tores1977 Opublikowano 25 Września 2010 Zgłoś Udostępnij Opublikowano 25 Września 2010 To mój pierwszy post na tym forum więc na początku wypada się przywitać co więc czynie Witajcie Mam następujący problem: Mój kolega wyłapał paskudną infekcje, próbuje mu to usunąć przez TeamViewer, ale nic nie można uruchomić, zaraz wyskakuje komunikat od Security Tool, w trybie awaryjnym nie ma szans bo nie ma sieci (USB) chyba że będę mu tłumaczył co ma czynić Czy istnieje jakaś metoda na pozbycie się tej infekcji? Gdy próbuje cokolwiek uruchomić wyskakuje znany komunikat Próbowałem uruchomić rkill.com lecz też to samo, okno programu czasami na chwile się pokazuje lecz po chwili zostaje zastąpione komunikatem od Security Tool Czy znacie jeszcze jakieś metody pozbycia się szkodnika? system Vista32bit, użytkownik nie posiada płyty z systemem Odnośnik do komentarza
Landuss Opublikowano 25 Września 2010 Zgłoś Udostępnij Opublikowano 25 Września 2010 Sprawdź czy odpalisz OTL.scr. Jeśli i to zawiedzie pozostaje wykonanie logów z płytki OTLPE Odnośnik do komentarza
tores1977 Opublikowano 25 Września 2010 Autor Zgłoś Udostępnij Opublikowano 25 Września 2010 Próbowałem uruchomić rkill.com lecz mam ten sam komunikat, Co wykonałem teraz Utworzyłem nowego użytkownika i będę z poziomu nowego usera próbował coś zdziałać Ok sprawdzę to co napisał Landuss Odnośnik do komentarza
picasso Opublikowano 26 Września 2010 Zgłoś Udostępnij Opublikowano 26 Września 2010 No dobrze, ale na czym stoisz. Brak jasnych postępów w pracach. w trybie awaryjnym nie ma szans bo nie ma sieci (USB) chyba że będę mu tłumaczył co ma czynić Ale hmmm, nie widzę tu za bardzo problemu, albo opis jest niedostatecznie jasny. Brak sieci w awaryjnym nie ma tu przecież żadnego znaczenia, a instrukcje są tak proste, że komunikacja TeamViewer nie wydaje się tu potrzebna do tego etapu .... Pobiera OTL z poziomu Trybu normalnego. Restartuje do awaryjnego na swoje konto (nie wbudowanego Administratora) i wytwarza wymagane raporty. Ponownie restartuje do normalnego i pokazuje raporty na forum. My zaś, na podstawie wytworzonych raportów, robimy fiksa w postaci pliku, który zapisuje na dysku, przechodzi do awaryjnego i uruchamia fiksa.... Tryb awaryjny to jest jedna z najprostszych metod przy tego typu infekcjach, bo jest wielki procent szans, że ów fałszywy soft nie załaduje się w tym stadium. Utworzyłem nowego użytkownika i będę z poziomu nowego usera próbował coś zdziałać Cóż, tylko raporty nie są pod to do końca przystosowane. Ładują gałęzie HKCU (Current User) i są to gałęzie wyglądające różnie z poziomu każdego konta. . Odnośnik do komentarza
tores1977 Opublikowano 26 Września 2010 Autor Zgłoś Udostępnij Opublikowano 26 Września 2010 Więc tak jak pisałem utworzyłem nowego użytkownika na prawach Administratora, przeniosłem ze starego profilu najwartościowsze rzeczy (głównie zdjęcia i mp3), następnie usunąłem stary profil oraz skasowałem wszystko co dało się skasować, pozostał folder profilu i parę plików których system odmówił usunięcia Wykonałem logi z OTL i te załączam do posta. GMER w toku gdy tylko ukończy dołączę log z niego Edit GMER nie kończy skanowania komputer sam się restartuje i zero wyniku OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 26 Września 2010 Zgłoś Udostępnij Opublikowano 26 Września 2010 (edytowane) W pokazanych tu logach nie ma już znaków czynności SecurityTool. To oczywiste, jeśli usunąłeś profil użytkownika i stworzyłeś log z poziomu innego konta niż poprzednie, a infekcja miała zapisy dla bieżącego użytkownika a nie globalne. Pozostał jedyny mały mikro odpadek: O4 - HKU\S-1-5-21-1330676278-1091689823-3525029055-1000..\RunOnce: [941018699] C:\Users\User\AppData\Local\941018699.exe File not found 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-1330676278-1091689823-3525029055-1000..\RunOnce: [941018699] C:\Users\User\AppData\Local\941018699.exe File not found DRV - File not found [Kernel | On_Demand | Stopped] -- F:\Serwis\EVEREST Ultimate Edition\kerneld.wnt -- (EverestDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\User\AppData\Local\Temp\catchme.sys -- (catchme) Rozpocznij przez Wykonaj skrypt. Jeśli akcja będzie pomyślna, zakończ pracę OTL opcją Sprzątanie. 2. W Panelu sterowania przejdź do modułu deinstalacji programów i usuń DAEMON Tools Toolbar. I nie ma tu nic więcej do roboty.... GMER nie kończy skanowania komputer sam się restartuje i zero wyniku Po pierwsze, nie wypełnione warunki dla uruchomienia programu (ogłoszenie), bo pracuje w tle emulacja od wirtuali: DRV - [2009-06-24 16:46:20 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd) Jest również napisane: nie można uruchomić GMER, to należy podać log z Root Repeal. pozostał folder profilu i parę plików których system odmówił usunięcia Podczas usuwania konta w Panelu sterowania była opcja usuwania plików. Czy ta opcja odmówiła posłuszeństwa? Zaś teraz przy próbie (jak rozumiem ręcznej) usuwania odpadków jaki błąd się pokazuje? Jako, że jest tu Vista, może chodzi o brak uprawnień. Gdyby w tym było dzieło, to uczynić nowe konto na którym jesteś Właścicielem i przyznać w trybie rekursywnym Pełną kontrolę do folderu i jego składowych. Instrukcje są tu: KLIK . Edytowane 17 Października 2011 przez picasso 26.10.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi