allanek Opublikowano 1 Maja 2013 Zgłoś Udostępnij Opublikowano 1 Maja 2013 Witam, Niestety po raz drugi w ostatnim czasie zostałem zaatakowany kolejna odmiana popularnego Weelsof-a. Udalo mi się przywrocic sobie kontrole nad komputerem i dokonałem skanowania i czyszczenia ComboFix-em. W załączniku zamieszczam raport końcowy wraz z prosba o przejrzenie, interpretacje i ewentualne wskazówki odnośnie zakończenia procesu i dalszego postepowania. Będę bardzo wdzięczny za okazana pomoc. Pozdrawiam serdecznie EDIT: Przepraszam za początkowe niedołączenie kompletu wymaganych logów. Błąd już naprawiony. Poniżej jeszcze raport Security Check: Results of screen317's Security Check version 0.99.63 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 9 ``````````````Antivirus/Firewall Check:``````````````avast! Antivirus Norton Internet Security Antivirus up to date! (On Access scanning disabled!)`````````Anti-malware/Other Utilities Check:````````` Java 7 Update 17 Java version out of Date! Google Chrome 26.0.1410.43 Google Chrome 26.0.1410.64 ````````Process Check: objlist.exe by Laurent```````` Norton ccSvcHst.exe Symantec Norton Online Backup NOBuAgent.exe AVAST Software Avast AvastSvc.exe AVAST Software Avast AvastUI.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` ComboFix.txt OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 1 Maja 2013 Zgłoś Udostępnij Opublikowano 1 Maja 2013 ComoFix usunął infekcję niekompletnie, jeszcze kilka plików na dysku ostało się. Poza tym, również drobne adware do deinstalacji. 1. Przez Panel sterowania odinstaluj Ask Toolbar, Ask Toolbar Updater. 2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 3. AdwCleaner wyzeruje domyślne wyszukiwarki Internet Explorer. Popraw. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{95FFD67A-A8B7-4A66-8E42-B42FB19ED07B}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\7gag3.dat C:\ProgramData\ejolvl.reg C:\ProgramData\ejolvl.bat C:\Users\Koń\AppData\Roaming\skype.dat :OTL O4 - HKLM..\Run: [] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. 5. Zrób nowy log OTL z opcji Skanuj, zaznacz opcję Pomiń pliki Microsoftu, gdyż obszerny log już nie jest mi potrzebny. Pliku Extras także po raz drugi nie dodawaj. Dołącz za to log utworzony przez AdwCleaner. . Odnośnik do komentarza
allanek Opublikowano 1 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 1 Maja 2013 Bardzo dziękuję, jestem pod ogromnym wrażeniem profesjonalizmu udzielonej pomocy. Poniżej załączam logi po wykonaniu wszystkich operacji z instrukcji. OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 2 Maja 2013 Zgłoś Udostępnij Opublikowano 2 Maja 2013 Nie ma oznak wykonania punktów 3 (nie ustawione globalne wyszukiwarki IE) + 4 (nadal pliki infekcji na dysku). Powtarzaj te dwa punkty, po ich wykonaniu przedstaw: log z wynikami usuwania OTL + nowy skan OTL (konfiguracja z zaznaczonym Pomiń pliki MS). . Odnośnik do komentarza
allanek Opublikowano 2 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 2 Maja 2013 Zgodnie z zaleceniami wykonałem obydwie czynności ponownie. Załączam logi z usuwania i skanowania OTL (w pierwszym pliku zmieniłem rozszerzenie z log na txt aby móc go załączyć) 05022013_091742.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 2 Maja 2013 Zgłoś Udostępnij Opublikowano 2 Maja 2013 Teraz wszystko wykonane. Przejdź do wykończeń tematu: 1. Odinstaluj w prawidłowy sposób ComboFix. Uprzednio uruchamiałeś go niestety ze ścieżki "Temporary Internet Files", która już została wyczyszczona. Pobierz narzędzie ponownie (KLIK) i tym razem zapisz na Pulpicie. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Koń\Desktop\ComboFix.exe /uninstall Gdy komenda ukończy działanie, usuń pozostałe: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\Windows\erdnt. 2. Stworzyłeś bardzo niezdrową sytuację, prowadzącą wprost do zamulenia systemu, a nawet i zablokowania jego startu. Równocześnie w tle działają Avast + Norton Internet Security. Odinstaluj jeden z nich, a wskazuję Nortona (jest starszy). Deinstalacja ma wyglądać w następujący sposób: na początek naturalną drogą deinstalujesz wszystkie produkty Norton via Panel sterowania, następnie wchodzisz w Tryb awaryjny Windows i poprawiasz specjalizowanym narzędziem Norton Removal Tool. 3. Usuń starą Java (o ile już to się nie stało) + zaktualizuj Google Chrome i Skype: KLIK. Wersje widziane w Twoich raportach: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17 "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10 "Google Chrome" = Google Chrome 24.0.1312.57 . Odnośnik do komentarza
allanek Opublikowano 2 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 2 Maja 2013 Zrobione. Jeszcze raz ogromnie dziękuję. Tylko AdwCleaner się nie odinstalowuje, wciąż jest na pulpicie i normalnie da się go uruchomić, pomimo uruchamiania 'Odinstaluj', nie wiem dlaczego. Czy GMER-a i Security Check wystarczy po prostu 'SHIFT+DEL' z pulpitu? Odnośnik do komentarza
picasso Opublikowano 2 Maja 2013 Zgłoś Udostępnij Opublikowano 2 Maja 2013 1. AdwCleaner usuń ręcznie. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\AdwCleaner Przez SHIFT+DEL skasuj plik AdwCleaner.exe oraz logi przez niego utworzone na dysku C (pliki o modelu nazwy AdwCleaner[...].txt). 2. GMER i SecurityCheck wystarczy tradycyjnie zDELować. . Odnośnik do komentarza
allanek Opublikowano 2 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 2 Maja 2013 Zrobione. Jeszcze raz bardzo, bardzo dziękuję! Odnośnik do komentarza
Rekomendowane odpowiedzi