combofix log programu.txt 18,28 KB
219 Ilość pobrań
Użytkownik Thiago edytował ten post 08 11 2012 - 21:33
Logi - Ramsonware
Rozpoczęty przez
Thiago
, 08 11 2012 21:32
-
Temat jest zamknięty
12 odpowiedzi w tym temacie
#1
Thiago
-
-
- 7 postów
Obserwator
Napisano 08 11 2012 - 21:32
Witam, kilka dni temu złapałem ransomware. Po kilku godzinach walki, udało mi się odblokować komputer przy pomocy Combofixa. Jednak pojawił się problem z przeglądaniem internetu, żadna pzeglądarka nie działa, strony mega długo się ładują i po kilku minutach wyskakuje informacja jakobym nie miał połączenia z netem. W tym samym czasie normalnie korzystam z neta na drugim laptopie. Korzystam z antywirusa G Data. Windows 7. Proszę o sprawdzenie loga z Combofixa, możę to coś pomoże. Jeśli coś jeszcze potrzebujecie do zdiagnozowania problemu to podpowiedźcie co bo to mój pierwszy post.
combofix log programu.txt 18,28 KB
219 Ilość pobrań
combofix log programu.txt 18,28 KB
219 Ilość pobrań
#2
pawel315
-
-
- 1 553 postów
Uzależniony od forum
Napisano 08 11 2012 - 21:33
przeczytaj dokładnie przyklejone tematy w tym dziale i daj logi z OTL'a
#4
pawel315
-
-
- 1 553 postów
Uzależniony od forum
Napisano 08 11 2012 - 21:35
to lap -> http://www.forum.twe...OTL-t35212.html
i według tego wykonaj logi
to jak już będziesz miał te logi to daj znać
i według tego wykonaj logi
to jak już będziesz miał te logi to daj znać
Użytkownik Celdur edytował ten post 08 11 2012 - 22:19
#5
Thiago
-
-
- 7 postów
Obserwator
#6
pawel315
-
-
- 1 553 postów
Uzależniony od forum
Napisano 08 11 2012 - 22:31
Odinstaluj:
1. Następnie:
Browsers ProtectorUruchom OTL w okienku Własne opcje skanowania/skrypt wklej:
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Admin\AppData\Local\Temp\catchme.sys -- (catchme)
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
IE - HKU\S-1-5-21-4155848492-3544620907-3246918006-1001\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
O4 - Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EnableShellExecuteHooks = 1
:Files
C:\Windows\SWREG.exe
C:\Windows\SWSC.exe
C:\Windows\NIRCMD.exe
C:\Windows\MBR.exe
C:\Windows\PEV.exe
C:\Windows\sed.exe
C:\Windows\grep.exe
C:\Windows\zip.exe
:Commands
[emptytemp]
Kliknij Wykonaj skrypt daj log z usuwania.1. Następnie:
- Daj log z GMER'a
#8
pawel315
-
-
- 1 553 postów
Uzależniony od forum
Napisano 08 11 2012 - 23:06
w OTL'i kliknij "Sprzątanie"
wiesz ja tu już nic nie widzę
wiesz ja tu już nic nie widzę
#9
Thiago
-
-
- 7 postów
Obserwator
Napisano 08 11 2012 - 23:08
a co było w ogóle?
Użytkownik Thiago edytował ten post 08 11 2012 - 23:09
#10
pawel315
-
-
- 1 553 postów
Uzależniony od forum
Napisano 08 11 2012 - 23:10
tak ogólnie to pliki po Combofixie, jeden wpis w rejestrze i odpadek po infekcji
a jest poprawka?
a jest poprawka?
Użytkownik pawel315 edytował ten post 08 11 2012 - 23:10
#11
Thiago
-
-
- 7 postów
Obserwator
Napisano 08 11 2012 - 23:19
nie... Kręci internetem i nic. Może to nie przez tego wirusa, ale wcześniej tak nie było.
#12
pawel315
-
-
- 1 553 postów
Uzależniony od forum
Napisano 08 11 2012 - 23:20
mogą to być skutki tego Combofix'a ale jakie to nie widzę
#13
informatyk19
-
-
- 14 postów
Początkujący
Napisano 09 11 2012 - 00:12
@Thiago
ComboFix nie powinien być używany, jeśli nie zostałeś o to wyraźnie poproszony na forum.
Log z GMER`a zrobiłeś w nieprawidłowych warunkach, przy czynnym emulatorze napędów wirtualnych:
Spróbuj zresetować protokół TCP/IP i Winsock.
Otwórz Notatnik i wklej w nim:
Z menu Notatnika -> Plik > Zapisz jako -> Ustaw rozszerzenie na Wszystkie pliki -> Zapisz pod nazwą FIX.BAT
Kliknij ppm na plik i wybierz Uruchom jako Administrator. Po wszystkim zresetuj komputer.
ComboFix nie powinien być używany, jeśli nie zostałeś o to wyraźnie poproszony na forum.
Log z GMER`a zrobiłeś w nieprawidłowych warunkach, przy czynnym emulatorze napędów wirtualnych:
DRV - [2011-12-29 14:00:25 | 000,239,168 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\Windows\System32\drivers\dtsoftbus01.sys -- (dtsoftbus01)
Spróbuj zresetować protokół TCP/IP i Winsock.
Otwórz Notatnik i wklej w nim:
reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f
ipconfig /flushdns
netsh winsock reset
netsh int ip reset c:\resetlog.txt
pause
Z menu Notatnika -> Plik > Zapisz jako -> Ustaw rozszerzenie na Wszystkie pliki -> Zapisz pod nazwą FIX.BAT
Kliknij ppm na plik i wybierz Uruchom jako Administrator. Po wszystkim zresetuj komputer.
Użytkownicy przeglądający ten temat: 1
0 użytkowników, 1 gości, 0 anonimowych
