Win32: ZAcces-PB[Trj] - Problem z zawirusowanym plikiem

[Szmati]

Witam, mam darmową wersję antywirusa Avast i od dnia wczorajszego dostaje co kilkanaście minut o tym, że znaleziono zarażony plik i zostanie on przeniesiony do kwarantanny. I tak ten komunikat sie pojawia co jakieś 15-20 min. Akutalnie mam już jakieś 50 tych samych plików w kwarantannie. Jak je usuwam to zaraz są nowe, jak je przywracam to też sie pojawiają nowe i znowu kwarantanna. A to co pisze w raporcie:

 

ZABLOKOWANE KOŃ TROJAŃSKI

 

Nazwa: (i tu są 3 różne pliki, które na zmiane wyskakują)

1. 80000064.$

2. 80000032.$

3. 80000064.@

 

Lokalizacja:

 

C:\Widnows\assembly\temp\U

 

Proces

 

C:\Windows\System32\svchost.exe

 

Zarażenie:

 

Win32: ZAcces-PB[Trj]

 

Chciałbym też dodać, że ostatnio nawet stare pliki pokazują, że mają trojana, np. Skype lub RaidCall. Podczas pełnego skanowania GMER'em komputer albo sie sam resetuje albo sam wyłącza. A gdy rano odpaliłem komputer system zapytał się czy cofnąć system o pewnien czas bo jest uszkodzony, zgodziłem się lecz nadal wyskakują trojany. Boję się że zaraz każdy plik będzie miał wirusa i już nic nie pomoże. Tak więc wstawiam pełnego scana z OTL i quick scana z GMER'a:

 

Extras z OTL:

 

http://www.mediafire.com/view/?4q9x8ioj8z8r49p

 

 

Mam nadzieję, że ktoś znajdzie dla mnie chwilkę i mi pomoże, bo te ciągłe powiadomienia irytują, a z komputerem może się coś stać, więc lepiej dmuchać na zimne.

 

Pozdrawiam i z góry dzięki

GMER.txt

OTL.Txt

[picasso]

Temat doprowadzam do oczekiwanej formy. Prosiłam o załączniki forum a nie serwisy hostingowe, które zniekształcają dane. Przenoszę dwa główne logi do załączników. Extras na razie zostawiam w linku, ale widać że jest "uszkodzony" (złe przejścia do nowej linii, zwalone znaki). Na razie nie mam czasu go poprawiać, gdyż należy przejść do usuwania infekcji.

 

Niewątpliwie jest tu infekcja ZeroAccess w wariancie consrv.dll, a pliku tego nie wolno usunąć od ręki, bo system padnie (krytyczny BSOD przy starcie). Poza tym, dodatkowo zaśmiecenie straszliwą ilością adware. Pierwszy krok to odładowanie aktywnej infekcji:

 

1. Uruchom Kaspersky TDSSKiller. Zostaw wszystkie opcje domyślnie ustawione przez narzędzie. Zresetuj system, by wdrożyć usuwanie infekcji. Narzędzie utworzy na dysku C log.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset. Jeśli komenda wykona się poprawnie, zostaniesz poproszony o reset komputera. Wykonaj.

 

3. Przedstaw trzy logi (doczepione jako załączniki forum): log utworzony przez TDSSKiller, log z Farbar Service Scanner oraz szukanie w SystemLook. Uruchom SystemLook x64 i do okna wklej:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Klik w Look.

 

Odpowiadasz mi oczywiście w nowym poście, nie edytujesz już poprzedniego. Jeśli wszystko pójdzie dobrze, przejdę do wykończenia resztek tej infekcji, usuwania innych śmieci (system jest po prostu zgwałcony chłamem) oraz naprawy szkód systemowych stworzonych przez ZeroAccess.

 

 

 

.

[Szmati]

Gdy zrobiłem punkt 1 podczas uruchamiania komputera zapytano mnie czy windows ma naprawić system dałem na tak i po 20 minutach i paru resetach dopiero odpalił się komputer. Dobrze zrobiłem czy to ignorować?

[picasso]

Zastartował moduł Recovery systemu, widocznie TDSSKiller nie do końca sobie poradził i zmodyfikowana wartość kierująca do pliku trojana consrv.dll stanowiła problem. Wykonaj resztę zadań, jak podałam. Dostarcz logi.

 

 

 

.

[Szmati]

Komenda nie działa wpisuję ją to mi pisze: "nie można zainstalować następującego pomocnika DLL: WSHELPER.DLL. nie znaleziono następującego polecenia winsock reset.

[picasso]

Niestety, ten błąd oznacza, że infekcja jest czynna. Pokaż raport z TDSSKiller utworzony na dysku C. Trzeba będzie dobrać inną metodę usuwania.

 

 

 

.

[Szmati]

Oto LOGI z TDSKillera.

TDSSKiller.2.8.16.0_02.05.2013_08.58.20_log.txt

[picasso]

Tu musiało pojść coś nie tak przy procesie usuwania TDSSKiller:

 

08:59:19.0631 4584 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems:Windows - will be cured on reboot

(...)

08:59:19.0691 4584 C:\Windows\system32\consrv.dll ( Backdoor.Multi.ZAccess.genb ) - User select action: Delete 

 

Czyli: TDSSKiller usunął plik consrv.dll, a wartość rejestru ją ładującą miał zaktualizować przy restarcie, co się nie stało (to prowadzi do krytycznego błędu). Jak mówiłam, zmiana metody:

 

1. Pobierz narzędzie FRST x64 i umieść na pendrive. Przygotuj skrypt naprawczy. Otwórz Notatnik i wklej w nim:

 

SubSystems: [Windows] ATTENTION! ====> ZeroAccess
C:\Windows\System32\consrv.dll
C:\Windows\assembly\temp
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini
CMD: C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\system64

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt. Umieść obok narzędzia FRST na pendrive.

 

2. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt.

 

3. Startujesz normalnie do Windows i wykonujesz reset Winsock: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zresetuj system.

 

4. Prezentujesz następujące logi: log utworzony przez FRST (fixlog.txt), log z Farbar Service Scanner oraz szukanie w SystemLook x64 na warunek:

 

:reg


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

 

 

.

[Szmati]

Czyli po kliku w napraw mam wybrać wiersz poleceń i napisać "uruchom FRST" ?

[picasso]

Nie, w Wierszu polecenia masz wpisać po kolei: komendę notepad (podejrzenie liter dysków Notatnikiem) + komendę uruchomienia FRST. Patrz do opisu FRST, który zlinkowałam (punkty 3 + 4): KLIK.

 

 

 

.

[Szmati]

Po drobnych problemach mam co trzeba

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 01-05-2013
Ran by SYSTEM at 2013-05-02 11:50:39 Run:1
Running from E:\
Boot Mode: Recovery
==============================================

HKLM\System\ControlSet001\Control\Session Manager\SubSystems\\Windows => Value was restored successfully.
C:\Windows\System32\consrv.dll => Moved successfully.
C:\Windows\assembly\temp => Moved successfully.
C:\Windows\assembly\GAC_32\Desktop.ini => Moved successfully.
C:\Windows\assembly\GAC_64\Desktop.ini => Moved successfully.

=========  C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\system64 =========


========= End of CMD: =========


==== End of Fixlog ====

FSS.txt

SystemLook.txt

[picasso]

Nareszcie, skrypt poprawnie wykonany, infekcja wygląda na usuniętą. Dodatkowe skany nie wykazują, by infekcja narobiła szkód, ale tu sądzę, że to robota tej automatycznej naprawy systemu przy naszym pierwszym falstarcie. Kolejny etap to likwidacja koszmarnej ilości adware. Akcje w dokładnie tej kolejności:

 

1. Przez Panel sterowania odinstaluj:

 

BCool Gadget, BrowseToSave, BrowserProtect, Browsers Protector, Bundled software uninstaller, ContinueToSave, Delta toolbar, Delta Chrome Toolbar, facemoods, File Bulldog Anti-phishing Domain Advisor, GadgetBox, McAfee Security Scan Plus, Norton Security Scan, Optimizer Pro v3.0, OptimizerPro, PC Speed Up Extension, Przyspiesz Komputer, RelevantKnowledge, Search Assistant MocaFlix 1.66, Search Assistant SoftQuick 1.66, StartSearch Toolbar 1.3, SweetIM Bundle by SweetPacks, SweetIM for Messenger 3.7, Toolbar 4.7 by SweetPacks, TornTV, Update Manager for SweetPacks 1.1, Yontoo 1.10.03.

 

2. Otwórz Google Chrome i wejdź do ustawień. W Rozszerzeniach odinstaluj RelevantKnowledge, StartSearch Video plug-in i co tam jeszcze podejrzanego znajdziesz. Zrekonfiguruj strony startowe. Wyczyść Historię.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{AA74FE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://search.gboxapp.com/?q={searchTerms}
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.soft-quick.info/?l=1&q={searchTerms}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={9FA00461-5445-11E2-A262-8C89A57EF134}
IE - HKU\S-1-5-21-2635221686-1136885022-932715038-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=72469217-c835-11e1-91a9-8c89a57ef134&q={searchTerms}
IE - HKU\S-1-5-21-2635221686-1136885022-932715038-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
IE - HKU\S-1-5-21-2635221686-1136885022-932715038-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www2.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=02F27A7919104876
IE - HKU\S-1-5-21-2635221686-1136885022-932715038-1000\..\SearchScopes\{43A5E533-C529-4A59-B12B-113FCE8A4D35}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-2635221686-1136885022-932715038-1000\..\SearchScopes\{AA74FE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://search.gboxapp.com/?q={searchTerms}
IE - HKU\S-1-5-21-2635221686-1136885022-932715038-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.soft-quick.info/?l=1&q={searchTerms}
IE - HKU\S-1-5-21-2635221686-1136885022-932715038-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={9FA00461-5445-11E2-A262-8C89A57EF134}
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.6.4.6\bh\BabylonToolbar.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O4 - HKU\S-1-5-21-2635221686-1136885022-932715038-1000..\Run: [AdobeBridge] File not found
 
:Files
C:\Windows\SysWow64\searchplugins
C:\Windows\SysWow64\Extensions
C:\Users\Mateusz\AppData\Roaming\BabMaint.exe
C:\Users\Mateusz\AppData\Roaming\B1Toolbar
C:\Users\Mateusz\AppData\Roaming\BabSolution
C:\Users\Mateusz\AppData\Roaming\Babylon
C:\Users\Mateusz\AppData\Roaming\FOG Downloader
C:\Users\Mateusz\AppData\Roaming\Mozilla
C:\Users\Mateusz\AppData\Roaming\wyUpdate AU
C:\Users\Mateusz\Local Settings
C:\Users\Mateusz\wc
C:\Program Files (x86)\mozilla firefox
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Search Page"=-
"Start Page Before"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

4. Uruchom Autoruns i w karcie Scheduled Tasks skasuj zadania powiązane z adware: ContinueToSaveUpdaterTask, OptimizerProUpdaterTask, PC SpeedUp Service Deactivator, ROC_JAN2013_TB_rmv, Norton Security Scan oraz wszystkie inne oznaczone jako "not found".

 

5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

6. Uruchom Junkware Removal Tool. Na Pulpicie powstanie log z usuwania.

 

7. Zrób nowe logi OTL z opcji Skanuj. Dołącz logi utworzone przez narzędzia podczas usuwania: log OTL z punktu 3, log AdwCleaner oraz log JRT.

 

 

 

.

[Szmati]

Oto logi, lecz gdy chce dodać logi z OTL'a to wyskakuje mi komunikat, że nie mam uprawnień.

JRT.txt

AdwCleanerS1.txt

[picasso]

Log z usuwania OTL ma rozszerzenie *.LOG (zablokowane w załącznikach), musisz ręcznie zmienić na *.TXT. Poza tym, miałeś też dodać nowy log OTL z opcji Skanuj.

[Szmati]

A jak zmienić je na txt? Bo nie za bardzo ogarniam..

[picasso]

Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Po tym będziesz miał widoczną pełną nazwę i zwyczajnie z prawokliku na plik zmieniasz nazwę plik.log na plik.txt

[Szmati]

Ok dzięki. Prosze logi:

OTL pierwszy (2).txt

OTL2.txt.txt

[picasso]

Wszystko zrobione jak należy. Duża poprawa wyglądu raportów, powinno to mieć też odbicie w szybszym działania systemu. Zostały poprawki:

 

1. W Google Chrome nadal widać wyszukiwarkę adware. Wejdź do ustawień i w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, następnie skasuj z listy Delta Search.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{43A5E533-C529-4A59-B12B-113FCE8A4D35}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{43A5E533-C529-4A59-B12B-113FCE8A4D35}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files


C:\Windows\system64

C:\Users\Mateusz\AppData\Local\filebulldogtb

netsh advfirewall reset /C

rd /s /q C:\FRST /C

rd /s /q C:\JRT /C

rd /s /q C:\TDSSKiller_Quarantine /C

rd /s /q C:\Windows\ERUNT /C
 

:Commands

[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart. Wystarczy do oceny tylko log z wynikami usuwania OTL, nowy skan nie jest potrzebny.

 

 

 

,

[Szmati]

No to juz chyba po problemie. Dzięki wielkie, jestem bardzo zaskoczony, że tutaj jest tak szybko i efektownie udzielana pomoc. Normalnie informatyk by zabrał komputer na miesiąc i był kilka stówek wyciągnął, a tu otrzymałem darmową pomoc i sam co nie co się nauczyłem, jeszcze raz wielkie dzięki

05022013_214243.txt

[picasso]

Zroione. Teraz porządki i skany:

 

1. Usuń w prawidłowy sposób narzędzia: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, a resztę używanych już ręcznie dokasuj przez SHIFT+DEL.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zainstaluj Malwarebytes Anti-Malware. Przy pytaniu o wersję wybierz darmową bez rezydenta a nie trial. Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

.

[Szmati]

Wykryło 3 zagrożenia:

MBAM-log-2013-05-03 (11-24-17).txt

[picasso]

1. Wyniki MBAM: wykryte cracki, a za cracki nie biorę odpowiedzialności, na wszelki wypadek usuń.

 

2. Odinstaluj starą Java i wtyczki Adobe Flash, zaktualizuj FileZilla: KLIK. Wg raportu posiadasz następujące wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)

"FileZilla Client" = FileZilla Client 3.5.3

 

3. Prewencyjnie zmień hasła logowania w serwisach.

 

 

Koniec.

 

 

.

[Szmati]

Ok, wielkie dzięki za pomoc. Muszę polecić znajomym ten serwis bo jest tu na prawde, szybko, łatwo no i darmowo Może się tu jeszcze kiedyś pojawię, do zobaczenia