bluemegg Opublikowano 3 Stycznia 2013 Zgłoś Udostępnij Opublikowano 3 Stycznia 2013 Witam. Problem z infekcją trwa już dość długo, jednak ciągle mi nie po drodze do informatyka. Znalazłam przypadkiem to forum i widząc jasne i przejrzyste odpowiedzi z którymi chyba byłabym w stanie sobie poradzić zdecydowałam się prosić o pomoc tutaj System operacyjny Windows Vista 32-bit. Raporty w załączeniu: SecurityCheck: Results of screen317's Security Check version 0.99.56 Windows Vista Service Pack 2 x86 (UAC is disabled!) Internet Explorer 8 Out of date! ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! WMI entry may not exist for antivirus; attempting automatic update. `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware wersja 1.70.0.1100 Java™ 6 Update 37 Java™ 6 Update 5 Java version out of Date! Adobe Flash Player 11.5.502.135 Adobe Reader 10.1.4 Adobe Reader out of Date! Google Chrome 21.0.1180.83 Google Chrome 21.0.1180.89 Google Chrome 22.0.1229.79 Google Chrome 22.0.1229.92 Google Chrome 22.0.1229.94 Google Chrome 23.0.1271.64 Google Chrome 23.0.1271.91 Google Chrome 23.0.1271.95 Google Chrome 23.0.1271.97 ````````Process Check: objlist.exe by Laurent```````` Alwil Software Avast5 AvastSvc.exe Alwil Software Avast5 AvastUI.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: 1 % ````````````````````End of Log`````````````````````` OTL.Txt GMER.txt Odnośnik do komentarza
jessica Opublikowano 3 Stycznia 2013 Zgłoś Udostępnij Opublikowano 3 Stycznia 2013 Na Forum trafiłaś w bardzo złym momencie: @Picasso i @Landuss są na urlopach, a tu nie ma innych wyznaczonych osób do pomagania podczas ich nieobecności. Nie wiem, kiedy tu się zjawią, Z logu GMER wynika, że oprócz infekcji ZeroAcces/Sirefef masz także CONFICKER'a. 1) Użyj RogueKiller. Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Powstaną 2 logi - daj oba. 2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: :FilesC:\Windows\system32\fyxegtbu.dll :OTL [2013/01/03 11:33:05 | 000,054,016 | ---- | M] () -- C:\Windows\System32\drivers\fexa.sys O33 - MountPoints2\{aeed9aca-35be-11e0-ba60-ba3054983a92}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. IE - HKCU\..\URLSearchHook: {7b13ec3e-999a-4b70-b9cb-2617b8323822} - No CLSID value found IE - HKCU\..\URLSearchHook: {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - No CLSID value found DRV - [2013/01/03 11:33:05 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\Windows\System32\drivers\fexa.sys -- (ldmwk) DRV - File not found [unknown (-1) | Unknown (-1) | Unknown] -- -- (gnfhjqops) SRV - File not found [unknown (-1) | Stopped] -- -- (gnfhjqops) :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\gnfhjqops] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009\Services\gnfhjqops] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\gnfhjqops] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\gnfhjqops] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\gnfhjqops] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\gnfhjqops] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\gnfhjqops] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\gnfhjqops] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\gnfhjqops] :Commands [emptytemp] Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij Skanuj. Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem. 3) Do SystemLook wklej: :filefindservices.exe Naciśnij Look i pokaż raport. 4) Zrób log z Farbar Service Scanner. 5) Na wszelki wypadek zrób też log z Kaspersky TDSSKiller 6) Start > Uruchom > wybierz (lub wpisz) REGEDIT > OK > >rozwiń ten klucz,klikając na (+): >(+)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion > >zaznacz: Svchost > w okienku po prawej zaznacz: NetSvcs > prawoklik > Modyfikuj > w okienku, które wyskoczy wyszukaj i zaznacz: gnfhjqops > prawoklik > usuń > OK >zwiń ten klucz, klikając na (-). Odnośnik do komentarza
bluemegg Opublikowano 3 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 3 Stycznia 2013 Dziękuję Ci Dobra Kobieto, wiem że Moderatorzy cieszą się urlopem, byłam gotowa poczekać, skoro jednak włożyłaś tyle pracy w to żeby mi pomóc to skorzystam Wygląda to wszystko przerażająco, ale mam nadzieję że krok po kroku podołam. Przy użyciu RogueKiller pojawił sie problem z kotem który wlazł na klawiaturę w trakcie usuwania i zamknął program, w związku z tym usuwanie się nie zakończyło i drugi raport się nie wygenerował. Uruchomiłam program ponownie i na wszelki wypadek zalączam trzy raporty - z pierwszego skanowania i ze skanowania drugiego wraz z usuwaniem. Wykonałam wszystkie podpunkty - raporty w załączeniu 1RKreport1_S_01032013_02d1458.txt RKreport1_S_01032013_02d1513.txt RKreport2_D_01032013_02d1520.txt 01032013_161549.txt OTL.Txt SystemLook.txt FSS.txt TDSSKiller.txt Odnośnik do komentarza
jessica Opublikowano 3 Stycznia 2013 Zgłoś Udostępnij Opublikowano 3 Stycznia 2013 byłam gotowa poczekać, skoro jednak włożyłaś tyle pracy w to żeby mi pomóc to skorzystam Mną trzeba było się nie przejmować, skoro byłaś gotowa poczekać na @Picasso lub @Landuss'a. Rogue Killer podmienił fałszywy plik "services.exe" na prawidłowy, i usunął większość obiektów ZeroAcces'a. Ale jeden obiekt ZeroAcces'a jest dalej widoczny w nowym logu OTL. Spróbujemy go usunąć: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: :OTL[2013/01/03 15:19:30 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{ab23f06a-9f47-3177-2cd8-3f0b1c2a9e15}\U [2013/01/03 15:19:30 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{ab23f06a-9f47-3177-2cd8-3f0b1c2a9e15} :Commands [emptytemp] Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij Skanuj. Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem. Jeśli w nowym logu nie będzie już tego {ab23f06a-9f47-3177-2cd8-3f0b1c2a9e15}\U, to: Pobierzesz ESET ServicesRepair. Klikniesz prawym na pliku ServicesRepair i wybierzesz "Uruchom jako administrator". Zrobisz nowy log z FSS. Jeśli natomiast w nowym logu OTL dalej będzie {ab23f06a-9f47-3177-2cd8-3f0b1c2a9e15}\U, to ponownie użyjesz Rogue Killer. Odnośnik do komentarza
pb2004 Opublikowano 3 Stycznia 2013 Zgłoś Udostępnij Opublikowano 3 Stycznia 2013 Rogue Killer podmienił fałszywy plik "services.exe" na prawidłowy, i usunął większość obiektów ZeroAcces'a. Podmienił wadliwie. Według logu system to Vista SP2, a podstawiony został plik od Visty bez service packów. Prawidłowo podmiana dla Windowsów nowszych niż XP powinna odbyć się w Wierszu Poleceń uruchomionym jako administrator: sfc /SCANFILE=C:\Windows\System32\services.exe Dopiero po takiej udanej podmianie powinna być usuwana reszta infekcji. Odnośnik do komentarza
bluemegg Opublikowano 3 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 3 Stycznia 2013 Mną trzeba było się nie przejmować, skoro byłaś gotowa poczekać na @Picasso lub @Landuss'a. Byłam gotowa poczekać bo niespodziewałam się że ktoś inny udzieli mi profesjonalnej pomocy - w dodatku tak szybko - za co Ci serdecznie dziękuję 01032013_172034.txt OTL.Txt FSS.txt Odnośnik do komentarza
jessica Opublikowano 3 Stycznia 2013 Zgłoś Udostępnij Opublikowano 3 Stycznia 2013 Infekcji już nie ma. Ale rzeczywiście, jak napisał @pb2004, RogueKiller podminił "services.exe" na starszą wersję pliku, a nie na nowszą. Nie zwróciłam na to uwagi. Tak więc wykonaj: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\System32\services.exe kliknij ENTER Zresetuj system. Zrób nowy log z SystemLook. Wklej: :regHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s :filefind services.exe Naciśnij Look i pokaż raport. Odnośnik do komentarza
bluemegg Opublikowano 3 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 3 Stycznia 2013 Gotowe SystemLook.txt Odnośnik do komentarza
jessica Opublikowano 3 Stycznia 2013 Zgłoś Udostępnij Opublikowano 3 Stycznia 2013 Teraz jest nowsza wersja pliku "services.exe", czyli jest tak, jak powinno być. Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}] "AutoStart"="" Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >> plik uruchom (dwuklik i OK). Teraz możesz spokojnie, bez nerwów, czekać aż @Picasso lub @Landuss, powróci z urlopu, i oceni swoim fachowym okiem aktualną sytuację. Wg mnie - może będą jakieś kosmetyczne zalecenia. . Odnośnik do komentarza
bluemegg Opublikowano 3 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 3 Stycznia 2013 Dziękuję za Twoją pomoc. Twoje czary sprawiły że znów działa zapora, Windows się aktualizuje i nie wyskakują co 3 minuty irytujące komunikaty o wykrytym zagrożeniu. Dziękuję, poczekam na dalsze instrukcje Odnośnik do komentarza
bluemegg Opublikowano 15 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Przepraszam że podbijam, ale trochę czasu minęło i chciałabym zakończyć historię wirusa, tymbardziej że Avast mi trochę świruje i wykrywa całą kwarantannę RogueKiller jako zagożenie - jest tam kilkaset plików i trochę boję się że "niechcący" to ruszę. Będę wdzięczna za pomoc. Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 bluemegg Zostały tylko końcowe korekty: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - [2013/01/03 15:12:40 | 000,015,616 | ---- | M] () [Kernel | On_Demand | Unknown] -- C:\Windows\System32\drivers\TrueSight.sys -- (TrueSight) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) Klik w Wykonaj skrypt. 2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder RK_Quarantine (Avast się uspokoi), w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Posiadasz Malwarebytes Anti-Malware. Upewnij się, że zaktualizowany. Zrób nim pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. jessica Skrypt z postu #4 mało sensowny. Jedna komenda na odgórny folder i tyle. . Odnośnik do komentarza
bluemegg Opublikowano 16 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 16 Stycznia 2013 Dziękuję Picasso za błyskawiczną odpowiedź. Zastosowałam powyższ podpunkty i zrobiłam pełne skanowanie MBAM i Avastem. Avast wykrył 1 zagrożenie: Win64:Sirefef-A[Trj]. Przy próbie zastosowanie kwarantanny w wyniku pojawiła się informacja z czerwonym krzyżykiem że brak wystarczającego miejsca na dysku (112) i w kwarantannie nie ma po tym śladu. Na wszelki wypadek załączam ponownie logi OTL i GMER. OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 16 Stycznia 2013 Zgłoś Udostępnij Opublikowano 16 Stycznia 2013 Avast wykrył 1 zagrożenie:Win64:Sirefef-A[Trj]. Przy próbie zastosowanie kwarantanny w wyniku pojawiła się informacja z czerwonym krzyżykiem że brak wystarczającego miejsca na dysku (112) i w kwarantannie nie ma po tym śladu. Ale nie wiem w czym, jaka ścieżka dostępu. W raportach tu podanych nie widzę oznak ZeroAccess, dlatego muszę wiedzieć gdzie to jest widziane. Czy ponowny skan Avast coś wykrywa? GMER: coś mnie zaćmiło. Te klucze niby adresowane skryptem z posta #2 nadal są, oczywiście nie mogą być usunięte OTL. Są pokazane w GMER, bo brak uprawnień, a jest ich ciut mniej z innego powodu (przetasowania kopii konfiruracyjnych ControlSet00X przy resecie systemu). OTL nie umie resetować ACL obiektów i trzeba takie zablokowane klucze usuwać inną metodą. Czyli poprawka: 1. Uruchom MiniRegTool i w oknie wklej: HKLM\SYSTEM\ControlSet001\Services\gnfhjqops HKLM\SYSTEM\ControlSet002\Services\gnfhjqops HKLM\SYSTEM\ControlSet003\Services\gnfhjqops HKLM\SYSTEM\ControlSet004\Services\gnfhjqops HKLM\SYSTEM\ControlSet005\Services\gnfhjqops HKLM\SYSTEM\ControlSet006\Services\gnfhjqops HKLM\SYSTEM\ControlSet007\Services\gnfhjqops HKLM\SYSTEM\ControlSet008\Services\gnfhjqops HKLM\SYSTEM\ControlSet009\Services\gnfhjqops Zaznacz opcję Delete Keys/Values including Locked/Null embedded i klik w Go. 2. Zrób nowy log GMER. . Odnośnik do komentarza
bluemegg Opublikowano 16 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 16 Stycznia 2013 Wykonałam powyższe zalecenia, przeskanowałam ponownie Avastem i wciąż wykrywa zagrożenie - ale tylko przy pełnym skanowaniu. Log ze skanowania z pełną ścieżką w załączeniu, dodatkowo załączam link pod którym umieściłam obrazek z widocznym błędem który pojawia się przy próbie zastosowania przeniesienia do kwarantanny. http://wstaw.org/w/1CfF/ GMER.txt Avast.txt Odnośnik do komentarza
picasso Opublikowano 16 Stycznia 2013 Zgłoś Udostępnij Opublikowano 16 Stycznia 2013 Akcja z MiniRegTool pomyślna, wszystkie klucze usunięte i w GMER ich już nie ma widzialnych. przeskanowałam ponownie Avastem i wciąż wykrywa zagrożenie - ale tylko przy pełnym skanowaniu. Log ze skanowania z pełną ścieżką w załączeniu, dodatkowo załączam link pod którym umieściłam obrazek z widocznym błędem który pojawia się przy próbie zastosowania przeniesienia do kwarantanny. Avast wykrywa zagrożenie w lokalizacji wyglądającej jak kwarantanna innego skanera online. Sprawdź czy da się to usunąć po prostu ręcznie. Tymczasowo wyłącz osłonę rezydentną Avast, by nie przeszkadzał. W eksploratorze Windows w pasku adresów wklej poniższą ścieżkę i ENTER: C:\Users\Magda\AppData\Local\Temp W katalogu tym spróbuj przez SHIFT+DEL (kasuje bez przenoszenia do Kosza) usunąć cały folder OnlineScanner. . Odnośnik do komentarza
bluemegg Opublikowano 16 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 16 Stycznia 2013 Folder OnlineScanner usunięty bez problemu, kolejne pełne skanowanie Avastem nie wykrywa zagrożeń. Dziękuję Picasso za poświęcony czas i pomoc, zrewanżuję się po wypłacie skromną dotacją. Podziękowania również dla Jessicy i Pb2004. Jeśli to już wszystkie zalecenia - temat do zamknięcia. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2013 Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 Na zakończenie: 1. Doczyść pozostałe obiekty po skanerze F-Secure Online. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Services F-Secure Standalone Minifilter :Files C:\Users\Magda\AppData\Roaming\f-secure C:\ProgramData\F-Secure Klik w Wykonaj skrypt. Po tym w OTL uruchom Sprzątanie. 2. Odbyły się kolejne zmiany konfiguracyjne, toteż ponownie wyczyść foldery Przywracania systemu: KLIK. 3. Drobne aktualizacje. Te programy zastąp najnowszymi wersjami (KLIK), przede wszystkim Java 10 dziurawa i musi być zamieniona przez wersję 11: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217010FF}" = Java 7 Update 10"{AC76BA86-7AD7-1045-7B44-AB0000000001}" = Adobe Reader XI - Polish"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10 4. Prewencyjnie zmień hasła logowania w serwisach. Dziękuję Picasso za poświęcony czas i pomoc, zrewanżuję się po wypłacie skromną dotacją. Podziękowania również dla Jessicy i Pb2004. Dziękuję. Podziękowania należą się przede wszystkim osobom, które wcześniej prowadziły temat. Ja go tylko dokończyłam. . Odnośnik do komentarza
bluemegg Opublikowano 17 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 Tak, podziękowania należą się Wam wszystkim za cierpliwą, przejrzystą i bezinteresowną pomoc. Cieszę się że to forum istnieje i je znalazłam - mam nadzieję że nie będzie sytuacji w której będę zmuszona zwrócić się tu znowu o pomoc ale napewno będę zaglądać dla samych informacji które można tu znaleźć. Tak więc - dziękuję Wam raz jeszcze Zalecenia końcowe wykonane - temat do zamknięcia Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi