Trojan.Dropper.BCMiner, Rootkit.0Access

[sagoel]

Witam, proszę o pomoc w usunięciu ww infekcji.

 

Log z Malwarebytes Anti-Malware:

http://wklej.org/id/911432/

 

Logi z OTL:

http://wklej.org/id/911443/

http://wklej.org/id/911449/

[jessica]

Nie ma sensu cały czas tu czekać na odpowiedź. Inni czekają już od tygodnia, a niektórzy nawet od 10 dni.

Jeśli chcesz koniecznie coś robić w czasie tego wielodniowego czekania, to możesz:

1) Użyć >>RogueKiller (aby pobrać kliknij na obrazek po Lien de téléchargement :)

Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Dajn z tego raporty (będą 2)

2) Zrobić log z Farbar Service Scanner >http://download.blee.../farbar/FSS.exe (do skanowania zaznacz wszystko).

3) Do >SystemLook-64 wklej:

:reg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

:filefind

services.exe

6bb992a2.exe

 

Naciśnij Look i pokaż raport.

4) Użyć Adw Cleaner >https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page__p__57664#entry57664 z opcji USUŃ.

5) Potem uaktualnić logi z OTL.

.

[sagoel]

Z RogueKiller:

http://wklej.org/id/911529/

http://wklej.org/id/911531/

 

Z Farber:

http://wklej.org/id/911511/

 

Z OTL:

http://wklej.org/id/911536/

 

Loguje mi się już do poczty z SSL ale zapora nadal nie działa.

[sagoel]

Zrobiłem na razie do 2) włącznie, teraz robię resztę

[Conor29134]

Do usunięcia

Edytowane 31 Grudnia 2012 przez Conor29134

[jessica]

RogueKiller usunął większość obiektów ZeroAccess'a.

Samoczynnie podmienił też fałszywy plik "services.exe" na prawidłowy:

[susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> REPLACED AT REBOOT (C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe)

 

 

Wykonaj jeszcze zalecenia z mojego pierwszego postu, które tam dopisałam.

 

Poza tym:

1) START > w polu szukania wpisz: cmd > z prawokliku "Uruchom jako Administrator" > wpisz netsh winsock reset

naciśnij ENTER

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2012-12-26 15:12:21 | 000,000,000 | -HSD | C] -- C:\Windows\SysWow64\%APPDATA%

[2012-12-31 16:09:20 | 000,002,048 | ---- | M] () -- C:\$Recycle.bin\S-1-5-21-4188654956-4245367995-3089961255-1000\$R8XFWTJ\@.vir

O4 - HKLM..\Run: [NPSStartup] File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

3) Pobierz >>ESET ServicesRepair

Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.

4) Zrób nowy log z FSS

5) Zrób nowy log z OTL.

[sagoel]

Zrobiłem SystemLook64, ADwCleaner, SerwiceRepair

 

Z SystemLook64

http://wklej.org/id/911548/

 

Z FSS (po SystemLook64, ADwCleaner, SerwiceRepair)

http://wklej.org/id/911547/

[jessica]

Service Repair nie naprawił niczego - użyj go jeszcze raz (o ile już wykonałeś Skrypt OTL z mojego poprzedniego postu)

i potem nowy log z FSS

Dodatkowo:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\Windows\SysWow64\6bb992a2.exe

 

:Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]

"AutoStart"=""

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

[sagoel]

Teraz zrrobiłem to co napisałaś o 16:57. Czekam na info czy robić to co napisałaś o 17:19.

 

OTL (skrypt)

http://wklej.org/id/911553/

 

FSS

http://wklej.org/id/911563/

 

OTL

http://wklej.org/id/911579/

[jessica]

na razie nie wykonuj, bo sytuacja się zmieniła - zaraz to wszystko przejrzę, i wyedytuję ten post.

 

EDIT:

zamiast tamtego Skryptu wykonaj to:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files
C:\Windows\SysWow64\6bb992a2.exe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
"AutoStart"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

:OTL
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = [url="http://startsear.ch/?aff=2&src=sp&cf=bb3bae6c-7b3e-11e1-9754-002269d1fd34&q={searchTerms}"]http://startsear.ch/...q={searchTerms}[/url]
IE - HKCU\..\SearchScopes\{C9432E7B-195E-4F65-B43D-C770E63B451F}: "URL" = [url="http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=0B150C7B-14D5-445E-8308-5ED79F35E3C4&apn_sauid=5C262EF3-789C-4045-9B0E-0966BF13F1AF"]http://websearch.ask...0E-0966BF13F1AF[/url]
IE - HKCU\..\SearchScopes\{FEB2DBDD-86AC-4259-B1CE-96C1B89D0F48}: "URL" = [url="http://startsear.ch/?aff=1&src=sp&cf=bb3bae6c-7b3e-11e1-9754-002269d1fd34&q={searchTerms}"]http://startsear.ch/...q={searchTerms}[/url]
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = [url="http://startsear.ch/?aff=2&src=sp&cf=bb3bae6c-7b3e-11e1-9754-002269d1fd34&q={searchTerms}"]http://startsear.ch/...q={searchTerms}[/url]
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} [url="http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab"]http://java.sun.com/...indows-i586.cab[/url] (Java Plug-in 10.9.2)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} [url="http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab"]http://java.sun.com/...indows-i586.cab[/url] (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} [url="http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab"]http://java.sun.com/...indows-i586.cab[/url] (Java Plug-in 10.9.2)

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

Ten Skrypt ma usunąć podejrzany plik, zmodyfikować klucz HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC} , usunąć niepotrzebne ustawienia z przeglądarki, i usunąć nieaktualne O16 update Javy.

[sagoel]

OTL (skrypt)

http://wklej.org/id/911599/

 

OTL

http://wklej.org/id/911605/

[jessica]

Sytuacja teraz jest dobra, ja już nie widzę niczego do usuwania, czy też do naprawiania.

Teraz spokojnie, bez nerwów możesz czekać te kilka czy kilkanaście dni na ocenę @Picasso lub @Landuss'a.

Wg mnie to będą jeszcze może jakieś kosmetyczne zalecenia, nic poważnego.

Oraz usunięcia narzędzi używanych w temacie (Rogue Killer, SystemLook, FSS, ServiceRepair, Adw Cleaner, OTL)

 

Zrób sobie log z >SecurityCheck

Zainstaluj aktualizacje do programow wskazanych jako out of date.

Niektóre aktualizacje >http://www.fixitpc.p...2415#entry42415

 

Szczęśliwego Nowego Roku!

.

[sagoel]

dzieki za pomoc! spelnienia marzen!