Send Opublikowano 30 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 30 Kwietnia 2013 Witam, Mam kontakt z dość popularną ostatnio infekcją Weelsof (Ukash). Standardowo przeprowadzone zostały skany programem antywirusowym (w tym przypadku AV Panda 2012). Niestety z mizernym rezultatem. Proszę o pomoc i załączam raporty: OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 30 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 30 Kwietnia 2013 Logi wykonane z błędnego konta (Administrator wbudowany w system). Wykonaj je raz jeszcze poprawnie z konta zainfekowanego użytkownika. To bardzo ważne. Odnośnik do komentarza
Send Opublikowano 30 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Kwietnia 2013 Niestety nie mam takiej możliwości, bo nawet w awaryjnym wyświetla się biała plansza. Odnośnik do komentarza
Landuss Opublikowano 30 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 30 Kwietnia 2013 Wejdź w awaryjny z obsługą wiersza polecenia, tam nie będzie problemu. Odnośnik do komentarza
Send Opublikowano 30 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Kwietnia 2013 Ok. Udało się. Poprawne załączniki: OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 30 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 30 Kwietnia 2013 Systuacja jest tu bardziej skomplikowana, działa także rootkit ZeroAccess uruchamiany z Kosza. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ""=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):"autocheck autochk *" :Files C:\Documents and Settings\Fujitsu-Siemens\*.exe C:\Documents and Settings\Fujitsu-Siemens\Dane aplikacji\skype.dat C:\Documents and Settings\Fujitsu-Siemens\Dane aplikacji\skype.ini C:\Documents and Settings\All Users\Dane aplikacji\AC49591C323B3E9D0000AC48ACDC475F C:\Documents and Settings\Fujitsu-Siemens\Menu Start\Programy\System Care Antivirus C:\Documents and Settings\Fujitsu-Siemens\Pulpit\System Care Antivirus.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. System zostanie odblokowany. 2. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\fastprox.dll /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Uruchom plik z dwukliku. Obowiązkowy restart systemu, by odładować z pamięci ZeroAccess. 3. Otwórz Notatnik i wklej w nim: cacls C:\RECYCLER\S-1-5-18 /E /G Wszyscy:F cacls C:\RECYCLER\S-1-5-18\$adabd0f39ded4bad14372ab0e2ea7041 /E /G Wszyscy:F cacls C:\RECYCLER\S-1-5-21-3231250962-1545074091-1223401160-1005\$adabd0f39ded4bad14372ab0e2ea7041 /E /G Wszyscy:F rd /s /q C:\RECYCLER netsh winsock reset pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Uruchom plik z dwukliku. Obowiązkowy restart systemu, by dokończyć reset Winsock. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras), zaległy GMER oraz Farbar Service Scanner. . Odnośnik do komentarza
Send Opublikowano 2 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 2 Maja 2013 Witam. Skrypt z OTL wykonany bezproblemowo. Pierwszy FIX nie udał się ponieważ system nie znalazł określonego w skrypcie klucza rejestru. Drugi FIX wykonany poprawnie. Raporty ze skanów: OTL.Txt Gmer.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 2 Maja 2013 Zgłoś Udostępnij Opublikowano 2 Maja 2013 Zadania pomyślnie wykonane. Raport z FSS pokazuje uszkodzenia spowodowane przez infekcję ZeroAccess, czyli usunięte usługi Centrum zabezpieczeń i Zapory systemu Windows. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000042e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Adnotacja dla innych czytających: import dopasowany do Windows XP. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Zresetuj system i przedstaw nowy raport z Farbar Service Scanner. . Odnośnik do komentarza
Send Opublikowano 2 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 2 Maja 2013 Zrobione. Raport z FSS: FSS.txt Odnośnik do komentarza
picasso Opublikowano 2 Maja 2013 Zgłoś Udostępnij Opublikowano 2 Maja 2013 (edytowane) Wszystko zrobione. Idziemy dalej: 1. W OTL uruchom Sprzątanie. Resztę narzędzi i fiksów dokasuj ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Masz zainstalowanego strasznie starego antywirusa Panda Antivirus Pro 2009. Odinstaluj przez Dodaj/Usuń programy. Następnie popraw tym narzędziem: KLIK. 4. Zainstaluj Malwarebytes Anti-Malware. Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. . Edytowane 3 Czerwca 2013 przez picasso 3.06.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi