Ahm3d48 Opublikowano 28 Lutego 2013 Zgłoś Udostępnij Opublikowano 28 Lutego 2013 Witam. Jak w tytule, mój komputer kilka dni temu został zablokowany przez "policję". Próbowałem uporać się z nim za pomocą antywirusa oraz programu malwarbytes, jednak wszystko na nic. Zablokowane mam tylko jedno konto, z pozostałych można korzystać bez problemów. nie wiem czy to ważne, ale konta są "podpięte" do serwera. Próbowałem zrobić logi z chorego konta w trybie awaryjnym, jednak po kilku sekundach zostałem wylogowany, a teraz wogóle nie mogę włączyć menu trybów awaryjnych. Załączam zatem logi wykonane z innego konta. Pozdrawiam i proszę o pomoc. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 28 Lutego 2013 Zgłoś Udostępnij Opublikowano 28 Lutego 2013 Próbowałem zrobić logi z chorego konta w trybie awaryjnym, jednak po kilku sekundach zostałem wylogowany, a teraz wogóle nie mogę włączyć menu trybów awaryjnych. Załączam zatem logi wykonane z innego konta. Dane bezużyteczne. Logi muszą być zrobione z poziomu zalogowanego konta chorego, z poziomu innych kont nie będzie widać infekcji uruchamianej na innym koncie. W dostarczonym logu nic oczywiście nie widać. Przeprowadź co następuje: - Przenieś OTL ze ścieżki indywidualnej danego konta do ścieżki dzielonej między wszystkie konta. Czyli C:\Users\zosia\Desktop\OTL.exe > C:\OTL.exe. - Wyłącz komputer (zasilanie off) i odczekaj kilka minut. To ma w zamiarze "zresetować" pojawianie się menu F8. - Start w Trybie awaryjnym z obsługą Wiersza polecenia, logowanie na właściwe zainfekowane konto, w linii komend uruchom OTL wklepując C:\OTL.exe i ENTER. . Odnośnik do komentarza
Ahm3d48 Opublikowano 1 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 1 Marca 2013 Wszystke punkty zaliczyłem wklejam nowe logi. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 1 Marca 2013 Zgłoś Udostępnij Opublikowano 1 Marca 2013 1. Z poziomu dowolnego sprawnego konta zapisz w Notatniku plik skryptu o treści: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Files C:\Users\lukasz\AppData\Roaming\skype.dat C:\Users\lukasz\AppData\Roaming\skype.ini :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. 2. Przejdź w Tryb awaryjny z Wierszem polecenia na zainfekowane konto. Wklep komendę notepad i w Notatniku otwórz plik skryptu. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej treść z Notatnika, klik w Wykonaj skrypt. 3. Przejdź w Tryb normalny, gdyż system zostanie odblokowany. Odinstaluj wątpliwy skaner SpyHunter. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
Ahm3d48 Opublikowano 2 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Marca 2013 Wszystkie punkty wykonałem, jednak konto nie zostało odblokowane. Załączam skan z OTL. Znalazłem również raport z wykonania skryptu, jednak nie mogę go dodać więc wklejam ręcznie. All processes killed ========== REGISTRY ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell not found. ========== FILES ========== File\Folder C:\Users\lukasz\AppData\Roaming\skype.dat not found. C:\Users\lukasz\AppData\Roaming\skype.ini moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: janusz ->Temp folder emptied: 504289224 bytes ->Temporary Internet Files folder emptied: 51475156 bytes ->Java cache emptied: 606515 bytes ->Flash cache emptied: 14870 bytes User: lukasz ->Temp folder emptied: 350468279 bytes ->Temporary Internet Files folder emptied: 75150486 bytes ->Java cache emptied: 353282 bytes ->Flash cache emptied: 35975 bytes User: marcin ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public User: User ->Temp folder emptied: 950057574 bytes ->Temporary Internet Files folder emptied: 53891890 bytes ->Java cache emptied: 0 bytes ->Flash cache emptied: 40500 bytes User: zosia ->Temp folder emptied: 137567990 bytes ->Temporary Internet Files folder emptied: 1325096 bytes ->Java cache emptied: 0 bytes ->Flash cache emptied: 2336 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 190411 bytes %systemroot%\System32 .tmp files removed: 1618992 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 196985729 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50534 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 2 216,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 03012013_185135 Files\Folders moved on Reboot... File\Folder C:\Windows\temp\TMP00000001AEB7FC7C1A520F56 not found! PendingFileRenameOperations files... Registry entries deleted on Reboot... OTL.Txt Odnośnik do komentarza
picasso Opublikowano 2 Marca 2013 Zgłoś Udostępnij Opublikowano 2 Marca 2013 Czy na pewno byłeś zalogowany na koncie lukasz? Skrypt nie znalazł komponentów infekcji zlokalizowanych na tym koncie, a one dalej są: O20 - HKU\S-1-5-21-1013004747-421418688-2556580002-1011 Winlogon: Shell - (explorer.exe) - explorer.exe (Microsoft Corporation)O20 - HKU\S-1-5-21-1013004747-421418688-2556580002-1011 Winlogon: Shell - (C:\Users\lukasz\AppData\Roaming\skype.dat) - C:\Users\lukasz\AppData\Roaming\skype.dat () W związku z tym ręcznie: 1. Tryb awaryjny z Wierszem polecenia i logowanie na lukasz. 2. W linii komend wpisz regedit i ENTER. W edytorze rejestru wyszukaj klucz: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Skasuj ze środka wartość Shell punktującą do skype.dat. 3. W linii komend wklep komendę i ENTER: del /q C:\Users\lukasz\AppData\Roaming\skype.dat 4. Restart do Trybu normalnego i nowy log OTL. jednak nie mogę go dodać więc wklejam ręcznie W Pomocy forum (link na spodzie strony) wyjaśniam, że w załącznikach dopuszczam tylko format *.TXT, a to jest *.LOG. Na przyszłość: wystarczy ręczna zmiana nazwy pliku. . Odnośnik do komentarza
Ahm3d48 Opublikowano 2 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Marca 2013 Zadania wykonałem, konto wróciło. Bardzo dziękuję za pomoc. Dodaję log. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 2 Marca 2013 Zgłoś Udostępnij Opublikowano 2 Marca 2013 1. Drobna poprawka na szczątki po odinstalowanym SpyHunter. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard) [2013-02-26 19:49:53 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group Klik w Wykonaj skrypt. 2. W OTL uruchom Sprzątanie, co usunie OTL i jego kwarantannę. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj stary Adobe Reader i Java, zastąp najnowszymi: KLIK. Wg raportu są tu obecnie wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.4 M.in. luki w Java są przyczyną tej infekcji. . Odnośnik do komentarza
Ahm3d48 Opublikowano 2 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Marca 2013 Wszystko wykonałem, brak jakichkolwiek problemów. Jeszcze raz bardzo dziękuję za pomoc. Temat chyba do zamknięcia. Odnośnik do komentarza
Rekomendowane odpowiedzi