LivE Security Platinum u mnie też, proszę o pomoc

[czarna]

Mojego netbooka tez zaatakował ten wirus i widzę, że jest "w modzie"...

Myslałam by dac sprzet do informatyka, ale jak dzwonilam w pare miejsc to nie znaja za bardzo tematu LSP...

 

Ogólnie jestem uzytkownikiem bardziej internetu i wybranych programów i słabo łapię o co tu chodzi, ale udało mi się zrobić OTL,po uprzednim doedukowaniu się, ktore wklejam.

 

Bardzo proszę o pomoc i intrukcje co dalej, tak by taka "ciemna masa" w tych tematach czyli ja, zrozumiala i zrobiła wszystko poprawnie....

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

[Conor29134]

czarna u ciebie jest ciężko.

wpis

O20 - HKLM Winlogon: UserInit - (C:\windows\system32\MPK\mpk.exe) - C:\Windows\System32\MPK\MPK.exe ()

 

To jest keylogger. Jeżeli sama używasz i zainstalowałaś to może sobie być.

 

 

Do tego zeroaccess

[2012-07-27 21:10:49 | 000,019,968 | ---- | C] () -- C:\windows\Installer\{88aca87d-e33f-ddd3-30a4-d192c2f64c21}\U\800000cb.@
[2012-07-27 21:10:25 | 000,013,312 | ---- | C] () -- C:\windows\Installer\{88aca87d-e33f-ddd3-30a4-d192c2f64c21}\U\80000000.@
[2012-07-27 21:10:23 | 000,001,712 | ---- | C] () -- C:\windows\Installer\{88aca87d-e33f-ddd3-30a4-d192c2f64c21}\U\00000001.@

 

Ja tu ci nie pomogę ale zalece ci skan dodatkowy na punkty ładowania zeroaccess-a na pewno te wskazówki nakierują trochę specjalistów

 

Pobierz system look

 

http://jpshortstuff.247fixes.com/SystemLook.exe

 

W okienko wklej

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

:filefind
services.exe

 

Kliknij look i pokaż raport

[czarna]

zaczynam sie bac tego zeroaccessa...

 

ciekawi mnie czy tego platinum widac? bo ja przedwczoraj wieczorem zaatakował i nic nie szło na netbooku zrobic tak jak na drugim kompie poczytałam fora itp to jak dzis odpaliłam by sprobowac zrobić OTL to wszystko działa...ciekawa jestem czemu tak i gdzie jest haczyk...

 

a o to co systemlook wygenerował...

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 21:01 on 29/07/2012 by Dorota

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Users\Dorota\AppData\Local\{88aca87d-e33f-ddd3-30a4-d192c2f64c21}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] A302BBFF2A7278C0E239EE5D471D86A9

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

 

-= EOF =-

[Landuss]

@Conor29134 czy ty aby nie przeginasz? Wyraźnie w zasadach jest napisane by nie wyręczać nas Moderatorów pod naszą nieobecność.

 

@czarna wykonuj poniższe kroki:

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\System32\services.exe

 

Zresetuj system.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={0EC081FB-EC51-48D3-8B77-4F513A1ABC94}"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=100482-T1&babsrc=HP_ss&mntrId=a26a8d37000000000000000000000000"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482-T1&babsrc=SP_ss&mntrId=a26a8d37000000000000000000000000"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={0EC081FB-EC51-48D3-8B77-4F513A1ABC94}"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q="
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.babylon.com/?AF=100482-T1&babsrc=adbartrp&mntrId=a26a8d37000000000000000000000000&q="
[2012-02-05 21:27:29 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Dorota\AppData\Roaming\mozilla\Firefox\Profiles\vm9oc0ra.default\extensions\ffxtlbr@babylon.com
[2012-03-07 20:34:36 | 000,004,030 | ---- | M] () -- C:\Users\Dorota\AppData\Roaming\Mozilla\Firefox\Profiles\vm9oc0ra.default\searchplugins\sweetim.xml
[2012-02-05 21:27:19 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [EeeSplendidAgent] C:\Program Files\ASUS\EPC\EeeSplendid\AsAgent.exe File not found
 
:Files
C:\windows\System32\%APPDATA%
C:\ProgramData\6C82D12802983D318D468D954F147CE7
C:\windows\Installer\{88aca87d-e33f-ddd3-30a4-d192c2f64c21}
C:\Users\Dorota\AppData\Local\{88aca87d-e33f-ddd3-30a4-d192c2f64c21}
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Uruchom AdwCleaner z opcji Delete

 

5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

[czarna]

troszkę to trwało ale chyba wszystko zrobione....mam nadzieję, że efekt bedzie pozytywny...

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 19:07 on 30/07/2012 by Dorota

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

 

-= EOF =-

FSS.txtPobieranie informacji ...

AdwCleanerS1.txtPobieranie informacji ...

[Landuss]

Efekt jak najbardziej pozytywny, ale teraz trzeba naprawić wszystkie usunięte ważne usługi przez tą infekcję. Ona ma to właśnie do siebie, że na systemach Vista/7 robi duże szkody.

 

1. Odbuduj skasowane usługi omijając polecenie sfc /scannow:

• Rekonstrukcja usług Zapory systemu Windows (MpSvc + bfe + SharedAccess): KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  
• Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK
  

2. Pokazujesz nowy log z FSS oraz nowy z OTL z opcji Skanuj.

Edytowane 31 Sierpnia 2012 przez picasso
31.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso