Live Security Platinum, zablokowane procesy .exe

[Blastbeat]

Witam.

W trakcie przeglądania stron, na które trafiłem ze stron z romami starych gier - wyłączyła mi się przeglądarka, po czym wyskoczyło okienko w pasku o konieczności sprawdzenia systemu i okienko "progresu" wyszukiwania robaków, wirusów itp. Live Security Platinum

Od razu zorientowałem się co się dzieje, skan avirą to jedyne co mogłem zrobić, bo okazało się, że mam zablokowane pliki .exe. Avira wykryła niby jakieś podejrzane procesy i przeniosła do kwarantanny. Niestety komunikat o potrzebie aktualizacji owego "Security" pojawiał się przy każdej próbie odpalenia firefoxa czy opery.

System Vista Home Premium 32bit / ubuntu

 

Wszelkie logi były niestety wykonywane w trybie awaryjnym, z którego piszę. Tylko tu mogę przeglądać sieć i odapać inne programy.

Z Internetem łączę się teraz ad-hoc z 2 laptopem (na obu wymiennie modem T-mobile) stąd może się pojawić cudowna nazwa Internet Managera w logach.

 

Bardzo prosiłbym o pomoc. Windows działa tylko w trybie awaryjnym.

 

 

 

P.S. Picasso uratowała mnie już raz przed beaglem. Za co: wielkie dzięęęki --,-'-@ !

OTL.Txt

Extras.Txt

gmer.txt

[Landuss]

Wykonaj jeszcze log dodatkowy. Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

[Blastbeat]

Raport w załączniku

 

SystemLook 30.07.11 by jpshortstuff

Log created at 08:31 on 31/07/2012 by user

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Users\user\AppData\Local\{8ba880bf-d8e6-9e58-b6ce-e81d60ec4a1a}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe ------- 279552 bytes [10:11 28/10/2009] [06:27 11/04/2009] 8737764F4FD36D6808EE80578409C843

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_cd28fe6bd05df036\services.exe --a---- 279552 bytes [08:35 02/11/2006] [09:45 02/11/2006] 329CF3C97CE4C19375C8ABCABAE258B0

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [11:25 20/06/2008] [07:33 19/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [10:11 28/10/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

 

-= EOF =-

[Landuss]

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (ZDPNDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (Tosrfcom)
DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\PxHelp20.sys -- (PxHelp20)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ProtoWall.sys -- (ProtoWall)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\PeerGuardian2\pgfilter.sys -- (pgfilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PCANDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nmwcdnsuc.sys -- (nmwcdnsuc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nmwcdnsu.sys -- (nmwcdnsu)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\mcdbus.sys -- (mcdbus)
DRV - File not found [File_System | Boot | Stopped] -- system32\DRIVERS\Lbd.sys -- (Lbd)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found.
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - Reg Error: Value error. File not found
O3 - HKU\S-1-5-21-2364727033-1817014445-2149197606-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
 
:Files
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
C:\ProgramData\036DFF98000D22070303F3072F3B707C
C:\Users\user\Desktop\Live Security Platinum.lnk
C:\Windows\Installer\{8ba880bf-d8e6-9e58-b6ce-e81d60ec4a1a}
C:\Users\user\AppData\Local\{8ba880bf-d8e6-9e58-b6ce-e81d60ec4a1a}
 
:Commands
[resethosts]
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

[Blastbeat]

Wszystkie świeże logi (tryb awaryjny). System look z poprzednim skryptem.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 09:28 on 31/07/2012 by user

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe ------- 279552 bytes [10:11 28/10/2009] [06:27 11/04/2009] 8737764F4FD36D6808EE80578409C843

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_cd28fe6bd05df036\services.exe --a---- 279552 bytes [08:35 02/11/2006] [09:45 02/11/2006] 329CF3C97CE4C19375C8ABCABAE258B0

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [11:25 20/06/2008] [07:33 19/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [10:11 28/10/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

 

-= EOF =-

FSS.txt

OTL.Txt

[Landuss]

Infekcja zdjęta, teraz będziesz odtwarzał ważne usługi systemowe, które zostały usunięte przez infekcję.

 

1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow):

• Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  
• Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS + EventSystem): Pobierz fixa i zaimportuj: KLIK
  

2. Po wykonaniu wszystkiego pokaż nowy log z FSS.

[Blastbeat]

#1. Sugerowana rekonstrukcja dotyczy windows 7 ja jestem na Vista. Czy to stanowi jakąś różnicę?

[Landuss]

NIe, to jest przeznaczone też dla Vista bo to systemy na takiej samej architekturze.

[Blastbeat]

W trybie normalnym dostaję dodatkowo informację od aviry o tym, że mam:

 

W32/Patched.UB"

w

C:\Windows\System32\services.exe

[Landuss]

Narazie zrób to co wyżej tym się zajmiemy potem.

[Blastbeat]

Ok wykonane:

Log FSS

FSS.txt

[Landuss]

Nie do końca to dobrze wykonane. Może inaczej.

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\System32\services.exe

 

Zresetuj system.

 

2. Powtórz te kroki z naprawą zapory systemu Windows i zaprezentuj nowy log z FSS.

[Blastbeat]

Kolejny raz.

Mam też komunikat windows update dot. zabezpieczeń. Pobrać już?

FSS.txt

[Landuss]

To teraz pytam czy zapora Windows działa?

[Blastbeat]

Nie, nie uruchamia się

scan z cmd.exe wykazał brak problemów. Potem od nowa dokumenty tekstowe zamieniłem we wpisy rejestru i scalałem. Finalnie System Windows nie może uruchomić Zapory. ;/

Fix microsoftu coś da?

[Landuss]

No ale same scalanie do rejestru to nie wszystko, a robiłeś przywracanie uprawnień przez SetACL? Bo to jest też obowiązkowe i nie wolno tego ominąć.

[Blastbeat]

Niestety przy okazji SetACL w komendzie wyświetliła mi się informacja "Nazwa SetACL nie jest rozpoznawalna jako polecenie wewnętrzne..." . Mimo, że jest domyślnie na C: plik .exe (tak samo fix). A w poleceniu nie zrobiłem błędu ponieważ było skopiowane z instrukcji picasso. SetACL bankowo jest 32bit.

[Landuss]

Ale SetACL masz nie mieć na C tylko w C:\Windows

 

Inaczej się nie wykona.

[Blastbeat]

Firewall działa!!! Dzięki. Co dalej?

FSS.txt

[Landuss]

Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31

"{AC76BA86-7AD7-1033-7B44-A81300000003}" = Adobe Reader 8.1.3

"Mozilla Thunderbird (2.0.0.19)" = Mozilla Thunderbird (2.0.0.19)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[Blastbeat]

Zrobione. Jakieś dalsze etapy?

[Landuss]

To wszystko. Temat uznaję za rozwiązany i zamykam.