gixer Opublikowano 15 Listopada 2012 Zgłoś Udostępnij Opublikowano 15 Listopada 2012 Witam, w dniu dzisiejszym NOD zaczął pokazywać komunikaty o zaifekowanych plikach m.in. wirusem sirefef.aw, dodatkowo jeszcze conedex.c i patched.A.Gen. Robiłem skan Malwarebytes ale nic nie znalazł. NOD nie radzi sobie z usunieciem plików i po restarcie w dalszym ciągu pokazują się komunikaty. Dodatkowo NOD wyświetla komunikat "Wystąpił błąd podczas uruchamiania usług. Analiza protokołów aplikacji (POP3, HTTP) nie będzie wykonywana." W załączniku przesyłam wymagane logi i z góry dziękuję za pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Listopada 2012 Zgłoś Udostępnij Opublikowano 15 Listopada 2012 Zapewne jest to wariant trojana ZeroAccess (aka Sirefef) patchujący systemowy plik services.exe. Podaj dodatkowe skany: 1. Uruchom SystemLook x64 i w oknie wklej: :filefind services.exe Klik w Look. 2. Zrób też log z Farbar Service Scanner. . Odnośnik do komentarza
gixer Opublikowano 15 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 15 Listopada 2012 Dzięki wielkie za szybką odpowiedź. Zapewne jest tak jak piszesz. Dołączam nowe skany. SystemLook 30.07.11 by jpshortstuff Log created at 19:16 on 15/11/2012 by Lechu Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] (Unable to calculate MD5) C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- FSS.txt Odnośnik do komentarza
picasso Opublikowano 15 Listopada 2012 Zgłoś Udostępnij Opublikowano 15 Listopada 2012 Plik jest na pewno naruszony, bo jest zablokowany i nie można sprawdzić sumy kontrolnej: C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] (Unable to calculate MD5) 1. W Trybie awaryjnym uruchom GrantPerms x64 i w oknie wklej: C:\Windows\system32\services.exe Klik w Unlock. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system w celu ukończeniu naprawy pliku. Jeśli pojawi się tu błąd, STOP, zgłoś się od razu na forum. Jeśli nie będzie błędu, kolejne akcje: 3. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: netsh winsock reset Zresetuj system w celu ukończeniu resetu katalogu sieciowego Winsock. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\Users\Lechu\AppData\Roaming\Splashtop :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Search Bar"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{32826A3F-60DB-4254-A9C1-1DB3F05A8C4A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 5. Odbuduj usunięte przez trojana usługi systemowe za pomocą ServicesRepair. 6. Zrób nowe logi: OTL z opcji Skanuj (bez Extras), Farbar Service Scanner oraz SystemLook na warunki: :filefind services.exe . Odnośnik do komentarza
gixer Opublikowano 15 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 15 Listopada 2012 Wszystko poszło bez żadnych problemów. Załączam nowe logi. Gotowe, nie wiem dlaczego pod koniec skanowania samo się to przestawia. Jeśli dalej będzie źle to będę próbował jeszcze raz. SystemLook 30.07.11 by jpshortstuff Log created at 19:59 on 15/11/2012 by Lechu Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- FSS.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Listopada 2012 Zgłoś Udostępnij Opublikowano 15 Listopada 2012 Wszystko pomyślnie wykonane: plik wyleczony, Winsock zresetowany, usługi naprawione. 1. Wyczyść po narzędziach: w OTL uruchom Sprzątanie, a resztę używanych już ręcznie dokasuj. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Dla pewności zrób pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. Tak, używałeś go wcześniej, ale chcę mieć potwierdzenie, że skanowanie głębokie nic nie widzi (nie wiem jaki tryb dobrałeś uprzednio). . Odnośnik do komentarza
gixer Opublikowano 16 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Wszystkie czyności wykonane. Wcześniej też użyłem pewnego skanowania i tak wtedy jak i teraz nic nie zostało znalezione. Po wykonaniu wcześniejszych czynności już wszystko wróciło do normy i zniknęły komunikaty. Wygląda na to że wszystko zostało usuniętę. Dzięki wielkie za pomoc. Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Programy widzę aktualne masz. Jeszcze na wszelki wypadek dla bezpieczeństwa zmień hasła logowania w serwisach. Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi