Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Centrum zabezpieczeń padło/atak wirusów po ściągnięciu czegoś z fb

Jelen

Przez Jelen
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Jelen

Jelen

Opublikowano
Opublikowano

Witam. Mój problem polega na pobraniu przez pewna osobę na mój komputer pliku z wiadomości na facebooku i ataku wirusa udającego program anty wirusowy... Zrobiłem pełne skanowanie programem "Malwarebytes Anti-Malware" i usunąłem to co wykrylo. Lecz nie jestem do końca pewien czy to wszystko znikneło ponieważ centrum zabezpieczeń padło.

 

Wstawiam wymagane logi i z góry dziękuje.

Extras.Txt

gmer.txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Skoro skanowałeś MBAM, należało podać raport co zostało usunięte. W logu z OTL widać już tylko szczątki infekcji. Centrum: prawdopodobnie skasowana usługa z rejestru.

 

1. Zrób i zaimportuj plik FIX.REG bazując na tutorialu rekonstrukcji usługi Centrum: KLIK. Tak, usługa ma identyczne wpisy na Vista i Windows 7.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O7 - HKU\S-1-5-21-122340742-1898351937-1275110158-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O37 - HKU\S-1-5-21-122340742-1898351937-1275110158-1000\...exe [@ = exefile] -- Reg Error: Key error. File not found
[2012-03-07 15:16:02 | 000,000,000 | ---D | C] -- C:\Users\Jelen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Smart Fortress 2012
[2012-03-07 15:11:59 | 000,000,000 | ---D | C] -- C:\ProgramData\F4D55F170001634A000AF0F2EEC1FB6E
 
:Commands
[emptytemp]

 

Rozpocznij przyciskiem Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami usuwania.

 

3. Przedstaw: log z wynikami usuwania z punktu 2 + nowy log z OTL z opcji Skanuj (bez Extras). Wypowiedz się wyraźnie czy Centrum zaczęło działać.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wiem, że jest, widzę to przecież od początku w logu, usługa została wyłączona:

 

SRV - [2008-01-21 03:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)

 

Windows Defender z premedytacją został tu opuszczony przeze mnie. W tle chodzi ESET, Windows Defender niezdrowy w tym układzie. Dla treningu możesz sobie go włączyć, by sprawdzić o co chodzi i jak się steruje usługami: Start > w polu szukania wpisz services.msc > z prawokliku "Uruchom jako Administrator", na liście wyszukaj usługę Windows Defender, dwuklik w nią, Typ uruchomienia ustaw na Automatyczny + usługę zastartuj przyciskiem.

 

 

Kroki finalizujące:

 

1. Skrypt miał problem z przetworzeniem jednego obiektu, jakoby go nie widzi:

 

========== OTL ==========
Folder C:\ProgramData\F4D55F170001634A000AF0F2EEC1FB6E\ not found.

 

... ale on nadal jest:

 

[2012-03-07 15:11:59 | 000,000,000 | ---D | C] -- C:\ProgramData\F4D55F170001634A000AF0F2EEC1FB6E

 

Przez SHIFT+DEL skasuj z dysku ten folder infekcji.

 

2. W OTL uruchom Sprzątanie które usunie z dysku OTL wraz z kwarantanną.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. System w krytycznym stanie aktualizacji, brak SP2+IE9 i wsparcia:

 

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)

 

Obowiązkowe aktualizacje: KLIK. Potwierdź ich pomyślne wykonanie, bo tak niski SP jest podejrzany, czy nie ma tu jakiegoś podskórnego problemu ...

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...