sobi1910 Opublikowano 14 Czerwca 2012 Zgłoś Udostępnij Opublikowano 14 Czerwca 2012 Witam, od wczoraj mam pewien problem (chyba z trojanem). Antywirus co chwila wyrzuca na pulpit informacje ze znalazł trojana w C:\Windows\installer\.....\80000032.@ i 80000064.@ Skanowanie/usuwanie/przenoszenie do kwarantanny nic nie daje. Co gorsza od tego momentu co jakis czas (raz na 3h) wyskakuje blue screen :/ Poniżej zamieszczam logi z OTL. Może uda się to naprawić ? Z góry dziękuję OTL Extras Odnośnik do komentarza
Landuss Opublikowano 14 Czerwca 2012 Zgłoś Udostępnij Opublikowano 14 Czerwca 2012 Masz infekcję ZeroAccess w najnowszym wydaniu. Tu w dodatku system 64-bitowy i możliwa infekcja services.exe co by tłumaczyło restarty. Zacznij od wykonania loga dodatkowego - uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport. Odnośnik do komentarza
sobi1910 Opublikowano 14 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Czerwca 2012 Oto wynik raportu: SystemLook Odnośnik do komentarza
Landuss Opublikowano 14 Czerwca 2012 Zgłoś Udostępnij Opublikowano 14 Czerwca 2012 Na poziomie rejestru jest w porządku natomiast services.exe według spodziewań jest zainfekowany. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Otworzy się log, który zachowaj i pokaż na forum. Jeśli plik zostanie wyleczony przez sfc to przejdziemy do dalszych działań. Odnośnik do komentarza
sobi1910 Opublikowano 14 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Czerwca 2012 Oto i log: sfc.txt Odnośnik do komentarza
Landuss Opublikowano 14 Czerwca 2012 Zgłoś Udostępnij Opublikowano 14 Czerwca 2012 Jest w porządku, lecimy dalej. 1. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 2. Usuń szczątki po kasperskym za pomocą narzędzia Kaspersky Remover 3. Użyj narzędzia AdwCleaner z opcji Delete 4. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2:64bit: - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2012\x64\ievkbd.dll File not found O2:64bit: - BHO: (FilterBHO Class) - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2012\x64\klwtbbho.dll File not found O2 - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2012\ievkbd.dll File not found O2 - BHO: (FilterBHO Class) - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2012\klwtbbho.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2012\avp.exe" File not found O4 - HKLM..\Run: [Eps_Reg.exe] C:\Users\Sobi\AppData\Local\Temp\Eps_Reg.exe /L /NSmartCard2000 File not found O4 - HKU\S-1-5-19..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found O4 - HKU\S-1-5-20..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found O4 - HKU\S-1-5-21-3370169801-2931475050-443466723-1000..\Run: [AdobeBridge] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\Windows\SysWow64\%APPDATA% C:\Windows\Installer\{2bc85c72-68ec-5cc7-71ba-5b823a4f8d4e} :Commands [resethosts] [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 5. Wykonujesz nowe logi z OTL i z Farbar Service Scanner (zaznacz wszystko do skanowania). Odnośnik do komentarza
sobi1910 Opublikowano 14 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Czerwca 2012 Podczas wykonywania skryptu wyskoczył komunikat że nastąpił błąd i komputer zostanie uruchomiony ponownie za minutę po czym skrypt kontynuował działanie. Po restarcie wyskoczył log : OTL. A oto końcowe logi z OTL oraz Farbar Service Scanner Odnośnik do komentarza
Landuss Opublikowano 15 Czerwca 2012 Zgłoś Udostępnij Opublikowano 15 Czerwca 2012 Wszystko poprawnie wykonane. Rootkit skasował całkowicie kilka ważnych usług i teraz będziesz je odtwarzał. 1. Odbuduj skasowane usługi omijając polecenie sfc /scannow: Rekonstrukcja usług Zapory systemu Windows (MpsSvc + bfe): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 2. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. Odnośnik do komentarza
sobi1910 Opublikowano 15 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2012 Oto log: FSS Odnośnik do komentarza
Landuss Opublikowano 15 Czerwca 2012 Zgłoś Udostępnij Opublikowano 15 Czerwca 2012 Wszystko gra. Można kończyć sprawę: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Masz nieaktualny system (brak SP) więc wykonaj instalację Service Pack 1 4. Zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
sobi1910 Opublikowano 15 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2012 Dziękuję bardzo za pomoc Wszystko jest w jak najlepszym porządku. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi