Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

UKASH Problem!

FILIP2K

Przez FILIP2K
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Logi zrobiłeś z poziomu wbudowanego w system konta Administrator a nie konta użytkownika (wg logów Filip):

 

Computer Name: NA-F3D9AD551A29 | User Name: Administrator | Logged in as Administrator.

 

Widać na dysku świeży zrzut tego folderu (konto uprzednio nie było aktywne). Konta mają różne foldery i rejestry, co powoduje niewidzialność określonych wpisów między kontami. Wprawdzie widzę aktualnie wpisy infekcji, ale nie jest pewne jak to wygląda na koncie zasadniczym. Przypuszczalnie = wszystkie konta są zainfekowane i należy je po kolei czyścić. Na teraz mogę usunąć tylko to co widzę:

 

 

1. Z poziomu konta Administrator uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [update] C:\Documents and Settings\Administrator.NA-F3D9AD551A29\Dane aplikacji\System\winlogon.exe ()
O4 - HKCU..\Run: [update] C:\Documents and Settings\Administrator.NA-F3D9AD551A29\Dane aplikacji\System\winlogon.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Update = C:\Documents and Settings\Administrator.NA-F3D9AD551A29\Dane aplikacji\system\winlogon.exe ()
O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\Administrator.NA-F3D9AD551A29\Dane aplikacji\system\winlogon.exe) - C:\Documents and Settings\Administrator.NA-F3D9AD551A29\Dane aplikacji\System\winlogon.exe ()
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Filip Wolnik\Dane aplikacji\system\winlogon.exe"=-
"C:\Documents and Settings\Administrator.NA-F3D9AD551A29\Dane aplikacji\system\winlogon.exe"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Z poziomu konta Filip zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Dwa konta: FILIP2K + Reggaenerator. Co to ma znaczyć? Dwóch różnych użytkowników forum?

 

 

Na koncie Filip jest jeszcze co czyścić:

 

1. Z poziomu konta Filip uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [synTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe File not found
O4 - HKCU..\Run: [update] C:\Documents and Settings\Filip Wolnik\Dane aplikacji\system\winlogon.exe File not found
O4 - HKCU..\Run: [Veuhzoowg] C:\Documents and Settings\Filip Wolnik\Dane aplikacji\Divi\ankoe.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Update = C:\Documents and Settings\Filip Wolnik\Dane aplikacji\system\winlogon.exe
[2012-09-20 15:34:49 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\Filip Wolnik\Dane aplikacji\System
[2012-09-19 22:52:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Filip Wolnik\Dane aplikacji\Ezipe
[2012-09-19 22:52:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Filip Wolnik\Dane aplikacji\Divi
[2012-09-19 22:52:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Filip Wolnik\Dane aplikacji\Afbya
[2012-09-20 15:35:01 | 000,291,912 | -HS- | M] () -- C:\Documents and Settings\Filip Wolnik\Dane aplikacji\rt1.png
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

Niestety byłem zmuszony zrobić najpierw log z konta Administratora ponieważ na "normalnym" koncie, nawet w trybie awaryjnym cały pulpit był zakryty.

 

Na przyszłość: start do Trybu awaryjnego z obsługą Wiersza polecenia (nie ładuje się shell graficzny).

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Usuwanie pomyślnie przeprowadzone.

 

1. Mini poprawka, bo jeden (już pusty) wpis się ostał. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [Veuhzoowg] "C:\Documents and Settings\Filip Wolnik\Dane aplikacji\Divi\ankoe.exe" File not found

 

Klik w Wykonaj skrypt.

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Na koniec zaktualizuj Java i Adobe Flash: KLIK. Wersje aktualnie widziane w Twoim systemie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox)

 

 

.

Odnośnik do komentarza
  • 1 miesiąc temu...
picasso

picasso

Opublikowano
Opublikowano

Temat doklejam do poprzedniego, jesteś tu zbyt szybko z tym samym typem infekcji.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Filip Wolnik\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2526
C:\Documents and Settings\Filip Wolnik\Dane aplikacji\hellomoto
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinSATAPI"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Facebook to jest dobry nośnik malware, tam odchodzi rotacja różnych nieciekawych rzeczy. Czy na pewno nie kliknąłeś określonego linka na Facebooku? A może wyświetliła się jakaś reklama / baner? W każdym razie infekcja usunięta i kończymy:

 

1. W OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Nie wykonałeś wtedy wszystkich ważnych zaleceń aktualizacji: KLIK. Nadal widać starszą Java (należy ją odinstalować). W sumie to idzie do aktualizacji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> doinstaluj pakiet SP3

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...