Wirus Win64 patched.b.gen Koń trojański

[SDone]

Witam, mam problem z wirusem Wirus Win64 patched.b.gen koń trojański, który wykrył Nod32, zarażono proces services.exe

 

Próbowałem sam sobie poradzic i myśle że unieszkodliwiłem go lecz czegoś jeszcze brakuje, Malware nie wykrywa juz nic, NOD32 także.

Nawet udało się odbudować Defendera, ale cały czas mam problem z zaporą wyskakuje błąd 0x8007042c i za holere nie mogę jej odbudować ;/

 

Windows 7 64bit - mam troche pozmieniane ścieżki katalogów! Prosze o pomoc

Extras.Txt

OTL.Txt

[Landuss]

Masz aktywną infekcję ZeroAccess. Nie możesz nic naprawiać nie usuwając uprzednio składników infekcji bo to nie ma sensu.

 

Uruchom SystemLook x64 i do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look i przedstaw wynikowy raport.

[SDone]

Dzieki Landuss - napiszesz mi z którego loga to wyczaiłes?

Wklejam wynik z syslooka

 

SystemLook 30.07.11 by jpshortstuff

Log created at 14:12 on 26/07/2012 by STUDIO DAR PC

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

[Landuss]

Dzieki Landuss - napiszesz mi z którego loga to wyczaiłes?

 

Z otl.txt

 

SystemLook nie pokazuje więcej składników infekcji i nie wygląda ona tutaj na całkowicie aktywną a jedynie szczątkowo.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Windows\SysNative\%APPDATA%
C:\Windows\Installer\{6e474306-5c51-4430-0da4-b908d65b7e2b}
C:\Users\STUDIO DAR PC\AppData\Local\{6e474306-5c51-4430-0da4-b908d65b7e2b}
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

[SDone]

Coś przeniósł i wywalił:

 

Files\Folders moved on Reboot...

D:\TEMP\FXSAPIDebugLogFile.txt moved successfully.

 

PendingFileRenameOperations files...

File D:\TEMP\FXSAPIDebugLogFile.txt not found!

 

Registry entries deleted on Reboot...

 

Nowe logi prosze

FSS.txt

OTL2.Txt

[Landuss]

Pora na dalsze naprawianie szkód

 

1. Odbuduj skasowane usługi omijając polecenie sfc /scannow:

• Rekonstrukcja usług Zapory systemu Windows (MpSvc + bfe + SharedAccess): KLIK.
  
• Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK
  

2. Pokazujesz nowy log z FSS po wykonaniu wszystkiego.

[SDone]

Zrobione!

 

P.S: świetne forum, a reakcja moderatorów wzorowa.!

FSS2.txt

[Landuss]

A to z uprawnieniami SetACL zrobiłeś? Chodzi mi dla usługi Zapora systemu Windows bo log pokazuje, że na poziomie rejestru jest OK ale nadal te usługi nie są uruchomione więc czy zapora działa?

[SDone]

MpSvc + bfe + SharedAccess - zaimportowane do rega

FIX pobrany i także zaimportowany

 

Nie wiem o co ci chodzi z (wuauserv + BITS) ? one są w pobranym FIX'ie ?

 

Po restarcie zapora nie aktywna, dalej wyskakuje błąd z c na końcu.

Coś pominąłem? nowy log z fss

FSS3.txt

[Landuss]

Wuauserv i BITS mnie nie interesuje, to zrobiłeś dobrze bo tu tylko import i tyle. Ale z zaporą trzeba zrobić więcej. Sam import to za mało, to bardzo skomplikowana usługa. Nie działa ci nadal bo nie zrobiłeś rekonstrukcji uprawnień dla tych kluczy.

 

Tu z tego posta ostatniego o to mi chodzi: https://www.fixitpc.pl/topic/6855-rekonstrukcja-zapory-systemu-windows/page__view__findpost__p__66010

[SDone]

Mistrz!!

 

Zrobiłem i śmiga teraz.

Dla pewności zerknij mi jeszcze proszę w log z FSS - dzięki za pomoc!

 

Coś trzeba czyścic? Oraz jak sprawdzić czy nie brakuje mi któryś z ważnych aktualizacji?

Złapałem ten syf bo licencja na NODa się skończyła, wystarczyły 4 bez aktualizacji i od razu się pojawił w systemie ;/

 

 

Chciałem aktualizację jeszcze sprawdzić i się nie da, nie pozwala.

FSS4.txt

[Landuss]

Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj Jave 32-bitową do najnowszej wersji. Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[SDone]

Hasła pozmieniane, wszystko śmiga. Dziękuję bardzo - temat można nawet wywalić do kosza i tak się nikomu nie przyda. Landuss zrobisz to?

Edytowane 26 Lipca 2012 przez Landuss
Tematów nigdy nie wyrzucamy, to zawartość forum, zamykam go //Landuss