Skocz do zawartości

ZeroAccess i problem z ikonami Pulpitu


Rekomendowane odpowiedzi

Pozwolę sobie podpiąć pod temat https://www.fixitpc.pl/topic/8852-zeroaccess-tratrapsgen2/, gdyż dziś pojawił się u mnie ten sam problem. Udało mi się, zastosować podane rady do swojego przypadku i pozbyłem się wirusa, jednak po zmianie, któregoś z plików rejestru pojawił się u mnie problem z ikonami pulpitu, po każdym restarcie automatycznie zmieniają rozmiar z małego na średni, co prawdę powiedziawszy doprowadza mnie do szału. Próbowałem już odbudowania pamięci cache ikon, ale nie pomogło, próbowałem też jakiś automatycznych narzędzi naprawy rejestru, typu CCleaner właśnie, ale i to nie pomogło, jakieś porady może?

 

EDIT:

Jak usuwam jakąś ikonę to automatycznie wszystkie mi się wyrównują, zapełniając pustą przestrzeń, wygląda więc na to, jakbym miał włączone autorozmieszczanie, jednak oczywiście mam tę opcję odhaczoną.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Pozwolę sobie Cię wypiąć z tamtego tematu. Zasady działu nie przeczytane: KLIK. Nie wolno się dopisywać do cudzych tematów + nie należy wykonywać instrukcji dla obcych przypadków + należy podać obowiązkowe logi do wglądu, bo chyba nie sądzisz, że tu wróżbiarstwo się odbędzie. Tak więc: logi obowiązkowe do wglądu plus dodatkowy z SystemLook. A że nie raczyłeś nawet podać platformy, uruchamiasz albo SystemLook x64 (system 64-bit) albo SystemLook (system 32-bit). Do okna wklejasz:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look.

 

 

.

Odnośnik do komentarza

Robiąc tamte instrukcje zaoszczędziłem czasu i sobie i Tobie, objawy były dokładnie te same, różniły się ofc klucze.

 

Logi:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 19:26 on 22/06/2012 by Szymciu

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Users\Szymciu\AppData\Local\{e64cafdf-e8ff-da1d-1a78-c3bfa0b9b4dc}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

Extras.Txt

OTL.Txt

Odnośnik do komentarza

Zasady działu, które mówią, by nie wykonywać cudzych instrukcji nawet jeśli objawy są takie same, są nie bez powodu. Pozorna oszczędność czasowa, nie usunąłeś infekcji w sposób kompletny i nie potrafisz jej zdiagnozować prawidłowo. Twój przypadek jest inny niż w tamtym temacie, inny wariant ZeroAccess tu występuje (tzw. wariant CLSID), dlatego jest problem z ikonami Pulpitu:

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Users\Szymciu\AppData\Local\{e64cafdf-e8ff-da1d-1a78-c3bfa0b9b4dc}\n."

 

 

[2012-06-22 12:14:48 | 000,016,896 | ---- | C] () -- C:\Users\Szymciu\AppData\Local\{e64cafdf-e8ff-da1d-1a78-c3bfa0b9b4dc}\U\80000000.@

[2012-06-22 12:14:47 | 000,001,648 | ---- | C] () -- C:\Users\Szymciu\AppData\Local\{e64cafdf-e8ff-da1d-1a78-c3bfa0b9b4dc}\U\00000001.@

 

Infekcja jest w stanie czynnym.

 

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
del /q C:\Users\Szymciu\AppData\Local\Temp*.html

 

Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder: 

C:\Users\Szymciu\AppData\Local\{e64cafdf-e8ff-da1d-1a78-c3bfa0b9b4dc}

 

Execute:

C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Przez Panel sterowania odinstaluj adware V9 HomeTool.

 

4. Wklej do posta zawartość raportu BlitzBlank. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner (wszystkie opcje zaznaczone) + SystemLook na warunki:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

 

 

 

 

.

Odnośnik do komentarza

Coś źle jest:

 

BlitzBlank 1.0.0.32

 

File/Registry Modification Engine native application

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\szymciu\appdata\local\{e64cafdf-e8ff-da1d-1a78-c3bfa0b9b4dc}", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\users\szymciu\appdata\local\{e64cafdf-e8ff-da1d-1a78-c3bfa0b9b4dc}\@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\szymciu\appdata\local\{e64cafdf-e8ff-da1d-1a78-c3bfa0b9b4dc}\L", destinationDirectory = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\szymciu\appdata\local\{e64cafdf-e8ff-da1d-1a78-c3bfa0b9b4dc}\U", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\users\szymciu\appdata\local\{e64cafdf-e8ff-da1d-1a78-c3bfa0b9b4dc}\U\00000001.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\users\szymciu\appdata\local\{e64cafdf-e8ff-da1d-1a78-c3bfa0b9b4dc}\U\80000000.@", destinationFile = "(null)", replaceWithDummy = 0

LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat"

OpenDriver: ZwLoadDriver(\Registry\Machine\System\CurrentControlSet\Services\blzblk) failed: status = c0000428

LaunchOnReboot: OpenDriver failed: status = c0000428

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 03:55 on 23/06/2012 by Szymciu

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Users\Szymciu\AppData\Local\{e64cafdf-e8ff-da1d-1a78-c3bfa0b9b4dc}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

-= EOF =-

FSS.txt

OTL.Txt

Odnośnik do komentarza

Hehe, czy Ty czasem sypiasz? :P

 

Teraz się ikony nie zmieniły, ale na chłopskie oko coś wydaje się być nadal nie tak:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 04:35 on 23/06/2012 by Szymciu

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

-= EOF =-

OTL.Txt

Odnośnik do komentarza
Teraz się ikony nie zmieniły, ale na chłopskie oko coś wydaje się być nadal nie tak:

 

Nie rozumiem co masz na myśli i który fragment wydaje Ci się "podejrzany". Wszystko jest teraz właśnie w porządku, FIX.BAT wykonał modyfikację o którą tu chodziło. Klucz infekcji w gałęzi HKCU usunięty, dwie pozostałe klasy systemowe w HKLM potwierdzone jako nie zmodyfikowane i że infekcja na nie nie "przeskoczyła" przy próbie zmanipulowania pierwszego klucza infekcji.

 

Możemy przejść do czynności końcowych:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files (x86)\v9Soft
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Do oceny wystarczy tylko log z wynikami usuwania.

 

 

 

.

Odnośnik do komentarza

Sprawa wygląda na ukończoną. Czynności końcowe:

 

1. W OTL uruchom Sprzątanie + ręcznie dokasuj inne używane narzędzia.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Do wykonania drobne aktualizacje: KLIK. Tu wykaz Twoich wersji (potwierdź precyzyjnie wersję wtyczek Flash + Silverlight):

 

Internet Explorer (Version = 8.0.7601.17514)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{26A24AE4-039D-4CA4-87B4-2F86417001FF}" = Java™ 7 Update 1 (64-bit)

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31

"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

 

4. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...