mattttttt Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Witam jestem tu nowy i prosiłbym o pomoc. Mój komputer zaatakował police central e-crime unit. Nie wiem co mam zrobić. Próbowałem już trojan killer i trojan remover. Z góry dziękuję za pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 W logach aktywna infekcja ZeroAccess. Potrzebny raport dodatkowy - Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport. Odnośnik do komentarza
mattttttt Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Dzięki za odpowiedź, Załączam raport. SystemLook.txt Odnośnik do komentarza
Landuss Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Ponownie wejdź w Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\SysWow64\4f5847bc.exe C:\Windows\SysWow64\59693d9a.dll C:\Windows\Installer\{86c2ecfe-359d-9e39-3b54-a7f2a8553b17} C:\Users\Mati\AppData\Local\{86c2ecfe-359d-9e39-3b54-a7f2a8553b17} netsh winsock reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
mattttttt Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 zrobiłem wszystko jak było napisane i wysyłam raporty. FSS.txt OTL.Txt SystemLook.txt Odnośnik do komentarza
Landuss Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Powtórz zadania z cmd bo nic się nie wykonało według loga z SystemLook. Jak wykonasz, zrób nowy log i załącz do posta. Odnośnik do komentarza
mattttttt Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 jak próbuje wkleić w cmd i naciskam enter pojawia się '_' is not recognized as an internal of external command, operable program or batch file. Dodaje zdjęcie Odnośnik do komentarza
Landuss Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Może to kwestia zmiennych środowiskowych. Panel sterowania > System > Zaawansowane > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy widnieje zmienna Path równa: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem Jeśli jest, ale ciąg jest nieco inny to zedytuj tak jak powyżej a jak w ogóle jej nie ma to ją utwórz opcją Nowa Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Eeee, jakie Zmienne Landuss! On to wkleja przez CTRL+V, a to nie będzie działać, klawiaturowa operacja wkleja znaczek ^V a nie treść właściwą z posta. Zatwierdzenie tej "komendy" to brak logiki, oczywiście, że nie rozpozna tego, bo to nie jest komenda. On ma to skopiować do schowka i z prawokliku na tło okna cmd wybrać z menu opcję Wklej i dopiero ENTER. . Odnośnik do komentarza
mattttttt Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 zrobiłem wytnij wklej i cos sie pojawilo nowego, wyslam zdjecie, wysylam tez zdjecie z komenda jaka jest u mnie wpisana w patchu. czy mimo to mam zmienic patch tak jak miałem zrobić ? Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 No tak, ale teraz trzeba zresetować system, by komenda się wykonała (podmiana tego szczególnego pliku możliwa tylko przy restarcie). wysylam tez zdjecie z komenda jaka jest u mnie wpisana w patchu. czy mimo to mam zmienic patch tak jak miałem zrobić ? Ale po co? Przecież mówię: to był zły trop. Landuss nie zauważył, że głupoty robisz w cmd, złe wklejanie. Tu nic nie wskazuje na błąd Zmiennych. Nawiasem mówiąc okno ze złej części i nie tego Path (chodzi o Path systemowe w dolnym oknie a nie Path użytkownika w górnym), poza tym nic nie widać. Nie, nie pokazuj już zrzutów, to nie jest potrzebne. . Odnośnik do komentarza
mattttttt Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Wysłałem, żeby było jak najwięcej danych. Bo mogłem źle opisywać bo się nie znam. Zrobiłem wszystko i wysyłam raporty. Dzięki za zainteresowanie. FSS.txt OTL.Txt SystemLook.txt Odnośnik do komentarza
Landuss Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Infekcja zdjęta. Teraz trzeba naprawić szkody po niej wyrządzone. Później jeszcze będziesz usuwał śmieci sponsoringowe. 1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv) - pobierz fixa i zaimportuj: KLIK 2. Po wykonaniu wszystkiego pokazujesz nowy log z FSS. Odnośnik do komentarza
mattttttt Opublikowano 14 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2012 wysyłam log z fss FSS.txt Odnośnik do komentarza
Landuss Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Wszystko wykonane w sposób prawidłowy. Teraz można wsiąść się za usuwania adware i śmieci. 1. Przez Panel sterowania odinstaluj: KMPlayer Toolbar / RelevantKnowledge / Babylon toolbar on IE / Browsers Protector / DAEMON Tools Toolbar / ICQ Toolbar / LiveVDO plugin 1.3 / StartSearch Toolbar 1.3 / toolplugin / vShare.tv plugin 1.3 / KMPlayer Toolbar Updater Otwórz menedżer dodatków Firefox i odinstaluj: KMPlayer Toolbar / toolplugin 2. Uruchom AdwCleaner z opcji Delete 3. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 4. Wykonujesz nowy log z OTL z opcji Skanuj i pokazujesz. Odnośnik do komentarza
mattttttt Opublikowano 14 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2012 wysyłam logi OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 ICQ Toolbar nadal widzę nie odinstalowany. Poza tym dobrze. Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1332939391_550562 IE - HKCU\..\URLSearchHook: - No CLSID value found IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=fd5e43c4-39f9-11e1-b5e2-ed39a3ffd50a&q={searchTerms}" IE - HKCU\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = "http://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd" IE - HKCU\..\SearchScopes\{C7FAC729-E230-4A33-962E-7C4C00C6D127}: "URL" = "http://search.babylon.com/?q={searchTerms}" [2012-07-12 12:06:11 | 000,000,950 | ---- | M] () -- C:\Users\Mati\AppData\Roaming\Mozilla\Firefox\Profiles\zo8nsq8b.default\searchplugins\icqplugin-1.xml [2010-05-12 18:40:06 | 000,001,042 | ---- | M] () -- C:\Users\Mati\AppData\Roaming\Mozilla\Firefox\Profiles\zo8nsq8b.default\searchplugins\icqplugin.xml [2011-11-27 07:43:41 | 000,000,158 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src O2 - BHO: (extrafind) - {f26957e3-83f6-0d27-c1d7-25c001b3c01d} - C:\Windows\SysWow64\59693d9a.dll File not found Klikasz w Wykonaj skrypt. Logów nie pokazujesz żadnych. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 1 oraz wymienione programy do najnowszych wersji: 64bit- Professional (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
mattttttt Opublikowano 14 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Bardzo dziękuję za pomoc. Wszystko działa. Odnośnik do komentarza
Rekomendowane odpowiedzi