BadHead Opublikowano 2 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 2 Kwietnia 2013 Witam. AVG wykrywa wirusa Win64/Patched.A C:\Windows\System32\services.exe nie da sie usunac przez AVG. Prosze o pomoc dodam ze moja wiedza na temat wklejania logów skanowania i usuwania jakich kolwiek wirusow jest... powiedzmy znikoma:P wiec prosze o szczegółowy i wmiare prosty opis wszystkich czynnosci od poczatku. Z góry dziekuje za pomoc i cierpliwosc Pozdrawiam Bad Extras.Txt OTL.Txt Odnośnik do komentarza
BadHead Opublikowano 3 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 3 Kwietnia 2013 czy ktos wie czy da sie jeszcze uratowac system przed formatem? Komputer pozyczylem 12 letniemu kuzynowi i mowil ze od tygodnia AVG wykrywa ten wirus. Bardzo prosze o pomoc bo zabardzo juz nie wiem co moge zrobic. pozdrawiam Odnośnik do komentarza
diox Opublikowano 3 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2013 Po pierwsze, nie podbijaj tematu, moderatorzy działu nie są cały czas na forum: 2. CierpliwośćProszę mieć na uwadze, że zachodzi poważna dysproporcja między liczbą osób prowadzących charytatywną pomoc a liczbą użytkowników proszących o pomoc. To awykonalne przetworzyć na czas precyzyjnie i bezbłędnie tak dużą liczbę tematów i prosimy o cierpliwość. Pisanie postów typu "czemu nikt nie chce sprawdzić moich logów" jest bezcelowe, a może doprowadzić także do "przesunięcia" tematu w hierarchi ważności "na spód". Posty typu "podbijanki" zostaną usunięte bez ostrzeżenia. W swoim systemie masz rootkita ZeroAccess, nawet dwa warianty.Nie jestem moderatorem działu, ale skoro chcesz zrobić format to zrobisz tak:Skoro mówisz że wykryto wirusa w services.exe to: Uruchom Wiersz polecenia jako Administrator i wklej: sfc /scanfile=C:\Windows\system32\services.exe Potem zrób restart systemu i zrób nowe logi z OTL oraz GMER i FSS. Zrób również log z SystemLook x64 na warunek: :dirC:\$Recycle.Bin /s:filefindservices.exe:regHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Wciśnij Look. Dołącz tutaj raport. . Odnośnik do komentarza
BadHead Opublikowano 3 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 3 Kwietnia 2013 dziekuje za zainteresowanie tematem i przepraszam za podbijanie jestem tu nowy i bede pamietal na przyszlosc. Zrobilem tak jak kazałeś, AVG przestal wykrywac wirus, dodatkowe logi takze zrobilem oto one Problemy zostały rozwiązane. pozdrawiam OTL.Txt SystemLook.txt aaa.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 19 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 19 Kwietnia 2013 (edytowane) diox Gdzie Ty widzisz "dwa warianty"? W pierwszym zestawie logów widać typowe składniki, które są wspólne dla conajmniej dwóch wariantów, a nie dwa warianty. Na podstawie raportu OTL było wiadome, że nie jest to wariant CLSID, a wariant infekujący sterowniki tak nie wygląda w pośrednich objawach. Zostaje trzeci modyfikujący services.exe (jawnie zresztą to powiedziane). BadHead Problemy nie są rozwiązane. Jest masa szkód po trojanie ZeroAccess: uszkodzony Winsock, skasowane usługi, skasowana ikona Centrum Akcji. Poza tym, poważne śmietnisko adware. Przeprowadź następujące działania: 1. Napraw Winsock. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset i zresetuj system. 2. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair. 3. Przez Panel sterowania odinstaluj adware BrotherSoft Extreme2 B1 Toolbar, BrowseToSave, Complitly, OptimizerPro, ProgSense, Protected Search 1.1, Search Protect by conduit, tuto4pc_pl_5. 4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 5. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Default_Search_URL"=- "Search Bar"=- "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" "Start Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896" "Search Bar"=- "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" "Start Default_Page_URL"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\AboutURLs] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURI] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchURI] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchUrl] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 6. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{7db8741f-d594-5560-8dcd-069358a050a5} C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Burowse2saave C:\ProgramData\BetterSoft C:\ProgramData\Burowse2saave C:\ProgramData\InstallMate C:\Users\Laptop\DownTango.lnk C:\Users\Laptop\Search.url C:\Users\Laptop\SoftonicDownloader_dla_alplayer-alshow.exe C:\Users\Laptop\AppData\Local\CRE C:\Users\Laptop\AppData\Local\Google C:\Users\Laptop\AppData\Roaming\Babylon C:\Users\Laptop\AppData\Roaming\DSite C:\Users\Laptop\AppData\Roaming\OpenCandy C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml C:\Program Files (x86)\mozilla firefox\searchplugins\Web Search.xml C:\END :OTL IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.certified-toolbar.com?si=41460&st=bs&tid=3204&q={searchTerms} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKLM\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^HJ^xdm073^YY^pl&si=pconverter&ptb=2BC7ABA2-655B-4C69-8253-6658DE271283&ind=2013022307&n=77fc4863&psa=&st=sb&searchfor={searchTerms} IE - HKU\S-1-5-21-719704099-3728344876-2326314896-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.certified-toolbar.com?si=41460&st=bs&tid=3204&q={searchTerms} IE - HKU\S-1-5-21-719704099-3728344876-2326314896-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119370&tt=100313_9105&babsrc=SP_ss&mntrId=48bf5a3600000000000020cf3018fdd7 IE - HKU\S-1-5-21-719704099-3728344876-2326314896-1000\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^HJ^xdm073^YY^pl&si=pconverter&ptb=2BC7ABA2-655B-4C69-8253-6658DE271283&ind=2013022307&n=77fc4863&psa=&st=sb&searchfor={searchTerms} IE - HKU\S-1-5-21-719704099-3728344876-2326314896-1000\..\SearchScopes\{E9B3B6DC-EAEF-497D-8DB8-ADFAAE8C3E82}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3281348&CUI=UN14754579871671324&UM=2 O2 - BHO: (Burowse2saave) - {06F6B989-2D5F-89A2-FD22-5AFEE0703BC0} - C:\ProgramData\Burowse2saave\513779fba8072.dll File not found O8:64bit: - Extra context menu item: Ściągaj z Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm File not found O8 - Extra context menu item: Ściągaj z Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 7. Uruchom Autoruns i w karcie Scheduled Tasks usuń wszystkie zadania kojarzące się z adware OptimizerPro, ProtectedSearch, OpenCandy. O ile będą. 8. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 9. Zrób nowy log OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner oraz SystemLook na warunki: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s :regfind certified protected search :folderfind *certified* protected search :filefind *certified* protectedsearch* protected search* Dołącz też log utworzony przez AdwCleaner. . Edytowane 19 Maja 2013 przez picasso 19.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi