Wirus Win64/patched.A

[drakull]

Witam,

 

Mam problem jak w temacie https://www.fixitpc.pl/topic/12303-wirus-win64patchedbgen-kon-trojanski/ z wirem, który ponoć mieści się w "windows32/services.exe".

 

Poczyniłem wstępne kroki jak tamtym temacie. Załączone.

 

Proszę o pomoc.

 

Pozdrawiam,

 

drakull

FSS-drakull.txt

SystemLook - drakull.txt

[picasso]

Zasady działu: KLIK. Wyraźnie napisane co się podaje jako obowiązkowe i by się nie wzorować na innych tematach. Skan w SystemLook nieodpowiedni (połowa już zbędna, bo logi z OTL to mają aktualnie). Proszę uzupełnić podstawy, czyli raporty z OTL.

 

 

 

.

[drakull]

Zrobione.

OTL.Txt

Extras.Txt

[picasso]

Przechodzimy do dezynfekcji:

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Jeśli padnie prośba o restart, wykonaj, by zatwierdzić leczenie pliku. Jeśli jednak w oknie zgłosi się jakiś błąd, STOP, nie przechodź do dalszych akcji i zgłoś się od razu na forum.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

netsh winsock reset

 

Zresetuj system w celu ukończenia resetu katalogu sieciowego.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\Installer\{b290b7d3-9445-6cb7-ebdd-d8d104ba6691}
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini
C:\Windows\SysWow64\%APPDATA%
C:\Windows\SysNative\SBRC.dat
C:\Windows\SysWow64\rp_stats.dat
C:\Windows\SysWow64\rp_rules.dat
C:\ProgramData\Ad-Aware Antivirus
C:\Users\win7\AppData\Roaming\Ad-Aware Antivirus
 
:OTL
IE - HKU\S-1-5-21-2175506463-520631935-600551449-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.claro-search.com/?q={searchTerms}&affID=116198&tt=4212_3&babsrc=SP_ss&mntrId=ea9c1fa90000000000006cf0495926ad"
O3 - HKU\S-1-5-21-2175506463-520631935-600551449-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4:64bit: - HKLM..\Run: [sBRegRebootCleaner] "C:\Program Files (x86)\Ad-Aware Antivirus\SBRC.exe" File not found
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"=-
"Search Bar"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Zrekonstruuj usunięte przez trojana usługi za pomocą narzędzia ServicesRepair.

 

5. Firefox zabrudzony adware, ale nie opłaca się go czyścić, bo to archaiczny Firefox 3.6.25, który czym prędzej powinien zostać usunięty (wersja bez wsparcia, brak łat bezpieczeństwa). Odinstaluj Firefox, a przy pytaniu czy usuwać dane użyytkownika odpowiedz twierdząco. Jeśli coś chcesz zachować z Firefoxa przed odinstalowaniem, to posłuż się MozBackup i zrób kopię tylko zakładek i haseł (nic więcej).

 

6. Następnie odinstaluj pakiet Mega Codec Pack. Na forum tu były tematy, w których ta dziwna paczka tworzyła problemy.

 

7. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner oraz SystemLook na warunek:

 

:filefind

services.exe

 

 

 

.

[drakull]

Wszystko wykonane według instrukcji. Załączam pliki.

 

SystemLook:

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 11:53 on 23/11/2012 by win7

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

 

Czy wszystko w porządku?

 

 

Serdecznie dziękuję za pomoc. Picasso, jesteś niesamowita! Wiwaty na cześć.

 

Pozdrawiam,

 

drakull

FSS.txt

OTL.Txt

[picasso]

Zostały jeszcze poprawki i wykończenie:

 

1. Firefox nie odinstalowany do końca. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files (x86)\mozilla firefox
 
:Reg
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. Resztę używanych narzędzi skasuj już ręcznie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216035FF}" = Java™ 6 Update 37
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Konnekt" = Konnekt
 
CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll

 

Odinstaluj mało użyteczny Spybot - Search & Destroy, stary Silverlight, Adobe Flash Player 11 Plugin Firefoxa, a Adobe Reader X zamień najnowszą wersją. Co do Konnekt = to archaiczne próchno ledwo obsługujące sieć Gadu, zainteresuj się nowoczesnym WTW, który już dawno przegonił Konnekta: KLIK.

 

5. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

.