Michalke Opublikowano 3 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 Witam, wygląda na to, że mój komputer został zainfekowany wirusami jak w temacie - dzisiaj zaczęły się pojawiać okienka "Live Scurity Platinum" a NAV Auto-Protect zaczął w zasadzie w tym samym momencie zgłaszać ryzyko wystąpienia wirusa Trojan.Zeroaccess. Załączam logi wykonane zgodnie z zalecaniami + SecurityCheck poniżej i oczywiście proszę o pomoc bo niestey NAV sobie nie radzi:( Results of screen317's Security Check version 0.99.43 Windows Vista Service Pack 2 x86 (UAC is enabled) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! WMI entry may not exist for antivirus; attempting automatic update. `````````Anti-malware/Other Utilities Check:````````` JavaFX 2.1.0 Java™ 7 Update 4 Java™ SE Runtime Environment 6 Java version out of Date! Adobe Flash Player 10 Flash Player out of Date! Adobe Flash Player 11.3.300.262 Adobe Reader X (10.1.0) Mozilla Firefox (14.0.1) Mozilla Thunderbird (3.1.20) Thunderbird out of Date! Google Chrome 20.0.1132.57 Google Chrome 21.0.1180.60 Google Chrome VisualElementsManifest.xml.. ````````Process Check: objlist.exe by Laurent```````` Norton ccSvcHst.exe Windows Defender MSASCui.exe Symantec AntiVirus DefWatch.exe Symantec AntiVirus Rtvscan.exe Symantec AntiVirus VPTray.exe Symantec AntiVirus SavUI.exe Windows Defender MSASCui.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: % ````````````````````End of Log`````````````````````` GMER-1.txt OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 3 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. Odnośnik do komentarza
Michalke Opublikowano 3 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 Log z SystemLook w załączeniu. SystemLook 30.07.11 by jpshortstuff Log created at 20:06 on 03/08/2012 by Michal Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Michal\AppData\Local\{597b2101-d7e8-3e67-74e1-30d0328e90c6}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="C:\WINDOWS\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_cd28fe6bd05df036\services.exe --a---- 279552 bytes [08:35 02/11/2006] [09:45 02/11/2006] 329CF3C97CE4C19375C8ABCABAE258B0 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [11:49 25/05/2008] [07:33 19/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [19:01 10/03/2011] [22:28 10/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 3 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\Michal\AppData\Local\Temp\fxldrpob.sys -- (fxldrpob) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1165640812-3425906437-2361176363-1000..\RunOnce: [036DFF8602DA36B60000FBEA2F3B6FDA] C:\ProgramData\036DFF8602DA36B60000FBEA2F3B6FDA\036DFF8602DA36B60000FBEA2F3B6FDA.exe () :Files C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Users\Michal\Desktop\Live Security Platinum.lnk C:\ProgramData\036DFF8602DA36B60000FBEA2F3B6FDA C:\Users\Michal\AppData\Local\{597b2101-d7e8-3e67-74e1-30d0328e90c6} C:\Windows\Installer\{597b2101-d7e8-3e67-74e1-30d0328e90c6} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
Michalke Opublikowano 3 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 Pojawiły się niestety pewne problemy podczas pkt. 2 - Po wykonaniu skryptu w OTL: 1. nie zatwierdzalem restartu, system sam sie zaczął restartować (drobiazg, może nieistotny) 2. podczas ponownego uruchamiania system rzucil bluescreenem 0x000000F4 (foto w zalaczeniu) 3. po ponownym restarcie do wyboru - uruchom normalnie lub uruchom przywracanie systemu. Pierwsza opcja kończyła sie bluescreenm (kilka prób.), po wybraniu drugiej system się ostatecznie podniósł. Daj proszę znać, czy kontynuować pkt. 3 z poprzedniej instrukcji powyżej czy coś się wywaliło? Odnośnik do komentarza
Landuss Opublikowano 3 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 Lec dalej, takie rzeczy mogą się zdarzać choć nie powinny bo nikt tutaj do tej pory nie miał żadnego bluescreena. Odnośnik do komentarza
Michalke Opublikowano 3 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 Ok, już sie robi. Dziwna sprawa - możliwe, żeby to przywracanie konfiguracji usuneło te programy do skanowania (OTL, Gmer)? Ściągałem je do jednego katalogu - przed tym restertem z bluescreenem były a teraz ich tam nie ma... Odnośnik do komentarza
Michalke Opublikowano 3 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 Logi w załączeniu. SystemLook 30.07.11 by jpshortstuff Log created at 23:09 on 03/08/2012 by Michal Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 279552 bytes [19:01 10/03/2011] [22:28 10/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_cd28fe6bd05df036\services.exe --a---- 279552 bytes [08:35 02/11/2006] [09:45 02/11/2006] 329CF3C97CE4C19375C8ABCABAE258B0 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [11:49 25/05/2008] [07:33 19/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [19:01 10/03/2011] [22:28 10/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B -= EOF =- OTL-2.Txt FSS-1.txt Odnośnik do komentarza
Landuss Opublikowano 3 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 To sprawa załatwiona, możesz kończyć: 1. Wklej do OTL mini poprawkę: :Files C:\Users\Michal\AppData\Local\{597b2101-d7e8-3e67-74e1-30d0328e90c6} Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Michalke Opublikowano 3 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 (edytowane) Niebywałe... Jesteś Bogiem... Ad. 3. Hasla trzymam w KeePassie - myślisz, że powinienem zmienić wszystkie czy raczej te które w ostatnim czasie używałem do logowania. Pytam bo to jest pewnie ze 250 szt... Edytowane 3 Sierpnia 2012 przez Landuss To możesz tylko te ostatnio używane, najważniejsze. Resztę zostaw. Temat zamykam //Landuss Odnośnik do komentarza
Rekomendowane odpowiedzi