Infekcja ZeroAccess

[Zizak]

Witam,

dziś ESET NOD32 zaczął wyrzucać mi komunikaty o zagrożeniu takimi oto rzeczami:

-Sirfef.A

-Condex.B

-Condex.C

-Win64/PatchedA.Gen (zdarzenie nastąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe

 

Wydaje mi się, że nastąpiło to po pobraniu jakiegoś torrenta, niestety nie jestem w stanie określić jakiego.

Wedle sugestii usunąłem Deamonna poprzez opcję uninstal (nie wiem czy to wystarczyło)

Załączam logi oraz raport ze skanowania antywirusem. Nic poza skanowaniem antywirusem z tym nie robiłem.

Poproszę o pomoc i z góry dziękuję.

GMER.txt

Extras.Txt

OTL.Txt

Eset Nod.txt

[picasso]

Wedle sugestii usunąłem Deamonna poprzez opcję uninstal (nie wiem czy to wystarczyło)

 

Nie wystarczy. Usunięcie programu nie usuwa sterownika SPTD, który należy usunąć osobno narzędziem SPTDinst. Sterownik nadal w Twoim systemie w stanie uruchomionym (i zaciemnia skan GMER):

 

DRV:64bit: - [2010-07-25 12:21:26 | 000,834,544 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd)

 

Zanim przejdę do usuwania infekcji, potrzebne dodatkowe dane:

 

1. Uruchom SystemLook x64 i w oknie wklej:

 

:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy log.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę dir /s "C:\Program Files\Windows Defender" > C:\log.txt i ENTER. Przedstaw wynikowy plik C:\log.txt.

 

3. Log z Farbar Service Scanner.

 

 

 

 

.

[Zizak]

Wykorzystałem narzędzie SPTDinst wedle instrukcji, po restarcie zrobiłem nowe skanowania.

Załączam nowe logi:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 16:51 on 10/06/2013 by Artur

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] (Unable to calculate MD5)

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

GMER.txt

log.txt

FSS.txt

[picasso]

Nowy skan OTL zbędny (usuwam nadwyżkę logów), tylko dla GMER ma znaczenie usunięcie sterownika SPTD. Wg pozostałych skanów: plik systemowy services.exe wygląda na zainfekowany (plik jest zablokowany i nie można obliczyć sumy kontrolnej), skasowane usługi systemowe, rozwalony Windows Defender (linki symboliczne utworzone przez infekcję na wszystkich jego plikach).

 

1. Przejdź w Tryb awaryjny Windows. Uruchom GrantPerms x64 i w oknie wklej:

 

C:\Windows\System32\services.exe

 

Klik w Unlock. Następnie Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

ENTER. Zresetuj system, by ukończyć naprawę pliku. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie przechodź do wykonania dalszych czynności, tylko od razu zgłoś się na forum.

 

2. Otwórz Notatnik i wklej w nim:

 

attrib -s -h C:\Windows\Installer\{b1b51af0-ef4b-30b6-5c6f-503c303301f5}


attrib -s -h C:\Windows\SysWow64\%APPDATA%

attrib -s -h C:\Windows\assembly\GAC_32\Desktop.ini

attrib -s -h C:\Windows\assembly\GAC_64\Desktop.ini

rd /s /q C:\Windows\Installer\{b1b51af0-ef4b-30b6-5c6f-503c303301f5}

rd /s /q C:\Windows\SysWow64\%APPDATA%

rd /s /q C:\Users\Artur\AppData\Roaming\Avasz

rd /s /q C:\Users\Artur\AppData\Roaming\Egqez

rd /s /q C:\Users\Artur\AppData\Roaming\Kauq

rd /s /q C:\Users\Artur\AppData\Roaming\Lacys

rd /s /q C:\Users\Artur\AppData\Roaming\Qely

rd /s /q C:\Users\Artur\AppData\Roaming\Sailk

rd /s /q C:\ProgramData\APN

del /q C:\Windows\assembly\GAC_32\Desktop.ini

del /q C:\Windows\assembly\GAC_64\Desktop.ini

del /q C:\Users\Artur\AppData\Local\Temp*.html

fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpAsDesc.dll"

fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpClient.dll"

fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpCmdRun.exe"

fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpCommu.dll"

fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpEvMsg.dll"

fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpOAV.dll"

fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpRTP.dll"

fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpSvc.dll"

fsutil reparsepoint delete "C:\Program Files\Windows Defender\MSASCui.exe"

fsutil reparsepoint delete "C:\Program Files\Windows Defender\MsMpCom.dll"

fsutil reparsepoint delete "C:\Program Files\Windows Defender\MsMpLics.dll"

fsutil reparsepoint delete "C:\Program Files\Windows Defender\MsMpRes.dll"

fsutil reparsepoint delete "C:\Program Files\Windows Defender\pl-PL"

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ /d "" /f

reg delete "HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions" /v {6E19037A-12E3-4295-8915-ED48BC341614} /f

reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}" /f

netsh winsock reset

pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Zresetuj system, by ukończyć naprawę Winsock.

 

3. Uruchom ServicesRepair i zresetuj system.

 

4. Przez Panel sterowania odinstaluj adware vShare Plugin. Następnie uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner, SystemLook na te same warunki oraz komendę dir jak poprzednio. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Zizak]

Zrobione wszystko wg instrukcji.

Jeszcze tylko pytanie: co mam zrobić z powstałym katalogiem CC Support oraz z plikiem Fix.bat ?

Załączam nowe logi:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 22:41 on 10/06/2013 by Artur

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

AdwCleanerS1.txt

OTL.Txt

FSS.txt

log.txt

[picasso]

Plik log.txt wygląda na stary sprzed naprawy. Miałeś zrobić od nowa log:

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę dir /s "C:\Program Files\Windows Defender" > C:\log.txt i ENTER. Przedstaw wynikowy plik C:\log.txt.

 

Jeszcze tylko pytanie: co mam zrobić z powstałym katalogiem CC Support oraz z plikiem Fix.bat ?

To będzie do skasowania, ale na razie Cię takie szczegóły nie interesują, tu jeszcze prace przed nami.


.

[Zizak]

Załączam log, robiłem go jeszcze raz, więc powinien być nowy.

log.txt

[picasso]

Tak, to nowy log, poświadcza bowiem naprawę składników Windows Defender. Ale to nie koniec w tym obszarze, wymagany reset uprawnień Windows Defender. Kolejne działania adresujące to oraz inne poprawki:

 

1. Pobierz SetACL (Administrators: Download the EXE version of SetACL). Z folderu 64 bit skopiuj plik SetACL.exe do katalogu C:\Windows. Otwórz Notatnik i wklej w nim:

 

SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Windows\SysWow64\%APPDATA%" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Windows\SysWow64\%APPDATA%" -ot file -actn ace -ace "n:Administratorzy;p:full"
SetACL -on "C:\Windows\assembly\GAC_64\Desktop.ini" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Windows\assembly\GAC_64\Desktop.ini" -ot file -actn ace -ace "n:Administratorzy;p:full"
attrib -s -h C:\Windows\SysWow64\%APPDATA%
attrib -s -h C:\Windows\assembly\GAC_64\Desktop.ini
rd /s /q C:\Windows\SysWow64\%APPDATA%
del /q C:\Windows\assembly\GAC_64\Desktop.ini
reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {6A1806CD-94D4-4689-BA73-E35EA1EA9990} /f
reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {6A1806CD-94D4-4689-BA73-E35EA1EA9990} /f
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {6A1806CD-94D4-4689-BA73-E35EA1EA9990} /f
reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Z prawokliku na plik Uruchom jako Administrator.

 

2. Usuń z dysku poprzedni plik C:\log.txt. Otwórz Notatnik i wklej w nim:

 

SetACL -on "C:\Program Files\Windows Defender" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt


SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\pl-PL\MpAsDesc.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\pl-PL\MpEvMsg.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\pl-PL\MsMpRes.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako LISTA.BAT

 

Z prawokliku na plik Uruchom jako Administrator. Przedstaw wynikowy C:\log.txt.

 

3. Zrób też nowy log OTL z opcji Skanuj (bez Extras).

 

 

.

[Zizak]

wedle instrukcji..

OTL.Txt

log.txt

[picasso]

Miałeś skasować C:\log.txt przed uruchomieniem LISTA.BAT (nagrywa w trybie przyrostowym, nie nadpisuje pliku), by plik miał tylko nowe dane. Wygląda też na to, że uruchomiłeś LISTA.BAT aż dwa razy, bo jest duplikat danych. Ale to tylko komentarze poboczne, gdyż zadania właściwe wykonane. Został jeden szczegół, nie usunął się ten folder, mimo że resetowałam mu uprawnienia:

 

[2013-06-09 13:34:53 | 000,000,000 | -HSD | C] -- C:\Windows\SysWow64\%APPDATA%

 

1. Uruchom tym razem GrantPerms, w oknie wklej co poniżej i klik w Unlock.

 

C:\Windows\SysWow64\%APPDATA%

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files


C:\Windows\SysWow64\%APPDATA%
 

:OTL

O4 - HKU\S-1-5-21-1603104866-2990463119-2832859807-1000..\RunOnce: [avg_spchecker] "C:\Program Files (x86)\AVG\AVG9\Notification\SPChecker1.exe" /start File not found

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (MksSkanerOnline Class)

O16 - DPF: {D28CDB2E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.)
 

:Commands

[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. Przedstaw go.

 

 

 

 

.

[Zizak]

problem z załączeniem pliku...

 

dlatego zamieszczam w inny sposób:

 

All processes killed

========== FILES ==========

C:\Windows\SysWow64\%APPDATA%\Microsoft\Windows\IETldCache folder moved successfully.

C:\Windows\SysWow64\%APPDATA%\Microsoft\Windows folder moved successfully.

C:\Windows\SysWow64\%APPDATA%\Microsoft folder moved successfully.

C:\Windows\SysWow64\%APPDATA% folder moved successfully.

========== OTL ==========

Registry key HKEY_USERS\S-1-5-21-1603104866-2990463119-2832859807-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce not found.

Starting removal of ActiveX control {68282C51-9459-467B-95BF-3C0E89627E55}

C:\Windows\Downloaded Program Files\SkanerOnline.inf moved successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{68282C51-9459-467B-95BF-3C0E89627E55}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{68282C51-9459-467B-95BF-3C0E89627E55}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{68282C51-9459-467B-95BF-3C0E89627E55}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{68282C51-9459-467B-95BF-3C0E89627E55}\ not found.

Starting removal of ActiveX control {D28CDB2E-AE6D-11CF-96B8-444553540000}

C:\Windows\Downloaded Program Files\CONFLICT.1\swflash.inf moved successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D28CDB2E-AE6D-11CF-96B8-444553540000}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D28CDB2E-AE6D-11CF-96B8-444553540000}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{D28CDB2E-AE6D-11CF-96B8-444553540000}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D28CDB2E-AE6D-11CF-96B8-444553540000}\ not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Artur

->Temp folder emptied: 499382 bytes

->Temporary Internet Files folder emptied: 297298111 bytes

->Java cache emptied: 13882880 bytes

->Flash cache emptied: 13336 bytes

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

User: UpdatusUser

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 77892 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36033503 bytes

RecycleBin emptied: 96185 bytes

 

Total Files Cleaned = 332,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 06122013_164313

 

Files\Folders moved on Reboot...

C:\Users\Artur\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

C:\Users\Artur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\W5XC4KKY\likeCAVZ00BQ.htm moved successfully.

C:\Users\Artur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\P93AB0YA\xd_arbiter[1].htm moved successfully.

C:\Users\Artur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\H078E0GP\xd_arbiter[1].htm moved successfully.

C:\Users\Artur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\FSOA16DL\fastbutton[4].htm moved successfully.

C:\Users\Artur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\7VAOPAU7\18373-infekcja-zeroaccess[4].htm moved successfully.

C:\Users\Artur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat moved successfully.

C:\Users\Artur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.

 

PendingFileRenameOperations files...

 

Registry entries deleted on Reboot...

[picasso]

"Problem z załączeniem pliku": objaśnia to Pomoc forum (link na spodzie strony), załączniki akceptują tylko rozszerzenie *.TXT a nie *.LOG, wystarczy zmienić nazwę pliku lub zapisać do nowego pliku.

