diaanaa20 Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 (edytowane) Witam, Bardzo proszę o pomoc tj szczegółową instrukcję postępowania dla laika. Przeglądałam już naprawdę wiele stron, jednak nigdzie nie znalazłam odpowiedzi na moje pytania. AVG wykrywa w moim systemie 3 wirusy: 1) C/windows/assebly/GAC_32/Desktop.ini 2) C/windows/assebly/GAC_64/Desktop.ini 3) C:\Windows\System32\services.exe Mam system Windows 7 Home Premium (64bit). Edytowane 14 Grudnia 2012 przez picasso Wadliwe załączniki usunięte. //picasso Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Posiadasz infekcję ZeroAccess, która modyfikuje systemowy plik services.exe. Proszę nie wzoruj się na innych tematach. Zastrzeżenie do logów: - Źle zrobione logi z OTL. Po pierwsze: użyty przestarzały OTL 3.2.55.0 pozbawiony wielu poprawek skanów (m.in. ZeroAccess właśnie). Po drugie: jest to log niepełny, nie ma pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). - Ten skan w SystemLook jest w połowie nieaktualny, gdyż raport z OTL już posiada skan kluczy rejestru atakowanych przez ZeroAccess. To od prowadzącego temat zależy co zadać w skanie. Poproszę o nowe skany: 1. Pobierz najnowszy OTL i zrób świeże raporty zgodnie ze wskazówkami: KLIK. 2. SystemLook na warunek: :filefind services.exe :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s 3. Log z Farbar Service Scanner. . Odnośnik do komentarza
diaanaa20 Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Dziękuję serdecznie za tak szybką odpowiedź i pomoc! Załączam wymienione skany. FSS.txt SystemLook.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 W logu widoczne źródło infekcji: lewa paczka kodeków Mega Codec Pack. Pewnie pobrany jakiś film pokątnie z torrent i te "kodeki" w paczce to właśnie przyczyna infekcji... Prócz infekcji głównej system zaśmiecony też adware. Przechodzimy do czyszczenia: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system, by ukończyć naprawę pliku. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie przechodź do wykonania dalszych czynności, tylko od razu zgłoś się na forum. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: netsh winsock reset Zresetuj system w celu ukończenia naprawy łańcucha sieciowego. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{6662483b-9efa-8f2a-230d-f34e3d6d6240} C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\Users\sony\AppData\Roaming\System.dat C:\Users\sony\AppData\Roaming\etc.dat C:\Users\sony\AppData\Roaming\DirectX.dat C:\Users\sony\AppData\Local\Temp*.html C:\Users\sony\AppData\Roaming\Mozilla C:\Users\sony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack C:\Program Files (x86)\Mega Codec Pack C:\Windows\SysWow64\%APPDATA% :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" IE - HKU\S-1-5-21-3480128685-371813569-3779566251-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-3480128685-371813569-3779566251-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=050412_30b&babsrc=SP_ss&mntrId=52c3e0f60000000000007edd08eb27e3" IE - HKU\S-1-5-21-3480128685-371813569-3779566251-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=9B562423-E76F-444D-8903-F2DBC76311E8&apn_sauid=096EEC02-DFFA-4FC2-A408-5F25B5E1524A" IE - HKU\S-1-5-21-3480128685-371813569-3779566251-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-3480128685-371813569-3779566251-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={14843DC5-9633-4D68-9A8A-F7FBE9D591D5}&mid=01511b4a6ffa47d6ba3221328d14a805-9ac729e4b9dbdd01de04c5767dbea3e52e1955a9&lang=pl&ds=xn011&pr=sa&d=2012-09-24 18:49:46&v=13.0.0.7&sap=dsp&q={searchTerms}" IE - HKU\S-1-5-21-3480128685-371813569-3779566251-1000\..\SearchScopes\{96C4A8B2-A898-4A92-89CF-9ABC75FB3876}: "URL" = "http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SVEC_plPL408" IE - HKU\S-1-5-21-3480128685-371813569-3779566251-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-3480128685-371813569-3779566251-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair. 5. Napraw martwą ikonę Centrum Akcji uszkodzoną przez trojana. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 6. Przez Panel sterowania odinstaluj adware Ashampoo PO Toolbar, AVG Security Toolbar, Babylon toolbar on IE, DAEMON Tools Toolbar, Pandora Service, Premiumplay Codec-C, V9 Homepage Uninstaller. Otwórz Google Chrome i w Rozszerzeniach odinstaluj AVG Secure Search, Codec-V. 7. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 8. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner + SystemLook na warunki: :filefind services.exe :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
diaanaa20 Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Rzeczywiście, ściągając film pobrałam również takie "kodeki".. Bardzo dziękuję za pomoc! Wykonałam wszystkie czynności, załączam logi. OTL.Txt SystemLook.txt FSS.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Jesteśmy na prostej. Wszystko poprawnie wykonane. Plik services.exe wyleczony, usługi i ikona Centrum odbudowane, pozostałe śmieci też wyleciały. Zostały poprawki i skany potwierdzające. Wykonaj następujące operacje: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{d43723ae-1ae1-4a25-a6a4-bf0929273cab}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\0MediaIconsOerlay] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs] "Tabs"="res://ieframe.dll/tabswelcome.htm" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "ROC_ROC_NT"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Program Files (x86)\v9Soft :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart. 3. Te "kodeki" rwałam na chama kasując foldery z dysku. Jest możliwe, że zostały w rejestrze śmieci w postaci rejestracji kodeków. Na wszelki wypadek uruchom Codec Tweak Tool i zastosuj funkcję Fixes. 4. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, a resztę to już ręcznie dokasuj. 5. Wyczyść foldery Przywracania systemu: KLIK. 6. Widzę zainstalowany Malwarebytes Anti-Malware. Upewnij się, że masz aktualne bazy i wykonaj pełny skan. Jeśli coś zostanie wykryte, przedstaw wyniki. . Odnośnik do komentarza
diaanaa20 Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Wykonałam wszystkie czynności. Podczas skanowania nic nie zostało wykryte. Dziękuję serdecznie jeszcze raz! :-) Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Na zakończenie: 1. Zaktualizuj Windows i wyliczone poniżej programy: KLIK. Wg raportu masz nieaktualizowany Windows 7 i zainstalowane wersje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416016FF}" = Java 6 Update 16 (64-bit)"{BF46C84D-1AC3-4CC3-A45C-EF6257B80984}" = AVG 2012 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{1CA25C74-253B-4758-80AA-E87F373946E6}" = OpenOfficeT7 2.3"{26A24AE4-039D-4CA4-87B4-2F83216037FF}" = Java 6 Update 37"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.0"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox/Opera) ----> używa jej też GG10 W podsumowaniu: wszystkie podane tu stare Adobe i Java odinstaluj, zastąp najnowszymi wersjami, zaktualizuj OpenOffice.org / Skype / antywirusa oraz wykonaj pełną aktualizację Windows 7 (SP1 + IE9 + reszta łatek) z Windows Update. Uwaga poboczna: jest tu zainstalowany pamięciożerny potwór Gadu-Gadu 10, na dodatek instalujący przestarzały dziurawy Adobe Flash. Proponuję szybko się tego pozbyć na korzyść lżejszego alternatywnego programu z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. 2. Prewencyjnie zmień hasła logowania w serwisach. . Odnośnik do komentarza
Rekomendowane odpowiedzi