Skocz do zawartości

Wirus przez Skype


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Ja czasami jak miałem wirusa który już zrobił jakieś wieksze spustoszenie na komputerze, to odłączałęm dysk i podpinałęm do zdrowego na którym znajdował się (według mnie) bardzo dobry i zaktualizowany program antywirusowy i robiłęm pełny skan tego dysku. Wiele systemów udało mi się w ten sposób uratować.

Odnośnik do komentarza

Usuwanie infekcji:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-1066621033-849432886-398232020-1000..\Run: [aadeadbbbsacfsfdsf] C:\ProgramData\aadeadbbbsacfsfdsf.exe ()
[2013-05-25 00:41:35 | 000,112,640 | ---- | M] () -- C:\ProgramData\aadeadbbbsacfsfdsf.won
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

2. Uruchom Skype. Narzędzia > Opcje > Zaawansowane > Zarządzaj dostępem innych programów do Skype > na liście Kontroli dostępu API powinien tkwić delikwent o losowej nazwie. Zrób z tego zrzut ekranu i usuń ten wpis.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz zrzut ekranu z opcji Skype.

 

 

obecnie brakuje połaczenia sieciowego, nie ma tam żadnej ikony typu połączenie lokalne, nie można uruchomić przywracania systemu, nie działają żadne programy sieciowe

 

Co do tego to mam wątpliwości czy to wynikowa infekcji. Otóż w spisie uruchomionych usług prawie wszystkie z wyjątkiem Defendera są Disabled (Wyłączone):

 

 

 

========== Services (SafeList) ==========

 

SRV:64bit: - [2011-07-28 23:35:35 | 000,204,288 | ---- | M] (AMD) [Disabled | Stopped] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility)

SRV:64bit: - [2011-07-28 17:43:58 | 000,361,984 | ---- | M] (Advanced Micro Devices, Inc.) [Disabled | Stopped] -- C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe -- (AMD FUEL Service)

SRV:64bit: - [2011-07-12 14:52:12 | 000,027,760 | ---- | M] (VIA Technologies, Inc.) [Disabled | Stopped] -- C:\Windows\SysNative\ViakaraokeSrv.exe -- (VIAKaraokeService)

SRV:64bit: - [2010-04-06 16:30:38 | 000,031,272 | ---- | M] () [On_Demand | Stopped] -- C:\Windows\SysNative\AppleChargerSrv.exe -- (AppleChargerSrv)

SRV:64bit: - [2009-07-14 03:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)

SRV:64bit: - [2009-07-14 03:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt)

SRV - [2013-05-15 01:38:06 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [Disabled | Stopped] -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)

SRV - [2013-02-28 18:45:16 | 000,161,384 | R--- | M] (Skype Technologies) [Disabled | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)

SRV - [2012-12-18 16:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Disabled | Stopped] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)

SRV - [2012-10-02 13:13:44 | 003,064,000 | ---- | M] (Skype Technologies S.A.) [Disabled | Stopped] -- C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe -- (Skype C2C Service)

SRV - [2012-04-30 09:02:52 | 000,054,272 | ---- | M] (PrintFleet Inc) [Disabled | Stopped] -- C:\Program Files (x86)\Printer DCA\PrinterDCA.Service.exe -- (Printer DCA)

SRV - [2010-03-18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)

SRV - [2009-06-10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)

 

 

 

 

... oraz odczyt OTL na temat Dziennika zdarzeń sugeruje, że usługa Dziennik zdarzeń jest wyłączona:

 

 

 

========== Last 20 Event Log Errors ==========

 

[ Application Events ]

OTL encountered an error while reading this event log. It may be corrupt.

OTL encountered an error while reading this event log. It may be corrupt.

OTL encountered an error while reading this event log. It may be corrupt.

OTL encountered an error while reading this event log. It may be corrupt.

OTL encountered an error while reading this event log. It may be corrupt.

OTL encountered an error while reading this event log. It may be corrupt.

OTL encountered an error while reading this event log. It may be corrupt.

OTL encountered an error while reading this event log. It may be corrupt.

 

 

To wszystko wskazuje na coś w stylu akcji w msconfig i omyłkowego wyłączenia wszystkich usług (w tym Microsoftu, te usługi są tu w skanie ukryte, ale spekuluję po efektach końcowych). Spróbuj załadować plik, który odtwarza domyślny Typ uruchomienia wszystkich usług Microsoftu. Pobierz plik Default W7 Pro 64 SP1 Start v1.00.zip z tej strony: KLIK. Rozpakuj go, w środku jest plik REG, kliknij na niego prawym i wybierz opcję Scal. Zresetuj system. Podaj czy funkcje wróciły do normy.

 

 

.

Odnośnik do komentarza

Log dodany, a dane sprzeczne. Skrypt twierdzi, że wpis usuwał, a w logu OTL on nadal jest... Powtórka:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-1066621033-849432886-398232020-1000..\Run: [aadeadbbbsacfsfdsf] C:\ProgramData\aadeadbbbsacfsfdsf.exe ()
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 1

 

 

 

.

Odnośnik do komentarza

Ten gnojek siedzi jak przyklejony. Zmiana metody:

 

1. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFile:
C:\ProgramData\aadeadbbbsacfsfdsf.exe

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows pojawi się ekran z działaniami BlitzBlank. BlitzBlank utworzy na dysku C log.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"aadeadbbbsacfsfdsf"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. W Skype ponownie zweryfikuj czy nie pojawiły się nowe wpisy na liście Kontroli dostępu API.

 

4. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log BlitzBlank.

 

 

 

.

Odnośnik do komentarza

Tym razem poszło gładko. Wpis startowy pomyślnie usunięty. Przejdź do tej porcji zadań:

 

1. Usuń narzędzia: w OTL uruchom Sprzątanie, a składniki BlitzBlank usuń ręcznie.

 

2. Widzę na dysku MBAM. Zrób nim dla pewności pełny skan. Jeśli nic nie zostanie wykryte:

 

3. Zmień hasła logowania w Skype.

 

4. Usługi Microsoftu już były naprawiane. Natomiast nadal są usługi innych firm w stanie "Wyłączone". Uruchom msconfig i w karcie Usługi włącz (o ile potrzebne) pozostałe.

 

5. Wyczyść foldery Przywracania systemu: KLIK.

 

6. Usuń poniższe programy i zastąp najnowszymi wersjami: KLIK.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F86417004FF}" = Java™ 7 Update 4 (64-bit)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java™ 6 Update 37

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish

"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...