i2006 Opublikowano 3 Maja 2013 Zgłoś Udostępnij Opublikowano 3 Maja 2013 Witam Gorąca prośba o pomoc. Mam komputer zainfekowany wirusem WeelSof. Samodzielne próby poradzenia sobie z problemem były nieudane. Wykonany skan OLT w załaczeniu. Z góry dziękuje za pomoc. Pozdrawiam, OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 3 Maja 2013 Zgłoś Udostępnij Opublikowano 3 Maja 2013 Brak oznak infekcji. Raporty powstały z konta Paweł, ale na dysku są dwa foldery kont: Paweł + pwiesik. Jeśli to drugie konto jest zainfekowane, tu podane logi są bezużyteczne, logi muszą powstać z poziomu zainfekowanego konta (wejście w Tryb awaryjny lub Tryb awaryjny z Wierszem polecenia i logowanie na zasadnicze konto). Tak więc: które konto jest zainfekowane? PS. Widzę przymiarkę z ComboFix. Na temat używania tego narzędzia: KLIK . Odnośnik do komentarza
i2006 Opublikowano 3 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 3 Maja 2013 Zainfekowane jest konto pwiesik, ale logowałem sie na domenę POLBITADOMAIN. Konto Paweł jest na ZK... Była przymiarka z ComboFix. Ale nie mogłem wyłączyć ESET-a. (nie mam hasła) Komputer odkupiłem od firmy na odejście - ze wszystkim co miał jako użytkownik firmowy. Tryb awaryjny dla użytkownika pwiesik na domenie POLBITADOMAIN nie startuje Odnośnik do komentarza
picasso Opublikowano 3 Maja 2013 Zgłoś Udostępnij Opublikowano 3 Maja 2013 Jak mówię, logi pobrane z nieodpowiedniego konta, jest zalogowany Paweł i to jego dane widać. Czy siedząc na Pawle masz dostęp do folderów pwiesik w rozumieniu braku "Odmowy dostępu"? Jeśli tak, to skopiuj plik rejestru drugiego konta: C:\Documents and Settings\pwiesik\NTUSER.DAT Spakuj go do ZIP, shostuj gdzieś i na PW wyślij link do niego. Podmontuję to w swoim rejestrze, by sprawdzić punkty ładowania infekcji, podam zwrotnie instrukcje ręcznego usuwania. EDIT: Otrzymałam na PW rejestr. Infekcja ładuje się poprzez wartość Shell bieżącego użytkownika: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "shell"="explorer.exe,C:\\Documents and Settings\\pwiesik\\Dane aplikacji\\skype.dat" Usuwanie ręczne: 1. Z poziomu konta Paweł Start > Uruchom > regedit i w edytorze: Podświetl gałąź HKEY_USERS, z menu Plik > Załaduj gałąź rejestru > wskaż plik C:\Documents and Settings\pwiesik\NTUSER.DAT > na pytanie o nazwę wpisz NAPRAWA. Przejdź do klucza: HKEY_USERS\NAPRAWA\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Ze środka skasuj wartość o nazwie Shell. Podświetl klucz HKEY_USERS\NAPRAWA, z menu Plik > Zwolnij gałąź rejestru. 2. Przez SHIFT+DEL skasuj te pliki z dysku: C:\Documents and Settings\pwiesik\Dane aplikacji\skype.dat C:\Documents and Settings\pwiesik\Dane aplikacji\skype.ini 3. Zresetuj system. Blokada na koncie pwiesik zniknie, toteż zaloguj się na to konto i zrób log OTL z opcji Skanuj. . Odnośnik do komentarza
i2006 Opublikowano 3 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 3 Maja 2013 Wykonane W załaczeniu log OTL OTL.Txt Odnośnik do komentarza
picasso Opublikowano 8 Maja 2013 Zgłoś Udostępnij Opublikowano 8 Maja 2013 (edytowane) Infekcja usunięta, teraz możemy przejść do czyszczenia adware: 1. Przez Dodaj/Usuń programy odinstaluj: Ask Toolbar, Browsers Protector, Internet Explorer Toolbar 4.6 by SweetPacks, Search Results Toolbar, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{DAB5CB95-8ECC-4679-A428-24E19C8E4CF2}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=5fac724c-1d43-11e2-9ad4-001fd087677a&q={searchTerms} IE - HKU\S-1-5-21-1602571570-748910954-1423778804-2252\..\URLSearchHook: {94366e2c-9923-431c-b0d6-747447dd0f2b} - No CLSID value found IE - HKU\S-1-5-21-1602571570-748910954-1423778804-2252\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - No CLSID value found IE - HKU\S-1-5-21-1602571570-748910954-1423778804-2252\..\SearchScopes\{B9C7CE32-DA91-43C2-B7E9-0E9AAFC675CD}: "URL" = http://eu.ask.com/web?l=dis&o=16552&gct=sb&qsrc=2869&apn_dtid=^YYYYYY^YY^PL&apn_ptnrs=^A9T&apn_uid=2854835632164222&p2=^A9T^YYYYYY^YY^PL&q={searchTerms} IE - HKU\S-1-5-21-1602571570-748910954-1423778804-2252\..\SearchScopes\{DAB5CB95-8ECC-4679-A428-24E19C8E4CF2}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=5fac724c-1d43-11e2-9ad4-001fd087677a&q={searchTerms} O3 - HKU\S-1-5-21-1602571570-748910954-1423778804-2252\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html () O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-1602571570-748910954-1423778804-2252\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-1602571570-748910954-1423778804-2252\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\PAWE~1\USTAWI~1\Temp\catchme.sys -- (catchme) [2012-12-26 15:39:43 | 000,002,253 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\ask.xml :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\system32\msiexec.exe"=- "C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe"=- "C:\Program Files\searchresults1\dtUser.exe" =- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Edytowane 11 Czerwca 2013 przez picasso 12.06.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi