Hej,
mam problem z ostatnio popularnym policyjnym wirusem, wystepuje on na jednym kontem w windowsie, aktualnie pisze z poziomu drugiego konta, ktore nie wyglada na zarazone
zalaczam logi
Powinieneś wejść w tryb awaryjny, zalogować się na konto na którym jest infekcja i wykonać logi. Mniejsza z tym. Zrób tak następnym razem. Póki co usuniemy część infekcji, którą widać.
Uruchom OTL
Jeżeli używasz Windows Vista/7 może zostać wyświetlony alert Kontroli Konta Użytkownika. Kliknij Tak.
W okno Własne opcje skanowania/skrypt wklej (zaczynając od dwukropka)
:Files
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\dsgsdgdsgdsgw.js
:Commands
[emptytemp]
Kliknij Wykonaj skrypt Zgódź się na ponowne uruchomienie (restart). Naciśnij OK. Jeżeli używasz Windows Vista/7, po restarcie, może zostać wyświetlony alert zabezpieczeń. Naciśnij Uruchom. Po wszystkim przedstaw Nowy log OTL z opcji Skanuj Raport z usuwania OTL Uruchom System Look http://jpshortstuff.247fixes.com/SystemLook.exeW puste białe pole wklej:
:filefind
C:\Users\Karolinka\*.dll
C:\Users\Łukasz\*.dll
C:\Users\Karolinka\*.exe
C:\Users\Łukasz\*.exe
:dir
C:\Users\Karolinka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup /s
C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup /s
i kliknij Look.
Czasami OTL nie pokazuje normalnie w logu plików dll i lnk Ukasha, ale FRST już np. tak. Zobaczymy co wyjdzie z OTL, jak coś, użyjemy innego narzędzia.
A wiec tak:
-
przy probie odpalenia trybu awaryjnego oraz zainfekowanego profilu (Karolinka) komputer sie restartuje
-
odpalilem podany skrypt na profilu Łukasz, pochodzil ok 5min i program zawiesil sie przy [emptytemp] - zrestartowalem komputer, tak samo za drugim razem
-
nowe logi:
- system look
choc np widze ze w katalogu C:\Users\Karolinka jest plik wgsdgsdgdsgsd.dll
Uruchom OTL
Jeżeli używasz Windows Vista/7 może zostać wyświetlony alert Kontroli Konta Użytkownika. Kliknij Tak.
W okno Własne opcje skanowania/skrypt wklej (zaczynając od dwukropka)
:Files
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Karolinka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
Kliknij Wykonaj skrypt
Zgódź się na ponowne uruchomienie (restart). Naciśnij OK.
Jeżeli używasz Windows Vista/7, po restarcie, może zostać wyświetlony alert zabezpieczeń. Naciśnij Uruchom.
Po wszystkim przedstaw
Nowy log OTL z opcji Skanuj
Raport z usuwania OTL
Daj znać czy problem dalej występuje.
Raport z usuwania:
nadal jednak w folderze: C:\Users\Karolinka widze plik wgsdgsdgdsgsd.dll
Po ponownym uruchomeniu komputera wszystko wyglada, ze jest OK
log ze skanowania:
Uruchom OTL
Jeżeli używasz Windows Vista/7 może zostać wyświetlony alert Kontroli Konta Użytkownika. Kliknij Tak.
W okno Własne opcje skanowania/skrypt wklej (zaczynając od dwukropka)
:Files
C:\Users\Karolinka\wgsdgsdgdsgsd.dll
Kliknij Wykonaj skrypt
Zgódź się na ponowne uruchomienie (restart). Naciśnij OK.
Jeżeli używasz Windows Vista/7, po restarcie, może zostać wyświetlony alert zabezpieczeń. Naciśnij Uruchom.
Po wszystkim przedstaw
Nowy log OTL z opcji Skanuj
Raport z usuwania OTL
Daj znać czy problem dalej występuje.
Pobierz Malwarebytes Anti-Malware Free http://www.malwarebytes.org/products/malwarebytes_free/
Podczas instalacji odrzuć ofertę instalacji płatnej wersji, aby zainstalować tylko darmowy skaner. Zaktualizuj. Przeskanuj.
Użyj SecurityCheck i zaktualizuj programy oznaczone jako “Out of date!”. To jedna z metod zapobiegania podobnym infekcjom w przyszłości. Szkodliwe oprogramowanie może dostać się do komputera przez luki w starych wersjach programów podczas gdy nowsze wersje programów posiadają załatane luki, które są obecne w starszych wersjach tychże. W razie problemów z samodzielnym przejrzeniem raportu z SecurityCheck, przedstaw go proszę na forum, to pomyślimy razem.
- [*:17xjsmqz]Pobierz
Security Check
Plik usuniety, raport z OTL:
MBAM - szybkie skanowanie - http://wklej.org/id/907957/
checkup - http://wklej.org/id/907960/
czy mam cos jeszcze robic?
dzieki bardzo.
Jest OK. Finalizujemy.
Uruchom OTL i kliknij Sprzątanie, aby usunąć OTL wraz z kwarantanną.
Zainstaluj Internet Explorer 9 http://download.microsoft.com/download/9/6/C/96C57665-6423-4851-9EC2-735F7B643D5B/IE9-Windows7-x86-plk.exe
Zastanów się nad aktualizacją Windows. Start - wszystkie programy - Windows Update
Odinstaluj Java 6 Update 37.
Zainstaluj Java 6 Update 38 (32-bit)
http://storage.dobreprogramy.pl/dodatki/jre-6u38-windows-i586(dobreprogramy.pl).exe
Odinstaluj Adobe Reader 10.1.3
Zainstaluj Adobe Reader XI 11.0.0
http://ftp.adobe.com/pub/adobe/reader/win/11.x/11.0.00/pl_PL/AdbeRdr11000_pl_PL.exe
Chyba masz przestarzałą wersję ESET NOD32 Antivirus.
Jeżeli chcesz to zostaw MBAM, to dobry skaner na żądanie.
Darmowe alternatywy dla ESET:
-
lekki Microsoft Security Essentials na systemy, które pomyślnie przeszły test legalności http://mse.dlservice.microsoft.com/down … nstall.exe
To wszystko.
Dziękuję, pozdrawiam, wszystkiego dobrego.
Ok, dzieki za zainteresowanie - OTL sprzatanie wykonane - programy zupdejtuje jutro, dzieki wielkie oraz rowniez pozdrawiam
EDIT. jeszcze pytanko o plik D:\autorun.inf - czy moze byc to potencjalny jakis syf z przeszlosci? pamietam, ze instalowalem flash disinfector ale nie jestem przekonany do konca czy jest to z tym zwiazane
Edytuj tego autoruna w Notatniku i pokaż zawartość.
[autorun]
open=setup.exe
icon=btw.ico
label=BTW
Masz setup.exe w tej samej lokalizacji, w której masz tego autoruna? Sprawdź od czego jest ten setup.exe i będziesz wiedział od czego jest autorun.