Drewn1ak Opublikowano 22 Marca 2017 Zgłoś Udostępnij Opublikowano 22 Marca 2017 (edytowane) Witam, to mój pierwszy post tutaj, jestem laikiem w kwestiach naprawy 'rzeczy'. Widziałem że kilka osób miało podobny problem jak ja , na pendrivie zamiast folderow znajduja sie linki do nich. Zrozumialem tez ze kazdy z przypadkow jest rozpatrowany indywidualnie i nie da sie do konca zrobic tego samego w moim przypadku. Pendrive dzialal normalnie jeszcze wczoraj, dzis bylem w punkcie druku , tych z kategorii 'self service' , teraz chcialem cos na pendriva zgrac i zobaczylem co sie wydarzylo i gdzies syfa zlapalem. Ponizej wklejam linki do raportow (?) , co smieszniejsze , nie wiem czy dobrze zrobione, robilem je gdy pendrive byl podpietyFRST http://wklej.org/id/3067860/ Addition http://wklej.org/id/3067861/ Shortcut http://wklej.org/id/3067862/ Generalnie nic z tego nie rozumiem , mowilem ze jestem kiepski , chociaz to moze kandydowac na niedopowiedzenie roku, ale widzialem ze jest to poniekad wymagane. Prosze was o pomoc. Lopatologia wskazana. Pozdrawiam, Kamil ps. Czy wszelkie dzialania mam przeprowadzac na podpietym pendrivie? Edytowane 22 Marca 2017 przez Rucek Odnośnik do komentarza
Rucek Opublikowano 22 Marca 2017 Zgłoś Udostępnij Opublikowano 22 Marca 2017 Zrób jeszcze skan USBFix - podepnij zainfekowane urządzenia i zrób skan USBfix z opcji Listing.https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=172740 Oraz obowiązkowy GMER - zasady działu (masz info). Odnośnik do komentarza
Drewn1ak Opublikowano 22 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 22 Marca 2017 Okey, zrobioneUSBFix http://wklej.org/id/3068049/ GMER http://wklej.org/id/3068172/ i tu pojawia sie problem, patrzylem jak uzywac GMER'a ale niestety nie bylem w stanie niczego uzyskac, opcja 'zaptaszkowania' wszystkich opcji po prawej stronie nie wchodzi , sa na szaro , nie pomaga uruchamianie jako administrator, zgodnosc oraz wylaczenie wszelkich zapor, zrobilem pelen skan dysku systemowego z zaznaczonymi moduly,procesy,biblioteki,uslugi,rejestr i pliki. Reszta bez zmian. To co wyszlo znajduje sie w linku, chyba ze tez cos zepsulem ;O Odnośnik do komentarza
Miszel03 Opublikowano 22 Marca 2017 Zgłoś Udostępnij Opublikowano 22 Marca 2017 Nie wykluczone, że to infekcja blokuje GMER'A. Odpuszczam jego analizę. System wraz z urządzeniami przenośnymi został zainfekowany robakiem Gamerue. Wymagana jest dokładna dezynfekcja. Punkt ksero jest potencjalnym źródłem infekcji i proszę o jego adres, - spróbuję się z nimi skontaktować. Dodatkowo: wszystkie urządzenia mające styczność z zarażonymi urządzeniami przenośnymi mogą być również zagrożone. 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: Startup: C:\Users\Erazer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf [2016-03-29] ()C:\Users\Erazer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSfS3 DrvAgent64; \??\C:\Windows\SysWOW64\Drivers\DrvAgent64.SYS [X]C:\Users\Erazer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b15f30ab853b7d31\Diablo III.lnkC:\Users\Erazer\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnkC:\Users\Erazer\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnkC:\Users\Erazer\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnkDeleteKey: HKCU\Software\MozillaDeleteKey: HKCU\Software\MozillaPluginsDeleteKey: HKLM\SOFTWARE\MozillaDeleteKey: HKLM\SOFTWARE\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaDeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.orgDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsC:\Users\Erazer\AppData\Local\MozillaC:\Users\Erazer\AppData\Roaming\MozillaC:\Users\Erazer\AppData\Roaming\ProfilesEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Z podpiętymi urządzeniami zarażonymi w interfejsie programu USBFix zastosuj opcję Clean. Dostarcz raport z tego działania. Uwaga: aplikacja bez ostrzeżenia usuwa foldery o nazwie muza / muzyka. Nazwę należy zmienić na czas dezynfekcji. 3. Całościowo przeskanuj system za pomocą Kaspersky Virus Removal Tool (KVRT). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. Wyniki muszą zostać zweryfikowane. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Drewn1ak Opublikowano 22 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 22 Marca 2017 USBfix http://wklej.org/id/3068366/ Fixlog http://wklej.org/id/3068368/ FRST http://wklej.org/id/3068428/ Shortcut http://wklej.org/id/3068429/ Addition http://wklej.org/id/3068430/ w zalaczniku wysylam raport z KVRT poniewaz nie bylem w stanie otworzyc/skopiowac do notatnika ani w zadnej formie tesktowej Jesli chodzi o punkt ksero, to http://www.hetmanska24.com/ , to jest adres ich strony , miesci na sie ul. Brackiej w Krakowie. Czy jesli podpialem telefon (Samsung Galaxy S5 Neo) do komputera , po wczesniejszym wyciagnieciu pendriva , to tez jest zagrozony? Nie wykazywal zadnych bledow, a nie chce teraz wpinac zeby nie zarazic jesli sie to nie stalo dotychczas Odnośnik do komentarza
Miszel03 Opublikowano 22 Marca 2017 Zgłoś Udostępnij Opublikowano 22 Marca 2017 Czy jesli podpialem telefon (Samsung Galaxy S5 Neo) do komputera , po wczesniejszym wyciagnieciu pendriva , to tez jest zagrozony? Nie wykazywal zadnych bledow, a nie chce teraz wpinac zeby nie zarazic jesli sie to nie stalo dotychczas Ta infekcja nie atakuję platformy Android w ogóle. Telefon jest bezpieczny. Jesli chodzi o punkt ksero, to http://www.hetmanska24.com/ , to jest adres ich strony , miesci na sie ul. Brackiej w Krakowie. Jutro, może dziś wyślę do nich maila w tej sprawie. To ich obowiązek zapewnić bezpieczeństwo swoim klientom. Nie widzę coś tego załącznika z KVRT - dostarcz go. Jutro skomentuje resztę. Odnośnik do komentarza
Drewn1ak Opublikowano 22 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 22 Marca 2017 Wybacz, pospieszylem sie. Probowalem załaczyc normalnie do posta ale 'nie mam uprawnien do wyslania tego typu plikow' dlatego wrzucilem tutaj http://uploadfile.pl/pokaz/1050873---0jdv.html Odnośnik do komentarza
Miszel03 Opublikowano 23 Marca 2017 Zgłoś Udostępnij Opublikowano 23 Marca 2017 Hmm...ale ten raport to Ty uzyskałeś z lokalizacji C:\KVRT_Data\Reports czyli w postaci zaszyfrowanej, a ja chcę go czytelnego. W interfejsie KVRT kliknij w Report, następnie spróbuj skopiować lub zrobić screena wynikom. P.S: Ten serwis uploudowy wygląda na straszenie oreklamowany i posiada dwa przyciski pobierania, czyli jeden prawdziwy, a drugi fałszywy, - do serwisu, który oszukuję użytkowników metodą Premium SMS. Korzystaj np. z MediaFire lub z MEGA. Odnośnik do komentarza
Drewn1ak Opublikowano 23 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 23 Marca 2017 http://www.mediafire.com/view/2c3h6dagnbk90rb/kaspreport.jpg Odnośnik do komentarza
Drewn1ak Opublikowano 31 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 31 Marca 2017 up Odnośnik do komentarza
Miszel03 Opublikowano 31 Marca 2017 Zgłoś Udostępnij Opublikowano 31 Marca 2017 Cześć obiektów została wykryta już jako unieszkodliwiona, bo w kwarantannie FRST. Wszystkie zagrożenia skasuj. Podsumuj obecny stan systemu i pendriva. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się