NihilNovi Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Witam, niestety jak wiele osób padłem również ofiarą Weelsof'a. System to Win7, 32bit. Czynności, które wykonałem do tej pory: - po artykule na wp użyłem ComboFix'a (teraz już wiem, że nie było to zbyt mądre) - poprzez msconfig wyłączyłem uruchamianie wszystkich programów, dzięki temu mogę uruchomić system w trybie normalnym - przeskanowałem system używając McAfee, nie zwrócił niczego - użyłem OTLa i GMERa Poniżej przesyłam logi. Będę bardzo wdzięczny za pomoc, za którą z góry dziekuję. Pozdrawiam Darek ComboFix.txt OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
Landuss Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Wygląda, że tu infekcja już usunięta. Może to sprawka ComboFix. Dałeś log z drugiego uruchomienia dlatego nie wiadomo co program wykonywał. Ten folder jeszcze usuń od infekcji: C:\Users\rl0052\AppData\Roaming\hellomoto Potwierdź tylko czy jest jeszcze problem czy nie, jeśli nie to przejdziemy do finalizacji. Odnośnik do komentarza
NihilNovi Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Dziękuję za bardzo szybką reakcję, obiecuję odwdzięczyć się datkiem, ponieważ wykonujecie tutaj kawał świetnej roboty. Niestety problem występuje w dalszym ciągu. Poprzednie logi wykonywałem w trybie normalnym, mając wyłączone wszystkie programy z 'Uruchamianie' z msconfig.Po powrocie w 'Uruchamianie' do stanu pierwotnego i restarcie, komputer został ponownie zablokowany.Czy to może z tego względu logi nic nie wykazały? W chwili obecnej wykonuję logi z trybu awaryjnego, 'Uruchamianie' w trybie pierwotnym. Może teraz coś uda się wyłapać. Prośba o info jeżeli powinienm podjąć inne działania. Z góry dziękuję. Pozdrawiam Darek Odnośnik do komentarza
picasso Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Poprzednie logi wykonywałem w trybie normalnym, mając wyłączone wszystkie programy z 'Uruchamianie' z msconfig.Po powrocie w 'Uruchamianie' do stanu pierwotnego i restarcie, komputer został ponownie zablokowany.Czy to może z tego względu logi nic nie wykazały? Dokładnie dlatego. To jest zmanipulowany log. Przeprowadź znów tę procedurę, ale tym razem zrób skan niestandardowy w OTL, który pokaż także wpisy wyłączone w msconfig. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wpisz słowo msconfig i klik w Skanuj (nie pomyl tego z Wykonaj skrypt!). Przedstaw log. . Odnośnik do komentarza
NihilNovi Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Zgodnie z zaleceniem przesyłam log z OTLa dla msconfig. Wygenerowałem również jeszcze raz (nie wiem czy potrzebnie) logi całościowe, tylko teraz z trybu awaryjnego i z włączonymi programami w 'Uruchamianie'. Prośba o pomoc i jeszcze raz z góry dziękuję. Pozdrawiam Darek OTL_msconfig.Txt Odnośnik do komentarza
picasso Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Tylko główny log OTL ze skanem msconfig jest istotny, zawartości Extras to nie zmienia. GMER po raz drugi zbędny, inne pole zadaniowe. Odcinam nadwyżkę. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [RpcEpMap] C:\Users\rl0052\AppData\Local\Microsoft\Windows\1096\RpcEpMap.exe () SRV - File not found [Disabled | Stopped] -- C:\Program Files\Apoint2K\ApRunSvc.exe -- (ApRunSvc) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\rl0052\AppData\Local\Temp\catchme.sys -- (catchme) :Files C:\Users\rl0052\AppData\Local\Microsoft\Windows\1096 C:\Users\rl0052\AppData\Roaming\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. . Odnośnik do komentarza
NihilNovi Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Picasso BARDZO dziękuję. Komputer przestał się blokować, uratowałaś mnie:-) Zgodnie z obietnicą jeszcze dzisiaj dokonam dotacji. Już to pisałem, ale wykonujecie naprawdę świetną robotę i fachowo pomagacie wielu ludziom. Poniżej przesyłam logi z OTLa po wykonaniu skryptu i skanowaniu. Jeżeli potrzebne są jeszcze jakieś działania (na pewno usunięcie ComboFix'a) to prośba o info. Jeszcze raz dziękuję. Pozdrawiam Darek 07072012_130127_.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Istotnie, sprawa załatwiona. Wykonaj standardową "oprawę" zakończeniową: 1. Odinstaluj w prawidłowy sposób ComboFix. Wyczyści to też foldery Przywracania systemu. Klawisz z flagą Windows + R i polu Uruchom wklej: C:\Users\rl0052\Desktop\ComboFix.exe /uninstall Przez SHIFT+DEL dokasuj folder C:\Windows\erdnt (kopia rejestru utworzona przez ComboFix). 2. W OTL uruchom Sprzątanie samokasujące z dysku kwarantannę z trojanem i OTL. 3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. Zgodnie z obietnicą jeszcze dzisiaj dokonam dotacji. Już to pisałem, ale wykonujecie naprawdę świetną robotę i fachowo pomagacie wielu ludziom. Dziękuję bardzo. . Odnośnik do komentarza
NihilNovi Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Wykonałem wszystkie zalecane czynności. Niestety Malwarebytes coś tam jeszcze znalazł. Nie wygląda na jakiś wielki problem, ale zamieszczam poniżej log z skanera. Powinienem się tym martwić czy po prostu zignorować? Pozdrawiam Darek mbam-log-2012-07-07 (16-49-47).txt Odnośnik do komentarza
picasso Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Wynik nie wart troski, to typ PUM = Potentially Unwanted Modification (potencjalnie niepożądana modyfikacja). MBAM pewien typ edycji rejestru (zwłaszcza polityki ukrywające obiekty w Windows Explorer) klasyfikuje jako "niepożądane", gdyż infekcje mogą to prowadzić. Ale nie muszą, te edycje może wykonać też umyślnie użytkownik ręcznie czy za pomocą tweakera. MBAM nie umie rozpoznać pochodzenia edycji, bo to awykonalne. Tu mamy wartość NoSMHelp ustawioną tak, by wyłączyć dostęp do Pomocy w Menu Start. Niezależnie od tego czy robiłeś to celowo, nic czym byś się miał zamartwiać. Na zakończenie wykonaj istotne aktualizacje oprogramowania: KLIK. Próbka z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Microsoft SQL Server 2008 R2" = Microsoft SQL Server 2008 R2"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 ----> brak pakietu SP1 + Service Pack dla Microsoft SQL Server 2008 R2: KB2527041 . Odnośnik do komentarza
NihilNovi Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Ok, w takim razie wszystkie moje problemy zostały rozwiązane:-) Temat do zamknięcia. Dziękuję jeszcze raz za pomoc, dotacja już poszła (przelew do KB). Jestem naprawdę bardzo miło zaskoczony profesjonalizmem i kompleksowością (nie wiem czy takie słowo istnieje, ale chyba wiadomo o co chodzi:-) pomocy jaką tutaj otrzymałem. Na pewno nie zapomnę o tym forum i jeżeli znajomi będą mieli podobne jak ja problemy to będę wiedział gdzie ich skierować:-) Tak trzymajcie, chociaż szczerze mówiąc nie wiem jak sobie dajecie radę z tymi setkami zgłoszeń i problemów:-) Pozdrawiam Darek Odnośnik do komentarza
Rekomendowane odpowiedzi