Wywalanie programów, szwankowanie explorer.exe

[Randalf]

Witam,

gdy próbuję włączyć mój komputer, bądź inne okno z explorerem, nie da się tego zrobić, wyskakuje błąd

 

nie da się również korzystać z foobara ani innych aplikacji

 

 

 

Results of screen317's Security Check version 0.99.56

Windows 7 Service Pack 1 x64 (UAC is enabled)

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

Windows Security Center service is not running! This report may not be accurate!

WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

TuneUp Utilities Language Pack (pl-PL)

Adobe Reader 10.1.4 Adobe Reader out of Date!

Google Chrome 22.0.1229.79

Google Chrome 22.0.1229.94

Google Chrome 23.0.1271.64

Google Chrome 23.0.1271.91

Google Chrome 23.0.1271.95

Google Chrome 23.0.1271.97

````````Process Check: objlist.exe by Laurent````````

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

AutoRuns.txt

Extras.Txt

OTL.Txt

[picasso]

W systemie działa infekcja ZeroAccess, jako jej konsekwencja liczne szkody (skasowane usługi m.in. Zapory, o czym zawiadamia Dziennik zdarzeń). Temat przenoszę do działu diagnostyki infekcji.

 

1.Uruchom SystemLook x64 i do okna wklej:

 

:filefind
services.exe
 
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Klikw Look.

 

2. Dorzuć też log z Farbar Service Scanner.

 

 

 

 

.

[Randalf]

Log:

SystemLook.txt

[picasso]

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system, by ukończyć naprawę pliku. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie przechodź do wykonania dalszych czynności, tylko od razu zgłoś się na forum.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

netsh winsock reset

 

Zresetuj system w celu ukończenia naprawy łańcucha sieciowego.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\Installer\{23d8641e-a37d-db08-a6e4-39b4fbe18f7e}
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini
C:\Windows\SysWow64\%APPDATA%
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair.

 

5. Napraw martwą ikonę Centrum Akcji uszkodzoną przez trojana. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]

"AutoStart"=""

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

6. Przez Panel sterowania odinstaluj AVG Security Toolbar.

 

7. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

8. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner + SystemLook na warunki:

 

:filefind


services.exe
 

:reg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Randalf]

Nie mogę odinstalować AVG Security Toolbar, wszystkie wcześniejsze kroki przebiegły pomyślnie prócz kroku drugiego, komenda się nie uruchomiła, nie została w ogóle rozpoznana. Kontynuować czy coś trzeba zrobić z tym AVG? (próbowałem się go pozbyć za pomocą CCleanera, ale również bezskutecznie, po prostu gdy klikam odinstaluj, niezależnie czy robię to z panelu czy CCleanera, myszka na chwilę zamienia się w klepsydrę i nic się nie dzieje)

[picasso]

Nie mogę odinstalować AVG Security Toolbar

 

Opuść ten krok, częściowo go i tak załatwi AdwCleaner, a ja po tym i tak ręcznie dokończę.

 

 

wcześniejsze kroki przebiegły pomyślnie prócz kroku drugiego, komenda się nie uruchomiła, nie została w ogóle rozpoznana

 

To brzmi niepokojąco (może sugerować czynną infekcję), jak dokładnie ten błąd był sformułowany? Wpisz to polecenie ponownie i przeklej z okna cmd całą treść.

 

 

 

.

[Randalf]

Oto komunikat

[picasso]

Nie rób obrazków z okna cmd, wygodniej dla mnie w formie czystego tekstu skopiowanego wprost z okna. Komunikat ten jest charakterystyczny dla czynnej infekcji. Gdy infekcja działa, cały Winsock jest przekierowany przez ZeroAccess i nie da rady zrobić resetu Winsock. To by sugerowało, że leczenie pliku w punkcie 1 w ogóle nie wykonane. Czy na pewno przy wdrażaniu komendy sfc /scanfile=C:\Windows\system32\services.exe nie było żadnego błędu? Proszę o skan SystemLook na warunek:

 

:filefind
services.exe

 

 

 

.

[Randalf]

SystemLook 30.07.11 by jpshortstuff

