ToX Opublikowano 29 Maja 2013 Zgłoś Udostępnij Opublikowano 29 Maja 2013 Witam! Dostałem laptopa któremu ewidentnie coś się dzieje, najpierw był tam Weelsof i standardowe logo policji, teraz co tam siedzi to nie mam pojęcia. Po zalogowaniu do systemu widzę tylko biały ekran i nic więcej. Jako dodatek, gdy zareaguje wystarczająco szybko naciskając CTRL+ALT+DEL to pojawia mi się okno wybrania źródła obrazu, tzn wybór kamery jakby wirus chciał wysyłać obraz gdzieś. Dziwna sprawa. Oczywiście nie działa żaden tryb awaryjny, czyściłem lapka kilkoma antywirusami z Hiren's Boot 14,1(Avira, GMER, MBAM), niestety nic to nie dało, w dodatku nie znalazło żadnej infekcji. Myślę że to dlatego że niestety nie da rady załadować martwego systemu przez MiniXp. Dodaje logi z FRST zrobionego z menu F8 > Napraw Komputer i niestety nie mogę wykonać loga z bootowalnego OTLPE bo nie włącza się na AHCI, a laptop ma jakiegoś baaardzo prostego BIOSa gdzie nie ma w ogóle możliwości zmiany SATA. Dziękuje z góry za wszelką pomoc i Pozdrawiam! PS. Jeśli format to lepsza opcja niż czyszczenie to napiszcie też, bo nie wiem czy jest sens się w to bawić. Jednak na laptopie znajduje się trochę ważnych danych, w dodatku sporo ich jest (<100GB), przenoszenie tego będzie komplikacją dla mnie, ale poradzę sobie z tym jeśli zajdzie taka potrzeba. FRST.txt Odnośnik do komentarza
picasso Opublikowano 29 Maja 2013 Zgłoś Udostępnij Opublikowano 29 Maja 2013 Infekcja tu jest obecna, jej usunięcie nie stanowi trudności. Mówisz, że nie działa żaden Tryb awaryjny, a tu powinien się ładować Tryb awaryjny z Wierszem polecenia (inne nie, bo infekcja uruchamia się przez Shell graficzny bieżącego użytkownika). 1. Otwórz Notatnik i wklej w nim: S3 catchme; \??\C:\ComboFix\catchme.sys [x] HKU\jacek\...\Winlogon: [shell] explorer.exe,C:\Users\jacek\AppData\Roaming\skype.dat [58880 2011-11-16] () C:\Users\jacek\AppData\Roaming\skype.dat C:\Users\jacek\AppData\Roaming\skype.ini Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 2. F8 > Napraw komputer > uruchom FRST i klik w Fix. Wynikowo powstanie plik fixlog.txt. 3. System powinien zostać odblokowany. Loguj się normalnie i zrób raporty z FRST spod Windows. Dołącz plik fixlog.txt z wynikami usuwania. . Odnośnik do komentarza
ToX Opublikowano 29 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2013 No niestety nie działał nawet z wierszem poleceń, nie wiem czemu. Ale odblokowałem system dzięki Twojej pomocy, śmiga. Zrobiłem skany z FRST po zalogowaniu, OTLa i dołączam wszystkie logi. Dobrze by było go solidnie wyczyścić, więc jak coś zauważysz nie tak to pisz od razu Addition.txt Extras.Txt Fixlog.txt FRST.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 29 Maja 2013 Zgłoś Udostępnij Opublikowano 29 Maja 2013 Coś poszło nie tak i pomimo, że FRST zawiadamia o usunięciu z rejestru wartości Shell, ona nadal jest widzialna w raportach.1. Poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej::Reg[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"=-:FilesC:\Users\jacek\AppData\Roaming\skype.dat.virus:OTLO3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EnableShellExecuteHooks = 1O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel presentO7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0:Commands[emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu F:\_OTL powstanie log z wynikami usuwania.2. Zrób nowy log z OTL poświadczający zmiany ograniczony do: tylko opcję Rejestr (nie pomyl z "Rejestr - skan dodatkowy") ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. Dołącz też log z wynikami usuwania OTL. Dobrze by było go solidnie wyczyścić, więc jak coś zauważysz nie tak to pisz od razu Takie instrukcje otrzymałbyś już po obejrzeniu pierwszego raportu FRST. Jedyny problem, który widzę, to owa infekcja.. Odnośnik do komentarza
ToX Opublikowano 30 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 30 Maja 2013 Witam! Zrobiłem już wszystko i śmiga ładnie. Załączam logi. Dziękuje bardzo za pomoc! I takie ogólne pytanie, czy zmiana Aviry na Avasta ma sens? Pozdrawiam! OTL.Txt 05302013_122856.txt Odnośnik do komentarza
picasso Opublikowano 30 Maja 2013 Zgłoś Udostępnij Opublikowano 30 Maja 2013 (edytowane) Ten log z usuwania OTL to tylko fragment końcowy. Dwie próby usuwania i nadal tu jest coś nie tak, wpis infekcji stoi jak przyklejony: O20 - HKCU Winlogon: Shell - (C:\Users\jacek\AppData\Roaming\skype.dat) - File not found 1. Start > w polu szukania wpisz regedit > z prawokliku Urucho jako Administrator > wejdź do klucza: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Z prawokliku skasuj wartość o nazwie Shell. 2. Zresetuj system. Następnie ponownie zrób log OTL na konfiguracji: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. . Edytowane 2 Lipca 2013 przez picasso 2.07.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi