Infekcja - moja pomoc komuś na odległość...

[covo]

nietypowe troche, proszono mnie o pomoc na odleglosc,mam kontakt via skype. Komus zarazil sie laptop (o ile dobrze kojarzy: odpalil jakiegos exe-ka tuz przed zarazeniem), widzialem efekt w skype i ta droga usilowalem pomoc, bez skutku. Stad moj post tutaj.

I tylko ta droga mojej "pomocy" mozliwa, nie mam bezp. dostepu do zarazonego laptopa, moge podpowiadac odleglosciowo...

 

O co chodzi:

siedzieli przed laptopem, w sieci; odpalili exe-ka i nagle wskakuje na caly ekran tablica, tekst niemiecki: jestescie widoczni, sfotografowani przez kamere laptopa, wszystko widzimy, itp itd. A do tego:na ekranie laptopa oprocz tablicy z owym napisem, znajomi moi maja niespodziewany malutki ekranik w ktorym widza sami siebie ze swojej kamerki laptopowej...

No to oni kabel sieciowy szarpneli z laptopa i... co dalej?

Zrestartowali laptop - pokazuje sie ta sama tablica zarażeniowa. I tak w kolko, zero ruchu.

 

Jak to dokladnie wyglada przy bootowaniu systemu:

zanim pojawi sie ta zarażeniowa tablica z napisem, widac, ze laptop zdaje sie "wchodzi" w system, bo pojawia sie to pierwsze niebieskie "tło" z w7, czeka, czeka i juz nie pojawia sie mozliwosc zalogowania przez konkretnego uzytkownika, bo nagle calosc ekranu zajmuje tablica z tym zarazeniowym napisem.

Dla scislosci: tryb awaryjny daje ten sam efekt.

 

Co poradzilem:

poradzilem skanowanie plyta drweb live cd.

Dla szybkosci: najpierw tylko boot sektor/mbr i partycja c: systemowa. Znalazlo pare trojanow (z 2,3), wyleczylo.

Nastepnie: boot systemu. I zarazenie jest nadal.

Wiec teraz skanowanie calego dysku. Znalazlo pare trojanow, cos tam wyleczylo, ale pare z nich (nie jest pewne, ze to trojany...) ani nie daje sie wyleczyc, ani kwarantanna, ani nic, zero ruchu.

Znow bootowanie - zarzenie aktualne.

 

I ja juz pomyslu nie mam na inna metode wyleczenia. O tyle trudne (dla mnie), ze zero dostepu do systemu, jedynie mozna bootowac z cd/pendrive. drweb uchodzi za dobry, tutaj nie sprawdza sie...

 

Moze jakas inna plyta/pendrive live?

 

Jakis pomysł? picasso? Ktos inny rownie zyczliwy?

[Anonim8]

Tryb awaryjny działa? Jeśli działa to niech pobiorą OTL podadzą na pendraku i wykonają skanowanie. A Ty wkleisz raporty

http://www.fixitpc.p...ty-systemowe/#1

 

Dla scislosci: tryb awaryjny daje ten sam efekt.

 

A awaryjny z wierszem polecenia też nie idzie?

[covo]

napisalem, ze "tradycyjny" awaryjny daje ten sam efekt, co wchodzenie w pelne windows.

 

Czy awaryjny z wierszem polecenia dziala? A tego , to nie wiem...

Sprawdze korespondencyjnie.

Ale dla szybkosci,a zwlaszcza zwartosci komunikacji mojej z nimi - powiedz:

1. co dalej z marszu wykonac, jesli okaze sie, że z wierszem polecenia tryb awar. dziala?

2. co dalej, jesli i ten tryb nie dziala?

 

czy to? -> https://www.fixitpc.pl/topic/16265-infekcja-moja-pomoc-komus-na-odleglosc/unread/

ktore z nich? OTLPE?

inne?

[Anonim8]

1. co dalej z marszu wykonac, jesli okaze sie, że z wierszem polecenia tryb awar. dziala?

2. co dalej, jesli i ten tryb nie dziala?

 

Jeśli tryb z wierszem polecenia działa to niech pobiorą OTL na pendraka , podepną do zainfekowanego kompa i z poziomu awaryjnego komenda

 

X:\OTL.exe

 

klik enter

 

gdzie X to litera pod którą pokazuje się pendraiw

 

A jak nie działa tryb awaryjny z wierszem polecenia to niech wypalą płytkę OTLPE i z niej wystartują na kompa i zrobią logi z OTL.

http://www.fixitpc.p...jacych-windows/

 

 

EDIT: Covo nie edytuj postów jak odpisałem tylko pisz nowy. Bo tak dialog robi się bez sensu.

 

ktore z nich? OTLPE?

 

http://oldtimer.geekstogo.com/OTLPEStd.exe

[covo]

mam nadzieje, ze uda sie ustalic jakie ma byc "x"...

Log po odpaleniu OTL samoistnie wklepie sie na pendrive?

 

sorry, co mam klikac: cytuj, czy odpowiedz?

[Anonim8]

mam nadzieje, ze uda sie ustalic jakie ma byc "x"...

 

No chyba wiedzą jak mają podzielony dysk i ile jest partycji?

 

można to sprawdzić przez polecenie diskpart

następnie polecenie list disk

 

pojawi się lista dysków (pendraiw ma być podpiety wcześniej)

 

po rozmiarze pendraiwa powinni poznać pod jakim numerem występuje

 

wpisują komendę select disk 1 (na przykład 1)

 

pojawi się napis obecnie wybranym dyskiem jest dysk 1

 

potem komenda list volume

 

i powinni zobaczyć coś takiego jak u mnie

 

Obecnie wybranym dyskiem jest dysk 1.

DISKPART> list volume

Wolumin ### Lit Etykieta Fs Typ Rozmiar Stan Info

----------- --- ----------- ----- ---------- ------- --------- --------

Wolumin 0 F DVD-ROM 0 B Brak nośn

Wolumin 1 C SYSTEM NTFS Partycja 60 GB Zdrowy System

Wolumin 2 D DANE NTFS Partycja 100 GB Zdrowy

Wolumin 3 E GRAFIKA NTFS Partycja 138 GB Zdrowy

Wolumin 4 G KINGSTON FAT32 Wymienny 3823 MB Zdrowy

 

jak widać Pendraiw jest pod literą G. Opuszczają program diskpart wpisując komendę exit.

W moim przypadku musiałbym wpisać komendę G:\OTL.exe

 

Chyba prościej bedzie jak pobiorą OTLPE i nagrają płytkę.

[picasso]

mam nadzieje, ze uda sie ustalic jakie ma byc "x"...

 

W Trybie awaryjnym z wierszem polecenia wpisać polecenie notepad, co otworzy Notatnik. W Notatniku w menu Plik > Otwórz > klik w Mój komputer i jest lista wszystkich widzianych dysków.

 

 

 

.

[covo]

Chyba prościej bedzie jak pobiorą OTLPE i nagrają płytkę.

 

chyba prosciej

[Anonim8]

Z taką komunikacja lepiej zrobić format.

[covo]

sorry za nagle milczenie, ale okazalo sie, ze nastepnego dnia laptop... "sie zreperowal". widocznie (?) zaordynowany drweb live cd usunal co trzeba i to pomoglo w "samonaprawie". w kazdym razie za usilowanie pomocy - dzieki.

[diox]

Skoro się sam naprawił, niech podadzą wymagane logi z OTL i GMER-a.

 

 

 

 

 

.

[covo]

jakie logi... kawalarz z Ciebie nie zdążyli zrobic OTL i GMER-a, odlozyli to na dzien nastepny, odpalili laptop dnia nastepnego i laptop byl ok, ekran "zarażeniowy" umknął i tak jest do dzisiaj.

[diox]

Warto je zrobić, tak na wszelki wypadek.

[picasso]

covo, Ty też niezłym kawalarzem jesteś. Chodzi o logi zrobione z teraz a nie przed samonaprawą.

[covo]

sam bym chcial zobaczyc te logi - i z teraz, i nie z teraz Ale warto zrozumiec, ze dla wiekszosci ludzi: "jest awaria,jest zabawa", nie ma awarii - idą dalej i nie maja czasu na diagnozowanie tego, czego juz oczy nie widza. Nas ciekawi co-i-jak w tym laptopie, dla nich - laptop jest ok, zajmuja sie zyciem, laptop w tej chwili jest w Egipcie na sympozjum i sympozjum gra pierwsze skrzypce, nie OTL.

A ja bylem sluzacym sytuacji, do szturmu nikogo nie zmusze. No, chyba, ze znow cos zacznie wrzeszczec....

[picasso]

covo, sprawdzenie aktualnej sytuacji jest istotne, bo "samonaprawa" to mit i mogą być jeszcze pliki infekcji na dysku:

 

widocznie (?) zaordynowany drweb live cd usunal co trzeba i to pomoglo w "samonaprawie".

 

Tak więc, gdy właściciele będą dostępni dociśnij ich w sprawie raportów.

 

 

 

.

[covo]

oczywiscie, ze mit, przeciez dlatego pisalem tak: "....."

a poniewaz to nie moj lap., wobec tego jest dalej tak, jak tamci dobrzy ludzie animuja. Dziala lap. bez alarmu na ekranie, ktory mieli przy bootowaniu - i to ich usypia, powiedzialem, ze to jeszcze nic nie znaczy,ale to ich póki co nie budzi; znajda czas, albo samo ich przywola do porzadku - znow wrzasną do mnie, pewnie tak to bedzie.

[picasso]

W związku z tym temat zamykam. Jeśli się zgłoszą, najwyżej poprosisz o otworzenie tematu.