Woytas29 Opublikowano 3 Czerwca 2013 Zgłoś Udostępnij Opublikowano 3 Czerwca 2013 Witam serdecznie, Komputer został zainfekowany ponownie weelsof'em. Blokada kompa nawet w trybie awaryjnym. Jedyny tryb to z wierszem poleceń Wykonałem skany OTL'em. Próbowałem zrobić skan Gmer'em, ale miałem problemy z nim. Raz wieszał całkowicie kompa, raz po wielu godzinach skanowania zakończył proces, ale nie dało się wyciągnąć log'a poprzez procedurę kopiuj i CTRL+V. Bardzo proszę o pomoc. edit: Wpisany błędnie tryb (zamiast wiersza poleceń była obsługa sieci) Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2013 Zgłoś Udostępnij Opublikowano 3 Czerwca 2013 Prócz infekcji notuję tu też dziwną sprawę, czyli atrybut H (ukryty) na plikach różnych sterowników i linii komend cmd.exe. Nie wygląda to normalnie i będę ściągać atrybuty. Również usunę szczątki aplikacji (np. Firefox nie jest zainstalowany, a widać jego obiekty). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Feliks\Dane aplikacji\AltShell.dat C:\Documents and Settings\Feliks\Dane aplikacji\AltShell.ini C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\AVG2012 C:\Documents and Settings\All Users\Dane aplikacji\BitDefender C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\MFAData C:\Documents and Settings\Feliks\Dane aplikacji\chrtmp C:\Documents and Settings\Feliks\Dane aplikacji\aaa C:\Documents and Settings\Feliks\Dane aplikacji\dclogs C:\Documents and Settings\Feliks\Dane aplikacji\Security C:\Documents and Settings\Feliks\Dane aplikacji\Mozilla C:\Program Files\mozilla firefox netsh firewall reset /C attrib -h C:\WINDOWS\system32\*.* /C attrib -h C:\WINDOWS\system32\drivers\*.* /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :OTL O3 - HKU\S-1-5-21-2025429265-2111687655-1957994488-1003\..\Toolbar\WebBrowser: (no name) - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - No CLSID value found. O3 - HKU\S-1-5-21-2025429265-2111687655-1957994488-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-2025429265-2111687655-1957994488-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-2025429265-2111687655-1957994488-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Blokada zniknie, opuść Tryb awaryjny. W katalogu F:\_OTL powstanie log z wynikami usuwania. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. Jest problem z uruchomieniem GMER, to zamiennie sprawdź co widzi Kaspersky TDSSKiller. Jeśli coś wykryje, nic nie usuwaj, ustaw Skip i zaprezentuj raport narzędzia. Jeśli nic nie wykryje, raport zbędny. . Odnośnik do komentarza
Woytas29 Opublikowano 3 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2013 Wszystko zrobione. Poniżej przesyłam logi. Kaspersky TDS nie wykrył nic. OTL.Txt 06032013_223421.txt Odnośnik do komentarza
picasso Opublikowano 4 Czerwca 2013 Zgłoś Udostępnij Opublikowano 4 Czerwca 2013 (edytowane) Wszystko zostało wykonane. Kolejne akcje: 1. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zrób pełne skanowanie za pomocą Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. . Edytowane 2 Lipca 2013 przez picasso 2.07.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi