Majkel777 Opublikowano 27 Czerwca 2012 Zgłoś Udostępnij Opublikowano 27 Czerwca 2012 Mój problem podobny jest do tego. https://www.fixitpc.pl/topic/8852-zeroaccess-tratrapsgen2/ Z tym, że Avira informuje mnie o trzech trojanach: TR/ATRAPS.Gen2 TR/Sirefef.AG.35 TR/Small.FI Załączam komplet logów Jak przestał mi działać dźwięk w firefoxie to już nie wytrzymałem OTL.Txt log.txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2012 Zgłoś Udostępnij Opublikowano 27 Czerwca 2012 Podaj skan dodatkowy na punkty ładowania trojana. Uruchom SystemLook, do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. . Odnośnik do komentarza
Majkel777 Opublikowano 27 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2012 SystemLook 30.07.11 by jpshortstuff Log created at 19:48 on 27/06/2012 by Wlasciciel Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Documents and Settings\Wlasciciel\Local Settings\Application Data\{8a01b7d7-dd68-6165-8e9a-618f5546c24b}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="\\.\globalroot\systemroot\Installer\{8a01b7d7-dd68-6165-8e9a-618f5546c24b}\n." "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\WINDOWS\$hf_mig$\KB956572\SP2QFE\services.exe --a---- 110592 bytes [15:12 15/06/2012] [10:22 06/02/2009] 4712531AB7A01B7EE059853CA17D39BD C:\WINDOWS\$hf_mig$\KB956572\SP3GDR\services.exe --a---- 110592 bytes [15:12 15/06/2012] [11:11 06/02/2009] 65DF52F5B8B6E9BBD183505225C37315 C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a---- 110592 bytes [15:12 15/06/2012] [11:06 06/02/2009] 020CEAAEDC8EB655B6506B8C70D53BB6 C:\WINDOWS\$NtServicePackUninstall$\services.exe -----c- 110592 bytes [18:29 16/06/2012] [17:14 06/02/2009] 37561F8D4160D62DA86D24AE41FAE8DE C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 108544 bytes [18:45 16/06/2012] [00:12 14/04/2008] 0E776ED5F7CC9F94299E70461B7B8185 C:\WINDOWS\$NtUninstallKB956572_0$\services.exe -----c- 108032 bytes [20:07 15/06/2012] [12:00 24/08/2006] C6CE6EEC82F187615D1002BB3BB50ED4 C:\WINDOWS\ServicePackFiles\i386\services.exe ------- 108544 bytes [00:12 14/04/2008] [00:12 14/04/2008] 0E776ED5F7CC9F94299E70461B7B8185 C:\WINDOWS\system32\services.exe --a---- 110592 bytes [12:00 24/08/2006] [11:11 06/02/2009] 65DF52F5B8B6E9BBD183505225C37315 C:\WINDOWS\system32\dllcache\services.exe -----c- 110592 bytes [15:12 15/06/2012] [11:11 06/02/2009] 65DF52F5B8B6E9BBD183505225C37315 -= EOF =- Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2012 Zgłoś Udostępnij Opublikowano 27 Czerwca 2012 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011341191}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {C4069E3A-68F1-403E-B40E-20066696354B} /f reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} /f Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\WINDOWS\Installer\{8a01b7d7-dd68-6165-8e9a-618f5546c24b} "C:\Documents and Settings\Wlasciciel\Local Settings\Application Data\{8a01b7d7-dd68-6165-8e9a-618f5546c24b}" Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 3. Poprzez Dodaj / Usuń programy odinstaluj adware uTorrentControl2 Toolbar oraz Vid-Saver (sklasyfikowane jako malware: KLIK). Powtórz deinstalację Vid-Saver w menedżerze dodaków Firefox. 4. Zastosuj aplikację AdwCleaner z opcji Delete. 5. Zrób nowy log z Farbar Service Scanner (wszystkie opcje zaznaczone) oraz SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s :folderfind {8a01b7d7-dd68-6165-8e9a-618f5546c24b} Dołącz logi z wynikami usuwania BlitzBlank + AdwCleaner. . Odnośnik do komentarza
Majkel777 Opublikowano 27 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2012 Stanąłem na pkt 3. Nie mam uTorrentControl2 Toolbar oraz Vid-Saver Dobra musiałem, ręcznie reset zrobić.. FSS.txt AdwCleanerS1.txt SystemLook_po.txt Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2012 Zgłoś Udostępnij Opublikowano 27 Czerwca 2012 Zabrakło loga z BlitznBlank, ale w sumie już nie potrzebuję. SystemLook wykazuje pomyślną likwidację składników infekcji. Stanąłem na pkt 3. Nie mam uTorrentControl2 Toolbar oraz Vid-Saver Pobrałam dane z Twoich logów. Wg OTL Extras na liście zainstalowanych są te oto pozycje (i widać zresztą komponenty tych dziadów w innych fragmentach logów): ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"uTorrentControl2 Toolbar" = uTorrentControl2 Toolbar"Vid-Saver" = Vid-Saver 1. Trojan skasował z rejestru dane usługi Zapory (SharedAccess) oraz Centrum zabezpieczeń (wscsvc). Wykonaj ich odbudowę: KLIK. 2. A w związku z tym, że jest niejasna sprawa z adware, podaj nowy log OTL z opcji Skanuj, ale nie potrzebuję już tak obszernego, czyli zawęź g: opcję Rejestr ustaw na Użyj filtrowania, ale wszystkie inne sekcje na Brak + wyszukiwanie plików na Żadne. . Odnośnik do komentarza
Majkel777 Opublikowano 27 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2012 Proszę OTL_po.Txt Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2012 Zgłoś Udostępnij Opublikowano 27 Czerwca 2012 Wszystko zdaje się być wykonane, zakładam że usługi zrekonstruowałeś poprawnie. Kolejna porcja zadań: 1. Porządki po narzędziach: zastosuj Uninstall w AdwCleaner, skasuj przez SHIFT+DEL pozostałe używane. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw wynikowy raport, o ile będzie co pokazywać. . Odnośnik do komentarza
Majkel777 Opublikowano 28 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Przez wczorajszy szpil, już nie dałem rady wytrzymać do końca. Dziś zrobiłem drugi raz skan. Mam nadzieje, że to nie będzie żaden problem. mbam-log-2012-06-28 (09-10-53).txt Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2012 Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 1. Usuń za pomocą MBAM tylko dwa wyniki otagowane jako PUP.GamePlayLab. Reszta to: crack do Office (KMSERVICE.EXE) oraz coś co sugeruje fałszywy alarm na kopii pliku Windows w deinstalatorze Service Pack. 2. Wykonaj aktualizacje: KLIK. Tutaj wyciąg z Twojej listy zainstalowanych o co mi chodzi: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{3248F0A8-6813-11D6-A77B-00B0D0150080}" = J2SE Runtime Environment 5.0 Update 8"{58BAA8D0-404E-4585-9FD3-ED1BB72AC2EE}" = Adobe Flash Player 9 ActiveX"{AC76BA86-7AD7-1033-7B44-A81000000003}" = Adobe Reader 8.1.0"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 ----> brak SP1 3. Prewencyjnie zmień hasła logowania w serwisach. . Odnośnik do komentarza
Majkel777 Opublikowano 28 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Ok. GG i takie duperele też ? Czy tylko serwisy, z którymi łączę się za pomocą przeglądarki ? Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2012 Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Myślę, że zmianę haseł Gadu i "takich dupereli" możemy sobie darować. Odnośnik do komentarza
Majkel777 Opublikowano 28 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Ok. Wszystko. Jeszcze tylko hasła. To już ostatni etap ? Czy jeszcze mam oczekiwać jakiś działań ? Jeśli tak to dzięki wielkie za pomoc. Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2012 Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 To wszystko z mojej strony. Jeśli nie ma już żadnych problemów, temat do zamknięcia. Odnośnik do komentarza
Rekomendowane odpowiedzi