Agu Opublikowano 5 Grudnia 2012 Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 Witam. Od kilku dni, po kompleksowym skanowaniu dysku Avastem, znajduje on zarażone pliki w: katalog C:\Windows\Installer proces C:\Windows\System32\services.exe Próby wrzucenia plików do kwarantanny nic nie dają, pliki ponownie są wykrywane jako aktywne. Czyżby ZeroAccess z infekcją services.exe? Skan w SystemLook: SystemLook 30.07.11 by jpshortstuff Log created at 12:07 on 05/12/2012 by Agu Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] 50BEA589F7D7958BDD2528A8F69D05CC C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- Proszę o pomoc. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2012 Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 Nie "czyżby" tylko na pewno. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system w celu ukończenia leczenia pliku. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie przechodź dalej tylko od razu zgłoś się na forum. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: netsh winsock reset Zresetuj system, by zatwierdzić reset łańcucha sieciowego. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{792f4199-0b73-e2f4-7b46-706eb422a6b8} C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\Windows\SysWow64\%APPDATA% C:\Windows\w5win.ini C:\Users\Agu\AppData\Roaming\Babylon :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL IE - HKU\S-1-5-21-4127900562-1398173977-4033089581-1001\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKU\S-1-5-21-4127900562-1398173977-4033089581-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=109035&babsrc=SP_ss&mntrId=b8457168000000000000bc7737d84d6c" O3 - HKU\S-1-5-21-4127900562-1398173977-4033089581-1001\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O4 - HKU\S-1-5-21-4127900562-1398173977-4033089581-1001..\Run: [system] C:\WINDOWS\SYSTEM32\ie5unit.exe File not found O4 - Startup: C:\Users\Agu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel® Turbo Boost Technology Monitor 2.0.lnk = File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. 4. Odinstaluj podejrzany Mega Codec Pack (deinstalator chyba w Menu Start), ta paczka jest dziwna i były z nią na forum problemy. Przez Panel sterowania te: adware toolplugin, wątpliwy Dll-Files.com Fixer oraz zbędny Akamai NetSession Interface. A w Google Chrome w Rozszerzeniach: uTorrentControl2. 5. Zrób nowe logi: OTL z opcji Skanuj (bez Extras), Farbar Service Scanner oraz SystemLook na warunki: :filefind services.exe :Reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers . Odnośnik do komentarza
Agu Opublikowano 5 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 Adware toolplugin: "Wystąpił błąd podczas próby dezinstalacji programu toolplugin. Mógł on być wcześniej odinstalowany. Czy chcesz usunąć program toolplugin z listy Programy i funkcje?" Wybrałam tak, aczkolwiek nie jestem pewna, czy to rozwiązuje problem. SystemLook 30.07.11 by jpshortstuff Log created at 22:16 on 05/12/2012 by Agu Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB ========== Reg ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers] (No values found) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\00avast] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\EnhancedStorageShell] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\SharingPrivate] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers] (No values found) [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\EnhancedStorageShell] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\SharingPrivate] -= EOF =- OTL.Txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 6 Grudnia 2012 Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Usuwanie infekcji pomyślne, ale jeszcze jest tu co robić. Trojan skasował z rejestru usługi i należy je odtworzyć. Wykonaj następujące działania: 1. Drobny skrypt poprawkowy. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Agu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack C:\ProgramData\Windows Codecs C:\Program Files (x86)\Mega Codec Pack :OTL CHR - Extension: uTorrentControl2 = C:\Users\Agu\AppData\Local\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc\2.3.15.10_0\ CHR - Extension: uTorrentControl2 = C:\Users\Agu\AppData\Local\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc\2.3.18.20_0 O4 - HKLM..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" File not found O4 - HKU\S-1-5-21-4127900562-1398173977-4033089581-1001..\Run: [Akamai NetSession Interface] "C:\Users\Agu\AppData\Local\Akamai\netsession_win.exe" File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{89349DD2-773E-48ED-8831-1A2367DB0300}" 2. W Google Chrome nadal śmieci adware: ========== Chrome ========== CHR - plugin: 2YourFace Util (Enabled) = C:\Users\Agu\AppData\Local\Google\Chrome\User Data\Default\Extensions\lmblfngognklgemafekefcdjcnkdhmdm\1.0_0\2YourFace_Util.dllCHR - Extension: uTorrentControl2 = C:\Users\Agu\AppData\Local\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc\2.3.15.10_0\CHR - Extension: uTorrentControl2 = C:\Users\Agu\AppData\Local\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc\2.3.18.20_0\ O ile te szczątki rozszerzeń uTorrentControl2 już dedykuję w skrypcie OTL, to wycięcie wtyczki 2YourFace Util jest trudniejsze (wymaga edycji kodu pliku preferencji). Skopiuj na Pulpit ten plik: C:\Users\Agu\AppData\Local\Google\Chrome\User Data\Default\Preferences Shostuj gdzieś i podaj link. Ja plik zedytuję i odeślę z powrotem. 3. Zrekonstruuj usunięte usługi za pomocą ServicesRepair. Po restarcie systemu zrób nowy log z Farbar Service Scanner. . Odnośnik do komentarza
Agu Opublikowano 6 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Zrobione 2. Plik Preferences FSS.txt Odnośnik do komentarza
picasso Opublikowano 6 Grudnia 2012 Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Usługi pomyślnie zreperowane. Została więc edycja Google Chrome i końcowe sprawdzenie raportu z OTL. Pliku Preferences nie mogę pobrać, kieruje mnie na Chomiku do folderu zabezpieczonego hasłem. . Odnośnik do komentarza
Agu Opublikowano 6 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 I chomik przeciwko mnie? ;( Spróbuj proszę ponownie, hasła już nie ma - przepraszam za zamieszanie. Odnośnik do komentarza
picasso Opublikowano 6 Grudnia 2012 Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 1. Przesyłam zedytowany plik Preferences zapakowany do ZIP: KLIK. Zamknij Google Chrome (nie może być czynne w procesach!). Podmień pliki Preferences. Sprawdź czy na dysku jest taki folder, a jeśli tak to usuń: C:\Users\Agu\AppData\Local\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc. Następnie uruchom Google Chrome, w celu sprawdzenia czy przyjął plik, tzn. nie wyrzuca żadnego błędu przy uruchomieniu. 2. Zrób nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
Agu Opublikowano 6 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Plik podmieniony, folder usunięty, Chrome nie wniosi żadnego sprzeciwu co do pliku. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 6 Grudnia 2012 Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Wszystko zrobione. Przechodzimy do wykończeń: 1. Przypadkowo ominęłam ten folder, przez SHIFT+DEL go skasuj: C:\Users\Agu\AppData\Roaming\toolplugin 2. W OTL uruchom Sprzątanie, a resztę używanych narzędzi usuń ręcznie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na wszelki wypadek zrób jeszcze skanowanie pełne w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie próbną). Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
Agu Opublikowano 6 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Wygląda na to, że już jest czyściutko - Malwarebytes Anti-Malware nie wykrył żadnych zagrożeń. Dziękuję ślicznie za pomoc. Picasso, jesteś boska. Odnośnik do komentarza
picasso Opublikowano 6 Grudnia 2012 Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Na zakończenie: 1. Drobne aktualizacje, a konkretnie: usunięcie starych Java, aktualizacja Thunderbird / FileZilla / OpenOffice.org, instalacja SP1 dla Office 2010: KLIK. Twój log opowiada, że obecnie masz zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416024FF}" = Java 6 Update 24 (64-bit)"{26A24AE4-039D-4CA4-87B4-2F86417005FF}" = Java 7 Update 5 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9"{90140011-0066-0415-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - Polski"FileZilla Client" = FileZilla Client 3.5.3"Mozilla Thunderbird 12.0.1 (x86 pl)" = Mozilla Thunderbird 12.0.1 (x86 pl) 2. Dla bezpieczeństwa zmień hasła logowania w serwisach. Uwaga poboczna: widzę zainstalowanego potwora Gadu-Gadu 10. Polecam programy alternatywne z obsługą sieci Gadu: WTW, Kadu, AQQ, Miranda. Wszystko opisane tu: KLIK. . Odnośnik do komentarza
Agu Opublikowano 9 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2012 Odinstalowałam to, z czego nie korzystam, wszystko śmiga, Avast się uspokoił. Jeszcze raz dziękuję za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi