Ciągłe powiadomienia antywirusa o trojanach

[Quinte]

Witam, prosiłbym o sprawdzenie logów.

Na komputerze co chwila wyskakuje powiadomienie o znalezieniu trojanów.

W miare możliwości prosiłbym o metody naprawy które można wykonać zdalnie gdyż komputer jest za granicą.

 

Z góry dziękuję za pomoc.

 

GMER http://wklej.org/id/797119/

MBR check http://wklej.org/id/797120/

OTL http://wklej.org/id/797121/

RSIT http://wklej.org/id/797122/

Silent Runner http://wklej.org/id/797123/

TDS nic nie znalazł

 

Napisałem na innym forum ale po 1 poradzie temat wylądował w koszu.

1. Uruchom cmd.exe jako administrator:

Jak uruchomić polecenie z pełnymi uprawnieniami?

Wklej i zatwierdź enterem:

sfc /scanfile=C:\Windows\system32\services.exe

 

Zrestartuj system

 

2. Po restarcie uruchom OTL i Nic

Wklej i kliknij Skanuj:

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

 

/md5start

services.exe

/md5stop

 

Pokaż ten log.

To zostało zlecone, a to log

http://wklej.org/id/799852/

[Landuss]

Niestety tu jest trojan ZeroAccess i potrzebny będzie log dodatkowy.

 

Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

[Quinte]

Log z SystemLooka

http://wklej.org/id/800854/

[Landuss]

1. Start > w polsu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={DF0ED8C8-A7DD-11E1-94E3-B870F4997326}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={DF0ED8C8-A7DD-11E1-94E3-B870F4997326}"
IE - HKU\S-1-5-21-3625597363-1233223092-1969659724-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={DF0ED8C8-A7DD-11E1-94E3-B870F4997326}"
IE - HKU\S-1-5-21-3625597363-1233223092-1969659724-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={DF0ED8C8-A7DD-11E1-94E3-B870F4997326}"
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=12&barid={DF0ED8C8-A7DD-11E1-94E3-B870F4997326}"
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""
[2012-05-27 11:25:45 | 000,000,000 | ---D | M] (PriceGong) -- C:\Users\Mala\AppData\Roaming\mozilla\Firefox\Profiles\ceyw8agb.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}
[2012-05-27 11:25:57 | 000,004,002 | ---- | M] () -- C:\Users\Mala\AppData\Roaming\Mozilla\Firefox\Profiles\ceyw8agb.default\searchplugins\sweetim.xml
O4 - HKLM..\Run: []  File not found
 
:Files
C:\Windows\System32\%APPDATA%
C:\Windows\Installer\{e5416a00-64d7-140e-4859-57498866dd31}
C:\Users\Mala\AppData\Local\{e5416a00-64d7-140e-4859-57498866dd31}
netsh winsock reset /C
 
:Reg
[HKEY_USERS\S-1-5-21-3625597363-1233223092-1969659724-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Przez Panel sterowania odinstaluj: Price Gong / SweetPacks Toolbar for Internet Explorer

 

4. Uruchom AdwCleaner z opcji Delete

 

5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL, z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

[Quinte]

1. zrobione

2. log z OTL po wykonaniu skryptu http://wklej.org/id/801364/

3. usunięte

4. log z AdwCleaner http://wklej.org/id/801366/

5. logi po wszystkim

OTL http://wklej.org/id/801367/

SL http://wklej.org/id/801369/

FSS http://wklej.org/id/801370/

[Landuss]

1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow):

• Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  
• Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK
  

2. Pokazujesz nowy log z FSS po wykonaniu wszystkiego.

[Quinte]

Log z FSS http://wklej.org/id/802004/

[Landuss]

Wszystko poprawnie wykonane i można kończyć.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj Jave i Adobe Reader do najnowszych wersji. Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[Quinte]

Dzięki wielkie za pomoc. Można zamknąć

[Quinte]

Dobrze, że temat nie został zamknięty, Nie miałem okazji wykonać końcowych instrukcji gdzyż nie było mnie w domu gdy komputer był dostępny. Komputer dołączył do licznego grona z Live Security Platinum.

 

Kolejny zestaw logów i kolejna prośba o pomoc.

 

 

GMER http://wklej.org/id/802791/

MBR check http://wklej.org/id/802793/

OTL http://wklej.org/id/802792/

RSIT http://wklej.org/id/802794/

Silent Runner http://wklej.org/id/802795/

TDS nic nie znalazł

[Landuss]

No ale to jest przecież ta sama infekcje, którą co dopiero usuwaliśmy - rootkit ZeroAccess.

 

Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

[Quinte]

Może to wina tego że matka wchodzi na te same strony a dalej java i flash nie były zaktualizowane więc ta sama droga infekcji by była.

Za 1 razem nie było działającego Live Security Platinum, teraz blokuje on wszystko i jedynie można skanować z trybu awaryjnego.

 

http://wklej.org/id/802809/

[Landuss]

Na pewno został tu jakiś błąd popełniony i znowu system został zaprawiony infekcją. Teraz nawet gorzej, bo widzę infekcję na services.exe no i do pary wszedł wspomniany Live Security Platinum.

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\System32\services.exe

 

Zresetuj system.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKCU..\RunOnce: [036E26F30008EF3B02B35E9BF875EF7E] C:\ProgramData\036E26F30008EF3B02B35E9BF875EF7E\036E26F30008EF3B02B35E9BF875EF7E.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Files
C:\Windows\System32\%APPDATA%
C:\Users\Mala\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
C:\Users\Mala\Desktop\Live Security Platinum.lnk
C:\ProgramData\036E26F30008EF3B02B35E9BF875EF7E
C:\Windows\Installer\{e5416a00-64d7-140e-4859-57498866dd31
C:\Users\Mala\AppData\Local\{e5416a00-64d7-140e-4859-57498866dd31}
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z FSS jak poprzednio.

[Quinte]

1,2. zrobione

3. log po wykonaniu skryptu http://wklej.org/id/802836/

4. nowe logi

OTL http://wklej.org/id/802846/

SL http://wklej.org/id/802843/

FSS http://wklej.org/id/802842/

[Landuss]

No to naprawa usług:

 

1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow):

• Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  
• Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS + EventSystem): Pobierz fixa i zaimportuj: KLIK
  

2. Po wykonaniu wszystkiego pokaż nowy log z FSS.

[Quinte]

http://wklej.org/id/803460/

[Landuss]

Jest OK, na koniec wiesz co robić. I te aktualizacje trzeba wykonać bo to bardzo ważne.

[Quinte]

Tak, te zalecenia końcowe wykonałem zanim zrobiłem ten ostatni log z FSS. Dzięki za pomoc.

Mam nadzieję, że nie powrócę do tego działu przez jakiś czas