lilleczka Opublikowano 15 Listopada 2010 Zgłoś Udostępnij Opublikowano 15 Listopada 2010 witam, jestem po raz pierwszy na tym forum, informację o nim znalazłam na bleepingcomputer gdzie szukałam linka do ComboFix'a ale od początku, w piątek po odpaleniu komputera domowego) system Windows XP natrętnie zaczęły się otwierać okienka programu Security Tool podającego się za program antywirusowy wszelkie próby zrobienia czegokolwiek kończyły się wyświetleniem pytania "kontynuować bez ochrony" i po potwierdzeniu koniecznością ponownego,wielokrotnego potwierdzania, że TAK chcę kontynuować bez ochrony nie jestem w stanie odpalić antywirusa (McFee), ściągnąć żadnego innego AV, otworzyć "Dodaj/usuń programy", wyrzuca mnie ze stron internetowych (ale z samego internetu to już nie wyrzuca) po 20 minutach działania komputera pojawił się w blueescreen z informacją, że to działanie podjęte w obronie komputera, że może być za to odpowiedzialny plik SPCMDCOM.sys i wiele innych innych informacji nie do końca przeze mnie zrozumiałych bo w komputerach jestem laikiem a na dodatek informacja jest po angielsku i techniczne zwroty są dla mnie prawie zupełnie niezrozumiałe po paru minutach komputer się sam zrestartował polecono mi ComboFix'a (kolega z pracy, informatyk) - na wielu forach mnóstwo peanów na jego temat ale że widziałam też sporo ostrzeżeń zaczęłam szukać więcej informacji - ostatecznie trafiłam tutaj w tej chwili korzystam z komputera poza domem, w domu wyrzuca mnie z niektórych stron jakiego rodzaju informacje musiałabym podać żeby przynajmniej umożliwić Wam wstępną diagnozę problemu? dalsze pytania po odpowiedzi na to pierwsze pozdrawiam Odnośnik do komentarza
Xebritas Opublikowano 15 Listopada 2010 Zgłoś Udostępnij Opublikowano 15 Listopada 2010 No, aby otrzymać pomoc musisz podać WYMAGANE LOGI, a jakie to są to masz opisane ładnie tutaj: KLIK. Bez tego ani rusz Odnośnik do komentarza
lilleczka Opublikowano 15 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 15 Listopada 2010 ok, dzięki... ale... ja jestem laik i "log" nic mi nie mówi poczytam sobie podrzucone informacje, jeśli będę potrzebowała pomocy, żeby podać wymagane logi odezwę się znowu jeśli dam radę z logami to też się odezwę zdaje sobie sprawę, że najprawdopodobniej skończy się na przekazaniu komputera fachowcowi ale nie mam ochoty dać sobie wciskać kitu, że "to zupełnie coś innego i że przy okazji trzeba wymienić jakąś kartę tudzież płytę główną" i tak bywało, niestety... Odnośnik do komentarza
Landuss Opublikowano 15 Listopada 2010 Zgłoś Udostępnij Opublikowano 15 Listopada 2010 To jest znana infekcja i już nieraz ją usuwaliśmy. Dostałaś linki i wszystko jest w nich opisane jak na dłoni, ale jeszcze trzeba w nie wejść i poczytać. Masz pokazać wymagane logi z narzędzia OTL oraz GMER i wkleić je tutaj lub dać jako załącznik. Odnośnik do komentarza
lilleczka Opublikowano 16 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2010 witam ponownie wczoraj próbowałam zastosować się do wskazówek ale niestety Security Tool uniemożliwia mi podjęcie jakichkolwiek działań nie mogę otworzyć "Dodaj/usuń programy" - ST wyświetla komunikat "rundl32.exe zainfekowany Lemena_.3544 (lub Virus._Eupru.1731 lub cokolwiek innego, za każdym razem inny)Dany robak stara się nadać dane Państwa karty kredytowej, używając rundl32.exe do podłączenia do oddalonego hosta" udało mi się pobrać otl.exe ale nie pozwala go uruchomić (podobnie z otl.com oraz otl.scr) wyświetlając komunikat "otl.exe zainfekowany Bacdoor_.Win32_.Nanspy.f (lub Virus_.Linux.Gildo lub cokolwiek innego, za każdym razem inny)Dany robak stara się nadać dane Państwa karty kredytowej, używając otl.exe do podłączenia do oddalonego hosta" więc nie jestem w stanie przesłać logów Odnośnik do komentarza
Xebritas Opublikowano 16 Listopada 2010 Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Nawet w trybie awaryjnym? Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2010 Zgłoś Udostępnij Opublikowano 16 Listopada 2010 lilleczka spróbuj na początek użyć narzędzia RKill, które jest dedykowane zabijaniu podobnie działających procesów malware, blokujących uruchomienie czegokolwiek. Jak napisane, próbuj z nim do skutku, a po ewentualnym pomyślnym zabiciu procesów szkodnika nie resetuj komputera, tylko od razu wygeneruj logi. Odnośnik do komentarza
