MajkelTMB Opublikowano 25 Stycznia 2014 Zgłoś Udostępnij Opublikowano 25 Stycznia 2014 Witam!Komputer prawdopodobnie złapał infekcję, z konta facebook wysyła do znajomych linki z infekcją. Zamieszczam logi: Addition.txt FRST.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2014 Zgłoś Udostępnij Opublikowano 29 Stycznia 2014 Tak, system jest zainfekowany, w folderze Autostart jest ulokowana fałszywka "Nero". Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: Startup: C:\Users\Karolina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{770bfe18-96a1-a526-49e3-ff7c770bfe18}.exe (Nero StartSmart Essentials) C:\Users\Karolina\AppData\Roaming\{770bfe18-96a1-a526-49e3-ff7c770bfe18} Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. . Odnośnik do komentarza
MajkelTMB Opublikowano 30 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 30 Stycznia 2014 Wykonane, zamieszczam logi: Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2014 Zgłoś Udostępnij Opublikowano 31 Stycznia 2014 FRST oznaczył ów plik w starcie jako niemożliwy do usunięcia. W nowym logu pliku już jednak nie ma, za to ... pojawiła się nowa infekcja Gamarue. Kolejne działania: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Policies\Explorer\Run: [14299] - C:\ProgramData\msgekxf.exe [69945 2010-11-20] ( ()) HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKCU\...\Policies\Explorer: [TaskbarNoNotification] 0 HKCU\...\Policies\Explorer: [HideSCAHealth] 0 HKCU\...\CurrentVersion\Windows: [Load] c:\users\karolina\mspvbcvr.exe C:\ProgramData\msgekxf.exe c:\Users\karolina\*.exe C:\Users\Karolina\AppData\Roaming\*.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Powtórz akcję z TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. . Odnośnik do komentarza
MajkelTMB Opublikowano 31 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2014 Wykonane, ale coś jest chyba nie tak,"c:\Users\karolina\*.exe" => File/Directory not found.takie coś widnieje w fixlogu, chyba dlatego że "c" było z małej a nie dużej, ale zostawiam to do Pani oceny. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2014 Zgłoś Udostępnij Opublikowano 31 Stycznia 2014 Wykonane, ale coś jest chyba nie tak, "c:\Users\karolina\*.exe" => File/Directory not found. takie coś widnieje w fixlogu, chyba dlatego że "c" było z małej a nie dużej, ale zostawiam to do Pani oceny. Wielkość liternictwa nie ma żadnego znaczenia, komendy nie są "case sensitive". Wszystko w porządku. Załączyłam tę komendę na wszelki wypadek, gdyby były inne luźne pliki EXE w tym miejscu, gdyż log jest ograniczony czasowo i nie można wszystkiego stwierdzić. FRST nie znalazł jednak takich plików. Tylko tyle oznacza ten odczyt. Za to jest inny "sporny" odczyt: C:\ProgramData\msgekxf.exe => Moved successfully. Plik jakoby pomyślnie usunięty, a tenże plik nadal widnieje w logu. 1. Poprawka. Otwórz Notatnik i wklej w nim: C:\ProgramData\msgekxf.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Przez SHIFT+DEL skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zrób pełne skanowanie za pomocą Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. Jeśli nic, raport zbędny. . Odnośnik do komentarza
MajkelTMB Opublikowano 31 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2014 Dziękuję za wyjaśnienie co do literek . Mam problem z usunięciem folderu FRST na dysku C, przez kombinacje SHIFT+DEL nic się nie dzieje, a próbując usunąć go z prawokliku wyskakuje komunikat, którego screen zamieszczam. MAM wykrył trojana, nie klikałem usuń, zapisałem tylko log jak Pani prosiła i zamieszczam go: MBAM-log-2014-01-31 (18-19-39).txt Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2014 Zgłoś Udostępnij Opublikowano 31 Stycznia 2014 1. MBAM wykrył tę infekcję Facebook w Autostarcie. To właśnie ów plik, o którym mówiłam, że FRST nie mógł go usunąć, a nowy log już go nie pokazał... Oczywiście usuń trojana. 2. Jeśli chodzi o niemożność usunięcia katalogu FRST, to otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Po tym kasowanie katalogu C:\FRST powinno się odbyć bez przeszkód. 3. Po wszystkim ponów czyszczenie folderów Przywracania systemu. . Odnośnik do komentarza
MajkelTMB Opublikowano 31 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2014 Trojan usunięty przez MBAM, komputer zrestartował się, folder FRST tym razem bez przeszkód dał się usunąć. Punkt 3 wykonany, czy robić i dołączać jakieś nowe skany czy to wszystko? Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2014 Zgłoś Udostępnij Opublikowano 31 Stycznia 2014 Jeśli MBAM nie wykrywa ponownie żadnego trojana, to już wszystko. Odnośnik do komentarza
MajkelTMB Opublikowano 31 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2014 MBAM nic nie wykrył, dziękuję za pomoc . Temat do zamknięcia. Odnośnik do komentarza
Rekomendowane odpowiedzi