g2000 Opublikowano 1 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Proszę o pomoc. Załączam pliki OTL i FSS. Extras.Txt FSS.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 1 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Akcja będzie rozłożona na kilka etapów. W pierwszej kolejności usunięcie infekcji i śmieci, po tym dopiero naprawa uszkodzonych usług Windows. 1. Pobierz narzędzie FRST x64 i umieść na pendrive. 2. Przygotuj plik naprawczy. Otwórz Notatnik i wklej w nim: SubSystems: [Windows] ==> ZeroAccess NETSVC: smbusp 2 smbusp; C:\Windows\System32\servicelayer.dll [5120 2009-07-14] (Iomega) C:\Windows\System32\servicelayer.dll C:\Windows\System32\consrv.dll C:\Windows\System32\dds_log_ad13.cmd C:\Windows\system32\%APPDATA% C:\Windows\assembly\tmp\U C:\Windows\assembly\tmp\loader.tlb C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6} C:\Windows\assembly\GAC_64\desktop.ini C:\Windows\assembly\GAC_32\desktop.ini C:\Users\Kuba\AppData\Local\473d6f2b Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST. 3. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom zgodnie z opisem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt. 4. Restartujesz do Windows. 5. Reset Winsock: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera. 6. Odinstaluj śmieci Facemoods Toolbar + vShare (wtyczka jest odpowiedzialna za hijack preferencji przeglądarek na adres startsear.ch). Deinstalację przeprowadź w: menedżerach rozszerzeń Google Chrome + Firefox oraz w Panelu sterowania Windows. Dodatkowo, w Google Chrome w zarządzaniu wyszukiwarkami przestaw domyślną z Web Search na np. Google, a Web Search usuń. I ręcznie dokasuj wszystkie pliki modelu C:\Users\Kuba\AppData\Local\Temp*.html (to śmieci GG10). 7. Zrób nowe logi: OTL na warunku dostosowanym, tzn. w sekcji Własne opcje skanowania / skrypt wklej słowo netsvcs i klik w Skanuj + AdwCleaner z opcji Search. Dostarcz też Fixlog.txt pozyskany w punkcie 3. . Odnośnik do komentarza
g2000 Opublikowano 1 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Pliki zgodnie z pkt 7 AdwCleanerR1.txt Fixlog.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 1 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Infekcja pomyślnie usunięta. Drobny szczegół: tam za późno zedytowałam jedną linię w skrypcie i plik servicelayer.dll nie usunął się. Zaraz to poprawię. Przechodzimy do czyszczenia szczątków i napraw usług Windows. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "Group"="COM Infrastructure" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-3068" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] "SearchAssistant"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{42C0F1EF-E2C1-42C6-BB8F-9E3C62663A3C}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal 2. Rekonstrukcja Zapory systemu Windows: KLIK. Do odtworzenia masz dwie usługi, czyli BFE + MpsSvc (omijasz naprawę mpsdrv). Możesz też opuścić weryfikację sfc /scannow. 3. Uruchom AdwCleaner i zastosuj w nim opcję Delete. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\SysNative\servicelayer.dll C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\y7kojrl2.default\searchplugins\daemon-search.xml C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\y7kojrl2.default\searchplugins\web-search.xml rd /s /q C:\FRST /C :Commands [resethosts] [emptytemp] Klik w Wykonaj skrypt. System zostanie zresetowany i otrzymasz log z wynikami usuwania. 4. Wygeneruj nowe logi: OTL z opcji Skanuj oraz Farbar Service Scanner. . Odnośnik do komentarza
g2000 Opublikowano 1 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 log AdwCleaner: Files\Folders moved on Reboot... C:\Users\Kuba\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. Registry entries deleted on Reboot... FSS.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 1 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Wszystko wykonane i naprawione. Finalizacja czyszczenia: 1. W AdwCleaner zastosuj Uninstall. W OTL uruchom Sprzątanie. Ręcznie dokasuj resztę używanych narzędzi. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
g2000 Opublikowano 1 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Trochę to trwało ale mam wynik scanu i coś tam wykrył mbam-log-2012-04-01 (18-08-00).txt Odnośnik do komentarza
picasso Opublikowano 2 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 Owszem, wykrył, ale to nie powinno już stanowić zagrożenia w rozumieniu nawrotu infekcji, to wyniki w katalogach Temp. Tylko, że już zadawałam czyszczenie lokalizacji tymczasowych w skrypcie OTL, wyników nie powinno być ... Natomiast wykrycie solidcore32.dll to nie jestem pewna czy to rzeczywisty wynik. Usuń programem MBAM te zagrożenia, ponów ręczne czyszczenie Przywracania systemu. I przejdź do: 1. Aktualizacji: KLIK. OTL Extras pokazuje brak SP1 oraz takie wersje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 9.0.8112.16421) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416016FF}" = Java 6 Update 16 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java 6 Update 29"{5335DADB-34BA-4AE8-A519-648D78498846}" = Skype™ 5.3"{58B785A2-D2CA-40AA-AE89-FCC49326CDC4}" = OpenOffice.org 3.2"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Foxit Reader_is1" = Foxit Reader 5.0"Mozilla Firefox (3.6.27)" = Mozilla Firefox (3.6.27)"Opera 11.52.1100" = Opera 11.52 2. Prewencyjnej wymiany haseł logowania w serwisach. Potwierdź wykonanie akcji, zwłaszcza czy aktualizacje Windows zainstalowały się bez błędów. . Odnośnik do komentarza
g2000 Opublikowano 3 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 Wszystko przebiegło bezproblemowo. Bardzo dziękuję za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi