malenstwo1772 Opublikowano 18 Października 2012 Zgłoś Udostępnij Opublikowano 18 Października 2012 witam potrzebuje pomocy. Co mam dalej robic po uzyskaniu log'u z ComboFix'a? Niby komputer "został odblokowany" po ataku weelsof'a...ale co dalej to juz nie wiem. Prosze o pomoc. log.txt Odnośnik do komentarza
picasso Opublikowano 18 Października 2012 Zgłoś Udostępnij Opublikowano 18 Października 2012 Przecież na PW wyraźnie napisałam, że masz dołączyć także obowiązkowe w tym dziale logi i podawałam link do zasad: KLIK. Zasady wyjaśniały dwie rzeczy: jak tytułować prawidłowo tematy (zmieniam tytuł, bo problemem nie jest żaden "log" tylko infekcja) oraz jakie logi się dostarcza jako obowiązkowe. Odnośnik do komentarza
malenstwo1772 Opublikowano 20 Października 2012 Autor Zgłoś Udostępnij Opublikowano 20 Października 2012 ale jak nawet nie wiem o ci chodzi. nie jestem informatykiem. dalem to co mi sie zapisalo po uzyciu combofixa. co ma jeszcze dac? przeczytam wszystko jeszcze raz tak jak mi mowisz i dam logi. Odnośnik do komentarza
picasso Opublikowano 20 Października 2012 Zgłoś Udostępnij Opublikowano 20 Października 2012 Przecież podałam link do zasad, w którym to jest wyraźnie napisane jakie logi należy podać i tam jest przekierowanie do instrukcji robienia logów. Czy w ogóle to przeczytałeś? Odnośnik do komentarza
malenstwo1772 Opublikowano 21 Października 2012 Autor Zgłoś Udostępnij Opublikowano 21 Października 2012 tak przeczytalem. zrozum kobieto ze nie wszyscy musza sie znac na komputerze tak jak ty. odrobine wyrozumialosci. windows 7 32-bitowy dolaczam obowiazkowe logi...prosze teraz juz pomozcie mi rozwiazac problem. OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 23 Października 2012 Zgłoś Udostępnij Opublikowano 23 Października 2012 zrozum kobieto ze nie wszyscy musza sie znac na komputerze tak jak ty. odrobine wyrozumialosci. Zrozum, że nikt tu nie wymagał wiedzy ani nie była ona potrzebna do wykonania instrukcji. To do czego kierowałam (dwa razy, na PW i tu w temacie) wymagało tylko przeczytania ze zrozumieniem instrukcji. Jakoś nie miałeś żadnych trudności z przeczytaniem skąd pobrać ComboFix i jak uruchomić, co uważam za jawną sprzeczność z powyższą deklaracją. Poza tym, moją prostą uwagę bez podtekstów, kierującą do linka wyjaśniającego wszystko, uznałeś z jakiś powodów za "brak wyrozumiałości". Wprawdzie ComboFix usunął infekcję Weelsof, ale system i tak nie jest czysty i wymagane dodatkowe działania. W Windows masz zainstalowane śmieci adware ... Przy okazji będą usuwane szczątki Firefox, który wygląda na odinstalowany. Następujące działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware: Babylon toolbar on IE, BabylonObjectInstaller, Browser Manager, Claro LTD toolbar on IE, Funmoods Web Search, IB Updater 2.0.0.530, IB Updater Service, Incredibar Toolbar on IE, SweetPacks Toolbar for Internet Explorer 4.6, SweetIM for Messenger 3.6, Update Manager for SweetPacks 1.1, V9 Homepage Uninstaller. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly C:\Users\SYLWIA\AppData\Local\funmoods-speeddial.crx C:\Users\SYLWIA\AppData\Local\funmoods.crx C:\Users\SYLWIA\AppData\Roaming\OpenCandy C:\Users\SYLWIA\AppData\Roaming\mozilla C:\Program Files\Mozilla Firefox C:\user.js netsh advfirewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Backup.Old.Start Page"=- "bProtector Start Page"=- "BrowserMngr Start Page"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- "BrowserMngrDefaultScope"=- "Backup.Old.DefaultScope"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :OTL IE - HKLM\..\SearchScopes\{25E9C843-4DDF-4F89-02D7-23AA7119D2E1}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={8811FAF1-26E9-48C7-8AE4-5EFAA1CD4641}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=vsl&chnl=vsl&cd=2XzuyEtN2Y1L1Qzu0ByEzyzy0B0A0E0ByDzy0BtA0E0EtC0CtN0D0Tzu0CtByEtAtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1981548895" IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120507161312217&tb_oid=07-05-2012&tb_mrud=07-05-2012" IE - HKU\S-1-5-21-2660392307-2310289081-442598856-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKU\S-1-5-21-2660392307-2310289081-442598856-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110823&tt=120912_cpc_3712_1&babsrc=SP_ss&mntrId=a4c6ee1c000000000000582c80139263" IE - HKU\S-1-5-21-2660392307-2310289081-442598856-1000\..\SearchScopes\{25E9C843-4DDF-4F89-02D7-23AA7119D2E1}: "URL" = "http://isearch.claro-search.com/?q={searchTerms}&affID=114163&tt=3112_8&babsrc=SP_iclro&mntrId=a4c6ee1c000000000000582c80139263" IE - HKU\S-1-5-21-2660392307-2310289081-442598856-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-2660392307-2310289081-442598856-1000\..\SearchScopes\{B9C7CE32-DA91-43C2-B7E9-0E9AAFC675CD}: "URL" = "http://www.ask.com/web?l=dis&o=APN10147&gct=sb&qsrc=2869&apn_dtid=^YYYYYY^YY^US&apn_ptnrs=^A6E&apn_uid=5852483412534652&p2=^A6E^YYYYYY^YY^US&q={searchTerms}" IE - HKU\S-1-5-21-2660392307-2310289081-442598856-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6PQN3oxTlx&i=26" IE - HKU\S-1-5-21-2660392307-2310289081-442598856-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=17&q={searchTerms}&barid={8811FAF1-26E9-48C7-8AE4-5EFAA1CD4641}" IE - HKU\S-1-5-21-2660392307-2310289081-442598856-1000\..\SearchScopes\{FBF980B3-C3CD-4C2F-95C5-579B8D5DA66F}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKLM\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found O20 - Winlogon\Notify\ScCertProp: DllName - (wlnotify.dll) - File not found SRV - File not found [Auto | Stopped] -- -- (Browser Manager) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbfake.sys -- (hwusbfake) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\SYLWIA\AppData\Local\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Zaprezentuj go. 4. Zrób nowy log OTL z opcji Skanuj. Pliku Extras po raz drugi mi nie podawaj. . Odnośnik do komentarza
malenstwo1772 Opublikowano 23 Października 2012 Autor Zgłoś Udostępnij Opublikowano 23 Października 2012 gotowe OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 23 Października 2012 Zgłoś Udostępnij Opublikowano 23 Października 2012 Akcje pomyślnie przeprowadzone, zostały drobne poprawki: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Program Files\IB Updater :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :Commands [emptytemp] Klik w Wykonaj skrypt. 2. W Google Chrome jest ustawiona strona startowa adware Babylon: ========== Chrome ========== CHR - homepage: "http://search.babylon.com/?affID=110823&tt=120912_cpc_3712_1&babsrc=HP_ss&mntrId=a4c6ee1c000000000000582c80139263" Wejdź do ustawień przeglądarki i przekonfiguruj stronę startową. . Odnośnik do komentarza
malenstwo1772 Opublikowano 25 Października 2012 Autor Zgłoś Udostępnij Opublikowano 25 Października 2012 dzieki za pomoc Odnośnik do komentarza
picasso Opublikowano 25 Października 2012 Zgłoś Udostępnij Opublikowano 25 Października 2012 To nie koniec działań. Jeszcze należy prawidłowo temat sfinalizować: 1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Pobierz ponownie program na Pulpit. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\SYLWIA\Desktop\ComboFix.exe /uninstall Następnie: przez SHIFT+DEL skasuj folder C:\Windows\erdnt, w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 2. Zaktualizuj / zweryfikuj wyliczone poniżej aplikacje: KLIK. Twój log przedstawia zainstalowane następujące wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{90140011-0066-0415-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - Polski ----> doinstaluj pakiet SP1"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox)"Google Chrome" = Google Chrome"Opera 12.01.1532" = Opera 12.01 . Odnośnik do komentarza
Rekomendowane odpowiedzi