sobieski Opublikowano 18 Grudnia 2012 Zgłoś Udostępnij Opublikowano 18 Grudnia 2012 WItam Wyskoczyła mi infekcja zdiagnozowana przez Comodo trojWare.Win32.ZAccess.~AA@1 w pliku services.exe Widoczne oznaki to wzmożona aktywność procesora i dysków. Wentylatory szaleją w stanie spoczynku. Ogólne 'zamrożenia' systemu, aplikacje otwierają się z dużym opóźnieniem i praca w nich też jest utrudniona. Zrobiłem logi z OTL Mam nadzieje że ktoś mi poradzi jak pozbyć się tej infekcji. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2012 Zgłoś Udostępnij Opublikowano 18 Grudnia 2012 Wymagane dodatkowe skany: 1. Uruchom SystemLook x64 i w oknie wklej: :filefind services.exe :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Klik w Look. 2. Zrób log z Farbar Service Scanner. . Odnośnik do komentarza
sobieski Opublikowano 18 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2012 Zrobilem obydwa skany tutaj sa logi FSS FSS.txt Systemlook SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2012 Zgłoś Udostępnij Opublikowano 18 Grudnia 2012 Będę też usuwać ten sterownik oznaczony jako niekompatybilny z systemem: Error - 8/29/2012 3:25:51 AM | Computer Name = Jabalobozpc | Source = Application Popup | ID = 1060Description = \??\c:\windows\SysWow64\drivers\port_nt.sys has been blocked from loading due to incompatibility with this system. Please contact your software vendor for a compatible version of the driver. Error - 8/29/2012 3:25:51 AM | Computer Name = Jabalobozpc | Source = Service Control Manager | ID = 7000Description = The port_nt service failed to start due to the following error: %%1275 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system, by ukończyć naprawę pliku. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie przechodź do wykonania dalszych czynności, tylko od razu zgłoś się na forum. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: netsh winsock reset Zresetuj system w celu ukończenia naprawy łańcucha sieciowego. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{c103cd8a-88f5-7a08-f827-ca887c054993} C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\Users\Jabaloboz\AppData\Roaming\Babylon C:\Users\Jabaloboz\AppData\Roaming\F0680A C:\Windows\SysWow64\%APPDATA% C:\found.000 :OTL IE - HKU\S-1-5-21-29339982-2539032037-1685450052-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112037&tt=100512_1_&babsrc=SP_ss&mntrId=cef0680a000000000000001e6475f03e" IE - HKU\S-1-5-21-29339982-2539032037-1685450052-1001\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={189037A9-72F3-4F8F-878B-DEBB30F92F1A}&mid=263cc4c3e3db47d081c6d16fd8997912-12ae25d6536b60833b9620924dbd43152101a90a&lang=en&ds=st011&pr=sa&d=2012-06-04 00:11:39&v=11.1.0.7&sap=dsp&q={searchTerms}" IE - HKU\S-1-5-21-29339982-2539032037-1685450052-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb178/?search={searchTerms}&loc=IB_DS&a=6PQJVAbuyf&i=26" CHR - plugin: 2YourFace Util (Enabled) = C:\Users\Jabaloboz\AppData\Local\Google\Chrome\User Data\Default\Extensions\lmblfngognklgemafekefcdjcnkdhmdm\1.0_0\2YourFace_Util.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O3 - HKU\S-1-5-21-29339982-2539032037-1685450052-1001\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-29339982-2539032037-1685450052-1001..\Run: [AdobeBridge] File not found O4 - Startup: C:\Users\Jabaloboz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WinMySQLadmin.lnk = File not found O7 - HKU\S-1-5-21-29339982-2539032037-1685450052-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Unity = C:\Users\Jabaloboz\AppData\Roaming\F0680A\F0680A.exe () DRV - [2000/10/23 23:00:00 | 000,003,608 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Windows\SysWOW64\drivers\port_nt.sys -- (port_nt) :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair. 5. Napraw martwą ikonę Centrum Akcji uszkodzoną przez trojana. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 6. Przez Panel sterowania odinstaluj adware DealPly. Od razu pozbądź się też zbędnego GeekBuddy od COMODO. 7. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 8. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner + SystemLook na warunki: :filefind services.exe :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
sobieski Opublikowano 18 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2012 Udalo sie przebrnac przez wszystko bez wyraznych bledow. Logi OTL OTL2.Txt FSS FSS2.txt SystemLook SystemLook2.txt AdwCleaner AdwCleanerS1.txt Podrodze wygenerowal jeszcze pare plikow i katalogow. Nie usunalem tego GeekBudy bo nie dalo sie bez restartu a juz chcialem robic to dalej bo nie mam czasu a to chyba tylko kosmetyka ( ? ) Teraz juz sie udalo go usunac. Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2012 Zgłoś Udostępnij Opublikowano 18 Grudnia 2012 Wszystko pomyślnie wykonane. Infekcja usunięta, szkody po niej naprawione. Przechodzimy do wykończeń: 1. Korekta domyślnych wyszukiwarek Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie próbną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
sobieski Opublikowano 19 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 Log z mbam mbam-log-2012-12-19 (12-58-43).txt Pokazal troche wpisow i nie wszystkie sa zaznaczone i pyta czy usunac. Mam zaznaczyc wszystkie czy tylko te co sa zostawic i usunac ? Odnośnik do komentarza
picasso Opublikowano 19 Grudnia 2012 Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 Zasadnicze elementy infekcji oraz adware to te dwa i do usunięcia: C:\Users\Jabaloboz\AppData\Local\Temp\Vid-Saver-rs.exe (Adware.GamePlayLabs) -> Nie wykonano akcji.C:\Windows\winsxs\Temp\PendingDeletes\$$DeleteMe.services.exe.01cddd661220d7b5.0000 (Rootkit.0Access) -> Nie wykonano akcji. A reszta to cracki / patchery do programów... . Odnośnik do komentarza
sobieski Opublikowano 19 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 Ok usunąłem wszystko. System wydaje się już wydajniejszy. Dziękuje bardzo za pomoc. Musze bardziej uważać co ląduje na dysku. Odnośnik do komentarza
picasso Opublikowano 19 Grudnia 2012 Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 Na zakończenie: 1. Odinstaluj starsze Java 6 i Silverlight oraz zaktualizuj Firefox i OpenOffice.org. Wg raportu obecnie masz zainstalowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java 6 Update 14 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 35"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 10"Mozilla Firefox 16.0.1 (x86 pl)" = Mozilla Firefox 16.0.1 (x86 pl) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) 2. Prewencyjnie zmień hasła logowania w serwisach. . Odnośnik do komentarza
sobieski Opublikowano 19 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 w serwisach tzn ? Odnośnik do komentarza
picasso Opublikowano 19 Grudnia 2012 Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 Poczta, serwisy społecznościowe, banki... Odnośnik do komentarza
Rekomendowane odpowiedzi