Objawy zainfekowania:
Biały ekran po uruchomieniu komputera nic nie działa nawet ctr alt delete
Wykonywane działania:
Znalazlem na sieci instrukcje jak po wejsciu w tryb awaryjny z wierszem polecen usunac w regedit element shell po winlogon. Teraz system sie uruchamia ale jest zainfekowany
Logi: 2 pierwsze otl i ostatni extras
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Usuń następujące programy:
-TightVNC
-SAP
Wykonaj skrypt:
Kod:
:Files
C:\Users\plr04893\AppData\Roaming\data.dat
C:\Users\plr04893\AppData\Roaming\GF_eXpress.ini
C:\Users\plr04893\AppData\Local\fusioncache.dat
C:\Users\plr04893\AppData\Roaming\settings.ini
C:\Windows\tasks\*.*
:Commands
[EMPTYTEMP]
[CLEARALLRESTOREPOINTS]
Wystąpi reset komputera.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
Jeżeli coś znajdzie, nie usuwaj, ale daj log. Zapisze się on na dysku C:\
Podaj nowe logi z OTL
A moge bez deinstalacji Sapa??. Potrzebuje go. pozatym mam zainstalowane 4 różne sapy z różnymi nazwami.
TDSSKiler nic nie znalazł
poniżej log z OTL po wykonaniu wszystkich instrukcji
[Aby zobaczyć linki, zarejestruj się tutaj]
Ransom ransomem ale jest jeszcze infekcja
trojanem zeroaccess recycle.bin
Ściągnij ten program względem swojego systemu
[Aby zobaczyć linki, zarejestruj się tutaj]
zostaw tak jak to jest zaznaczone,uruchom kliknij scan i podaj wygenerowane 2 raporty
FRST.txti
Addition.txt
Właśnie nie byłem pewny, dlatego poprosiłem o TDSSKiller''a. Można jeszcze użyć
[Aby zobaczyć linki, zarejestruj się tutaj]
. Co o tym sądzisz? Oczywiście potem standardy typu Farbar Service Scanner, MBAM itd.
Do najnowszych wariantów się nie nadaje KillZA
Podaje raporty z programu
Log FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Log Addition
[Aby zobaczyć linki, zarejestruj się tutaj]
Wklej skrypt do notatnika i zapisz jako
fixlist.txt
Kod:
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$4f214f2d4fe21392602d5548042ed05d\n. ATTENTION! ====> ZeroAccess?
HKCU\...409d6c4515e9\InprocServer32: [Default-shell32]<==== ATTENTION!
HKLM-x32\...\Run: [] - [x]
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO-x32: IE5BarLauncherBHO Class - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)
Toolbar: HKLM-x32 - StartSearchToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)
Toolbar: HKCU -No Name - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -No File
C:\$Recycle.Bin\S-1-5-18\$4f214f2d4fe21392602d5548042ed05d
C:\$Recycle.Bin\S-1-5-21-2052111302-790525478-839522115-743679\$4f214f2d4fe21392602d5548042ed05d
HKCU\...\Policies\Explorer: [HideSCAHealth] 1
HKLM\...\Run: [CorGigeStatus] - \CORGIGESTATUS.EXE" /S
HKLM\...\Run: [HotKeysCmds] - DOWS\SYSTEM32\HKCMD.EXE
HKLM\...\Run: [Persistence] - DOWS\SYSTEM32\IGFXPERS.EXE
HKLM\...\Run: [SynTPEnh] - H.EXE
Umieść obok
FRSTi w programie kliknij
Fix
Zrób nowy skan
FRST ,ściągnij
Farbar Service Scanner ,zaznacz wszystko kliknij
Scani pokaż log
[Aby zobaczyć linki, zarejestruj się tutaj]
Witam
Wklejam loga z FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Oraz z FSS
[Aby zobaczyć linki, zarejestruj się tutaj]
Ściągnij
ServicesRepair ,uruchom prawym przyciskiem myszki jako administrator,uruchom komputer ponownie.
[Aby zobaczyć linki, zarejestruj się tutaj]
W
FSSzaznacz wszystko kliknij scan,dołącz
fixlogz niego.
WItam
Log z FSS ale nie jako fixlog tylko jako FSS.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Usługi naprawiane,została tylko drobnostka usunięta ikona centrum akcji
Action Center Notification Icon =====> Unable to open HKLM\...\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} key. The key does not exist.
Do notatnika wklej:
Kod:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""
zapisz jako
fix.regi z prawokliku myszki scal
Zrobione
Dziękuje za pomoc
Dodano: 07 paź 2013, 8:46
Zrobione
Dziękuje za pomoc