Malware windows installer

[mariuszmichala]

Witam,

 

pakiet COMODO stale sygnalizuje przeniesienie pliku z katalogu WINDOWS/INSTALLER do kwarantanny. usuwanie nic nie pomaga. [C:\Windows\Installer\{cd7a7626-0d45-d55b-f34d-db0869553b9e}\U\00000001.@] oraz [C:\Windows\Installer\{cd7a7626-0d45-d55b-f34d-db0869553b9e}\U\80000000.@]

 

Do tego za każdym uruchomieniem komputera na pulpicie ikony zbijają się w kupkę, pomimo innego ustawiania przed zamknięceim systemu. Nie wiem czy ma to związek ale oba problemy pojawiły sie jednocześnie.

 

OTL

extras

 

Proszę o pomoc.

Mariusz

[Landuss]

Infekcja ZeroAccess jest tu obecna. Problem z ikonami to też następstwo tej infekcji.

 

Uruchom SystemLook x64 i do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look i przedstaw wynikowy raport.

[mariuszmichala]

oto wynik:

 

systemLOOK

[Landuss]

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\System32\services.exe

 

Zresetuj system.

 

2. Ponownie Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O2:64bit: - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
 
:Files
C:\Windows\SysNative\%APPDATA%
C:\Windows\SysNative\services.exe.55B1726EE603A99F
C:\Windows\SysNative\services.exe.439433F35AF5A645
C:\Windows\SysNative\services.exe.37534CDA26380BFA
C:\Windows\SysNative\services.exe.B132E70956464A6C
C:\Windows\Installer\{cd7a7626-0d45-d55b-f34d-db0869553b9e}
C:\Users\Mariusz\AppData\Local\{cd7a7626-0d45-d55b-f34d-db0869553b9e}
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z SystemLook (wklejazs to co poprzednio) oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

[mariuszmichala]

OTL

 

systemLOOK

 

Farber

[Landuss]

Kolejne naprawy po infekcji:

 

1. Odbuduj skasowane usługi omijając polecenie sfc /scannow:

• Rekonstrukcja usług Zapory systemu Windows (MpSvc + bfe + SharedAccess): KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  
• Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK
  

2. Pokazujesz nowy log z FSS po wykonaniu wszystkiego.

[mariuszmichala]

FSS

 

chyba coś nie tak...

[Landuss]

Niedokładnie to zrobiłeś. bfe + SharedAccess nadal nie wykonane. Powtarzaj dla tych dwóch.

[mariuszmichala]

FSS - po poprawkach

[Landuss]

Na poziomie rejestru jest dobrze, ale log pokazuje, ze to wszystko jest nie uruchomione a tak byc nie powinno. Czy robiłeś naprawę uprawnień przez SetACL? Jesli tak to coś mogło pójść źle i trzeba to powtórzyć.

[mariuszmichala]

wszystkie 4 etapy?

 

plik SetACL.exe ściagnąłem ze strony na która mnie przekierowało. Czy to na pewno to??

[Landuss]

Tak to jest to i wykonaj raz jeszcze przywracanie uprawnień dla MpSvc + bfe + SharedAccess tak jak w tamtym temacie @picasso opisała.

[mariuszmichala]

FSS

 

kiedy chce scalić MpsSvc.reg wyskakuje błąd

 

przy próbie scalenia MpsSvc wyskakuje taki info że nie wszystkie klucze...

 

teraz to już zupełnie naknociłem...

 

fss

[Landuss]

Wszystko poprawnie wykonane, a te błędy należy ignorować. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31

"Mozilla Thunderbird 12.0.1 (x86 pl)" = Mozilla Thunderbird 12.0.1 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[mariuszmichala]

Chciałbym zapytać czy to już wszystko?

COMODO juz nie sygnalizuje problemu, a i ikony sa na miejscu.

BARDZO BARDZO BARDZO DZIEKUJĘ!

 

Chciałbym jeszcze zapytać:

 

Jakie mogło być potencjalne źródło infekcji która mnie dopadła? Przeglądanie, czy jakieś ściągnięcie podejrzanego pliku?

 

Jak się uchronić?

 

Jakie programy są najlepsze do ochrony, o ile to możliwe?

[Landuss]

Jakie mogło być potencjalne źródło infekcji która mnie dopadła? Przeglądanie, czy jakieś ściągnięcie podejrzanego pliku?

 

Trudno powiedzieć, albo odwiedzenie jakiejś strony www ale prędzej pobranie szkodliwego pliku i jego uruchomienie.

 

Jakie programy są najlepsze do ochrony, o ile to możliwe?

 

Nie ma takich. Wszystkie są dobre, ale użytkownik też musi uważać co pobiera, gdzie wchodzi i w co klika.

 

Temat jako rozwiązany zamykam.