Zainfekowany system - sprawdzenie logów

[oluniamm 0]

Witam,

próbowałam zalogować się do poczty (wp). Otrzymałam komunikat, że mam zmienić hasło, gdyż zostało prawdopodobnie przechwycone przez wirusa, znajdującego się na komputerze.

Po zalogowaniu w skrzynce odbiorczej miałam 10 nowych wiadomości o treści że wysyłanej przeze mnie wiadomości nie udało się dostarczyć. Tylko, że tych wiadomości nie wysyłałam, w ogóle nie logowałam się w tym czasie do poczty. A adresy odbiorców nie są mi znane, ponadto są zakończone ".de".

Proszę o pomoc.

LOGI:

Addition - https://wklejaj.pl/21869

FRST - https://wklejaj.pl/21870

Shortcut - https://wklejaj.pl/21872

GMER - https://wklejaj.pl/21871

[filutka78 11]

1) Użyj >>RogueKiller (aby pobrać kliknij na obrazek x64 po Lien de téléchargement :)

https://www.adlice.com/fr/telechargement-en-cours/ - bezpośredni link

Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego.

 

2) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

 

3) Zrób nowe logi FRST.

przed skanem zaznacz: Additional.txt

 

F.

[oluniamm 0]

RogueKiller - nie zapisały się raporty (znalazł 23 zagrożenia, w tym 4 były podświetlone na czerwono) - wszystkie zagrożenia (niestety razem z raportami) usunęła.

FSS - https://wklejaj.pl/21878

Shortcut - https://wklejaj.pl/21879

addition - https://wklejaj.pl/21880

 

frst https://wklejaj.pl/21881

[filutka78 11]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

C:\Windows\Installer\{3e0b6121-b772-29b4-2c89-73cbe820125a}\@

C:\Windows\Installer\{3e0b6121-b772-29b4-2c89-73cbe820125a}

C:\Windows\assembly\GAC_32\Desktop.ini

C:\Windows\assembly\GAC_64\Desktop.ini

C:\Users\Olaa\AppData\Local\20986331705021ca58edc424.96250074

S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]

S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]

S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]

S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]

S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X]

S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X]

S2 pproupd; "C:\Program Files (x86)\Podatnik.info\PIT pro 2015\pproupd.exe" [X]

Winsock: Catalog5 01 C:\Windows\SysWOW64\mswsock.dll [231424 2016-05-11] (Microsoft Corporation) UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"

Winsock: Catalog5-x64 01 C:\Windows\system32\mswsock.dll [327168 2016-05-11] () UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"

Winsock: Catalog5-x64 07 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 01 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 02 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 03 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 04 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 05 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 06 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 07 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 08 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 09 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 10 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA

Task: {51B183A6-9E0B-4F44-B3F5-381F2D30E0E9} - System32\Tasks\{33096F23-38CF-4B6F-B2D6-778CC8BBBDF0} => C:\Windows\system32\pcalua.exe -a I:\SETUP.EXE -d I:\

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

2) Pobierz >>ESET ServicesRepair

Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.

 

3) Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

services.exe

kliknij na przycisk "Search Files (Szukaj Plików)".

Raport z tego będzie tam, gdzie jest FRST.

 

4) Zrób nowe logi FRST.

 

5) Zrób nowy log FSS.

 

F.

[oluniamm 0]

Search - https://wklejaj.pl/21895

Shortcut - https://wklejaj.pl/21896

Addition - https://wklejaj.pl/21897

FRST - https://wklejaj.pl/21898

FSS- https://wklejaj.pl/21899

[filutka78 11]

C:\Windows\System32\services.exe

[2015-05-13 08:53][2015-04-13 04:28] 000329216 _____ (Microsoft Corporation) 8DEABCB1262170BC53FB22804548305A [brak podpisu cyfrowego]

Wygląda na to, że infekcja Zero Acces podmieniła ten plik Systemowy.

I nie widzę, by na Twoim dysku była kopia tego pliku.

 

Ściągnij mój plik stąd

https://www.mediafire.com/file/cw00bh8nru4ja1o/services.exe/file

i ulokuj go na C:\

 

2)

Replace: C:\services.exe C:\Windows\System32\services.exe

StartRegedit:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]

"AutoStart"=""

EndRegedit:

C:\Users\Olaa\Favorites\GG dysk.lnk

C:\Users\Olaa\Links\GG dysk.lnk

C:\Users\Olaa\AppData\Roaming\Installer.dat

C:\Users\Olaa\AppData\Roaming\Microsoft\Done.dat

Winsock: Catalog5 01 C:\Windows\SysWOW64\mswsock.dll [231424 2016-05-11] (Microsoft Corporation) UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"

Winsock: Catalog5-x64 01 C:\Windows\system32\mswsock.dll [327168 2016-05-11] () UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

3) Zrób nowe logi FRST - już bez Shortcut.

 

4) Zrób nowy log FSS.

 

F.

[oluniamm 0]

Fixlog- https://wklejaj.pl/21905

 

 

FRST - https://wklejaj.pl/21906

 

Addition - https://wklejaj.pl/21907

 

FSS - https://wklejaj.pl/21908

[filutka78 11]

"C:\services.exe" -> nie znaleziono => Nie można zamienić

Dlaczego FRST nie znalazł tam ściągniętego pliku?

 

F.

[oluniamm 0]

Tu jest (zdjęcie)

 

[filutka78 11]

zdjęcie pokazuje folder "system32", a nie bezpośrednio na dysku "C:\"

Więc w końcu gdzie wstawiłaś ten ściągnięty plik?

 

F.

[oluniamm 0]

W tym folderze, myślałam, że tam mam wstawić

[filutka78 11]

Spróbujemy naprawić Twój błąd:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Replace: C:\Windows\System32\services(2).exe C:\Windows\System32\services.exe

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001]

"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"

"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"

"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83

EndRegedit:

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zrób nowy log FRST - bez Addition, i bez Shortcut.

 

F.

[oluniamm 0]

Fixlog - https://wklejaj.pl/21913

FRST - https://wklejaj.pl/21915

FSS - https://wklejaj.pl/21916

[filutka78 11]

Niestety, w taki sposób nie da się naprawić Twego błędu.

Jeszcze raz ściągnij plik

https://www.mediafire.com/file/cw00bh8nru4ja1o/services.exe/file

umieść go bezpośrednio na dysku "C".

Potem:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

C:\Windows\assembly\GAC_32\Desktop.ini

C:\Windows\assembly\GAC_64\Desktop.ini

Replace: C:\services.exe C:\Windows\System32\services.exe

Winsock: Catalog5 01 C:\Windows\SysWOW64\mswsock.dll [231424 2016-05-11] (Microsoft Corporation) UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"

Winsock: Catalog5-x64 01 C:\Windows\system32\mswsock.dll [327168 2016-05-11] () UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"

Reboot:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zrób nowy log FRST - bez Addition, i bez Shortcut.

 

F.

[oluniamm 0]

Zrobiłam tak jak napisalas. Po użyciu Frst wymagany był restart komputera. Teraz nie chce się włączyć. Jest czarny ekran. Tylko myszka się wyświetla

[filutka78 11]

Odłącz na chwilę komputer od prądu, i potem znów spróbuj włączyć komputer.

 

F.

[oluniamm 0]

Bez zmian. Pojawia się odzyskiwanie po błędzie systemu Windows, potem trwa uruchomianie Windows i dalej już czarny ekran z działającą myszka

[filutka78 11]

Sama jestem ciekawa, co się stało.

Trudno, co się stało, to się nie odstanie.

Przykro mi.

Sformatuj dysk i wgraj System od nowa.

 

A ja mam nauczkę na przyszłość, by zamiast usuwać infekcję Zero Acces, od razu doradzać formatowanie dysku.

 

F.

[oluniamm 0]

Żadnych innych pomysłów jak uruchomić system?

[Gość]

A próbowałaś poprzez zaawansowane opcje rozruchu? Żeby je włączyć, F8 po uruchomieniu komputera. Tryb awaryjny też nie chce się uruchomić?

[oluniamm 0]

Tak próbowałam. Nic to nie daje. Po komunikacie trwa uruchamianie systemu (i wyświetleniu logo Windowsa) pojawia się czarny ekran. Kursor myszki działa, ale nic poza tym

[filutka78 11]

Możesz jeszcze spróbować:

F8 przed startem Systemu

wybierz: Tryb Awaryjny z wierszem polecenia

z klawiatury wpisz: C:\windows\system32\rstrui.exe

na klawiaturze wciśnij ENTER

 

F.

[oluniamm 0]

gdy uruchamiam Tryb Awaryjny z wierszem polecenia, ładują się pliki systemu, a później także czarny ekran.

[Gość]

Korzystasz może z teamspeaka albo discorda? Chodzi o to żeby można było bezpośrednio porozmawiać bo może da się uniknąć wgrywania systemu od nowa.

[oluniamm 0]

już pobieram discorda

 

Już mam. #6471