Logowanie »
Rejestracja
Serdecznie proszę o pomoc w susnięciu problemu
bres
Załączone pliki
-
OTL.Txt 45.92 KB
147 Ilość pobrań
-
Extras.Txt 34.87 KB
57 Ilość pobrań
Witamy na forum Fixitpc.pl
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Polska Policja Cyberprzestępczość Departament / Paysafecard ransomware
Rozpoczęty przez bres, 28-10-2012 18:44
-
Temat jest zamknięty
Do góry
Zgłoś
#2
Napisano 28-10-2012 - 18:57
picasso
-
- Administratorzy
-
- 22365 postów
Administrator
Jest tu również szczątkowy ślad rootkita ZeroAccess w starszej wersji (łącze symboliczne widzialne).
1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:
Klik w Wykonaj skrypt. System zostanie zrestartowany, blokada zniknie. Opuść Tryb awaryjny.
2. Windows jest pozbawiony pliku HOSTS. Odbuduj plik. Upewnij się, że są widoczne wszystkie rozszerzenia w Mój komputer > Narzędzia > Opcje folderów > Widok > odznaczone Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:
Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia
Plik wstaw do folderu C:\WINDOWS\system32\drivers\etc.
3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER.
.
1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:
:Files
C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB58953$ /C
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page Restore"=-
:Commands
[emptytemp]
Klik w Wykonaj skrypt. System zostanie zrestartowany, blokada zniknie. Opuść Tryb awaryjny.
2. Windows jest pozbawiony pliku HOSTS. Odbuduj plik. Upewnij się, że są widoczne wszystkie rozszerzenia w Mój komputer > Narzędzia > Opcje folderów > Widok > odznaczone Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:
127.0.0.1 localhost
Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia
Plik wstaw do folderu C:\WINDOWS\system32\drivers\etc.
3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER.
.
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.
#4
Napisano 28-10-2012 - 19:55
picasso
-
- Administratorzy
-
- 22365 postów
Administrator
Link symboliczny ZeroAccess nie zszedł. Zapomniałam zrekonfigurować uprawnienia.
1. Uruchom GrantPerms i w oknie wklej:
Klik w Unlock.
2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:
Klik w Wykonaj skrypt. Przedstaw wynikowy log z usuwania. Tyle wystarczy, nowy skan OTL zbędny.
.
1. Uruchom GrantPerms i w oknie wklej:
C:\WINDOWS\$NtUninstallKB58953$
Klik w Unlock.
2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:
:Files
fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB58953$ /C
C:\WINDOWS\$NtUninstallKB58953$
Klik w Wykonaj skrypt. Przedstaw wynikowy log z usuwania. Tyle wystarczy, nowy skan OTL zbędny.
.
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.
#6
Napisano 29-10-2012 - 07:21
picasso
-
- Administratorzy
-
- 22365 postów
Administrator
Wprawdzie wygląda na to, że link symboliczny został zdjęty poleceniem fsutil, ale folder nie chce się usunąć. Powtórz zadanie:
1. Tym razem do GrantPerms wklej taką strukturę:
2. Do OTL zaś wklej:
I tylko log z usuwania mnie interesuje.
.
1. Tym razem do GrantPerms wklej taką strukturę:
C:\WINDOWS\$NtUninstallKB58953$\2338417960\U
C:\WINDOWS\$NtUninstallKB58953$\2338417960\L
C:\WINDOWS\$NtUninstallKB58953$\2338417960
C:\WINDOWS\$NtUninstallKB58953$
2. Do OTL zaś wklej:
:Files
C:\WINDOWS\$NtUninstallKB58953$
I tylko log z usuwania mnie interesuje.
.
Użytkownik picasso edytował ten post 28-11-2012 - 10:01
28.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.
Użytkownicy przeglądający ten temat: 0
0 użytkowników, 0 gości, 0 anonimowych
