Pozostałośc po Weelsof


(wolek14) #1

Witam.

Kumpel na laptopie złapał to coś. Tryb awaryjny działa, więc wpierw odpaliłem tam KVRT, znalazł mi pliki .exe z wirusem Trojan-Ransom.Win32.Foreign.bzr , i wykonał jakieś specjalne leczenie. Ja przeglądnałem autostart najpierw w msconfig, później autoruns, i brak śladów jakiegokolwiek dziwnego pliku. Z resztą zostawiłem aktywne tylko 3 wpisy systemowe dla pewności. Rejestr przeglądłem z grubsza, i też tego czego szukałem tam nie ma. Aktualnie dołożyłem Dr.Weba, poza Delta nic nie znalazł. Jednak przy logowaniu w normalnym trybie dalej pozostało białe tło (bez niczego), którego nie umiem się pozbyć. Dodatkowo widze, że gośc bawił się Combofixem, i powywalało mu jakieś sterowniki. Ale kosmetyką zajmę się później. Pomożecie?

OTL

Extras


(Atis) #2

Log należy utworzyć na zainfekowanym koncie użytkownika, a teraz jesteś na wbudowanym Administrator.

  1. Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

  1. Uruchom system w normalnym trybie i odinstaluj Avast lub Norton Internet Security.

Odinstaluj:

BrowserProtect

Ask Toolbar

AVG Security Toolbar

Akamai NetSession Interface Service

MediaBar

DAEMON Tools Toolbar

Delta toolbar

Searchqu Toolbar

Softonic-Polska Toolbar

Norton Security Scan

iLivid

McAfee Security Scan Plus

  1. Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Usuń.

  1. Kliknij Skanuj i pokaż nowy log z OTL.

(wolek14) #3

Zainfekowane konto nie działa w trybie awaryjnym. Po próbie logowania następuje “uruchomienie ponowne” (łagodne).

Niestety po wykonaniu skryptu bez zmian - wciąż białe tło.

Usuwanie

OTL


(Atis) #4

Uruchom OTL i kliknij Nic.

Wklej do OTL i kliknij Skanuj:

Pokaż ten log.


(wolek14) #5

Log


(Atis) #6

Wklej i kliknij Wykonaj skrypt:

Uruchom w normalnym trybie i wykonaj pozostałe zalecenia.


(wolek14) #7

Ok, wszystko ogarnięte.

Jest jakiś sposób bez logów żeby to odtworzyć?

Dzięki wielkie za pomoc!


(Atis) #8

Nie wiem, co to znaczy żeby to odtworzyć?

Plik skype.dat powinien być wykrywany przez skanery które wymieniłeś na początku.

W rejestrze zapisany jest w wartości Shell:

Plik widoczny Autoruns:

http://wstaw.org/m/2013/05/12/trojan_skype.dat.png

Poza tym miałeś pokazać nowy log z OTL.