zgreg Opublikowano 22 Lipca 2013 Zgłoś Udostępnij Opublikowano 22 Lipca 2013 Witam ponownie, tym razem pomagam szwagierce, a właściwie jej komputerowi. Pod koniec czerwca br. poprosiła mnie o pomoc. Okazało się, że system zaatakował program o nazwie jak w tytule tematu. Dotychczas jako zabezpieczenie komputera miała wbudowaną zaporę w system Windows 7, Windows Defender i Microsoft Security Essentials, które po ataku przestały działać. Wykonałem następujące czynności (wybaczcie, ale mogę się teraz pomylić w jakiej kolejności, bo minął już 1 miesiąc): jako pierwszą rzecz wyłączyłem komputer, na swoim kompie zrobiłem bootowalnego pendrive'a z nagranym Kaspersky Rescue Disk i uruchomiłem na zainfekowanym komputerze - usunął dużo robactwa (log podam na prośbę pomagającego/pomagającej). Następnie uruchomiłem system normalnie, wyłączyłem usługę przywracanie systemu i zrestartowałem komputer. Potem sprawdziłem jeszcze komputer za pomocą Malwarebytes Anti-Malware (log podam na prośbę pomagającego/pomagającej), ale już nic nie znalazł. Zastosowałem też aplikację AdwCleaner oraz TDSSKiller (log podam na prośbę pomagającego/pomagającej). Właczyłem przywracanie systemu, oczyściłem komputer ze śmieci za pomocą CCleaner'a, w xp-AntiSpy powyłączałem niepotrzebne rzeczy, zaktualizowałem system i wtyczki (m.in. Adobe, Java) oraz zainstalowałem SpywareBlaster, KAV (miałem nieużywaną licencję) i firewall Comodo. Komputer zaczął normalnie pracować, szwagierka nic już więcej nie chciała sprawdzać, ale ja nadal miałem obawę o bezpieczeństwo jej komputera. Dopiero teraz dała się namówić do dalszego działania. Proszę Was o pomoc w sprawdzeniu logów. P.S. Przed wykonaniem skanu Gmera odinstalowałem oczywiście Daemon Tools Lite, ale narzędzie SPTDinst nie znalazło już sterownika SPTD do odinstalowania i w rejestrze HKLM nie znalazłem już sptd oraz miałem trudność z przesłaniem loga Gmera, dlatego zamieniłem go na txt. Ale dzisiaj dodatkowo użyłem jeszcze Deffoger'a, ale chyba nie miał co wyłączyć, a log też nie chciał przejść. OTL.Txt Extras.Txt gmer.txt checkup.txt defogger_disable.txt Odnośnik do komentarza
picasso Opublikowano 23 Lipca 2013 Zgłoś Udostępnij Opublikowano 23 Lipca 2013 Widzę tu uszkodzenia po infekcji rootkitem ZeroAccess, czyli: 1. Wg GMER zablokowane katalogi C:\Program Files\Windows Defender + C:\Program Files\Microsoft Security Client. Zapewne oba katalogi są przerobione na linki symboliczne. 2. Wymazana zawartość tego klucza: [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] Zanim zadam instrukcje naprawcze, dodaj mi jeszcze logi z FRST + Farbar Service Scanner. . Odnośnik do komentarza
zgreg Opublikowano 23 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 23 Lipca 2013 Już jestem i daję logi. FRST.txt Addition.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 23 Lipca 2013 Zgłoś Udostępnij Opublikowano 23 Lipca 2013 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}] @="Microsoft WBEM _WbemFetchRefresherMgr Proxy Helper" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32] @=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\ 65,00,6d,00,5c,00,66,00,61,00,73,00,74,00,70,00,72,00,6f,00,78,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ThreadingModel"="Free" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc] "Start"=dword:00000002 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Plik umieść bezpośrednio na C:\. 2. Otwórz Notatnik i wklej w nim: DeleteJunctionsIndirectory: C:\Program Files\Windows Defender DeleteJunctionsIndirectory: C:\Program Files\Microsoft Security Client CMD: TAKEOWN /F C:\$Recycle.Bin /R /A /D T CMD: icacls C:\$Recycle.Bin /grant Wszyscy:F /T CMD: rd /s /q C:\$Recycle.Bin CMD: reg import C:\FIX.REG Task: {A030B9C0-5636-467A-A883-1DA3A4F24882} - System32\Tasks\Express FilesUpdate => C:\Program Files\ExpressFiles\EFUpdater.exe No File Task: {D6A4A8BF-2086-407B-B57F-A05585578EE2} - System32\Tasks\{CC2B2F00-9ADC-42D7-96A7-8D253FD765BD} => D:\Bezpieczeństwo\X\SecurityChek\SecurityCheck.exe No File S1 jtgsqryi; \??\C:\Windows\system32\drivers\jtgsqryi.sys [x] SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = C:\Users\antenka\Downloads\.directory C:\Users\antenka\.directory Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. W Google Chrome jest ustawiona wyszukiwarka adware. Wejdź do ustawień do zarządzania wyszukiwarkami, ustaw Google jako domyślną, po tym skasuj z listy Delta Search. 4. Zresetuj system. Zrób nowy log z FRST (bez Addition) + Farbar Service Scanner. Dodaj plik fixlog.txt. . Odnośnik do komentarza
zgreg Opublikowano 23 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 23 Lipca 2013 Zrobiłem powyższe. Co z plikiem fix.reg ? Fixlog.txt FRST.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2013 Zgłoś Udostępnij Opublikowano 27 Lipca 2013 Plik FIX.REG został zaimportowany w skrypcie (komenda CMD: reg import C:\FIX.REG). Wszystko wygląda na wykonane. Jeszcze poprawki: 1. Antywirus MSSE jest szczątkowy. Przez SHIFT+DEL dokasuj z dysku już uwolniony folder C:\Program Files\Microsoft Security Client. 2. Popraw uprawnienia katalogu C:\Program Files\Windows Defender przywracając dostęp konta TrustedInstaller. Pobierz SetACL (Administrators: Download the EXE version of SetACL). Z folderu 32 bit skopiuj plik SetACL.exe do katalogu C:\Windows. Następnie wykonaj instrukcje z tego posta i przedstaw wynikowy plik C:\log.txt: KLIK. . Odnośnik do komentarza
zgreg Opublikowano 28 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 28 Lipca 2013 Witam.O imporcie Fix.reg wiem - widziałem zapis w skrypcie: "CMD: reg import C:\FIX.REG". Mi chodziło raczej o to czy ten plik będzie jeszcze potrzebny czy można go usunąć.Oba polecenia wykonane - zatrzymałem się na pliku: C:\log.txt. log.txt Odnośnik do komentarza
picasso Opublikowano 23 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2013 Plik FIX.REG nie jest już potrzebny. Natomiast uprawnienia katalogu Windows Defender są nie do końca takie jak być powinny. Poprawka: 1. Otwórz Notatnik i wklej w nim: SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Z prawokliku na plik Uruchom jako Administrator. 2. Usuń z dysku poprzedni plik C:\log.txt. Uruchom plik LISTA.BAT. Przedstaw nowy wynikowy C:\log.txt. I mam jeszcze pytanie: czy działa wyświetlanie obrazów PNG w Internet Explorer? . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się