mager Opublikowano 21 Czerwca 2011 Zgłoś Udostępnij Opublikowano 21 Czerwca 2011 Witam, mam identyczny problem jak w następującym temacie: https://www.fixitpc.pl/topic/3858-trojan-ransom-plansza-z-kodem-0x00874324/. Wykonałem pierwsze kroki tj. do skopiowania: * Z katalogu C:\Windows\system32\config pliki SYSTEM i SOFTWARE * Z katalogu C:\Documents and Settings\Twoje konto plik NTUSER.DAT i wrzucenia ich w ZIP. Proszę o pomoc. Pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2011 Zgłoś Udostępnij Opublikowano 21 Czerwca 2011 Wykonałem pierwsze kroki tj. do skopiowania: * Z katalogu C:\Windows\system32\config pliki SYSTEM i SOFTWARE * Z katalogu C:\Documents and Settings\Twoje konto plik NTUSER.DAT i wrzucenia ich w ZIP No dobrze, to gdzie jest paczka z tymi plikami, bo jak rozumiem nie potrafisz sam tego zedytować i potrzebujesz mojej pomocy? . Odnośnik do komentarza
mager Opublikowano 21 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2011 (edytowane) Witam, dokładnie o to chodzi, nawet nie mam w najbliższym czasie gdzie tego zrobić, gdybym miał podane narzędzie Paczka własnie się uploaduje na megaupload.com - jeśli trzeba, to podam innym źródłem. //edit: podlinkowałem do paczki w PW. Edytowane 21 Czerwca 2011 przez picasso Paczka pobrana. Analiza trochę zajmie. //picasso Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2011 Zgłoś Udostępnij Opublikowano 21 Czerwca 2011 (edytowane) Pliki zedytowane, przesyłam na PW. Podsumowanie edycji: SOFTWARE HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Zmodyfikowane przez malware wartości: Userinit ustawiona na C:\Documents and Settings\Topek\Dane aplikacji\svchost.exe, Taskman równa C:\Documents and Settings\Topek\Dane aplikacji\lwzy.exe. SYSTEM: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List W kluczu zapory we wszystkich kopiach konfiguracyjnych ControlSet00X autoryzacje malware: "C:\\Documents and Settings\\Topek\\Dane aplikacji\\Config.exe"="C:\\Documents and Settings\\Topek\\Dane aplikacji\\Config.exe:*:Enabled:Windows Messanger""C:\\Documents and Settings\\Topek\\Dane aplikacji\\Microsoft\\System\\Services\\msconfig.exe"="C:\\Documents and Settings\\Topek\\Dane aplikacji\\Microsoft\\System\\Services\\msconfig.exe:*:Enabled:Windows Messanger""C:\\Documents and Settings\\Topek\\Dane aplikacji\\taskhost.exe"="C:\\Documents and Settings\\Topek\\Dane aplikacji\\taskhost.exe:*:Enabled:Windows Messanger""C:\\DOCUME~1\\Topek\\USTAWI~1\\Temp\\23923.exe"="C:\\DOCUME~1\\Topek\\USTAWI~1\\Temp\\23923.exe:*:Enabled:Windows Messanger" Przy okazji wyłączyłam z ładowania sterownik SPTD, pod kątem nadchodzącego skanu GMER. NTUSER.DAT Nie było tu nic szczególnego, jakiś mikro szczątek paska Ask i nic więcej. Rozumiem, że posługujesz się płytą WinRE i schemat idzie identycznie jak w poprzednim temacie: 1. Wymiana plików rejestru zedytowanymi przeze mnie. 2. Do usunięcia te pliki z dysku: C:\Documents and Settings\Topek\Dane aplikacji\svchost.exe C:\Documents and Settings\Topek\Dane aplikacji\lwzy.exe C:\Documents and Settings\Topek\Dane aplikacji\Config.exe C:\Documents and Settings\Topek\Dane aplikacji\Microsoft\System\Services\msconfig.exe C:\Documents and Settings\Topek\Dane aplikacji\taskhost.exe Jest tu podane konto "Topek", ale masz sprawdzić wszystkie foldery kont i usunąć pliki powielone. 3. Logujesz się na ten Windows i wykonujesz skan przez Kasperky Virus Removal Tool. 4. Wykonujesz obowiązkowe w tym dziale logi z OTL + GMER. Dorzucasz wyniki z Kasperskiego. PS. Na przyszłość: kombinacja z przesyłaniem plików rejestru nie była tak naprawdę potrzebna. Jest nowe narzędzie do tworzenia logów z poziomu niestartującego Windows FRST. Za jego pomocą można było zrobić raport, ja zaś stworzyłabym skrypt usuwający. . Edytowane 19 Października 2011 przez picasso 25.07.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi