iksu Opublikowano 28 Listopada 2013 Zgłoś Udostępnij Opublikowano 28 Listopada 2013 Witam. Mam problem z tym świństwem od wczoraj, problem polega na tym, że to chyba jakaś nowa wersja i nie pozwala na uruchomienie windowsa w trybie awaryjnym (ten z wierszem poleceń również nie działa), ładują się sterowniki, a potem komputer się restartuje i z powrotem wita nas gęba Komorowskiego. Dodam, że na ekranie nigdzie nie ma logo Ukash stąd podejrzenie, że to jakaś nowa wersja. nie mam płyty z windowsem. Narzędzia od Kasperskiego nie działąją (w tym windowsunlocker), kompletny skan niczego nie znajduje. Nie wiem jak mam uruchomić OTL bez wiersza poleceń, żeby przynajmniej wkleić Wam loga. I teraz tak - dysponuję drugim komputerem więc jedyne co przychodzi mi do głowy, to podpięcie dysku przez USB i odpalenie OTL na tym drugim - tyle, że obawiam się, że wirus przeniesię się na ten do tej pory zdrowy. Został mi tylko format C:? Czy wtedy nie zostaną jakieś pozostałości na innych dyskach. Bardzo proszę o pomoc. Odnośnik do komentarza
jessica Opublikowano 28 Listopada 2013 Zgłoś Udostępnij Opublikowano 28 Listopada 2013 https://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujacych-windows/ Odnośnik do komentarza
iksu Opublikowano 28 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2013 Już znalazłem - będę walczył po pracy, a efektami się podzielę Odnośnik do komentarza
iksu Opublikowano 28 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2013 Udało się uruchomić FRST - log wklejam poniżej. FRST.txt Odnośnik do komentarza
jessica Opublikowano 28 Listopada 2013 Zgłoś Udostępnij Opublikowano 28 Listopada 2013 1) 1. Otwórz Notatnik i wklej w nim: Startup: C:\Users\LKS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jwwhqft.lnkShortcutTarget: jwwhqft.lnk -> C:\ProgramData\tfqhwwj.dss (Корпорация Майкрософт)HKLM\...\Policies\Explorer\Run: [38085] - C:\ProgramData\mskddt.exe [615222 2009-07-14] ( ())C:\ProgramData\mskddt.exeC:\ProgramData\tfqhwwj.dssC:\ProgramData\jwwhqft.pssC:\ProgramData\jwwhqft.fvvC:\ProgramData\vttbfrmq.bxxC:\ProgramData\qmrfbttv.dssC:\ProgramData\vttbfrmq.pssC:\ProgramData\vttbfrmq.fvvC:\ProgramData\9rjwiod4.bxxC:\ProgramData\4doiwjr9.dssC:\ProgramData\9rjwiod4.pssC:\ProgramData\9rjwiod4.fvvC:\ProgramData\jwwhqft.regC:\ProgramData\jwwhqft.bxxC:\ProgramData\4doiwjr9.dssC:\ProgramData\9rjwiod4.bxxC:\ProgramData\9rjwiod4.fvvC:\ProgramData\9rjwiod4.pssC:\ProgramData\dx504EBD57.datC:\ProgramData\dx504F1E13.datC:\ProgramData\dx50F4F5D7.datC:\ProgramData\jwwhqft.bxx Plik zapisz pod nazwą fixlist.txt. Umieść obok narzędzia FRST.2. Uruchom FRST, wskaż mu Windows 7 jako system do naprawy, wybierz opcję Fix. Powstanie plik fixlog.txt. 3) Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>plik uruchom (dwuklik i OK). 4) Użyj >>RogueKiller (aby pobrać kliknij na obrazek x64 po Lien de téléchargement :)Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego. 5) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko). 6) Zrób nowe logi z FRST. jessi Odnośnik do komentarza
iksu Opublikowano 28 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2013 1) zrobione 2) zrobione (uruchomione w trybie naprawy komputera przez wiersz polecenia w WinRE) 3) wklejone - ale... w jakim trybie to uruchomić? Czy po zrobieniu fixloga mogę już normalnie odpalić komputer w trybie graficznym? Odnośnik do komentarza
jessica Opublikowano 28 Listopada 2013 Zgłoś Udostępnij Opublikowano 28 Listopada 2013 od punktu 3 (włącznie) wszystko już w Normalnym Trybie. jessi Odnośnik do komentarza
iksu Opublikowano 28 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2013 Zrobione Fixlog.txt RKreport.txt FSS.txt FRST.txt Addition.txt Odnośnik do komentarza
jessica Opublikowano 28 Listopada 2013 Zgłoś Udostępnij Opublikowano 28 Listopada 2013 W logu FRST widać elementy infekcji ZeroAcces, ale log FSS nie pokazał zadnych uszkodzeń, więc to są chyba tylko resztki tej infekcji. Otwórz Notatnik i wklej w nim: HKCU\...\Run: [CdpDownloader] - [x]AppInit_DLLs-x32: C:\Users\LKS\AppData\Local\DProtect\eBP.dll,C:\Users\LKS\AppData\Local\DProtect\eBPSD.dll [ ] ()C:\Users\LKS\AppData\Local\DProtectURLSearchHook: HKCU - (No Name) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No FileFF Plugin-x32: @real.com/nprphtml5videoshim;version=12.0.1.669 - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll No FileFF Plugin-x32: @real.com/nprpchromebrowserrecordext;version=12.0.1.669 - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll No FileC:\Windows\assembly\tmpC:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}C:\Users\LKS\AppData\Local\19e99119C:\Users\LKS\AppData\Local\19e99119\@C:\Users\LKS\AppData\Local\Temp\ntdll_dump.dllTask: {69E8998D-A2F5-4F57-ADB8-8F1E2787B0DC} - \Program aktualizacji online produktu Real Player. No Task FileTask: {72F20BD4-C4B1-4536-A0D5-6E26AE08C68C} - \Program aktualizacji online firmy Adobe. No Task FileAlternateDataStreams: C:\ProgramData:gs5sysAlternateDataStreams: C:\Users\All Users:gs5sysAlternateDataStreams: C:\Users\LKS:gs5sysAlternateDataStreams: C:\ProgramData\Application Data:gs5sysAlternateDataStreams: C:\ProgramData\Templates:gs5sysAlternateDataStreams: C:\Users\LKS\Application Data:gs5sysAlternateDataStreams: C:\Users\LKS\Cookies:gs5sysAlternateDataStreams: C:\Users\LKS\Local Settings:gs5sysAlternateDataStreams: C:\Users\LKS\Templates:gs5sysAlternateDataStreams: C:\Users\LKS\Desktop\desktop.ini:gs5sysAlternateDataStreams: C:\Users\LKS\AppData\Local:gs5sysAlternateDataStreams: C:\Users\LKS\AppData\Roaming:gs5sysAlternateDataStreams: C:\Users\LKS\AppData\Local\Application Data:gs5sysAlternateDataStreams: C:\Users\LKS\AppData\Local\History:gs5sysAlternateDataStreams: C:\Users\LKS\Documents\desktop.ini:gs5sysAlternateDataStreams: C:\Users\Public\Documents\desktop.ini:gs5sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.Daj go. Zrób nowe logi z FSS. jessi Odnośnik do komentarza
iksu Opublikowano 28 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2013 Zrobione Fixlog.txt FSS.txt Odnośnik do komentarza
jessica Opublikowano 28 Listopada 2013 Zgłoś Udostępnij Opublikowano 28 Listopada 2013 Zrób nowe logi z FSS. No tak, napisałam nie to, co chciałam: chodziło mi o logi z FRST. Moja wina. Zrób logi z FRST. jessi Odnośnik do komentarza
iksu Opublikowano 28 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2013 FRST.txt Addition.txt Odnośnik do komentarza
jessica Opublikowano 28 Listopada 2013 Zgłoś Udostępnij Opublikowano 28 Listopada 2013 Znowu masz tę samą infekcję! Otwórz Notatnik i wklej w nim: AlternateDataStreams: C:\ProgramData\Templates:gs5sysAlternateDataStreams: C:\Users\LKS\Cookies:gs5sysAlternateDataStreams: C:\Users\LKS\Templates:gs5sysAlternateDataStreams: C:\Users\LKS\AppData\Local\History:gs5sysC:\ProgramData\nbrrqz87.dssC:\ProgramData\78zqrrbn.bxxC:\ProgramData\jwwhqft.fvvC:\found.000C:\ProgramData\dx504F5ED1.dat Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.Daj go. Koniecznie zainstaluj nowszą wersję JAVY, wg postu nr w tym linku https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/ Zrób nowe logi z FRST. jessi Odnośnik do komentarza
iksu Opublikowano 28 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2013 FRST.txt Addition.txt Odnośnik do komentarza
jessica Opublikowano 28 Listopada 2013 Zgłoś Udostępnij Opublikowano 28 Listopada 2013 Są jeszcze jakieś strumienie ADS: Otwórz Notatnik i wklej w nim: AlternateDataStreams: C:\ProgramData\Templates:gs5sysAlternateDataStreams: C:\Users\LKS\Cookies:gs5sysAlternateDataStreams: C:\Users\LKS\Templates:gs5sysAlternateDataStreams: C:\Users\LKS\AppData\Local\History:gs5sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.Daj ten raport. Zrób nowe logi z FRST. jessi (już idę spać, więc do jutra) Odnośnik do komentarza
iksu Opublikowano 29 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 29 Listopada 2013 Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
jessica Opublikowano 29 Listopada 2013 Zgłoś Udostępnij Opublikowano 29 Listopada 2013 AlternateDataStreams: C:\ProgramData\Templates:gs5sysAlternateDataStreams: C:\Users\LKS\Cookies:gs5sys AlternateDataStreams: C:\Users\LKS\Templates:gs5sys AlternateDataStreams: C:\Users\LKS\AppData\Local\History:gs5sys A to jak było, tak jest dalej. Ja tu już nic nie wymyślę, więc czekaj na @Picasso (nie wiem, kiedy zajrzy do Twego tematu, ale na pewno nie wcześniej niż w poniedziałek). Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. jessi Odnośnik do komentarza
iksu Opublikowano 29 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 29 Listopada 2013 Tak czy inaczej dzięki wielkie! Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się