maylad Opublikowano 8 Lipca 2012 Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Witam, tak samo mam tego weelsofa, poniewaz jestem zielony grzecznie pytam co musze zrobic zeby sie pozbyc tego gowna wkleic to co jest pisane przez Adminow i Moderatorow na innch postach? czy to musi byc wygenerowany kod specjalnie pod moj system. Jesli musze wyslać logi, to jakim programem moge je zrobic? Pozdrawiam i prosze o odp. Odnośnik do komentarza
Landuss Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Skrypty są robione pod każdy system. To co jest u innych nie będzie pasować dla twojego systemu. Wykonaj raporty z OTL + Gmer. Jeśli system masz 64 bitowy Gmera odpuszczasz. Odnośnik do komentarza
maylad Opublikowano 9 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Skrypty są robione pod każdy system. To co jest u innych nie będzie pasować dla twojego systemu. Wykonaj raporty z OTL + Gmer. Jeśli system masz 64 bitowy Gmera odpuszczasz. Tak więc mam 64bity, gamer odpada. W załączniku OTL + Extras, prosze o pomoc OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Tu jest nie tylko Weelsof, ale i ZeroAccess w najnowszej wersji. W tej sytuacji potrzeba jeszcze jednego raportu pod kątem tej infekcji. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport. Odnośnik do komentarza
maylad Opublikowano 10 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Po 21 wyśle bo obecnie w pracy jestem, dzieki. Będe sie odzywal. MIłego wieczoru Odnośnik do komentarza
maylad Opublikowano 10 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Proszę bardzo, ja niewiele rozumiem z tego SystemLook.txt Odnośnik do komentarza
Landuss Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2406681503-4022976317-2733850006-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=dpgppc&s={searchTerms}&f=4 IE - HKU\S-1-5-21-2406681503-4022976317-2733850006-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http: //mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92822961822419809 [2011/11/11 10:06:58 | 000,002,049 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [taskmsr] C:\Users\f\AppData\Roaming\taskmsr\taskmsr.exe () O4 - HKU\S-1-5-21-2406681503-4022976317-2733850006-1000..\Run: [taskmsr] C:\Users\f\AppData\Roaming\taskmsr\taskmsr.exe () :Files C:\Users\f\AppData\Roaming\taskmsr C:\Users\Michaś\AppData\Roaming\taskmsr C:\Users\f\AppData\Local\{76a6f229-4bf5-e02e-0746-905b041ead0f} :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: DealPly / Facemoods Toolbar / IncrediMail MediaBar 2 Toolbar / Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
maylad Opublikowano 11 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Ok, zrobiłem tak jak napisałes, komputer teoretycznie juz nie ma tego gowna ale dodaje jeszcze skany z otl i FSS. Jakby cos bylo nie tak to pisz. Wielkie dzieki za pomoc i pozdrawiam ) FSS.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 To jeszcze nie koniec naprawiania. 1. Wklej do OTL skrypt o tej zawartości: :OTL O3 - HKU\S-1-5-21-2406681503-4022976317-2733850006-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O20:64bit: - HKLM Winlogon: UserInit - (C:\Users\f\AppData\Roaming\taskmsr\taskmsr.exe) - File not found O20:64bit: - HKLM Winlogon: UserInit - (C:\Users\Michaś\AppData\Roaming\taskmsr\taskmsr.exe) - File not found Klik w Wykonaj skrypt. 2. Odinstaluj jeszcze wcześniej ominięty przeze mnie SweetPacks Toolbar for Internet Explorer 3. Napraw uszkodzenia w usługach: Rekonstrukcja usług Zapory systemu Windows ( w twoim wypadku wykonujesz MpsSvc + SharedAccess ): KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 4. Po wykonaniu dajesz nowy log z OTL i FSS Odnośnik do komentarza
maylad Opublikowano 12 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Dziekuje bardzo, ale chyba w tym momencie juz nie ma sensu sprawdzac, bo siostrze jakis kolega zrobil recovery wiec chyba powinno byc juz si Jeszcze raz dzieki. Odnośnik do komentarza
Rekomendowane odpowiedzi