Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Services.exe & GAC_32/Desktop.ini & GAC_64/Desktop.ini-VIRUS

Richi

Przez Richi
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Richi

Richi

Opublikowano
Opublikowano

Witam

 

Bardzo proszę o pomoc tj szczegółową instrukcję postępowania.

Bylem juz na setkach stron od dwuch tygodni i wszedzie pisza: nowa instalacja komputera

na waszym forum znalazlem podobny problem ktury zostal rozwiazany dlatego POMOCY

 

Mój AVG wykrywa 3 wirusy

 

1) C/windows/assebly/GAC_32/Desktop.ini

2) C/windows/assebly/GAC_64/Desktop.ini

3) C:\Windows\System32\services.exe

 

 

Bardzo prosze o pomoc.

 

PS. Mam system windows7 home premium 64bitowy

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano
Bylem juz na setkach stron od dwuch tygodni i wszedzie pisza: nowa instalacja komputera

 

Oni się tyle znają co nic. Wiadomo że tak najprościej powiedzieć. Nie potrzeba tutaj żadnej nowej instalacji, to da się usunąć.

 

Tylko zanim zaczniemy działać to potrzebuje log dodatkowy. Uruchom SystemLook x64 i do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look i przedstaw wynikowy raport.

Odnośnik do komentarza
Richi

Richi

Opublikowano
  • Autor
Opublikowano

SystemLook 30.07.11 by jpshortstuff

Log created at 13:10 on 30/07/2012 by 2012

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Users\2012\AppData\Local\{93832d05-75e6-fdfc-982d-8cf84e7110f2}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

 

super dzieki za tak szybka odpowiesz!!!!!!!

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\System32\services.exe

 

Zresetuj system.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109989&babsrc=SP_ss&mntrId=204c3cc00000000000000015834b552a"
IE - HKCU\..\SearchScopes\{BFF06451-D447-42BA-86E4-0B798A5E9DE5}: "URL" = "http://start.funmoods.com/results.php?f=4&a=make&q={searchTerms}"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=109989&babsrc=adbartrp&mntrId=204c3cc00000000000000015834b552a&q="
FF - prefs.js..network.proxy.autoconfig_url: "file:///C:\\Users\\2012\\AppData\\Local\\Temp\\proxtube.pac"
[2012.02.26 16:39:21 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\2012\AppData\Roaming\mozilla\Firefox\Profiles\6y3xknin.default\extensions\ffxtlbr@funmoods.com
[2012.02.26 16:39:16 | 000,001,798 | ---- | M] () -- C:\Users\2012\AppData\Roaming\Mozilla\Firefox\Profiles\6y3xknin.default\searchplugins\funmoods.xml
[2012.02.26 16:29:33 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2012.07.14 02:45:08 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
 
:Files
C:\Windows\assebly\GAC_32\Desktop.ini
C:\Windows\assebly\GAC_64\Desktop.ini
C:\Windows\Installer\{93832d05-75e6-fdfc-982d-8cf84e7110f2}
C:\Users\2012\AppData\Local\{93832d05-75e6-fdfc-982d-8cf84e7110f2}
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Przez Panel sterowania odinstaluj: Spybot - Search & Destroy (program przestarzały, nie do końca zgodny z platformą 64-bitową)

 

5. Uruchom AdwCleaner z opcji Delete

 

6. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL, nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Odnośnik do komentarza
Richi

Richi

Opublikowano
  • Autor
Opublikowano

SystemLook 30.07.11 by jpshortstuff

Log created at 14:53 on 30/07/2012 by 2012

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Pamiętaj aby logi wklejać opcją załączniki, a nie do posta. Usuwam tamten bałagan, który tutaj był.

 

Infekcja już sama w sobie zdjęta, a te desktop,ini to tylko obiekty poboczne tej infekcji i po usunięciu nie powinny się pojawiać. Musisz niestety naprawić jeszcze szkody po tej infekcji.

 

1. Odbuduj skasowane usługi omijając polecenie sfc /scannow:

  • Rekonstrukcja usług Zapory systemu Windows (MpSvc + bfe + SharedAccess): KLIK.
  • Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  • Rekonstrukcja usługi Windows Defender: KLIK.
  • Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK

2. Pokazujesz nowy log z FSS.

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Infekcje masz usuniętą w całości. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

 

dlaczego takie virusy mnie zaatakowaly jezeli mam anty virus?

jak mgoge sie zabezpieczyc na przyszlosc???

 

Nie wiem, ale ZeroAccess wchodzi głównie z jakiegoś pobranego pliku, który jest zaprawiony.

Odnośnik do komentarza
Richi

Richi

Opublikowano
  • Autor
Opublikowano

:) BARDZO STRASZNE WIELKIE DZIEKI ZA TAK PROFESIONALNA POMOC!!!! :)

 

BYLEM NA SETKACH STRON I JEST TO JEDYNE FORUM Z TAK PROFESIONALNA POMOCA :)

DODAM JESZCZE ZE SZUKALEM NAJPIERW NA NIEMIECKICH STRONACH BO ROZUMIE WIECEJ W TYM JEZYKU I NIEBYLO NIGDZIE INNEJ ODPOWIEDZIE JAK FORMATOWANIE DYSKU:

TYMBARDZIEJ CIESZE SIE ZE POLAK LEPIEJ POTRAFI :cheer: :cheer: :cheer:

POZDROWIENIA Z DARMSTADT

:)

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...