agresywneklapki Opublikowano 14 Stycznia 2013 Zgłoś Udostępnij Opublikowano 14 Stycznia 2013 Historia jakich wiele ostatnio, przeglądam sobie internet a tu nagle na cały ekran informacja że komputer został zablokowany i nic nie dało się zrobić, nawet wejść do trybu awaryjnego. Działał tylko tryb awaryjny z wierszem poleceń. Co zrobiłem: uruchomiłem komp z wiersza poleceń i uruchomiłem autoruns.exe odznaczyłem w autoruns 2 podejrzanie (według mnie) wyglądające wpisy - te zaznaczone na czerwono na poniższym screenie uruchomiłem system ponownie - włączył się już normalnie na pierwszy rzut oka usunąłem z \AppData\Roaming pliki skype.dat i skype.ini bo wydało mi się to podejrzane - nigdy na kompie nie miałem skypa... z ProgramData usunąłem folder LocalSettings razem z podejrzaną zawartością - plikiem mswius.exe Tutaj link do raportu na temat tego pliku z virustotal. na koniec przeskanowałem system antywirusem AVG który znalazł coś takiego: Koń trojański Defiler.G, C:\Windows\SysWOW64\svchost.exe (2572) Proszę o sprawdzenie logów bo wydaje mi się że chyba coś po tym jeszcze zostało. Na koniec zaktualizowałem Javę 7 z update 10 do update 11. Chyba przez to musiałem złapać tego rodzynka Results of screen317's Security Check version 0.99.57 Windows 7 Service Pack 1 x64 (UAC is disabled!) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` AVG Internet Security 2013 Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Java 7 Update 11 Adobe Flash Player 11.5.502.146 Adobe Reader XI ````````Process Check: objlist.exe by Laurent```````` AVG avgwdsvc.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` EDIT: dodałem 2 logi OTL.Txt Extras.Txt mbam-log-2013-01-14 (23-05-20).txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 usunąłem z \AppData\Roaming pliki skype.dat i skype.ini bo wydało mi się to podejrzane - nigdy na kompie nie miałem skypa...z ProgramData usunąłem folder LocalSettings razem z podejrzaną zawartością - plikiem mswius.exe Usunięcie słuszne, to była infekcja. Na koniec zaktualizowałem Javę 7 z update 10 do update 11. Chyba przez to musiałem złapać tego rodzynka Bardzo prawdopodobne. Obecnie Java to jedno ze źródeł. W obecnych logach nie widzę już oznak czynnej infekcji, tylko wymagana korekta na te dwa wpisy wpis (ten drugi: infekcja się stąd ładowała, domyślnie Shell w HKCU nie istnieje): O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 31099 = C:\PROGRA~3\LOCALS~1\Temp\mswius.exeO20 - HKU\S-1-5-21-4192287146-3759036495-2947714439-1000 Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation) ... i usunięcie drobnych folderów. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :OTL O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 31099 = C:\PROGRA~3\LOCALS~1\Temp\mswius.exe :Files C:\ProgramData\APN C:\Users\Public\Documents\microsoft :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. W OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. . Odnośnik do komentarza
agresywneklapki Opublikowano 15 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Zastosowałem się do instrukcji. Rozumiem że żadne dalsze działania już nie są potrzebne ? Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Jeśli skrypt się przetworzył i reszta zrobiona, to tak = koniec. Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi