Alexander18206 Opublikowano 28 Lipca 2012 Zgłoś Udostępnij Opublikowano 28 Lipca 2012 Witam kolega złapał wirusa który próbuje instalować security live platinum i blokuje w miedzyczasie kompa. OTL dał dwa pliki. Jak pozbyć się tego problemu i usunąć program? Bardzo proszę o pomoc w jego imieniu . PS. Jesteśmy amatorami więc w miare możliwości prosimy o jasny przekaz OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 28 Lipca 2012 Zgłoś Udostępnij Opublikowano 28 Lipca 2012 Live Security Platinum towarzysz trojan ZeroAccess. Wymagane skany dodatkowe definiujące punkty ładowania + usterki w Windows wyprodukowane przez tego trojana: 1. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przestaw raport wynikowy. 2. Dodatkowo zrób log z Farbar Service Scanner. Zaznacz wszystkie opcje. . Odnośnik do komentarza
Alexander18206 Opublikowano 29 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Lipca 2012 wklejam to co wyszło . Proszę o dalszą pomoc . SystemLook 30.07.11 by jpshortstuff Log created at 17:17 on 29/07/2012 by acer Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 279552 bytes [08:35 02/11/2006] [09:45 02/11/2006] A246A7052A70C2E1BE4F7E54DF31E4DF C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_cd28fe6bd05df036\services.exe --a---- 279552 bytes [08:35 02/11/2006] [09:45 02/11/2006] 329CF3C97CE4C19375C8ABCABAE258B0 -= EOF =- FSS.txt Odnośnik do komentarza
Alexander18206 Opublikowano 31 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Witam przypominam sie grzecznie, nie wiem czy temat wygasł ale proszę o pomoc . Odnośnik do komentarza
picasso Opublikowano 2 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 Nie zapomniałam o temacie. Jestem na wakacjach, prowadzenie pomocy z mojej strony wybitnie utrudnione. Kolejna odpowiedź też nie pojawi się natychmiastowo. Jest zainfekowany plik systemowy services.exe i należy go podmienić czystą systemową kopią. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v 6F638BC8000AF3E3025359A3C2E33E28 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}" /f reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 3. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\Windows\Installer\{0ed6ff29-813b-b116-4d47-cc34b5cce3a2} C:\Users\acer\AppData\Local\{0ed6ff29-813b-b116-4d47-cc34b5cce3a2} "C:\Users\acer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum" C:\ProgramData\6F638BC8000AF3E3025359A3C2E33E28 DeleteFile: C:\Users\acer\AppData\Local\bootinst.exe Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 4. Usuń szczątki po ESET posługując się narzędziem ESET Uninstaller. Narzędzie działa tylko z poziomu Trybu awaryjnego Windows. 5. Wklej do posta log z usuwania BlitzBlank. Wygeneruj nowy log OTL z opcji Skanuj oraz SystemLook na te same warunki co poprzednio. . Odnośnik do komentarza
Alexander18206 Opublikowano 2 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 BlitzBlank nie udało się zapisać pewnie przegapiłem opcje. Dzieki że na wczasach znalazła Pani czas . Wklejam ponownie log i system look i proszę o pomoc w wolnej chwili. SystemLook 30.07.11 by jpshortstuff Log created at 15:45 on 05/08/2012 by acer Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 279552 bytes [08:35 02/11/2006] [09:45 02/11/2006] 329CF3C97CE4C19375C8ABCABAE258B0 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_cd28fe6bd05df036\services.exe --a---- 279552 bytes [08:35 02/11/2006] [09:45 02/11/2006] 329CF3C97CE4C19375C8ABCABAE258B0 -= EOF =- OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 17 Sierpnia 2012 BlitzBlank zapisuje log automatycznie na dysku C. Sumarycznie: plik services.exe wyleczony, aczkolwiek coś się nie zgadza w logu z OTL = nadal widzialne foldery ZeroAccess i Platinum, którymi miał się zająć BlitzBlank ... Następnie, czy przy używaniu ESET Uninstaller nie wystąpił aby jakiś problem lub czy przypadkiem narzędzie nie wykryło większej ilości wystąpień produktów ESET? Ja nadal widzę w logu sterowniki ESET, którymi przecież to narzędzie miało się zająć: DRV - [2008-02-20 11:11:14 | 000,054,280 | ---- | M] (ESET) [Kernel | System | Running] -- C:\Windows\System32\drivers\epfwtdi.sys -- (epfwtdi)DRV - [2008-02-20 11:11:12 | 000,030,728 | ---- | M] (ESET) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\epfwndis.sys -- (Epfwndis)DRV - [2008-02-20 11:11:08 | 000,071,176 | ---- | M] (ESET) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\epfw.sys -- (epfw)DRV - [2008-02-20 11:01:30 | 000,039,944 | ---- | M] (ESET) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\eamon.sys -- (eamon) 1. Powtórz operację z ESET Uninstaller. Narzędzie zapisuje log i ten mi zaprezentujesz. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\6F638BC8000AF3E3025359A3C2E33E28 C:\Users\acer\AppData\Local\{0ed6ff29-813b-b116-4d47-cc34b5cce3a2} :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
Alexander18206 Opublikowano 18 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 Przy używaniu ESET uninstaller nie wystąpił żaden błąd. ESET.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 (edytowane) Ale wg loga z ESET Uninstaller Ty go nieprawidłowo obsługujesz ... i wbrew temu co mówisz sypało samymi błędami. Nic dziwnego, że sterowniki nadal tkwią. W pierwszym podejściu uruchomiłeś narzędzie z poziomu Trybu normalnego Windows (ERROR! PC is running in normal boot, to uninstall AV product ESS/EAV/EMSX please run safe boot or boot live CD/DVD/USB.), a mówiłam wyraźnie że tylko w Trybie awaryjnym ono działa (odmówi usuwania w normalnym). Wszystkie pozostałe podejścia to z kolei błędnie wpisywane numery produktów, nieistniejące numery. Jeszcze raz: 1. Startujesz komputer w Trybie awaryjnym. Uruchamiasz narzędzie. Zadaje Ci pytanie: [08/18/12 14:23:04] Installed AV products:[08/18/12 14:23:04] 1. ESS/EAV/EMSX[08/18/12 14:23:04] 2. SEP [08/18/12 14:23:04] Enter sequence number of AV product to uninstall and press ENTER (hint: to abort press 'q'): Lista pokazuje dwa wystąpienia produktów o numerach 1 oraz 2. Tylko numery tu pokazane wchodzą w grę. Czyli by odinstalować pierwszy z produktów, wklepujesz 1 i ENTER. Akcję powtarzasz dla drugiego numeru. 2. Przy okazji, przez SHIFT+DEL skasuj ręcznie te pliki z dysku: [2012-08-09 10:17:50 | 000,291,600 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.003[2012-08-09 10:17:50 | 000,166,160 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.002[2012-08-09 10:17:50 | 000,131,856 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.001[2012-08-09 10:17:49 | 000,058,938 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\temp.000 3. Restartujesz system do Trybu normalnego i robisz nowy log OTL z opcji Skanuj. . Edytowane 18 Września 2012 przez picasso 18.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi