zager Opublikowano 4 Lipca 2012 Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Witam Z góry przepraszam za sformułowanie temtu ale inaczej nie umiałem jeśli napisałem źle to proszę Moderatora o zmiany Mam problem z tym wirusem C:\Windows\System32\svchost.exe Mam avasta, z tego co widzę to on usuwa ten plik który po jakimś czasie się odnawia. (nie znam się na informatyce ale tak mnie się wydaję) Proszę o podpowiedź co mam zainstalować (myślę o combofiksie ale jestem laikiem nie znam się i wolałem nie ryzykować i zapytać kogoś mądrego) Odkąd go mam nie działa mi Autocad (jestem studentem PWr i dużo rysuje) tytaj daje fotke komunikatu który mnie się pojawia: http://img803.images...566/svchost.jpg Z góry dziękuję za pomoc mam windows 7 wer 64 Odnośnik do komentarza
Landuss Opublikowano 4 Lipca 2012 Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Aly ty nie możesz usuwać tego pliku. To jeden z najważniejszych plików systemowych, a wcale nie jest powiedziane, że on sam w sobie jest problemem. Problem może leżeć zupełnie gdzie indziej a objawia się to właśnie w taki sposób. ComboFixa na razie odpuść sobie, to tylko w konieczności się używa gdy jest taka potrzeba. Na razie nie wiadomo czy tak jest. Zaprezentuj raporty z OTL Odnośnik do komentarza
zager Opublikowano 4 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Nie wiemczy to ma jakieś znaczenie ale avast wykryłe mi jeszcze services.exe nie wiem za bardzo co to jest tutaj dodaję link do komunikatu z avasta http://imageshack.us...7/svchosts.jpg/ http://imageshack.us/photo/my-images/52/servicesun.jpg/ pod spodem załączyłem logi z OTL OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 4 Lipca 2012 Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Teraz wszystko jasne, masz infekcję ZeroAccess w najnowszym wydaniu. Services.exe jest najprawdopodobniej zaprawiony przez infekcje. Zanim przejdziemy do usuwania wykonaj raport uzupełniający pod kątem tej konkretnej infekcji. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport Odnośnik do komentarza
zager Opublikowano 4 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Wyświetliło mi jeden plik: SystemLook 30.07.11 by jpshortstuff Log created at 20:10 on 04/07/2012 by MAR Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\MAR\AppData\Local\{50898e69-11f0-109d-2b8d-627e6a7f805b}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 014A9CB92514E27C0107614DF764BC06 C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 4 Lipca 2012 Zgłoś Udostępnij Opublikowano 4 Lipca 2012 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Start > w polu szukania ponownie wpisz cmd > z prawokliku Uruchom jako Administrator i przeklej to polecenie: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\Installer\{50898e69-11f0-109d-2b8d-627e6a7f805b} C:\Users\MAR\AppData\Local\{50898e69-11f0-109d-2b8d-627e6a7f805b} :OTL IE - HKU\S-1-5-21-625936793-1600890421-1951016998-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKU\S-1-5-21-625936793-1600890421-1951016998-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=7b5a5fdc-064c-11e1-b459-e0f87b855e29&q={searchTerms} IE - HKU\S-1-5-21-625936793-1600890421-1951016998-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=110819&tt=010611_def&babsrc=SP_ss&mntrId=285ba90d000000000000485b398bd051 FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=010611_def&babsrc=KW_ss&mntrId=285ba90d000000000000485b398bd051&q=" [2012-03-27 19:03:09 | 000,000,000 | ---D | M] (vShare) -- C:\Users\MAR\AppData\Roaming\mozilla\Firefox\Profiles\w2sdvb33.default\extensions\vshare@toolbar [2012-02-11 16:19:50 | 000,000,792 | ---- | M] () -- C:\Users\MAR\AppData\Roaming\Mozilla\Firefox\Profiles\w2sdvb33.default\searchplugins\startsear.xml [2012-06-27 17:37:31 | 000,001,565 | ---- | M] () -- C:\Users\MAR\AppData\Roaming\Mozilla\Firefox\Profiles\w2sdvb33.default\searchplugins\web-search.xml [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll [2012-04-12 19:52:07 | 000,002,353 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3 - HKU\S-1-5-21-625936793-1600890421-1951016998-1000\..\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll File not found O4 - HKLM..\Run: [NPSStartup] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie z opcji Skanuj. Prezentujesz nowe logi z OTL, nowy z SystemLook na tym ustawieniu co poprzednio oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
zager Opublikowano 4 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Dodaję logi: SystemLook 30.07.11 by jpshortstuff Log created at 20:57 on 04/07/2012 by MAR Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- All processes killed ========== FILES ========== C:\Windows\Installer\{50898e69-11f0-109d-2b8d-627e6a7f805b}\U folder moved successfully. C:\Windows\Installer\{50898e69-11f0-109d-2b8d-627e6a7f805b}\L folder moved successfully. C:\Windows\Installer\{50898e69-11f0-109d-2b8d-627e6a7f805b} folder moved successfully. C:\Users\MAR\AppData\Local\{50898e69-11f0-109d-2b8d-627e6a7f805b}\U folder moved successfully. C:\Users\MAR\AppData\Local\{50898e69-11f0-109d-2b8d-627e6a7f805b}\L folder moved successfully. C:\Users\MAR\AppData\Local\{50898e69-11f0-109d-2b8d-627e6a7f805b} folder moved successfully. ========== OTL ========== HKEY_USERS\S-1-5-21-625936793-1600890421-1951016998-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully! Registry key HKEY_USERS\S-1-5-21-625936793-1600890421-1951016998-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found. Registry key HKEY_USERS\S-1-5-21-625936793-1600890421-1951016998-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found. Prefs.js: "Web Search" removed from browser.search.defaultenginename Prefs.js: "Search the web (Babylon)" removed from browser.search.order.1 Prefs.js: "http://search.babylon.com/?affID=110819&tt=010611_def&babsrc=KW_ss&mntrId=285ba90d000000000000485b398bd051&q=" removed from keyword.URL C:\Users\MAR\AppData\Roaming\mozilla\Firefox\Profiles\w2sdvb33.default\extensions\vshare@toolbar\modules folder moved successfully. C:\Users\MAR\AppData\Roaming\mozilla\Firefox\Profiles\w2sdvb33.default\extensions\vshare@toolbar\locale\en-US folder moved successfully. C:\Users\MAR\AppData\Roaming\mozilla\Firefox\Profiles\w2sdvb33.default\extensions\vshare@toolbar\locale folder moved successfully. C:\Users\MAR\AppData\Roaming\mozilla\Firefox\Profiles\w2sdvb33.default\extensions\vshare@toolbar\components folder moved successfully. C:\Users\MAR\AppData\Roaming\mozilla\Firefox\Profiles\w2sdvb33.default\extensions\vshare@toolbar\chrome folder moved successfully. C:\Users\MAR\AppData\Roaming\mozilla\Firefox\Profiles\w2sdvb33.default\extensions\vshare@toolbar folder moved successfully. C:\Users\MAR\AppData\Roaming\Mozilla\Firefox\Profiles\w2sdvb33.default\searchplugins\startsear.xml moved successfully. C:\Users\MAR\AppData\Roaming\Mozilla\Firefox\Profiles\w2sdvb33.default\searchplugins\web-search.xml moved successfully. C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll moved successfully. C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml moved successfully. Registry value HKEY_USERS\S-1-5-21-625936793-1600890421-1951016998-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}\ deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NPSStartup deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: MAR ->Temp folder emptied: 1524295189 bytes ->Temporary Internet Files folder emptied: 1292033269 bytes ->Java cache emptied: 10527094 bytes ->FireFox cache emptied: 884207181 bytes ->Google Chrome cache emptied: 338793563 bytes ->Flash cache emptied: 174040 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 2986949253 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 46956709 bytes %systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 749 bytes RecycleBin emptied: 1056075001 bytes Total Files Cleaned = 7 763,00 mb OTL by OldTimer - Version 3.2.53.1 log created on 07042012_203108 Files\Folders moved on Reboot... C:\Users\MAR\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. File move failed. C:\Windows\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot. PendingFileRenameOperations files... File C:\Users\MAR\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found! [2012-07-04 20:38:55 | 000,000,000 | ---- | M] () C:\Windows\temp\_avast5_\Webshlock.txt : Unable to obtain MD5 Registry entries deleted on Reboot... FSS.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 4 Lipca 2012 Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Infekcja pomyślnie usunięta. Natomiast musisz jeszcze naprawić usunięte przez nią ważne usługi systemowe. 1. Odbuduj skasowane usługi (w instrukcjach omiń zbyteczne sfc /scannow): Rekonstrukcja usług Zapory systemu Windows(MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Po wykonaniu wszystkiego pokazujesz nowy log z FSS. Odnośnik do komentarza
zager Opublikowano 4 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Jak by było jeszcze coś nie tak z tymi zaporami to proszę aby ktoś mądry dał mi znać Sory za wszystko ale jestem cieniutki jeśli chodzi o obsługę komputera i dziękuję za pomoc pozdrawiam Jeszcze chciał bym zapytać czy mam swojego pendrive sformatować? bo uzywałem go na tym laptopie którego właśnie Wy mi "odwirusowaliście" i nie chciał bym go ponownie tak załatwić FSS.txt Odnośnik do komentarza
Landuss Opublikowano 4 Lipca 2012 Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Nie wykonałeś tego: Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK Pobierz to co ci podałem i otwórz w notatniku. Zapisz jako FIX.REG i Scal. Jak to wykonasz to oczywiście nowy log z FSS. Jeszcze chciał bym zapytać czy mam swojego pendrive sformatować? bo uzywałem go na tym laptopie którego właśnie Wy mi "odwirusowaliście" i nie chciał bym go ponownie tak załatwić Możesz być spokojny. To nie jest infekcja, która przenosi się przez pendrive Odnośnik do komentarza
zager Opublikowano 4 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Załączam plik: Jeszcze mam mały problem (nie wiem czy robię dobrze że piszę o tym tutaj ale ale to chyba ma jakiś zwiążek z tym wirusem bądź poprzednim miałem wirusa Seciurity Schield ale sam go wywaliłem w trybie awaryjnym po czym zostałjeszcze ten z którym się dzisiaj uporaliśmy) i od tamtego czasu zauważyłem że nie otwiera mi się Autocad- otwiera się takie szare tło po czym zaraz się zamyka) i to podobna sprawa jak chcę otwożyć plik *.jpeg to wyświetla napis że plik... nie mógł zostać otwarty) myśle że mogło to być spowodowane przez program hijack który zainstalowałem bezmyślnie i chciałem nim wywalać wirusy.. i mogło to sowodować to że CAD się nie uruchamia- doszedłem do pewnego postu na forum Cada że niektóre programy antywirusowe powodują to że on się nie otwiera teraz mam zainstalowanego tylko freeavast FSS.txt Odnośnik do komentarza
Landuss Opublikowano 4 Lipca 2012 Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Teraz mogą powiedzieć że jest dobrze i można kończyć. Do zrobienia na koniec poniższe kroki: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Wejdź w panel usuwania programów i odinstaluj następujące śmieci: Babylon toolbar on IE / Browsers Protector / StartSearch Toolbar 1.3 / vShare.tv plugin 1.3 Następnie przejedź system przez AdwCleaner z opcji Delete 4. Zaktualizuj system instalując Service Pack 1 oraz wymienione programy do najnowszych wersji: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java 6 Update 22 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1033-7646-A70000000000}" = Adobe Reader 7.0 Szczegóły: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
zager Opublikowano 5 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Zrobiłem wszystko tak jak wyżej napisane( oprócz tego vsharetv bo oglądam sport na internecie) przeinstalowałem autocada jeszcze raz ale nadal sam się wyłancza (nie mam pojęcia jak to naprawić) zdjęcia już się otwierają normalnie i po tym jak zainstalowałem CADA ponownie to wyskoczyło mi takie powiadomienie: że mam ROTKITA tutaj daję screena http://img204.images...5879/rotkit.jpg Nie mam zbyt wielu pomysłów co dalej z tym zrobić (jeżeli ktoś ma pomysł dlaczego ten cad się wyłancza to też prosił bym o podpowiedź - może nie jest związane z wirusem ale od tego czasu przestał działać a mam zarejestrowaną wersje edukacyjną i nmery seryjne ze strony autodesku wklepane) Odnośnik do komentarza
Landuss Opublikowano 5 Lipca 2012 Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Problem z Autocad to nie jest tematyka już do tego działu. Napisz w dziale Software. Ja tego programu nie znam więc nie pomogę. A to wykrycie Avasta to wygląda na fałszywy alarm, to nie jest żaden rootkit. Infekcja została tutaj w całości usunięta. Mnie chodzi głównie abyś potwierdził, że problem z svchost i services został rozwiązany i nie ma z tym problemów. Odnośnik do komentarza
zager Opublikowano 5 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Tak potwierdzam że porblem z services i z svchost już nie istnieje Dziękuje bardzo za fachową pomoc (uważam że to forum jest świetne) Odnośnik do komentarza
Rekomendowane odpowiedzi