Log created at 21:24 on 01/02/2013 by nataszku

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] 50BEA589F7D7958BDD2528A8F69D05CC

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

[picasso]

Plik services.exe w ogóle nie wyleczony, dlatego nie możesz przejść dalej. Cytuję co masz wykonać:

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

sfc /scanfile=C:\Windows\system32\services.exe

Zresetuj system, by ukończyć naprawę pliku. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie przechodź do wykonania dalszych czynności, tylko od razu zgłoś się na forum.

 

W związku z tym, że coś tu poszło nie tak, po wykonaniu tej komendy przeklej z okna co ona zwróciła. A po restarcie systemu zrób nowy log SystemLook na ten sam warunek co poprzednio.



.

[Randalf]

tym razem chyba wszystko poszlo ok:

 

Microsoft Windows [Wersja 6.1.7601]
Copyright © 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone.

C:\Users\nataszku>sfc /scanfile=c:\Windows\system32\services.exe

Funkcja Ochrona zasobów systemu Windows odnalazła uszkodzone pliki
i naprawiła je pomyślnie. Szczegóły znajdują się w pliku CBS.Log
windir\Logs\CBS\CBS.log. Na przykład C:\Windows\Logs\CBS\CBS.log

Zmiany wynikające z naprawy systemu plików zostaną wprowadzone po następnym pono
wnym rozruchu.

C:\Users\nataszku>

 

SystemLook 30.07.11 by jpshortstuff
Log created at 20:18 on 10/02/2013 by nataszku
Administrator - Elevation successful

========== filefind ==========

Searching for "services.exe"
C:\Windows\System32\services.exe    --a---- 328704 bytes    [23:19 13/07/2009]    [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB
C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe    --a---- 328704 bytes    [23:19 13/07/2009]    [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

-= EOF =-

 

 

 

[picasso]

Tak, plik services.exe pomyślnie wyleczony. Czyli teraz wykonujesz akcje z posta numer #5, konkretnie punkty od 2 do 8, a w punkcie 8 log z SystemLook ograniczony do:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

 

.

[Randalf]

Logi:

FSS.txt

OTL.Txt

SystemLook.txt

[picasso]

Następujące akcje wymagane:

1. Usunięcie odpadkowego sterownika AVG. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
DRV:64bit: - [2012-11-08 20:54:39 | 000,030,568 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avgtpx64.sys -- (avgtp)

Klik w Wykonaj skrypt.

2. Korekta domyślnych wyszukiwarek Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

3. W logu z Farbar Service Scanner nadal masa szkód i adnotacje o usuniętych usługach. Punkt 4 nie wykonany lub wykonany pozornie:

 

 

4. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair.

 

Powtarzaj zadanie > restart systemu > zrób nowy log Farbar Services Scanner.



.

[Randalf]

Logi:

AdwCleanerS2.txt

FSS.txt

[picasso]

1. Usługi naprawione, ale Randalf nie czytasz uważnie. Dlaczego użyłeś ponownie AdwCleaner? Mówiłam o korekcie po jego użyciu za pomocą pliku FIX.REG, a Ty użyłeś ponownie narzędzie, czyli musisz po nim poprawić = rób i importuj plik FIX.REG zadany przeze mnie powyżej.

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Zrób dla pewności pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. Przy instalacji padnie pytanie o rodzaj wersji i wybierz darmową bez rezydenta, by nie kolidował z Kasperskym.

I wyraźnie się wypowiedz czy problemy zgłaszane na początku nadal mają miejsce.



.

[Randalf]

Jak na razie komputer działa poprawnie, chociaż skaner z punktu 4 wykryl 38 zagrożeń, użyłem funkcji usuń, załączam logi.

mbam-log-2013-02-25 (21-43-35).txt

MBAM-log-2013-02-25 (23-07-18).txt

[picasso]

1. Wyniki MBAM: zasadniczy wynik po infekcji to Rootkit.0Access w PendingDeletes, reszta to instalatory o cechach adware oraz .. ekhm... cracki / keygeny. Nie jest dla mnie jasny wynik wskazujący trainer AliceMR+13Tr-LinGon.exe, być może to był fałszywy alarm...

 

2. Porównaj co wymaga obecnie aktualizacji: KLIK.

 

3. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

.