kiko Opublikowano 30 Stycznia 2013 Zgłoś Udostępnij Opublikowano 30 Stycznia 2013 witam, tak jak w temacie tj. zaatakowal mnie policyjny ukash. Nie wiem czy to jego sprawka, ale nie dziala mi zaden z trybow awaryjnych, gdyz jak tylko pojawia sie pulpit, nastepuje wylogowanie z systemu i uruchomienie ponowne komputera, tak wiec nie moge poki co nawet zrobic logow Odnośnik do komentarza
picasso Opublikowano 30 Stycznia 2013 Zgłoś Udostępnij Opublikowano 30 Stycznia 2013 Tu pewnie jest infekcja ładowana przez wpis Shell powłoki graficznej. Wątpię, że wypróbowałeś wszystkie Tryby awaryjne, bo mówisz o Pulpicie. Skorzystaj z Trybu awaryjnego z obsługą Wiersza polecenia, w linii komend uruchom OTL i dostarcz raporty do oceny. . Odnośnik do komentarza
kiko Opublikowano 30 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Stycznia 2013 logi: Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2013 Zgłoś Udostępnij Opublikowano 31 Stycznia 2013 Masz bardziej namieszane. Tu działają aż dwie infekcje i "policja" nie jest akurat najgorsza... W systemie jest również trojan ZeroAccess uruchamiany z Kosza, tworzący liczne szkody w systemie (usunięte usługi Zapory, Centrum zabezpieczeń, Pomocy IP, Windows Update, Windows Defender). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Files C:\Users\Lukas\AppData\Roaming\skype.dat C:\Users\Lukas\AppData\Roaming\skype.ini C:\Users\Lukas\wgsdgsdgdsgsd.dll :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. Opuść Tryb awaryjny, system zostanie odblokowany. 2. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Zresetuj system. 3. Otwórz Notatnik i wklej w nim: TAKEOWN /F C:\$Recycle.Bin /R /A /D Y icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-21-3334460322-3490530766-3254769838-1000\$c0254a0a0f6db489fac1383d93d0bcc5 /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Zresetuj system. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Uruchom SystemLook x64 i w oknie wklej: :dir C:\$Recycle.Bin /s :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Klik w Look. . Odnośnik do komentarza
kiko Opublikowano 31 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2013 mam nadzieje ze teraz bedzie ok FSS.txt OTL.Txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2013 Zgłoś Udostępnij Opublikowano 31 Stycznia 2013 Nie wszystko wykonane, ostał się w Koszu jeden z folderów ZeroAccess. Poza tym, należy naprawić też szkody zrobione przez trojana. 1. Otwórz Notatnik i wklej w nim: TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A /D Y icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. 2. Odbuduj skasowaną ikonę Centrum Akcji. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i wybierz opcję Scal. 3. Odbuduj usunięte usługi za pomocą ServicesRepair. 4. Zrób nowe logi: Farbar Service Scanner + SystemLook na te same warunki co poprzednio. . Odnośnik do komentarza
kiko Opublikowano 31 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2013 Raporty: FSS.txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2013 Zgłoś Udostępnij Opublikowano 1 Lutego 2013 Wszystko zrobione. Przechodzimy do tej części: 1. W OTL uruchom Sprzątanie, a resztę używanych narzędzi skasuj ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zrób pełne skanowanie w Malwarebytes Anti-Malware (wersja darmowa a nie próbna). Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
kiko Opublikowano 1 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2013 Chyba jest ok, wykryl tylko worda portable MBAM-log-2013-02-01 (20-12-29).txt Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2013 Zgłoś Udostępnij Opublikowano 1 Lutego 2013 Jak zauważasz, wyniki bez znaczenia: wirtualizacja Thinstall Worda "portable" (to lubi robić fałszywe alarmy w skanerach) + "cukierek". Na zakończenie: 1. Odinstaluj starsze produkty Adobe i Java, czyli tu konkretnie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9"{AC76BA86-7AD7-1033-7B44-AB0000000001}" = Adobe Reader XI"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) 2. Prewencyjnie zmień hasła logowania w serwisach. PS. Uwaga poboczna: widzę niefortunną parę wymarłych programów Gadu-Gadu 7.7 + Tlen.pl, aktualnie kiepska obsługa sieci. Zainteresuj się nowoczesnym WTW: KLIK. Finito. . Odnośnik do komentarza
kiko Opublikowano 5 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2013 Zrobione. Bardzo dziękuje, skromna dotacja poszła na kb. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi