totolotek Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Witam Mam problem po przeskanowaniu programem Malwarebytes Anti - Malware trojan podany w tytule cały czas powraca jak bumerang. Problem w tym że odinstalowałem antywirusa nod 5 i teraz nie mogę go zainstalować, dochodzi do pewnego momentu i pisze trwa cofanie akcji. Co z tym cholerstwem można zrobić. Czekam na pomoc Dołączyłem logi z OTL i MBAM. System posiadam 64-bit Extras.Txt OTL.Txt mbam-log-2012-06-09 (12-07-43).txt Odnośnik do komentarza
picasso Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Wynik pochodzi od trojana ZeroAccess. Potrzebny dodatkowy skan na tajne miejsca ładowania. Uruchom SystemLook x64, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe :folderfind {d9f42f4c-b0ed-84e8-6d97-143b912fd5f1} Klik w Look. Przedstaw wynikowy skan. . Odnośnik do komentarza
totolotek Opublikowano 9 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Proszę bardzo skan SystemLook 30.07.11 by jpshortstuff Log created at 12:21 on 09/06/2012 by Norbi Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] 50BEA589F7D7958BDD2528A8F69D05CC C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB ========== folderfind ========== Searching for "{d9f42f4c-b0ed-84e8-6d97-143b912fd5f1}" C:\Windows\Installer\{d9f42f4c-b0ed-84e8-6d97-143b912fd5f1} d--hs-- [19:35 26/02/2012] -= EOF =- Odnośnik do komentarza
picasso Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Masz wariant trojana ZeroAccess, który infekuje plik services.exe. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Otworzy się log, który masz przestawić. Jeśli podmiana pliku zostanie potwierdzona, zadam kolejne kroki czyszczące resztę obiektów ZeroAccess. . Odnośnik do komentarza
totolotek Opublikowano 9 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Log 2012-06-09 12:44:58, Info CSI 00000009 [sR] Verifying 1 components2012-06-09 12:44:58, Info CSI 0000000a [sR] Beginning Verify and Repair transaction 2012-06-09 12:44:58, Info CSI 0000000c [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"services.exe" from store 2012-06-09 12:44:58, Info CSI 0000000e [sR] Verify complete 2012-06-09 12:44:58, Info CSI 0000000f [sR] Repairing 1 components 2012-06-09 12:44:58, Info CSI 00000010 [sR] Beginning Verify and Repair transaction 2012-06-09 12:44:58, Info CSI 00000012 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"services.exe" from store 2012-06-09 12:44:58, Info CSI 00000014 [sR] Repair complete 2012-06-09 12:44:58, Info CSI 00000015 [sR] Committing transaction 2012-06-09 12:44:58, Info CSI 00000019 [sR] Unable to complete Verify and Repair transaction because some of the files that need to be repaired are in use. A reboot is required to complete this operation. 2012-06-09 12:44:58, Info CSI 0000001a [sR] Repairing 1 components 2012-06-09 12:44:58, Info CSI 0000001b [sR] Beginning Verify and Repair transaction 2012-06-09 12:44:58, Info CSI 0000001d [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"services.exe" from store 2012-06-09 12:44:58, Info CSI 0000001f [sR] Repair complete Odnośnik do komentarza
picasso Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Log wskazuje na pomyślną naprawę pliku services.exe. Możemy przejść dalej. 1. Reset Winsock naruszonego przez ZeroAccess: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera. 2. Usunięcie folderu ZeroAccess, szczątków paska SweetIM oraz czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{d9f42f4c-b0ed-84e8-6d97-143b912fd5f1} C:\Users\Norbi\AppData\Roaming\Mozilla\Firefox\Profiles\842mb4w3.default\searchplugins\sweetim.xml :OTL FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 3. Wygeneruj do oceny nowe logi: OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. Przestaw też log z wynikami usuwania pozyskany w punkcie 1. . Odnośnik do komentarza
totolotek Opublikowano 9 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Wszystko zrobione logi w załącznikach OTL2.Txt FSS.txt 06092012_132256 wyniki usuwania.txt Odnośnik do komentarza
picasso Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Tak, wszystko zrobione, Winsock prawidłowo zresetowany + usunięte obiekty wcześniej przeze mnie wskazane. Kolejny etap to naprawa szkód wyrządzonych przez trojana, wg Farbar Service Scanner: całkowicie skasowany układ Zapory systemu Windows na poziomie rejestru oraz błędna ścieżka usługi Windows Defender. 1. Korekta usługi Windows Defender. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "Group"="COM Infrastructure" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-3068" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Security] "Security"=hex:01,00,14,80,04,01,00,00,10,01,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,d4,00,07,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,\ 00,28,00,15,00,00,00,01,06,00,00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,\ e5,55,dc,f4,e2,0e,a7,8b,eb,ca,7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik opcja Scal 2. Rekonstrukcja układu Zapory systemu Windows: KLIK. Odtwarzasz usługi BFE + MpsSvc oraz uprawnienia SharedAccess. 3. Resetujesz system i generujesz nowy log z Farbar service Scanner. . Odnośnik do komentarza
totolotek Opublikowano 9 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Zrobiłem według instrukcji FSS1.txt Odnośnik do komentarza
picasso Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Usługi wprawdzie wróciły, ale nie są uruchomione Zapora / Centrum / Windows Defender. Czy to na pewno log po restarcie komputera? Czy na pewno importowałeś przez SetACL uprawnienia trzech usług (BFE + MpsSvc + SharedAccess)? Jaki błąd zwraca próba ręcznego uruchomienia usługi Zapora systemu w przystawce services.msc? Odnośnik do komentarza
totolotek Opublikowano 9 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Zrobiłem wszystko według instrukcji. Błąd mam taki jak na obrazku Dodam że Nod32 zainstalował się bez problemu, pozostała tylko zapora z tym błędem Odnośnik do komentarza
picasso Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Powtórz kroki pod kątem odtwarzania usługi SharedAccess: załaduj plik SharedAccess.txt (zmień rozszerzenie na REG) + uprawnienia SharedAccess via SetACL. Zresetuj system. Odnośnik do komentarza
totolotek Opublikowano 10 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2012 Witam w dniu dzisiejszym. Nie za bardzo teraz kumam co mam zrobić, czy mam jeszcze raz powtórzyć ten krok. Udostępnianie połączenia internetowego (ICS) (SharedAccess) W Notatniku wklej poniższą treść i zapisz plik pod nazwą fix.txt. Plik dla wygody umieść bezpośrednio na C:\. (...) Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2012 Zgłoś Udostępnij Opublikowano 10 Czerwca 2012 totolotek, mówiłam wyraźnie: "załaduj plik SharedAccess.txt (zmień rozszerzenie na REG) + uprawnienia SharedAccess via SetACL". Czyli najpierw pobierasz z posta numer 1 plik, zmieniasz rozszerzenie na REG i importujesz do rejestru, a dopiero po tym powtarzasz operację, którą cytujesz. Nawiasem mówiąc: cytowanie całości niepotrzebne, obcięłam to. . Odnośnik do komentarza
totolotek Opublikowano 10 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2012 Ufffff udało się dziękuję za okazaną mi pomoc, cóż ja bym bez Ciebie zrobił. Jak to dobrze że tacy ludzie istnieją. Zapytam jeszcze Ciebie, po jakiej szkole jesteś bo wiedzę naprawdę masz niesamowitą. Tak myślę, może jesteś wykładowcą, bo to co ty wyczyniasz naprawdę budzi wielki szacunek dla Ciebie. Czy to już wszystko co miałem zrobić czy jeszcze coś. Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2012 Zgłoś Udostępnij Opublikowano 10 Czerwca 2012 Możemy przejść do finalizacji: 1. Dziennik zdarzeń zgłasza mało groźny błędzik WMI numer 10: Error - 2012-06-09 04:18:13 | Computer Name = Norbi-Komputer | Source = WinMgmt | ID = 10Description = Korektę wykona ten automat Fix-it Microsoftu: KB2545227. 2. Porządki po narzędziach: W OTL uruchom Sprzątanie. Przez SHIFT+DEL skasuj folder C:\Users\Norbi\Doctor Web. Ręcznie dokasuj inne używane narzędzia / fiksy, bo już zbędne. Odinstaluj HijackThis (kompletnie niezgodny z systemem x64). 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Dla formalności na wszelki wypadek przeprowadź skanowanie pełne w posiadanym MBAM i zgłoś się tu z wynikami. Zapytam jeszcze Ciebie, po jakiej szkole jesteś bo wiedzę naprawdę masz niesamowitą.Tak myślę, może jesteś wykładowcą, bo to co ty wyczyniasz naprawdę budzi wielki szacunek dla Ciebie. Nie jestem szkolona w tym kierunku, jestem samoukiem i nie zajmuję się tym zawodowo tylko hobbystycznie (jedyna moja działalność to tu). Z wykształcenia jestem z innej branży, Akademia Sztuk Pięknych - Wydział Architektury Wnętrz. . Odnośnik do komentarza
totolotek Opublikowano 10 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2012 Jestem już po wszystkich zabiegach Poniżej przedstawiam Log z MBAM Chyba już teraz jest wszystko w porządku Malwarebytes Anti-Malware (Okres testowy) 1.61.0.1400 www.malwarebytes.org Wersja bazy: v2012.06.09.05 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Norbi :: NORBI-KOMPUTER [administrator] Ochrona: Włączona 2012-06-10 14:52:22 mbam-log-2012-06-10 (14-52-22).txt Typ skanowania: Pełne skanowanie Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM Odznaczone opcje skanowania: P2P Przeskanowano obiektów: 560933 Upłynęło: 47 minut(y), 53 sekund(y) Wykrytych procesów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych modułów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych kluczy rejestru: 0 (Nie znaleziono zagrożeń) Wykrytych wartości rejestru: 0 (Nie znaleziono zagrożeń) Wykryte wpisy rejestru systemowego: 0 (Nie znaleziono zagrożeń) wykrytych folderów: 0 (Nie znaleziono zagrożeń) Wykrytych plików: 0 (Nie znaleziono zagrożeń) (zakończone) Odnośnik do komentarza
picasso Opublikowano 11 Czerwca 2012 Zgłoś Udostępnij Opublikowano 11 Czerwca 2012 Na zakończenie wykonaj: 1. Drobne aktualizacje: KLIK. Tu wersje wyciągnięte z Twojego systemu (sprawdź buildy Adobe Flash): ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416031FF}" = Java 6 Update 31 (64-bit)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) 2. Prewencyjną wymianę haseł logowania w serwisach. . Odnośnik do komentarza
Rekomendowane odpowiedzi