Kilka infekcji w systemie (luhe, win64/patched.A)

[FredzioPL]

Witajcie

 

Mam problem z laptopem, system win 7 HP 64bit.

Po instalacji niestety z niewiadomego zrodla nowej wersji WMP niestety zaczely sie problemy z systemem - zainfekowany m.in. plik services.exe.

Skanowanie AVG (wyryl i niby unieszkodliwil kilkadziesiat infekcji) , dr web, niestety nic nie pomaga, po uruchomieniu systemu dalej co jakis czas wyskakuja nowe infekcje.

 

w zalaczeniu log otl. oraz system look

 

SystemLook 30.07.11 by jpshortstuff

Log created at 10:18 on 07/01/2013 by MAKU

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] 50BEA589F7D7958BDD2528A8F69D05CC

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

Extras.Txt

OTL.Txt

[picasso]

Żródłem infekcji jest paczka Mega Codec Pack i będzie ona usuwana.

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system, by ukończyć naprawę pliku. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie przechodź do wykonania dalszych czynności, tylko od razu zgłoś się na forum.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

netsh winsock reset

 

Zresetuj system w celu ukończenia naprawy łańcucha sieciowego.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\Installer\{c9fa579d-6767-efae-6208-8e0dfcd54957}
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini
C:\Users\MAKU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack
C:\Program Files (x86)\Mega Codec Pack
 
:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
IE - HKU\S-1-5-21-1582668558-4123797673-3281080622-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={EF75A248-6CFA-4E2E-A3ED-CB8AC261BF09}&mid=1f6bcfc111d747d699e9d16fff2d1218-382cbba826faf1e5addefae8a5e4a3738fe1184d&lang=pl&ds=AVG&pr=fr&d=2012-07-30 07:19:24&v=12.2.5.32&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-1582668558-4123797673-3281080622-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" 
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found 
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found 
IE - HKU\S-1-5-21-1582668558-4123797673-3281080622-1000\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair.

 

5. Napraw martwą ikonę Centrum Akcji uszkodzoną przez trojana. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

6. Odinstaluj adware:

• Przez Panel sterowania odinstaluj uTorrentBar Toolbar, AVG Security Toolbar, McAfee Security Scan Plus.
  
• Google Chrome: W Rozszerzeniach powtórz deinstalację uTorrentBar.
  
• Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.
  

7. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

8. Zrób nowy log OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner oraz SystemLook na warunki:

 

:filefind

services.exe
 
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers

 

Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[FredzioPL]

Wszystko wykonane logi programow w zalaczeniu

FSS.txt

SystemLook.txt

AdwCleanerS1.txt

OTL.Txt

[picasso]

Wszystko zrobione, infekcja pomyślnie usunięta. Tylko poprawki zostały i uzupełniający skan.

 

1. Otwórz Google Chrome i w zarządzaniu wyszukiwarkami przestaw doyślną z AVG Secure Search Na Google.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
O2:64bit: - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG2012\avgssiea.dll File not found
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG2012\avgssie.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKLM..\Run: [ROC_roc_dec12] "C:\Program Files (x86)\AVG Secure Search\ROC_roc_dec12.exe" /PROMPT /CMPID=roc_dec12 File not found
O4 - HKLM..\Run: [ROC_ROC_JULY_P1] "C:\Program Files (x86)\AVG Secure Search\ROC_ROC_JULY_P1.exe" / /PROMPT /CMPID=ROC_JULY_P1 File not found
O18:64bit: - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG2012\avgppa.dll File not found
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG2012\avgpp.dll File not found

 

Klik w Wykonaj skrypt.

 

3. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\0MediaIconsOerlay]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

4. Mega Codec Pack był usuwany w sposób brutalny. Być może pozostały wadliwe martwe rejestracje kodeków. Uruchom Codec Tweak Tool i zastosuj funkcję Fixes.

 

5. Porządki po narzędziach. W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, skasuj przez SHIFT+DEL poniższe foldery.

 

C:\Users\MAKU\Desktop\Stare dane programu Firefox

C:\Users\MAKU\Doctor Web

 

6. Wyczyść foldery Przywracania systemu: KLIK.

 

7. Na wszelki wypadek zrób jeszcze pełne skanowanie w Malwarebytes Anti-Malware. Wybierz wersję darmową a nie próbną. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

 

.

Edytowane 18 Lutego 2013 przez picasso
18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso