Skocz do zawartości

trojWare.Win32.ZAccess.~AA@1 dysk pracuje w idle


Rekomendowane odpowiedzi

WItam

 

Wyskoczyła mi infekcja zdiagnozowana przez Comodo trojWare.Win32.ZAccess.~AA@1 w pliku services.exe

 

Widoczne oznaki to wzmożona aktywność procesora i dysków. Wentylatory szaleją w stanie spoczynku.

Ogólne 'zamrożenia' systemu, aplikacje otwierają się z dużym opóźnieniem i praca w nich też jest utrudniona.

 

 

Zrobiłem logi z OTL

 

Mam nadzieje że ktoś mi poradzi jak pozbyć się tej infekcji.

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Będę też usuwać ten sterownik oznaczony jako niekompatybilny z systemem:

 

Error - 8/29/2012 3:25:51 AM | Computer Name = Jabalobozpc | Source = Application Popup | ID = 1060

Description = \??\c:\windows\SysWow64\drivers\port_nt.sys has been blocked from

loading due to incompatibility with this system. Please contact your software vendor

for a compatible version of the driver.

 

Error - 8/29/2012 3:25:51 AM | Computer Name = Jabalobozpc | Source = Service Control Manager | ID = 7000

Description = The port_nt service failed to start due to the following error: %%1275

 

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system, by ukończyć naprawę pliku. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie przechodź do wykonania dalszych czynności, tylko od razu zgłoś się na forum.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

netsh winsock reset

 

Zresetuj system w celu ukończenia naprawy łańcucha sieciowego.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\Installer\{c103cd8a-88f5-7a08-f827-ca887c054993}
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini
C:\Users\Jabaloboz\AppData\Roaming\Babylon
C:\Users\Jabaloboz\AppData\Roaming\F0680A
C:\Windows\SysWow64\%APPDATA%
C:\found.000
 
:OTL
IE - HKU\S-1-5-21-29339982-2539032037-1685450052-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112037&tt=100512_1_&babsrc=SP_ss&mntrId=cef0680a000000000000001e6475f03e"
IE - HKU\S-1-5-21-29339982-2539032037-1685450052-1001\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={189037A9-72F3-4F8F-878B-DEBB30F92F1A}&mid=263cc4c3e3db47d081c6d16fd8997912-12ae25d6536b60833b9620924dbd43152101a90a&lang=en&ds=st011&pr=sa&d=2012-06-04 00:11:39&v=11.1.0.7&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-29339982-2539032037-1685450052-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb178/?search={searchTerms}&loc=IB_DS&a=6PQJVAbuyf&i=26"
CHR - plugin: 2YourFace Util (Enabled) = C:\Users\Jabaloboz\AppData\Local\Google\Chrome\User Data\Default\Extensions\lmblfngognklgemafekefcdjcnkdhmdm\1.0_0\2YourFace_Util.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKU\S-1-5-21-29339982-2539032037-1685450052-1001\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-29339982-2539032037-1685450052-1001..\Run: [AdobeBridge]  File not found
O4 - Startup: C:\Users\Jabaloboz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WinMySQLadmin.lnk =  File not found
O7 - HKU\S-1-5-21-29339982-2539032037-1685450052-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Unity = C:\Users\Jabaloboz\AppData\Roaming\F0680A\F0680A.exe ()
DRV - [2000/10/23 23:00:00 | 000,003,608 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Windows\SysWOW64\drivers\port_nt.sys -- (port_nt)
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair.

 

5. Napraw martwą ikonę Centrum Akcji uszkodzoną przez trojana. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]

"AutoStart"=""

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

6. Przez Panel sterowania odinstaluj adware DealPly. Od razu pozbądź się też zbędnego GeekBuddy od COMODO.

 

7. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

8. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner + SystemLook na warunki:

 

:filefind

services.exe

 

:reg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Odnośnik do komentarza

Udalo sie przebrnac przez wszystko bez wyraznych bledow.

 

Logi

 

OTL

OTL2.TxtPobieranie informacji ...

 

FSS

FSS2.txtPobieranie informacji ...

 

 

SystemLook

SystemLook2.txtPobieranie informacji ...

 

AdwCleaner

AdwCleanerS1.txtPobieranie informacji ...

 

Podrodze wygenerowal jeszcze pare plikow i katalogow.

 

Nie usunalem tego GeekBudy bo nie dalo sie bez restartu a juz chcialem robic to dalej bo nie mam czasu a to chyba tylko kosmetyka ( ? ) Teraz juz sie udalo go usunac.

Odnośnik do komentarza

Wszystko pomyślnie wykonane. Infekcja usunięta, szkody po niej naprawione. Przechodzimy do wykończeń:

 

1. Korekta domyślnych wyszukiwarek Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie próbną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

.

 

Odnośnik do komentarza

Zasadnicze elementy infekcji oraz adware to te dwa i do usunięcia:

 

C:\Users\Jabaloboz\AppData\Local\Temp\Vid-Saver-rs.exe (Adware.GamePlayLabs) -> Nie wykonano akcji.

C:\Windows\winsxs\Temp\PendingDeletes\$$DeleteMe.services.exe.01cddd661220d7b5.0000 (Rootkit.0Access) -> Nie wykonano akcji.

 

A reszta to cracki / patchery do programów...

 

 

 

.

Odnośnik do komentarza

Na zakończenie:

 

1. Odinstaluj starsze Java 6 i Silverlight oraz zaktualizuj Firefox i OpenOffice.org. Wg raportu obecnie masz zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java™ 6 Update 14 (64-bit)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java™ 6 Update 35

"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 10

"Mozilla Firefox 16.0.1 (x86 pl)" = Mozilla Firefox 16.0.1 (x86 pl)

 

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...