gigi Opublikowano 5 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 5 Sierpnia 2012 Witam, od paru dni avast co chwilę pokazuje komunikat o zablokowaniu i przeniesieniu do kwareantanny trojana i rookita. Ponadto po każdym włączeniu laptopa zmienia mi się rozmiar ikon. Wrzucam log OTL i proszę o pomoc. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 5 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 5 Sierpnia 2012 Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. W logu obecnym tutaj jest infekcja ZeroAccess. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan. Odnośnik do komentarza
gigi Opublikowano 5 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Sierpnia 2012 Powyższa instrukcja wykonana. Załączam skan z SL i OTL Extras. SystemLook 30.07.11 by jpshortstuff Log created at 13:20 on 05/08/2012 by ASUS Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\ASUS\AppData\Local\{c5705496-cf3b-6adb-76fd-6170f657d6fc}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\erdnt\cache\services.exe --a---- 279040 bytes [15:46 31/07/2012] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\System32\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 5DC3C54FC22BBB6F66C290C7C0384DF9 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C -= EOF =- Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 5 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 5 Sierpnia 2012 1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wpisz: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SRTSPX.SYS -- (SRTSPX) DRV - File not found [File_System | System | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SRTSP.SYS -- (SRTSP) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS -- (NAVEX15) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS -- (NAVENG) :Files C:\Windows\Installer\{c5705496-cf3b-6adb-76fd-6170f657d6fc} C:\Users\ASUS\AppData\Local\{c5705496-cf3b-6adb-76fd-6170f657d6fc} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
gigi Opublikowano 5 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Sierpnia 2012 Wszystko wykonane oprócz loga SystemLook, gdyż po włączeniu ja klikam Look wyskakuje komunikat, czy musze coś tam wpisać i dopiero Look? Ale ikony już się nie zmnieniają i wirusy nie atakują. Wielkie dzięki i wielki pozytyw dla Ciebie. 08052012_140107 (OTL powykonaniu).txt OTL (scan).Txt FSS.txt Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Teraz musisz jeszcze odtworzyć skasowane przez infekcję usługi systemowe. 1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Po wykonaniu wszystkiego pokaż nowy log z FSS. Odnośnik do komentarza
gigi Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Za wcześnie się cieszyłem. Nie zdążyłem zrobić rekonstrukcji, i już od wczoraj wieczorem ponowny, ciągły atak. Wrzucam logi z dziś. OTL.Txt FSS.txt Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 To jeszcze z SystemLook zrób log tak jak poprzednim razem. Odnośnik do komentarza
gigi Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Zrobiłem zgodnie z zaleceniami posta 2. Dodam, że centrum zabezpieczeń nie działa. SystemLook 30.07.11 by jpshortstuff Log created at 19:50 on 06/08/2012 by ASUS Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\erdnt\cache\services.exe --a---- 279040 bytes [15:46 31/07/2012] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\System32\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 5DC3C54FC22BBB6F66C290C7C0384DF9 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\Installer\{c5705496-cf3b-6adb-76fd-6170f657d6fc} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 3. Po wykonaniu wszystkiego pokaż nowy log z FSS oraz z OTL. Odnośnik do komentarza
gigi Opublikowano 9 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 9 Sierpnia 2012 Doceniam Twoja pomoc, ale już nie mam sił do tego dziadostwa... Przeskanowałem gruntownie i osunąłem zagrożenia które avast wykrył (zrobiłem to w systemie awaryjnym) następnie chciałem odblokować skasowane usługi i przy rekonstrukcji zapory poległem, gdyż nie mogę zainstalować SetACL ponieważ wymagany jest Net frtamowork 4 client i jak instaluje to za każdym razem instalacja nie powiodła się. Teraz znowu avast blokuje jakieś zagrożenie (tyle że nie jest napisane że to Trojan czy robak). Wrzucam nowe logi. OTL.Txt FSS.txt Odnośnik do komentarza
Landuss Opublikowano 12 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2012 Punkt 1 niewykonany, powtarzaj ten skrypt. Z punktu drugiego "Rekonstrukcja usługi Aktualizacje automatyczne" niewykonane. Też powtarzaj. przy rekonstrukcji zapory poległem, gdyż nie mogę zainstalować SetACL ponieważ wymagany jest Net frtamowork 4 client i jak instaluje to za każdym razem instalacja nie powiodła się. Naprawę przez SetACL musisz wykonać bo inaczej nie uruchomisz Zapory Windows. Bez tego zadanie masz wykonane dopiero w połowie. Jaki masz błąd przy tym Frameworku? Odnośnik do komentarza
gigi Opublikowano 19 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 19 Sierpnia 2012 Przy instalacji pojawia się napis że instalacja nie powiodła się, to jest w okienku instalatora, żaden osobny komunikat się nie pojawia. Próbowałem kilka razy. Chyba się nie obejdzie z reinstalacją systemu. A jak wykonam naprawę systemu z płyty instalacyjnej to to powinno pomóc? Odnośnik do komentarza
picasso Opublikowano 21 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 21 Sierpnia 2012 (edytowane) Landuss On ma ZeroAccess patchujący services.exe. Patrz w SystemLook na sumę kontrolną: C:\Windows\System32\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 5DC3C54FC22BBB6F66C290C7C0384DF9 gigi następnie chciałem odblokować skasowane usługi i przy rekonstrukcji zapory poległem, gdyż nie mogę zainstalować SetACL ponieważ wymagany jest Net frtamowork 4 client i jak instaluje to za każdym razem instalacja nie powiodła się. 1. Ekhm, który Ty SetACL pobierasz? SetACL, o które nam chodzi, jest konsolowym bezinstalacyjnym programem, który nie ma żadnych zależności. Skoro Ty mówisz coś o jakiejś "instalacji" i to jeszcze z wymaganiami .NET Framework, wygląda na to, że pomyliłeś wersje i próbujesz instalować SetACL Studio. To nie ta wersja. Wchodzisz na stronę: KLIK. Pobierasz wersję: SetACL Administrators: Download the EXE version of SetACL 3.0.4 for 32-bit and 64-bit Windows. Wypakowujesz i przekopiujesz plik SetACL.exe do katalogu C:\Windows. Na razie nic nie odtwarzaj, bo infekcja jest czynna. 2. A co do niemożności instalacji .NET, przecież masz skoszone z rejestru usługi BITS + Windows Update. Nie odtworzyłeś ich jeszcze. Na chwilę obecną nie będą mogły się instalować żadne aktualizacje. 3. Temat o Wi-fi w innym dziale (na kija założyłeś go, skoro nie skończyłeś tu tematu = usuwam) dysponował nowszymi logami. One wykazały, że działania usuwające trojana nie zostały przeprowadzone. Plus to co mówię powyżej. Dopóki infekcja jest czynna, nie rozmyślaj nawet o innych rozwiązaniach. Infekcja musi zostać w pełni wyleczona. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Uruchom GrantPerms i w oknie wklej: C:\Windows\System32\%APPDATA% Klik w Unlock. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{c5705496-cf3b-6adb-76fd-6170f657d6fc} C:\Windows\System32\mrvcl32.exe C:\Windows\System32\%APPDATA% C:\Windows\msds.dat :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 4. Zrób nowy log z SystemLook na te same warunki co podane wcześniej + OTL z opcji Skanuj (bez Extras). . Edytowane 20 Września 2012 przez picasso 20.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi