Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

UKASH / Weelsof powrót

woytas2001

Przez woytas2001
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

woytas2001

woytas2001

Opublikowano
Opublikowano

Witam serdecznie,

Bardzo proszę o sprawdzenie logów z komputera zarażonego weelsofem. Częściowo udało mi się go usunąć Kaspersky Rescue Disk 10, ale nadal coś w nim siedzi. Możliwe są ingerencje innych programów np. Combofix itp.(wielu "mądrych" próbowało coś zdziałać przy tym komputerze).

Z góry bardzo dziękuję za pomoc.

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Według logów infekcja nadal jest tutaj aktywna.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-2025429265-2111687655-1957994488-1003\..\SearchScopes\{ED3EEB50-AF97-4731-B0F8-0F53B397222C}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000SUPL&apn_uid=85B661B8-5700-4005-BE76-205BBAB86D28&apn_sauid=D08D3552-7210-447E-A0AE-3FCE83B170C2"
O2 - BHO: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found.
O4 - HKLM..\Run: [gonaji] C:\WINDOWS\system32\jazeli.exe File not found
O4 - HKLM..\Run: [sqlServerSpatial] C:\Documents and Settings\Feliks\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2074\SqlServerSpatial.exe (SEIKO EPSON CORP.)
O4 - HKU\S-1-5-21-2025429265-2111687655-1957994488-1003..\Run: [00021562] C:\DOCUME~1\Feliks\USTAWI~1\Temp\00021562.tmp File not found
O4 - HKU\S-1-5-21-2025429265-2111687655-1957994488-1003..\Run: [0005a570] C:\DOCUME~1\Feliks\USTAWI~1\Temp\0005a570.tmp File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: 40230 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.com
[2011-08-26 21:57:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Ask
 
:Files
C:\Documents and Settings\Feliks\Dane aplikacji\Umty
C:\Documents and Settings\Feliks\Dane aplikacji\Qauve
C:\Documents and Settings\Feliks\Dane aplikacji\Ibgyf
C:\Documents and Settings\Feliks\Dane aplikacji\azerty.exe
C:\Documents and Settings\Feliks\Dane aplikacji\hellomoto
C:\Documents and Settings\Feliks\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2074
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Wykonaj jeszcze na koniec te czynności:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

 

W trybie awaryjnym tego nie zaobserwowałem. Coś mi się wydaje, że zawiechy te spowodowane są bardziej konfiguracją sprzętową niż programową (prawdopodobnie błędy HDD)

 

A ja bym testowo odinstalował AVG i sprawdził efekty. Bo jeśli w awaryjnym jest w porządku to musi być powodem coś co ładuje się w trybie normalnym.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...