Stan po infekcji "Internet Security Pro"

[zgreg]

Witam ponownie, tym razem pomagam szwagierce, a właściwie jej komputerowi. Pod koniec czerwca br. poprosiła mnie o pomoc. Okazało się, że system zaatakował program o nazwie jak w tytule tematu. Dotychczas jako zabezpieczenie komputera miała wbudowaną zaporę w system Windows 7, Windows Defender i Microsoft Security Essentials, które po ataku przestały działać. Wykonałem następujące czynności (wybaczcie, ale mogę się teraz pomylić w jakiej kolejności, bo minął już 1 miesiąc): jako pierwszą rzecz wyłączyłem komputer, na swoim kompie zrobiłem bootowalnego pendrive'a z nagranym Kaspersky Rescue Disk i uruchomiłem na zainfekowanym komputerze - usunął dużo robactwa (log podam na prośbę pomagającego/pomagającej). Następnie uruchomiłem system normalnie, wyłączyłem usługę przywracanie systemu i zrestartowałem komputer. Potem  sprawdziłem jeszcze komputer za pomocą Malwarebytes Anti-Malware (log podam na prośbę pomagającego/pomagającej), ale już nic nie znalazł. Zastosowałem też aplikację AdwCleaner oraz TDSSKiller (log podam na prośbę pomagającego/pomagającej). Właczyłem przywracanie systemu, oczyściłem komputer ze śmieci za pomocą CCleaner'a, w xp-AntiSpy powyłączałem niepotrzebne rzeczy, zaktualizowałem system i wtyczki (m.in. Adobe, Java) oraz zainstalowałem SpywareBlaster, KAV (miałem nieużywaną licencję) i firewall Comodo. Komputer zaczął normalnie pracować, szwagierka nic już więcej nie chciała sprawdzać, ale ja nadal miałem obawę o bezpieczeństwo jej komputera. Dopiero teraz dała się namówić do dalszego działania. Proszę Was o pomoc w sprawdzeniu logów. P.S. Przed wykonaniem skanu Gmera odinstalowałem oczywiście Daemon Tools Lite, ale narzędzie SPTDinst nie znalazło już sterownika SPTD do odinstalowania i w rejestrze HKLM nie znalazłem już sptd oraz miałem trudność z przesłaniem loga Gmera, dlatego zamieniłem go na txt. Ale dzisiaj dodatkowo użyłem jeszcze Deffoger'a, ale chyba nie miał co wyłączyć, a log też nie chciał przejść.

OTL.Txt

Extras.Txt

gmer.txt

checkup.txt

defogger_disable.txt

[picasso]

Widzę tu uszkodzenia po infekcji rootkitem ZeroAccess, czyli:

 

1. Wg GMER zablokowane katalogi C:\Program Files\Windows Defender + C:\Program Files\Microsoft Security Client. Zapewne oba katalogi są przerobione na linki symboliczne.

 

2. Wymazana zawartość tego klucza:

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]

 

Zanim zadam instrukcje naprawcze, dodaj mi jeszcze logi z FRST + Farbar Service Scanner.

 

 

.

[zgreg]

Już jestem i daję logi.

FRST.txt

Addition.txt

FSS.txt

[picasso]

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}]
@="Microsoft WBEM _WbemFetchRefresherMgr Proxy Helper"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32]
@=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\
65,00,6d,00,5c,00,66,00,61,00,73,00,74,00,70,00,72,00,6f,00,78,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ThreadingModel"="Free"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc]
"Start"=dword:00000002
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Plik umieść bezpośrednio na C:\.

 

2. Otwórz Notatnik i wklej w nim:

 

DeleteJunctionsIndirectory: C:\Program Files\Windows Defender


DeleteJunctionsIndirectory: C:\Program Files\Microsoft Security Client

CMD: TAKEOWN /F C:\$Recycle.Bin /R /A /D T

CMD: icacls C:\$Recycle.Bin /grant Wszyscy:F /T

CMD: rd /s /q C:\$Recycle.Bin

CMD: reg import C:\FIX.REG

Task: {A030B9C0-5636-467A-A883-1DA3A4F24882} - System32\Tasks\Express FilesUpdate => C:\Program Files\ExpressFiles\EFUpdater.exe No File

Task: {D6A4A8BF-2086-407B-B57F-A05585578EE2} - System32\Tasks\{CC2B2F00-9ADC-42D7-96A7-8D253FD765BD} => D:\Bezpieczeństwo\X\SecurityChek\SecurityCheck.exe No File

S1 jtgsqryi; \??\C:\Windows\system32\drivers\jtgsqryi.sys [x]

SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =

C:\Users\antenka\Downloads\.directory

C:\Users\antenka\.directory

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. W Google Chrome jest ustawiona wyszukiwarka adware. Wejdź do ustawień do zarządzania wyszukiwarkami, ustaw Google jako domyślną, po tym skasuj z listy Delta Search.

 

4. Zresetuj system. Zrób nowy log z FRST (bez Addition) + Farbar Service Scanner. Dodaj plik fixlog.txt.

 

 

.

[zgreg]

Zrobiłem powyższe. Co z plikiem fix.reg ?

Fixlog.txt

FRST.txt

FSS.txt

[picasso]

Plik FIX.REG został zaimportowany w skrypcie (komenda CMD: reg import C:\FIX.REG). Wszystko wygląda na wykonane. Jeszcze poprawki:

 

1. Antywirus MSSE jest szczątkowy. Przez SHIFT+DEL dokasuj z dysku już uwolniony folder C:\Program Files\Microsoft Security Client.

 

2. Popraw uprawnienia katalogu C:\Program Files\Windows Defender przywracając dostęp konta TrustedInstaller. Pobierz SetACL (Administrators: Download the EXE version of SetACL). Z folderu 32 bit skopiuj plik SetACL.exe do katalogu C:\Windows. Następnie wykonaj instrukcje z tego posta i przedstaw wynikowy plik C:\log.txt: KLIK.

 

 

 

.

[zgreg]

Witam.
O imporcie Fix.reg wiem - widziałem zapis w skrypcie: "CMD: reg import C:\FIX.REG". Mi chodziło raczej o to czy ten plik będzie jeszcze potrzebny czy można go usunąć.
Oba polecenia wykonane - zatrzymałem się na pliku: C:\log.txt.

 

log.txt

[picasso]

Plik FIX.REG nie jest już potrzebny. Natomiast uprawnienia katalogu Windows Defender są nie do końca takie jak być powinny. Poprawka:

 

1. Otwórz Notatnik i wklej w nim:

 

SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Z prawokliku na plik Uruchom jako Administrator.

 

2. Usuń z dysku poprzedni plik C:\log.txt. Uruchom plik LISTA.BAT. Przedstaw nowy wynikowy C:\log.txt.

 

 

I mam jeszcze pytanie: czy działa wyświetlanie obrazów PNG w Internet Explorer?

 

 

 

.