PC Defender Plus - problem po usunięciu

[jasiek525]

Witam

miałem komputer zainfekowany przez pc defender plus - nie mogłem otworzyć żadnej aplikacji (włączał się wspomniany wcześniej program), poprzez tryb awaryjny usunąłem katalog, który go zawierał ale powstał nowy problem. Podczas włączania każdej aplikacji system wyświetla okienko "otwórz za pomocą".

wklejam logi:

extras

http://wklej.to/wLGlB

logfile:

http://wklej.to/FCi1h

[picasso]

Usunięcie katalogu to za mało, jeszcze trzeba usunąć wpis rejestru wiążący otwieranie plików EXE z PC Defender. Ponadto on jest na liście programów jako "zainstalowany", masz także zmodyfikowany szkodliwie plik HOSTS oraz zainstalowane adware.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O37 - HKU\S-1-5-21-1632339401-4032439402-1284223657-1000\...exe [@ = 4g] -- Reg Error: Key error. File not found
O4 - HKLM..\Run: [sonyAgent] C:\Windows\Temp\temp55.exe File not found
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
[2012-10-11 10:38:56 | 000,000,000 | ---D | C] -- C:\Users\Jasiek\AppData\Roaming\YourFileDownloader
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\pcdfdata]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Otwieranie plików EXE wróci do normy.

 

2. Uruchom GrantPerms x64 i w oknie wklej:

 

C:\Windows\system32\drivers\etc\hosts

 

Klik w Unlock. Następnie zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

3. Przez Panel sterowania odinstaluj adware Babylon toolbar, Browser Manager, Browsers Protector, Contextual Tool Extrafind, StartSearch Toolbar 1.3, vShare.tv plugin 1.3.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[jasiek525]

adwcleaner

http://wklej.to/oLXLs

otl:

http://wklej.to/lpVsY

[picasso]

Nie wiem jak to się stało, chyba już byłam bardzo zmęczona, ale nie zauważyłam, że w systemie działa trojan ZeroAccess uruchamiany z Kosza:

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
"ThreadingModel" = Both
"" = C:\$Recycle.Bin\S-1-5-21-1632339401-4032439402-1284223657-1000\$71c825afe429cbb19229bdcf89bce031\n. -- File not found
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\$Recycle.Bin\S-1-5-18\$71c825afe429cbb19229bdcf89bce031\n -- File not found
"ThreadingModel" = Free

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /f
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v bProtectorDefaultScope /f
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera.

 

2. Otwórz Notatnik i wklej w nim:

 

TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A /D Y

icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T
icacls C:\$Recycle.Bin\S-1-5-21-1632339401-4032439402-1284223657-1000\$71c825afe429cbb19229bdcf89bce031 /grant Wszyscy:F /T
rd /s /q C:\$Recycle.Bin
rd /s /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Defender Plus"
attrib -r -s -h C:\Windows\system32\drivers\etc\hosts.old
del /q C:\Windows\system32\drivers\etc\hosts.old
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator.

 

3. Poprawki na adware: w Google Chrome w rozszerzeniach odinstaluj StartSearch Video plug-in, vshare plugin. Zamknij Firefox (nie może być uruchomiony) i przenieś na Pulpit ten plik:

 

C:\Users\Jasiek\AppData\Roaming\mozilla\firefox\profiles\c69gqr28.default\prefs.js

 

Uruchom ponownie Firefox (stworzy nowy prefs.js), poustawiaj co należy np. stronę startową, bo po w/w resecie Firefox zostanie sprowadzony do stanu domyślnego.

 

4. Zrób nowy log OTL z opcji Skanuj oraz Farbar Service Scanner. Uruchom SystemLook x64 i w oknie wklej:

 

:dir

C:\$Recycle.Bin /s

 

Klik w Look.

 

 

.

[jasiek525]

Farbar:

http://wklej.to/93Yfq

OTL:

http://wklej.to/Qida9

Nie znalazłem w chromie takich rozszerzeń jak pisałaś ale odinstalowałem całą przeglądarkę gdyż jej nie używam.

W System look wyskoczył taki oto raport:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 16:15 on 01/11/2012 by Jasiek

Administrator - Elevation successful

 

========== dir ==========

 

C:\$Recycle.Bin - Unable to find folder.

 

-= EOF =-

 

 

Dzięki wielkie za pomoc

[picasso]

Wszystko zrobione. Należy teraz naprawić szkody wyrządzone przez ZeroAccess.

 

1. Odbuduj usunięte usługi za pomocą ServicesRepair.

 

2. Po restarcie systemu zrób nowy log z Farbar Service Scanner.

 

 

 

.

[jasiek525]

http://wklej.to/JdDkd

[picasso]

Zadanie pomyślnie wykonane, usługi wróciły na miejsce. Przechodzimy do wykończeń:

 

1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, resztę używanych oraz plik prefs.js na Pulpicie usuń już ręcznie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Na wszelki wypadek zrób jeszcze skan w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Gdyby coś zostało wykryte, przedstaw raport.

 

 

 

.

[jasiek525]

Mam tutaj logi:

http://wklej.to/ixSK1

nie wiem czy wystarczy to po prostu usunąć czy trzeba coś więcej zrobić?

[picasso]

Wyniki MBAM to fałszywe alarmy, zignoruj. Na zakończenie:

 

1. Wykonaj aktualizacje Windows i wymienionych poniżej aplikacji: KLIK. Twój log mówi, że brak SP1+IE9 dla Windows 7 oraz masz zainstalowane:

 

64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wtyczka dla IE)
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java™ 6 Update 27
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.1)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-1632339401-4032439402-1284223657-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome 20.0.1132.57
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_265.dll ()

 

Czyli: pełna aktualizacja Windows, instalacja pakietu SP1 dla Office 2010, deinstalacja wszystkich zakreślonych pozycji Adobe + Java przed montażem najnowszych, aktualizacja Firefox i Google Chrome.

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

.

[jasiek525]

Ok, dziękuję bardzo za przeprowadzenie mnie krok po kroku przez wszystkie etapy porządkowania systemu.

Pozdrawiam