chavezz
(Chavez)
11 Wrzesień 2012 23:36
#1
Witam,
Bardzo bym prosił o sprawdzenie moich logów bo po każdym włączeniu i uruchomieniu Windowsa, mój antywirus (AVG) wyświetla mi komunikat:
Wykryto Zagrożenie!
Nazwa pliku: c:\Windows\System32\services.exe
Zagrożenie- nazwa: Zidentyfikowany wirus Win64/Patched.A
Szczegóły:
Nazwa procesu: C:\Windows\explorer.exe
ID procesu: 1772
Niestety antywirus tego nie chce naprawić bo wyświetla komunikat, że obiekt znajduje się na białej liście (plik krytyczny / systemowy, którego nie należy usuwać)
A tutaj logi z programu OTS:
http://wklej.to/FCRMD
http://wklej.to/XCXyX
Był bym bardzo wdzięczny za pomoc.
Pozdrawiam,
Michał
Atis
(Atis)
12 Wrzesień 2012 00:16
#2
Wyłącz program antywirusowy.
Uruchom cmd.exe jako administrator:
Jak uruchomić polecenie z pełnymi uprawnieniami?
Wklej i zatwierdź enterem:
sfc /scanfile=C:\Windows\system32\services.exe
Zrestartuj komputer.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKLM…\SearchScopes{95B7759C-8C7F-4BF1-B163-73684A933233}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=a2 … 58c52a4&q={searchTerms} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=a2bcab89- … 22158c52a4 IE - HKLM…\SearchScopes{95B7759C-8C7F-4BF1-B163-73684A933233}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=a2 … 58c52a4&q={searchTerms} IE - HKU\S-1-5-21-3706310869-373889625-1556053490-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=a2bcab89- … 22158c52a4 [2011/10/03 10:14:54 | 000,083,456 | ---- | M] (vShare.tv ) – C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found [2012/09/11 22:54:20 | 000,000,000 | -HSD | C] – C:\Windows\SysWow64%APPDATA% [2012/07/12 13:48:17 | 000,000,000 | —D | M] – C:\Users\MICHAEL\AppData\Roaming\jososoft :Files C:\Windows\Installer{5145d17c-82d4-2e68-dde0-862bc0280aad} reg delete HKCU\Software\Classes\CLSID{42aedc87-2188-41fd-b9a3-0c966feabec1} /f /c netsh winsock reset /c :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Pobierz i uruchom SystemLook_x64
Do okna programu wklej:
Kliknij Look i pokaż raport.
Pobierz i uruchom Farbar Service Scanner
Zaznacz wszystkie pozycje i kliknij Scan.
Pokaż ten raport.
chavezz
(Chavez)
12 Wrzesień 2012 07:55
#3
Witam,
I z góry dziękuję za zainteresowanie tematem
Zrobiłem jak napisałeś i już po wpisaniu komendy sfc /scanfile=C:\Windows\system32\services.exe do wiersza poleceń i restarcie komputera problem zniknął
Tutaj raporty z OTL:
http://wklej.to/rO6Br
http://wklej.to/NiEn3
Za chwilę zrobię resztę i doślę.
– Dodane 12.09.2012 (Śr) 9:58 –
SystemLook
http://wklej.to/NMuO1
– Dodane 12.09.2012 (Śr) 10:03 –
Farbar
http://wklej.to/yEwzL
Jeszcze tylko chciałem zaznaczyć, że w programie OTL, gdy wkleiłem tamten skrypt to po kliknięciu Wykonaj skrypt nie było żadnego zatwierdzania restart.
Nie wiem czy to ma jakieś znaczenie czy nie ale piszę bo może coś nie tak zrobiłem.
Pozdrawiam i czekam na dalsze wieści
– Dodane 12.09.2012 (Śr) 10:07 –
Po restarcie komputera pojawił mi się jeszcze jeden log z OTL więc wrzucam
http://wklej.to/9od50
Atis
(Atis)
12 Wrzesień 2012 08:51
#4
Czytaj uważnie odpowiedzi.
Masz wkleić i kliknąć Wykonaj skrypt , a Ty użyłeś opcji Skanuj.
Uruchom cmd.exe jako administrator.
Wklej i zatwierdź enterem: netsh winsock reset
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKLM…\SearchScopes{95B7759C-8C7F-4BF1-B163-73684A933233}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=a2 … 58c52a4&q={searchTerms} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=a2bcab89- … 22158c52a4 IE - HKLM…\SearchScopes{95B7759C-8C7F-4BF1-B163-73684A933233}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=a2 … 58c52a4&q={searchTerms} IE - HKU\S-1-5-21-3706310869-373889625-1556053490-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=a2bcab89- … 22158c52a4 [2011/10/03 10:14:54 | 000,083,456 | ---- | M] (vShare.tv ) – C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found [2012/09/11 22:54:20 | 000,000,000 | -HSD | C] – C:\Windows\SysWow64%APPDATA% [2012/07/12 13:48:17 | 000,000,000 | —D | M] – C:\Users\MICHAEL\AppData\Roaming\jososoft :Files C:\Windows\Installer{5145d17c-82d4-2e68-dde0-862bc0280aad} :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
chavezz
(Chavez)
12 Wrzesień 2012 14:14
#5
Racja, przepraszam To dlatego, że mam po angielsku OTL’a i nie mogłem znaleźć opcji “Wykonaj skrypt”.
Raport z usuwania:
http://wklej.to/a8ln3
za moment dorzucę nowy log Skanuj
– Dodane 12.09.2012 (Śr) 16:18 –
Proszę bardzo
http://wklej.to/ubudC
http://wklej.to/bmB9I
Atis
(Atis)
12 Wrzesień 2012 14:36
#6
Napraw usługi uszkodzone przez ZeroAccess (Sirefef)
Rekonstrukcja Zapory systemu Windows
Rekonstrukcja Centrum zabezpieczeń systemu Windows
Windows defender i aktualizacje.
Pobierz i rozpakuj archiwum:
http://sendfile.pl/191604/plik.zip
Kliknij prawym na pliku FIX i wybierz Scal.
Uruchom OTL i kliknij CleanUp.
Usuń stare punkty przywracania:
Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes-AntiMalware.
Podczas instalacji odznacz Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
chavezz
(Chavez)
12 Wrzesień 2012 15:09
#7
Rekonstrukcja Centrum zabezpieczeń systemu już zrobiona… Nie bardzo wiem co mam zrobić z Rekonstrukcją Zapory systemu Windows? Naprawić usługi uszkodzone przez ZeroAccess, tzn które? Przepraszam za głupie pytanie ale jestem laikiem jeśli chodzi o takie rzeczy… Mam wykonać wszystkie czynności, które kolega picasso opisał w owym wątku?
Atis
(Atis)
12 Wrzesień 2012 15:18
#8
Zapora, centrum zabezpieczeń, Windows Defender i aktualizacje, to są właśnie systemowe usługi które masz naprawić.
Żeby naprawić zaporę masz wykonać:
Rekonstrukcja kluczy usług.
Ręczna rekonstrukcja uprawnień.
chavezz
(Chavez)
12 Wrzesień 2012 16:21
#9
Ok, wszystko zrobione.
W security check wyskoczył taki komunikat:
Natomiast Malwarebytes- Anti Malware coś tam znalazło… co mam z tym zrobić usunąć wszystko??
tutaj log http://wklej.to/gi4bT
– Dodane 12.09.2012 (Śr) 18:24 –
Dodam tylko, że Vshare to dodatek (wtyczka), którą musiałem pobrać by móc oglądać jakieś transmisje, np meczów przez internet na różnych stronkach, na których są playery. Bez vShare nie mogłem oglądać transmisji.
– Dodane 12.09.2012 (Śr) 18:27 –
Firefox’a już zaktualizowałem… Reszta chyba jest aktualna
Atis
(Atis)
12 Wrzesień 2012 17:44
#10
W takim razie nic więcej nie musisz robić.
chavezz
(Chavez)
12 Wrzesień 2012 18:07
#11
Ok
Dziękuję Ci bardzo za pomoc
I podziwiam Cię… bo masz wiedzę Dla mnie te logi to tylko nic nie znaczące wpisy
Pozdrawiam i jeszcze raz wielkie dzięki