 

Zadanie wykonane, przechodzimy do wykończeń:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, resztę i pliki BAT dokasuj przez SHIFT+DEL ręcznie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj ten mierny skaner Spybot - Search & Destroy. Za to wykonaj pełny skan za pomocą Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[Zizak]

1. zrobione

2. zrobione

3. spybot odinstalowany, skan Malwarebytes nie znalazł zagrożeń.

Wygląda na to, że wszystko w porządku.

Mam tylko jeszcze 2 małe pytania:

- czy mam zainstalować update Javy? System proponuje mi to co jakiś czas, słyszałem, że czasem wraz z updatem ściągają się jakieś "złe" pliki;

- pojawił mi się dziś na dysku D katalog o nazwie "11a71033c6e404bf6a12" a w nim trzy pliki

"1.151.1787.0_to_1.151.1977.0_mpasdlta.vdm._p"

"mpasdlta.vdm"

"MpMiniSigStub"

czy to coś złego ?

 

Dziękuję za pomoc.

[picasso]

Na zakończenie:

1. Odinstaluj starą Javę i produkty Adobe, zastąp najnowszymi (o ile potrzebne): KLIK. Wg raportu są tu zainstalowane następujące wersje:

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 24
"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_202.dll ()

Dodatkowe uwagi:
- Proponuję pozbyć się też firmowego ASUS WebStorage, by zapobiec takim cyrkom: KLIK.
- Nie ma sensu się męczyć na Gadu-Gadu 7.7. Program stary, niezdolny obsłużyć własną sieć i słabo zabezpieczony (brak szyfrowania). Obejrzyj nowoczesne alternatywy: WTW (polecam), Kadu, AQQ, Miranda NG. Wszystkie opisy tu: KLIK.

2. Prewencyjnie zmień hasła logowania w serwisach.

 

- czy mam zainstalować update Javy? System proponuje mi to co jakiś czas, słyszałem, że czasem wraz z updatem ściągają się jakieś "złe" pliki;

Javę omawiam wyżej ("o ile potrzebne"). O co Ci chodzi ze "złymi" plikami?
 

- pojawił mi się dziś na dysku D katalog o nazwie "11a71033c6e404bf6a12" a w nim trzy pliki
- "1.151.1787.0_to_1.151.1977.0_mpasdlta.vdm._p"
- "mpasdlta.vdm"
- "MpMiniSigStub"
czy to coś złego ?

Te alfanumeryczne foldery tworzone w głównym katalogu dysku z największą ilością wolnego miejsca (czyli niekoniecznie na dysku systemowym) to produkty aktualizacji systemu. Łaty przed instalacją zasadniczą są ekstraktowane do tymczasowego folderu omawianej tu postaci. Oceniając zawartość tego konkretnego katalogu (plik MpMiniSigStub) = jest to odpadek po instalacji aktualizacji definicji Windows Defender.

Foldery tego rodzaju po pomyślnym zainstalowaniu aktualizacji można usunąć, ale nie uda się to "od ręki", gdyż foldery mają tak ustawione uprawnienia, by Administratorzy nie mieli dostępu. Przed próbą usuwania należy zresetować uprawnienia tym folderom przejmując je Własność + przypisując sobie Pełną kontrolę w oparciu o instrukcje: KLIK.



.

[Zizak]

Ok, uaktualniłem Javę i resztę Adobe. Odinstalowałem WebStorage i wyrzuciłem ten katalog alfanumeryczny z zawartością (wyrzucił się bez problemu, chyba w takim razie moje konto ma uprawnienia).

To chyba już wszystko.

Jeszcze raz dziękuję za pomoc.

[picasso]

Wydaje mi się, że nastąpiło to po pobraniu jakiegoś torrenta, niestety nie jestem w stanie określić jakiego.

 

Ad tego tematu: KLIK. Ja u Ciebie też widzę kodeki zainstalowane w dniu, w którym zgłosiłeś infekcję na forum:

 

[2013-06-09 13:27:39 | 000,000,000 | ---D | C] -- C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\x264 Video Codec
[2013-06-09 13:23:55 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ffdshow

 

Usuń z Menu Start te pozycje i róznież zastosuj Codec Tweak Tool.

 

 

 

.

[Zizak]

zrobione