viper Opublikowano 21 Czerwca 2012 Zgłoś Udostępnij Opublikowano 21 Czerwca 2012 Witam, zostałem przekierowany z moim problemem z forum search&engines bo mam ZeroAccess. Te same logi umieszczam na tym forum. Czy moge prosic o sprawdzenie logow i co zrobic aby 'wyleczyc" laptopa? OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... gmer.txtPobieranie informacji ... ComboFix.txtPobieranie informacji ... FSS.txtPobieranie informacji ... SecurityCheck.txtPobieranie informacji ... SystemLook.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2012 Zgłoś Udostępnij Opublikowano 21 Czerwca 2012 Ten system był chyba leczony przez MBAM, gdyż log z SystemLook pokazuje klucz trojana "zmodyfikowany" na rzekomo prawidłową wartość (to jest błąd MBAM, zamiast usunąć klucz próbuje go poprawiać). Poza tym, widać w logu nadal elementy ZeroAccess i fałszywego antywirusa. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\RunOnce: [F4D55F38001167CF000C9AC5A6014588] C:\ProgramData\F4D55F38001167CF000C9AC5A6014588\F4D55F38001167CF000C9AC5A6014588.exe () :Files C:\Users\twojnet\AppData\Local\{ae78c18c-1ea9-1bce-b4b4-999c4d133f39} C:\Users\twojnet\Desktop\Live Security Platinum.lnk C:\ProgramData\F4D55F38001167CF000C9AC5A6014588 reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f /C reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum" /f /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Zastosuj AdwCleaner z opcji Delete. 3. Wygeneruj do oceny nowy log OTL z opcji Skanuj (już bez Extras) oraz SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Dołącz log z wynikami usuwania AdwCleaner. . Odnośnik do komentarza
viper Opublikowano 21 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2012 zalaczam logi zgodnie z wytycznymi OTL2.TxtPobieranie informacji ... AdwCleanerS1.txtPobieranie informacji ... SystemLook1.txtPobieranie informacji ... OTL1.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 22 Czerwca 2012 Zgłoś Udostępnij Opublikowano 22 Czerwca 2012 Źle przekleiłeś skrypt do okna, zabrakło zamknięcia klamrą [emptytemp] i w konsekwencji nie zostały wyczyszczone lokalizacje tymczasowe: ========== COMMANDS ==========Error: Unable to interpret in the current context! Ponadto, klucz pozostawiony po infekcji usunął się w sposób pozorowany. 1. Usuń klucz ręcznie. Start > w polu szukania wpisz regedit > skasuj z prawokliku klucz; HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} 2. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. 3. W kwestii niedziałającej sieci, wykonaj reset Winsock Protocol (komenda netsh winsock reset) + Winsock NameSpace (import pliku REG zgodnego z systemem): KLIK. Zresetuj system i podaj rezultaty czy jest jakaś poprawa. . Odnośnik do komentarza
viper Opublikowano 22 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 22 Czerwca 2012 Skrypt wykonany w OTL tym razem poprawnie. Log w zalaczniku. Klucz usuniety recznie. Pliki tymczasowe usuniete. Internet dzialal dotychczas wiec nie robilem ostatniego punktu. Czy nalezy jeszcze cos wykonac, jakies logi? OTL_skrypt.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 22 Czerwca 2012 Zgłoś Udostępnij Opublikowano 22 Czerwca 2012 (edytowane) Nie wiem po co powtórzyłeś skrypt do OTL. To bez sensu. Skrypt jest jednorazowego użytku, nie przetworzy po raz drugi tego samego, i nie zadawałam jego powtarzania, tylko podałam ekwiwalenty działań na rzeczy nie wykonane. Miałeś tylko: ręcznie skasować klucz + użyć TFC (robi to samo co komenda [emptytemp]). Cytat Internet dzialal dotychczas wiec nie robilem ostatniego punktu. Nic o tym nie mówiłeś wcześniej, w tytule tematu stoi "Brak internetu, ZeroAccess" i pierwszy log z Farbar Service Scanner definitywnie obrazował padniętą sieć. To kiedy / w jaki sposób została naprawiona sieć? I przechodzimy do wykończeń: 1. Należy w prawidłowy sposób odinstalować ComboFix. Narzędzie miało błąd deinstalacji i należy wykorzystać najnowszą dostępną wersję, by nie było skutków ubocznych. Dla pewności pobierz ComboFix od nowa, następnie klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "pełna ścieżka dostępu do ComboFix.exe" /uninstall Gdy komenda ukończy, zastosuj Sprzątanie w OTL oraz użyj Uninstall w AdwCleaner. 2. Dla pewności wykonaj pełne (a nie ekresowe) skanowanie w Malwarebytes Anti-Malware i przedstaw wynikowy raport, o ile coś zostanie znalezuone. . Edytowane 27 Sierpnia 2012 przez picasso 27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi