hopek Opublikowano 17 Października 2012 Zgłoś Udostępnij Opublikowano 17 Października 2012 WItam. Ten sam problem co u mnie pojawił sie u mojej siostry która mieszka w Angli . Potrzebuje szybkiej pomocy bo komputer potrzebny jest jej na uniwersytet . Daje pliki z otl . Z góry dziękuje . Prosze o szybką pomoc Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2012 Zgłoś Udostępnij Opublikowano 17 Października 2012 Usuwam to "PILNE" z tytułu. Tu wszyscy są w tej samej sytuacji. Blokada UKASH to podrzędny tu problem, prymitywna infekcja. W systemie działa gorszy rootkit ZeroAccess (zagnieżdżony w Koszu systemowym), który niszczy usługi Windows (z pewnością są usunięte: Zapora systemu, Centrum zabezpieczeń, Windows Update, Windows Defender). Usuwanie będzie kilkuetapowe: 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by odładować z pamięci ZeroAccess. 2. Otwórz Notatnik i wklej w nim: TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A /D Y icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-21-1009598283-2228363469-3239320795-1000\$ba9c49ede41d533c4f725c9d06d2828f /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin netsh winsock reset pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by dokończyć reset Winsock naruszony przez ZeroAccess 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2247187" IE - HKCU\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKCU\..\SearchScopes\{4405F343-FACD-480D-A723-B2559C28E7BA}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15004&src=crm&q={searchTerms}&locale=en_UK&apn_ptnrs=PW&apn_dtid=YYYYYYYYGB&apn_uid=e2f5714b-c2d2-444e-926d-9ed3386ec21e&apn_sauid=A473CC13-0160-4D7C-87E5-E827E03CC558" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2247187" IE - HKCU\..\URLSearchHook: {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {707DB484-2428-402D-AFB5-D85B387544C7} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKCU..\Run: [ChomikBox] C:\Program Files\ChomikBox\chomikbox.exe File not found O4 - HKCU..\Run: [nsicsf] C:\Users\aga\AppData\Roaming\nsicsf.dll (PixArt Imaging Incorporation) O4 - HKCU..\Run: [smiEngine] C:\Users\aga\AppData\Local\Microsoft\Windows\3680\SmiEngine.exe () :Files C:\Windows\assembly\GAC\Desktop.ini C:\Users\aga\winlogon.exe C:\Users\aga\uidsave.dat C:\Users\aga\AppData\Local\Microsoft\Windows\3680 C:\Users\aga\AppData\Roaming\hellomoto C:\Users\aga\AppData\Roaming\thcoag.dll C:\Users\aga\AppData\Local\chromeupdate.crx C:\Users\aga\0.2395276688296828.exe C:\Users\aga\AppData\Roaming\mozilla\firefox\profiles\9wj9a7y5.default\searchplugins\askcom.xml C:\Users\aga\AppData\Roaming\mozilla\firefox\profiles\9wj9a7y5.default\searchplugins\conduit.xml :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, blokada UKASH zniknie. 4. Odinstaluj adware. Otwórz Firefox i w Dodatkach usuń DealPly, Mario Forever Community Toolbar. Otwórz Google Chrome i w Rozszerzeniach powtórz wyrzucanie DealPly. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Zaprezentuj go. 6. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner oraz dodatkowo uruchom SystemLook i w oknie do skanu wklej: :dir C:\$Recycle.Bin /s :filefind services.exe . Odnośnik do komentarza
hopek Opublikowano 17 Października 2012 Autor Zgłoś Udostępnij Opublikowano 17 Października 2012 (edytowane) Daje pliki które podesłała mi siostra ( twierdzi ze robiła według instrukcji ) Okaże sie Dostałem jeszcze od Niej plik "Thumbs" ale nie mogę go wrzucić "Nie masz uprawnień do wysyłania tego typu plików" Edytowane 17 Października 2012 przez picasso Załącznik usunięty. Ten sam plik w następnym poście. //picasso Odnośnik do komentarza
picasso Opublikowano 17 Października 2012 Zgłoś Udostępnij Opublikowano 17 Października 2012 "Pliki"? Miały zostać podane aż cztery logi: 5. AdwCleaner (...) Na dysku C powstanie log z usuwania. Zaprezentuj go. 6. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner oraz dodatkowo uruchom SystemLook i w oknie do skanu wklej: :dir C:\$Recycle.Bin /s :filefind services.exe Dostałem jeszcze od Niej plik "Thumbs" ale nie mogę go wrzucić "Nie masz uprawnień do wysyłania tego typu plików" Przypatrz się co Ty mi chcesz wysyłać ... To nie jest raport, tylko plik buforowania miniatur ... . Odnośnik do komentarza
hopek Opublikowano 17 Października 2012 Autor Zgłoś Udostępnij Opublikowano 17 Października 2012 Sorry za zamieszanie. Z tym thumbs to porostu taki plik dostałem od siostry (ja tylko wrzucam to tutaj. Resztę robi ona , nie mam wglądu do tego + nie znam się na tym ). Dosyłam resztę, jeszcze raz przepraszam za zamieszanie, i wielkie dzięki za pomoc SystemLook 30.07.11 by jpshortstuff Log created at 19:39 on 17/10/2012 by aga Administrator - Elevation successful ========== dir ========== C:\$Recycle.Bin - Parameters: "/s" ---Files--- None found. C:\$Recycle.Bin\S-1-5-21-1009598283-2228363469-3239320795-1000 d--hs-- [18:00 17/10/2012] desktop.ini --ahs-- 129 bytes [18:00 17/10/2012] [18:00 17/10/2012] ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -= EOF =- FSS.txt OTL.Txt AdwCleanerS2.txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2012 Zgłoś Udostępnij Opublikowano 17 Października 2012 Wszystko poszło jak z płatka. Możemy się zabrać za reperację uszkodzeń poczynionych przez ZeroAccess. Niestety ten log z Farbar Service Scanner nie jest pełny, nie zostały zaznaczone wszystkie opcje skanu, toteż nie widać w nim wszystkich uszkodzeń, na pewno są. 1. Mini poprawka dla resztki adware. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..extensions.enabledAddons: {EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}:2.0 FF - prefs.js..extensions.enabledAddons: {707db484-2428-402d-afb5-d85b387544c7}:3.13.0.6 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}" Klik w Wykonaj skrypt. Tym razem poleci szybko i nie będzie restartu. 2. Odbuduj usunięte usługi za pomocą automatu ServicesRepair. Po naprawie zresetuj system i zrób nowy log z Farbar Service Scanner (przypominam: wszystkie opcje zaznaczone). . Odnośnik do komentarza
hopek Opublikowano 21 Października 2012 Autor Zgłoś Udostępnij Opublikowano 21 Października 2012 Sory za spóźnienie . (drugi plik .log nie mogę go wrzucić ) FSS(1).txt Odnośnik do komentarza
picasso Opublikowano 22 Października 2012 Zgłoś Udostępnij Opublikowano 22 Października 2012 (edytowane) Usługi pomyślnie odbudowane. Przejdź do tej części: 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. drugi plik .log nie mogę go wrzucić Nie prosiłam o ten log, choć chcąc go zaprezentować mogłeś go wkleić wprost w poście. A dlaczego plik wprost nie daje się załączyć, wyjaśniają zarówno zasady działu, jak i Pomoc forum (link na spodzie strony). Załączniki nie przyjmują plików o rozszerzeniu *.LOG, tylko *.TXT dopuszczone. Na przyszłość: wystarczy ręczna zmiana nazwy pliku. . Edytowane 20 Listopada 2012 przez picasso 20.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi