Zainfekowany komputer. Problem z zaporą i antywirusem

[bartes1987]

Mam problem z zainfekowanym komputerem. Pierwszą przesłanką, że coś jest nie w porządku było zauważenie przeze mnie, że w NOD32 wyłączona jest Ochrona dostępu do stron internetowych, po wejściu w ustawienia okazało się, że opcja ta jest zasłonięta i nie da się jej włączyć. Następnie okazało się, że wyłączona jest również zapora Windows, kiedy próbuję ją włączyć wyskakuje komunikat: "Z powodu niezidentyfikowanego problemu system Windows nie może wyświetlić ustawień zapory systemu Windows". Podobnie w Centrum Zabezpieczeń, CZ jest wyłączone, kiedy próbuję włączyć komunikat: "Nie można uruchomić usługi centrum zabezpieczeń". W przypadku Windows Defender komunikat: "Nie można zainicjować aplikacji: 0x80070006. Nieprawidłowe dojście." Pondato system nie jest w stanie zainstalować aktualizacji. Próbowałem również przeinstalować NOD-a i w tym momencie nie mogę go zainstalować, po jakimś czasie instalacja zostaje przerwana. Użyłem dwóch programów: Malwarebytes' Anti-Malware oraz Spybot - Search & Destroy 2. Obydwa znalazły pewną ilość trojanów i jakiś innych robali- to co znalazły pousuwały ale powższe problemy są w dalszym ciągu. 

 

OTL.Txt

gmer.txt

[picasso]

Na razie widzę tu źle doczyszczone szczątki infekcji: "policyjna", Necurs oraz ZeroAccess. I MBAM źle zedytował dane, już to zresztą zgłaszałam do nich, by poprawili błędne edycje:

 

========== ZeroAccess Check ==========
 

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

"ThreadingModel" = Both

"" = shell32.dll -- [2012-06-08 19:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation)
 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]

"" = fastprox.dll -- [2009-04-11 08:28:19 | 000,614,912 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Free

 

Pobyt ZeroAccess oznacza uszkodzenie wielu usług systemowych, stąd błędy które wyliczasz. Zanim przejdę do usuwania szczątków infekcji i naprawy szkód muszę dostać komplet prawidłowych danych:

 

- Dodaj raporty z narzędzi MBAM / Spybot co usuwały, bo to istotne dla dalszej diagnostyki.

- Dorzuć raport z Farbar Service Scanner.

- Log z OTL niekompletny. Brakuje pliku Extras (opcja "Rejestr - skan dodatkowy nie została ustawiona na "Użyj filtrowania"). Dołącz.

- Log z GMER zrobiony w złych warunkach, należy odinstalować DAEMON Tools + sterownik SPTD: KLIK. Przeprowadź deinstalacje, zresetuj system i zrób nowy GMER.

- Oraz dodatkowy skan. Uruchom SystemLook i w oknie wklej:

 

:dir
C:\$Recycle.Bin /s
 
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Klik w Look.

 

 

 

.

[bartes1987]

Zamieszczam poniżej wszystkie logi z listy. Ze spybota zamieszczam trzy pliki, dwa pierwsze to są raporty z dwóch skanowań, natomiast trzeci to jest zdaje się raport z usuwania znalezionych zagrożeń.

mbam-log-2013-05-21 (17-25-40).txt

spybot_1.txt

spybot_2.txt

spybot_sdcleaner.txt

FSS.txt

Extras.Txt

gmer.txt

SystemLook.txt

[picasso]

Spybot nic ciekawego nie robił, infekcji zasadniczej nie wykrył, tylko drobne rzeczy typu cookie / adware. MBAM miał znacznie większy udział w czyszczeniu, ale i tak nie usunął ZeroAccess z Kosza, tam nadal są jego składniki. Przechodzimy do usuwania wszystkiego i napraw:

 

1. Na początek wyłącz całkowicie rezydenta Spybot, bo będzie przeszkadzał. W zasadzie to proponuję program całkowicie odinstalować. Jest przestarzały i są lepsze skanery (choćby MBAM już tu używany).

 

2. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC} /v AutoStart /t REG_SZ /d "" /f
reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v Load /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v AdobeBridge /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v syshost32 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDrive /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDrive /f
reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar" /v {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} /f
TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A /D T
icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T
icacls C:\$Recycle.Bin\S-1-5-21-368490323-1643295968-3035913019-1004\$ae15d8ac48ca9c942e95b8e6ae3ad33f /grant Wszyscy:F /T
rd /s /q C:\$Recycle.Bin
rd /s /q "C:\Users\Bartek\Local Settings"
del /q C:\ProgramData\0tbpw.pad
del /q C:\ProgramData\70b188d.dat
del /q C:\ProgramData\Fo6fmFSx.exe_.b
del /q C:\ProgramData\Fo6fmFSx.exe.b
sc delete System_Repair_UpdateMonitor
sc delete IGRS
sc delete btwdins
sc delete BcmSqlStartupSvc
sc delete gUSBSTOi
sc delete eamonm
sc delete catchme
sc config "PLAY ONLINE. RunOuc" start= demand
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator.

 

3. Uruchom Firefox i w Dodatkach odinstaluj adware QuickStores-Toolbar.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Uruchom ServicesRepair w celu odbudowy skasowanych usług.

 

6. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner i SystemLook na te same warunki co poprzednio. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[bartes1987]

Wykonałem powyższe zalecenia. Wszystkie usługi, o których pisałem już działają, NOD32 też się zainstalował, w Centrum Zabezpieczeń wszystko na zielono. Zamieszczam poniżej logi. 

OTL.Txt

FSS.txt

SystemLook.txt

AdwCleanerS1.txt

[picasso]

Zadania pomyślnie wykonane, tylko czynności poprawkowe:

 

1. Na czas wykonania skryptu wyłącz rezydent MBAM, bo wystąpi konflikt przy zabijaniu procesów. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
F3 - HKCU WinNT: Load - (C:\Users\Bartek\LOCALS~1\Temp\mscuvsyv.scr) - File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe File not found
[2013-05-21 16:00:58 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2013-05-21 16:00:25 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy 2
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PLAY ONLINE. RunOuc]
"Start"=dword:00000003
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z wynikami usuwania OTL.

 

 

 

.

[bartes1987]

Zamieszczam logi. 

OTL.Txt

05232013_220925.txt

[picasso]

Akcja pomyślnie przeprowadzona. Możemy przejść do wykończeń:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, resztę narzędzi usuń po prostu ręcznie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu są tu zainstalowane następujące wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{9E35B051-C7EE-47CB-BA43-9A7FFD4E61DE}" = OpenOffice.org 3.1

"{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish

"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)

"Mozilla Firefox 8.0.1 (x86 pl)" = Mozilla Firefox 8.0.1 (x86 pl)

"Opera 12.14.1738" = Opera 12.14
 

========== HKEY_CURRENT_USER Uninstall List ==========
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Google Chrome" = Google Chrome 26.0.1410.64
 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()

FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.17.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.0.60310.0\npctrl.dll ( Microsoft Corporation)

 

4. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

.