viperuss Opublikowano 28 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 28 Kwietnia 2013 Witam Po raz kolejny komputer zablokowany z powodu naruszenia prawa polskiego... Znowu ten wredny wirus. Czy mogę w jakiś sposób sam takie skrypty usuwające to ścierwo generować? Ponieważ jest to kolejny raz więc nie chciałbym obciążać administratorów jeżeli jest sposób by samemu to obsłużyć? Dziękuję za wszelkie zainteresowanie i pomoc Extras.Txt OTL.Txt Odnośnik do komentarza
Anonim8 Opublikowano 29 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 29 Kwietnia 2013 Jak poprzednio usuniemy blokadę, dalej czekasz na instrukcje moderatorów 1. Uruchom OTL i wklej skrypt :OTL O20 - HKU\S-1-5-21-1233577421-552017893-2790083191-1000 Winlogon: Shell - (C:\Users\Leja\AppData\Roaming\skype.dat) - C:\Users\Leja\AppData\Roaming\skype.dat () :Files C:\Users\Leja\AppData\Roaming\skype.ini :Commands [emptytemp] Kliknij w Wykonaj skrypt. 2. Przedstaw nowy raport z OTL z opcji Skanuj. Odnośnik do komentarza
viperuss Opublikowano 29 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 29 Kwietnia 2013 Dziekuję za zainsteresowanie.W załączniku log po wykonaniu skryptu. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 29 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 29 Kwietnia 2013 Nie wszystkie obiekty infekcji zostały usunięte, jeszcze katalogi w Roaming figurują , a część z nich jest autoryzowana w Zaporze systemowej: ========== Vista Active Application Exception List =========="TCP Query User{74ABE365-13F7-4418-8242-3398E5482CAE}C:\users\leja\appdata\roaming\gyegy\wihiq.exe" = protocol=6 | dir=in | app=c:\users\leja\appdata\roaming\gyegy\wihiq.exe |"TCP Query User{C4337077-7AC8-4000-AAD5-8B5E3618CAF3}C:\users\leja\appdata\roaming\gyegy\wihiq.exe" = protocol=6 | dir=in | app=c:\users\leja\appdata\roaming\gyegy\wihiq.exe |"UDP Query User{3AD5A8F5-40E1-4C80-A3B3-9A3FABA7252F}C:\users\leja\appdata\roaming\gyegy\wihiq.exe" = protocol=17 | dir=in | app=c:\users\leja\appdata\roaming\gyegy\wihiq.exe |"UDP Query User{BB90AB72-296C-4BFE-BD58-00EB88FB6E5D}C:\users\leja\appdata\roaming\gyegy\wihiq.exe" = protocol=17 | dir=in | app=c:\users\leja\appdata\roaming\gyegy\wihiq.exe | Poza tym, wartość Shell utworzona przez infekcję ma być w całości usuwana z bieżącego konta, w HKCU nie ma domyślnie Shell (jest tylko Shell definiowany w HKLM). Zostało to, to nie jest prawidłowy wpis: O20 - HKU\S-1-5-21-1233577421-552017893-2790083191-1000 Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation) 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej::FilesC:\Users\Leja\AppData\Roaming\AnxuveC:\Users\Leja\AppData\Roaming\EgocahC:\Users\Leja\AppData\Roaming\EkmaC:\Users\Leja\AppData\Roaming\EvreapC:\Users\Leja\AppData\Roaming\GyegyC:\Users\Leja\AppData\Roaming\IbvulC:\Users\Leja\AppData\Roaming\LapeibC:\Users\Leja\AppData\Roaming\NoikpC:\Users\Leja\AppData\Roaming\OrlaC:\Users\Leja\AppData\Roaming\PyviuC:\Users\Leja\AppData\Roaming\UvolC:\Users\Leja\AppData\Roaming\Ywinyznetsh advfirewall reset /C:Reg[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"=-Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt.2. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołąc log z usuwania OTL z punktu 1. Czy mogę w jakiś sposób sam takie skrypty usuwające to ścierwo generować? Ponieważ jest to kolejny raz więc nie chciałbym obciążać administratorów jeżeli jest sposób by samemu to obsłużyć? Jest multum wariantów tej infekcji, a jej składniki mają często losowy charakter. Nie ma możliwości utworzenia "skryptu uniwersalnego".. Odnośnik do komentarza
viperuss Opublikowano 29 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 29 Kwietnia 2013 Bardzo bardzo dziękuję za skrypt. W załączniku oba logi. OTL.Txt USUWANIE.txt Odnośnik do komentarza
picasso Opublikowano 29 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 29 Kwietnia 2013 (edytowane) Skrypt został wykonany chyba w momencie, gdy poprawiałam post, nie ma oznak wykonania komendy resetu reguł Zapory. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh advfirewall reset i ENTER. 2. W OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Dla pewności zrób jeszcze pełne skanowanie w Malwarebytes Anti-Malware (instaluj wersję darmową bez rezydenta). Jeżeli coś zostanie wykryte, przedstaw raport. . Edytowane 29 Maja 2013 przez picasso 29.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi