ZeroAccess i blokada Centrum zabezpieczeń

[braz]

Witam, udało mi się uporać z wirusem, na tyle, że co chwilę nie wyskakują mi powiadomienia o kolejnych zainfekowanych plikach. Natomiast coś musi siedzieć jeszcze w systemie. Nie uruchamia się Centrum zabezpieczeń, a może jeszcze coś, o czym nie wiem.

Jeśli jest coś jeszcze potrzebne do zdiagnozowania problemu poza logami z OTL'a, to wykonam.

Bardzo proszę o pomoc i z góry dziękuję.

 

Extras.Txt

OTL.Txt

[picasso]

Opisz kroki, które wykonywałeś, a infekcja nie wygląda na usuniętą (multum obiektów na dysku + przekierowany Winsock). Centrum nie działa, bo go już nie ma w systemie (ZeroAccess kompletnie kasuje usługi Centrum / Zapory / Windows Update). Podaj dodatkowe dane:

1. Uruchom SystemLook x64 i w oknie wklej:

:filefind
services.exe

Klik w Look. Przedstaw wynikowy log.

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę dir /s "C:\Program Files\Windows Defender" > C:\log.txt i ENTER. Przedstaw wynikowy plik C:\log.txt.

3. Log z Farbar Service Scanner.


Nawiasem mówiąc, coraz bardziej mi się wydaje, że nowa dystrybucja ZeroAccess pochodzi z tej instalacji:

[2013-06-12 03:05:46 | 000,000,000 | ---D | C] -- C:\Users\BRAZ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\x264 Video Codec
[2013-06-12 03:05:45 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\x264 Video Codec

Widzę to ostatnio w logach z tą infekcją. Poprzednim źródłem tej infekcji były też m.in. kodeki, pakiet "Mega Codec Pack" z torrentów. Tak więc: pobierałeś i uruchamiałeś coś z torrentów?



.

[braz]

Wszystkie punkty wykonane. Tak, niestety torrent i na sto procent chodzi o wskazane kodeki x264 Video Codec, bo po ściągnięciu zaczęły się wszystkie problemy.

FSS.txt

log.txt

SystemLook.txt

[picasso]

Wygląda na to, że infekcja nie jest czynna, ale należy usunąć jej obiekty z dysku oraz naprawić sporą ilość szkód (uszkodzony Winsock, skasowane usługi, Windows Defender przerobiony na linki symboliczne). Poza tym, w systemie działa też śmietnisko adware. Akcja:

 

1. Odinstaluj adware:

- Przez Panel sterowania: 2YourFace 1.0, AVG Security Toolbar, Complitly, Smart Suggestor, Update for Mipony Download Manager, WebCake 3.00

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. Otwórz Notatnik i wklej w nim:

 

fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpAsDesc.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpClient.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpCmdRun.exe"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpCommu.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpEvMsg.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpOAV.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpRTP.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpSvc.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MSASCui.exe"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MsMpCom.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MsMpLics.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MsMpRes.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\pl-PL"
attrib -s -h C:\Windows\Installer\{ecf83b02-7ee4-236d-4099-b8f100b22574}
attrib -s -h C:\Windows\assembly\GAC_32\Desktop.ini
attrib -s -h C:\Windows\assembly\GAC_64\Desktop.ini
rd /s /q C:\Windows\Installer\{ecf83b02-7ee4-236d-4099-b8f100b22574}
del /q C:\Windows\assembly\GAC_32\Desktop.ini
del /q C:\Windows\assembly\GAC_64\Desktop.ini
rd /s /q "C:\Users\BRAZ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\x264 Video Codec"
rd /s /q "C:\Program Files (x86)\x264 Video Codec"
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ /d "" /f
netsh winsock reset
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Zresetuj system, by ukończyć naprawę Winsock.

 

3. Uruchom ServicesRepair i zresetuj system.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Uruchom Codec Tweak Tool i zastosuj funkcję Fixes.

 

6. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner oraz nowy C:\log.txt komendą dir zadaną wcześniej. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[braz]

Jedynie WebCake 3.00 z poziomu panelu sterowania nie chciał się odinstalować, wyskakiwał błąd "setup initialization error", ale po zastosowaniu wszystkich pozostałych kroków już go nie ma.

AdwCleanerS1.txt

FSS.txt

log.txt

OTL.Txt

[picasso]

Prawie wszystko zrobione. Nie puściły podrobione pliki desktop.ini wstawione przez infekcję oraz Windows Defender wymaga resetu uprawnień.

 

1. Pobierz SetACL (Administrators: Download the EXE version of SetACL). Z folderu 64 bit skopiuj plik SetACL.exe do katalogu C:\Windows. Otwórz Notatnik i wklej w nim:

 

SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Windows\assembly\GAC_32\Desktop.ini" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Windows\assembly\GAC_32\Desktop.ini" -ot file -actn ace -ace "n:Administratorzy;p:full"
SetACL -on "C:\Windows\assembly\GAC_64\Desktop.ini" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Windows\assembly\GAC_64\Desktop.ini" -ot file -actn ace -ace "n:Administratorzy;p:full"
reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Z prawokliku na plik Uruchom jako Administrator.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files


C:\Windows\assembly\GAC_32\Desktop.ini

C:\Windows\assembly\GAC_64\Desktop.ini

C:\Windows\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job

C:\Windows\tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job

C:\Users\BRAZ\AppData\Roaming\Splashtop

@C:\Users\BRAZ\AppData\Local\Temp:dpnIIZXRLkhZuXXvqQGYyGSRQwaO

@C:\Program Files\Common Files\Microsoft Shared:TuTwOMDJggXoWE8iWFj

@C:\ProgramData\Microsoft:F4vXk0vnpKLm7GlXKhiph

@C:\ProgramData\Microsoft:Uuv7GvZIxLx3Yu18nHgx41plo
 

:Commands

[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Usuń z dysku poprzedni plik C:\log.txt. Otwórz Notatnik i wklej w nim:

 

SetACL -on "C:\Program Files\Windows Defender" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt


SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\pl-PL\MpAsDesc.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\pl-PL\MpEvMsg.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\pl-PL\MsMpRes.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako LISTA.BAT

 

Z prawokliku na plik Uruchom jako Administrator.

 

4. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz wynikowy C:\log.txt powstały w punkcie 3.

 

 

.

[braz]

Wykonane zgodnie z instrukcją. Czy to już czas na podziękowania?

OTL.Txt

log.txt

[picasso]

Zrobione. Kroki końcowe:

1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj pliki SetACL / naprawcze i poniżej wymienione foldery na Pulpitach.

C:\Users\Public\Desktop\CC Support
C:\Users\BRAZ\Desktop\Stare dane programu Firefox

2. W Dzienniku zdarzeń masz błąd WMI numer 10. Napraw narzędziem Fix-it: KLIK.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Zaktualizuj Filezilla i Office 2007 (instalacja SP3): KLIK. Wersje notowane na Twojej liście zainstalowanych:

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"ENTERPRISE" = Microsoft Office Enterprise 2007
"FileZilla Client" = FileZilla Client 3.6.0.2

5. Prewencyjnie zmień hasła logowania w serwisach.



.

[braz]

Wszystko wykonane zgodnie z zaleceniami, śmiga elegancko, bez zarzutów.

Bardzo dziękuję za poświęcony czas i rozwiązanie problemu w ekspresowym tempie.