darx Opublikowano 2 Lipca 2012 Zgłoś Udostępnij Opublikowano 2 Lipca 2012 Witam, mam problem z wirusem Wirus Win64/Patched.B.gen koń trojański, który wykrył Nod32, zarażono chyba proces services.exe..??prosze o pomoc... OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 2 Lipca 2012 Zgłoś Udostępnij Opublikowano 2 Lipca 2012 W pierwszej kolejności należy wyleczyć zainfekowany plik services.exe. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{06035e4c-819d-558f-2758-cf556ecb0034} C:\Users\Asus\AppData\Local\{06035e4c-819d-558f-2758-cf556ecb0034} C:\Users\Asus\AppData\Roaming\Help C:\Users\Asus\AppData\Roaming\Ms_dir_ C:\Users\Asus\AppData\Roaming\Opera C:\Users\Asus\AppData\Roaming\Uchiul C:\Users\Asus\AppData\Roaming\Ironxa C:\Users\Asus\AppData\Roaming\Apyfu netsh winsock reset /C :OTL O4 - HKU\S-1-5-21-1533156052-1486638026-993577394-1000..\Run: [msvcrt_] C:\Users\Asus\AppData\Roaming\Ms_dir_\msvcrt.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 17665 = C:\PROGRA~3\LOCALS~1\Temp\mscoyyq.com O7 - HKU\S-1-5-21-1533156052-1486638026-993577394-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Macromedia = C:\Users\Asus\AppData\Roaming\4A096C.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System będzie restartował, w katalogu C:\_OTL pojawi się log z wynikami usuwania. 3. Przejdź do Panelu sterowania i odinstaluj śmiecia SweetPacks Toolbar for Internet Explorer 4.5. Popraw przez AdwCleaner z opcji Delete. 4. Podaj logi z usuwania pozyskane w punktach 1 + 3. Wygeneruj nowe logi: OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner z wszystkimi opcjami zaznaczonymi + szukanie w SystemLook x64 na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe . Odnośnik do komentarza
darx Opublikowano 2 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2012 Ok, wszystko wykonałem zgodnie Twoimi poleceniami... 07022012_142134.txt AdwCleanerS2.txt FSS.txt SystemLook.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 2 Lipca 2012 Zgłoś Udostępnij Opublikowano 2 Lipca 2012 Prawie wszystko pomyślnie wykonane, ale Winsock zresetowany w sposób pozorowany, zaś skan z SystemLook wykazuje, iż jest od ZeroAccess także klucz w rejestrze. Kolejna porcja zadań: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f /C :OTL O8:4bit: - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found O8 - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera. 3. Wygeneruj nowy log OTL z opcji Skanuj oraz ponów szukanie w SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :dir C:\ProgramData\Local Settings /s . Odnośnik do komentarza
darx Opublikowano 2 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2012 logi wykonane... OTL.Txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 2 Lipca 2012 Zgłoś Udostępnij Opublikowano 2 Lipca 2012 O ile Winsock zresetował się, to klucz infekcji nie chce puścić. 1. Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} 2. Przez SHIFT+DEL skasuj folder C:\ProgramData\Local Settings. 3. Odbuduj skasowane przez trojana usługi (omiń sfc /scannow w tych instrukcjach): Rekonstrukcja usług Zapory systemu Windows: KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 4. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. . Odnośnik do komentarza
darx Opublikowano 3 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2012 log z Farbar dołączony... FSS.txt Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2012 Zgłoś Udostępnij Opublikowano 3 Lipca 2012 Usługi zdają się być odbudowane poprawnie, choć log notuje brak łączności sieciowej ("There is no connection to network."). Czy jest tu jakiś problem z połączeniem? Finalizacja czyszczenia: 1. Porządki po narzędziach: w AdwCleaner Uninstall, w OTL Sprzątanie, resztę używanych narzędzi ręcznie skasuj przez SHIFT+DEL. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
darx Opublikowano 4 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Ok wszystko wykonane, ale podczas pełnego skanowania MalwareBytes niczego nie wykrył, ale NOD32-tak, w folderze winsxs/temp/pendingdeletes wirusa Win64/Patched, Nod to chyba usunął albo przeniósł do kwarantanny, infekcja jest nadal czynna...? Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2012 Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Ok wszystko wykonane, ale podczas pełnego skanowania MalwareBytes niczego nie wykrył, ale NOD32-tak, w folderze winsxs/temp/pendingdeletes wirusa Win64/Patched Na pewno to był skan pełny? Objaw wskazuje coś przeciwnego. Oto log ze skanowania pełnego MBAM (ekspresowe tego nie wykryło) z systemu Windows 7 x64 zainfekowanego tym samym wariantem ZeroAccess (KLIK): Files Detected:C:\Windows\winsxs\Temp\PendingDeletes\$$DeleteMe.services.exe.01cd46f6b6782d08.0000 (Rootkit.0Access) -> No action taken. W każdy razie ten wynik nie ma już znaczenia, jest martwym odpadkiem. Wykonaj czynności końcowe: 1. Aktualizacje: KLIK. Wyciąg wersji z Twojego systemu: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 24"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Google Chrome" = Google Chrome ----> wg głównego OTL wersja 18.0.1025.162 2. Prewencyjna wymiana haseł logowania w serwisach. . Odnośnik do komentarza
Rekomendowane odpowiedzi