rataj18 Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Witam. Mam bardzo podobny problem: https://www.fixitpc.pl/topic/14890-servicesexe-gac-32desktopini-gac-64desktopini-virus/. Program antiwirusowy rowniez wykrywa u mnie wirusa w: C:\Windows\System32\services.exe Prosze o pomoc. Mam system Windows 7 Ultimate (32 bit). OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Zasady działu: KLIK. Tu jest zakaz dopisywania się do cudzych tematów. Wydzielone w osobny. Pod kątem infekcji wymagane dodatkowe skany: 1. Uruchom SystemLook i w oknie wklej: :filefind services.exe :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Klik w Look. 2. Zrób log z Farbar Service Scanner. . Odnośnik do komentarza
rataj18 Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Przepraszam za poprzedniego posta, niestety nie doczytalem regulaminu... Przesylam pozostale logi. FSS.txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Wg skanu SystemLook plik services.exe jest poprawny, a wg Farbar usługi nie są uszkodzone. Tak więc zostało tu przemilczane sporo, m.in. użycie ComboFix, którego ewidentne ślady są w systemie. Na ten temat: KLIK. ComboFix musiał leczyć plik i naprawiać usługi. Co zostało do zrobienia więc: usunięcie resztek plików infekcji + odtworzenie uszkodzonej ikony Centrum Akcji (trojan ZeroAccess klucz skasował) + drobna kosmetyka. Przeprowadź następujące działania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{8beca11c-7353-d1b6-1416-62692e8a01a2} C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" :OTL IE - HKU\S-1-5-21-481205827-3571293035-3921890925-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" O2 - BHO: (IDM integration (IDMIEHlprObj Class)) - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll File not found FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll File not found FF - HKEY_CURRENT_USER\software\mozilla\SeaMonkey\Extensions\\mozilla_cc@internetdownloadmanager.com: C:\Users\Rataj\AppData\Roaming\IDM\idmmzcc5 DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\TEMP\cpuz135\cpuz135_x32.sys -- (cpuz135) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Rataj\AppData\Local\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz SystemLook na warunek: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s . Odnośnik do komentarza
rataj18 Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Przyznaje sie. Uzylem combofixa i myslalem, ze zostanie to niezuwazone. Zrobilem wszystko jak powyzej i przesylam logi + lo z combofixa. OTL.Txt SystemLook.txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Zadania wykonane, przeprowadź kolejne operacje: 1. Niechcący ominęłam jeden folder ZeroAccess. Mała korekta. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Rataj\AppData\Local\{8beca11c-7353-d1b6-1416-62692e8a01a2 Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Rataj\Desktop\ComboFix.exe /uninstall Następnie: w OTL uruchom Sprzątanie oraz przez SHIFT+DEL skasuj poniżej wymienione foldery. C:\Users\Rataj\Desktop\Stare dane programu Firefox C:\Windows\erdnt 3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie próbną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. Uzylem combofixa i myslalem, ze zostanie to niezuwazone. Nie da się nie zauważyć uruchomienia ComboFix, zwłaszcza, gdy nie został on poprawnie odinstalowany. . Odnośnik do komentarza
rataj18 Opublikowano 16 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 Wyglada na to, ze sie udalo. Anti-Malware nic nie znalazl. Wielkie dzieki za pomoc. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2012 Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Na zakończenie: 1. Zaktualizuj Windows i wyliczone poniżej programy: KLIK. Wg raportu są tu obecnie wersje: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217002FF}" = Java 7 Update 2"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Adobe Shockwave Player" = Adobe Shockwave Player 11.6 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll () Czyli: odinstaluj wyliczone tu pozycje Adobe + Java i zastąp najnowszymi, zaktualizuj Skype, wykonaj pełną aktualizację Windows 7 (SP1 + IE9 + reszta łatek z Windows Update). 2. Prewencyjnie zmień hasła logowania w serwisach. . Odnośnik do komentarza
Rekomendowane odpowiedzi