Lofi Opublikowano 25 Listopada 2012 Zgłoś Udostępnij Opublikowano 25 Listopada 2012 Witam Serdecznie W dniu dzisiejszym od kilku godzin Esset pokazuje mi co jakiś czas wykryte zagrożenia Conedex.C, Conedex.A, ConedexSirefef.AW i Agent.BA. wszystko w pliku services.exe Esset nie potrafi usunąć zagrożenia, program tdskiller znajduje lecz nie może usunąć zagrożenia (także w trybie awaryjnym), Malwarebytes anti-malware coś znajduje i niby usówa. W programie Gmer mogę zrobić skan tylko Usługi, rejestr, pliki w których nic nie znajduje. Prawdopodobnie ten syf dostał się kiedy mój syn instalował jakąś grę. Prosze o pomoc jak się tego pozbyć bo to pierwszy przypadek z którym sam sobie nie mogę poradzić OTL.Txt Extras.Txt tdsskiller.txt mbam-log-2012-11-25 (21-26-33).txt Odnośnik do komentarza
Landuss Opublikowano 26 Listopada 2012 Zgłoś Udostępnij Opublikowano 26 Listopada 2012 Użyty był tutaj Kaspersky TDSSKiller, który twierdzi że naprawił plik services.exe, ale aby to sprawdzić potrzebne będą dodatkowe raporty. 1. Uruchom SystemLook x64 i do okna wklej: :filefind services.exe Klik w Look i przedstaw wynikowy raport. 2. Wykonaj nowe logi z OTL oraz log z Farbar Service Scanner Odnośnik do komentarza
Lofi Opublikowano 26 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 26 Listopada 2012 TDSSKiller raczej nic nie usunął bo ESSET co chwila pokazuje znalezione zagrożenia jednak teraz głównie Agent.BA Wstawiam logi przed momentem robione SystemLook 30.07.11 by jpshortstuff Log created at 10:01 on 26/11/2012 by Lofi Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] (Unable to calculate MD5) C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- FSS.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 27 Listopada 2012 Zgłoś Udostępnij Opublikowano 27 Listopada 2012 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\System32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę netsh winsock reset Zrestartuj system. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\Msg.exe C:\Windows\SysWow64\%APPDATA% C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\Windows\Installer\{51088354-b678-a861-4771-073bc976a818} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchom narzędzie ServicesRepair w celu naprawienia usług systemowych. 5. Pokazujesz nowy log z OTL, z FSS oraz z SystemLook na tych samych warunkach co wcześniej. Odnośnik do komentarza
Lofi Opublikowano 27 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2012 Właśnie wykonałem wszystko jak w instrukcji i wygląda że wszystko jest jak należy. Dane poniżej SystemLook 30.07.11 by jpshortstuff Log created at 21:00 on 27/11/2012 by Lofi Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- FSS.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 27 Listopada 2012 Zgłoś Udostępnij Opublikowano 27 Listopada 2012 Infekcja całkowicie usunięta. Teraz weźmiemy się za mniej ważne śmieci do usuwania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=3e0b56c8-ef70-4b10-90bb-4e6545d083bb&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=3e0b56c8-ef70-4b10-90bb-4e6545d083bb&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=3e0b56c8-ef70-4b10-90bb-4e6545d083bb&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://feed.helperbar.com/?publisher=opencandy&dpid=opencandyapril&co=pl&userid=3e0b56c8-ef70-4b10-90bb-4e6545d083bb&affid=110774&searchtype=hp&babsrc=lnkry_nt" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=3e0b56c8-ef70-4b10-90bb-4e6545d083bb&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=3e0b56c8-ef70-4b10-90bb-4e6545d083bb&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=3e0b56c8-ef70-4b10-90bb-4e6545d083bb&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=111366&tt=060612_5_&babsrc=SP_ss&mntrId=0201e23e0000000000001c6f658451ab" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=GLSV5&o=10168&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=GL&apn_dtid=YYYYYYYYPL&apn_uid=D79960B1-3843-4B2F-8961-6E084F8E85F3&apn_sauid=93487011-E138-4B81-B7A4-4E4BCA1AB49A" IE - HKCU\..\SearchScopes\{5F970FDE-702B-4ef9-920C-5F2848A5AF26}: "URL" = "http://www.astroburn-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{EBA36522-0CF7-425F-8890-1DD1062E9074}: "URL" = "http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc=" O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O4 - HKLM..\RunOnceEx: [] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: uTorrentBar Toolbar Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
Lofi Opublikowano 28 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2012 Wszystko wykonane jak na instrukcji. System ładnie śmiga jednak zaczyna mnie przerażać niewielki brak wiedzy odnośnie zabezpieczeń własnego komputera. 99% użytkowników nie ma pojęcia o tym jak to robić, a ja sam myślałem że nie jest z moją wiedza na ten temat tak źle. Jednak jak widzę ta wiedza jest dla bardzo zaawansowanych. Wynik OTL poniżej OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 28 Listopada 2012 Zgłoś Udostępnij Opublikowano 28 Listopada 2012 To by było wszystko. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Lofi Opublikowano 30 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 30 Listopada 2012 Bardzo dziękuję za pomoc która zadziałała w 100% Odnośnik do komentarza
Rekomendowane odpowiedzi