gharibo Opublikowano 20 Listopada 2012 Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Witam, mam problem z ww wirusem, zarażono proces services.exe. Prosze o pomoc, ratunku! OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2012 Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Trojan ZeroAccess, conajmniej w jednym wariancie (uruchamia się z Kosza), ale mówisz i o "services.exe", co sugeruje skombinowanie z drugim wariantem. Wymagane dodatkowe skany: 1. Uruchom SystemLook x64 i w oknie wklej: :filefind services.exe Klik w Look. Przedstaw wynikowy log. 2. Zrób log z Farbar Service Scanner. . Odnośnik do komentarza
gharibo Opublikowano 20 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Dziekuje za szybka odpowiedz. Nie wiem czy to ma znaczenie, ale kosz jest pusty. Zalaczam dodatkowe logi. SystemLook 30.07.11 by jpshortstuff Log created at 12:12 on 20/11/2012 by marta Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] 50BEA589F7D7958BDD2528A8F69D05CC C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- FSS.txt Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2012 Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Nie wiem czy to ma znaczenie, ale kosz jest pusty. Raport podaje, że w Koszu jest ukryte bagno. Kosz jest tylko pozornie pusty, zresztą oglądasz pewnie tylko zawartość wirtualnego skrótu na Pulpicie a nie rzeczywistego folderu Kosza C:\$Recycle.Bin. Nie jesteś zdolny widzieć komponenty trojana (ukryte przez atrybuty HS + zablokowane przez uprawnienia). Skan z SystemLook potwierdza obecność drugiego wariantu (zmodyfikowany plik systemowy services.exe), zaś Farbar Service Scanner przedstawia miazgę w usługach (trojan skasował Zaporę, Centrum, Windows Defender i Windows Update). 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę: sfc /scanfile=C:\Windows\system32\services.exe Jeśli poprosi o reset systemu, wykonaj w celu dokończenia leczenia pliku. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie wykonuj poniższych instrukcji i od razu zgłoś się na forum. 2. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by odładować z pamięci ZeroAccess. 3. Otwórz Notatnik i wklej w nim: TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A /D Y icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-21-255191485-1766804045-439270753-1001\$e80d69539d246174db9968cc1a49b330 /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin netsh winsock reset pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by dokończyć reset Winsock naruszony przez ZeroAccess. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{e80d6953-9d24-6174-db99-68cc1a49b330} C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\Users\marta\AppData\Roaming\Ciizyr C:\Users\marta\AppData\Roaming\Giifdy C:\Users\marta\AppData\Roaming\Hyel C:\Users\marta\AppData\Roaming\Imyvs C:\Users\marta\AppData\Roaming\Luceis C:\Users\marta\AppData\Roaming\Repuen C:\Users\marta\AppData\Roaming\Wecaid C:\Users\marta\AppData\Roaming\Wuohy C:\Users\marta\AppData\Roaming\Wyfedi C:\Users\marta\AppData\Roaming\Xyuk C:\Users\marta\AppData\Roaming\Zacuo C:\ProgramData\zgxkujavwsnlgbq C:\Windows\SysWow64\%APPDATA% C:\Windows\SysWow64\drivers\AVG C:\Users\marta\AppData\Roaming\Mozilla :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=164&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=3059602263284002&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=164&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=3059602263284002&q={searchTerms}" IE - HKU\S-1-5-21-255191485-1766804045-439270753-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=164&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=3059602263284002&q={searchTerms}" IE - HKU\S-1-5-21-255191485-1766804045-439270753-1001\..\URLSearchHook: - No CLSID value found IE - HKU\S-1-5-21-255191485-1766804045-439270753-1001\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL File not found O2:64bit: - BHO: (Hotspot Shield Class) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll File not found O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~1\mcafee\msk\mskapbho.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-255191485-1766804045-439270753-1001\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O7 - HKU\S-1-5-21-255191485-1766804045-439270753-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 CHR - Extension: AVG Safe Search = C:\Users\marta\AppData\Local\Google\Chrome\User Data\Default\Extensions\jmfkcklnlgedgbglfkkgedjfmejoahla\12.0.0.2191_0\ CHR - Extension: vshare plugin = C:\Users\marta\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\ CHR - Extension: AVG Do Not Track = C:\Users\marta\AppData\Local\Google\Chrome\User Data\Default\Extensions\ndibdjnfmopecpmkdieinmbadjfpblof\12.0.0.2166_0\ CHR - Extension: uTorrentControl2 = C:\Users\marta\AppData\Local\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc\2.3.7.1_0\ :Reg [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Odbuduj usunięte usługi za pomocą ServicesRepair. 7. Zrób nowe logi: OTL z opcji Skanuj, Farbar Service Scanner oraz SystemLook na warunki: :filefind services.exe :dir C:\$Recycle.Bin /s Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
gharibo Opublikowano 20 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Utknelam niestety na etapie odbudowywania utraconych uslug. Skorzystalam z narzędzia ServicesRepair, ale jako, ze nie odbudowuje on uslugi mpsdrv, a ja nie wiem jak ja odbudowac manualnie, to nie moge ruszyc dalej. Bardzo prosze o wskazowke. Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2012 Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Skoro podaję to narzędzie, to znaczy że dokładnie wiem co robię i uzupełniam co należy. Patrz w log z Farbar Service Scanner, usługa mpsdrv nie jest naruszona (nie ma oznaczenia braku klucza), za to wszystkie inne Zapory tak (komunikaty "The service key does not exist."). I to naprawi ServicesRepair. Nie dywaguj tylko wykonuj co zadałam. . Odnośnik do komentarza
gharibo Opublikowano 20 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Ok, juz nie dywaguje . Wymagane logi: SystemLook 30.07.11 by jpshortstuff Log created at 16:55 on 20/11/2012 by marta Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB ========== dir ========== C:\$Recycle.Bin - Parameters: "/s" ---Files--- None found. C:\$Recycle.Bin\S-1-5-21-255191485-1766804045-439270753-1001 d--hs-- [19:34 27/12/2011] desktop.ini --ahs-- 129 bytes [13:16 20/11/2012] [13:16 20/11/2012] C:\$Recycle.Bin\S-1-5-21-255191485-1766804045-439270753-1001\$e80d69539d246174db9968cc1a49b330 d--hs-- [17:23 01/11/2012] -= EOF =- AdwCleanerS1.txt OTL2.Txt FSS2.txt Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2012 Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Plik services.exe wyleczony, usługi odbudowane, Winsock zresetowany i reszta zadań też prawie wykonana. Ale z Kosza nie wszystkie komponenty trojana zniknęły, nadal jest to: ========== dir ========== C:\$Recycle.Bin - Parameters: "/s" C:\$Recycle.Bin\S-1-5-21-255191485-1766804045-439270753-1001\$e80d69539d246174db9968cc1a49b330 d--hs-- [17:23 01/11/2012] Nie zauważyłam, że locale systemu jest angielskie, czyli angielska nazwa grupy musi iść (Everyone zamiast Wszyscy): Locale: 00000809 | Country: United Kingdom | Language: ENG | Date Format: dd/MM/yyyy Poprawki: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{C8BBEA3D-668E-4435-BFE4-83C208BC7994}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{C8BBEA3D-668E-4435-BFE4-83C208BC7994}" [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Otwórz Notatnik i wklej w nim: icacls C:\$Recycle.Bin\S-1-5-21-255191485-1766804045-439270753-1001\$e80d69539d246174db9968cc1a49b330 /grant Everyone:F /T rd /s /q C:\$Recycle.Bin pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. 3. Zrób nowy log SystemLook na warunek: :dir C:\$Recycle.Bin /s . Odnośnik do komentarza
gharibo Opublikowano 20 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Mam wymagany log, prosze o dalsze instrukcje. SystemLook 30.07.11 by jpshortstuff Log created at 19:32 on 20/11/2012 by marta Administrator - Elevation successful ========== dir ========== C:\$Recycle.Bin - Unable to find folder. -= EOF =- Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2012 Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Teraz poszło, folder Kosza całkowicie usunięty. Folder ten się zregeneruje albo po restarcie systemu, albo przy pierwszej próbie usuwania plików do Kosza. Możemy przejść do wykończeń: 1. Wyczyść po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, resztę używanych + pliki FIX ręcznie usuń. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zrób pełne (nie ekspresowe) skanowanie w posiadanym Malwarebytes Anti-Malware (upewnij się, że bazy najnowsze). Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
gharibo Opublikowano 20 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Wszystko wykonane wedlug zalecen. Malwarebytes nie wykazal zadnych zagrozen. Dziekuje bardzo za fachowa pomoc, Picasso. Nie wiedzialam o istnieniu tego typu forum az do dzisiaj, ale ciesz sie, ze trafilam wlasnie tutaj. Pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2012 Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Na zakończenie: 1. Nie zauważyłam: Google Chrome wygląda na odinstalowane, ale na dysku ciągle widoczna konfiguracja. Skasuj przez SHIFT+DEL ten folder: C:\Users\marta\AppData\Local\Google\Chrome Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome 2. Zaktualizuj wyliczone poniżej oprogramowanie: KLIK. Wg raportu obecnie posiadasz: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java 6 Update 22 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera) W podsumowaniu: odinstaluj wszystkie starsze Adobe + Java + Silverlight i zastąp najnowszymi wersjami, zainstaluj pakiet SP1 dla Office 2010. 3. Prewencyjnie zmień hasła logowania w serwisach. . Odnośnik do komentarza
Rekomendowane odpowiedzi