numlock Opublikowano 10 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2012 Mam komputer stacjonarny, który został zainfekowany przez Live Security Platinum, jest może jakiś uniwersalny skrypt do otl na usuwanie tego wirusa ? System operacyjny Windows Xp Home Edition logi: Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 12 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2012 Po pierwsze logi źle wykonane - to są raporty z konta Administratora wbudowanego w system, a nie z konta zainfekowanego użytkownika. Po drugie oprócz tytułowej infekcji jest trojan ZeroAccess. 1. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan. 2. Wykonaj logi z OTL zrobione z poziomu prawidłowego konta. Odnośnik do komentarza
numlock Opublikowano 13 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 13 Sierpnia 2012 Brat go odwirusowywał ale chcę sprawdzić czy wszystko usunięto, oto nowe logi: SystemLook 30.07.11 by jpshortstuff Log created at 10:19 on 13/08/2012 by Priv Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\WINDOWS\$hf_mig$\KB956572\SP2QFE\services.exe --a---- 111104 bytes [04:24 17/04/2009] [09:55 09/02/2009] 245A46964D7F534E1D20563ACF215E80 C:\WINDOWS\$hf_mig$\KB956572\SP3GDR\services.exe --a---- 111104 bytes [04:24 17/04/2009] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a---- 111104 bytes [04:24 17/04/2009] [11:19 09/02/2009] 8816E60BF654353E8E0D35ED98875445 C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 108544 bytes [11:44 17/04/2009] [12:00 02/03/2006] 3DA8D964D2CC12EF8E8C342471A37917 C:\WINDOWS\erdnt\cache\services.exe --a---- 111104 bytes [11:00 11/08/2012] [10:10 09/02/2009] ED4E5391100287B9EABF8F2CF4B42235 C:\WINDOWS\SoftwareDistribution\Download\85612d9569f9a4d033130e1ccf6503f1\services.exe --a---- 109056 bytes [17:21 14/04/2008] [17:21 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA C:\WINDOWS\system32\services.exe --a---- 111104 bytes [12:00 02/03/2006] [10:10 09/02/2009] ED4E5391100287B9EABF8F2CF4B42235 C:\WINDOWS\system32\dllcache\services.exe --a--c- 111104 bytes [12:00 02/03/2006] [10:10 09/02/2009] ED4E5391100287B9EABF8F2CF4B42235 -= EOF =- OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 13 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 13 Sierpnia 2012 Jeszcze nie jest do końca czysto. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) IE - HKLM\..\SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E}: "URL" = "http://search.myheritage.com?orig=ds&q={searchTerms}" [2009-12-12 17:52:47 | 000,003,803 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\MyHeritage.xml O33 - MountPoints2\{7e6a9cb7-cd25-11de-bd8f-00112fdf793f}\Shell\AutoRun\command - "" = H:\RavMon.exe O33 - MountPoints2\{7e6a9cb7-cd25-11de-bd8f-00112fdf793f}\Shell\explore\Command - "" = H:\RavMon.exe -e O33 - MountPoints2\{7e6a9cb7-cd25-11de-bd8f-00112fdf793f}\Shell\open\Command - "" = H:\RavMon.exe :Files C:\Documents and Settings\ben\Ustawienia lokalne\Dane aplikacji\{0ea98522-2b38-722e-b5d1-9fdab5e66431} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
numlock Opublikowano 13 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 13 Sierpnia 2012 Zrobiłem wszystko jak kazałeś, a wcześniej w międzyczasie przeskanowałem nod'em i wrzucił około 41 koni trojańskich do kwarantanny nowe logi: 08132012_134840.txt otl2.txt Odnośnik do komentarza
Landuss Opublikowano 13 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 13 Sierpnia 2012 Teraz jest czysto. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 6.0.2 CE - Polish "Mozilla Firefox (2.0.0.14)" = Mozilla Firefox (2.0.0.14) Szczegóły aktualizacyjne: KLIK Odnośnik do komentarza
numlock Opublikowano 13 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 13 Sierpnia 2012 Oki dzięki wielkie za pomoc, Pozdrawiam Odnośnik do komentarza
numlock Opublikowano 17 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Sierpnia 2012 Powtórka z rozrywki tym razem laptop Sony Vaio PCG-7161M, system Windows Vista Home Premium, wirus Live Security Platinum, system sie prawie nie odpala, w awaryjnym działa poprawnie. Logi Odnośnik do komentarza
Landuss Opublikowano 17 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 17 Sierpnia 2012 Temat łącze z Twoim poprzednim bo niedawno tutaj byłeś. Niestety i tym razem oprócz LSP do pary ZeroAccess. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. Odnośnik do komentarza
numlock Opublikowano 18 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 Proszę o to raport: SystemLook 30.07.11 by jpshortstuff Log created at 11:00 on 18/08/2012 by Anna Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Anna\AppData\Local\{d10766f9-0533-b0a6-7fbd-3224e48a48c2}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\SoftwareDistribution\Download\3bd8fe73c6fda64a95e9e60ac46184d4\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [21:47 13/02/2012] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B C:\Windows\System32\services.exe --a---- 279040 bytes [02:24 21/01/2008] [09:25 06/08/2012] 2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 19 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 19 Sierpnia 2012 1. Wejdź w start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\igdkmd32.sys -- (igfx) O4 - HKCU..\RunOnce: [036DFF850007E156025DF9266C44B161] C:\ProgramData\036DFF850007E156025DF9266C44B161\036DFF850007E156025DF9266C44B161.exe () :Files C:\Users\Anna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\036DFF850007E156025DF9266C44B161 C:\Users\Anna\Desktop\Live Security Platinum.lnk C:\Users\Anna\AppData\Local\{d10766f9-0533-b0a6-7fbd-3224e48a48c2} C:\Windows\Installer\{d10766f9-0533-b0a6-7fbd-3224e48a48c2} :Reg [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
numlock Opublikowano 20 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 20 Sierpnia 2012 Wszystko zrobiłem wedle instrukcji dodaje logi plus log z malwarebyte z niedokończonego niestety skanowania. EDIT: dodatkowy log z kolejnego skanowania malwarebyte. SystemLook 30.07.11 by jpshortstuff Log created at 10:37 on 20/08/2012 by Anna Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\SoftwareDistribution\Download\3bd8fe73c6fda64a95e9e60ac46184d4\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [21:47 13/02/2012] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B C:\Windows\System32\services.exe --a---- 279040 bytes [02:24 21/01/2008] [09:25 06/08/2012] 2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C -= EOF =- 08202012_101219.txt OTL.Txt mbam-log-2012-08-18 (12-22-18).txt FSS.txt mbam-log-2012-08-20 (11-05-35).txt Odnośnik do komentarza
Landuss Opublikowano 20 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 20 Sierpnia 2012 (edytowane) Infekcja sama w sobie usunięta natomiast teraz odbuduj usunięte przez nią usługi systemowe. 1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Pokazujesz nowy log z FSS. Edytowane 20 Września 2012 przez picasso 20.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi