czarna Opublikowano 29 Lipca 2012 Zgłoś Udostępnij Opublikowano 29 Lipca 2012 Mojego netbooka tez zaatakował ten wirus i widzę, że jest "w modzie"... Myslałam by dac sprzet do informatyka, ale jak dzwonilam w pare miejsc to nie znaja za bardzo tematu LSP... Ogólnie jestem uzytkownikiem bardziej internetu i wybranych programów i słabo łapię o co tu chodzi, ale udało mi się zrobić OTL,po uprzednim doedukowaniu się, ktore wklejam. Bardzo proszę o pomoc i intrukcje co dalej, tak by taka "ciemna masa" w tych tematach czyli ja, zrozumiala i zrobiła wszystko poprawnie.... OTL.Txt Extras.Txt Odnośnik do komentarza
Conor29134 Opublikowano 29 Lipca 2012 Zgłoś Udostępnij Opublikowano 29 Lipca 2012 czarna u ciebie jest ciężko. wpis O20 - HKLM Winlogon: UserInit - (C:\windows\system32\MPK\mpk.exe) - C:\Windows\System32\MPK\MPK.exe () To jest keylogger. Jeżeli sama używasz i zainstalowałaś to może sobie być. Do tego zeroaccess [2012-07-27 21:10:49 | 000,019,968 | ---- | C] () -- C:\windows\Installer\{88aca87d-e33f-ddd3-30a4-d192c2f64c21}\U\800000cb.@ [2012-07-27 21:10:25 | 000,013,312 | ---- | C] () -- C:\windows\Installer\{88aca87d-e33f-ddd3-30a4-d192c2f64c21}\U\80000000.@ [2012-07-27 21:10:23 | 000,001,712 | ---- | C] () -- C:\windows\Installer\{88aca87d-e33f-ddd3-30a4-d192c2f64c21}\U\00000001.@ Ja tu ci nie pomogę ale zalece ci skan dodatkowy na punkty ładowania zeroaccess-a na pewno te wskazówki nakierują trochę specjalistów Pobierz system look http://jpshortstuff.247fixes.com/SystemLook.exe W okienko wklej :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Kliknij look i pokaż raport Odnośnik do komentarza
czarna Opublikowano 29 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Lipca 2012 zaczynam sie bac tego zeroaccessa... ciekawi mnie czy tego platinum widac? bo ja przedwczoraj wieczorem zaatakował i nic nie szło na netbooku zrobic tak jak na drugim kompie poczytałam fora itp to jak dzis odpaliłam by sprobowac zrobić OTL to wszystko działa...ciekawa jestem czemu tak i gdzie jest haczyk... a o to co systemlook wygenerował... SystemLook 30.07.11 by jpshortstuff Log created at 21:01 on 29/07/2012 by Dorota Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Dorota\AppData\Local\{88aca87d-e33f-ddd3-30a4-d192c2f64c21}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] A302BBFF2A7278C0E239EE5D471D86A9 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 29 Lipca 2012 Zgłoś Udostępnij Opublikowano 29 Lipca 2012 @Conor29134 czy ty aby nie przeginasz? Wyraźnie w zasadach jest napisane by nie wyręczać nas Moderatorów pod naszą nieobecność. @czarna wykonuj poniższe kroki: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\System32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={0EC081FB-EC51-48D3-8B77-4F513A1ABC94}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=100482-T1&babsrc=HP_ss&mntrId=a26a8d37000000000000000000000000" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482-T1&babsrc=SP_ss&mntrId=a26a8d37000000000000000000000000" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={0EC081FB-EC51-48D3-8B77-4F513A1ABC94}" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.babylon.com/?AF=100482-T1&babsrc=adbartrp&mntrId=a26a8d37000000000000000000000000&q=" [2012-02-05 21:27:29 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Dorota\AppData\Roaming\mozilla\Firefox\Profiles\vm9oc0ra.default\extensions\ffxtlbr@babylon.com [2012-03-07 20:34:36 | 000,004,030 | ---- | M] () -- C:\Users\Dorota\AppData\Roaming\Mozilla\Firefox\Profiles\vm9oc0ra.default\searchplugins\sweetim.xml [2012-02-05 21:27:19 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [EeeSplendidAgent] C:\Program Files\ASUS\EPC\EeeSplendid\AsAgent.exe File not found :Files C:\windows\System32\%APPDATA% C:\ProgramData\6C82D12802983D318D468D954F147CE7 C:\windows\Installer\{88aca87d-e33f-ddd3-30a4-d192c2f64c21} C:\Users\Dorota\AppData\Local\{88aca87d-e33f-ddd3-30a4-d192c2f64c21} :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
czarna Opublikowano 30 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 30 Lipca 2012 troszkę to trwało ale chyba wszystko zrobione....mam nadzieję, że efekt bedzie pozytywny... SystemLook 30.07.11 by jpshortstuff Log created at 19:07 on 30/07/2012 by Dorota Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -= EOF =- FSS.txt AdwCleanerS1.txt Odnośnik do komentarza
Landuss Opublikowano 31 Lipca 2012 Zgłoś Udostępnij Opublikowano 31 Lipca 2012 (edytowane) Efekt jak najbardziej pozytywny, ale teraz trzeba naprawić wszystkie usunięte ważne usługi przez tą infekcję. Ona ma to właśnie do siebie, że na systemach Vista/7 robi duże szkody. 1. Odbuduj skasowane usługi omijając polecenie sfc /scannow: Rekonstrukcja usług Zapory systemu Windows (MpSvc + bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Pokazujesz nowy log z FSS oraz nowy z OTL z opcji Skanuj. Edytowane 31 Sierpnia 2012 przez picasso 31.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi