win32.aoath.services - uniemożliwia pracę na komputerze

[taldakus]

Po włączeniu się systemu od razu zaczyna cyklicznie wyskakiwać komunikat:

"System Windows wykrył potencjalnie szkodliwe oprogramowanie Win32.aoath.services. Natychmiast wykonaj kopie zapasową plików aby zapobiec utracie danych, a następnie skontaktuj sie z administratorem systemu lub z dostawcą oprogramowania w celu uzyskania pomocy".

 

Uniemożliwia to jakąkolwiek pracę na komputerze, ponieważ cały czas to wyskakuje. Wydaje mi się że jakaś usługa nie może się włączyć. 

 

W trybie awaryjnym zgrałem logi i sprawdziłem w dzienniku zdarzeń, że pojawia się błąd: Service Control Manager 7001

 

Używałem narzędzia odbudowywującego usługi: ServicesRepair.exe, jednak to nie pomogło. Nie mogę też zrobić przywracania systemu.

 

Info: 

-System Windows 7 Professional 64-bit

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

[picasso]

Logi z DDS nie są obowiązkowe, usuwam.

 

 

Po włączeniu się systemu od razu zaczyna cyklicznie wyskakiwać komunikat:

 

"System Windows wykrył potencjalnie szkodliwe oprogramowanie Win32.aoath.services. Natychmiast wykonaj kopie zapasową plików aby zapobiec utracie danych, a następnie skontaktuj sie z administratorem systemu lub z dostawcą oprogramowania w celu uzyskania pomocy".

Uniemożliwia to jakąkolwiek pracę na komputerze, ponieważ cały czas to wyskakuje. Wydaje mi się że jakaś usługa nie może się włączyć.

W trybie awaryjnym zgrałem logi i sprawdziłem w dzienniku zdarzeń, że pojawia się błąd: Service Control Manager 7001

Używałem narzędzia odbudowywującego usługi: ServicesRepair.exe, jednak to nie pomogło.

Tak, jest tu infekcja, działają w tle podrobione usługi Microsoftu oraz sterowniki adware, a dodatkowo jeszcze Bitcoin miner uruchamiany via Harmonogram zadań. Narzędzie ServicesRepair nie służy do naprawiania takich przypadków, program wybiórczo rekonstruuje uszkodzone usługi systemu, nie usuwa żadnych usług dodanych wtórnie przez infekcje.

 

 

Nie mogę też zrobić przywracania systemu.

Widać uszkodzoną usługę Kopiowanie woluminów w tle (+ powiązany błąd w Dzienniku zdarzeń), która jest wymagana dla Przywracania systemu. Mam pytanie: czy to jest oryginalny nietweakowany Windows? Są w systemie blokady adresów walidacji aktywacji...

 

S3 VSS; %systemroot%\system32\vssvc.exe [X]

 

+

 

Application errors:

==================

Error: (10/25/2014 08:17:15 PM) (Source: VSS) (EventID: 13) (User: )

Description: {e579ab5f-1cc4-44b4-bed9-de0991ff0623}Coordinator0x80070002, Nie można odnaleźć określonego pliku.

 

 

 

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R1 {55685567-4840-4a91-962b-49a412e9485a}w64; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys [61112 2014-05-26] (StdLib)
R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [61112 2014-05-19] (StdLib)
R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}w64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys [61112 2014-05-19] (StdLib)
S2 Windows Movie Codec; C:\Windows\WinMovieCodec.exe [7680 2014-06-19] (Microsoft) [File not signed]
S2 Windows Update ; C:\Windows\WindowsUpdate.exe [7680 2014-06-19] (Microsoft) [File not signed]
Task: {17988F42-006E-456D-A447-63DB65684126} - System32\Tasks\Math Problem Solver GPU => C:\Users\Windows 7\AppData\Local\Math Problem Solver\gpu\dummysleep.exe 
Task: {472EBA02-BF13-461D-AD56-798BE598FEAF} - System32\Tasks\Math Problem Solver Optimize => C:\Users\Windows 7\AppData\Local\Math Problem Solver\Optimize.exe [2014-01-20] () 
Task: {53B0D24A-B77F-4478-9CE2-3A48AC1534FE} - System32\Tasks\Math Problem Solver CPU => C:\Users\Windows 7\AppData\Local\Math Problem Solver\cpu\Solve.exe 
Task: {5F6692C2-7EB9-49AF-B323-2B2323A89E2B} - System32\Tasks\PITax reminder => C:\Program Files (x86)\PITax.pl\PITax.pl.exe
Task: {D05FBDA7-EA90-4903-ABFE-686C5B4B44C8} - System32\Tasks\PITax rss checker => C:\Program Files (x86)\PITax.pl\PITax.pl.exe
HKU\S-1-5-21-447586274-3820260448-2701099633-1000\...\Run: [speedUpMyComputer] => C:\Program Files (x86)\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as /ss
HKU\S-1-5-21-447586274-3820260448-2701099633-1000\...\Run: [updateMyDrivers] => C:\Program Files (x86)\SmartTweak\UpdateMyDrivers\UpdateMyDrivers.exe /ot /as /ss
HKU\S-1-5-21-447586274-3820260448-2701099633-1000\...\Run: [FixMyRegistry] => C:\Program Files (x86)\SmartTweak\FixMyRegistry\FixMyRegistry.exe /ot /as
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
C:\Users\Windows 7\AppData\Roaming\Mozilla
C:\Windows\WinMovieCodec.exe
C:\Windows\WinMovieCodec.log
C:\Windows\WindowsUpdate.exe
C:\Windows\WindowsUpdate.log
C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys
C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys
C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\VSS /s
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Opuść Tryb awaryjny. Przez Panel sterowania odinstaluj Bitcoin minera Math Problem Solver.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Następnie uruchom FRST ponownie, w polu Search wklep vssvc.exe, klik w Search Files i dostarcz wynikowy log. Dołącz też plik fixlog.txt.

 

 

 

.