Services.exe & GAC_32/Desktop.ini & GAC_64/Desktop.ini - infekcja trojanami

[BartekB2503]

Witam

Już na początku chciałem za znaczyć że raczej w tych sprawach jestem raczej laikiem, ale z instrukcją postępowania powinienem sobie poradzić. 

Mam problem z wirusami w lokalizacjach:

C:\windows\system32\services.exe

C:\Windows\assembly\GAC_32\Desktop.ini

C:\Windows\assembly\GAC_64\Desktop.ini

ESET NOD32 ciągle wykazuje obecność trojanów w tych plikach, jednakże nie potrafi temu przeciwdziałać. Ponadto, źródło które generuje zainfekowanie w tych lokalizacjach, "hoduje" kolejne trojany, które jednakże są na szczęście neutralizowane przez antywirusa. 

Moje pytanie jest takie: w jaki sposób mogę zaradzić temu problemowi? Bardzo byłbym wdzięczny za pomocną odpowiedź

Ogólnie, pogrzebałem we wcześniejszych tematach, znalazłem podobny problem do mojego. -> https://www.fixitpc.pl/topic/14890-servicesexe-gac-32desktopini-gac-64desktopini-virus/

Również posiadam Windows 7, wersja 64-bitowa, ponadto, podobnie jak osoba przedstawiająca swój problem w owym poście, prawdopodobnie wszystko zaczęło się od wadliwej paczki Mega Codec Pack, którą zainstalowałem przed kilkoma dniami. Czy wobec tego mogę postępować tak samo jak w instrukcji w tamtym temacie? 

Oczywiście dołączam pliki z OTL.

OTL.Txt

Extras.Txt

[picasso]

Infekcję nabyłeś z pakietu Mega Codec Pack (lewa paczka z torrentów):

 

[2013-07-09 16:43:14 | 000,000,000 | ---D | C] -- C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack

[2013-07-09 16:43:05 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Mega Codec Pack

 

Ogólnie, pogrzebałem we wcześniejszych tematach, znalazłem podobny problem do mojego. Również posiadam Windows 7, wersja 64-bitowa, ponadto, podobnie jak osoba przedstawiająca swój problem w owym poście, prawdopodobnie wszystko zaczęło się od wadliwej paczki Mega Codec Pack, którą zainstalowałem przed kilkoma dniami. Czy wobec tego mogę postępować tak samo jak w instrukcji w tamtym temacie?

Nie, każdy temat jest rozwiązywany indywidualnie. Poproszę o dodatkowe dane:

 

1. Spis kopii pliku services.exe. Uruchom SystemLook x64 i do okna wklej:

 

:filefind
services.exe

 

Klik w Look.

 

2. Logi z FRST.

 

3. Log z Farbar Service Scanner.

 

 

 

.

[BartekB2503]

Proszę.

 

Addition.txt

FSS.txt

FRST.txt

SystemLook.txt

[picasso]

Procedura będzie wykonywana stopniowo, spora robota przed nami. Na początek tylko wyleczenie pliku services.exe, gdyż dopóki plik jest zainfekowany, czyszczenie pozostałych rzeczy i naprawy szkód nie mają sensu. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

Unlock: C:\Windows\System32\services.exe
CMD: sfc /scanfile=C:\Windows\system32\services.exe

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i ułóż obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Obowiązkowy reset systemu w celu wdrożenia naprawy pliku. Po restarcie zrób nowy log z SystemLook na ten sam warunek co poprzednio. Dołącz plik fixlog.txt.

 

 

.

[BartekB2503]

Zrobione. Po tym kroku antywirus już przestał tak wariować

Fixlog.txt

SystemLook.txt

[picasso]

Plik pomyślnie wyleczony. To był początek. Lecimy dalej:

 

1. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKLM-x32 - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://startsear.ch/?aff=1&src=sp&cf=98f69c5d-d28e-11e0-ba40-506313e0b9ed&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = ${SEARCH_URL}{searchTerms}
SearchScopes: HKLM-x32 - {6FE7C79D-6222-46DE-8DBA-5517BD8419A5} URL = http://startsear.ch/?aff=1&src=sp&cf=98f69c5d-d28e-11e0-ba40-506313e0b9ed&q={searchTerms}
SearchScopes: HKLM-x32 - {FAFC0A94-E931-4A00-BC3B-AE055D0FEA34} URL = http://startsear.ch/?q={searchTerms}
SearchScopes: HKCU - {043C5167-00BB-4324-AF7E-62013FAEDACF} URL = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=2A5E2A8158F4ED76&affID=119781&tt=300613_dltp&tsp=4929
SearchScopes: HKCU - {1645A33F-0A96-4315-904E-29E188E7720E} URL = http://startsear.ch/?aff=2&src=sp&cf=98f69c5d-d28e-11e0-ba40-506313e0b9ed&q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://startsear.ch/?src=sp&aff=51&cf=98f69c5d-d28e-11e0-ba40-506313e0b9ed&q={searchTerms}
SearchScopes: HKCU - {416DE39D-BABC-4D6B-AAD7-17820B179B54} URL = http://startsear.ch/?aff=1&q={searchTerms}
SearchScopes: HKCU - {62BFB7D3-C2DE-4670-9276-878860C9DC4A} URL = http://search.babylon.com/?q={searchTerms}&AF=110000&tt=090212_noffx&babsrc=SP_ss&mntrId=2a5ed81b000000000000506313e0b9ed
SearchScopes: HKCU - {7219660F-EBBB-BDCF-159B-1D09FC0C20C8} URL = http://flv.asksearch.com/s/?q={searchTerms}&iesrc={referrer:source?}&cfg=2-58-0-9gA4
SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms}
SearchScopes: HKCU - {C14C088A-5B85-4949-ACD4-0E0B950C7490} URL = http://search.v9.com/web/?q={searchTerms}
BHO-x32: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File
BHO-x32: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll No File
HKCU\...\Run: [cacaoweb] - "C:\Users\Bartek\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer [451584 2013-07-10] ()
HKCU\...\Run: [GameXN GO] - "C:\ProgramData\GameXN\GameXNGO.exe" /startup [x]
Toolbar: HKCU - No Name - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No File
Toolbar: HKCU - No Name - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No File
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - No File
Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - No File
U3 ack5yy99; C:\Windows\System32\Drivers\ack5yy99.sys [0 ] (Microsoft Corporation)
Task: {2C5B7700-37C8-4A25-AEF3-6673B14BE8A8} - System32\Tasks\{F8E81509-3ABF-4C93-923F-633DE600BE87} => C:\Program Files (x86)\Team17\Worms World Party\wcp.exe No File
Task: {2F771B9E-2F6D-4C44-91E5-F3310611E1AD} - System32\Tasks\{320B3754-8D12-44C8-AB74-C21B42FF2126} => C:\Program Files (x86)\Team17\Worms World Party\wcp.exe No File
Task: {8DC90FCF-2879-4B17-B6C8-7052F1D4A261} - System32\Tasks\{AACDA1AE-9E49-4E6A-8A2F-C862B01DBFE9} => C:\Install.exe [2007-11-07] (Microsoft Corporation)
Task: {A8D12BA9-FD7F-4E5E-A3BA-4E7662CD43F4} - System32\Tasks\{97D6A386-32DF-4FAB-A320-27A26A7C84DF} => C:\Install\setup.exe No File
Task: {E97D234D-4375-4B66-9A3F-3C659C22982B} - System32\Tasks\{CEB1C827-19B4-4450-ADCD-69BA88CDDC07} => C:\Install.exe [2007-11-07] (Microsoft Corporation)
Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 08 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5-x64 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 08 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
CMD: netsh winsock reset
DeleteJunctionsIndirectory: C:\Program Files\Windows Defender
C:\Windows\Installer\{d871a7f8-7cdd-28b8-cc09-37d316d2ce8f}
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini
C:\Users\Bartek\SetupReg.exe
C:\Users\Bartek\SpideyPC.exe
C:\Users\Bartek\stvplye.exe
C:\Users\Bartek\AppData\Local\PutLockerDownloader
C:\Users\Bartek\AppData\Roaming\cacaoweb
C:\Users\Bartek\AppData\Roaming\BabSolution
C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack
C:\Program Files (x86)\Mega Codec Pack
C:\Program Files (x86)\Mozilla Firefox\extensions\ffxtlbr@babylon.com
C:\Program Files (x86)\Mozilla Firefox\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01}
C:\Program Files (x86)\mozilla firefox\plugins\npfflivevdoplg.dll
C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Zresetuj system.

 

2. Uruchom ServicesRepair i zresetuj system.

 

3. Odinstaluj adware i wyczyść preferencje przeglądarek:

- Przez Panel sterowania: Complitly, FoxTab Music Converter, FTDownloader, LiveVDO, LiveVDO plugin 1.3, vShare Plugin, vShare.tv plugin 1.3

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

- Google Chrome: W Rozszerzeniach odinstaluj Complitly plugin for chrome, FT Downloader, LiveVDO plugin, vshare plugin. Zresetuj cache wtyczek, co usunie martwe wpisy: w pasku adresów wpisz chrome://plugins i ENTER, na liście wtyczek wybierz dowolną i kliknij Wyłącz, następnie wtyczkę ponownie włącz. Zamknij Google Chrome.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST + Farbar Service Scanner. Dołącz fixlog.txt oraz log utworzony przez AdwCleaner.

 

 

 

.

Edytowane 25 Sierpnia 2013 przez picasso
25.08.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso