choco Opublikowano 21 Lutego 2012 Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Wiem, że niedawno dodałem temat z innym problemem, ale ten akurat dotyczy zupełnie innego komputera. heh plaga widziałem podobny wątek, problem wygląda podobnie, ale podrzucę logi bo może tylko mi się wydaje, że to samo. System vista 32bit. Po uruchomieniu czarny ekran, można ręcznie wystartować explorera, po tym zabiegu działa. OTL: http://wklejto.pl/117835 otl extras: http://wklejto.pl/117836 Gmer: http://wklejto.pl/117848 p.s. w menedżerze zadań zauważyłem, że standardowo oprócz winlogon pojawia się drugi proces z szczegółami: Croak Cups Barge Polio Bow Audit Odnośnik do komentarza
Landuss Opublikowano 21 Lutego 2012 Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Według logów jest tutaj infekcja w postaci fałszywego "winlogon": O4 - HKU\S-1-5-21-3295823031-3693506651-796330809-1000..\Run: [winlogon] C:\Users\Agnieszka\winlogon.exe (Tomasz Pawlak) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Agnieszka\winlogon.exe C:\ProgramData\Babylon C:\Users\Agnieszka\AppData\Local\Babylon C:\Users\Agnieszka\AppData\Roaming\Babylon :Reg [HKEY_USERS\S-1-5-21-3295823031-3693506651-796330809-1000\Software\Microsoft\Windows\CurrentVersion\Run] "winlogon"=- [HKEY_USERS\S-1-5-21-3295823031-3693506651-796330809-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Daj też znać czy problem z explorerem nadaj wystepuje. Odnośnik do komentarza
choco Opublikowano 21 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Dalej czarne tło po uruchomieniu. Proces winlogon dalej występuje podwójnie. Ponownie otl: http://wklejto.pl/117859 extras: http://wklejto.pl/117860 Odnośnik do komentarza
Landuss Opublikowano 21 Lutego 2012 Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Ale skrypt się kompletnie nie wykonał. Powtórz to i patrz uważnie czy dobrze robisz. Odnośnik do komentarza
choco Opublikowano 22 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Wkleiłem skrypt, dałem wykonaj, tak jakby zostałem wylogowany no i uruchomiłem komputer ponownie bez logowania. Nie przyniosło to efektu. http://wklejto.pl/117949 http://wklejto.pl/117950 Odnośnik do komentarza
Landuss Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Nic a nic się tu nie wykonuje. Zrób to z poziomu trybu awaryjnego. Odnośnik do komentarza
choco Opublikowano 25 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 25 Lutego 2012 Chyba teraz się udało wykonać. Tu jest log który pojawił się po uruchomieniu otla po resecie komputera: http://wklej.to/d04LC a tu wynik ponownego skanowania: http://wklej.to/jN1d0 oraz extras: http://wklej.to/CKL76 Ogólnie to po resecie pojawiły się moje dokumenty na czarnym tle. Dalej musiałem ręcznie uruchomić explorera.Drugi winlogon już nie pojawia się w menedżerze. Odnośnik do komentarza
Landuss Opublikowano 26 Lutego 2012 Zgłoś Udostępnij Opublikowano 26 Lutego 2012 Infekcja nadal aktywna i to w szerszym wydaniu. W takiej sytuacji nie ma się co patyczkować. Użyj zgodnie z wytycznymi narzędzia ComboFix i przedstaw wynikowy raport. Po tej operacji wykonaj też nowe logi z OTL i przedstaw. Odnośnik do komentarza
choco Opublikowano 26 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2012 Combofix: http://www.wklejto.pl/118279 Otl po combofixie: http://www.wklejto.pl/118283 extras: http://www.wklejto.pl/118284 Póki co efekt jest ten sam co wcześniej. Czarne tło - konieczność ręcznego uruchamiana explorera.exe. Odnośnik do komentarza
Landuss Opublikowano 26 Lutego 2012 Zgłoś Udostępnij Opublikowano 26 Lutego 2012 Wklej do notatnika ten tekst: File:: c:\windows\system32\crrss.exe Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "crrss"=- [HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon] "shell"=- Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: Do obejrzenia dajesz nowy log z ComboFix oraz z OTL (bez ekstras) Odnośnik do komentarza
choco Opublikowano 27 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Combofix: http://www.wklejto.pl/118411 Otl: http://www.wklejto.pl/118413 Wygląda na to, że komputer uruchamia się prawidłowo. Dzięki Proszę jeszcze o sprawdzenie czy według logów nie zostało nic szkodliwego. Odnośnik do komentarza
Landuss Opublikowano 27 Lutego 2012 Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Tym razem wszystko poszło jak należy. Można przejść do kończenia sprawy. 1. Wciśnij kombinację klawisza z flaga Windows + R wklej i wywołaj polecenie "C:\Users\Agnieszka\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Możesz wykonać dodatkowo skan przez Malwarebytes Anti-Malware Odnośnik do komentarza
choco Opublikowano 1 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 1 Marca 2012 ok, dziękuję za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi