rafax Opublikowano 15 Października 2011 Zgłoś Udostępnij Opublikowano 15 Października 2011 Witam, przez swoją głupotę otworzyłem pewien plik na czacie w facebooku od znajomej. Plik to ten sam co z tematu: https://www.fixitpc.pl/topic/5683-podejrzenie-wirusa-z-fb-podejrzany-link/ Proszę o pomoc. Skany z OTL: OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 15 Października 2011 Zgłoś Udostępnij Opublikowano 15 Października 2011 W Twoim przypadku akcja zdążyła się już wykonać, infekcja w postaci czynnej widoczna w raporcie: ========== Processes (SafeList) ========== PRC - [2011/10/15 18:58:25 | 000,166,400 | ---- | M] () -- C:\Users\home\AppData\Local\Temp\tmp11.exePRC - [2011/10/14 23:14:02 | 000,141,824 | -HS- | M] () -- C:\Users\home\Network\wmpdtf32.exe I próbowałeś już tu coś mieszać, definitywnie przepuszczałeś jakiś skrypt w OTL. Powiedz skąd / jaki. Skryptów nie wolno podbierać z innych tematów, to są skrypty unikatowe dla danego systemu. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [Windows Terminal Server] C:\Users\home\Network\wmpdtf32.exe () [2011/05/14 20:36:08 | 000,000,000 | ---D | M] (vShare) -- C:\Users\home\AppData\Roaming\mozilla\Firefox\Profiles\ooggnhcy.default\extensions\vshare@toolbar :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Wygeneruj do oceny nowy log z OTL z opcji Skanuj (Extras już nie potrzebuję). Dołącz log z wynikami usuwania pozyskany w punkcie 1. . Odnośnik do komentarza
rafax Opublikowano 15 Października 2011 Autor Zgłoś Udostępnij Opublikowano 15 Października 2011 Witam, z natury jestem ze robię na własną rękę wszystko, ale co zrobić;d Przepuściłem przez OTL dokładnie ten kod: http://wklejto.pl/106891 Nowy skan z OTL: http://wklejto.pl/106892 Odnośnik do komentarza
picasso Opublikowano 15 Października 2011 Zgłoś Udostępnij Opublikowano 15 Października 2011 Przepuściłem przez OTL dokładnie ten kod Proszę nie powtarzaj takich rzeczy w przyszłości, bo w końcu się zdarzy tak, że w skrypcie będzie coś co uszkodzi system bądź wykona negatywną rekonfigurację. Jeśli nie jesteś w stanie zanalizować loga z OTL samodzielnie, nie jesteś w stanie zrobić skryptu ani ocenić skryptu podanego komuś innego. Skutki: załadowałeś sobie skrypt w ogóle nie dostosowany do Twojego systemu i rodzaju infekcji (przez linki Facebooka można złapać multum wariacji). Nawet nie patrzyłeś co ładujesz, to był skrypt pod XP, m.in. ścieżka C:\Documents and Settings\Sulova powinna dać do myślenia, że coś nie gra = Docs and Settings nie istnieje na Windows 7 (na którym to tylko link symboliczny, właściwa ścieżka to C:\Users), nie wspominając już o koncie użytkownika. Widzę też, że skrypt pochodzi z innego forum, nie stąd. Poznaję to po chaotycznej zawartości skryptu, tzn. załączone wielokrotne usuwanie tego samego + usuwanie wpisu AlternateShell. Ten ostatni załączony do przetwarzania w OTL ma taki wynik: Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\\AlternateShell deleted successfully. Czyli OTL tnie całą wartość z rejestru, a ten wpis nie może być usuwany, on musi być zrekonfigurowany na domyślny wpis systemu równy cmd.exe. U Ciebie to się prawdopodobnie nie wykonało ze względu na (na szczęście) niedostosowany skrypt. Zapomniałeś: "Dołącz log z wynikami usuwania pozyskany w punkcie 1.". Ale już nie potrzebuję. Widzę po wyglądzie aktualnego raportu, że skrypt został pomyślnie wykonany. Na teraz do wykonania: 1. Przez SHIFT+DEL skasuj z dysku cały ten ukryty katalog, z którego startowała infekcja: [2011/10/15 18:15:37 | 000,000,000 | -HSD | C] -- C:\Users\home\Network 2. W OTL uruchom opcję Sprzątanie, co zlikwiduje z dysku kwarantannę OTL z trojanem oraz sam program OTL jako taki. 3. Przeskanuj system za pomocą Malwarebytes' Anti-Malware (adresuje te fałszywki pic* z Facebooka) i przedstaw wynikowy raport. . Odnośnik do komentarza
rafax Opublikowano 16 Października 2011 Autor Zgłoś Udostępnij Opublikowano 16 Października 2011 Witam, przesyłam loga: http://wklejto.pl/106940 Odnośnik do komentarza
picasso Opublikowano 16 Października 2011 Zgłoś Udostępnij Opublikowano 16 Października 2011 (edytowane) Wynik z MBAM bez znaczenia w kontekście infekcji. MBAM wykrył nieprawidłowość w powiązaniu plików REG z programem otwierającym. Finalizacja tematu: 1. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 2. Zainstalowane oprogramowanie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java 6 Update 25"{5335DADB-34BA-4AE8-A519-648D78498846}" = Skype™ 5.3"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"Gadu-Gadu 10" = Gadu-Gadu 10 - Wykonaj aktualizację 32-bitowej wersji Java i wtyczek Adobe: INSTRUKCJE. - (Opcjonalnie) ten zamulacz reklamodawczy GG10 można zamienić żwawszym programem alternatywnym. W temacie Darmowe komunikatory popatrz na opisy: AQQ, Kadu, WTW, Miranda. Polecany program dla Windows x64 = WTW. . Edytowane 10 Grudnia 2011 przez picasso 10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi