Desktop.ini oraz windows assembly gac 32 i 64

[electrix18]

Borykam sie z tym problemem od kilku dni, jezeli chodzi o błędy to pojawilo sie kilka folderow ktore sa przezroczyste wiec chyba powinny byc ukryte o takiej nazwie : 32788R22FWJFW.

często i w różnych miejscach pojawia się plik desktop.ini, czasem jest na pulpicie a czasami w folderze np. z muzyka, da się go usun ąc lecz za pare dni jest znowu w innym miejscu.

Natomiast skanowanie systemu avastem wykryło : C:\Windows\assembly\GAC_32\Desktop.ini, oraz C:\Windows\assembly\GAC_64\Desktop.ini i sugeruje że jest to trojan

mam nadzieje ze o niczym nie zapomnialem.

Damian

OTL.Txt

Extras.Txt

[picasso]

pojawilo sie kilka folderow ktore sa przezroczyste wiec chyba powinny byc ukryte o takiej nazwie : 32788R22FWJFW.

 

1. Uruchamiałeś ComboFix, 32788R22FWJFW to jego folder. Na temat stosowania tej aplikacji: KLIK.

 

[2012-11-06 15:54:36 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012-11-06 15:50:51 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2012-11-06 15:49:52 | 000,000,000 | --SD | C] -- C:\32788R22FWJFW

 

2. Przeźroczyste = ukryte. Teraz je widzisz, bo OTL /ComboFix przestawiają widzialność obiektów, co jest równoważne z konfiguracją ręczną w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznaczone Pokaż ukryte pliki i foldery + odznaczone Ukryj chronione pliki systemu operacyjnego. Jeśli pogrubiona opcja jest odznaczona (domyślnie na Windows tak nie jest), widać wtedy te pliki:

 

 

często i w różnych miejscach pojawia się plik desktop.ini, czasem jest na pulpicie a czasami w folderze np. z muzyka, da się go usun ąc lecz za pare dni jest znowu w innym miejscu.

 

Tych plików nie ruszaj! Pliki desktop.ini to specjalne ukryte pliki, które odpowiadają za polonizowaną nazwę (dlatego widzisz nazwę "Muzyka" / "Pulpit" zamiast "Music" / "Desktop") oraz ikonkę folderów. Ich usunięcie powoduje utratę tych cech. Natomiast:

 

 

Natomiast skanowanie systemu avastem wykryło : C:\Windows\assembly\GAC_32\Desktop.ini, oraz C:\Windows\assembly\GAC_64\Desktop.ini i sugeruje że jest to trojan

 

To są fałszywe pliki zrobione przez trojana ZeroAccess. Ta infekcja robi poważne szkody w Windows, kasuje usługi Centrum zabezpieczeń / Zapory systemu Windows / Windows Defender / Windows Update. Obrazuje to zestaw błędów z Twojego Dziennika zdarzeń:

 

Error - 2012-10-12 18:50:43 | Computer Name = Damek-SuperKomp | Source = Service Control Manager | ID = 7003
Description = Usługa Moduły obsługi kluczy IPsec IKE i AuthIP zależy od następującej
 usługi: BFE. Ta usługa może nie być zainstalowana.
 
Error - 2012-10-12 18:50:43 | Computer Name = Damek-SuperKomp | Source = Service Control Manager | ID = 7003
Description = Usługa Agent zasad IPsec zależy od następującej usługi: BFE. Ta usługa
 może nie być zainstalowana.
 
Error - 2012-10-12 18:50:43 | Computer Name = Damek-SuperKomp | Source = Service Control Manager | ID = 7023
Description = Usługa Publikacja zasobów odnajdowania funkcji zakończyła działanie;
 wystąpił następujący błąd:   %%-2147024891
 
Error - 2012-10-12 18:50:46 | Computer Name = Damek-SuperKomp | Source = Service Control Manager | ID = 7023
Description = Usługa Przeglądarka komputera zakończyła działanie; wystąpił następujący
 błąd:   %%1060
 
Error - 2012-10-12 18:52:00 | Computer Name = Damek-SuperKomp | Source = Service Control Manager | ID = 7023
Description = Usługa Publikacja zasobów odnajdowania funkcji zakończyła działanie;
 wystąpił następujący błąd:   %%-2147024891
 
Error - 2012-10-12 18:52:00 | Computer Name = Damek-SuperKomp | Source = Service Control Manager | ID = 7001
Description = Usługa Dostawca grupy domowej zależy od usługi Publikacja zasobów 
odnajdowania funkcji, której nie można uruchomić z powodu następującego błędu:   %%-2147024891

 

Wg raportu z OTL nie jest to wariant ładowany przez klasy CLSID, czyli potencjalnie jest tu wariant infekujący systemowy plik services.exe. Wymagane dodatkowe skany:

 

 

1. Uruchom SystemLook x64 i w oknie wklej:

 

:filefind
services.exe

 

Klik w Look.

 

2. Zrób też log z Farbar Service Scanner.

 

 

.

[electrix18]

Zrobilem co zalecałes oto wyniki.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 11:41 on 16/11/2012 by Damek

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] 50BEA589F7D7958BDD2528A8F69D05CC

 

-= EOF =-

FSS.txt

[picasso]

Tak, plik services.exe jest zainfekowany. Tylko jest tu problem, skan z SystemLook nie pokazuje żadnych alternatywnych kopii w systemie w folderze WinSxS. Jest to atypowe i nienormalne (czy ten system nie ma żadnych innych problemów?), wyklucza też naprawę pliku wbudowanym w system narzędziem SFC. Widzę, że już uruchamiałeś takie narzędzia jak TDSSKiller oraz Hitman Pro - oba potrafią wykryć zmodyfikowany plik services.exe i go wyleczyć. Skoro to się tu nie stało, może właśnie problem w tym, że system nie ma kopii pliku ... W związku z tym nie mogę zrobić usuwania od razu i muszę stwierdzić co się dzieje:

 

1. Podejmij się jeszcze jednej próby. Uruchom Kaspersky TDSSKiller. Zostaw domyślne akcje w narzędziu i zresetuj system.

 

2. TDSSKiller utworzy na dysku C log. Przedstaw go. Zrób nowy skan SystemLook na te same warunki co poprzednio. Jeśli będzie bez zmian, czeka nas mozolna ręczna podmiana pliku z kopii dostarczonej przeze mnie.

 

 

 

.

[electrix18]

Gotowe:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 13:04 on 16/11/2012 by Damek

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] 50BEA589F7D7958BDD2528A8F69D05CC

 

-= EOF =-

TDSSKiller.2.8.15.0_16.11.2012_12.59.57_log.txt

[picasso]

Niestety, tego się spodziewałam, TDSSKiller oczywiście nie znalazł kopii pliku (bo ich nie ma), a wyleczyć nie da rady:

 

13:00:15.0613 1696  Backup copy not found, trying to cure infected file..
13:00:15.0613 1696  C:\Windows\system32\services.exe - Cure failed (FFFFFFFF)
13:00:15.0613 1696  C:\Windows\system32\services.exe - processing error
13:00:15.0613 1696  C:\Windows\system32\services.exe ( Virus.Win64.ZAccess.a ) - User select action: Cure 

 

Nie zostaje nic innego jak operacja ręczna.

 

1. Pobierz plik services.exe (pod nazwą kopia.exe) zgodny z Windows 7 x64: KLIK. Rozpakuj ZIP i plik przenieś bezpośrednio na dysk C:\.

 

2. Zgraj na pendrive narzędzie FRST x64.

 

3. Przygotuj skrypt podmieniający pliki. Otwórz Notatnik i wklej w nim:

 

CMD: copy /y C:\kopia.exe C:\Windows\system32\services.exe
CMD: ren C:\Windows\assembly\desktop.in0 C:\Windows\assembly\desktop.ini
CMD: attrib -s -h C:\Windows\assembly\GAC_32\Desktop.ini
CMD: attrib -s -h C:\Windows\assembly\GAC_64\Desktop.ini
CMD: del /q C:\Windows\assembly\GAC_32\Desktop.ini
CMD: del /q C:\Windows\assembly\GAC_64\Desktop.ini

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST.

 

4. F8 przy starcie komputera > Napraw komputer > Wiersz polecenia > uruchom zgodnie z opsem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt.

 

5. Restart do Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę:

 

netsh winsock reset

 

Zresetuj system w celu ukończenkia naprawy łańcucha zmodyfikowanego przez trojana.

 

6. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair.

 

7. Zrób nowe logi SystemLook na ten sam warunek + Farbar Service Scanner, dołącz też plik fixlog.txt.

 

Jeśli wszystko będzie OK w tych logach, zabiorę się za usuwanie adware (na razie nie jest tak ważne jak usunięcie core trojana).

 

 

 

 

.

[electrix18]

Nie moge uruchomic pendrive, myślałem że nie mam ustawionego bootowania, ale chyba wszystko jest w porzadku.

Gdy chcę wejść w bios ( zdjęcie 1)

wybieram wszystko tak jak na zdjeciach 2 i 3 zatem wydaje mi się, że mam bootowanie z pendrive ustawione tak jak należy ?

 

Gdy resetuje komputer i mam pendrive podpięty pod usb to system włącza się normalnie jak zawsze a gdy próbowałem podpiąć inny pendrive to pokazywało się takie coś jak na zdj. 4 i też normalnie włączał się windows.

zatem nie wiem jak uruchomić wiersz polecenia i narzędzie FRST, co źlę robię ?

[picasso]

Co Ty kombinujesz, jakie bootowanie pendrive?! Ty masz zbootować przez F8 do opcji Windows. Pendrive ma być równocześnie podpięty, ale on nie ma bootować, tylko udostępniać narzędzie FRST.

 

 

 

.

[electrix18]

po uruchomieniu F8 mam takie opcje jak na fotce, co dalej, nie widzę opcji ,,napraw'' i jestem kompletnym laikiem jeżeli chodzi o te sprawy

oto link : http://imageshack.us/photo/my-images/15/419w.jpg/

[picasso]

No tak, to modyfikowany lewy Windows (wcześniej na obrazku jawny wpis "Windows 7 Loader XE" od aktywatora), który albo w ogóle nie miał tej opcji, albo opcja została naruszona przez manipulacje. To wyjaśnia też dlaczego system nie jest normalny i nie ma kopii pliku services.exe ... Pewnie sztucznie powycinano coś.

 

Nie zostaje nic innego niż skorzystanie z opcji "Napraw komputer" z poziomu płyty DVD: KLIK.

 

 

 

.

[electrix18]

Wielkie dzięki za chęć wyrażenia pomocy i za cierpliwość, zdecydowałem że wgram system od nowa, a najważniejsze rzeczy poprzerzucam na dysk D i pendraka .

[picasso]

electrix18, ustalmy pewne rzeczy na wszelki wypadek:

- Powód wgrywania nowego Windows: czy chodzi Ci o zastąpienie go normalnym niemodyfikowanym, czy chodzi Ci o trudności z leczeniem infekcji? To drugie mogę dalej ciągnąć, jeszcze jedna metoda w rękach.

- Rodzaj wgrywanego Windows: ten sam nośnik co poprzednio? Jeśli tak, Windows będzie miał przypuszczalnie te same wady.

 

 

 

.

 

[electrix18]

Chcialbym wgrac jeszcze raz ten sam modyfikowany windows, ten który mam obecnie

znalazlem go na tej stronie :

edytowane

 

Są tam tez inne wersje systemu ( ja mam wersję Ingresso S) wiec mam nadzieję, że ta osoba ma w tym doświadczenie, bo sa tam pozytywne komentarze na temat tego windowsa, jest tez lista zmian i jest podane co jest wyciete, a co dodane , natomiast jezeli chodzi o leczenie, to myslalem ze ten wirus nie jest az tak zlosliwy i dosc szybko uda nam się go usunąc, zazwyczaj samemu dawalem sobie rade

a jezeli chodzi o skorzystanie z opcji napraw komputer z poziomu plyty dvd , chodzi Ci o oryginalną płytę z Windowsem ?

bo nie posiadam oryginalnego systemu Windows 7 : / mam tylko XP ehs

[picasso]

electrix18, pirackie linki są tu zabronione, usuwam. I to nic nie zmienia w moim podejściu do tematu. To modyfikowany Windows. Myślisz, że brak ekwiwalentów pliku services.exe to wina trojana? Nie, to wada Twojego Windows, jest zbyt zmodyfikowany. I nie wiadomo co jeszcze wyjdzie kiedyś przy kryzysie.

U innych ten trojan w services.exe w try miga był przeze mnie załatwiany, za pomocą zwykłego narzędzia SFC wbudowanego w system, bo narzędzie mogło sięgnąć do repozytorium systemowego. U Ciebie awykonalne ze względu na sztucznie spreparowany system pozbawiony komponentów w WinSxS.

 

Nie mogę tu rozprawiać na temat piratów, ale powiem jedno: Odradzam wszelkie domowe przeróbki, najpewniejsze tylko niemodyfikowane płyty. Tu na forum co pewien czas się przewijają takie "produkcje", głowimy się gdzie leży problem, a potem się okazuje, że "producent" przeszarżował w "skrojeniu i optymalizacji".

 

 

sa tam pozytywne komentarze na temat tego windowsa, jest tez lista zmian i jest podane co jest wyciete, a co dodane

 

Pozytywne komentarze z pewnością są, tylko czy to technicy, czy używają system w inny niż powierzchowny sposób? Co wycięte na piśmie w praktyce właśnie oglądasz w mini skali. Problemu nie ma dopóki nie zaczynają się problemy, które będą wymagały tego co usunięto. To Twoje decyzje, ale ja odradzam.

 

 

a jezeli chodzi o skorzystanie z opcji napraw komputer z poziomu plyty dvd , chodzi Ci o oryginalną płytę z Windowsem ?

 

Chodzi o dowolną płytę instalacyjną z Windows 7.

 

 

.

[electrix18]

Jeszcze raz dzięx za wszystko, teraz nie mam za bardzo czasu zeby wl. komputer, bo mam duzo pracy (Listopad i Grudzien) zawsze są najgorsze heh

wiec mozesz temat zamknąć lub usunąć skoro jest nierozwiązany.