jachu876 Opublikowano 1 Listopada 2012 Zgłoś Udostępnij Opublikowano 1 Listopada 2012 (edytowane) Witam. Do laptopa wkradł mi się wirus, który podaje się za policję. Załączam logi z OTL P.S. Mam prośbe. Jeżeli nic nie stoi na przeszkodzie, to proszę o zaznaczenie wierszy w logach, które świadczą o złośliwym oprogramowaniu, itp. Edytowane 2 Listopada 2012 przez picasso Wadliwe zalączniki usuwam. //picasso Odnośnik do komentarza
picasso Opublikowano 1 Listopada 2012 Zgłoś Udostępnij Opublikowano 1 Listopada 2012 W co Ty tu ze mną pogrywasz. Podajesz mi logi z tego tematu, konkretnie z posta numer #5 log główny, a Extras z pierwszej rundy: https://www.fixitpc.pl/topic/13601-problem-z-pokaz-ukryte-pliki-i-foldery/ Mam prośbe. Jeżeli nic nie stoi na przeszkodzie, to proszę o zaznaczenie wierszy w logach, które świadczą o złośliwym oprogramowaniu, itp. Po pierwsze: tu nie ma czego zakreślać, logi były już obrabiane. Po drugie: ogólnie uważam że to nie ma celu i się nie nauczysz za dużo. Bo to oznacza, że nie potrafisz porównać danych, raportu ze skryptem, a przede wszystkim oryginalnym miejscem w systemie, i wyciągnąć wniosków. W analizie raportów nikt nie prowadzi za rękę, bo to jest niemożliwe (non stop wychodzi coś nowego i analizujący musi samodzielnie bez pomocy diagnozować), albo to wiesz / rozumiesz albo nie. Nie ma też sensu zakreślać co jest złe a co nie, bo już za kilka tygodni te dane są bezużyteczne, wchodzą nowe infekcje, inne wpisy (mogą być zupełnie niepodobne do tych które były wcześniej i nie łączy ich ze sobą nic poza słowem "infekcja"). Mówię: w mojej opinii od złej strony zaczynasz, OTL i skrypty to tylko narzędzie pomocnicze, to nie ich należy się uczyć. Każdy kto zaczyna dokładnie na odwrót, czyli najpierw chce "OTL i skrypty", jest bardzo ograniczony i no cóż nie jest w tym dobry, nie potrafi nic więcej, a szybko poważniejsza infekcja udowodni brak wiedzy, bo w raporcie czegoś nie będzie widać co należy wiedzieć i wykonać bez pomocy raportu. . Odnośnik do komentarza
jachu876 Opublikowano 1 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 1 Listopada 2012 Przepraszam, widocznie musiałem coś pomylić i zły log załączyć. Powinny być te logi OTL log.txt Extras log.txt Odnośnik do komentarza
picasso Opublikowano 2 Listopada 2012 Zgłoś Udostępnij Opublikowano 2 Listopada 2012 Te złe logi usuwam z pierwszego posta. Szkodliwy wpis: O4 - Startup: C:\Documents and Settings\Stanisław\Menu Start\Programy\Autostart\ctfmon.lnk = C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe (Microsoft Corporation)[2012-10-29 19:22:04 | 000,001,042 | ---- | M] () -- C:\Documents and Settings\Stanisław\Menu Start\Programy\Autostart\ctfmon.lnk[2012-10-29 19:21:20 | 000,033,280 | ---- | M] (Microsoft Corporation) -- C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe[2012-11-01 20:06:53 | 000,011,576 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad I na tym systemie też uruchamiałeś ComboFix ... 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Stanisław\Menu Start\Programy\Autostart\ctfmon.lnk C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak del /q C:\REMOVE_THIS_FILE.livecd.swap /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] :Services PEVSystemStart :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. 2. Od razu odinstaluj okropnie stare i problematyczne kodeki ACE Mega CoDecS Pack (to kodeki gdzieś z roku 2004!) oraz McAfee Security Scan Plus (sponsor paczek Adobe, instalacja nieświadoma). 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Zaznacz opcję Pomiń pliki Microsoftu. . Odnośnik do komentarza
jachu876 Opublikowano 2 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 2 Listopada 2012 I na tym systemie też uruchamiałeś ComboFix ... Tak to jest jak nie ma się dostatecznej wiedzy, a mimo to próbuje się samemu usunąć infekcję ;/ Punkty: 1, 2 i 3 wykonane Załączam log P.S. Przepraszam za te błędne logi Wybacz mi Picasso OTL log.txt Odnośnik do komentarza
picasso Opublikowano 2 Listopada 2012 Zgłoś Udostępnij Opublikowano 2 Listopada 2012 Zadania pomyślnie wykonane, czyli możemy kończyć wg znanych Ci już kroków: 1. Porządki po narzędziach: ComboFixa już chyba odinstalowałeś, ale jeszcze w OTL uruchom Sprzątanie oraz przez SHIFT+DEL dokasuj te obiekty z dysku: C:\REMOVE_THIS_FILE.livecd.swap C:\WINDOWS\erdnt 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Aktualizacje: KLIK. Tu też jest nieaktualizowany Windows plus starszy Adobe Reader: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish . Odnośnik do komentarza
jachu876 Opublikowano 2 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 2 Listopada 2012 Dziękuję za pomoc Picasso Pozdrawiam!!! Temat można zamknąć Odnośnik do komentarza
Rekomendowane odpowiedzi