Hemorrhage Opublikowano 10 Maja 2013 Zgłoś Udostępnij Opublikowano 10 Maja 2013 Witam serdecznie, dostałem dzisiaj od kolegi Laptopa zainfekowanego wirusem Weelsof (Wersja Polska - Policyjna), wcześniej miałem do czynienia z tym problemem i za każdym razem pomagało odpalenie komputera w Trybie Awaryjnym, a następnie przeskanowanie go programem Hitman Pro lub Anti Malware Bytes. Niestety w tym wypadku - próba uruchomienia w trybie awaryjnym - nic nie dała, system nadal jest "zablokowany", raz po którymś restarcie z kolei komputer uruchomił się w Trybie Awaryjnym i system nie był zablokowany - odpaliłem Hitman'a jednak ten nic nie wykrył, po restarcie system nadal jest zablokowany. Poniżej załączam log'i z OTL, z góry bardzo dziękuję za pomoc ! OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2013 Zgłoś Udostępnij Opublikowano 10 Maja 2013 Infekcja zmodyfikowała usługę Instrumentacji Windows, dlatego jest trudność z wejściem w jakikolwiek tryb. 1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej: :Reg [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" :Files C:\Documents and Settings\All Users\Dane aplikacji\itodojm.dat C:\Documents and Settings\All Users\Dane aplikacji\ni2ljm.dat C:\Documents and Settings\All Users\Dane aplikacji\mjl2in.js C:\Documents and Settings\All Users\Dane aplikacji\mjl2in.pad C:\Documents and Settings\All Users\Dane aplikacji\mjodoti.pad C:\Documents and Settings\All Users\Dane aplikacji\rundll32.exe C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\msconfig.lnk C:\Documents and Settings\PC\Menu Start\Programy\Autostart\msconfig.lnk C:\Documents and Settings\PC\Dane aplikacji\Babylon C:\Documents and Settings\PC\Dane aplikacji\Desk 365 C:\Documents and Settings\PC\Dane aplikacji\DriverCure C:\Documents and Settings\PC\Dane aplikacji\File Scout C:\Documents and Settings\PC\Dane aplikacji\SpeedyPC Software C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService C:\Documents and Settings\All Users\Dane aplikacji\SpeedyPC Software C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer C:\Program Files\mozilla firefox\searchplugins\22apple.xml C:\Program Files\mozilla firefox\searchplugins\babylon.xml :OTL O3 - HKU\PC_ON_C\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\PC_ON_C..\Run: [] File not found DRV - File not found [Kernel | System] -- -- (tvscevqw) DRV - File not found [Kernel | System] -- -- (skcwghei) DRV - File not found [Kernel | System] -- -- (rbcojdrl) DRV - File not found [Kernel | System] -- -- (kohhecyq) DRV - File not found [Kernel | System] -- -- (hqejytlt) DRV - File not found [Kernel | System] -- -- (giugwskw) DRV - File not found [Kernel | System] -- -- (doveqiel) DRV - File not found [Kernel | System] -- -- (bovegkiq) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. System zostanie odblokowany. Przechodzisz normalnie do Windows, by wykonać dalsze działania: 2. Przez Panel sterowania odinstaluj adware BrowserProtect, DefaultTab Chrome, Delta Chrome Toolbar, Delta toolbar, Incredibar Toolbar on IE, Softonic toolbar on IE and Chrome, VideoPerformer oraz niepełnosprawne pewnie sponsorowane skanery Norton Security Scan, McAfee Security Scan. 3. Usuń z Pulpitu / Menu Start / Paska zadań wszystkie skróty Firefox i Internet Explorer (jest tu adware 22apple modyfikujące Element docelowy). Następnie wyczyść Firefox za pomocą menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowe logi ze standardowego OTL z opcji Skanuj. Dołącz log z usuwania OTL z punktu 1 oraz utworzony przez AdwCleaner. . Odnośnik do komentarza
Hemorrhage Opublikowano 10 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2013 Bardzo dziękuję za szybką odpowiedź ! Wszystkie punkty po kolei wykonane, załączam logi z OTL'a (05112013_214954 - Czyszczenie OTL) i AdwCleaner'a. 05112013_214954.txt AdwCleanerS1.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2013 Zgłoś Udostępnij Opublikowano 10 Maja 2013 Wymagane poprawki: 1. Preferencje Google Chrome wyglądają na uszkodzone i są zanieczyszczone adware. Wejdź do ustawień przeglądarki. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, bo aktualnie brak wybranej. Z listy stron startowych usuń delta-search.com, ustaw "Po uruchomieniu" na "Otwórz stronę nowej karty". W Rozszerzeniach odmontuj v9 i jakiś toolbar (jest na dysku folder takiego rozszerzenia). Wyczyść Historię. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\..\SearchScopes\{185289ED-B37F-441E-B2C5-F7370F00ABA9}: "URL" = http://search.softonic.com/INF00241/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=305 IE - HKCU\..\SearchScopes\{B60E139D-548B-4CF9-94B7-A59770C2BEA4}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119535&babsrc=SP_ss&mntrId=5cb73a35000000000000000e35a86018 O4 - HKLM..\Run: [uC_SMB] File not found O4 - HKCU..\Run: [ctfmon.exe] C:\DOCUME~1\ALLUSE~1\DANEAP~1\rundll32.exe c:\docume~1\alluse~1\daneap~1\ni2ljm.dat,FG00 File not found O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background File not found O9 - Extra 'Tools' menuitem : Konsola IBM Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/products/plugin/1.4.1/jinstall-141-win.cab (Reg Error: Value error.) O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} http://java.sun.com/products/plugin/1.4.1/jinstall-141-win.cab (Reg Error: Key error.) SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\system32\PsaSrv.exe -- (PsaSrv) :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart. 3. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157" "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
Hemorrhage Opublikowano 10 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2013 Załączam log z OTL po wykonaniu punktów 1-4. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2013 Zgłoś Udostępnij Opublikowano 10 Maja 2013 Zadania wykonane, poprawki i kończymy: 1. Preferencje Google Chrome wróciły do normy, ale jeszcze strona startowa Delta wisi tam: ========== Chrome ========== CHR - homepage: http://www.delta-search.com/?affID=119649&babsrc=HP_ss&mntrId=5cb73a35000000000000000e35a86018 Skoro tego nie widzisz w opcjach, zedytuj plik preferencji. Zamknij Google Chrome (nie może być w procesach podczas tej operacji). Otwórz w Notatniku plik: C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences Wyszukaj frazę homepage i zastąp adresy. 2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Usuń stare wtyczki Adobe i Java, zainstaluj najnowsze: KLIK. Wg raportu obecie są tu wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17 "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll () . Odnośnik do komentarza
Hemorrhage Opublikowano 10 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2013 Punkty 1 - 3 wykonane, 4 się robi z pomocą Secuni. Po 100kroć dzięki za pomoc, jestem w szoku jak profesjonalne i trafne rady są tu udzielane. Bardzo dziękuję ! Odnośnik do komentarza
Rekomendowane odpowiedzi