Skocz do zawartości

Polska Policja Cyberprzestępczość Departament / Paysafecard ransomware


bres

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Jest tu również szczątkowy ślad rootkita ZeroAccess w starszej wersji (łącze symboliczne widzialne).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB58953$ /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page Restore"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, blokada zniknie. Opuść Tryb awaryjny.

 

2. Windows jest pozbawiony pliku HOSTS. Odbuduj plik. Upewnij się, że są widoczne wszystkie rozszerzenia w Mój komputer > Narzędzia > Opcje folderów > Widok > odznaczone Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

 

127.0.0.1       localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\WINDOWS\system32\drivers\etc.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER.

 

 

 

.

Odnośnik do komentarza

Link symboliczny ZeroAccess nie zszedł. Zapomniałam zrekonfigurować uprawnienia.

 

1. Uruchom GrantPerms i w oknie wklej:

 

C:\WINDOWS\$NtUninstallKB58953$

 

Klik w Unlock.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB58953$ /C

C:\WINDOWS\$NtUninstallKB58953$

 

Klik w Wykonaj skrypt. Przedstaw wynikowy log z usuwania. Tyle wystarczy, nowy skan OTL zbędny.

 

 

 

.

Odnośnik do komentarza

Wprawdzie wygląda na to, że link symboliczny został zdjęty poleceniem fsutil, ale folder nie chce się usunąć. Powtórz zadanie:

 

1. Tym razem do GrantPerms wklej taką strukturę:

 

C:\WINDOWS\$NtUninstallKB58953$\2338417960\U
C:\WINDOWS\$NtUninstallKB58953$\2338417960\L
C:\WINDOWS\$NtUninstallKB58953$\2338417960
C:\WINDOWS\$NtUninstallKB58953$

 

2. Do OTL zaś wklej:

 

:Files

C:\WINDOWS\$NtUninstallKB58953$

 

I tylko log z usuwania mnie interesuje.

 

 

 

.

Edytowane przez picasso
28.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...