marciano Opublikowano 17 Listopada 2012 Zgłoś Udostępnij Opublikowano 17 Listopada 2012 Witam. Przejrzałem trochę forum w temacie trojana Weeslof. Również mnie on dotknął. Poniżej logi: OTL - http://wklej.org/id/873221/ Extras - http://wklej.org/id/873226/ Jak się pojawił ten ekran cyberpolicji wyłączylem kompa. Potem uruchomiłem go w trybie awaryjnym. Ponownie uruchomiłem go w normalnym trybie (w międzyczasie jeszcze na linuxie co nieco porobiłem) i już się nie pojawia to okienko, kamera też się nie świeci (poprzednio się świeciła). Poproszę o analizę, czy mam tego wirusa jeszcze (avast informował mnie przy ostatnim uruchomieniu że przeniósł wpbt0.dll do kwarantanny) i co zrobić w takim przypadku. Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2012 Zgłoś Udostępnij Opublikowano 18 Listopada 2012 Nie wiem co usuwałeś, ale infekcja w stanie nienaruszonym: O4 - Startup: C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation) W logu widoczne też adware. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk C:\ProgramData\lsass.exe C:\ProgramData\0tbpw.pad C:\Users\Home\AppData\Roaming\ProgSense C:\Users\Home\AppData\Roaming\_MDLogs C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml C:\Windows\tasks\ParetoLogic Update Version2.job :OTL IE - HKU\S-1-5-21-1034896762-105475695-347534386-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542" IE - HKU\S-1-5-21-1034896762-105475695-347534386-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=2CECDF1B-F251-4CA7-8F59-83801D3BD894&apn_sauid=1A2276C6-B2A3-4675-A6A7-39831BD0CC90" IE - HKU\S-1-5-21-1034896762-105475695-347534386-1000\..\SearchScopes\{3F141101-F7B6-44E7-8B9A-A167553A891B}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=94fb5e59-3647-11e1-9a64-002713ddf7a2&q={searchTerms}" O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1034896762-105475695-347534386-1000..\Run: [AlSrvN] C:\Users\Home\AppData\Local\Temp\Rar$EX00.411\Plugins\Helper\AlSrvN.exe () :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Babylon, Babylon-English Toolbar, Conduit Engine, McAfee Security Scan Plus, vShare.tv plugin 1.3, Vuze Remote Toolbar. 3. Google Chrome: zabrudzone adware i wygląda w logu dziwnie (brak detekcji pełnej konfiguracji). Proponuję deinstalację. Przy deinstalacji zaznacz usuwanie plików użytkownika. 4. Firefox: wyczyść z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
marciano Opublikowano 18 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2012 raport z usuwania: http://wklej.org/id/873294/ OTL: http://wklej.org/id/873337/ Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2012 Zgłoś Udostępnij Opublikowano 19 Listopada 2012 To nie jest log z mojego usuwania OTL, jakiś inny skrypt został użyty. Punkty 2 + 3 + 4 w ogóle nie wykonane (jak było adware, tak jest nadal, syf w Internet Explorer, Firefox i Google Chrome). Brak też raportu AdwCleaner z punktu 5. Odnośnik do komentarza
marciano Opublikowano 19 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2012 Sorry. Log z usuwania: http://wklej.org/id/875062/ OTL: http://wklej.org/id/875077/ AdwCleaner: http://wklej.org/id/875065/ Pkt 2,3,4 nie wykonałem. Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2012 Zgłoś Udostępnij Opublikowano 19 Listopada 2012 (edytowane) Pkt 2,3,4 nie wykonałem. Dlaczego? Moje kroki mają bardzo ścisłą kolejność (jej nie wolno przestawiać i sobie na wyrywki wykonywać!). Zawalona tu została sprawa. Najpierw się deinstaluje adware, a dopiero po tym używa AdwCleaner (on nie robi normalnych deinstalacji, tylko brutalne wyrywanie), a nie na odwrót... Zadania z kolei wykonane też budzą zastrzeżenia i sugerują przestawioną kolejność, bo skrypt OTL nie znalazł dwóch plików (usuwał je AdwCleaner, który miał być zastosowany po a nie przed) + AdwCleaner przestawiał strony startowe Internet Explorer (co również nie powinno mieć miejsca, bo skrypt OTL je konfigurował). Na przyszłość: nie przestawiaj zadań na oko, kolejność jest ścisła i każda operacja ma określone konsekwencje. Dokończ to co namieszałeś: 1. Google Chrome nadal bardzo dziwnie wygląda (szczątkowa konfiguracja w raporcie). Mówiłam już ... I odinstaluj to co zostało z mojej listy wskazywanych adware po użyciu AdwCleaner. 2. Do zrobienia poniższe, bo preferencje nadal brudne i stare wpisy po upgradach. 4. Firefox: wyczyść z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{C55BBCD6-41AD-48AD-9953-3609C48EACC7}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{27A85AAC-BA4B-4E73-A5D5-ED23AA30FC6A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{27A85AAC-BA4B-4E73-A5D5-ED23AA30FC6A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 4. Zrób nowy log z OTL poświadczający zmiany ograniczony do: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. . Edytowane 18 Grudnia 2012 przez picasso 19.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi