Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Trojan-Spy.Win32.Zbot.a - wyłączona usługa Centrum zabezpieczeń

artwis

Przez artwis
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

artwis

artwis

Opublikowano
Opublikowano

Witam, 

 

Problem trwa już z tydzień, próbowałem różnych programów niestety bez poprawy. Podstawowymi objawami jest brak możliwości uruchomienia usługi  Centrum zabezpieczeń Windows ( próbowałem przez services.msc), dodatkowo codziennie przez Kaspersky wykrywany i usuwany jest wirus (MEM: Trojan-Spy.Win32.Zbot.a). Wraz z rozpoczęciem tych problemów strony internetowe się często nie ładują (błąd connection timed out).

Zamieszczam logi z wykorzystanych programów.

Addition.txt

FRST.txt

Combo.txt

gmer1.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Nie podałeś dokładnej ścieżki gdzie Kaspersky wykrywa Trojan-Spy.Win32.Zbot.a. Tak, infekcja jest dobrze widoczna - uruchamia się przez Harmonogram zadań, dwie instalacje zadania AQIT. Ta infekcja może pochodzić z użycia cracka, w innym temacie był to "witaminizowany" pakiet Office. Czy uruchamiałeś coś tego typu?

 

Akcje do wdrożenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {8D5A0B82-6484-463E-A9B7-6422A6CD1AE0} - \SystemSoundsService -> Brak pliku 
Task: {E4CBBAEE-4B16-4402-9F74-87038B777E51} - System32\Tasks\AQIT => Rundll32.exe "C:\Windows\SysWOW64\MFC71CHTQ.dll",MNFUK
Task: C:\Windows\Tasks\AQIT.job => C:\Windows\system32\rundll32.exe C:\Windows\SysWOW64\MFC71CHTQ.dll
C:\Windows\SysWOW64\MFC71CHTQ.dll
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1797872797-1469522326-3676945280-1000\...\Policies\Explorer: []
S3 catchme; \??\C:\ComboFix12\catchme.sys [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-1797872797-1469522326-3676945280-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-1797872797-1469522326-3676945280-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKU\S-1-5-21-1797872797-1469522326-3676945280-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
DisableService: PLAY ONLINE. RunOuc
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowe logi: FRST z opcji Skanuj (Scan) - zaznacz ponownie pole Addition oraz brakujący Shortcut, by powstały 3 logi - oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Oraz przeklej z dziennika Kasperskiego wykrywaną ścieżkę dostępu.

Odnośnik do komentarza
artwis

artwis

Opublikowano
  • Autor
Opublikowano
Dzięki za pomoc. Coś tam odpalałem jak próbowałem scrackować eplana (co się zresztą nie udało).

 

Kaspersky mi nie podaje dokładnej ścieżki dostępu:

16.10.2015 04.42.25;Wykryty obiekt (pamięć systemowa) został wyleczony.;System Memory;System Memory;MEM:Trojan-Spy.Win32.ZBot.a;Koń trojański;10/16/2015 04:42:25

 

 

 

FRST.txt

Shortcut.txt

Addition.txt

Fixlog.txt

FSS.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Kaspersky mi nie podaje dokładnej ścieżki dostępu: 16.10.2015 04.42.25;Wykryty obiekt (pamięć systemowa) został wyleczony.;System Memory;System Memory;MEM:Trojan-Spy.Win32.ZBot.a;Koń trojański;10/16/2015 04:42:25

Sądzę, że to dokładnie to co było usuwane za pomocą FRST i jest tu referencja do procesu rundll32. Zresztą w GMER też widać było niepokojące instancje tego procesu systemowego.

 

 

Coś tam odpalałem jak próbowałem scrackować eplana (co się zresztą nie udało).

Tak mi się właśnie wydawało na podstawie raportu. Log FRST pokazywał, że w bliskim przedziale czasowym był instalowany EPLAN, a po tym powstały obiekty infekcji (w domyślne: w przerwie "kombinowałeś"). Oczywiście definitywnie crack usuń, o ile nadal jest na dysku.

 

2015-10-06 22:05 - 2015-10-14 15:01 - 00000308 _____ C:\Windows\Tasks\AQIT.job

2015-10-06 22:05 - 2015-10-06 22:05 - 00229376 __RSH C:\Windows\SysWOW64\MFC71CHTQ.dll

2015-10-06 22:05 - 2015-10-06 22:05 - 00002588 _____ C:\Windows\System32\Tasks\AQIT

2015-10-06 21:30 - 2015-10-06 21:30 - 00002087 _____ C:\Users\Public\Desktop\EPLAN Education 2.4 (x64).lnk

2015-10-06 21:30 - 2015-10-06 21:30 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EPLAN

 

Zadanie usuwające pomyślnie wykonane. Zostały inne korekty. Log z Farbar Service Scanner wykazuje, że są wyłączone dwie usługi Windows (Centrum zabepieczeń + Windows Defender) oraz została skasowana ikona Centrum zabezpieczeń z zasobnika. Kolejna porcja czynności:

 

1. Otwórz Notatnik i wklej w nim:

 

S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
C:\Users\Artur\Documents\Studia\III semestr\elektra\PCSX2 0.9.8 (r4600).lnk
C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Install Logic
Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ /d "" /f
CMD: sc config WinDefend start= demand
CMD: sc config wscsvc start= delayed-auto
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny plik fixlog.txt.

 

2. Zrób nowy log z Farbar Service Scanner. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...