2hoo Opublikowano 13 Czerwca 2017 Zgłoś Udostępnij Opublikowano 13 Czerwca 2017 Witam, Mam problem z Windows XP, brak ikon i paska po uruchomieniu, wywołanie explorer.exe powoduje że na chwilę się pojawiają następnie system wylogowuje użytkownika i następuje ponowne uruchomienie systemu.Podejrzenie wirusa. Załączam logi i liczę na Waszą pomoc Shortcut.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 13 Czerwca 2017 Zgłoś Udostępnij Opublikowano 13 Czerwca 2017 Załączyłeś dwa razy raport Shortcut, więc nie mam pełnego zestawu raportów. Proszę dopilnować, aby były trzy pliki: FRST, Addition oraz Shortcut. Dołącz również raport z GMER. Dodatkowo poproszę, aby do generacji raportów użyć najnowszej wersji FRST - KLIK (normalnie taka "przedostatnia" mogłaby być, ale w najnowszej naprawiono problem z Harmonogramem zadań). Odnośnik do komentarza
2hoo Opublikowano 13 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 13 Czerwca 2017 Dziękuję za odpowiedź, Gmer nie wykrył modyfikacji systemu i wygenerował pusty log, pozostałe już załączam.. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 15 Czerwca 2017 Zgłoś Udostępnij Opublikowano 15 Czerwca 2017 Ten komputer, jak Twój poprzedni został zainfekowany wirusem Brontok (powodującym właśnie w/w przez Ciebie problemy), więc przypuszczalnie była pomiędzy nimi wymiana plików. Przecież wyraźniej już nie mogłem Cie ostrzec. Nie uruchamiaj żadnych plików wykonywalnych. Ogranicz się do przeglądarki i narzędzi, które Ci zlecam. Wszystkie komputery, które mogły mieć jakieś połączenie z tym wymagają diagnostyki pod kątem infekcji. (Tj. adnotacja z poprzedniego Twojego tematu: KLIK) Systemu Windows XP i braku oprogramowania zabezpieczającego już nie skomentuj...bo nie mam siły. Aktualnie praktycznie każde oprogramowanie uchroniłoby Cię przed tą infekcją. Przed działaniami proszę spójrz jeszcze do spoileru. Startup: C:\Documents and Settings\CSM7100\Start Menu\Programs\Startup\A17CF6.lnk [2017-06-12] ShortcutTarget: A17CF6.lnk -> C:\WINDOWS\system32\C3C5D7\A17CF6.EXE () Startup: C:\Documents and Settings\CSM7100\Start Menu\Programs\Startup\BD462C.lnk [2017-06-13] ShortcutTarget: BD462C.lnk -> C:\WINDOWS\system32\A7908C\BD462C.EXE () 2017-06-13 13:22 - 2017-06-13 13:22 - 00000000 ___HD C:\WINDOWS\system32\A7908C 2017-06-13 13:22 - 2017-06-13 13:22 - 00000000 ___HD C:\WINDOWS\system32\693AC9 2017-06-13 13:22 - 2017-06-13 13:22 - 00000000 ___HD C:\WINDOWS\system32\3CFFA8 2017-06-13 13:22 - 2017-06-13 13:22 - 00000000 ___HD C:\WINDOWS\system32\1C3060 Czy te w/w wpisy / pliki są Ci znane? Nie mogę ich coś połączyć z infekcją tu obecną. Widziałem coś podobnego podczas leczenie infekcji skrótowej, aczkolwiek to chyba nie to. Jeśli znasz te pliki to zignoruj ten spoiler, a jeśli nie (i nie są komponentami Waszego firmowego oprogramowania) to załącz je w skrypcie w pkt. 2. Od razu jedziemy z dezynfekcją systemu. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKLM\...\Winlogon: [shell] Explorer.exe "C:\WINDOWS\eksplorasi.exe" [x ] () HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1 HKLM\...\Run: [bron-Spizaetus] => C:\WINDOWS\ShellNew\sempalong.exe [42713 2009-07-23] () HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\CSM7100\Local Settings\Application Data\smss.exe [42713 2009-07-23] () HKU\S-1-5-18\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe [42713 2009-07-23] () Startup: C:\Documents and Settings\CSM7100\Start Menu\Programs\Startup\Empty.pif [2009-07-23] () C:\Documents and Settings\CSM7100\Start Menu\Programs\Startup\Empty.pif HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" SearchScopes: HKLM -> DefaultScope value is missing S4 IntelIde; no ImagePath U1 WS2IFSL; no ImagePath 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\csrss.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\lsass.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\services.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\smss.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 ____N () C:\Documents and Settings\CSM7100\Local Settings\Application Data\winlogon.exe CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35200-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35201-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35202-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> no filepath C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\*.exe C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\*Bron* C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\*Bron*.* CMD: dir /a C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Dla wyników połączonych z infekcja Brontok zastosuj opcję leczenia / kwarantanny, resztę zostaw i dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut (użyj najnowszej wersji FRST z przyklejonego tematu). Dołącz też plik fixlog.txt. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się