Zablokowana zapora systemu Windows 7

[tekas]

Ni z tego, nic z owego, nie mogę uruchomić zapory Windows 7.

Pokazuje się taki komunikat jak na screenie.

 

W tym tygodniu władował mi się wirus System .... Jeden z tych, który wymusza aktywację.

Może to przez niego?

 

Results of screen317's Security Check version 0.99.56

Windows 7 x64 (UAC is enabled)

Out of date service pack!!

Internet Explorer 8 Out of date!

``````````````Antivirus/Firewall Check:``````````````

McAfee Anti-Virus i McAfee Anti-Spyware

WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

Malwarebytes Anti-Malware wersja 1.65.1.1000

Adobe Flash Player 10 Flash Player out of Date!

Adobe Reader 9 Adobe Reader out of Date!

Mozilla Firefox 4.0 Firefox out of Date!

````````Process Check: objlist.exe by Laurent````````

Malwarebytes Anti-Malware mbamservice.exe

Malwarebytes Anti-Malware mbamgui.exe

Malwarebytes' Anti-Malware mbamscheduler.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

 

OTL w załączniku.

OTL.Txt

[picasso]

To nie jest pełny log z OTL, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania").

 

Zapory nie możesz uruchomić, bo w systemie jest rootkit ZeroAccess, który ją całkowicie skasował. I nie tylko Zaporę, również: Centrum zabezpieczeń, Windows Update i Windows Defender. Trojan uruchamia się z Kosza (i nic nie wskóra "opróżnianie Kosza", wszystko jest totalnie zablokowane):

 

========== ZeroAccess Check ==========
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
"ThreadingModel" = Both
"" = C:\$Recycle.Bin\S-1-5-21-727367215-3038997512-4273565650-1000\$06ead9c14ae15f4e53e464abd9a6cd3e\n.
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\$Recycle.Bin\S-1-5-18\$06ead9c14ae15f4e53e464abd9a6cd3e\n.
"ThreadingModel" = Free

 

 

Przechodząc do usuwania infekcji i naprawy szkód:

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by odładować z pamięci ZeroAccess.

 

2. Otwórz Notatnik i wklej w nim:

 

TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A /D Y

icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T
icacls C:\$Recycle.Bin\S-1-5-21-727367215-3038997512-4273565650-1000\$06ead9c14ae15f4e53e464abd9a6cd3e /grant Wszyscy:F /T
rd /s /q C:\$Recycle.Bin
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\ProgramData\5E6C43267424866100005E6BE4C38F61
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Zrekonstruuj usunięte usługi za pomocą ServicesRepair.

 

5. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras) oraz Farbar Service Scanner.

 

 

 

.

[tekas]

Wszystko wykonane.

zapora działa.

[picasso]

Prosiłam o log Farbar Service Scanner. Do uzupełnienia i to:

 

 

Extras się nie wygenerował.

 

Mówiłam wyraźnie, która opcja za to odpowiada:

 

brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania")

 

I przecież wszystko opisane w konfiguracji, wyróżnione na różowym tle: KLIK.

 

 

 

.

[tekas]

No to jeszcze raz. Pliki w załączniku.

 

Malwarebytes pokazuje mi coś takiego:

 

Zablokowano dostęp do podejrzanej strony 193.17.41.98

 

Port:51980

Extras.Txt

FSS.txt

OTL.Txt

[picasso]

Malwarebytes pokazuje mi coś takiego:

 

Zablokowano dostęp do podejrzanej strony 193.17.41.98

 

Nie związane z omawianym tu zagadnieniem. Na ten temat: KLIK.

 

A infekcja pomyślnie usunięta, Kosz zregenerowany, uszkodzone usługi zrekonstruowane. Przechodzimy do "kosmetyki":

 

1. OTL Extras pokazuje, że na liście zainstalowanych nadal masz pozycję "System Progressive Protection". Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\System Progressive Protection]

 

Klik w Wykonaj skrypt.

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. ServicesRepair oraz FIX.BAT możesz usunąć.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Posiadasz już MBAM, ale nie wiem jaki zakres / kompleksowość podjętych wcześniej działań. Dla pewności zrób pełne (nie ekspresowe) skanowanie. Jeśli coś zostanie wykryte, przedstaw raport.

 

 

.

[tekas]

Wszystko gotowe.

Wielkie dzięki za pomoc - macie u mnie zapewnioną reklamę ;-)

P.S. Czy istnieje zestaw ochronny zapewniający spokój?

[picasso]

Bardzo szybka odpowiedź, a zaleciłam pełne skanowanie, które trwa dość długo. Poza tym nie zadałam jeszcze końcowych kroków, tylko na teraz chcę się upewnić w kwestii skanu.

 

 

.

[tekas]

Trwa skanowanie Malwarebytes

 

Co oznacza MBAM?

[picasso]

MBAM to oficjalny skrót Malwarebytes Anti-Malware. Podobnie jest z nowym narzędziem MBAR = Malwarebytes Anti-Rootkit.

[tekas]

Czysto ;-) Skan z kwarantanny. To dodane było do niej wcześniej.

[picasso]

Możemy przejść do finalizacji:

 

1. Aktualizacja Windows i wyliczonych poniżej programów: KLIK. Wg raportu nieaktualizowany Windows i zainstalowane wersje:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010
"{AC76BA86-7AD7-1045-7B44-A90100000001}" = Adobe Reader 9.0.1 - Polish
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)
"FileZilla Client" = FileZilla Client 3.4.0
"FTP Commander Pro_is1" = FTP Commander Pro 8.03
"Mozilla Firefox 4.0 (x86 pl)" = Mozilla Firefox 4.0 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

W podsumowaniu: deinstalacja starych produktów Adobe / Silverlight i zastąpienie najnowszymi wersjami, aktualizacja Firefox / FileZilla / OpenOffice.org, pełna aktualizacja Windows (SP1 + IE9 + reszta łat), instalacja pakietu SP1 dla Office 2010. FTP Commander to tak stary program (sprzed 7 lat!), że można się obawiać o bezpieczeństwo i ja bym się tego od razu pozbyła.

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

 

Uwaga poboczna: zainstalowany śmierdziel Gadu-Gadu 10. Sugeruję rozważenie alternatywnego klienta z obsługą Gadu: WTW, Kadu, Miranda, AQQ. Wszystkie opisy: KLIK.

 

 

.

[tekas]

Zaktualizowałem Winde i IE. Dziwne, bo nie wiem czemu ale Firefox miewa przestoje. Np. przez 1-3 sekundy nie mogę nic zrobić - nawet pisać.

W czym może tkwić problem?

[picasso]

Firefox miewa przestoje. Np. przez 1-3 sekundy nie mogę nic zrobić - nawet pisać.

 

Sprawdź Firefox w trybie bezpiecznym (bez dodatków), czy zachowuje się tak samo. Zamknij Firefoxa, jeśli jest uruchomiony (nie może być w procesach). Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

"C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode

 

Podaj rezultaty czy jest widoczna zmiana.

 

 

 

.

Edytowane 1 Lutego 2013 przez picasso
1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso