SzamanMorski Opublikowano 3 Lipca 2012 Zgłoś Udostępnij Opublikowano 3 Lipca 2012 Witam, Mój komputer został zainfekowany przez wirusa weelsof. Czy mógłbym prosić o pomoc? Posiadam system Win7 64-bitowy. Do postu załączam logi z OTL Pozdrawiam. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2012 Zgłoś Udostępnij Opublikowano 3 Lipca 2012 Tu są także ślady trojana ZeroAccess. Podaj skan definiujący jego miejsca ładowania. Uruchom SystemLook x64, do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i podaj raport. . Odnośnik do komentarza
SzamanMorski Opublikowano 3 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2012 Dodaję raport z SystemLook SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2012 Zgłoś Udostępnij Opublikowano 3 Lipca 2012 Trojan ZeroAccess jest w stanie czynnym. Wbrew pozorom jest to bardziej zaawansowana infekcja niż UKASH i czyni więcej szkód (kasuje z rejestru całą Zaporę / Centrum zabezpieczeń / Windows Defender = to się na pewno tu stało, bo Twój Dziennik zdarzeń rzyga błędami). Wymaga wszczęcia mocniejszej procedury usuwającej, przy udziale mocniejszego narzędzia niż OTL. Przechodzimy do usuwania: 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\wbemess.dll /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v sppuinotify /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v sqlncli /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Ganyweut /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v HideSCAHealth /f Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\windows\Installer\{f51c0d38-e0b8-2588-2017-024284637aeb} C:\Users\Cezar\AppData\Local\{f51c0d38-e0b8-2588-2017-024284637aeb} C:\Users\Cezar\AppData\Local\Microsoft\Windows\1175 C:\Users\Cezar\AppData\Roaming\hellomoto C:\Users\Cezar\AppData\Roaming\Zayka C:\Users\Cezar\AppData\Roaming\Yhca C:\Users\Cezar\AppData\Roaming\Quhyag C:\ProgramData\B7E8586B00015381005D8034B4EB2367 Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 3. Wklej do posta zawartość raportu BlitzBlank. Zrób nowy log z SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s Wygeneruj nowy log OTL z opcji Skanuj oraz Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. . Odnośnik do komentarza
SzamanMorski Opublikowano 3 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2012 Dodaję nowe logi. Czy jest możliwe że to ten trojan spowodował infekcję wheelsof'em? Wklejam zawartość Blitzblank: BlitzBlank 1.0.0.32 File/Registry Modification Engine native application MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{f51c0d38-e0b8-2588-2017-024284637aeb}", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{f51c0d38-e0b8-2588-2017-024284637aeb}\@", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{f51c0d38-e0b8-2588-2017-024284637aeb}\L", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{f51c0d38-e0b8-2588-2017-024284637aeb}\U", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\cezar\appdata\local\{f51c0d38-e0b8-2588-2017-024284637aeb}", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\users\cezar\appdata\local\{f51c0d38-e0b8-2588-2017-024284637aeb}\@", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\cezar\appdata\local\{f51c0d38-e0b8-2588-2017-024284637aeb}\L", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\cezar\appdata\local\{f51c0d38-e0b8-2588-2017-024284637aeb}\U", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\cezar\appdata\local\microsoft\windows\1175", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\users\cezar\appdata\local\microsoft\windows\1175\3a26dfbf", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\users\cezar\appdata\local\microsoft\windows\1175\sqlncli.exe", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\cezar\appdata\roaming\hellomoto", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\users\cezar\appdata\roaming\hellomoto\BukF.dat", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\users\cezar\appdata\roaming\hellomoto\TujP.dat", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\cezar\appdata\roaming\zayka", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\cezar\appdata\roaming\yhca", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\users\cezar\appdata\roaming\yhca\owivg.exe", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\cezar\appdata\roaming\quhyag", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\users\cezar\appdata\roaming\quhyag\ivdik.agi", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\programdata\b7e8586b00015381005d8034b4eb2367", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\programdata\b7e8586b00015381005d8034b4eb2367\B7E8586B00015381005D8034B4EB2367", destinationFile = "(null)", replaceWithDummy = 0 LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat" OpenDriver: ZwLoadDriver(\Registry\Machine\System\CurrentControlSet\Services\blzblk) failed: status = c0000428 LaunchOnReboot: OpenDriver failed: status = c0000428 FSS.txt SystemLook.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2012 Zgłoś Udostępnij Opublikowano 3 Lipca 2012 FIX.BAT nie wykonał się do końca. 1. Z prawokliku na FIX.BAT wybierz opcję "Uruchom jako Administrator". 2. Zresetuj system i zrób nowe logi z SystemLook na te same warunki + OTL z opcji Skanuj. Czy jest możliwe że to ten trojan spowodował infekcję wheelsof'em? Ja raczej przypuszczam, że albo odwiedzony URL załadował hurtem te trojany, albo źródło infekcji było rozczłonkowane i infekcje nabyte w różnym zakresie czasowym. . Odnośnik do komentarza
SzamanMorski Opublikowano 3 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2012 Zresetowałem, dodaję nowe logi z SystemLook i OTL'a. Przy okazji, czy programy których używam (Avira oraz SuperAntispyware) są dobrymi programami, czy lepiej używać innych do ochrony komputera? SystemLook.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2012 Zgłoś Udostępnij Opublikowano 3 Lipca 2012 FIX.BAT pomyślnie wykonany. Możemy przejść do kolejnych czynności, czyli czyszczenia Temp i napraw szkód wyrządzonych przez ZeroAccess: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4:64bit: - HKLM..\Run: [] File not found O4 - HKLM..\Run: [] File not found :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i pojawi się log z wynikami usuwania (w D:\_OTL). 2. Odbuduj skasowane usługi (w instrukcjach omiń zbyteczne sfc /scannow): Rekonstrukcja usług Zapory systemu Windows: KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 3. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. Dołącz log z usuwania z punktu 1. Przy okazji, czy programy których używam (Avira oraz SuperAntispyware) są dobrymi programami, czy lepiej używać innych do ochrony komputera? Jest OK, z jednym zastrzeżeniem: Avira jest traktowana przeze mnie jako program oscylujący na pograniczu "adware" (i ja za te zachowania ją po prostu dyskwalifikuję jako program honorowy), a to dlatego, że aktywacja funkcji osłony Web za darmo wymaga zgody na instalację barachła w postaci paska Ask Toolbar maskowanego jako "Avira SearchFree Toolbar plus Web Protection". Tenże jest u Ciebie zainstalowany. W normalnych okolicznościach u wszystkich Ask Toolbar usuwam, tu jednak to ominęłam, bo to byłoby równoznaczne z odjęciem funkcji osłony Avira (warunkiem osłony jest ten pasek...). Prócz SUPERAntispyware proponuję także skaner na żądanie Malwarebytes Anti-Malware. Nim będzie tu wykonywany zresztą dodatkowy skan, ale jeszcze nie teraz. . Odnośnik do komentarza
SzamanMorski Opublikowano 3 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2012 Polecenia wykonane, wklejam logi All processes killed ========== OTL ========== 64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Cezar ->Temp folder emptied: 594464 bytes ->Temporary Internet Files folder emptied: 1479563 bytes ->Java cache emptied: 456078 bytes ->FireFox cache emptied: 616555372 bytes ->Flash cache emptied: 44395 bytes User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 41620 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 41620 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 119060179 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 68032 bytes RecycleBin emptied: 69706 bytes Total Files Cleaned = 704,00 mb OTL by OldTimer - Version 3.2.53.1 log created on 07032012_212702 Files\Folders moved on Reboot... C:\Users\Cezar\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. PendingFileRenameOperations files... File C:\Users\Cezar\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found! Registry entries deleted on Reboot... FSS.txt Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2012 Zgłoś Udostępnij Opublikowano 3 Lipca 2012 Wszystko zdaje się być poprawnie wykonane. Przechodzimy do wykończeń: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie, a resztę używanych skasuj ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. I teraz wykonaj to o czym wspominałam, czyli skanowanie pełne w MBAM. . Odnośnik do komentarza
SzamanMorski Opublikowano 3 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2012 Dzięki wielkie! Wszystko jest jak powinno, pełne skanowanie MBAM wykonane pomyślnie, nie wykryto żadnych zagrożeń. Jeszcze raz dziękuję za pomoc i poświęcony czas. Pozdrawiam, Szaman Morski Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2012 Zgłoś Udostępnij Opublikowano 3 Lipca 2012 Na zakończenie: 1. Aktualizacje oprogramowania: KLIK. Wyciąg z Twojej listy zainstalowanych: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86417003FF}" = Java 7 Update 3 (64-bit)"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bitd"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 ----> brak pakietu SP1 (wersja 64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Shockwave Player" = Adobe Shockwave Player 11.6 2. Prewencyjna zmiana haseł logowania w serwisach. PS. Sugeruję też rozważenie bardziej przyjaznej dla zasobów systemowych alternatywy dla GG10. Artykuł: Darmowe komunikatory. Propozycje: WTW, Kadu, Miranda, AQQ. . Odnośnik do komentarza
SzamanMorski Opublikowano 4 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Przeprowadziłem aktualizacje programów Użytkowanie GG10 nie stanowi dla mnie problemu. Hasła na szczęście mam w zwyczaju co jakiś czas zmieniać, więc też bez problemowo. Jeszcze raz wielkie dzięki za pomoc Pozdrawiam, Szaman Morski Odnośnik do komentarza
Rekomendowane odpowiedzi