adinek Opublikowano 21 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 21 Sierpnia 2012 Od paru dni zmagam się z przestawianiem przez system ikon na lewą stronę pulpitu. Czytając forum wyszło, że jest to najprawdopodobniej infekcja ZeroAccess. Załączam logi z OTL, z góry dziękuję za pomoc. Pozdrawiam, Adrian. Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 21 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 21 Sierpnia 2012 To na pewno sprawka ZeroAccess choć OTL nie pokazuje by ta infekcja była tutaj aktywna. Prawdopodobnie to kwestia szczątków w rejestrze i to trzeba sprawdzić za pomocą odpowiednich raportów uzupełniających. 1. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. 2. Wykonasz log z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
adinek Opublikowano 21 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 21 Sierpnia 2012 Załączam logi z wykonanych skanów: SystemLook 30.07.11 by jpshortstuff Log created at 19:34 on 21/08/2012 by Szostak Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="%SystemRoot%\system32\shell32.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [10:53 27/07/2012] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -= EOF =- FSS.txt Odnośnik do komentarza
Landuss Opublikowano 24 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2012 1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 3. Pokazujesz nowy log z FSS oraz z SystemLook. Odnośnik do komentarza
adinek Opublikowano 25 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2012 Wykonałem wszystkie podpunkty, poniżej logi: SystemLook 30.07.11 by jpshortstuff Log created at 15:31 on 25/08/2012 by Szostak Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [10:53 27/07/2012] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -= EOF =- FSS.txt Odnośnik do komentarza
Landuss Opublikowano 25 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2012 To teraz podstawowe pytanie - czy działa zapora systemowa? Odnośnik do komentarza
adinek Opublikowano 27 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2012 Rozumiem, że chodzi o coś więcej niż sprawdzenie w zakładce zapora systemu Windows jest włączona? Odnośnik do komentarza
picasso Opublikowano 28 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 1. Chodzi o zwyczajną ocenę statusu Zapory w Panelu sterowania. Ja sądzę, że z Zaporą jest już wszystko w porządku. W logu z Farbar Service Scanner brak jakichkolwiek adnotacji o defektach odbudowanych usług. Skoro nie mają stanu "Zatrzymane", jest to równoznaczne z tym że działają (czyli m.in. uprawnienia są odpowiednie). Z drugiej strony: obecny Avast Internet Security, który dysponuje własną zaporą. Aktualnie są na chodzie aż dwa firewalle. Wyłącz w Panelu sterowania Zaporę systemu Windows. 2. W logu są widzialne także pliki o wadliwej nazwie (nie skasujesz ich ręcznie, wypluje błąd braku pliku na dysku): File not found -- C:\Users\Szostak\Desktop\pet.rarFile not found -- C:\Users\Szostak\Desktop\pet(1).rarFile not found -- C:\Windows\System32\ Ten trzeci plik utworzył ZeroAccess, a wygląda on następująco (jakby w ogóle nie miał nazwy): Plik ZeroAccess skasujesz z poziomu linii komend. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej w oknie tę komendę (uwaga: przed zamknięciem " jest spacja) i ENTER: del "\\?\C:\Windows\System32\ " Natomiast pliki RAR na Pulpicie są niejasne dlaczego system ich nie widzi. Możesz je usunąć programem Delete FXP Files. . Odnośnik do komentarza
adinek Opublikowano 31 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 Plik usunąłem i wyłączyłem zaporę systemową. Na chwilę obecną wszystko działa jak powinno Wielkie dzięki za poświęcony czas. Odnośnik do komentarza
picasso Opublikowano 31 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 Na zakończenie: 1. Wyczyść foldery Przywracania systemu: KLIK. 2. Zaktualizuj podstawowe aplikacje: KLIK. Z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java 6 Update 29"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.3)"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Foxit Reader" = Foxit Reader"Gadu-Gadu" = Gadu-Gadu 7.7"Google Chrome" = Google Chrome"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl) Gadu-Gadu 7.7 też zakreślane ze względu na: brak pełnej obsługi własnej sieci + słabe zabezpieczenia (brak szyfrowania). Jako zastępstwo proponuję np. WTW: KLIK. 3. Prewencyjnie zmień hasła logowania w serwisach. . Odnośnik do komentarza
Rekomendowane odpowiedzi