Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Win64/Patched.A.Gen

botq

Przez botq
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
botq

botq

Opublikowano
  • Autor
Opublikowano

Dodaję dodatkowe skany...

 

SystemLook 30.07.11 by jpshortstuff

Log created at 14:40 on 12/10/2012 by gRr

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] (Unable to calculate MD5)

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

FSS.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Infekcja zablokowała plik (jest na pewno podmieniony, tylko blokada uniemożliwia sprawdzenie jego sumy kontrolnej):

 

C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] (Unable to calculate MD5)

 

Log z Farbar Service Scanner opowiada typową dla tej infekcji historię: trojan skasował usługi Centrum zabezpieczeń, Windows Defender, Windows Update, Zapora systemu Windows. Ich odtworzenie będę prowadzić potem, na teraz istotnym jest zlikwidować infekcję per se:

 

1. Przejdź w Tryb awaryjny Windows. Uruchom GrantPerms x64 i w oknie wklej:

 

C:\Windows\System32\services.exe
C:\windows\SysWow64\%APPDATA%

 

Klik w Unlock.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > w oknie wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Jeśli w oknie pojawi się jakiś błąd, STOP, od razu zgłoś się na forum. Jeśli nie będzie błędu, zresetuj system w celu sfinalizowania leczenia pliku.

 

3. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > w oknie wklej komendę:

 

netsh winsock reset

 

Zatwierdź restart komputera.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files


C:\Windows\Installer\{79b40e8e-87da-2ece-53db-db869e38db5c}


C:\windows\assembly\GAC_32\Desktop.ini


C:\windows\assembly\GAC_64\Desktop.ini


C:\windows\SysWow64\%APPDATA%


C:\Users\gRr\AppData\Roaming\Ceugi


C:\Users\gRr\AppData\Roaming\Odeb


 


:Commands


[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz SystemLook na ten sam warunek co poprzednio.

 

 

.

Odnośnik do komentarza
botq

botq

Opublikowano
  • Autor
Opublikowano

Dodaję logi...

 

C:\Windows\winsxs\Temp\PendingDeletes\$$DeleteMe.services.exe.01cda878a5aa22fb.0000 Win64/Patched.A.Gen koń trojański

 

SystemLook 30.07.11 by jpshortstuff

Log created at 15:05 on 12/10/2012 by gRr

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

OTL.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zupełnie nic nie wykonane. Opisz mi co Ty właściwie zrobiłeś ... Miałeś wykonać to:

 

1. Odbuduj usunięte usługi za pomocą ServicesRepair.

 

2. Zresetuj system i zrób nowy log z Farbar Service Scanner.

 

Ale podany log Farbar w ogóle nie poświadcza byś uruchamiał ServicesRepair, nic nie zostało wykonane (nadal w logu adnotacje o braku usług w rejestrze).

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

botq zadaję pytanie ponownie: co Ty do diaska wykonujesz, opisz który fragment instrukcji, bo nie wygląda na to że właściwy. Podałam określone narzędzie automatyczne ServicesRepair (pobrać i uruchomić) i nic więcej. To narzędzie automatycznie odbudowuje wszystkie skasowane przez ZeroAccess usługi. Otóż kolejny log z Farbar Service Scanner mówi, że coś innego robisz niż zadane instrukcje. W logu wprawdzie usługi Zapory wróciły na miejsce, ale nadal notowalny brak usług Centrum zabezpieczeń, Windows Update, Windows Defender. To nie powinno mieć miejsca po użyciu narzędzia ServicesRepair, które wszystkie usługi hurtem rekonstruuje. Wszystkie za jednym zamachem, nie są wymagane żadne ręczne operacje.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
w automatycznym sposobie wyskakiwały błędy, pomimo uruchomienia aplikacji jako administrator

 

botq wykonujesz nie te instrukcje, czyli ręczną rekonstrukcję za pomocą SetACL zamiast ServicesRepair. Cytuję post, który miałeś wykonać:

 

Automaty naprawcze

 

 

servicerepairico.png

 

Duże ułatwienie dla użytkowników początkujących, dla których wykonanie powyższych instrukcji może być skomplikowane. Firma ESET udostępniła narzędzie ServicesRepair automatycznie odbudowujące usługi. Pobieranie:

 

[button=http://kb.eset.com/library/ESET/KB%20Team%20Only/Malware/ServicesRepair.exe]ServicesRepair.exe[/button]

 

Narzędzie jest zdolne zrekonstruować od zera usługi: Zapory systemu Windows (BFE, MpsSvc, SharedAccess) wraz z ich uprawnieniami, Centrum zabezpieczeń, Windows Defender, Windows Update (BITS, wuauserv). Uwaga: narzędzie nie odtwarza usługi Sterownik uwierzytelniania Zapory systemu Windows (mpsdrv).

Obsługa banalna: pobrane narzędzie uruchamiamy, krótka interakcja z dialogami informacyjnymi, na koniec restart systemu.

 

 

"Centrum zabezpieczeń, Windows Update, Windows Defender" działąją mi poprawnie więc nie wiem o co chodzi : -)

 

Tak, ja też nie wiem o co chodzi, ponieważ ostatni z dostarczonych logów Farbar Service Scanner pokazuje brak usług:

 

Action Center:
============
wscsvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
 
 
Windows Update:
============
wuauserv Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist.
 
BITS Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist.
 
Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Odnośnik do komentarza
botq

botq

Opublikowano
  • Autor
Opublikowano
botq wykonujesz nie te instrukcje, czyli ręczną rekonstrukcję za pomocą SetACL zamiast ServicesRepair. Cytuję post, który miałeś wykonać:

...napisałem

 

Zrobiłem ręcznie bo w automatycznym sposobie wyskakiwały błędy, pomimo uruchomienia aplikacji jako administrator:

 

SetACL finished with error(s):

SetACL error message: The backup/restore file could not be opened

 

Dobrze, dodałem nowy log, teraz jest już ok ? Zresztą i tak już mi działą wszystko, więc jeszcze raz bardz, bardzo dziękuję : -)

FSS.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)
...napisałem

 

Tak, napisałeś o "sposobie automatycznym" podając błąd narzędzia SetACL (używane w sposobie ręcznym) a nie ServicesRepair (używane w sposobie automatycznym). To właśnie punktuję, niezgodność objawów z zaleconym narzędziem. Albo błąd Twojego opisu (pomieszały Ci się narzędzia), albo cuda.

 

 

obrze, dodałem nowy log, teraz jest już ok ? Zresztą i tak już mi działą wszystko

 

Tak czy siak narzędzie ServicesRepair musiałeś w jakiś sposób użyć, bo teraz wszystkie usługi są na miejscu.

 

 

Kolejna porcja zadań do wykonania:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie, resztę używanych narzędzi dokasuj przez SHIFT+DEL.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

.

Edytowane przez picasso
12.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...