Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Ukash, zablokowany komputer

FidoVelFidel

Przez FidoVelFidel
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

FidoVelFidel

FidoVelFidel

Opublikowano
Opublikowano

Witam,

Mam problem z wirusem UKASH, komputer został zblokowany. Komputer posiada dwa zainfekowane konta użytkownika (w.sadren) oraz administratora. Nie wiem jak komputer, pewnie przez jakąś stronę www. Logi z OTL załączyłem do postu.

 

Nadmienię, że komputer jest członkiem domeny windows.

 

Proszę o pomoc w rozwiązaniu problemu.

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Komputer posiada dwa zainfekowane konta użytkownika (w.sadren) oraz administratora.

 

Logi muszą pochodzić z konta na którym jest problem. Konta mają kompletnie inne rejestry i foldery, co oznacza niewidzialność wpisów infekcji z poziomu innego konta, jeśli infekcja działa po stronie bieżącego użytkownika. I tak też tu jest. Proszę o przelogowanie się na zainfekowane konto i zrobienie nowych raportów OTL. Jeśli w Trybie awaryjnym na tym koncie ujawni się blokada, wybierz Tryb awaryjny z obsługą Wiersza polecenia.

 

 

 

.

Odnośnik do komentarza
FidoVelFidel

FidoVelFidel

Opublikowano
  • Autor
Opublikowano

Witam,

Dziękuję za odpowiedź, na komputerze jest jedno konto zainfekowane (w.sadren) jest to konto domenowe, wirus uaktywnia się też w trybie awaryjnym, natomiast tryb awaryjny z obsługą wiersza polecenia pozwala na logowanie się na lokalne konta użytkowników. Brak logowania w trybie awaryjnym z obsługą wiersza poleceń na koncie w.sadren uniemożliwia mi wykonanie logów z OTL na tym koncie. Istnieje jakaś inna opcja wygenerowania tych logów na zainfekowanym koncie?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nie, w takiej sytuacji wiarygodnych logów spod systemu nie zrobisz. W obliczu braku dostępu do konta właściwego żmudniejsza metoda ręczna. Z poziomu Administratora skopiuj ten plik rejestru drugiego konta:

 

C:\Documents and Settings\w.sadren\NTUSER.DAT

 

Spakuj go do ZIP, shostuj gdzieś i na PW wyślij link do niego. Podmontuję to w swoim rejestrze i zorientuję się w jaki sposób ta infekcja się ładuje na koncie.

 

EDIT: Rejestr otrzymałam. Infekcja ładuje się poprzez klucz Shell bieżącego użytkownika. Przejdź do usuwania ręcznego:

 

1. Z poziomu konta Administrator Start > Uruchom > regedit i w edytorze:

  • Podświetl gałąź HKEY_USERS, z menu Plik > Załaduj gałąź rejestru > wskaż plik C:\Documents and Settings\w.sadren\NTUSER.DAT > na pytanie o nazwę wpisz NAPRAWA.
  • Przejdź do klucza:
    HKEY_USERS\NAPRAWA\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    Ze środka skasuj wartość o nazwie Shell.
  • Podświetl klucz HKEY_USERS\NAPRAWA, z menu Plik > Zwolnij gałąź rejestru.

2. Przez SHIFT+DEL skasuj te pliki z dysku:

 

C:\Documents and Settings\w.sadren\Dane aplikacji\msconfig.dat

C:\Documents and Settings\w.sadren\Dane aplikacji\msconfig.ini

 

3. Zresetuj system, blokada na koncie w.sadren zniknie.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Te logi nie były mi już właściwie potrzebne (dlatego o nie nie pytałam), gdyż cały rejestr bieżącego użytkownika sprawdziłam, a rejestr globalny jest w pierwszych logach z konta Administrator. Zakończ temat:

 

1. Uwaga: posługujesz się wadliwą wersją OTL 3.2.70.2, która skutkuje: KLIK. Skasuj tę wersję z dysku, pobierz ponownie OTL (pod linkami już starsza poprawna wersja): KLIK. Skrypt kosmetyczny na inne odpadki + czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lmimirr.sys -- (lmimirr)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1.KO~\USTAWI~1\Temp\catchme.sys -- (catchme)
O4 - HKU\S-1-5-21-2285557862-609683106-1543088294-1115..\Run: []  File not found
[2012-09-10 12:03:51 | 000,000,000 | -HSD | C] -- C:\found.000
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Po restarcie zastosuj Sprzątanie w OTL.

 

2. Zaktualizuj wyliczone poniżej aplikacje: KLIK. W systemie widoczne wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 24
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Google Chrome" = Google Chrome 18.0.1025.142
 
CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files\Microsoft Silverlight\4.1.10111.0\npctrl.dll

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...