Skocz do zawartości

Witamy na forum Fixitpc.pl
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Zdjęcie

Polska Policja Cyberprzestępczość Departament / Paysafecard ransomware


  • Zamknięty Temat jest zamknięty
5 odpowiedzi w tym temacie

#1
bres

bres

    Użytkownik

  • Użytkownicy
  • Pip
  • 5 postów
Witam!
Serdecznie proszę o pomoc w susnięciu problemu
bres

Załączone pliki

  • Załączony plik  OTL.Txt   45.92 KB   183 Ilość pobrań
  • Załączony plik  Extras.Txt   34.87 KB   90 Ilość pobrań


#2
picasso

picasso

    Administrator

  • Administratorzy
  • 28254 postów
Jest tu również szczątkowy ślad rootkita ZeroAccess w starszej wersji (łącze symboliczne widzialne).

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB58953$ /C

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page Restore"=-

:Commands
[emptytemp]


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.



Klik w Wykonaj skrypt. System zostanie zrestartowany, blokada zniknie. Opuść Tryb awaryjny.

2. Windows jest pozbawiony pliku HOSTS. Odbuduj plik. Upewnij się, że są widoczne wszystkie rozszerzenia w Mój komputer > Narzędzia > Opcje folderów > Widok > odznaczone Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

127.0.0.1       localhost


Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

Plik wstaw do folderu C:\WINDOWS\system32\drivers\etc.

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#3
bres

bres

    Użytkownik

  • Użytkownicy
  • Pip
  • 5 postów
Dodałem plik "hosts".
Oto raporty:

Załączone pliki

  • Załączony plik  OTL.Txt   48.96 KB   43 Ilość pobrań
  • Załączony plik  GMER.txt   12.87 KB   41 Ilość pobrań


#4
picasso

picasso

    Administrator

  • Administratorzy
  • 28254 postów
Link symboliczny ZeroAccess nie zszedł. Zapomniałam zrekonfigurować uprawnienia.

1. Uruchom GrantPerms i w oknie wklej:

C:\WINDOWS\$NtUninstallKB58953$


Klik w Unlock.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB58953$ /C
C:\WINDOWS\$NtUninstallKB58953$


Klik w Wykonaj skrypt. Przedstaw wynikowy log z usuwania. Tyle wystarczy, nowy skan OTL zbędny.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#5
bres

bres

    Użytkownik

  • Użytkownicy
  • Pip
  • 5 postów
Proszę bardzo, oto log z usuwania:

Załączone pliki

  • Załączony plik  Log.txt   851 bajtów   59 Ilość pobrań


#6
picasso

picasso

    Administrator

  • Administratorzy
  • 28254 postów
Wprawdzie wygląda na to, że link symboliczny został zdjęty poleceniem fsutil, ale folder nie chce się usunąć. Powtórz zadanie:

1. Tym razem do GrantPerms wklej taką strukturę:

C:\WINDOWS\$NtUninstallKB58953$\2338417960\U
C:\WINDOWS\$NtUninstallKB58953$\2338417960\L
C:\WINDOWS\$NtUninstallKB58953$\2338417960
C:\WINDOWS\$NtUninstallKB58953$


2. Do OTL zaś wklej:

:Files
C:\WINDOWS\$NtUninstallKB58953$


I tylko log z usuwania mnie interesuje.



.

Użytkownik picasso edytował ten post 28-11-2012 - 10:01
28.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.





Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych