings\Wlasciciel\Ustawienia lokalne\Dane aplikacji\{489531a0-1bcc-938a-af75-51d5187cb4b5}\@

 

Poproszę o dodatkowy skany:

 

1. Uruchom SystemLook i w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy skan.

 

2. Dodatkowo zrób log z Farbar Service Scanner. Wszystkie opcje zaznacz.

 

.

Odnośnik do komentarza

Wiedziałam,że z nerwów coś narozrabiam :(Pomocy udzielał mi telefonicznie członek rodziny. Najpierw przywróciłam system,potem uruchomiłam ComboFix (niestety nie potrafię odszukać logo,a podczas próby odszukania go ,chciał mi się ComboFix ponownie uruchomić :( Wczoraj usunęłam ręcznie plik,w którym był widoczny Orzełek identyczny jak podczas zablokowanej strony.Przepraszam za zamieszanie i moją nieudolność.

Dołączam wykonane skany

SystemLook.txtPobieranie informacji ...

FSS.txtPobieranie informacji ...

Odnośnik do komentarza

To chyba jest jakaś resztka po trojanie ZeroAccess. Brak modyfikacji na poziomie rejestru (choć niektóre klucze wyglądają dziwnie = nie jestem pewna, ale to chyba z powodu błędów poboru danych przez SystemLook)), a w logu z ComboFix widać skasowany drugi folder do pary. W związku z tym tylko doczyszczenie:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Wlasciciel\Ustawienia lokalne\Dane aplikacji\{489531a0-1bcc-938a-af75-51d5187cb4b5}
C:\Documents and Settings\Wlasciciel\Y Y
netsh firewall reset /C
 
:OTL
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\WLASCI~1\USTAWI~1\Temp\catchme.sys -- (catchme)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll File not found
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} "http://download.eset.com/special/eos/OnlineScanner.cab" (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0017-0000-0004-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Do oceny wystarczy tylko log z wynikami usuwania OTL, nie ma potrzeby robić nowego skanu OTL. A że log krótki, wklej go wprost do posta.

 

 

 

.

Odnośnik do komentarza

Po restarcie otworzyło to i nie wiem co wkleić,a więc przesyłam całość w załączniku.

Ogromne dzięki za pomoc i cierpliwośc,ale niestety to nie koniec moich kłopotów,bo Ukash zablokował mi laptopa.Po zakończeniu sprawy związanej z tym komputerem będę mogła w tym temacie prosić o ratunek dla drugiego?

07252012_153754hmmm.txtPobieranie informacji ...

Odnośnik do komentarza

Kończąc sprawę tego komputera:

 

1. Przez Panel sterowania odinstaluj archaiczny program Spybot - Search & Destroy.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\Wlasciciel\Moje dokumenty\ComboFix.exe" /uninstall

 

Gdy zadanie się ukończy, w OTL uruchom Sprzątanie, które z kolei skasuje z dysku OTL wraz z jego kwarantanną. Przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt.

 

3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

4. Drobne aktualizacje do wykonania: KLIK. Tu cytuję z Twojej listy zainstalowanych o co mi konkretnie chodzi:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----> sprawdź wersję

"FileZilla Client" = FileZilla Client 3.5.2

"Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl)

 

Java + Adobe Flash dla Firefox już są najnowsze.

 

 

  Cytat
niestety to nie koniec moich kłopotów,bo Ukash zablokował mi laptopa.Po zakończeniu sprawy związanej z tym komputerem będę mogła w tym temacie prosić o ratunek dla drugiego?

 

Oczywiście, i kontynuuj już tutaj w temacie.

 

 

 

 

.

Odnośnik do komentarza

Malware wykrył - Wykrytych plików: 1

C:\Program Files\Zajaczek 4.1\GIFAT.exe (Trojan.Banker.H) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

Zaraz odinstaluję zajączka,bo i tak nie korzystam z niego.

Oznacza to,że leczenie tego komputera zostało zakończone ?

Dotarłam do punktu 4 i te aktualizacje są dla mnie schodami nie do przebrnięcia,tzn rozumiem co mam zaktualizować,ale nie mam pojęcia jak to zrobić(czytałam wszystko kilka razy i czarna magia),a wiem,że coś jest nie tak ponieważ po tym wyczyszczeniu bardzo długo wczytuje mi strony :(

Odnośnik do komentarza
  Cytat
Malware wykrył - Wykrytych plików: 1

C:\Program Files\Zajaczek 4.1\GIFAT.exe (Trojan.Banker.H) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

Zaraz odinstaluję zajączka,bo i tak nie korzystam z niego.

Oznacza to,że leczenie tego komputera zostało zakończone ?

 

To wygląda na fałszywy alarm. GIFAT to jest część Zajączka służąca do robienia prostych animacji GIF. Tak, czyszczenie zakończone.

 

 

  Cytat
Dotarłam do punktu 4 i te aktualizacje są dla mnie schodami nie do przebrnięcia,tzn rozumiem co mam zaktualizować,ale nie mam pojęcia jak to zrobić(czytałam wszystko kilka razy i czarna magia)

 

Tu naprawdę nie ma nic skomplikowanego, prawdopodobnie doszukujesz się jakiegoś "haczyka". Zakreśliłam Ci 4 programy do aktualizacji: Adobe Flash Player 11 dla Internet Explorer (aktualizowany z poziomu IE), FileZilla Client, Firefox, OpenOffice.org. Podałam jakie wersje widać aktualnie w systemie, a są już nowsze. Czyli pobierz i zainstaluj.

 

 

  Cytat
wiem,że coś jest nie tak ponieważ po tym wyczyszczeniu bardzo długo wczytuje mi strony

 

A nie jest to przypadkiem wina ESET?

 

 

.

Odnośnik do komentarza

Rozumiem, że z tamtym systemem już nie ma problemów? Co z "długim wczytywaniem stron"? Natomiast przechodząc do czyszczenia lapka, tu już tylko "wykończenia", bo logi wykazują że coś naruszyło tę infekcję, są tylko odpadki. Wykonaj:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [eupfpyvpylqvlia] C:\ProgramData\eupfpyvp.exe File not found
[2012-07-24 23:55:58 | 000,000,000 | ---D | C] -- C:\ProgramData\zhjnxldxykjuwiz
[2012-07-24 23:55:59 | 000,000,051 | ---- | M] () -- C:\ProgramData\czfeqqbcqxozrfh
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

 

Odnośnik do komentarza

Nie wiem dlaczego tamten komputer po reinstalacji systemu lub instalowaniu nowych programów, muli się i zawiesza,ale po kilkukrotnym restarcie działa poprawnie.Teraz śmiga jak nówka :) Jednak po moim klikaniu w reklammy,obawiam się,że będę stałym "gościem" tego forum i dotacji.Może doradzisz mi jaki program blokujący zainstalować ,bo sam NOD nie radzi sobie.

Teraz przesyłam logi z lapka :)

PS.To już się robi koszmar,bo w kilka minut po wysłaniu załączników - Ukash ponownie zablokował mi lapka ;(

OTL.Txt 2.txtPobieranie informacji ...

07272012_121600.log 2.txtPobieranie informacji ...

Odnośnik do komentarza

Zadania zrobione, toteż końcówka:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Do aktualizacje te pozycje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5

"{AC76BA86-7AD7-1045-7B44-A90100000001}" = Adobe Reader 9.0.1 - Polish

"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3

 

PS. Widzę parę Gadu-Gadu 10 + Tlen.pl. Proponuję obejrzeć alternatywne programy z obsługą Gadu: WTW, Kadu, Miranda, AQQ. Opisy tu: Darmowe komunikatory.

 

 

  Cytat
Jednak po moim klikaniu w reklammy,obawiam się,że będę stałym "gościem" tego forum i dotacji.Może doradzisz mi jaki program blokujący zainstalować ,bo sam NOD nie radzi sobie.

 

Tu dyskusja na temat tej infekcji: KLIK. A jeśli chodzi o blokowanie reklam (?), to doinstaluj do Firefox dodatek Adblock Plus.

 

 

  Cytat
Nie wiem dlaczego tamten komputer po reinstalacji systemu lub instalowaniu nowych programów, muli się i zawiesza,ale po kilkukrotnym restarcie działa poprawnie.

 

Może jednak ESET bruździ.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...