Zablokowany komputer przez wirus

[Karlirah]

Więc już drugi raz zaatakował mnie tego typu wirus. Wcześniej był to U-kash teraz jakiś inny.

zrobiłem skany otl liczę na szybką odpowiedź

OTL.Txt

Extras.Txt

[picasso]

Poprzednim razem się nawet nie zgłosiłeś, a temat wcale nie był skończony... Proszę nie uciekać po wstępnym odblokowaniu systemu. Wszystko musi być zweryfikowane, a temat prawidłowo sfinalizowany.

 

Trojan blokujący to nie jedyna infekcja, w systemie działa gorszy trojan ZeroAccess, który czyni o wiele większe szkody w systemie (usuwa z rejestru usługi Centrum zabezpieczeń, Windows Defender, Windows Update i Zapora systemu Windows).

 

1. Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}

 

Zresetuj system, by odładować ZeroAccess z pamięci.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\Installer\{3b99f81f-31d5-dbab-1bcf-87d0107a285a}
C:\Users\Zbigniew Motyl\AppData\Local\{3b99f81f-31d5-dbab-1bcf-87d0107a285a}
C:\Users\Zbigniew Motyl\AppData\Roaming\Evyvuf
C:\Users\Zbigniew Motyl\AppData\Roaming\Ylisf
C:\Users\Zbigniew Motyl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\Users\Zbigniew Motyl\AppData\Roaming\mozilla\Firefox\Profiles\vnt9bxxg.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
C:\Users\Zbigniew Motyl\AppData\Roaming\mozilla\firefox\profiles\c7mwu8s2.default\searchplugins\askcomsearch.xml
C:\ProgramData\lsass.exe
C:\ProgramData\0tbpw.pad
 
:OTL
IE - HKU\S-1-5-21-3095056962-1977814787-599217539-1000\..\SearchScopes\{42D3ED43-87A3-4911-9E1C-3C4ED2E2D1ED}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000"
IE - HKU\S-1-5-21-3095056962-1977814787-599217539-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
FF - HKLM\Software\MozillaPlugins\@nexon.net/NxGame: C:\ProgramData\NexonUS\NGM\npNxGameUS.dll File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
O3 - HKU\S-1-5-21-3095056962-1977814787-599217539-1000\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
O3 - HKU\S-1-5-21-3095056962-1977814787-599217539-1000\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O4 - HKU\S-1-5-21-3095056962-1977814787-599217539-1000..\Run: [Akamai NetSession Interface] "C:\Users\Zbigniew Motyl\AppData\Local\Akamai\netsession_win.exe" File not found
O4 - HKU\S-1-5-21-3095056962-1977814787-599217539-1000..\Run: [Ruoxy] "C:\Users\Zbigniew Motyl\AppData\Roaming\Anawk\rufo.exe" File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Zniknie blokada.

 

3. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{49D080BA-F15C-4D3C-A42B-5064F4E84955}]
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

4. Jest tu bardzo niezdrowa sytuacja. Wspólnie zainstalowane avast! Internet Security + Kaspersky Internet Security 2011. Jeden z nich do deinstalacji.

 

5. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner. Dodatkowo uruchom SystemLook x64 i do skanu wklej:

 

:filefind

services.exe

 

Klik w Look.

 

 

 

.

[Karlirah]

Dzięki za pomoc. Po kolei robiłem kroki. Poniżej daję skany. Jeśli mogę spytac - dostajesz jakieś wynagrodzenie za to co robisz? Czy pracujesz całkiem za darmo?

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 21:50 on 19/10/2012 by Zbigniew Motyl

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 014A9CB92514E27C0107614DF764BC06

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

FSS.txt

OTL.Txt

[picasso]

Skan z SystemLook mówi, że jest zainfekowany przez ZeroAccess również systemowy plik services.exe. Skan z Farbar Service Scanner tylko potwierdza to co już mówiłam (usunięte przez ZeroAccess usługi z rejestru). Kolejne działania:

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system, w celu ukończenia naprawy pliku. Jeśli pojawi się przy wykonaniu komendy jakiś błąd, STOP, od razu zgłoś się na forum.

 

2. Odbuduj usunięte usługi za pomocą ServicesRepair.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O7 - HKU\S-1-5-21-3095056962-1977814787-599217539-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

4. Zrób nowe logi: Farbar Service Scanner + SystemLook na te same warunki co poprzednio.

 

 

Jeśli mogę spytac - dostajesz jakieś wynagrodzenie za to co robisz? Czy pracujesz całkiem za darmo?

 

Jestem właścicielką fixitpc.pl, udzielam darmowej pomocy i proszę o ewentualne wparcie przez dotacje.

 

 

.

[Karlirah]

Zrobiłem to co mówiłaś. Żadnego błędu nie zauważyłem. Poniżej zamieszczam skany z FFS i SL.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 02:55 on 21/10/2012 by Zbigniew Motyl

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

FSS.txt

[picasso]

Wszystko poprawnie wykonane, plik naprawiony + usługi odbudowane. Przejdź do tej partii zadań:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie, a resztę używanych ręcznie skasuj.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Na wszelki wypadek zrób jeszcze skanowanie w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Przedstaw raport, jeżeli coś zostanie wykryte.

 

 

.

Edytowane 28 Listopada 2012 przez picasso
28.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso