Rootkit ZeroAccess - po usunięciu brak internetu

[CreArt]

witam, sprowadza mnie tu problem zwiazany z trojanem Rootkit ZeroAccess

mianowicie po wykonaniu skanowania, najpierw Malwarebytes ktory wykryl rootkita i usunieciu go tymze skanerem

wykonalem skan combofix, potem kaspersky tdsskiller, ktory wykryl jeszcze jakies dwa pliki i ponownie combofix

juz po pierwszym zaaplikowaniu combofixa stracilem internet, probowalem wywalic streowniki karty sieciowej i instalowac od nowa ale nic to nie pomoglo, internetu nadal brak, poniej podaje mam nadzieje wszystkie informacje

prosze o pomoc w rozwiazaniu tego problemu

gmer.txt

log.txt

log2.txt

Extras.Txt

OTL.Txt

[picasso]

Poproszę o log z Farbar Service Scanner.

[CreArt]

dziękuję za podjęcie tematu, poniżej log

FSS.txt

[picasso]

Log nie pokazuje widocznych uszkodzeń. W związku z tym wykonaj ostateczne przeładowanie protokołu TCP/IP wg instrukcji: KLIK.

 

 

.

 

 

[CreArt]

wykonalem instrukcje, internet wrocil

nie wiesz moze co moze byc przyczyna wywalania podczas instalacji sp3 ?

dzieje się tak zarówno podczas instalki/aktualizacji przez internet jak i przy ściągniętym pliku i instalacji z dysku

 

dziękuję serdecznie za pomoc, pozdrawiam

[picasso]

Po rozwiązaniu podstawowego problemu możemy się zająć mniejszymi wagowo rzeczami, czyli adware i szczątkami.

 

1. Przez Dodaj / Usuń programy odinstaluj adware vShare.tv plugin 1.3, VshareComplete, od razu możesz się pozbyć niepełnosprawnego McAfee Security Scan Plus oraz przestarzałego Spyware Doctor. W Google Chrome w Rozszerzeniach powtórz deinstalację składników śmiecia vShare.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\cqqhl0hk.default\searchplugins\ask.xml
C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\cqqhl0hk.default\searchplugins\askcom.xml
C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\cqqhl0hk.default\searchplugins\startsear.xml
C:\Documents and Settings\admin\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
:OTL
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=111732&babsrc=KW_ss&mntrId=28082837000000000000001485c03314&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q="
IE - HKU\S-1-5-21-1123561945-706699826-725345543-1004\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No CLSID value found
IE - HKU\S-1-5-21-1123561945-706699826-725345543-1004\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found
O2 - BHO: (no name) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - No CLSID value found.
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKU\S-1-5-21-1123561945-706699826-725345543-1004\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Documents and Settings\admin\Pulpit\PartyPoker.lnk File not found
O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Documents and Settings\admin\Pulpit\PartyPoker.lnk File not found
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} "http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab" (Reg Error: Key error.)
O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} "http://mks.com.pl/skaner/SkanerOnline.cab" (Reg Error: Key error.)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} Reg Error: Key error. (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\vmnetadapter.sys -- (VMnetAdapter)
DRV - File not found [Kernel | Disabled | Unknown] -- C:\WINDOWS\TEMP\mc21.tmp -- (mchInjDrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw)
DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\adildr.sys -- (ADILOADER)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Zaprezentuj go.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

nie wiesz moze co moze byc przyczyna wywalania podczas instalacji sp3 ?

dzieje się tak zarówno podczas instalki/aktualizacji przez internet jak i przy ściągniętym pliku i instalacji z dysku

 

Co masz na myśli, jaki błąd widzisz?

 

 

 

.

[CreArt]

jeśli chodzi o sp3, to próbowałem go zainstalować zarówno wcześniej, przed opisanymi wyżej problemami jak i teraz, zawsze instalka po wykoaniu kopii w polowie instalacji resartuje komputer i przywraca poprzednie ustawienia,

 

nie zlokalizowałem: Spyware Doctor - w dodaj/usuń programy nie ma, oraz vShare

 

obecnie pojawił się również komunikat :

"Aby pomóc w ochronie tego komputera, system Windows zamknął ten program.

Nazwa: Windows Update

Wydawca: Microsoft Corp...

 

poniżej logi

AdwCleanerS1.txt

OTL.Txt

[picasso]

nie zlokalizowałem: Spyware Doctor - w dodaj/usuń programy nie ma, oraz vShare

 

1. Spyware Doctor jest uruchomiony w tle, log pokazuje:

 

========== Processes (SafeList) ==========
 
PRC - [2007-03-29 15:48:26 | 000,888,832 | ---- | M] (PC Tools Research Pty Ltd) -- C:\Program Files\Spyware Doctor\sdhelp.exe
 
========== Services (SafeList) ==========
 
SRV - [2007-03-29 15:48:26 | 000,888,832 | ---- | M] (PC Tools Research Pty Ltd) [Auto | Running] -- C:\Program Files\Spyware Doctor\sdhelp.exe -- (SDhelper)
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | Disabled | Unknown] -- C:\WINDOWS\TEMP\mc21.tmp -- (mchInjDrv)

 

W takim układzie ręczne usuwanie, przy okazji z korektą na wyszukiwarki w Internet Explorer (IE6 nie ma kluczy SearchScopes, dodał je AdwCleaner). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Services
SDhelper
mchInjDrv
 
:Files
C:\Program Files\Spyware Doctor
netsh firewall reset /C
 
:Reg
[-HKEY_CURRENT_USER\Software\PCTools]
[-HKEY_LOCAL_MACHINE\SOFTWARE\PCTools]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dimsntfy]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Przypatrz się uważnie, czy zadania się wykonały.

 

2. Po vShare pozostały wtyczki w Google Chrome:

 

========== Chrome  ==========
 
CHR - plugin: vShare.tv plug-in (Enabled) = C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll
CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll

 

Zamknij Google Chrome (nie może być uruchomione). Otwórz w Notatniku do edycji plik:

 

C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

W pliku wyszukaj bloki obu wystąpień wtyczki vShare i usuń. Dla porównania tu punkt 3: KLIK.

 

 

obecnie pojawił się również komunikat :

"Aby pomóc w ochronie tego komputera, system Windows zamknął ten program.

Nazwa: Windows Update

Wydawca: Microsoft Corp...

 

Hmmm, w Dzienniku zdarzeń było:

 

[ Application Events ]
Error - 2012-10-20 06:41:52 | Computer Name = PC | Source = Application Error | ID = 1000
Description = Aplikacja powodująca błąd wuauclt.exe, wersja 5.4.3790.5512, moduł
 powodujący błąd wuauclt.exe, wersja 5.4.3790.5512, adres błędu 0x00014154.

 

ComboFix wykrył wcześniej plik składowy Windows Update jako zainfekowany i jakoby to naprawił:

 

Zainfekowana kopia c:\windows\system32\wuauclt.exe została znaleziona. Problem naprawiono 
Plik odzyskano z - c:\windows\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\wuauclt.exe 

 

Nie wykluczam jednak, że została podstawiona błędna wersja. Podaj mi spis wystąpień pliku wuauclt.exe. Uruchom SystemLook i do okna wklej:

 

:filefind

wuauclt.exe

 

 

jeśli chodzi o sp3, to próbowałem go zainstalować zarówno wcześniej, przed opisanymi wyżej problemami jak i teraz, zawsze instalka po wykoaniu kopii w polowie instalacji resartuje komputer i przywraca poprzednie ustawienia

 

Czy ESET był tu cały czas obecny podczas wszystkich prób instalacji SP3? I dostarcz logi nagrane przez instalację SP3:

 

C:\WINDOWS\setupapi.log

C:\WINDOWS\svcpack.log

 

Oba pliki spakuj do ZIP, umieść na jakimś hostingu i podaj tu link.

 

 

.

[CreArt]

Klik w Wykonaj skrypt. Przypatrz się uważnie, czy zadania się wykonały.

 

skrypt wykonałem, po restarcie w pliku notatnika jestcoś takieg (nie wiem czy istotne - loga zapisałem):

Error: No service named mchInjDrv was found to stop!

 

Czy ESET był tu cały czas obecny podczas wszystkich prób instalacji SP3? I dostarcz logi nagrane przez instalację SP3:

 

próbowałem z zainstalowanym ESET-em jak i bez, w obu przypadkach kończyło sie to restartem kompa

 

pliki windows: Klik

 

SystemLook 30.07.11 by jpshortstuff

Log created at 08:16 on 24/10/2012 by admin

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "wuauclt.exe"

C:\WINDOWS\erdnt\cache\wuauclt.exe --a---- 112128 bytes [10:47 20/10/2012] [17:21 14/04/2008] 9A19BA6D99B8EC3DB5B3EFF71B0A0BB5

C:\WINDOWS\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\wuauclt.exe --a---- 112128 bytes [16:12 24/11/2011] [17:21 14/04/2008] 9A19BA6D99B8EC3DB5B3EFF71B0A0BB5

C:\WINDOWS\system32\wuauclt.exe --a---- 112128 bytes [01:16 10/04/2006] [17:21 14/04/2008] 9A19BA6D99B8EC3DB5B3EFF71B0A0BB5

C:\WINDOWS\system32\dllcache\wuauclt.exe --a--c- 53472 bytes [01:16 10/04/2006] [18:24 06/08/2009] 62BB79160F86CD962F312C68C6239BFD

 

-= EOF =-

[picasso]

Na razie raportów z instalacji SP3 nie przejrzałam. Natomiast co do pliku wuauclt.exe, to w systemie jest poprawna alternatywna kopia w dllcache:

 

C:\WINDOWS\system32\dllcache\wuauclt.exe	--a--c- 53472 bytes	[01:16 10/04/2006]	[18:24 06/08/2009] 62BB79160F86CD962F312C68C6239BFD

 

1. Niemniej podmianę głównego pliku w system32 wykonajmy poprzez instalację globalnego Windows Update Agent (wersja 7.4.7600.226, najnowsza 7.6.7600.256 nie jest dostępna w singlu do pobierania). Paczka ta ma wuauclt.exe o identycznej sumie kontrolnej 62BB79160F86CD962F312C68C6239BFD i powinna nadpisać plik w system32, jak i również zastąpić więcej plików maszyny WU. Aktualizacja całego Agenta ma znaczenie dla operatywności Windows Update jako takiego.

 

2. Po instalacji Agenta zresetuj system, zrób nowy skan SystemLook na te same warunki co poprzednio. Wypowiedź się wyraźnie czy nadal notujesz błąd "Aby pomóc w ochronie tego komputera, system Windows zamknął ... Windows Update"

 

 

.

[CreArt]

Agent zainstalowany, wszystko ok, błędu nie ma,

jeśli uda Ci się coś ustalić odnośnie sp3 daj znać proszę

póki co serdecznie dziękuję i pozdrawiam

 

SystemLook 30.07.11 by jpshortstuff

Log created at 10:14 on 24/10/2012 by admin

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "wuauclt.exe"

C:\WINDOWS\erdnt\cache\wuauclt.exe --a---- 112128 bytes [10:47 20/10/2012] [17:21 14/04/2008] 9A19BA6D99B8EC3DB5B3EFF71B0A0BB5

C:\WINDOWS\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\wuauclt.exe --a---- 112128 bytes [16:12 24/11/2011] [17:21 14/04/2008] 9A19BA6D99B8EC3DB5B3EFF71B0A0BB5

C:\WINDOWS\system32\wuauclt.exe --a---- 53472 bytes [01:16 10/04/2006] [17:24 06/08/2009] 62BB79160F86CD962F312C68C6239BFD

C:\WINDOWS\system32\dllcache\wuauclt.exe --a--c- 53472 bytes [01:16 10/04/2006] [17:24 06/08/2009] 62BB79160F86CD962F312C68C6239BFD

 

-= EOF =-

[picasso]

Jak przejrzę logi z instalacji SP3 (potrzebuję więcej czasu), dam znać. Póki co: Windows Update Agent zgodnie z planem podstawił pliczek, co zresztą potwierdza ustąpienie błędu. I należy teraz wykonać porządki po dezynfekcji:

 

1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Start > Uruchom > wklej komendę:

 

"C:\Documents and settings\admin\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall

 

2. Następnie przez SHIFT+DEL skasuj foldery C:\TDSSKiller_Quarantine + C:\WINDOWS\erdnt, w AdwCleaner zastosuj Uninstall, w OTL uruchom Sprzątanie.

 

3. Na wszelki wypadek zrób jeszcze skan za pomocą Kaspersky Virus Removal Tool. W razie wykrycia czegoś, przeklej wyniki.

 

 

 

.

[CreArt]

1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Start > Uruchom > wklej komendę:

usuwałem ComboFix przez wiersz poleceń, ale komenda której używałem była inna

po wykonaniu powyższej : "System Windows nie może odnaleźć pliku..."

[picasso]

Ścieżkę ComboFix pobierałam z pierwszego raportu ComboFix. Kiedy usuwałeś ComboFix, czyli między którymi działaniami tu w temacie? Tu jest ścisła kolejność zadań, deinstalacja narzędzia czyści foldery Przywracania systemu, czyli powinna być wykonana na szarym końcu. Skoro już się pośpieszyłeś i tę procedurę wdrożyłeś, to w moim poprzednim poście po punkcie 2 wchodzi ręczne czyszczenie folderów Przywracania systemu: KLIK.

 

 

 

.

[CreArt]

czyszczenie za pomocą TFC wykonane, sp3 póki co nie próbuję instalować

[picasso]

Nie zadawałam czyszczenia przez TFC (to już dawno zrobione w skrypcie OTL komendą [emptytemp]), kierowałam do czyszczenia folderów Przywracania systemu. I czy zrobiłeś skan w Kasperskym?

 

 

[CreArt]

zapędziłem się, czyszczenie folderów wykonane, Kaspersky nic nie wykrył

[picasso]

W kwestii instalacji SP3, w logu svcpack.log jest taki ustęp:

 

655.218: DoInstallation: ApplyAdminSystemAclsRecursive for c:\windows\$hf_mig$\Service Pack 3 failed; error=0x00000003

 

To może sugerować problem z uprawnieniami. Wykonaj kroki z artykułu KB949377.

 

 

 

.

[CreArt]

sp3 zainstalowany, serdecznie dziękuję za pomoc, jestem pod wrażeniem, ogromny szacunek dla Twojej osoby,

mam jeszcze problem z laptopem, ale tam zrobie format i głowy nie będę zawracał

pozdrawiam

[picasso]

Na zakończenie:

 

1. Wspominasz o instalacji SP3, ale czy zaktualizowałeś także Internet Explorer i inne aplikacje? Tu spis z Twojej listy zainstalowanych co wymaga interwencji:

 

Internet Explorer (Version = 6.0.2900.2180)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217000FF}" = Java™ 7
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish
"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3
"Opera 11.52.1100" = Opera 11.52

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

 

PS. Widzę też Gadu-Gadu 10. Polecam mniej zasobożerne alternatywy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.

[CreArt]

prawdę mówiąc nie spodziewałem się odpowiedzi z Twojej strony, pewnie ktoś inny uznał by temat za zamknięty...

pełen profesjonalizm,

Internet Explorer zainstalowałem, za resztę zaraz się zabieram, a i komunikator zmienię

pozdrawiam