Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Koń trojański desktop.ini

rppl

Przez rppl
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
rppl

rppl

Opublikowano
  • Autor
Opublikowano

w załączniku

 

faSystemLook 30.07.11 by jpshortstuff

Log created at 22:45 on 25/10/2012 by Robert

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] 50BEA589F7D7958BDD2528A8F69D05CC

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

FSS.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Tak, plik services.exe jest zainfekowany.

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Jeśli komenda nie zwróci błędu, zresetuj system w celu ukończenia naprawy pliku i przejdź do wykonania punktów poniżej. Jeśli jednak pojawi się tu błąd, STOP i nie wykonuj punktów poniżej, zgłoś się na forum i przedstaw co widzisz.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

netsh winsock reset

 

Zresetuj system w celu ukończenia naprawy.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\Installer\{e600c3c1-0bc3-3d51-58bb-009b8703e055}
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini
 
:OTL
O4 - HKU\S-1-5-21-632361275-743842631-3433195404-1001..\Run: [Netscape] C:\Users\Robert\AppData\Roaming\6CBB1F.exe (Adobe Systems, Inc.)
O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files (x86)\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found
O3 - HKU\S-1-5-21-632361275-743842631-3433195404-1001\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Odbuduj usunięte przez trojana usługi za pomocą automatu ServicesRepair.

 

5. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), SystemLook na ten sam warunek co poprzednio, Farbar Service Scanner.

 

 

 

.

Odnośnik do komentarza
rppl

rppl

Opublikowano
  • Autor
Opublikowano

załączam

 

czy juz wszystko ok ?

 

- - -

poprawiam OTL bo chyba źle zeskanowałem wtedy :)

 

SystemLook 30.07.11 by jpshortstuff

Log created at 23:52 on 25/10/2012 by Robert

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

FSS.txt

OTL.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Prawie wszystko poprawnie wykonane, główna infekcja ZeroAccess usunięta + szkody po niej naprawione. Niemniej w starcie nadal jest dodatkowy trojan, który się nie usunął:

 

O4 - HKU\S-1-5-21-632361275-743842631-3433195404-1001..\Run: [Netscape] C:\Users\Robert\AppData\Roaming\6CBB1F.exe (Adobe Systems, Inc.)

 

Wykonaj następujące działania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Robert\AppData\Roaming\6CBB1F.exe
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Netscape"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. W logu z usuwania się przypatrz czy na pewno wszystkie linie się przetworzyły.

 

2. Wyczyść po narzędziach: w OTL uruchom Sprzątanie, resztę narzędzi już dokasuj ręcznie, odinstaluj także zbędny McAfee Security Scan Plus.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Na zakończenie:

 

1. W Dzienniku zdarzeń występuje błąd WMI numer 10. Napraw narzędziem z KB2545227.

 

2. Zaktualizuj wtyczkę Silverlight: KLIK. Log przedstawia taką wersję w Twoim systemie:

 

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

3. Prewencyjnie zmień hasła logowania w serwisach.

 

 

a czy to Malwarebytes zostawić ? bo to jest wersja testowa

 

Skaner ten jak najbardziej można zostawić w systemie, do skanów okresowych robionych ręcznie. Testowa? Miałeś wybrać wersję darmową. Podczas pierwszego uruchomienia program pyta w jakim trybie ustawić pracę: trial z rezydentem czy wersja darmowa na żądanie.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...