Liczba postów: 7
Liczba wątków: 1
Dołączył: 29.09.2013
Reputacja:
0
Objawy zainfekowania:
Biały ekran po uruchomieniu komputera nic nie działa nawet ctr alt delete
Wykonywane działania:
Znalazlem na sieci instrukcje jak po wejsciu w tryb awaryjny z wierszem polecen usunac w regedit element shell po winlogon. Teraz system sie uruchamia ale jest zainfekowany
Logi: 2 pierwsze otl i ostatni extras
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 424
Liczba wątków: 44
Dołączył: 07.12.2012
Reputacja:
47
Usuń następujące programy:
-TightVNC
-SAP
Wykonaj skrypt:
Kod: :Files
C:\Users\plr04893\AppData\Roaming\data.dat
C:\Users\plr04893\AppData\Roaming\GF_eXpress.ini
C:\Users\plr04893\AppData\Local\fusioncache.dat
C:\Users\plr04893\AppData\Roaming\settings.ini
C:\Windows\tasks\*.*
:Commands
[EMPTYTEMP]
[CLEARALLRESTOREPOINTS]
Wystąpi reset komputera.
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj] Jeżeli coś znajdzie, nie usuwaj, ale daj log. Zapisze się on na dysku C:\
Podaj nowe logi z OTL
0x DEADBEEF
Liczba postów: 7
Liczba wątków: 1
Dołączył: 29.09.2013
Reputacja:
0
A moge bez deinstalacji Sapa??. Potrzebuje go. pozatym mam zainstalowane 4 różne sapy z różnymi nazwami.
Liczba postów: 424
Liczba wątków: 44
Dołączył: 07.12.2012
Reputacja:
47
Liczba postów: 7
Liczba wątków: 1
Dołączył: 29.09.2013
Reputacja:
0
TDSSKiler nic nie znalazł 
poniżej log z OTL po wykonaniu wszystkich instrukcji
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Ransom ransomem ale jest jeszcze infekcja trojanem zeroaccess recycle.bin
Ściągnij ten program względem swojego systemu [Aby zobaczyć linki, zarejestruj się tutaj] zostaw tak jak to jest zaznaczone,uruchom kliknij scan i podaj wygenerowane 2 raporty FRST.txti Addition.txt
Liczba postów: 424
Liczba wątków: 44
Dołączył: 07.12.2012
Reputacja:
47
Właśnie nie byłem pewny, dlatego poprosiłem o TDSSKiller''a. Można jeszcze użyć [Aby zobaczyć linki, zarejestruj się tutaj] . Co o tym sądzisz? Oczywiście potem standardy typu Farbar Service Scanner, MBAM itd.
0x DEADBEEF
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Do najnowszych wariantów się nie nadaje KillZA
Liczba postów: 7
Liczba wątków: 1
Dołączył: 29.09.2013
Reputacja:
0
Podaje raporty z programu
Log FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Log Addition
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Wklej skrypt do notatnika i zapisz jako fixlist.txt
Kod: HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$4f214f2d4fe21392602d5548042ed05d\n. ATTENTION! ====> ZeroAccess?
HKCU\...409d6c4515e9\InprocServer32: [Default-shell32]<==== ATTENTION!
HKLM-x32\...\Run: [] - [x]
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO-x32: IE5BarLauncherBHO Class - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)
Toolbar: HKLM-x32 - StartSearchToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)
Toolbar: HKCU -No Name - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -No File
C:\$Recycle.Bin\S-1-5-18\$4f214f2d4fe21392602d5548042ed05d
C:\$Recycle.Bin\S-1-5-21-2052111302-790525478-839522115-743679\$4f214f2d4fe21392602d5548042ed05d
HKCU\...\Policies\Explorer: [HideSCAHealth] 1
HKLM\...\Run: [CorGigeStatus] - \CORGIGESTATUS.EXE" /S
HKLM\...\Run: [HotKeysCmds] - DOWS\SYSTEM32\HKCMD.EXE
HKLM\...\Run: [Persistence] - DOWS\SYSTEM32\IGFXPERS.EXE
HKLM\...\Run: [SynTPEnh] - H.EXE
Umieść obok FRSTi w programie kliknij Fix
Zrób nowy skan FRST ,ściągnij Farbar Service Scanner ,zaznacz wszystko kliknij Scani pokaż log
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 7
Liczba wątków: 1
Dołączył: 29.09.2013
Reputacja:
0
Witam
Wklejam loga z FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Oraz z FSS
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Ściągnij ServicesRepair ,uruchom prawym przyciskiem myszki jako administrator,uruchom komputer ponownie.
[Aby zobaczyć linki, zarejestruj się tutaj]
W FSSzaznacz wszystko kliknij scan,dołącz fixlogz niego.
Liczba postów: 7
Liczba wątków: 1
Dołączył: 29.09.2013
Reputacja:
0
WItam
Log z FSS ale nie jako fixlog tylko jako FSS.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Usługi naprawiane,została tylko drobnostka usunięta ikona centrum akcji Action Center Notification Icon =====> Unable to open HKLM\...\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} key. The key does not exist.
Do notatnika wklej:
Kod: Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""
zapisz jako fix.regi z prawokliku myszki scal
Liczba postów: 7
Liczba wątków: 1
Dołączył: 29.09.2013
Reputacja:
0
Zrobione
Dziękuje za pomoc
Dodano: 07 paź 2013, 8:46
Zrobione
Dziękuje za pomoc
|