lilleczka Opublikowano 17 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2010 witam ponownie oto co udało mi się dzisiaj uzyskać po użycie RKill'a This log file is located at C:\rkill.log. Please post this only if requested to by the person helping you. Otherwise you can close this log when you wish. Ran as Eliza on 2010-11-17 at 20:36:54. Services Stopped: Services Stopped: Services Stopped: Processes terminated by Rkill or while it was running: Rkill completed on 2010-11-17 at 20:36:59. C:\WINDOWS\Temp\_ex-08.exe C:\Documents and Settings\Eliza\Ustawienia lokalne\Temp\594.tmp\pev.rkexe C:\Documents and Settings\Eliza\Ustawienia lokalne\Temp\591.tmp\pev.rkexe C:\Documents and Settings\Eliza\Ustawienia lokalne\Temp\58E.tmp\pev.rkexe Rkill completed on 2010-11-17 at 20:36:59. Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 No dobrze, ale log z RKill to nie nie jest ten właściwy (on służy tylko podstawową informacją co robiło narzędzie). Masz pokazać logi z OTL. Po użyciu RKill nie resetuj teraz systemu! Rób log z OTL i tu podaj, byśmy zdążyli zanalizować i stworzyć skrypt usuwający. Odnośnik do komentarza
lilleczka Opublikowano 17 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2010 właśnie próbuję uruchomić OTL ale ST cały czas go blokuje Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 W takim razie wykonaj sekwencję: start do Trybu awaryjnego, użycie RKill, próba uruchomienia OTL. Odnośnik do komentarza
lilleczka Opublikowano 17 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2010 (edytowane) nie resetowałam komputera ale RKill zawiesił mi pulpit i musiałam się przelogować przepuściłam jeszcze raz RKill - ten przesłany log ST nadal jest bardzo aktywny RKilla udało mi się uruchomić po 20 minutach klikania, czy przy OTL ta technika zadziała? dobra, wiem jak uruchomić w trybie awaryjnym ale czy dalej sobie poradzę? nie robiłam tego nigdy Edytowane 17 Listopada 2010 przez picasso Posty połączone. //picasso Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 dobra, wiem jak uruchomić w trybie awaryjnym ale czy dalej sobie poradzę? nie robiłam tego nigdy Chodzi mi tylko o stworzenie redukowanego środowiska procesów. Czyli start do awaryjnego i zrobienie logów (bez nich nie jestem w stanie zgadywać gdzie infekcja umieściła pliki), więc tu nie ma nic do "nie poradzenia sobie", o ile infekcja nie przeszkodzi znów. PS. I proszę stosuj buttonik "Edytuj", jeśli nikt jeszcze nie odpisał, a chcesz coś uzupełnić, zamiast pisać kolejnego posta pod spodem. Odnośnik do komentarza
lilleczka Opublikowano 17 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2010 ok, będę pamiętać o edytowaniu postów udało mi się z logami OTL - przesyłam w załączeniu w awaryjnym nie chodzi internet - to normalne? musiałam przejść na normalny czy mam wytworzyć logi z GMER? Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 w awaryjnym nie chodzi internet - to normalne?musiałam przejść na normalny Tak, normalne. Internet może chodzić tylko w Trybie awaryjnym z obsługą sieci, o ile sprzęt sieciowy nie wymaga jakiś sterowników, które nie mogą być w tym trybie załadowane. 1. Pobierz plik FIX.TXT (z prawokliku na link opcja Zapisz): FIX.TXT 2. Startujesz ponownie do Trybu awaryjnego, uruchamiasz OTL, wybierasz opcję Wykonaj skrypt a na pytanie o plik wskazujesz mu FIX.TXT. Skrypt powinien wykonać zadanie i ma nastąpić restart komputera, a finałowo dostaniesz log. 3. Startujesz już do Trybu normalnego, w panelu Dodaj/Usuń odinstalowujesz śmieci: My Web Search (Popular Screensavers) + ShopperReports + Softonic-Eng7 Toolbar. 4. Generujesz nowe logi z OTL oraz GMER. Teraz powinno już się dać te narzędzia uruchomić normalnie. Prezentujesz je razem z logiem uzyskanym z usuwania OTL w punkcie 2. . Odnośnik do komentarza
lilleczka Opublikowano 17 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2010 z prawokliku mam tylko opcję "zapisz element docelowy jako.." Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 z prawokliku mam tylko opcję "zapisz element docelowy jako.." No i okej. Umownie podałam nazwę w skrócie, bo to oczywiste. Chodzi mi po prostu o to, że ten plik ma być zapisany na dysku, bo są kłopoty ze startem bezpośrednim OTL i skrypt do niego trzeba podać nieco naokoło a nie jak zwykle tu robimy. Odnośnik do komentarza
lilleczka Opublikowano 17 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2010 zrobiłam jak napisałaś po wykonaniu skryptu komputer się zrestartował w załączeniu przesyłam log po tym procesie ale niestety dalszej części instrukcji nie jestem w stanie wykonać - ST na to nie pozwala... log po skrypcie.txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 ale niestety dalszej części instrukcji nie jestem w stanie wykonać - ST na to nie pozwala... Hmm, ale tu się wszystko usunęło. Proszę: wejdź ponownie do Trybu awaryjnego i wygeneruj nowe logi z OTL (GMER też dodaj). Odnośnik do komentarza
lilleczka Opublikowano 17 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2010 ale jak rozumiem OTL bez skryptu tylko skanowanie jak za pierwszym razem? Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 Tak, normalny skan jak za pierwszym razem. Nie zapomnij o GMER, bo tu w ogóle nie był sprawdzany. Odnośnik do komentarza
lilleczka Opublikowano 17 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2010 ok, dzięki w załączeniu przesyłam loga z OTL a co do GMER - no cóż, kretynka jedna, tak się ucieszyłam, że po godzinie wreszcie proces się zakończył, że zamiast "kopiuj" kliknęłam ponownie "szukaj" no i wszystko się zawiesiło... to co, mam pewnie lecieć na awaryjny i znowu puścić GMER? OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2010 Zgłoś Udostępnij Opublikowano 18 Listopada 2010 Chyba oślepłam, a miałam to przed oczami (nowo wygenerowane foldery Administrator świadczące o inicjalizacji konta, które nigdy dotychczas nie było logowane). Oczywiście, że ten log pokazuje, że jest w porządku, a jak wracasz na Tryb normalny to atakuje fałszywy antywirus. Działasz na złym koncie, zalogowałaś się na serwisowe ukryte konto Administrator: Computer Name: PIOTROWS-9937B4 | User Name: Administrator | Logged in as Administrator. Dotychczas były tu w zasadzie sprzątane wpisy HKLM (ogólne maszyny, aplikują się dla wszystkich kont). Ta infekcja jest nastawiona na działanie z poziomu bieżącego użytkownika, dlatego log musi pokazywać wygląd konta dotkniętego tą infekcją, z poziomu innego konta zobaczysz co innego. Na ekranie startu do Trybu awaryjnego nie masz wybierać konta Administrator tylko konto własne użytkownika na którym jest problem. I z poziomu tego konta masz zrobić log z OTL. Po ilości folderów widzialnych w logu z OTL należy przypuszczać, że masz konta: aaa, Eliza i Julek. Każde dodatkowe konto, inne niż Administrator, może mieć zapisy tej infekcji i należy to czyścić po kolei... . Odnośnik do komentarza
lilleczka Opublikowano 18 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2010 ok, czyli wracam w awaryjny i dla każdego konta(poza Administratorem) osobno robię OTL i zapewne też GMER, tak? nie wiem jak konto aaa wygląda, bo go nie używamy ale ST jest i na moim koncie i na koncie syna - u niego się wszystko zaczęło Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2010 Zgłoś Udostępnij Opublikowano 18 Listopada 2010 ok, czyli wracam w awaryjny i dla każdego konta(poza Administratorem) osobno robię OTL i zapewne też GMER, tak? GMER wystarczy zrobić tylko raz, z jednego z wybranych kont. OTL z każdego konta z osobna (z wyłączeniem Administratora, którego widok już znam). nie wiem jak konto aaa wygląda, bo go nie używamy ale ST jest i na moim koncie i na koncie syna - u niego się wszystko zaczęło Jeśli na ekranie logowania Trybu normalnego widzisz tylko dwa konta (Eliza i Julek) do których są dwa pasujące foldery na dysku, to możliwe, że to "aaa" to jakiś odpadek po wcześniejszych manipulacjach z kontami. . Odnośnik do komentarza
Rekomendowane odpowiedzi