kosmonavtlar Opublikowano 15 Listopada 2012 Zgłoś Udostępnij Opublikowano 15 Listopada 2012 Witam, Mój komputer został zainfekowany przez whelsof. Przeprowadziłem skanowanie przy pomocy combofix (zestaw logów w załączniku), jednak po uruchomieniu komputera nadal wyświetla się blokada komputera. Poza tym w trybie awaryjnym wyświetla mi się możliwość zalogowania na dwóch użytkowników: -user -administrator W trybie normalnym funkcjonuję jako user, ale w trybie awaryjnym również po zalogowaniu się na user pojawia się białe tło na ekranie. A instalację combofix mogłem przeprowadzić tylko na :administrator. Może w tym tkwi problem? prosze o pomoc kosmonavtlar Niestety z pośpiechu nie przeczytałem, żeby combofix nie uruchamiać samodzielnie. załączam logi OTL. ComboFix.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 15 Listopada 2012 Zgłoś Udostępnij Opublikowano 15 Listopada 2012 ComboFix nic nie robił. W logach nic nie widać. Logi z OTL zrobiłeś z poziomu złego konta, czyli wbudowanego w system Administratora a nie konta użytkownika: Computer Name: SERWIS-E2A2FACC | User Name: Administrator | Logged in as Administrator. To konto nawet nie było czynne przed akcją (świeży zrzut katalogu na dysk). Konta mają inne rejestry i foldery, logi muszą być zrobione z poziomu konta na którym jest problem. Zaloguj się na właściwe konto, zrób nowe logi z OTL. Cytat W trybie normalnym funkcjonuję jako user, ale w trybie awaryjnym również po zalogowaniu się na user pojawia się białe tło na ekranie. Pewnie jest tu wariant ładowany przez powłokę Shell bieżącego użytkownika. Wybierz Tryb awaryjny z obsługą Wiersza polecenia. . Odnośnik do komentarza
kosmonavtlar Opublikowano 15 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 15 Listopada 2012 Zalogowałem się, ale pojawia się okno cmd.exe, w którym jest wiersz poleceń: C:\Documents and settings\user> I nie wiem, co tam wpisać, aby w ogóle ekran wyświetlił się prawidłowo Odnośnik do komentarza
picasso Opublikowano 15 Listopada 2012 Zgłoś Udostępnij Opublikowano 15 Listopada 2012 To jest tryb z linią komend tylko i wyłącznie, nie ładuje się tryb graficzny. Teraz musisz uruchomić OTL z linii komend. OTL leżał poprzednio na Pulpicie konta Administrator, zła lokalizacja, bo niedostępna między kontami. Przeloguj się na Administratora i przenieś OTL.exe z Pulpitu na C:\. Przeloguj się na konto użytkownika i w linii komend wklep C:\OTL.exe i ENTER. . Odnośnik do komentarza
kosmonavtlar Opublikowano 15 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 15 Listopada 2012 Przesyłam logi. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 15 Listopada 2012 Zgłoś Udostępnij Opublikowano 15 Listopada 2012 Tak jak mówiłam, jest tu wariant ładowany przez Shell bieżącego użytkownika (fałszywy "msconfig"), dlatego działa tylko Tryb awaryjny z linią komend. Oczywiście czyszczenie musi się odbyć z poziomu konta na którym jest infekcja: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\user\Dane aplikacji\msconfig.dat C:\Documents and Settings\user\Dane aplikacji\msconfig.ini C:\Documents and Settings\user\0.840379133776477.exe C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\user\Dane aplikacji\Babylon C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :OTL FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" IE - HKU\S-1-5-21-73586283-299502267-1801674531-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=114435&tt=071012_ikanctrl_4112_5&babsrc=SP_ss&mntrId=b8ed7069000000000000001c23275115" O3 - HKU\S-1-5-21-73586283-299502267-1801674531-1004\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Opuść Tryb awaryjny. 2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
kosmonavtlar Opublikowano 15 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 15 Listopada 2012 Bardzo dziękuję, zadziałało. Przesyłam w załącznikach logi Rozumiem, że powinienem odinstalować combofix? OTL.TxtPobieranie informacji ... AdwCleanerS1.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Infekcja pomyślnie usunięta. Kolejne działania: 1. Drobna poprawka po używaniu AdwCleaner. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Services cpuz134 Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Odinstaluj ComboFix, co wyczyści też foldery Przywracania systemu. Poprzednio był uruchamiany z Pulpitu konta Administrator. Pobierz ponownie na Pulpit konta użytkownika. Start > Uruchom > wklej komendę: "C:\Documents and settings\user\Pulpit\ComboFix.exe" /uninstall Gdy komenda ukończy, wyczyść po pozostałych: w OTL uruchom Sprzątanie, w AdwCleaner użyj Uninstall, przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt. 3. Zrób pełne skanowanie w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
kosmonavtlar Opublikowano 16 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Dzięki. Wszystko ok, malwarebytes nic nie wykrył. Raz jeszcze dzięki za pomoc. kosmonavtlar Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Na zakończenie aktualizacje poniżej wymienionych programów: KLIK. Wg raportu masz: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll () Wszystkie zakreślone Adobe + Java odinstaluj i zastąp najnowszymi wersjami, zaktualizuj OpenOffice.org. PS. A co do koszmaru Gadu-Gadu 10, to obejrzyj jak wygląda GG11 oraz alternatywy: WTW, Kadu, AQQ, Miranda. Opisy: Darmowe komunikatory. Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi