Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Weelsof unieszkodliwiony ręcznie "po partyzancku", czy coś zostało?

mark

Przez mark
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

mark

mark

Opublikowano
Opublikowano

Witam,

Weelsof zadomowił się na pewnym komputerze. Nie dysponując tak szeroką wiedzą jak userzy przystąpiłem do rozprawy z "dziadem" tym co znałem. Dyski zostały wyciągnięte i podłączone do innej maszyny. Następnie odpaliłem Malwarebytes Anti-Malware. Niestety program nie mógł pobrać ostatniej aktualizacji sygnatur i po przeskanowaniu nie wykrył żadnej infekcji. Później jakiś Dr. cośtam - taka zielona ilonka z pająkiem. Też nic. Poczytałem więc na blogu CERT gdzie większość tej gadziny (Weelsofa) siedzi i ręcznie usunąłem pliki .exe generowane w lokalizacji C:\Documents and Settings\All Users\Dane aplikacji\. Później uruchomiłem MSconfig i usunąłem odwołanie do nich przy starcie. Następnie uruchomiłem edytor rejestru wywołaniem regedit i przeszukałem rejest usuwając wpis w HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run oraz jeszcze jeden w lokalizacji, której niestety niepamiętam. Po tych "dokonaniach" dyski zamontowałem w komputerze z którego pochodziły. System uruchamia się prawidłowo. Zdaję sobie sprawę z mojej znikomej wiedzy na temat walki z zagrożeniami. Proszę o przeglądnięcie poniższych logów. Nie mam pewności, czy wróg nie czai się gdzieś za przysłowiowym "winklem".

Z góry bardzo serdecznie dziękuję za wszelką okazaną mi pomoc. Pozdrawiam i załączam logi z maszyny docelowej, która była zainfekowana.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Nie wszystko zostało usunięte, jest jeszcze ten folder na dysku:

 

[2012-07-03 00:54:30 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\fqddeaxwsxtzair

 

 

Później uruchomiłem MSconfig i usunąłem odwołanie do nich przy starcie.

 

Poproszę o spis co jest aktualnie wyłączone w msconfig. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w polu Własne opcje skanowania / skrypt wklej słowo msconfig i klik w Skanuj.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

mark, napisałeś dwa posty w ciągu (zasady działu i aspekt tzw. "podbijania"), łączę. Brak odpowiedzi jest dyktowany brakiem osoby, która prowadzi temat. W ramach wykończeń:

 

1. Przez SHIFT+DEL skasuj te dwa foldery:

 

C:\Documents and Settings\All Users\Dane aplikacji\fqddeaxwsxtzair

C:\Documents and Settings\KILL\DoctorWeb

 

2. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Przedstaw wynikowy raport, o ile coś zostanie wykryte.

 

 

podpowiedzi jak skuteczniej zabezpieczyć maszynę

 

Dyskusja na temat przyczyn infekcji tym trojanem: KLIK. W tym systemie jest nieaktualizowane oprogramowanie, w tym zabezpieczające. Jest tu zainstalowany kompletnie przestarzały wieloletni McAfee VirusScan Enterprise w połączeniu z niezbyt świeżym F-Secure ExploitShield. Trudno oczekiwać, by to oprogramowanie zdawało egzamin. Jest po prostu stare.

 

 

.

Odnośnik do komentarza
mark

mark

Opublikowano
  • Autor
Opublikowano

Bardzo serdecznie dziękuję za okazaną pomoc i cierpliwość. Przepraszam również za brak takowej z mojej strony. Nie chciałem sztucznie podbijać tematu. Jeszcze tylko jedna prośba: czy mogą mi Państwo polecić (na bazie swojej wiedzy i doświadczenia) oprogramowanie, którym mógłbym zastąpić to stosowane obecnie.

Jeszcze raz dziękuję, życząc sukcesów na polu zawodowym i prywatnym

Z szacunkiem

Mark

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Jeszcze tylko jedna prośba: czy mogą mi Państwo polecić (na bazie swojej wiedzy i doświadczenia) oprogramowanie, którym mógłbym zastąpić to stosowane obecnie.

 

To komputer użytku domowego czy biznesowego? Darmowe czy komercyjne? Z darmowych propozycji stricte antywirusowych przykładowe:

 

COMODO Internet Security *, Microsoft Security Essentials *, Avast, AVG, Panda Cloud Antivirus

 

(ale pytam o charakter używanego komputera, gdyż tylko nieliczne * dopuszczają użytek inny niż domowy)

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...