Live Security Platinum, Zaccess, Sirefef - nie działa Windows Update i Defender

[stonka]

Dzień dobry,

jakiś czas temu złapałam Live Security Platinum, którego udało mi się (jak myślałam) zneutralizować Malwarebytes Anti-Malware. Od tego czasu jednak nie działa mi windows update oraz windows defender. Dziś ponadto Avira wyrzuciła mi komunikat o wykryciu Zaccess.wxm i Sirefef.A.36.

Logów z gmera nie udało mi się wygenerować (program przestaje w pewnym momencie działać), mam tylko preskan.

Serdecznie proszę o pomoc.

OTL.Txt

Extras.Txt

GMER1.txt

[picasso]

Podaj dodatkowe skany:

 

1. Uruchom SystemLook i do skanu wklej:

 

:filefind
services.exe

 

2. Zrób log z Farbar Service Scanner.

 

 

.

[stonka]

Dziękuję za szybką odpowiedź

Dołączam skany.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 19:53 on 08/10/2012 by Gosia

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 279552 bytes [18:22 24/09/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [18:22 24/09/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

 

-= EOF =-

FSS.txt

[picasso]

Wydaje się, że ZeroAccess został w miarę wyleczony, tylko usuwanie jego katalogu jest na widoku. Log z Farbar pokazuje, że w systemie brak usługi BITS od zespołu Windows Update. Natomiast brak tu jakichkolwiek znaków, by było coś nie tak z usługą Windows Defender.

 

1. Przez Panel sterowania odinstaluj adware Deinstalator Strony V9 oraz paski oparte na Ask ZoneAlarm Spy Blocker Toolbar + ZoneAlarm Toolbar. W Firefox w Dodatkach odmontuj ZoneAlarm Security Community Toolbar.

 

2. Zrekonstruuj usługę BITS. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS]
"DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001"
"ObjectName"="LocalSystem"
"ErrorControl"=dword:00000001
"Start"=dword:00000002
"DelayedAutoStart"=dword:00000001
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\
  6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\
  00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
  67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
  00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\
  72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\
  63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance]
"Library"="bitsperf.dll"
"Open"="PerfMon_Open"
"Collect"="PerfMon_Collect"
"Close"="PerfMon_Close"
"InstallType"=dword:00000001
"PerfIniFile"="bitsctrs.ini"
"First Counter"=dword:000007d2
"Last Counter"=dword:000007e2
"First Help"=dword:000007d3
"Last Help"=dword:000007e3
"Object List"="2002"
"PerfMMFileName"="Global\\MMF_BITS_s"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security]
"Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\
  00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\
  00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\
  00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
  20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\
  00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\
  00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\
  00,20,02,00,00

 

Adnotacja dla innych czytających: import dopasowany do Windows Vista.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Users\Gosia\AppData\Local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}
C:\Program Files\mozilla firefox\searchplugins\v9.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2645238"
IE - HKLM\..\SearchScopes\{C00616CF-AFC0-4A22-8A72-306AF067ACC2}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKU\S-1-5-21-2063754109-2420316384-1785921031-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2645238"
IE - HKU\S-1-5-21-2063754109-2420316384-1785921031-1000\..\SearchScopes\{C00616CF-AFC0-4A22-8A72-306AF067ACC2}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\inspect.sys -- (Inspect)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Zresetuj preferencje Firefox. Zamknij przeglądarkę (nie może być uruchomiona). Przenieś na Pulpit ten plik:

 

C:\Users\Gosia\AppData\Roaming\mozilla\Firefox\Profiles\6es2a4k8.default\prefs.js

 

Po ponownym uruchomieniu Firefox stworzy nowy czysty plik.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[stonka]

Dziękuję!

Wszystko zrobiłam zgodnie z zaleceniami, załączam nowy log.

Windows Update się ładnie odblokował i z Defenderem jest wszystko ok - chyba tylko nie był uaktualniony (przez ten błąd Windows Update?).

Jedyne co jeszcze w Centrum Zabezpieczeń systemu Windows jest nie tak, to to, że wyrzuca mi komunikat, że "System Windows nie odnalazł oprogramowania antywirusowego na tym tym komputerze" ale nie wiem, czy to jest związane z tym atakiem wirusowym.

OTL.Txt

[picasso]

Zadania wykonane. Tylko poprawka na szczątki po deinstalacji pasków:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-2063754109-2420316384-1785921031-1000\..\URLSearchHook: {91da5e8a-3318-4f8c-b67e-5964de3ab546} - No CLSID value found
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll File not found
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O3 - HKU\S-1-5-21-2063754109-2420316384-1785921031-1000\..\Toolbar\WebBrowser: (no name) - {91DA5E8A-3318-4F8C-B67E-5964DE3AB546} - No CLSID value found.
O3 - HKU\S-1-5-21-2063754109-2420316384-1785921031-1000\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Do oceny wystarczy tylko log z wynikami usuwania OTL. Nowy skan zbędny.

 

 

Jedyne co jeszcze w Centrum Zabezpieczeń systemu Windows jest nie tak, to to, że wyrzuca mi komunikat, że "System Windows nie odnalazł oprogramowania antywirusowego na tym tym komputerze" ale nie wiem, czy to jest związane z tym atakiem wirusowym.

 

Zweryfikuj Repozytorium WMI. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę:

 

winmgmt /salvagerepository

 

Zresetuj system i sprawdź czy Centrum nadal nie wykrywa antywirusa Avira.

 

 

 

.

[stonka]

1. - zrobione, poniżej log.

 

niestety, nadal nie wykrywa Aviry

10102012_201858.txt

[picasso]

Skrypt wykonany.

 

 

niestety, nadal nie wykrywa Aviry

 

To spróbuj ją przeinstalować. Reinstalacja programu wykonuje ponowne rejestracje w przestrzeni WMI. Podaj rezultaty czy odniosło to pożądany skutek.

 

 

.

[stonka]

Reinstalacja Aviry pomogła

Dziękuję serdecznie :)

[picasso]

Zakończ temat:

 

1. W OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Log notuje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216014F0}" = Java™ 6 Update 14
"{26A24AE4-039D-4CA4-87B4-2F83216024F0}" = Java™ 6 Update 24
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{31BFEC6C-1F27-45B5-839C-BCBAE327993A}" = OpenOffice.org 3.0
"{3248F0A8-6813-11D6-A77B-00B0D0150100}" = J2SE Runtime Environment 5.0 Update 10
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5
"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 15.0.1 (x86 en-GB)" = Mozilla Firefox 15.0.1 (x86 en-GB)

 

Wszystkie stare Java i Adobe odinstaluj, po tym zamontuj najnowsze wersje.

 

 

 

.