Madeleinek Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Cześć, Problem jak widzę dość świeży. Malware wdarł się, a komputer umarł. Bardzo proszę Szanownych Panów/Panie Informatyków o pomoc. Logi OLT: http://wklej.org/id/793935/ Logi Extras: http://wklej.org/id/793937/ Z góry dziękuję za pomoc, Magda Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Tu jest znacznie gorsza infekcja do pary, czyli trojan ZeroAccess. Podaj skan dodatkowy. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Kliknij w Look. Przedstaw wynikowy raport. PS. W tym przypadku prowadzi Cię Pani. . Odnośnik do komentarza
Madeleinek Opublikowano 19 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Dziękuję serdecznie, tutaj potrzebny raport wynikowy: http://wklej.org/id/793947/ Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Jest tu zainfekowany plik systemowy services.exe. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system dla zawierdzenia akcji. 2. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v 036E192602D350769A45651A4F147C45 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v 036E192602D350769A45651AE56C3425 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Adobe Acrobat Synchronizer" /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Akamai NetSession Interface" /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v RocketDock /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v HideSCAHealth /f reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum" /f reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /f reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {32099AAC-C132-4136-9E9A-4E364A424E17} /f reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {47833539-D0C5-4125-9FA8-0819E2EAAC93} /f reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {D4027C7F-154A-4066-A1AD-4243D8127440} /f reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}" /f reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f reg add "HKU\S-1-5-21-1718965223-4144116453-933522760-1001\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f reg add "HKU\S-1-5-21-1718965223-4144116453-933522760-501\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f reg add "HKU\S-1-5-21-1718965223-4144116453-933522760-1001\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank sc delete cpu Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 3. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\Windows\Installer\{e5fe26b4-3028-a6f1-5c29-179456812e5e} C:\Users\Madzia\AppData\Local\{e5fe26b4-3028-a6f1-5c29-179456812e5e} C:\ProgramData\036E192602D350769A45651AE56C3425 C:\ProgramData\036E192602D350769A45651A4F147C45 C:\Windows\System32\%APPDATA% "C:\Users\Madzia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum" DeleteFile: "C:\Users\Madzia\Desktop\Live Security Platinum.lnk" "C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml" Execute: C:\fix.bat Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 4. Wklej do posta zawartość raportu BlitzBlank. Zrób nowe logi OTL z opcji Skanuj, Farbar Service Scanner (wszystkie opcje zaznaczone), SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s :filefind services.exe . Odnośnik do komentarza
Madeleinek Opublikowano 19 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Oto potrzebne logi: BlitzBlank: http://wklej.org/id/794013/ OLT: http://wklej.org/id/794015/ Extras: http://wklej.org/id/794017/ FSS: http://wklej.org/id/794018/ Systemlook: http://wklej.org/id/794019/ Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 (edytowane) Plik services.exe wyleczony, foldery skasowane, ale FIX.BAT się nie wykonał. Popraw jego zawartość, bo wczoraj ze zmęczenia popełniłam w nim literówki i niezbyt szybko to wyedytowałam. Następnie z prawokliku na plik "Uruchom jako Administrator". Zresetuj system i zrób nowe logi: OTL + SystemLook. Edytowane 21 Sierpnia 2012 przez picasso 21.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi