Marcelix3 Opublikowano 23 Stycznia 2012 Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 Nie wiem jak to złapałem ale dobra. Avast wykrywa consrv.dll jakiegoś ZeroAcces. (Po wywaleniu całego innego syfu który on mi znalazł zostało ponoć tylko to ale kto by mu wierzył) Co chwila mi to wyskakuje. Co sprawdzić by kompletnie prześwietlić system i wszystko wyplenić ? OTL http://wklej.org/id/676148/ http://wklej.org/hash/0172be9552e/ Pozdrawiam prosiłbym o pomoc ! Odnośnik do komentarza
picasso Opublikowano 23 Stycznia 2012 Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 Nie jest to prosta infekcja, a omawianego pliku nie wolno usuwać bez dostosowania rejestru, w przeciwnym wypadku system przestanie startować. 1. Pobierz narzędzie FRST x64 i umieść je na pendrive. 2. Przygotuj plik naprawczy. Otwórz Notatnik i wklej w nim: SubSystems: [Windows] ==> ZeroAccess NETSVC: Sus2pl 2 Sus2pl; C:\Windows\System32\TdmService.dll [5120 2009-07-13] (Iomega) C:\Windows\System32\TdmService.dll C:\Windows\System32\consrv.dll C:\Windows\assembly\tmp\U C:\Windows\assembly\GAC_64\desktop.ini C:\Windows\assembly\GAC_32\desktop.ini C:\Users\Kotus\AppData\Local\8b0581b4 C:\Windows\System32\%APPDATA% Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST. 3. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom zgodnie z opisem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt. 4. Restartujesz do Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset. 5. Zrób nowe logi z OTL + Farbar Service Scanner (zaznacz wszystko do skanowania). Dostarcz też Fixlog.txt. . Odnośnik do komentarza
Marcelix3 Opublikowano 23 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 Miło z tym F8 to też może mi po tym nie wstać, (już kilka razy wybrałem nie to co trzeba i miałem dożywotnio czarny ekran (aktywator) jest inna metoda wymuszenia by system po wyłączeni wszedł tam automatycznie ? Co robi taki szkodnik w PC ? Należy zmieniać hasła ? Odnośnik do komentarza
picasso Opublikowano 23 Stycznia 2012 Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 Nie gdybaj. Podane konkretne instrukcje. Stosowane tu wielokrotnie i skutecznie. Odnośnik do komentarza
Marcelix3 Opublikowano 23 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 C:\Users\Kotus\AppData\Local\8b0581b4 not found. (Ręcznie z Windowsa wcześniej wywaliłem po 1 OTL) Fix result of Farbar Recovery Tool (FRST written by farbar) Version: 17-01-2012 00 Ran by SYSTEM at 2012-01-23 21:46:54 R:1 Running from M:\ ============================================== HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Session Manager\SubSystems\\Windows Value was restored. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs Sus2pl Deleted successfully. Sus2pl service deleted successfully. C:\Windows\System32\TdmService.dll moved successfully. C:\Windows\System32\consrv.dll not found. C:\Windows\assembly\tmp\U moved successfully. C:\Windows\assembly\GAC_64\desktop.ini not found. C:\Windows\assembly\GAC_32\desktop.ini not found. C:\Users\Kotus\AppData\Local\8b0581b4 not found. C:\Windows\System32\%APPDATA% moved successfully. ==== End of Fixlog ==== Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 23 Stycznia 2012 Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 Zadanie z usuwaniem częściowo wykonane. Proszę zapakuj katalog C:\FRST do ZIP i wyślij mi na PW link. Natomiast nie wygląda na to, że wykonałeś to: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset. Proszę wykonaj tę komendę (musi być przez Uruchom jako Administrator) i dostarcz nowy log z OTL zrobiony opcją Skanuj (Extras po raz drugi już nie potrzebuję). Nie dodałeś raportu z Farbar Service Scanner. . Odnośnik do komentarza
Marcelix3 Opublikowano 24 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 24 Stycznia 2012 A Zip na PW Link. Z Winsock odpalałem jako admin ale ja widzę dopiero teraz poskutkowało i poprosiło po tym o reset tak więc już powinno być. OTL.Txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2012 Zgłoś Udostępnij Opublikowano 24 Stycznia 2012 Podsumowując: wykonanie skryptu pomyślne + reset Winsock pomyślny. Bezpośrednie działanie infekcji ZeroAccess zdjęte. Jednakże są szkody po infekcji, wg skanera Farbar z Windows zostały kompletnie skasowane usługi: Centrum zabezpieczeń + Zapora systemu Windows + Podstawowy aparat filtrowania. Należy usługi odtworzyć: 1. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. 2. Rekonstrukcja usług Podstawowy aparat filtrowania + Zapora systemu Windows: KLIK. 3. Zresetuj system. Zrób nowy log za pomocą Farbar Service Scanner. Gdy pozytywnie ocenię wyniki, przejdziemy do czyszczenia innych śmieci w systemie (adware). . Odnośnik do komentarza
Marcelix3 Opublikowano 24 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 24 Stycznia 2012 Witaj ponownie mam nadzieje że będzie dobrze. FSS.txt Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2012 Zgłoś Udostępnij Opublikowano 24 Stycznia 2012 Coś jest nie tak. Usługi jakoby odtworzone, ale nie są uruchomione: Windows Firewall:=============MpsSvc Service is not running. Checking service configuration:The start type of MpsSvc service is OK.The ImagePath of MpsSvc service is OK.The ServiceDll of MpsSvc service is OK. bfe Service is not running. Checking service configuration:The start type of bfe service is OK.The ImagePath of bfe service is OK.The ServiceDll of bfe service is OK. mpsdrv Service is not running. Checking service configuration:The start type of mpsdrv service is OK.The ImagePath of mpsdrv service is OK. Security Center:============wscsvc Service is not running. Checking service configuration:The start type of wscsvc service is OK.The ImagePath of wscsvc service is OK.The ServiceDll of wscsvc service is OK. Proszę wykonaj jeszcze raz wszystkie kroki odtwarzania Zapory systemu Windows: KLIK. Po ukończeniu zadania zresetuj system i podaj nowy log z Farbar Service Scanner. . Odnośnik do komentarza
Marcelix3 Opublikowano 24 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 24 Stycznia 2012 Niestety chyba i tak nie wychodzi. Hmm bo mogłem to chyba nawet sam wyłączyć kiedyś. Edit: Zgadza się był wyłączony teraz restartuje i sprawdzę. Ten drugi jest po. FSS.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 25 Stycznia 2012 Zgłoś Udostępnij Opublikowano 25 Stycznia 2012 Z zaporą już wszystko jawi się w porządku. Natomiast nie są uruchomione usługi: Centrum zabezpieczeń, Windows Update. Czy to celowe działania z Twojej strony? Kolejny etap to porządki z zakresu adware. 1. Przejdź do Panelu sterowania i odinstaluj śmiecia StartNow Toolbar. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" "Start Page Restore"=- :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Yahoo" FF - prefs.js..keyword.URL: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20111113&user_guid=BF7983D9FC274870818CE0C2AB2B82A3&machine_id=65dfb853c985562975abc48735eb6f70&browser=FF&os=win&os_version=6.1-x64-SP0&q=" :Files C:\Users\Kotus\AppData\Roaming\Mozilla\Firefox\Profiles\hgko4tum.default\searchplugins\search.xml C:\Users\Kotus\AppData\Roaming\Mozilla\Firefox\Profiles\hgko4tum.default\searchplugins\yahoo-zugo.xml rd /s /q C:\FRST /C :Commands [resethosts] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 3. Prezentujesz nowy log z OTL zrobiony opcją Skanuj (bez Extras) oraz log z wynikami usuwania. . Odnośnik do komentarza
Marcelix3 Opublikowano 25 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 25 Stycznia 2012 Skrypt robiony na Standardowych ustawieniach. 01252012_235213.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 26 Stycznia 2012 Zgłoś Udostępnij Opublikowano 26 Stycznia 2012 Skrypt robiony na Standardowych ustawieniach. O czym mówisz? Skrypt nie ma żadnego związku z ustawieniami w programie, gdyż użyta opcja "Wykonaj skrypt". Ustawienia w oknie maja znaczenie tylko dla opcji "Skanuj". Log z OTL: widzę StartNow Toolbar w pełnej krasie. Miałeś go odinstalować przed użyciem skryptu i skanem OTL. . Odnośnik do komentarza
Marcelix3 Opublikowano 28 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 28 Stycznia 2012 Powinno być dobrze. Za chwile OTL Skan 01262012_195212.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 28 Stycznia 2012 Zgłoś Udostępnij Opublikowano 28 Stycznia 2012 (edytowane) Marcelix3 źle odczytałeś moją wypowiedź. Nie kazałam powtarzać żadnego skryptu, to są skrypty jednorazowego użytku i ponowienie ich bezsensowne (próbują usuwać coś co już zlikwidowało pierwsze podejście). Aktualnie miałeś tylko odinstalować tego śmiecia + zrobić nowy log opcją Skanuj. Co widzę teraz? Nowego śmiecia, czyli DealBulldog Toolbar, a z wykazu wygląda, że zainstalował się wraz z HyperCam 2. Nie wykazujesz żadnej uwagi przy instalacji, te śmieci sponsoringowe typu paski / wyszukiwarki należy bezwzględnie odznaczać, by nie dopuścić do zanieczyszczeń systemu. 1. Odinstaluj DealBulldog Toolbar. Przeczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. 2. Posprzątaj po używanych narzędziach: przez SHIFT+DEL skasuj katalog C:\FRST, następnie użyj Sprzątanie w OTL. SetACL z katalogu Windows także usuń, już do niczego nie jest potrzebne. 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 4. Wykonaj dla pewności skan za pomocą Kaspersky Virus Removal Tool. Przedstaw rezultaty. . Edytowane 29 Lutego 2012 przez picasso 29.02.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi