bloodorange Opublikowano 27 Czerwca 2012 Zgłoś Udostępnij Opublikowano 27 Czerwca 2012 Witam! Wczoraj, w pewnym momencie zaczęłam dostawać od Kasperskiego komunikaty o zagrożeniach w postaci: Backdoor.Win32.ZAccess.mbg Trojan.Win32.Small.bmph Trojan.Win32.Zapchast.acdo. Niby zostały przez Kasperskiego usunięte (poniżej logi), ale po chwili na nowo wyskakiwały komunikaty o zagrożeniu. Usunięto Koń trojański Backdoor.Win32.ZAccess.mbg C:\Windows\Installer\{2e39e9e8-0b6d-f6b1-6ad1-975d459dade0}\U\00000001.@ 2012-06-26 13:25:23 Usunięto Koń trojański Trojan.Win32.Small.bmph C:\Windows\Installer\{2e39e9e8-0b6d-f6b1-6ad1-975d459dade0}\U\80000000.@ 2012-06-26 13:25:16 Usunięto Koń trojański Trojan.Win32.Zapchast.acdo C:\Windows\Installer\{2e39e9e8-0b6d-f6b1-6ad1-975d459dade0}\U\800000cb.@ Ponadto przestała działać Zapora systemu Windows, Windows Defender oraz Centrum zabezpieczeń systemu Windows. Próbowałam skanowania programem Malwarebytes Anti-Malware, który przy szybkim skanowaniu również znalazł 3 zagrożenia i niby po resteracie systemu usunął je, jednak po chwili ponownie wracały. Kierując się wskazówkami z niektórych postów na tym forum, naprawiłam services.exe przy pomocy narzędzia sfc. Po tej operacji nagle komunikaty o zagrożeniach ustały. Odtworzyłam też zaporę itd. przy pomocy wskazówek Picasso. Mimo tych zabiegów obawiam się, iż w systemie nadal coś siedzi. Proszę o sprawdzenie logów w miarę możliwości. Operuję na systemie Windows 7 Professional 32-bit. gmer.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 27 Czerwca 2012 Zgłoś Udostępnij Opublikowano 27 Czerwca 2012 Według logów, obiekty ZeroAccess nadal są na dysku a więc infekcja nie została usunięta. Wykonaj raport uzupełniający - Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. Cytat Kierując się wskazówkami z niektórych postów na tym forum, naprawiłam services.exe przy pomocy narzędzia sfc. Tutaj raczej nie było infekcji na tym pliku. To jest system 32 bitowy a services.exe jest infekowany na systemach 64 bitowych. ZeroAccess wygląda różnie w zależności od systemu. Odnośnik do komentarza
bloodorange Opublikowano 28 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Dzięki za zajęcie się sprawą. Poniżej zamieszczam raport z SystemLook'a: SystemLook 30.07.11 by jpshortstuff Log created at 08:33 on 28/06/2012 by Kika Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 28 Czerwca 2012 Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-2679180560-3091958839-3284794598-1002\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. :Files C:\windows\Installer\{2e39e9e8-0b6d-f6b1-6ad1-975d459dade0} C:\Users\Kika\AppData\Local\{2e39e9e8-0b6d-f6b1-6ad1-975d459dade0} C:\Users\Kika\AppData\Roaming\A1EDF239-6C37-4F17-9A5B-4316842F5E06 :Services uplook agent tracer AuditPro Scan SANDRA pxldipow EverestDriver cpuz132 AIDA32Driver :Commands [resethosts] [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Pokazujesz nowy log z OTL ze skanowania oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
bloodorange Opublikowano 28 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Skrypt wykonany. Poniżej zamieszczam raport z OTLa, który otrzymałam po restarcie systemu oraz nowy raport z pełnego skanowania + raport z Farbar Service Scannera: OTL_raport_po_skrypcie.txtPobieranie informacji ... OTL2.TxtPobieranie informacji ... FSS.txtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 28 Czerwca 2012 Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Wszystko poprawnie wykonane i nie ma się tu czym więcej zajmować. Możesz przejść do finalizacji: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
bloodorange Opublikowano 28 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Ok. Dzięki wielkie za pomoc! Odnośnik do komentarza
Rekomendowane odpowiedzi