Rietrikki Opublikowano 26 Października 2012 Zgłoś Udostępnij Opublikowano 26 Października 2012 Witam! Mój antywirus niedawno wykrył wirusa w services.exe. Nie da się go normalnie pozbyć, ponieważ po kliknięciu opcji skasuj, system nie startuje normalnie i muszę korzystać z przywracania systemu. Próbowałam znaleźć jakieś wskazówki pomagające mi rozwiązać mój problem, no ale nie udało się. Dlatego zwracam się do was z prośbą o pomoc. Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 26 Października 2012 Zgłoś Udostępnij Opublikowano 26 Października 2012 W systemie jest rootkit ZeroAccess. Wymagane dodatkowe skany: 1. Uruchom SystemLook x64 i do okna wklej: :filefind services.exe Klik w Look. 2. Podaj także log z Farbar Service Scanner. . Odnośnik do komentarza
Rietrikki Opublikowano 27 Października 2012 Autor Zgłoś Udostępnij Opublikowano 27 Października 2012 Dziękuję za zainteresowanie tematem. SystemLook 30.07.11 by jpshortstuff Log created at 16:40 on 27/10/2012 by Gabi Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] (Unable to calculate MD5) C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- FSS.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 Plik services.exe jest zablokowany, z pewnością jest też zmodyfikowany, mimo że SystemLook nie mógł obliczyć sumy kontrolnej. Log z Farbar Service Scanner przedstawia typowe dla tej infekcji ingerencje, czyli usunięte z systemu usługi Zapora systemu Windows, Centrum zabezpieczeń, Windows Defender i Windows Update. 1. Przejdź w Tryb awaryjny Windows. Uruchom GrantPerms x64 i w oknie wklej: C:\Windows\system32\services.exe Klik w Unlock. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system w celu zatwierdzenia naprawy pliku. Jeśli ujrzysz tu jakiś błąd, nie przechodź do poniższych czynności tylko od razu zgłoś się na forum. 3. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: netsh winsock reset Zresetuj system w celu zatwierdzenia naprawy Winsock. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{ecf9f612-c86b-eabc-bdd2-232166ed5f8d} C:\windows\assembly\GAC_32\Desktop.ini C:\windows\assembly\GAC_64\Desktop.ini C:\Users\Gabi\AppData\Roaming\mozilla\Firefox\Profiles\ztocq3ck.default\extensions\5029445da06c6@5029445da06ff.info C:\Users\Gabi\AppData\Roaming\mozilla\Firefox\Profiles\ztocq3ck.default\extensions\502ce13598a6e@502ce13598aa7.info C:\Users\Gabi\AppData\Roaming\mozilla\firefox\profiles\ztocq3ck.default\extensions\OneClickDownloader@OneClickDownloader.com.xpi C:\Users\Gabi\AppData\Roaming\mozilla\firefox\profiles\ztocq3ck.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml :OTL IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" IE - HKU\S-1-5-21-1937159359-964814735-4279634252-1004\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-1937159359-964814735-4279634252-1004\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" O2:64bit: - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~1\mcafee\msk\mskapbho.dll File not found O4 - HKU\S-1-5-21-1937159359-964814735-4279634252-1004..\Run: [{9346A5F8-38AB-AD41-F6C5-B165E9B99278}] C:\Users\Gabi\AppData\Roaming\Bujou\dyyve.exe File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Default_Search_URL"=- "Search Bar"=- "Search Page"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany 5. Odbuduj usunięte przez trojana ZeroAccess usługi za pomocą automatycznego narzędzia ServicesRepair. 6. Przez Panel sterowania odinstaluj adware DownloadnSave. Następnie wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Na koniec uruchom AdwCleaner i zastosuj Delete. 7. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), SystemLook na ten sam warunek co poprzednio oraz Farbar Service Scanner. Dołącz log, który utworzy AdwCleaner. . Odnośnik do komentarza
Rietrikki Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 Wszystko wykonane według wskazówek. SystemLook 30.07.11 by jpshortstuff Log created at 13:59 on 28/10/2012 by Gabi Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- FSS.txtPobieranie informacji ... AdwCleanerS1.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 Wszystko poprawnie usunięte, plik wyleczony, usługi odbudowane. Ale: nie wygląda na to, że zresetowałeś Firefox, ponieważ w logu nie ma na Pulpicie folderu "Stare dane Firefox" (tworzony przez reset), a AdwCleaner mieszał w pliku prefs.js (to nie miałoby miejsca po resecie). Chyba że są tu jakieś zafałszowania ... W każdym razie już tylko poprawki zostały i zmierzamy do finału. 1. Przez SHIFT+DEL dokasuj jeszcze ten odpadkowy folder po adware: C:\Users\Gabi\AppData\Roaming\SendSpace 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{C4E486E3-718F-49C6-A09C-CED611780A08}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0A7E5255-DC22-4F95-AFE3-7D234FBC90C5}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{C4E486E3-718F-49C6-A09C-CED611780A08}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik opcja Scal 3. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, a resztę już dokasuj ręcznie. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Zrób skanowanie w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
Rietrikki Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 W dniu 28.10.2012 o 13:40, picasso napisał(a): Ale: nie wygląda na to, że zresetowałeś Firefox, ponieważ w logu nie ma na Pulpicie folderu "Stare dane Firefox" (tworzony przez reset) Zrestartowałam Firefoxa więc nie wiem dlaczego ten folder na pulpicie się nie pojawił... Malwarebytes Anti-Malware wykrył 8 wirusów. mbam-log-2012-10-28 (17-07-50).txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 1. Wyniki MBAM: Rootkit.0Access to szczątek po naszym "przyjacielu", wszystkie obiekty w ProgramData też szkodniki, a za keygeny nie dam głowy. Przez SHIFT+DEL dokasuj w całości te foldery z dysku: C:\ProgramData\Codec C:\ProgramData\GBox C:\ProgramData\OptimizerPro1 2. Do aktualizacji cały Windows i wyliczone poniżej programy: KLIK. Twój log pokazuje, że brak SP1 + IE9 dla Windows 7 oraz są zainstalowane wersje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)"PROPLUS" = Microsoft Office Professional Plus 2007 ----> doinstaluj pakiet SP3 Adobe i Java odinstaluj przed montażem najnowszych wersji. 3. Prewencyjnie zmień hasła logowania w serwisach. . Odnośnik do komentarza
Rietrikki Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 Dziękuję za udzieloną pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi