Fałszywy Antivirus System Care - pozostałości

[bpm]

Dzień dobry,

 

dziś mam komputer z Windows 7, na którym pojawił się fałszywy antywirus, z którym to poradził sobie MBAM. Skan TDSSKiller nic nie wykazał. Pomijam w tym momencie wszelkie zainstalowane toolbary i aktualizacje oraz proszę o analizę logów pod kątem pozostałości jakie zostały. Z góry ślicznie dziękuję.

 

Oto logi:

 

OTL

Extras

MBAM

Gmer

[picasso]

MBAM nie wszystkie obiekty usunął, jest tu też podejrzenie usuniętych usług Windows (w OTL Extras goło w kluczach Zapory). Poza tym, do korekty są te wpisy (powinna tu być pełna ścieżka dostępu):

 

========== ZeroAccess Check ==========
 

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

"ThreadingModel" = Both

"" = shell32.dll -- [2012-06-09 06:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]

"" = fastprox.dll -- [2010-11-20 14:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Free

 

1. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\R\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Care Antivirus
C:\Users\R\Desktop\System Care Antivirus Support Site.url
C:\ProgramData\5C19334C4EDFF72400005C18D737FBA8
 
:OTL
IE - HKU\S-1-5-21-3119682525-3844725903-631024682-1000\..\SearchScopes\{8963BD85-D9BF-484F-BAAA-EED131A46B43}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=8F60C8A1-BDFB-4982-9BE0-0E8C471DDC2D&apn_sauid=9F6FBFEF-D74E-49B5-831C-F2116E74FA8A
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [OrangeDeamon] C:\Program Files\Orange\Orange.exe File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbwwan.sys -- (ewusbmbb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_usbenumfilter.sys -- (ew_usbenumfilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

4. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32]

@=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\

00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\

65,00,6d,00,5c,00,66,00,61,00,73,00,74,00,70,00,72,00,6f,00,78,00,2e,00,64,\

00,6c,00,6c,00,00,00
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\

00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\

65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[bpm]

Wszystko wykonane. Oto nowe logi:

 

OTL

FSS

AdwCleaner

[picasso]

Pomyliłam się wcześniej, tam jest klucz HKCU (do kasacji), coś mi się w oczach przestawiło, że HKLM. Ale i tak coś tu nie gra po imporcie pliku FIX.REG, jest gorzej i jeszcze bardziej nieprawidłowo, ten klucz ustawiałam na fastprox.dll (w pliku FIX.REG jest poprawna wartość hex), a on jest równy shell32.dll (w moim FIX.REG nie ma czegoś takiego):

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]

"" = %SystemRoot%\system32\shell32.dll -- [2012-06-09 06:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Free

 

Robiłeś coś jeszcze poza plikiem FIX.REG? Ponadto, zgodnie z podejrzeniami, zamordowane usługi systemowe. Wszystko wskazuje na źle wyczyszczoną infekcję ZeroAccess.

 

1. Odtwórz usługi przy udziale ServicesRepair.

 

2. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator.

 

3. Zresetuj system. Zrób nowy log z Farbar Service Scanner. Dodatkowo, uruchom SystemLook i w oknie wklej:

 

:reg


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32

 

Klik w Look.

 

 

 

.

[bpm]

Robiłeś coś jeszcze poza plikiem FIX.REG? Ponadto, zgodnie z podejrzeniami, zamordowane usługi systemowe. Wszystko wskazuje na źle wyczyszczoną infekcję ZeroAccess.

 

Nie robiłem już nic więcej, jak zawsze wszystko zgodnie z zaleceniami. Teraz również wszystko zrobione zgodnie z zaleceniami. Oto nowe logi:

 

FSS

SystemLook

[picasso]

Usługi pomyślnie odbudowane, a wpis fastprox.dll już poprawny. Skan z SystemLook pokazuje jeszcze dodatkowe uszkodzenie wykonane przez ZeroAccess, czyli brak ikony Centrum Akcji. Odbudowa:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Zresetuj system. Zrób nowy log SystemLook na warunek:

 

:reg


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

 

 

.

[bpm]

Zrobione, oto log:

 

SystemLook

.

[picasso]

Zrobione. Czyli końcówka, którą masz obcykaną:

 

1. Usunięcie narzędzi (usunięcie folderu Stare dane programu Firefox + deinstalacja AdwCleaner + Sprzątanie).

 

2. Czyszczenie folderów Przywracania systemu.

 

3. Aktualizacje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka Firefox)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()

 

4. Prewencyjna wymiana haseł.

 

 

.

[bpm]

Tak, to wszystko. Dziękuję serdecznie za pomoc. Miłego dnia