Czez Opublikowano 17 Września 2012 Zgłoś Udostępnij Opublikowano 17 Września 2012 Witam, jestem noobem na tym forum więc piszę bezpośrednio o co chodzi. W folderze C:\Documents and Settings w folderze profilu użytkownika pojawił mi się plik o nazwie 0i763f66bz.exe z uwaga ikoną BANANA Oczywiście nie mogę go usunąć bo jest używany. Ani w trybie awaryjnym, ani z poziomu administratora. http://www.wklej.org/id/833805/txt/ OTL1.txt Odnośnik do komentarza
Landuss Opublikowano 19 Września 2012 Zgłoś Udostępnij Opublikowano 19 Września 2012 Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Dołącz ten log w następnym poście. Jeżeli chodzi o obecne raporty to masz dwa rootkity - Necurs + ZeroAccess: DRV - [2012-06-25 10:07:31 | 000,066,488 | ---- | M] () [unknown (-1) | Unknown (-1) | Unknown] -- C:\WINDOWS\System32\drivers\ed02486d47631ec1.sys -- (ed02486d47631ec1) [2004-08-04 14:00:00 | 000,002,048 | -HS- | C] () -- C:\WINDOWS\Installer\{ec847037-fbee-9b42-9e3b-57070b3043e3}\@ [2004-08-04 14:00:00 | 000,002,048 | -HS- | C] () -- C:\Documents and Settings\CZEZ\Local Settings\Application Data\{ec847037-fbee-9b42-9e3b-57070b3043e3}\@ 1. Uruchom Kaspersky TDSSKiller. Dla wyniku Rootkit.Win32.Necurs.gen kliknij Delete. Zresetuj system. Na C powstanie log z usuwania. 2. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s :filefind services.exe Klik w Look. 3. Przedstawiasz raporty z Kasperskyego i SystemLook oraz nowe z OTL + Gmer Odnośnik do komentarza
Czez Opublikowano 19 Września 2012 Autor Zgłoś Udostępnij Opublikowano 19 Września 2012 It's done. SystemLook 30.07.11 by jpshortstuff Log created at 10:20 on 19/09/2012 by CZEZ Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Documents and Settings\CZEZ\Local Settings\Application Data\{ec847037-fbee-9b42-9e3b-57070b3043e3}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="\\.\globalroot\systemroot\Installer\{ec847037-fbee-9b42-9e3b-57070b3043e3}\n." "ThreadingModel"="Both" ========== filefind ========== Searching for "services.exe" C:\WINDOWS\$hf_mig$\KB956572\SP2QFE\services.exe --a---- 110592 bytes [07:53 30/08/2011] [10:22 06/02/2009] 4712531AB7A01B7EE059853CA17D39BD C:\WINDOWS\$hf_mig$\KB956572\SP3GDR\services.exe --a---- 110592 bytes [07:53 30/08/2011] [11:11 06/02/2009] 65DF52F5B8B6E9BBD183505225C37315 C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a---- 110592 bytes [07:53 30/08/2011] [11:06 06/02/2009] 020CEAAEDC8EB655B6506B8C70D53BB6 C:\WINDOWS\$NtServicePackUninstall$\services.exe -----c- 110592 bytes [08:59 30/08/2011] [17:14 06/02/2009] 37561F8D4160D62DA86D24AE41FAE8DE C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 108544 bytes [09:08 30/08/2011] [00:12 14/04/2008] 0E776ED5F7CC9F94299E70461B7B8185 C:\WINDOWS\$NtUninstallKB956572_0$\services.exe -----c- 108032 bytes [08:48 30/08/2011] [12:00 04/08/2004] C6CE6EEC82F187615D1002BB3BB50ED4 C:\WINDOWS\ServicePackFiles\i386\services.exe ------- 108544 bytes [00:12 14/04/2008] [00:12 14/04/2008] 0E776ED5F7CC9F94299E70461B7B8185 C:\WINDOWS\system32\services.exe --a---- 110592 bytes [12:00 04/08/2004] [11:11 06/02/2009] 65DF52F5B8B6E9BBD183505225C37315 C:\WINDOWS\system32\dllcache\services.exe -----c- 110592 bytes [07:53 30/08/2011] [11:11 06/02/2009] 65DF52F5B8B6E9BBD183505225C37315 -= EOF =- gmer.txt TDSSKiller.2.8.10.0_19.09.2012_10.15.19_log.txt OTL2.txt Odnośnik do komentarza
Landuss Opublikowano 20 Września 2012 Zgłoś Udostępnij Opublikowano 20 Września 2012 1. Start > Uruchom > cmd i wklep kolejno te polecenia: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\CZEZ\0i763f66bz.exe C:\WINDOWS\Installer\{ec847037-fbee-9b42-9e3b-57070b3043e3} C:\Documents and Settings\CZEZ\Local Settings\Application Data\{ec847037-fbee-9b42-9e3b-57070b3043e3} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
Czez Opublikowano 20 Września 2012 Autor Zgłoś Udostępnij Opublikowano 20 Września 2012 Zrobione. Pliku już nie ma. Dziękuje bardzo za pomoc. Poniżej logi. Extras.Txt FSS.txt 09202012_123325.txt OTL3.txt Odnośnik do komentarza
Landuss Opublikowano 21 Września 2012 Zgłoś Udostępnij Opublikowano 21 Września 2012 Naprawić należy jeszcze dwie usługi systemowe, które naruszyła infekcja. 1. Wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000119c [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004" "445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005" "137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001" "138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 "DoNotAllowExceptions"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP"="1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007" "2869:TCP"="2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008" "139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004" "445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005" "137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001" "138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Po restarcie systemu pokaż nowy log z FSS. Odnośnik do komentarza
Czez Opublikowano 21 Września 2012 Autor Zgłoś Udostępnij Opublikowano 21 Września 2012 Dziękuje bardzo za pomoc. FSS.txt Odnośnik do komentarza
Landuss Opublikowano 21 Września 2012 Zgłoś Udostępnij Opublikowano 21 Września 2012 Teraz już wszystko jest jak powinno. Przejdź do zakończenia. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Czez Opublikowano 21 Września 2012 Autor Zgłoś Udostępnij Opublikowano 21 Września 2012 Zrobione.Ogromne dzięki za pomoc w rozwiązaniu problemu! Pozdrówki! Można zamknąć wątek. Odnośnik do komentarza
Rekomendowane odpowiedzi