Skocz do zawartości

Trojan.Dropper.BCMiner, Rootkit.0Access


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie ma sensu cały czas tu czekać na odpowiedź. Inni czekają już od tygodnia, a niektórzy nawet od 10 dni.

Jeśli chcesz koniecznie coś robić w czasie tego wielodniowego czekania, to możesz:

1) Użyć >>RogueKiller (aby pobrać kliknij na obrazek po Lien de téléchargement :)

Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Dajn z tego raporty (będą 2)

2) Zrobić log z Farbar Service Scanner >http://download.blee.../farbar/FSS.exe (do skanowania zaznacz wszystko).

3) Do >SystemLook-64 wklej:

:reg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

:filefind

services.exe

6bb992a2.exe

 

Naciśnij Look i pokaż raport.

4) Użyć Adw Cleaner >https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page__p__57664#entry57664 z opcji USUŃ.

5) Potem uaktualnić logi z OTL.

.

Odnośnik do komentarza

RogueKiller usunął większość obiektów ZeroAccess'a.

Samoczynnie podmienił też fałszywy plik "services.exe" na prawidłowy:

[susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> REPLACED AT REBOOT (C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe)

 

 

Wykonaj jeszcze zalecenia z mojego pierwszego postu, które tam dopisałam.

 

Poza tym:

1) START > w polu szukania wpisz: cmd > z prawokliku "Uruchom jako Administrator" > wpisz netsh winsock reset

naciśnij ENTER

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2012-12-26 15:12:21 | 000,000,000 | -HSD | C] -- C:\Windows\SysWow64\%APPDATA%

[2012-12-31 16:09:20 | 000,002,048 | ---- | M] () -- C:\$Recycle.bin\S-1-5-21-4188654956-4245367995-3089961255-1000\$R8XFWTJ\@.vir

O4 - HKLM..\Run: [NPSStartup] File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

3) Pobierz >>ESET ServicesRepair

Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.

4) Zrób nowy log z FSS

5) Zrób nowy log z OTL.

Odnośnik do komentarza

Service Repair nie naprawił niczego - użyj go jeszcze raz (o ile już wykonałeś Skrypt OTL z mojego poprzedniego postu)

i potem nowy log z FSS

Dodatkowo:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\Windows\SysWow64\6bb992a2.exe

 

:Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]

"AutoStart"=""

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

Odnośnik do komentarza

na razie nie wykonuj, bo sytuacja się zmieniła - zaraz to wszystko przejrzę, i wyedytuję ten post.

 

EDIT:

zamiast tamtego Skryptu wykonaj to:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files
C:\Windows\SysWow64\6bb992a2.exe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
"AutoStart"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

:OTL
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = [url="http://startsear.ch/?aff=2&src=sp&cf=bb3bae6c-7b3e-11e1-9754-002269d1fd34&q={searchTerms}"]http://startsear.ch/...q={searchTerms}[/url]
IE - HKCU\..\SearchScopes\{C9432E7B-195E-4F65-B43D-C770E63B451F}: "URL" = [url="http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=0B150C7B-14D5-445E-8308-5ED79F35E3C4&apn_sauid=5C262EF3-789C-4045-9B0E-0966BF13F1AF"]http://websearch.ask...0E-0966BF13F1AF[/url]
IE - HKCU\..\SearchScopes\{FEB2DBDD-86AC-4259-B1CE-96C1B89D0F48}: "URL" = [url="http://startsear.ch/?aff=1&src=sp&cf=bb3bae6c-7b3e-11e1-9754-002269d1fd34&q={searchTerms}"]http://startsear.ch/...q={searchTerms}[/url]
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = [url="http://startsear.ch/?aff=2&src=sp&cf=bb3bae6c-7b3e-11e1-9754-002269d1fd34&q={searchTerms}"]http://startsear.ch/...q={searchTerms}[/url]
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} [url="http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab"]http://java.sun.com/...indows-i586.cab[/url] (Java Plug-in 10.9.2)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} [url="http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab"]http://java.sun.com/...indows-i586.cab[/url] (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} [url="http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab"]http://java.sun.com/...indows-i586.cab[/url] (Java Plug-in 10.9.2)

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

Ten Skrypt ma usunąć podejrzany plik, zmodyfikować klucz HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC} , usunąć niepotrzebne ustawienia z przeglądarki, i usunąć nieaktualne O16 update Javy.

Odnośnik do komentarza

Sytuacja teraz jest dobra, ja już nie widzę niczego do usuwania, czy też do naprawiania.

Teraz spokojnie, bez nerwów możesz czekać te kilka czy kilkanaście dni na ocenę @Picasso lub @Landuss'a.

Wg mnie to będą jeszcze może jakieś kosmetyczne zalecenia, nic poważnego.

Oraz usunięcia narzędzi używanych w temacie (Rogue Killer, SystemLook, FSS, ServiceRepair, Adw Cleaner, OTL)

 

Zrób sobie log z >SecurityCheck

Zainstaluj aktualizacje do programow wskazanych jako out of date.

Niektóre aktualizacje >http://www.fixitpc.p...2415#entry42415

 

Szczęśliwego Nowego Roku!

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...