benek666 Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Witam mam problem z wirusem niemoge sie go pozbyc przeskanowałem antimaleware dodaje log i w avast wysakuje mi co 5 min C:\Windows\Installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U\80000032.@ (win32 dnschanger-vj) co robic pomocy mbam-log-2012-06-12 (14-26-30).txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Poproszę o dodatkowy skan identyfikujący miejsce ładowania infekcji. Uruchom SystemLook x64 i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe :regfind {e7262e26-6dbb-552f-99d4-64b679abf265} Klik w Look i przedstaw wynikowy raport. . Odnośnik do komentarza
benek666 Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 prosze oto raport SystemLook 30.07.11 by jpshortstuff Log created at 16:55 on 12/06/2012 by Marcin Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\ERDNT\cache64\services.exe --a---- 328704 bytes [14:31 31/01/2012] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] 50BEA589F7D7958BDD2528A8F69D05CC C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB ========== regfind ========== Searching for "{e7262e26-6dbb-552f-99d4-64b679abf265}" No data found. -= EOF =- Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Jest to wariant infekcji, który modyfikuje systemowy plik services.exe. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\Windows\Installer\{e7262e26-6dbb-552f-99d4-64b679abf265} Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 3. Wklej do posta zawartość loga BlitzBlank. Wygeneruj logi do oceny: ---- Wynik komendy SFC: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Otworzy się log, dołącz go. ---- Nowy skan w SystemLook na warunki: :filefind services.exe :folderfind {e7262e26-6dbb-552f-99d4-64b679abf265} . Odnośnik do komentarza
benek666 Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 BlitzBlank File/Registry Modification Engine native application MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\@", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\L", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\L\00000004.@", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U\00000004.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U\00000008.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U\000000cb.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U\80000000.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U\trz12F8.tmp", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U\trz1308.tmp", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U\trz749A.tmp", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U\trz7D59.tmp", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U\trz7D5A.tmp", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U\trzA3.tmp", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U\trzB772.tmp", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U\trzBCE0.tmp", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U\trzE47D.tmp", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U\trzE50A.tmp", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U\trzF5C5.tmp", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U\trzFA96.tmp", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{e7262e26-6dbb-552f-99d4-64b679abf265}\U\trzFD48.tmp", destinationFile = "(null)", replaceWithDummy = 0 SystemLook 30.07.11 by jpshortstuff Log created at 17:17 on 12/06/2012 by Marcin Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\ERDNT\cache64\services.exe --a---- 328704 bytes [14:31 31/01/2012] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB ========== folderfind ========== Searching for "{e7262e26-6dbb-552f-99d4-64b679abf265}" No folders found. -= EOF =- sfc.txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Plik pomyślnie wyleczony, folder infekcji skasowany. Kolejny etap to naprawa naruszonego Winsock oraz innych szkód wyrządzonych przez trojana. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera. 2. Wygeneruj nowe logi do oceny: OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner (wszystkie opcje zaznaczone). . Odnośnik do komentarza
benek666 Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 prosze oto logi nie wyskakuje juz nic w antywir tylko kurcze przez tego wirusa niemam dzwięku w przeglądarkach moze masz jakis pomysł jak to naprawić Z dzwiękami juz sobie poradziłem reinstalacja adobe flash playera pomogła OTL.Txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Proszę używaj funkcję Edytuj, gdy nikt jeszcze nie odpisał, a chcesz uzupełnić informacje. Posty powyżej sklejam. Tu jest jeszcze kupa roboty, by naprawić to co rozwalił trojan. Kompletnie skasował z rejestru usługi Zapory systemu Windows, Centrum zabezpieczeń i Windows Defender. Na tym etapie zajmiesz się tymi właśnie naprawami. 1. Drobna poprawka na wpisy pokroku adware i polityki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.selectedEngine: "Yahoo" FF - prefs.js..keyword.URL: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20111224&user_guid=40B33E016A0A4C41B17654B72B29F13D&machine_id=99fc71874ca0b82f9fc75df4ea05a984&browser=FF&os=win&os_version=6.1-x64-SP1&q=" [2011-12-24 13:46:24 | 000,001,390 | ---- | M] () -- C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\aebcszye.default\searchplugins\yahoo-zugo.xml IE - HKCU\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20111224&user_guid=40B33E016A0A4C41B17654B72B29F13D&machine_id=99fc71874ca0b82f9fc75df4ea05a984&browser=IE&os=win&os_version=6.1-x64-SP1&iesrc={referrer:source}" O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: RestrictRun = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: RestrictRun = 0 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Odbuduj skasowane usługi: Rekonstrukcja usług Zapory systemu Windows: KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 3. Zresetuj system i wygeneruj nopwy log z Farbar Service Scanner. Dołącz log z wynikami przetwarzania skryptu w punkcie 1. . Odnośnik do komentarza
benek666 Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 OTL LOG All processes killed ========== OTL ========== Prefs.js: "Yahoo" removed from browser.search.selectedEngine Prefs.js: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20111224&user_guid=40B33E016A0A4C41B17654B72B29F13D&machine_id=99fc71874ca0b82f9fc75df4ea05a984&browser=FF&os=win&os_version=6.1-x64-SP1&q=" removed from keyword.URL C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\aebcszye.default\searchplugins\yahoo-zugo.xml moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0388404D-6072-4CEB-B521-8F090FEAEE57}\ not found. Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\RestrictRun deleted successfully. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\RestrictRun deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 56475 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Marcin ->Temp folder emptied: 5995898997 bytes ->Temporary Internet Files folder emptied: 71579511 bytes ->Java cache emptied: 280460 bytes ->FireFox cache emptied: 233112465 bytes ->Opera cache emptied: 15560307 bytes ->Flash cache emptied: 142991 bytes User: Public ->Temp folder emptied: 0 bytes User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 56475 bytes %systemdrive% .tmp files removed: 410715 bytes %systemroot% .tmp files removed: 401408 bytes %systemroot%\System32 .tmp files removed: 1564672 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 75560011 bytes %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 11289859 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 68032 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 6 109,00 mb OTL by OldTimer - Version 3.2.48.0 log created on 06122012_180541 Files\Folders moved on Reboot... C:\Users\Marcin\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot. Registry entries deleted on Reboot... FSS.txt Odnośnik do komentarza
picasso Opublikowano 13 Czerwca 2012 Zgłoś Udostępnij Opublikowano 13 Czerwca 2012 Skrypt prawidłowo przetworzony, wszystkie usługi też odbudowane. Wykończenia z zakresu czyszczenia: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj pozostałe używane narzędzia (już zbędne). 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne skanowanie za pomocą posiadanych Avast / MBAM i podsumuj czy coś wykryły. . Odnośnik do komentarza
benek666 Opublikowano 13 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Czerwca 2012 Wszystko ok posprzątane niema wirusów Dziękuje ci serdecznie za pomoc poświecony czas i gratuluje ogromu wiedzy jeszcze raz Dzięki:) Odnośnik do komentarza
picasso Opublikowano 13 Czerwca 2012 Zgłoś Udostępnij Opublikowano 13 Czerwca 2012 Na zakończenie: 1. Drobne aktualizacje 32-bitowej Java oraz weryfikacja aktualności Adobe Flash: KLIK. 2. Prewencyjnie zmień hasła logowania w serwisach. Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi