gesio Opublikowano 22 Września 2012 Zgłoś Udostępnij Opublikowano 22 Września 2012 Witam, z tego co zauważyłem, to ten wirus jest popularny w internecie, więc proszę o pomoc. Wpadłem dzisiaj i chcialbym sie tego pozbyc jak najszybciej Prosiłbym tylko o dokładne wytłumaczenie jak pozbyć się tego wirusa raz na zawsze. problem mam dodatkowo taki ze uruchamiam kompa poprzez trybawaryjny z dostepem do internetu i nic nie moge zrobic nadal bo pokazuje mi sie na ekranie cale info o tym wirusie, nic nie moge zrobic, pomóżcie. Odnośnik do komentarza
Landuss Opublikowano 23 Września 2012 Zgłoś Udostępnij Opublikowano 23 Września 2012 To dziwne bo w trybie awaryjnym nie ma blokady tego wirusa. Spróbuj uruchomić Tryb awaryjny z obsługą Wiersza polecenia. Odnośnik do komentarza
gesio Opublikowano 23 Września 2012 Autor Zgłoś Udostępnij Opublikowano 23 Września 2012 a co dalej w wierszu polecenia zrobic? bo niebardzo wiem ;/ Odnośnik do komentarza
picasso Opublikowano 24 Września 2012 Zgłoś Udostępnij Opublikowano 24 Września 2012 Nasuwa się podejrzenie, że masz jeden z nowszych wariantów infekcji, uruchamiany przez wartość Shell (powłoka graficzna), dlatego Tryb awaryjny z Wierszem polecenia (nie ładuje powłoki graficznej) jest tu wyborem. W Wierszu polecenia należy uruchomić OTL, w celu zrobienia logów. OTL oczywiście musi być dostępny, czyli już na dysku twardym lub podpinasz pendrive z OTL, i wpisujesz w linii komend "pełna ścieżka dostępu do OTL.exe" i ENTER. . Odnośnik do komentarza
gesio Opublikowano 24 Września 2012 Autor Zgłoś Udostępnij Opublikowano 24 Września 2012 ale OTL otwieram poprzez notepad? bo tak juz mi ktos radzil i nie wiem... jestem lajkiem w te klocki a wiec prosilbym o dokladne info Odnośnik do komentarza
picasso Opublikowano 24 Września 2012 Zgłoś Udostępnij Opublikowano 24 Września 2012 Nie, przecież mówię: wpisujesz w linii komend "pełna ścieżka dostępu do OTL.exe" i ENTER A przez notepad to chyba mylisz sobie z instrukcją tworzenia loga z całkiem innego narzędzia, czyli FRST. W tamtej instrukcji notepad służy do podglądu mapowania dysków... . Odnośnik do komentarza
gesio Opublikowano 24 Września 2012 Autor Zgłoś Udostępnij Opublikowano 24 Września 2012 oto moje Logi z OTLa prosiłbym o pomoc ... OTL.Txt Odnośnik do komentarza
picasso Opublikowano 24 Września 2012 Zgłoś Udostępnij Opublikowano 24 Września 2012 To nie jest cały log, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Prócz Ukash jest tu też infekcja ZeroAccess... 1. W linii poleceń Trybu awaryjnego wpisz C:\Windows\regedit.exe i ENTER. W edytorze rejestru z prawokliku skasuj ten klucz: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{9419c80a-8d07-0e3c-6be6-3e5593c297e1} C:\Users\Mateusz\AppData\Local\{9419c80a-8d07-0e3c-6be6-3e5593c297e1} C:\Users\Mateusz\AppData\Roaming\msconfig.dat C:\Users\Mateusz\AppData\Roaming\msconfig.ini C:\Users\Mateusz\AppData\Local\Temp*.html C:\Users\Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\ye71ryni.default\searchplugins\askcom.xml C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{D37D07FF-7764-4592-993C-3970AA5A9850}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, blokada zniknie i już działasz w Trybie normalnym Windows: 3. Przez Panel sterowania odinstaluj adware Ask Toolbar, DAEMON Tools Toolbar, Winamp Toolbar. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras) + Farbar Service Scanner. Dołącz log z usuwania AdwCleaner z punktu 4. . Odnośnik do komentarza
gesio Opublikowano 24 Września 2012 Autor Zgłoś Udostępnij Opublikowano 24 Września 2012 zrobic to EXTRAS ? czy wklejac tak jak mi zrobiles? Odnośnik do komentarza
picasso Opublikowano 24 Września 2012 Zgłoś Udostępnij Opublikowano 24 Września 2012 Apropos "zrobiłeś" = jestem kobietą. I wyraźnie masz podaną kolejność działań. Log Extras robisz w punkcie 5... Odnośnik do komentarza
gesio Opublikowano 24 Września 2012 Autor Zgłoś Udostępnij Opublikowano 24 Września 2012 logi z OTLa oraz z adwcleaner z góry dziekuje za pomoc w mojej sprawie. OTL.txt Extras.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 24 Września 2012 Zgłoś Udostępnij Opublikowano 24 Września 2012 Nie wszystko zostało wykonane. Na dysku nadal jest jeden z folderów ZeroAccess, ujawniły się też kolejne obiekty. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{9419c80a-8d07-0e3c-6be6-3e5593c297e1} C:\Users\Mateusz\AppData\Roaming\Asrea C:\Users\Mateusz\AppData\Roaming\Biqi C:\Users\Mateusz\AppData\Roaming\Buins C:\Users\Mateusz\AppData\Roaming\Guigvi C:\Users\Mateusz\AppData\Roaming\Hudi C:\Users\Mateusz\AppData\Roaming\Idcayf C:\Users\Mateusz\AppData\Roaming\Iga C:\Users\Mateusz\AppData\Roaming\Lyxau C:\Users\Mateusz\AppData\Roaming\Orum C:\Users\Mateusz\AppData\Roaming\Ovbey C:\Users\Mateusz\AppData\Roaming\Owydygl C:\Users\Mateusz\AppData\Roaming\PowerMgr C:\Users\Mateusz\AppData\Roaming\Suefd C:\Users\Mateusz\AppData\Roaming\Tec C:\Users\Mateusz\AppData\Roaming\Toano C:\Users\Mateusz\AppData\Roaming\Ula C:\Users\Mateusz\AppData\Roaming\2mgydwucphakhlfboj31gqqisbdjyyn2 C:\Users\Mateusz\AppData\Roaming\gpgr3tuw1rovvohgtuqjtorh1zfyky12 C:\Users\Mateusz\AppData\Roaming\izohmlqfrwcfhnyxipob3zkymdjjxiu2 C:\Users\Mateusz\AppData\Roaming\rgf1wupptrh1ykjggijlx3nhuhpdz2u2 C:\Users\Mateusz\AppData\Roaming\x1dwjzx3fmlmdcgdhxqjsxix1gfb3brv2 C:\Users\Mateusz\AppData\Roaming\x1yemjmbittvo2coy3zojbuyvapnltht2 C:\Users\Mateusz\AppData\Roaming\x2b1eeaesxnwodreitmco1kpxykkcr3k2 C:\Users\Mateusz\AppData\Roaming\x2o2fjssmq3egrgugxqthlcpgqv1ekbn2 C:\Users\Mateusz\AppData\Roaming\x2ufjokqsiq2tpmyogd2uxkfzsmgr2zh2 C:\Users\Mateusz\AppData\Roaming\x3cwpffxzjbnvaypgez1tmrpm3ai2bjj C:\Users\Mateusz\AppData\Roaming\xaclexlhwwuvhwj3zy3uaibffglnnprj2 C:\Users\Mateusz\AppData\Roaming\xbgxjmkogz1bghgpbxi33o1kxzxklny32 C:\Users\Mateusz\AppData\Roaming\xcecxjnwmy3nxujnegmqsaxvgofyvxp12 C:\Users\Mateusz\AppData\Roaming\xdrqlvxhdafqncpihojfcrttganpthfn2 C:\Users\Mateusz\AppData\Roaming\xdw2cocxaumx3dupojrvrpvqnvpf1zlm2 C:\Users\Mateusz\AppData\Roaming\xflu3ewb2zagfms2lwv2xarjezuhwrfq2 C:\Users\Mateusz\AppData\Roaming\xfvxficauni3ynztxcoszta2vglljlmg2 C:\Users\Mateusz\AppData\Roaming\xgclxnyhlljrasqajg3yruenbjbfcizh2 C:\Users\Mateusz\AppData\Roaming\xgpekyqof32yyixcabt1f3oe2warizfu2 C:\Users\Mateusz\AppData\Roaming\xgtezdd1idbzruhl3fzixe3udvqdutag2 C:\Users\Mateusz\AppData\Roaming\xgztwcsoabsu312iemlrsdsntiutriht2 C:\Users\Mateusz\AppData\Roaming\xhgqcwry33tqxjrmfrocm1ebmhmkrk1q2 C:\Users\Mateusz\AppData\Roaming\xi3e22cbn2sqv3qggnuloz3lxw3tn2k32 C:\Users\Mateusz\AppData\Roaming\xiljkjxfzgtpuntwhfuy3uazouimuyjq2 C:\Users\Mateusz\AppData\Roaming\xitc3k2rfjmvwagkglhrdqnbuhikslma2 C:\Users\Mateusz\AppData\Roaming\xjdnengwrnpkcslapp2gtooixfvkuxbk2 C:\Users\Mateusz\AppData\Roaming\xjfi1ua3emjupc2fvobu1uuf2uvw1jzk2 C:\Users\Mateusz\AppData\Roaming\xlntmhwbyml2bjqahvsocfvyesyaw1au2 C:\Users\Mateusz\AppData\Roaming\xlsnisiryfnwsng113vd1azelzrryvev2 C:\Users\Mateusz\AppData\Roaming\xoelrmtooatddryaxjnssfxugebxzngc2 C:\Users\Mateusz\AppData\Roaming\xrbyfjfenbuunauuuahoeltufmjmvdqy2 C:\Users\Mateusz\AppData\Roaming\xrcedrffyfskhwrbehvxhxppeuer1rd12 C:\Users\Mateusz\AppData\Roaming\xrhhkutjlsvrnvtrunrxfnk32xah2jsy2 C:\Users\Mateusz\AppData\Roaming\xrhj1d2gc2jlj21nkm3tzoyuacdvydza2 C:\Users\Mateusz\AppData\Roaming\xroszfnegqjeq2qfwwvajqonsujkb2m12 C:\Users\Mateusz\AppData\Roaming\xt3pfspxssoeudaor3nacejwybwgeoj12 C:\Users\Mateusz\AppData\Roaming\xtcfd2oeumpnkomm11abj2voeaqrpzxj2 C:\Users\Mateusz\AppData\Roaming\xugyhipz2upkul1i1nckk2awczvjvo2h2 C:\Users\Mateusz\AppData\Roaming\xwngtcoc2cc33jtfneqpe2etwnmwbkb32 C:\Users\Mateusz\AppData\Roaming\xx2ey11tp3mbtqjqxfeafrswp22mrg2u2 C:\Users\Mateusz\AppData\Roaming\xxgtozctrbuasuslqvsncame1bharxto2 C:\Users\Mateusz\AppData\Roaming\xxtlfrdkxh2vilp2bbqqefvruxqrwnrz2 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Nowy skan z OTL nie jest potrzebny. Przedstaw tylko log z wynikami usuwania OTL z punktu 1. Log ten będzie nagrany w katalogu H:\_OTL. Odnośnik do komentarza
gesio Opublikowano 24 Września 2012 Autor Zgłoś Udostępnij Opublikowano 24 Września 2012 oto log... http://wklej.to/Z7LZE wszystko dobrze? tak jak powinno byc? Odnośnik do komentarza
picasso Opublikowano 24 Września 2012 Zgłoś Udostępnij Opublikowano 24 Września 2012 Jest tu problem z usunięciem tego katalogu, po raz drugi: ========== FILES ==========C:\Windows\Installer\{9419c80a-8d07-0e3c-6be6-3e5593c297e1}\U folder moved successfully.Folder move failed. C:\Windows\Installer\{9419c80a-8d07-0e3c-6be6-3e5593c297e1} scheduled to be moved on reboot. 1. Uruchom GrantPerms x64, w oknie wklej: C:\Windows\Installer\{9419c80a-8d07-0e3c-6be6-3e5593c297e1} Klik w Unlock. 2. Spróbuj przez SHIFT+DEL skasować z dysku katalog C:\Windows\Installer\{9419c80a-8d07-0e3c-6be6-3e5593c297e1}. . Odnośnik do komentarza
gesio Opublikowano 24 Września 2012 Autor Zgłoś Udostępnij Opublikowano 24 Września 2012 Jestem na C:\Windows ale nie widze nigdzie Installer ...? Odnośnik do komentarza
picasso Opublikowano 24 Września 2012 Zgłoś Udostępnij Opublikowano 24 Września 2012 Należy mieć prawidłowo ustawione opcje widokowe, by to widzieć: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. . Odnośnik do komentarza
gesio Opublikowano 24 Września 2012 Autor Zgłoś Udostępnij Opublikowano 24 Września 2012 nie moge usunac gdyz mam cos takiego, i mimo klikania to pojawia sie na nowo... Odnośnik do komentarza
picasso Opublikowano 24 Września 2012 Zgłoś Udostępnij Opublikowano 24 Września 2012 Podaj mi skan na wersje systemowego pliku services.exe, być może tu były aż dwa warianty ZeroAccess skombinowane ze sobą. Uruchom SystemLook x64 i w oknie wklej: :filefind services.exe Klik w Look. Przedstaw wynikowy log. Krótki = wklej wprost do posta. . Odnośnik do komentarza
gesio Opublikowano 24 Września 2012 Autor Zgłoś Udostępnij Opublikowano 24 Września 2012 Log ... SystemLook 30.07.11 by jpshortstuff Log created at 23:57 on 24/09/2012 by Mateusz Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] (Unable to calculate MD5) C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- Odnośnik do komentarza
picasso Opublikowano 24 Września 2012 Zgłoś Udostępnij Opublikowano 24 Września 2012 Plik systemowy services.exe wygląda na zainfekowany. Ma lock (SystemLook nie był zdolny obliczyć sumy kontrolnej). 1. Wejdź w Tryb awaryjny Windows. Uruchom GrantPerms x64 i w oknie wklej: C:\Windows\System32\services.exe Klik w Unlock. 2. Start > w polu szukania wpisz cmd > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system, by dokończyć leczenie pliku. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{9419c80a-8d07-0e3c-6be6-3e5593c297e1} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 4. Pokaż log z wynikami usuwania OTL + zrób nowy log SystemLook na te same warunki co podałam wcześniej. I zapomniałeś mi wcześniej dostarczyć log z Farbar Service Scanner. . Odnośnik do komentarza
gesio Opublikowano 24 Września 2012 Autor Zgłoś Udostępnij Opublikowano 24 Września 2012 SystemLook 30.07.11 by jpshortstuff Log created at 00:20 on 25/09/2012 by Mateusz Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- otl.txt Odnośnik do komentarza
picasso Opublikowano 24 Września 2012 Zgłoś Udostępnij Opublikowano 24 Września 2012 Plik wyleczony, folder ZeroAccess usunięty. Ale to nie koniec. Konsekwentnie brakuje raportu z Farbar Service Scanner (prosiłam o niego już dwa razy). Raport ten jest niezbędny, by stwierdzić ile usług Windows trojan ZeroAccess skasował z rejestru. Robota jeszcze przed nami... . Odnośnik do komentarza
gesio Opublikowano 24 Września 2012 Autor Zgłoś Udostępnij Opublikowano 24 Września 2012 o tym mowa...? Odnośnik do komentarza
picasso Opublikowano 24 Września 2012 Zgłoś Udostępnij Opublikowano 24 Września 2012 Nie, to OTL, usuwam te wadliwe załączniki. Przecież mówię wyraźnie: chodzi o program Farbar Service Scanner. Jest tam w temacie, w pierwszym poście w sekcji "Diagnostyka dodatkowa - Tylko na prośbę moderatora" kliknij w link ... Odnośnik do komentarza
gesio Opublikowano 25 Września 2012 Autor Zgłoś Udostępnij Opublikowano 25 Września 2012 Log FSS FSS.txt Odnośnik do komentarza
Rekomendowane odpowiedzi