adamp1 Opublikowano 20 Czerwca 2013 Zgłoś Udostępnij Opublikowano 20 Czerwca 2013 Na komputerze zainstalował sie Internet Security PRO 2013, który wyłączył mi inny program antywirusowy. Udało mi się prawdopodobnie usunąć go, ale nie mogę włączyć Zapory systemu Windows. Przy próbie włączenia pojawia sie komunikat jak w załączeniu. W miarę możliwości proszę o pomoc w godz. 8:00 - 15:00. W innych godzinach nie mam do tego komputera dostępu. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2013 Zgłoś Udostępnij Opublikowano 20 Czerwca 2013 Internet Security PRO 2013 to ta mniejsza część infekcji. Tu działa rootkit ZeroAccess (uruchamiany z Kosza), który zrobił mnóstwo szkód w systemie: m.in skasowana usługa Zapory systemu, dlatego nie można tej funkcji uruchomić. Logi z OTL zdają się być zrobione z poziomu nieprawidłowego konta, czyli wbudowanego w system Administratora a nie konta użytkowqnika: Computer Name: AROM2B | User Name: Administrator | Logged in as Administrator. Dlatego też nie widać wszystkich składników ZeroAcess (nie jest wykryta część należna do konkretnego konta). W systemie są konta: AMAD, AROM, KAD, LEX, TWYP. Nie wiadomo które z nich jest zainfekowane i niestety nie mam kompletnych danych (takich jak SID zainfekowanego konta potrzebny do usunięcia katalogu Kosza). Przechodzimy do usuwania, musisz być zalogowany na zainfekowanym koncie (a nie na Administratorze): 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\fastprox.dll /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Uruchom ten plik przez dwuklik. Konieczny restart komputera, by odładować infekcję z pamięci. 2. Otwórz Notatnik i wklej w nim: cacls C:\RECYCLER /T /E /G Wszyscy:F rd /s /q C:\RECYCLER pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Uruchom ten plik przez dwuklik. 3. Zrób nowy log OTL z opcji Skanuj oraz Farbar Service Scanner. . Odnośnik do komentarza
adamp1 Opublikowano 21 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2013 Wykonałem zalecenia na koncie na którym wykryto zagrożenie. Dodaję, że do komputera zainfekowanego dostęp mam tylko w dni robocze w w/w godzianch. OTL.Txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2013 Zgłoś Udostępnij Opublikowano 26 Czerwca 2013 Nie ma żadnych zmian. Infekcja nadal się uruchamia: [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] "" = C:\RECYCLER\S-1-5-21-1497286466-3978503659-2079644369-1011\$ff24043d55f85ce9a20a8337d9b4b888\n. [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\n. W jaki sposób robiłeś i uruchamiałeś pliki FIX.BAT? Co się pokazywało podczas ich uruchomienia? . Odnośnik do komentarza
adamp1 Opublikowano 27 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2013 Przepraszam musiałem coś namieszać, bo po uruchamianiu tego pliku pojawił się na chwilkę czarny ekran DOS'a i znikał. Zrobiłem jeszcze raz i teraz po wykonaniu zadań prosił mnie o naciśnięcie dowolnego klawisza. Przesyłam ponownie wyniki z OTL. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2013 Zgłoś Udostępnij Opublikowano 27 Czerwca 2013 Tylko nowy raport z OTL był potrzebny, skan z FSS zostaje ten sam, bo jeszcze akcja odtworzenia Zapory nie została podjęta. Usuwam nadwyżkowy załącznik. Teraz akcja pomyślnie wykonana. Ale czy na pewno drugi FIX.BAT też? Kosz się nie odświeżył na dysku... Kolejne operacje: 1. Doczyszczenie szczątków. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found O4 - HKU\S-1-5-21-1497286466-3978503659-2079644369-1011..\Run: [internet Security] C:\Documents and Settings\All Users\Dane aplikacji\insecure.exe File not found O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} Reg Error: Key error. (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\DRIVERS\wATV03nt.sys -- (iAimTV2) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Rekonstrukcja usługi Zapory. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000042e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Adnotacja dla innych czytających: import dopasowany do Windows XP. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Zważ, że teraz tworzysz plik o nazwie FIX.REG a nie FIX.BAT. Uruchom plik przez dwuklik, potwierdź import do rejestru. 3. Zresetuj system. Zrób nowe raporty: OTL z opcji Skanuj (bez Extras) + Farbar Service Scanner. Dodatkowo, niepokoi mnie Kosz, więc i skan jego zawartości. Uruchom SystemLook i w oknie wklej: :dir C:\RECYCLER /s Klik w Look. . Odnośnik do komentarza
adamp1 Opublikowano 27 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2013 Wykonano zalecenia i przesyłam pliki wynikowe OTL.Txt SystemLook.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2013 Zgłoś Udostępnij Opublikowano 27 Czerwca 2013 Zadania usuwające / naprawcze wykonane. Ale przecież wpisałeś kuriozalną nazwę do SystemLook: c:\RECVCLER - Unable to find folder. Do skanu miałeś wkleić to (litera Y a nie V): :dir C:\RECYCLER /s . Odnośnik do komentarza
adamp1 Opublikowano 27 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2013 Przesyłam prawidłowy wynik SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2013 Zgłoś Udostępnij Opublikowano 28 Czerwca 2013 (edytowane) Kosz wygląda w porządku. Wszystko wykonane. Możemy kończyć: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie, resztę narzędzi i fiksów ręcznie usuń. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Dla pewności zrób jeszcze skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. . Edytowane 25 Sierpnia 2013 przez picasso 25.08.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi