maxman Opublikowano 25 Maja 2013 Zgłoś Udostępnij Opublikowano 25 Maja 2013 witam, komputery 4 w sieci zawirusowane przez skype, (pokazał link w wiadomości), obecnie brakuje połaczenia sieciowego, nie ma tam żadnej ikony typu połączenie lokalne, nie można uruchomić przywracania systemu, nie działają żadne programy sieciowe, proszę o pomoc pozdrawiam Extras.Txt gmer.txt OTL.Txt Odnośnik do komentarza
protoss Opublikowano 25 Maja 2013 Zgłoś Udostępnij Opublikowano 25 Maja 2013 Ja czasami jak miałem wirusa który już zrobił jakieś wieksze spustoszenie na komputerze, to odłączałęm dysk i podpinałęm do zdrowego na którym znajdował się (według mnie) bardzo dobry i zaktualizowany program antywirusowy i robiłęm pełny skan tego dysku. Wiele systemów udało mi się w ten sposób uratować. Odnośnik do komentarza
picasso Opublikowano 25 Maja 2013 Zgłoś Udostępnij Opublikowano 25 Maja 2013 Usuwanie infekcji: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-1066621033-849432886-398232020-1000..\Run: [aadeadbbbsacfsfdsf] C:\ProgramData\aadeadbbbsacfsfdsf.exe () [2013-05-25 00:41:35 | 000,112,640 | ---- | M] () -- C:\ProgramData\aadeadbbbsacfsfdsf.won :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Uruchom Skype. Narzędzia > Opcje > Zaawansowane > Zarządzaj dostępem innych programów do Skype > na liście Kontroli dostępu API powinien tkwić delikwent o losowej nazwie. Zrób z tego zrzut ekranu i usuń ten wpis. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz zrzut ekranu z opcji Skype. obecnie brakuje połaczenia sieciowego, nie ma tam żadnej ikony typu połączenie lokalne, nie można uruchomić przywracania systemu, nie działają żadne programy sieciowe Co do tego to mam wątpliwości czy to wynikowa infekcji. Otóż w spisie uruchomionych usług prawie wszystkie z wyjątkiem Defendera są Disabled (Wyłączone): ========== Services (SafeList) ========== SRV:64bit: - [2011-07-28 23:35:35 | 000,204,288 | ---- | M] (AMD) [Disabled | Stopped] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility) SRV:64bit: - [2011-07-28 17:43:58 | 000,361,984 | ---- | M] (Advanced Micro Devices, Inc.) [Disabled | Stopped] -- C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe -- (AMD FUEL Service) SRV:64bit: - [2011-07-12 14:52:12 | 000,027,760 | ---- | M] (VIA Technologies, Inc.) [Disabled | Stopped] -- C:\Windows\SysNative\ViakaraokeSrv.exe -- (VIAKaraokeService) SRV:64bit: - [2010-04-06 16:30:38 | 000,031,272 | ---- | M] () [On_Demand | Stopped] -- C:\Windows\SysNative\AppleChargerSrv.exe -- (AppleChargerSrv) SRV:64bit: - [2009-07-14 03:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend) SRV:64bit: - [2009-07-14 03:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt) SRV - [2013-05-15 01:38:06 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [Disabled | Stopped] -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2013-02-28 18:45:16 | 000,161,384 | R--- | M] (Skype Technologies) [Disabled | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - [2012-12-18 16:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Disabled | Stopped] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice) SRV - [2012-10-02 13:13:44 | 003,064,000 | ---- | M] (Skype Technologies S.A.) [Disabled | Stopped] -- C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe -- (Skype C2C Service) SRV - [2012-04-30 09:02:52 | 000,054,272 | ---- | M] (PrintFleet Inc) [Disabled | Stopped] -- C:\Program Files (x86)\Printer DCA\PrinterDCA.Service.exe -- (Printer DCA) SRV - [2010-03-18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32) SRV - [2009-06-10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32) ... oraz odczyt OTL na temat Dziennika zdarzeń sugeruje, że usługa Dziennik zdarzeń jest wyłączona: ========== Last 20 Event Log Errors ========== [ Application Events ] OTL encountered an error while reading this event log. It may be corrupt. OTL encountered an error while reading this event log. It may be corrupt. OTL encountered an error while reading this event log. It may be corrupt. OTL encountered an error while reading this event log. It may be corrupt. OTL encountered an error while reading this event log. It may be corrupt. OTL encountered an error while reading this event log. It may be corrupt. OTL encountered an error while reading this event log. It may be corrupt. OTL encountered an error while reading this event log. It may be corrupt. To wszystko wskazuje na coś w stylu akcji w msconfig i omyłkowego wyłączenia wszystkich usług (w tym Microsoftu, te usługi są tu w skanie ukryte, ale spekuluję po efektach końcowych). Spróbuj załadować plik, który odtwarza domyślny Typ uruchomienia wszystkich usług Microsoftu. Pobierz plik Default W7 Pro 64 SP1 Start v1.00.zip z tej strony: KLIK. Rozpakuj go, w środku jest plik REG, kliknij na niego prawym i wybierz opcję Scal. Zresetuj system. Podaj czy funkcje wróciły do normy. . Odnośnik do komentarza
maxman Opublikowano 25 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 25 Maja 2013 połączenie sieciowe już działa, było w Skype chyba 10 losowo utworzonych plików więc usunąłem wszystkie OTL-2.Txt usuwanie.log.txt Odnośnik do komentarza
picasso Opublikowano 25 Maja 2013 Zgłoś Udostępnij Opublikowano 25 Maja 2013 Importowałeś ten plik z paczki Default W7 Pro 64 SP1 Start v1.00.zip? Miałeś podać log z wynikami usuwania OTL, bo akcje nie wykonane, infekcja nadal działa. Proszę go dostarczyć, by było wiadome dlaczego skrypt w ogóle nie przetworzył wpisu. Odnośnik do komentarza
maxman Opublikowano 25 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 25 Maja 2013 zamieniły się pliki już podałem dobry log, import pliku zrobiłem wybrałem wersję x64 pro Odnośnik do komentarza
picasso Opublikowano 25 Maja 2013 Zgłoś Udostępnij Opublikowano 25 Maja 2013 Log dodany, a dane sprzeczne. Skrypt twierdzi, że wpis usuwał, a w logu OTL on nadal jest... Powtórka: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-1066621033-849432886-398232020-1000..\Run: [aadeadbbbsacfsfdsf] C:\ProgramData\aadeadbbbsacfsfdsf.exe () :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 1 . Odnośnik do komentarza
maxman Opublikowano 25 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 25 Maja 2013 done 05252013_135946.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 25 Maja 2013 Zgłoś Udostępnij Opublikowano 25 Maja 2013 Ten gnojek siedzi jak przyklejony. Zmiana metody: 1. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: C:\ProgramData\aadeadbbbsacfsfdsf.exe Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows pojawi się ekran z działaniami BlitzBlank. BlitzBlank utworzy na dysku C log. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "aadeadbbbsacfsfdsf"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. W Skype ponownie zweryfikuj czy nie pojawiły się nowe wpisy na liście Kontroli dostępu API. 4. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log BlitzBlank. . Odnośnik do komentarza
maxman Opublikowano 25 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 25 Maja 2013 done blitzblank.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 25 Maja 2013 Zgłoś Udostępnij Opublikowano 25 Maja 2013 Tym razem poszło gładko. Wpis startowy pomyślnie usunięty. Przejdź do tej porcji zadań: 1. Usuń narzędzia: w OTL uruchom Sprzątanie, a składniki BlitzBlank usuń ręcznie. 2. Widzę na dysku MBAM. Zrób nim dla pewności pełny skan. Jeśli nic nie zostanie wykryte: 3. Zmień hasła logowania w Skype. 4. Usługi Microsoftu już były naprawiane. Natomiast nadal są usługi innych firm w stanie "Wyłączone". Uruchom msconfig i w karcie Usługi włącz (o ile potrzebne) pozostałe. 5. Wyczyść foldery Przywracania systemu: KLIK. 6. Usuń poniższe programy i zastąp najnowszymi wersjami: KLIK. ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86417004FF}" = Java 7 Update 4 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 37 "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish "{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3 . Odnośnik do komentarza
Rekomendowane odpowiedzi