Skocz do zawartości

Trojan "police central e-crime unit"


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W logach aktywna infekcja ZeroAccess. Potrzebny raport dodatkowy - Uruchom SystemLook x64 i do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look i przedstaw wynikowy raport.

Odnośnik do komentarza

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system.

 

2. Ponownie wejdź w Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Windows\SysWow64\4f5847bc.exe
C:\Windows\SysWow64\59693d9a.dll
C:\Windows\Installer\{86c2ecfe-359d-9e39-3b54-a7f2a8553b17}
C:\Users\Mati\AppData\Local\{86c2ecfe-359d-9e39-3b54-a7f2a8553b17}
netsh winsock reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Odnośnik do komentarza

Może to kwestia zmiennych środowiskowych. Panel sterowania > System > Zaawansowane > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy widnieje zmienna Path równa:

 

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem

 

Jeśli jest, ale ciąg jest nieco inny to zedytuj tak jak powyżej a jak w ogóle jej nie ma to ją utwórz opcją Nowa

Odnośnik do komentarza

Eeee, jakie Zmienne Landuss! On to wkleja przez CTRL+V, a to nie będzie działać, klawiaturowa operacja wkleja znaczek ^V a nie treść właściwą z posta. Zatwierdzenie tej "komendy" to brak logiki, oczywiście, że nie rozpozna tego, bo to nie jest komenda. On ma to skopiować do schowka i z prawokliku na tło okna cmd wybrać z menu opcję Wklej i dopiero ENTER.

 

 

.

Odnośnik do komentarza

No tak, ale teraz trzeba zresetować system, by komenda się wykonała (podmiana tego szczególnego pliku możliwa tylko przy restarcie).

 

 

wysylam tez zdjecie z komenda jaka jest u mnie wpisana w patchu. czy mimo to mam zmienic patch tak jak miałem zrobić ?

 

Ale po co? Przecież mówię: to był zły trop. Landuss nie zauważył, że głupoty robisz w cmd, złe wklejanie. Tu nic nie wskazuje na błąd Zmiennych.

Nawiasem mówiąc okno ze złej części i nie tego Path (chodzi o Path systemowe w dolnym oknie a nie Path użytkownika w górnym), poza tym nic nie widać. Nie, nie pokazuj już zrzutów, to nie jest potrzebne.

 

 

.

Odnośnik do komentarza

Infekcja zdjęta. Teraz trzeba naprawić szkody po niej wyrządzone. Później jeszcze będziesz usuwał śmieci sponsoringowe.

 

1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow):

  • Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK.
  • Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  • Rekonstrukcja usługi Windows Defender: KLIK.
  • Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv) - pobierz fixa i zaimportuj: KLIK

2. Po wykonaniu wszystkiego pokazujesz nowy log z FSS.

Odnośnik do komentarza

Wszystko wykonane w sposób prawidłowy. Teraz można wsiąść się za usuwania adware i śmieci.

 

1. Przez Panel sterowania odinstaluj: KMPlayer Toolbar / RelevantKnowledge / Babylon toolbar on IE / Browsers Protector / DAEMON Tools Toolbar / ICQ Toolbar / LiveVDO plugin 1.3 / StartSearch Toolbar 1.3 / toolplugin / vShare.tv plugin 1.3 / KMPlayer Toolbar Updater

 

Otwórz menedżer dodatków Firefox i odinstaluj: KMPlayer Toolbar / toolplugin

 

2. Uruchom AdwCleaner z opcji Delete

 

3. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system.

 

4. Wykonujesz nowy log z OTL z opcji Skanuj i pokazujesz.

Odnośnik do komentarza

ICQ Toolbar nadal widzę nie odinstalowany. Poza tym dobrze. Przejdź do finalizacji tematu:

 

1. Wklej do OTL skrypt poprawkowy:

 

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1332939391_550562
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=fd5e43c4-39f9-11e1-b5e2-ed39a3ffd50a&q={searchTerms}"
IE - HKCU\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = "http://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd"
IE - HKCU\..\SearchScopes\{C7FAC729-E230-4A33-962E-7C4C00C6D127}: "URL" = "http://search.babylon.com/?q={searchTerms}"
[2012-07-12 12:06:11 | 000,000,950 | ---- | M] () -- C:\Users\Mati\AppData\Roaming\Mozilla\Firefox\Profiles\zo8nsq8b.default\searchplugins\icqplugin-1.xml
[2010-05-12 18:40:06 | 000,001,042 | ---- | M] () -- C:\Users\Mati\AppData\Roaming\Mozilla\Firefox\Profiles\zo8nsq8b.default\searchplugins\icqplugin.xml
[2011-11-27 07:43:41 | 000,000,158 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src
O2 - BHO: (extrafind) - {f26957e3-83f6-0d27-c1d7-25c001b3c01d} - C:\Windows\SysWow64\59693d9a.dll File not found

 

Klikasz w Wykonaj skrypt. Logów nie pokazujesz żadnych. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj system do stanu Service Pack 1 oraz wymienione programy do najnowszych wersji:

 

64bit- Professional  (Version = 6.1.7600) - Type = NTWorkstation

 

Internet Explorer (Version = 8.0.7600.16385)

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31

"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...