Rietrikki Opublikowano 26 Października 2012 Zgłoś Udostępnij Opublikowano 26 Października 2012 Witam! Mój antywirus niedawno wykrył wirusa w services.exe. Nie da się go normalnie pozbyć, ponieważ po kliknięciu opcji skasuj, system nie startuje normalnie i muszę korzystać z przywracania systemu. Próbowałam znaleźć jakieś wskazówki pomagające mi rozwiązać mój problem, no ale nie udało się. Dlatego zwracam się do was z prośbą o pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 26 Października 2012 Zgłoś Udostępnij Opublikowano 26 Października 2012 W systemie jest rootkit ZeroAccess. Wymagane dodatkowe skany: 1. Uruchom SystemLook x64 i do okna wklej: :filefind services.exe Klik w Look. 2. Podaj także log z Farbar Service Scanner. . Odnośnik do komentarza
Rietrikki Opublikowano 27 Października 2012 Autor Zgłoś Udostępnij Opublikowano 27 Października 2012 Dziękuję za zainteresowanie tematem. SystemLook 30.07.11 by jpshortstuff Log created at 16:40 on 27/10/2012 by Gabi Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] (Unable to calculate MD5) C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- FSS.txt Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 Plik services.exe jest zablokowany, z pewnością jest też zmodyfikowany, mimo że SystemLook nie mógł obliczyć sumy kontrolnej. Log z Farbar Service Scanner przedstawia typowe dla tej infekcji ingerencje, czyli usunięte z systemu usługi Zapora systemu Windows, Centrum zabezpieczeń, Windows Defender i Windows Update. 1. Przejdź w Tryb awaryjny Windows. Uruchom GrantPerms x64 i w oknie wklej: C:\Windows\system32\services.exe Klik w Unlock. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system w celu zatwierdzenia naprawy pliku. Jeśli ujrzysz tu jakiś błąd, nie przechodź do poniższych czynności tylko od razu zgłoś się na forum. 3. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: netsh winsock reset Zresetuj system w celu zatwierdzenia naprawy Winsock. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{ecf9f612-c86b-eabc-bdd2-232166ed5f8d} C:\windows\assembly\GAC_32\Desktop.ini C:\windows\assembly\GAC_64\Desktop.ini C:\Users\Gabi\AppData\Roaming\mozilla\Firefox\Profiles\ztocq3ck.default\extensions\5029445da06c6@5029445da06ff.info C:\Users\Gabi\AppData\Roaming\mozilla\Firefox\Profiles\ztocq3ck.default\extensions\502ce13598a6e@502ce13598aa7.info C:\Users\Gabi\AppData\Roaming\mozilla\firefox\profiles\ztocq3ck.default\extensions\OneClickDownloader@OneClickDownloader.com.xpi C:\Users\Gabi\AppData\Roaming\mozilla\firefox\profiles\ztocq3ck.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml :OTL IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" IE - HKU\S-1-5-21-1937159359-964814735-4279634252-1004\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-1937159359-964814735-4279634252-1004\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" O2:64bit: - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~1\mcafee\msk\mskapbho.dll File not found O4 - HKU\S-1-5-21-1937159359-964814735-4279634252-1004..\Run: [{9346A5F8-38AB-AD41-F6C5-B165E9B99278}] C:\Users\Gabi\AppData\Roaming\Bujou\dyyve.exe File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Default_Search_URL"=- "Search Bar"=- "Search Page"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany 5. Odbuduj usunięte przez trojana ZeroAccess usługi za pomocą automatycznego narzędzia ServicesRepair. 6. Przez Panel sterowania odinstaluj adware DownloadnSave. Następnie wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Na koniec uruchom AdwCleaner i zastosuj Delete. 7. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), SystemLook na ten sam warunek co poprzednio oraz Farbar Service Scanner. Dołącz log, który utworzy AdwCleaner. . Odnośnik do komentarza
Rietrikki Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 Wszystko wykonane według wskazówek. SystemLook 30.07.11 by jpshortstuff Log created at 13:59 on 28/10/2012 by Gabi Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- FSS.txt AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 Wszystko poprawnie usunięte, plik wyleczony, usługi odbudowane. Ale: nie wygląda na to, że zresetowałeś Firefox, ponieważ w logu nie ma na Pulpicie folderu "Stare dane Firefox" (tworzony przez reset), a AdwCleaner mieszał w pliku prefs.js (to nie miałoby miejsca po resecie). Chyba że są tu jakieś zafałszowania ... W każdym razie już tylko poprawki zostały i zmierzamy do finału. 1. Przez SHIFT+DEL dokasuj jeszcze ten odpadkowy folder po adware: C:\Users\Gabi\AppData\Roaming\SendSpace 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{C4E486E3-718F-49C6-A09C-CED611780A08}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0A7E5255-DC22-4F95-AFE3-7D234FBC90C5}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{C4E486E3-718F-49C6-A09C-CED611780A08}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik opcja Scal 3. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, a resztę już dokasuj ręcznie. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Zrób skanowanie w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
Rietrikki Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 Ale: nie wygląda na to, że zresetowałeś Firefox, ponieważ w logu nie ma na Pulpicie folderu "Stare dane Firefox" (tworzony przez reset) Zrestartowałam Firefoxa więc nie wiem dlaczego ten folder na pulpicie się nie pojawił... Malwarebytes Anti-Malware wykrył 8 wirusów. mbam-log-2012-10-28 (17-07-50).txt Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 1. Wyniki MBAM: Rootkit.0Access to szczątek po naszym "przyjacielu", wszystkie obiekty w ProgramData też szkodniki, a za keygeny nie dam głowy. Przez SHIFT+DEL dokasuj w całości te foldery z dysku: C:\ProgramData\Codec C:\ProgramData\GBox C:\ProgramData\OptimizerPro1 2. Do aktualizacji cały Windows i wyliczone poniżej programy: KLIK. Twój log pokazuje, że brak SP1 + IE9 dla Windows 7 oraz są zainstalowane wersje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)"PROPLUS" = Microsoft Office Professional Plus 2007 ----> doinstaluj pakiet SP3 Adobe i Java odinstaluj przed montażem najnowszych wersji. 3. Prewencyjnie zmień hasła logowania w serwisach. . Odnośnik do komentarza
Rietrikki Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 Dziękuję za udzieloną pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi