voytek86 Opublikowano 26 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2012 Witam, AVG wykrył trojana (koń trojański Dropper.Generic_c.MMI). Lokalizacja pliku: C:\Windows\System32\services.exe. Sprawdziłem, że był już podobny temat tutaj, ale dziewczyna od razu strzeliła ComboFix'em. Nie chcę strzelać armatą do komara tak od razu, bo z tego co wiem to ComboFix lepiej stosować ostrożnie. Druga sprawa jest taka, że od pewnego czasu po uruchomieniu windowsa wszystkie ikonki są po lewej stronie pulpitu. Nie mam włączonego autorozmieszczania. Myślę, że to może jest jakoś powiązane z tym w/w trojanem, ale nie znam się więc się nie wypowiadam. Proszę o pomoc, bo trochę denerwująca jest informacja wyskakująca co kilkanaście minut o trojanie którego nie można usunąć bo jest powiązany z plikiem systemowym. W załączniku log OTL OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2012 W systemie infekcja ZeroAccess. Niemożność ustawiania ikon to jest jej skutek (obecność w rejestrze określonego klucza klas tworzącego konflikt z naturalną dla systemu klasą MruPidList). Wymagane dodatkowe skany: 1. Do SystemLook x64 wlej co podane poniżej i klik w Look. :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe 2. Zrób log z Farbar Service Scanner. Zaznacz wszystkie opcje. 3. Dałeś niepełny log OTL. Brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). . Odnośnik do komentarza
voytek86 Opublikowano 27 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2012 Dziękuję za zainteresowanie. Wstawiam co nowego miałem zrobić, a także brakujące Extras SystemLook 30.07.11 by jpshortstuff Log created at 10:39 on 27/08/2012 by Wojtek Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Wojtek\AppData\Local\{792f4199-0b73-e2f4-7b46-706eb422a6b8}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 014A9CB92514E27C0107614DF764BC06 C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- Extras.Txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2012 1. Krok pierwszy to wyleczenie pliku services.exe. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Usuwanie klucza trojana, który zapobiega przestawianiu ikon. Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} 3. Usuwanie folderów trojanów. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{792f4199-0b73-e2f4-7b46-706eb422a6b8} C:\Users\Wojtek\AppData\Local\{792f4199-0b73-e2f4-7b46-706eb422a6b8} C:\Users\Wojtek\AppData\Roaming\Yrqo C:\Users\Wojtek\AppData\Roaming\Kikyk C:\Users\Wojtek\AppData\Roaming\Ihubb :OTL O4 - HKLM..\Run: [] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 4. Reset Winsock. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s :filefind services.exe . Odnośnik do komentarza
voytek86 Opublikowano 27 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2012 Wykonałem wszystko krok po kroku. Ad.3. Powstał mi jakiś raport po restarcie. Nie jestem w stanie go załączyć bo nie mam uprawnień. Wklejam go na końcu tego posta, bo w sumie długi nie jest. Dołączam też logi z OTL i z SystemLook All processes killed ========== FILES ========== C:\Windows\Installer\{792f4199-0b73-e2f4-7b46-706eb422a6b8}\U folder moved successfully. C:\Windows\Installer\{792f4199-0b73-e2f4-7b46-706eb422a6b8}\L folder moved successfully. C:\Windows\Installer\{792f4199-0b73-e2f4-7b46-706eb422a6b8} folder moved successfully. C:\Users\Wojtek\AppData\Local\{792f4199-0b73-e2f4-7b46-706eb422a6b8}\U folder moved successfully. C:\Users\Wojtek\AppData\Local\{792f4199-0b73-e2f4-7b46-706eb422a6b8}\L folder moved successfully. C:\Users\Wojtek\AppData\Local\{792f4199-0b73-e2f4-7b46-706eb422a6b8} folder moved successfully. C:\Users\Wojtek\AppData\Roaming\Yrqo folder moved successfully. C:\Users\Wojtek\AppData\Roaming\Kikyk folder moved successfully. C:\Users\Wojtek\AppData\Roaming\Ihubb folder moved successfully. ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 56475 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Wojtek ->Temp folder emptied: 829028847 bytes ->Temporary Internet Files folder emptied: 105626032 bytes ->Java cache emptied: 607121 bytes ->FireFox cache emptied: 286247784 bytes ->Google Chrome cache emptied: 135440115 bytes ->Flash cache emptied: 64828 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 4857104 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 565398256 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 68032 bytes RecycleBin emptied: 9128152419 bytes Total Files Cleaned = 10 543,00 mb OTL by OldTimer - Version 3.2.59.1 log created on 08272012_194616 Files\Folders moved on Reboot... C:\Users\Wojtek\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. File\Folder C:\Users\Wojtek\AppData\Local\Mozilla\Firefox\Profiles\0mzk8fgy.default\startupCache\startupCache.4.little not found! PendingFileRenameOperations files... Registry entries deleted on Reboot... SystemLook 30.07.11 by jpshortstuff Log created at 20:10 on 27/08/2012 by Wojtek Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- OTL.Txt Odnośnik do komentarza
picasso Opublikowano 28 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 Trojan pomyślnie wyeliminowany. Możemy się zająć duperelami (adware) oraz rekonstrukcją usług załatwionych przez ZeroAccess. Na początek adware: 1. Odinstaluj Ask Toolbar + Ask Toolbar Updater. Deinstalację przeprowadź w Firefox w Dodatkach oraz ogólnie przez Panel sterowania. 2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Skutki uboczne: zostanie usunięta też wyszukiwarka AVG Secure Search, program klasyfikuje to jako sponsora. 3. Zrób nowy log OTL, ale ogranicz go: sekcję Rejestr ustaw na Użyj filtrowania, resztę zaś na Brak i wyszukiwanie plików na Żadne. Dołącz log z usuwania AdwCleaner. Ad.3. Powstał mi jakiś raport po restarcie. Nie jestem w stanie go załączyć bo nie mam uprawnień. Wklejam go na końcu tego posta, bo w sumie długi nie jest. Objaśniają to zasady działu i Pomoc forum (link na spodzie strony). Załączniki przyjmują tylko rozszerzenie *.TXT a to *.LOG. Na przyszłość: wystarczy ręczna zmiana nazwy pliku. . Odnośnik do komentarza
voytek86 Opublikowano 28 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 Załączam nowy log OTL i log który powstał przy AdwCleaner OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 28 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 Tylko mała poprawka na resztówki po w/w. W Google Chrome ustaw sobie wybraną stronę startową i domyślną wyszukiwarkę, a resztę odpadków załatwi FIX.REG poniżej. Kolejna partia zadaniowa to odtworzenie skasowanych przez trojana usług. 1. Rekonstrukcja usług Zapory systemu Windows (BFE, MpsSvc, SharedAccess oraz ich uprawnienia): KLIK. 2. Rekonstrukcja usług Windows Update, Centrum zabezpieczeń i Windows Defender. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS] "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\ 72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\ 63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance] "Library"="bitsperf.dll" "Open"="PerfMon_Open" "Collect"="PerfMon_Collect" "Close"="PerfMon_Close" "InstallType"=dword:00000001 "PerfIniFile"="bitsctrs.ini" "First Counter"=dword:000007d2 "Last Counter"=dword:000007e2 "First Help"=dword:000007d3 "Last Help"=dword:000007e3 "Object List"="2002" "PerfMMFileName"="Global\\MMF_BITS_s" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\ 00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\ 00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\ 00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\ 00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\ 00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\ 00,20,02,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv] "PreshutdownTimeout"=dword:036ee800 "DisplayName"="Windows Update" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%systemroot%\\system32\\wuaueng.dll,-106" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceMain"="WUServiceMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{7EA0FBBE-A2E7-4836-961E-2BFE08EF9E66}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{668C8957-7D04-41B8-96F3-A59AB5430012}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "vProt"=- Adnotacja dla innych czytających: import dopasowany do Windows 7. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal 3. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. . Odnośnik do komentarza
voytek86 Opublikowano 29 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Załączam nowy log z FSS-a. FSS.txt Odnośnik do komentarza
picasso Opublikowano 30 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2012 Usługi pomyślnie odbudowane. Kolejna porcja zadań: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
voytek86 Opublikowano 31 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 Wykryło jedną rzecz, ale to jest powiązane z grą więc nie wiem czy to należy usuwać. Pojawiła się inna rzecz. Podczas skanowania Malwarebytes AVG wykrył zagrożenia. Tym razem mam możliwość ich usunięcia ale są powiązane chyba z plikami systemowymi i ostrzega mnie przed usuwaniem tego. "c:\Windows\assembly\GAC_32\Desktop.ini";"Koń trojański BackDoor.Generic15.AXLA";"Zainfekowany" "c:\Windows\assembly\GAC_32\Desktop.ini";"Koń trojański BackDoor.Generic15.AXLA";"Zainfekowany" "c:\Windows\assembly\GAC_64\Desktop.ini";"Koń trojański Generic28.ANIC";"Zainfekowany" W załączniku nowy log OTL. mbam-log-2012-08-31 (10-46-57).txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 31 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 Jeszcze małe odpadkowe wpisy (ale to nie związane z infekcją). Usuń je za pomocą skryptu do OTL o następującej treści: :OTL IE - HKU\.DEFAULT\..\SearchScopes\{F815CF7B-1F55-433F-AC73-A074FDC1B817}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_NL&apn_ptnrs=U3&apn_dtid=OSJ000YYNL&apn_uid=D810B587-8757-4487-BF69-4C8794F42435&apn_sauid=5BA0A41F-03A8-4235-BD69-11EF259C9FA4" IE - HKU\S-1-5-18\..\SearchScopes\{F815CF7B-1F55-433F-AC73-A074FDC1B817}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_NL&apn_ptnrs=U3&apn_dtid=OSJ000YYNL&apn_uid=D810B587-8757-4487-BF69-4C8794F42435&apn_sauid=5BA0A41F-03A8-4235-BD69-11EF259C9FA4" O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [PDF Seven] C:\Program Files\PDFSeven\PDF.exe File not found Wykryło jedną rzecz, ale to jest powiązane z grą więc nie wiem czy to należy usuwać. Zignoruj. Pojawiła się inna rzecz. Podczas skanowania Malwarebytes AVG wykrył zagrożenia. Tym razem mam możliwość ich usunięcia ale są powiązane chyba z plikami systemowymi i ostrzega mnie przed usuwaniem tego."c:\Windows\assembly\GAC_32\Desktop.ini";"Koń trojański BackDoor.Generic15.AXLA";"Zainfekowany" "c:\Windows\assembly\GAC_32\Desktop.ini";"Koń trojański BackDoor.Generic15.AXLA";"Zainfekowany" "c:\Windows\assembly\GAC_64\Desktop.ini";"Koń trojański Generic28.ANIC";"Zainfekowany" Dlatego zadałam skan, te wyniki były spodziewane. AVG się obudził, bo MBAM uzyskiwał dostęp do tych plików (ale MBAM też powinien je wykryć). Desktop.ini tu pokazane to pliki ZeroAccess i usuń je za pomocą programu. . Odnośnik do komentarza
voytek86 Opublikowano 1 Września 2012 Autor Zgłoś Udostępnij Opublikowano 1 Września 2012 Ok. Wszystko wykonane. Jak coś jeszcze powinienem wyczyścić to chętnie to wykonam Dziękuję serdecznie za pomoc. Sam jakbym się za to zabrał to pewnie wymagany byłby format c: a dzięki Tobie wyleczyłem komputer i nawet nie ma już żadnego kataru DZIĘKUJĘ! Odnośnik do komentarza
picasso Opublikowano 3 Września 2012 Zgłoś Udostępnij Opublikowano 3 Września 2012 Finalizacja: 1. Nie zauważyłam, że na Twojej liście zainstalowanych jest adware Deinstalator Strony V9. Pozbądź się tego. 2. Ponownie: Sprzątanie w OTL oraz czyszczenie folderów Przywracania systemu. 3. Aktualizacje: KLIK. Z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit (wtyczka dla Firefox) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)"Mozilla Thunderbird 10.0.2 (x86 pl)" = Mozilla Thunderbird 10.0.2 (x86 pl) 4. Prewencyjna wymiana haseł logowania w serwisach. . Odnośnik do komentarza
voytek86 Opublikowano 9 Września 2012 Autor Zgłoś Udostępnij Opublikowano 9 Września 2012 3. Aktualizacje: KLIK. Z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit (wtyczka dla Firefox) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl) "Mozilla Thunderbird 10.0.2 (x86 pl)" = Mozilla Thunderbird 10.0.2 (x86 pl) . Aktualizacje wykonałem (tzn miałem aktualne wersje zainstalowane), ale gdzie mam wkleić ten podany kod? Bo jeżeli jakoś w windows update to nie widzę tam miejsca żeby wkleić. Sorki że tak późno odpowiadam, ale myślałem, że temat jest zamknięty i nie wchodziłem już na forum. Odnośnik do komentarza
picasso Opublikowano 9 Września 2012 Zgłoś Udostępnij Opublikowano 9 Września 2012 Aktualizacje wykonałem (tzn miałem aktualne wersje zainstalowane), ale gdzie mam wkleić ten podany kod? Bo jeżeli jakoś w windows update to nie widzę tam miejsca żeby wkleić. To żaden kod i nie jest przeznaczony do żadnego wklejania. To jest tylko cytat z Twojej listy zainstalowanych co jest widziane w Twoim logu, jakie wersje. Tak więc przy zdaniu "tzn miałem aktualne wersje zainstalowane" = czy na pewno? . Odnośnik do komentarza
voytek86 Opublikowano 9 Września 2012 Autor Zgłoś Udostępnij Opublikowano 9 Września 2012 Aa..ok. Już rozumiem. Już zaktualizowałem. Dziękuję za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi