donton Opublikowano 1 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2011 Witam serdecznie, Mam pewien nietypowy problem. Zgłosiła się do mnie ukraińska para z zainfekowanym komputerem. Wielkim specjalistą od infekcji nie jestem, chciałem się więc skonsultować na forum. Sporym problemem dla mnie jest język systemu i zainstalowanego na nim oprogramowania, wszystko jest pisane cyrylicą, której niestety ni w ząb nie rozumiem. Opis problemu: Nie pracowałem praktycznie wcale na tym komputerze, jednak para twierdzi, że przeglądając strony internetowa pojawia im się co jakiś czas komunikat Avasta o infekcji pliku i potrzebie restartu komputera. Działania te nie przynoszą rezultatów, problem się powtarza. Wykonałem skan Avastem i wykryło trzy infekcje: C:\WINDOWS\explorer.exe Win32:Patched-TM [Trj] C:\WINDOWS\system32\winlogon.exe Win32:WinPatch C:\WINDOWS\explorer.exe Win32:WinPatch Podjęte działania: Na komputerze użyto Combofixa, jego log dodaję niżej. Ja użyłem, jak wyżej wspomniałem, Avasta który wykrył infekcje i nic nie jest w stanie z nimi zrobić. GMER_log.txt Combofix.txt Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 1 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2011 Rzeczywiście w logach widać, że może być zainfekowanych kilka kluczowych plików Windows. Oprócz explorera i winlogon dam też na wymianę sfcfiles.dll bo wygląda podejrzanie. 1. Pobierz paczkę czystych plików pod XP SP3 zgodnie z twoim systemem: KLIK. Pliki wypakuj i umieść bezpośrednio na dysku C:\ 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\System32\dllcache\winlogon.exe|C:\winlogon.exe /replace C:\WINDOWS\System32\winlogon.exe|C:\winlogon.exe /replace C:\WINDOWS\System32\dllcache\explorer.exe|C:\explorer.exe /replace C:\WINDOWS\explorer.exe|C:\explorer.exe /replace C:\WINDOWS\System32\dllcache\sfcfiles.dll|C:\sfcfiles.dll /replace C:\WINDOWS\System32\sfcfiles.dll|C:\sfcfiles.dll /replace :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powinien otworzyć się log z usuwanie, który zachowaj w celu pokazania na forum. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
donton Opublikowano 1 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2011 Przepraszam za brak polskich liter, dla ulatwienia wklejenia logow pisze z laptopa z systemem w wersji RU, nie znam cyrylicy i nie wiem gdzie jest pulpit zmiany jezyka klawiatur. Wykonalem co poleciles, niestety po pokazaniu sie komunikatu o restarcie komputera i potwierdzeniu, system tego nie zrobil. Program dalej dzialal i informowal o zakonczeniu procesow, natomiast nic sie nie dzialo. Pulpit zniknal i nic poza "twardym" restartem zrobic nie moglem. Po wlaczeniu systemu pojawil sie raport, ktory wraz z logiem umieszczam. W czasie tego pisania znow odezwal sie Avast (co dziwne, bo oslony sa wylaczone) o zainfekowaniu pliku explorer.exe. 04012011_201717.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 1 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2011 Według logów pliki się podmieniły i są to już czyste oryginalne obiekty ponieważ mają marker Microsoftu (wcześniej go nie miały) Pytam więc czy Avast na pewno wykrywa coś dalej? Jeśli tak to dokładnie napisz gdzie i przejdziemy do dalszych korków. Odnośnik do komentarza
donton Opublikowano 6 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 6 Kwietnia 2011 W tej chwili Avast wykrywa dwie infekcje: C:\System Volume Information\_restore{7186BC8A-D766-4235-9361-54A914F2D692}\RP1\A0000174.exe C:\System Volume Information\_restore{7186BC8A-D766-4235-9361-54A914F2D692}\RP1\A0000175.exe Co jaki czas Avast ostrzega przed C:\explorer.exe, niestety cyrylica, wiec nie wiem o co chodzi. Komunikatu nie moge skopiowac do google translate, recznie niestety nie przepisze. Jezeli to wazne, poprosze o tlumaczenie ta pare. Odnośnik do komentarza
Landuss Opublikowano 6 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2011 (edytowane) To co jest wykryte jest nieistotne. Kopie plików ode mnie możesz już usunąć z dysku C bo nie będą potrzebne. Infekcja wygląda na pomyślnie usuniętą i przejdźmy do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj obowiązkowe aktualizacje: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 16 "Mozilla Firefox 3.5.3" = Mozilla Firefox 3.5.3 "avast" = avast! Free Antivirus Szczegóły aktualizacyjne w tym temacie: KLIK. 3. Wyzeruj stan przywracania systemu: KLIK Edytowane 19 Października 2011 przez picasso 7.05.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi