tma72 Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Witam. Problem często jak widzę występujący... Niestety wiedziony podpowiedziami szybkiej naprawy użyłem ComboFix-a ( 2 razy .. ) a blokada nadal występuje. Dopiero po błędnej decyzji i braku efektów trafiłem tutaj, doczytałem i wiem że zrobiłem żle Ale może jest nadzieja ? Pobrałem OTLa, od tego powinienem zacząć.... Poniżej logi z ComboFix-a i OTL Uprzejmie proszę o pomoc... pozdrawiam ComboFix1.txt ComboFix2.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Logi z OTL są zrobione z poziomu złego konta, czyli wbudowanego w system Administratora a nie konta użytkownika TMA72: Computer Name: PN003 | User Name: Administrator | Logged in as Administrator. To oznacza mniejszą widoczność elementów infekcji. Logi muszą być stworzone z poziomu konta na którym wystąpił problem. Zastartuj do Trybu awaryjnego > zaloguj się na konto właściwego użytkownika > zrób nowe raporty z OTL. . Odnośnik do komentarza
tma72 Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Chciałbym...ale w trybie awaryjnym na koncie TMA72 wyskakuje blokada tylko na koncie Administratora nie... i cóż począć ??? Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Ale jaki tryb próbujesz? Sprawdź po kolei: Tryb awaryjny (bez sieci) oraz Tryb awaryjny z Wierszem polecenia. Odnośnik do komentarza
tma72 Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Bez sieci, z siecią - blokada, z wierszem polecenia właśnie próbuje i.... nie wyskoczyła, ale co z tym wierszem zrobić ?? Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 W wierszu polecenia masz uruchomić OTL. Ale pierwsza sprawa to jego lokalizacja, uruchamiałeś program ze ścieżki konta Administrator: C:\Documents and Settings\Administrator\Pulpit\OTL.exe Ta ścieżka pewnie nie będzie dostępna z poziomu konta TMA72. Zaloguj się tymczasowo na Administratora i przenieś OTL.exe z Pulpitu wprost na dysk C. Następnie zaloguj się na konto TMA72, w wierszu polecenia wpisz komendę C:\OTL.exe i ENTER. Uruchomi się program, zrób logi i dostarcz tu. . Odnośnik do komentarza
tma72 Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Udało się, oto logi : Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\TMA72\wgsdgsdgdsgsd.exe C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js C:\Documents and Settings\TMA72\Menu Start\Programy\Autostart\runctf.lnk C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\WINDOWS\0 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :OTL IE - HKU\S-1-5-21-2031393981-2624961115-777813318-1005\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=GRfox000&fl=0&ptb=wwpYKXdMR2T28aa7P652YA&url=http://search.mywebsearch.com/mywebsearch/dft_redir.jhtml&st=sb&searchfor={searchTerms}" IE - HKU\S-1-5-21-2031393981-2624961115-777813318-1005\..\SearchScopes\{7C48AA1F-C994-426C-9899-3DBDB318AD3C}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=8842B61F-3D92-4265-8957-8D17AA847D1C&apn_sauid=CBA0265D-3962-4B05-AA31-69A664D0DCBC" O4 - HKU\S-1-5-21-2031393981-2624961115-777813318-1005..\Run: [] File not found O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab" (Reg Error: Value error.) O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab" (Reg Error: Key error.) DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\zumbus.sys -- (zumbus) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\TMA72\USTAWI~1\Temp\__Samsung_Update\ADDMEM.SYS -- (ADDMEM) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. Opuść Tryb awaryjny, system powinien zostać odblokowany. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
tma72 Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Zrobiłem to zalogowany jako administrator ( tylko nie mów że źle z poziomu TMA72 tylko z wierszem poleceń działa ) ( zresztą nie mam pojęcia jak to zrobić z wierszem poleceń ).... i niestety dalej blokada...., restart był, normalne uruchomienie i po 30 sec od pojawienia się pulpitu - blokada log po zabiegu z poziomu TMA72 OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Stycznia 2013 Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 Źle. Skrypt ma być uruchomiony z poziomu konta TMA72 a nie Administrator. Konta nie widzą między sobą zawartości. Powtarzaj zadanie. Dokładnie o to chodzi: skrypt do OTL ma być uruchomiony w Trybie awaryjnym z Wierszem polecenia na właściwym koncie. . Odnośnik do komentarza
tma72 Opublikowano 11 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 Hmm..a mogę poprosić Cię o podpowiedź dla dyletanta, jak to zrobić ?? już wiem...ehh wystarczy pomyśleć... edit: dałem radę...właśnie się wykonuje, zaraz wrzucę loga edit: Odblokowany !!! ... a co z nieszczęsnym combofixem na koncie Adm ? Poniżej log po udanym "zabiegu" z normalnego uruchomienia na TMA72 Pytanie na przyszłość, czy Sandboxie zaradzi łapaniu tego ścierwa ?? Avast to przepuszcza.... OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Stycznia 2013 Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 Wklej zawartość skryptu do Notatnika i zapisz sobie wprost na dysku C plik z tym. Następnie: start w Trybie awaryjnym z Wierszem polecenia na zainfekowane konto. Uruchamiasz w linii komend polecenie notepad, co uruchomi Notatnik. W Notatniku otwórz plik ze skryptem. Następnie w linii komend uruchom OTL tak jak poprzednio i przeklej z Notatnika do okna OTL skrypt, klik w Wykonaj skrypt. A dalej to jak mówiłam wcześniej. EDIT: Zedytowałeś post. Ja teraz wychodzę i mnie nie będzie przez kilka godzin. Potem zanalizuję dane. . Odnośnik do komentarza
tma72 Opublikowano 11 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 Udało się co dalej ? Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2013 Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Wykonaj teraz: 1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Files C:\Documents and Settings\TMA72\Dane aplikacji\msconfig.dat C:\Documents and Settings\TMA72\Dane aplikacji\msconfig.ini C:\Documents and Settings\TMA72\ms.exe C:\Documents and Settings\TMA72\Sa__aßHr.URL C:\Documents and Settings\All Users\Dane aplikacji\SpeedBit C:\Documents and Settings\TMA72\Dane aplikacji\SystemGadgets C:\Documents and Settings\TMA72\Dane aplikacji\uniblue C:\WINDOWS\0 Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Przenieś go z konta Administrator na dysk C. Start > Uruchom > wklej komendę: C:\ComboFix.exe /uninstall Następnie: w OTL uruchom Sprzątanie i przez SHIFT+DEL skasuj katalog C:\WINDOWS\erdnt. 3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
tma72 Opublikowano 12 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Zrobione, poniżej log z MBAM.... 12 obiektów Cóż dalej ? MBAM-log-2013-01-12 (17-54-31).txt Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2013 Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 1. To już odpadki po adware i infekcjach. Usuń wszystko z wyjątkiem KMService.exe (RiskWare.Tool.CK), to ... ekhm ... "cukier" do Office. Po usuwaniu ponów czyszczenie folderów Przywracania systemu. 2. Wyrzuć stary Adobe Reader i wszystkie Java, zaktualizuj produkty Mozilla i Skype: KLIK. Wg raportu obecnie posiadasz wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 37"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9"{3248F0A8-6813-11D6-A77B-00B0D0150000}" = J2SE Runtime Environment 5.0"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10"Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl)"Mozilla Thunderbird (3.1.7)" = Mozilla Thunderbird (3.1.7) Odnośnik do komentarza
tma72 Opublikowano 12 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Już się biore za aktualizacje programów, dzięki ogromne za pomoc jestem pod wrażeniem a jak z tym sandboxie ? warto ? zatrzyma takie dziwolągi ja ten ukash ? Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2013 Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Sandboxie = warto. Nie tyle zatrzyma, co nie dopuści do rzeczywistej instalacji infekcji, gdyż operacje odbywać się będą w środowisku wirtualnym. Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi