Lucjansnk Opublikowano 14 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 14 Sierpnia 2012 Witam, Mialem problem z Live Security Platinum. Usunałem dziadostwo ale po kazdym restarcie ikony sa autorozmieszczane. Wiem ze temat był juz przerabiany ale prosiłbym o pomoc bo jestem zielony w temacie. Troche pogrzebałem w necie i sadze ze mam ZeroAccess. Plik c:\windows\system32\services.exe daje detekcje ale nie moge nic zrobic moim antyvirem usunalem takze trojana ukrytego w pliku services.exe w c:\windows\winsxs\... Jakie logi przedstawic?? Odnośnik do komentarza
Landuss Opublikowano 14 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 14 Sierpnia 2012 Ewidentnie masz ZeroAccess, ale napisz jeszcze jaki to system i ilu bitowy? Odnośnik do komentarza
Lucjansnk Opublikowano 15 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Sierpnia 2012 win7 64 Odnośnik do komentarza
Landuss Opublikowano 15 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 15 Sierpnia 2012 1. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport. 2. Wykonaj logi z OTL Wszystkie raporty umieść jako załączniki na forum. Odnośnik do komentarza
Lucjansnk Opublikowano 15 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Sierpnia 2012 Logi z SystemLook i OTL: SystemLook 30.07.11 by jpshortstuff Log created at 18:41 on 15/08/2012 by AGGR Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\AGGR\AppData\Local\{7004b603-e94d-68d7-2b3f-73c0c83db089}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [09:41 14/08/2012] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 16 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=2&systemid=410&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{600D247A-C04E-4B75-BD1C-0125C6DAB3D2}: "URL" = "http://www.bing.com/search?q={searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox" IE - HKLM\..\SearchScopes\{7273B5D8-488E-47EC-BF95-FA0E0C3F1C73}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=2&systemid=410&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://findgala.com/?&uid=3271&q={searchTerms}" IE - HKCU\..\SearchScopes\{7273B5D8-488E-47EC-BF95-FA0E0C3F1C73}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=2&systemid=410&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=337426cd-38b0-11e1-9be3-b870f4ee865e&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Search Results" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072254&SearchSource=2&q=" [2012/07/17 22:32:59 | 000,000,000 | ---D | M] (uTorrentControl Community Toolbar) -- C:\Users\AGGR\AppData\Roaming\Mozilla\Firefox\Profiles\12t6icm0.default\extensions\{e9df9360-97f8-4690-afe6-996c80790da4} [2012/08/14 10:40:03 | 000,001,210 | ---- | M] () -- C:\Users\AGGR\AppData\Roaming\Mozilla\Firefox\Profiles\12t6icm0.default\searchplugins\search.xml [2012/02/08 21:39:12 | 000,002,515 | ---- | M] () -- C:\Users\AGGR\AppData\Roaming\Mozilla\Firefox\Profiles\12t6icm0.default\searchplugins\Search_Results.xml [2012/02/13 20:21:09 | 000,000,792 | ---- | M] () -- C:\Users\AGGR\AppData\Roaming\Mozilla\Firefox\Profiles\12t6icm0.default\searchplugins\startsear.xml [2012/02/08 21:39:12 | 000,002,515 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [adlgid] rundll32.exe "C:\Users\AGGR\AppData\Roaming\adlgid.dll",WriteSpan File not found O4:64bit: - HKLM..\Run: [peravp] C:\Users\AGGR\AppData\Roaming\peravp.dll () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\Windows\SysNative\%APPDATA% C:\ProgramData\7531CCA90007656902572789F875F002 C:\Windows\Installer\{7004b603-e94d-68d7-2b3f-73c0c83db089} C:\Users\AGGR\AppData\Local\{7004b603-e94d-68d7-2b3f-73c0c83db089} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: LiveVDO plugin 1.3 / uTorrentControl Toolbar / Deinstalator Strony V9 / vShare.tv plugin 1.3 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin / LiveVDO plugin 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
Lucjansnk Opublikowano 16 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 po wpisaniu komendy w cmd wyskakuje mi: ERROR: Invalid key name type "REG DELETE" /?" for usage ___________________________________________ MOja winna zle klucz przepisałem Odnośnik do komentarza
Landuss Opublikowano 16 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Znaczy że coś źle przepisujesz. Patrz dokładnie jak to leci. Jeśli mimo wszystko będziesz miał błąd to leć dalej z zadaniem i nie przejmuj sie tym, potem podam inny sposób usunięcia tego. Odnośnik do komentarza
Lucjansnk Opublikowano 16 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 - log z SystemLook wykonalem skryptem podanym przez Ciebie na poczatku tematu - skaskowałem klucz przez cmd - odinstalowałem podane rzeczy przez panel sterowania - w google chrome nie było wymienionych - AdwCleaner skanowanie wykonane SystemLook 30.07.11 by jpshortstuff Log created at 21:18 on 16/08/2012 by AGGR Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [09:41 14/08/2012] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- OTL.Txt FSS.txt Odnośnik do komentarza
Landuss Opublikowano 16 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Infekcja usunięta, jeszcze napraw trzy usługi usunięte przez ZeroAccess. 1. Wklej w notatnik systemowy ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv] "PreshutdownTimeout"=dword:036ee800 "DisplayName"="@%systemroot%\\system32\\wuaueng.dll,-105" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%systemroot%\\system32\\wuaueng.dll,-106" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceMain"="WUServiceMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS] "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000003 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\ 72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\ 63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance] "Library"="bitsperf.dll" "Open"="PerfMon_Open" "Collect"="PerfMon_Collect" "Close"="PerfMon_Close" "InstallType"=dword:00000001 "PerfIniFile"="bitsctrs.ini" "First Counter"=dword:0000086c "Last Counter"=dword:0000087c "First Help"=dword:0000086d "Last Help"=dword:0000087d "Object List"="2156" "PerfMMFileName"="Global\\MMF_BITS_s" "1008"=hex(:ed,6c,91,96,c4,35,cd,01 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\ 00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\ 00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\ 00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\ 00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\ 00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\ 00,20,02,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal Zrestartuj system. 2. Sporządź nowy log z FSS. Odnośnik do komentarza
Lucjansnk Opublikowano 16 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 wykonane FSS.txt Odnośnik do komentarza
Landuss Opublikowano 16 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Teraz już nie ma się do czego przyczepić i można uznać, że wszystko skorygowane. Możesz przejść do zakończenia tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj koniecznie Jave do wersji 7 Update 5. : KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Lucjansnk Opublikowano 16 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Dzieki za pomoc - jestes mistrz! Mam jeszcze problem z brakujacym plikiem. Probowalem naprawic przed wczoraj problem i brakuje mi pliku "adlgid.dll" Odnośnik do komentarza
Landuss Opublikowano 16 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 (edytowane) Rzeczywiście widzę to w logu, ominąłem wcześniej. Wciśnij klawisz z flagą Windows + R wpisz regedit - wejdź do tego klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run i usuń wartość adlgid Edytowane 16 Sierpnia 2012 przez picasso Poprawka. Wg OTL klucz 64-bitowy a nie 32-bitowy (Wow6432Node). //picasso Odnośnik do komentarza
Lucjansnk Opublikowano 16 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 nie ma takiej wartosci Odnośnik do komentarza
picasso Opublikowano 16 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Czy szukałeś przed moją edycją? Wg OTL jest to: O4:64bit: - HKLM..\Run: [adlgid] rundll32.exe "C:\Users\AGGR\AppData\Roaming\adlgid.dll",WriteSpan File not found Czyli klucz to: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Poprzednio przed edycją widniał tam: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run . Odnośnik do komentarza
Lucjansnk Opublikowano 16 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Masz racje, znaleziono i usunieto. Dzieki raz jeszcze. Jak sie zabezpieczyc przed takimi infekcjami, sa jakies skuteczne metody? Aktualnie uzywam Avire z wykupiona licencja Odnośnik do komentarza
Landuss Opublikowano 16 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Avira to nie wszystko. Dbaj o aktualizowanie np. Javy, Adobe Readera itp. I uważaj co pobierasz i gdzie wchodzisz to nie złapiesz infekcji. Temat jako rozwiązany zamykam. Odnośnik do komentarza
Lucjansnk Opublikowano 18 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 Przedwczoraj z pomoca Landussa oczysciłem kompa, dzis zrobiłem log SystemLook i mysle ze znowu mam ZeroAccess! Prosze o potwierdzenie moich przypuszczen i pomoc. Za moment dorzuce logi z OTL. SystemLook 30.07.11 by jpshortstuff Log created at 12:46 on 18/08/2012 by AGGR Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [09:41 14/08/2012] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- Odnośnik do komentarza
picasso Opublikowano 18 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 Temat doklejam do poprzedniego. dzis zrobiłem log SystemLook i mysle ze znowu mam ZeroAccess Objaśnij o co Ci chodzi. Nie sądzę, że rozumiesz tę infekcję, skoro wg Ciebie ten log ją potwierdza. Tu nie ma żadnych śladów tej infekcji. . Odnośnik do komentarza
Lucjansnk Opublikowano 18 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 plik c:\windows\system32\services.exe powinien sie owtwierac po 2kliku? I nie wiem czy mam racje ale powinien mies kłodke na ikonce? Odnośnik do komentarza
picasso Opublikowano 18 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 Pliku services.exe nie otwiera się "przez dwuklik" po stronie użytkownika, ten plik systemowy i tak jest stale uruchomiony w procesach (hostuje usługi Windows). Kłódkę? Nie. A widzisz taką? Kłódka oznacza brak uprawnień. Pytam ponownie: co Cię tu niepokoi, który fragment raportu? Log jest czysty jak łza. Brak modyfikacji ZeroAccess w klasach CLSID w rejestrze + prawidłowa suma kontrolna MD5 pliku services.exe. . Odnośnik do komentarza
Lucjansnk Opublikowano 18 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 klodki nie ma ale mialem ostatnio takze wszystko jest ok. 3 dni temu anti malware wykryl mi cos w C:\Windows\winsxs\amd64_microsoft-wind... jak sie pozniej okazalo mialem ZeroAccess. Dlatego myslalem ze znowu go mam gdy zobaczylem taki wpis w logu SystemLook. No i po dezynfekcji przeprowadzonej z Landussem google przekierowywal mi wyniki wyszukiwan - sporadycznie ale jednak. Uruchomilem googlefix i zobaczymy czy bedzie ok gdyz jak mowilem przekierownia byly sporadyczne Odnośnik do komentarza
picasso Opublikowano 18 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 klodki nie ma ale mialem ostatnio takze wszystko jest ok. Kłódka jest w tym przypadku niepożądana. To ingerencje ZeroAccess mogą prowadzić do zablokowania pliku Windows. Ale kłódki jako takie są normalne dla innych plików / folderów w systemie. 3 dni temu anti malware wykryl mi cos w C:\Windows\winsxs\amd64_microsoft-wind... Czy masz dokładny raport z tego? No i po dezynfekcji przeprowadzonej z Landussem google przekierowywal mi wyniki wyszukiwan - sporadycznie ale jednak.Uruchomilem googlefix i zobaczymy czy bedzie ok gdyz jak mowilem przekierownia byly sporadyczne Na jakie strony? Czy to nadal ma miejsce? W związku z tym proszę o podanie świeżych logów z OTL, bo tego nie dołączyłeś. . Odnośnik do komentarza
Lucjansnk Opublikowano 18 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 Mam raport z Anti-Malware z 14.08.12 ale detekcja w C:\Windows\winsxs\amd64_microsoft-wind... byla pozniej tego dnia prze Avire. Niestety nie mam zadnych raportow z Aviry, przepadly chyba przy czyszczeniu systemu. Wiem tylko ze tego dnia Avira wykryla nastepujace: - W32/Patched.UA - TR/ATRAPS.Gen2 - TR/Sirefef.16896 Przekierowania chyba ustały - chyba bo byly sporadyczne. Narazie jest OK. Były to przekierowania na strone z reklama BlueBerry mbam-log-2012-08-14 (17-51-47).txt OTL.Txt Odnośnik do komentarza
Rekomendowane odpowiedzi