meerkatka Opublikowano 9 Listopada 2012 Zgłoś Udostępnij Opublikowano 9 Listopada 2012 Witam mam problem z wirusem weelsof załączam pliki z programu OTL: proszę o pomoc. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 9 Listopada 2012 Zgłoś Udostępnij Opublikowano 9 Listopada 2012 1. To już drugi dziś analizowany system, który ma ogromną ilość nieznanych plików tego typu: [2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.v[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.u[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.s[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.r[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.q[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.p[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.o[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.n[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.m[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.l[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.k[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.j[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.i[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.h[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.g[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.fs[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.fr etc... Przenieś je na inny dysk do jakiegoś osobnego katalogu, a jeśli nie będą się odtwarzać podobne na dysku C, usuń je całkowicie. 2. Druga sprawa: przemilczane sprawy, ukryte uruchomienie ComboFix. Na temat uruchamiania tej aplikacji: KLIK. Nie został przedstawiony log z tamtego działania, mimo że zasady działu wyraźnie o tym mówią, skoro nieszczęśliwie ComboFix już uruchomiono. W logach z OTL brak oznak infekcji. Wnioski: usuwał to ComboFix. Ale log nie przedstawiony. Jeśli nadal jest na dysku, zaprezentuj (nie uruchamiaj narzędzia ponownie!) . Odnośnik do komentarza
meerkatka Opublikowano 10 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 10 Listopada 2012 Próbowałam się ratować jakoś sama. Poniżej log z ComboFIxa. ComboFix.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Tak, ComboFix usuwał tę infekcję, i nawet nieznacznie ruszył te podejrzane pliki, które zakreśliłam, ale tylko nieznacznie. Czyli zostały wykończenia: 1. Wszystkie podejrzane pliki, które kazałam przenieś w inne miejsce, skasuj permanentnie z dysku przez SHIFT+DEL. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Zuzia\Desktop\ComboFix.exe /uninstall 3. Odinstaluj starsze wyliczone poniżej aplikacje Adobe i Java, zastąp najnowszymi wersjami: KLIK. Wg raportu masz zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox) PS. Widzę też zainstalowane Gadu-Gadu 10. Jest to program zasobożerny i tak oblepiony reklamami, że używanie graniczy z cudem. Obejrzyj alternatywne programy obsługujące Gadu: WTW, AQQ, Kadu, Miranda. Opisy: KLIK. . Odnośnik do komentarza
meerkatka Opublikowano 12 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Witam dziękuję za informacje dot. pomocy. Jednak wczoraj zrobiłam formatowanie dysku C, ale znowu muszę prosić o pomoc, ponieważ dzisiaj po uruchomieniu komputera znowu dopadł mnie komunikat o departamencie cyberprzestępczości. Tym razem zrobiłam tylko skanowanie OTL, proszę o pomoc i dalsze wskazówki co robić aby się pozbyć tego komunikatu oraz jakoś zabezpezpieczyć przed kolejnym atakiem. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Cytat Jednak wczoraj zrobiłam formatowanie dysku C, ale znowu muszę prosić o pomoc, ponieważ dzisiaj po uruchomieniu komputera znowu dopadł mnie komunikat o departamencie cyberprzestępczości. Jaki był powód formatu? System po formacie, a już strasznie zabrudzony, nie tylko infekcja, ale i adware (i to już Twoja nieuwaga w instalacjach, nie odznaczone obiekty sponsoringowe). A infekcja weszła pewnie w taki sam sposób jak poprzednio: odwiedzona określona zainfekowana witryna. Dyskusja na temat tej infekcji: KLIK. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Zuzia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Windows\SysWow64\Extensions C:\Windows\SysWow64\searchplugins C:\Users\Zuzia\AppData\Local\funmoods-speeddial_sf.crx C:\Users\Zuzia\AppData\Local\funmoods.crx :OTL IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://searchfunmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyByEtB0FyCzzzztCzz0AyDtA0C0BzyzytN0D0Tzu0CtAtCyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=610527225 IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyByEtB0FyCzzzztCzz0AyDtA0C0BzyzytN0D0Tzu0CtAtCyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=610527225" IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyByEtB0FyCzzzztCzz0AyDtA0C0BzyzytN0D0Tzu0CtAtCyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=610527225" IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyByEtB0FyCzzzztCzz0AyDtA0C0BzyzytN0D0Tzu0CtAtCyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=610527225" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4612_8&babsrc=SP_ss&mntrId=ec2dcb99000000000000742f68818a53" FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\ProgramData\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension [2012-11-12 08:50:01 | 000,000,000 | ---D | M] :Services Browser Manager :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Opuść Tryb awaryjny. 2. Przez Panel sterowania odinstaluj adware Babylon Chrome Toolbar, Babylon toolbar, Browser Manager, Funmoods. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
meerkatka Opublikowano 12 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Bardzo dziękuję. załączam pliki po wskazanych skanowaniach. Formatowanie było błędem ale myślałam że to coś zaradzi gdyż wczoraj miałam trochę pracy na komputerze i myślałam, że to rozwiąże problem no ale niestety. AdwCleanerS1.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Kierowałam Cię wyraźnie do opisu AwdCleaner na forum z linkami do strony domowej. Użyłaś starą wadliwą wersję pobraną z innego pośredniego serwisu: # AdwCleaner v2.005 - Logfile created 11/12/2012 at 10:25:28 # Running from : D:\Download\AdwCleaner_www.INSTALKI.pl.exe Najnowsza wersja to 2.007 i ma to duże znaczenie (nowe definicje, poprawione błędy). Takie programy pobiera się tylko ze stron autoryzowanych przez autora, nie z Instalek. Wersja 2.005 uszkodziła też domyślny Bing w 64-bitowym Internet Explorer i będę musiała to ręcznie odtworzyć. Pobierz z linków wskazanych na forum najnowszą wersję AdwCleaner, uruchom i przedstaw z niej log. . Odnośnik do komentarza
meerkatka Opublikowano 12 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2012 właściwy log AdwCleanerS2.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 1. Wymagana poprawka. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{76D57F73-0F0F-7B7C-834E-612D7FB95B26}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{76D57F73-0F0F-7B7C-834E-612D7FB95B26}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. I jeszcze z dysku skasuj ten folder C:\Program Files (x86)\Mozilla Firefox (Firefox wygląda na odinstalowany). 3. W Dzienniku zdarzeń jest błąd WMI numer 10. Napraw narzędziem Fix-it z artykułu KB2545227. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Zaktualizuj Internet Explorer, odinstaluj starą Java i zastąp najnowszą wersją 32-bit: KLIK. Swoją drogą, skąd po formacie taka stara Java: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java 6 Update 29 6. Zabezpieczenia: kierowałam Cię już do wątku dyskusyjnego o tej infekcji. Wyciągnij z tego wnioski. Mogę polecić do bezpieczniejszego przeglądania w internecie piaskownicę typu SandBoxie. Rzeczywisty system nie zostanie zainfekowany, po restarcie zawartość wirtualna zostanie usunięta. Program nie jest darmowy, ale można z niego za darmo korzystać. Po okresie testowym 30-dni włączy się po prostu nagscreen przypominający o zakupach, ale dalej SandBoxie będzie działać. . Odnośnik do komentarza
meerkatka Opublikowano 12 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Bardzo dziękuję za szybką i profesionalną pomoc Właśnie przeczytałam wątek dyskusyjny. Skorzystam z porady odnośnie zabezpieczenia przeglądania w internecie, gdyż atak spotkał mnie już 3 raz i bardzo mnie to niepokoi. Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi