Problem z zapisem plików w IE

[Dareg]

Witam,

 

Mam problem podczas pobierania plików poprzez IE, pliki się pobierają, ale na końcu pojawia się błąd "Plik * zawierał wirusa i został usunięty". System Vista 32 bit.

Próbowałem już combofix.exe, ServicesRepair.exe, tdsskiller.exe. Niestety bez rezultatu

Proszę o pomoc, nie potrafię poradzić sobie z tym problemem.

 

OTL.Txt

Extras.Txt

FRST.txt

Addition.txt

[picasso]

W systemie notowany rootkit ZeroAccess w najnowszej wersji, ale już wybrakowany (nie ma wpisów startowych), a problem z pobieraniem stąd, że rootkit rozwalił MSSE (przerobił na linki symboliczne). Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

DeleteJunctionsIndirectory: C:\Program Files\Microsoft Security Client
C:\Users\Darek\AppData\Local\Google\Desktop
C:\Program Files\Google\Desktop
Task: {C9F2C9C4-5436-4EE7-A01F-798F27234715} - System32\Tasks\mxsletbzupd => C:\Windows\system32\cscript.exe [2009-04-10] (Microsoft Corporation)
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - ${searchCLSID} URL = http://search.yahoo.com/search?fr=megaup&p={searchTerms}
SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
Toolbar: HKCU -No Name - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No File
HKLM\...\Policies\Explorer: [NoDrives] 0
HKCU\...\Policies\Explorer: [NoDriveAutoRun] 0
HKCU\...\Policies\Explorer: [NoDrives] 0
Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd
Winsock: Catalog5 05 C:\Program Files\Bonjour\mdnsNSP.dll File Not found ()
S4 Bonjour Service; "C:\Program Files\Bonjour\mDNSResponder.exe" [x]
S2 CLTNetCnService; "C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon [x]
S2 Harmonogram automatycznej usługi LiveUpdate; "C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [x]
S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [x]
S3 catchme; \??\C:\Users\Darek\AppData\Local\Temp\catchme.sys [x]
S3 PCANDIS4_RETWIFI; \??\C:\PROGRA~1\EEYEDI~1\RETINA~1\PCANDIS4_RETWIFI.SYS [x]
S4 sptd; System32\Drivers\sptd.sys [x]
S3 TpChoice; system32\DRIVERS\TpChoice.sys [x]
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Pozbądź się archaicznego dziadostwa:

- Odinstaluj Mega Manager. Powody: KLIK.

- Wyczyść preferencje Firefox po nim: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Zrób nowy skan FRST (bez Addition) + Farbar Service Scanner. Dołącz plik fixlog.txt.

 

 

 

 

.

[Dareg]

Po wykonaniu fixa i restarcie komputera, komputer nie widzi sieci bezprzewodowych, jest komunikat "Uruchomienie usługi zależności lub grupy nie powidło się". Podgląd zdarzeń też nie działa, komunikat "Usługa Dziennik zdarzeń jest nie dostępna".

Fixlog.txt

FRST.txt

FSS.txt

[picasso]

Po wykonaniu fixa i restarcie komputera, komputer nie widzi sieci bezprzewodowych, jest komunikat "Uruchomienie usługi zależności lub grupy nie powidło się". Podgląd zdarzeń też nie działa, komunikat "Usługa Dziennik zdarzeń jest nie dostępna".

To oznacza uszkodzony Winsock. FRST przetwarzając wpis Bonjour zrobił to:

 

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005 => Key deleted successfully.

 

Chyba nie zaktualizował licznika Num_Catalog_Entries. Poproszę o eksport klucza. Otwórz Notatnik i wklej w nim:

 

Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5 /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go

 

 

 

 

.

[Dareg]

W załączniku Fixlog.txt

Fixlog.txt

[picasso]

Tak, licznik jest zdesynchronizowany. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
"Num_Catalog_Entries"=dword:00000006

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Zresetuj system. Podaj wyniki czy usterka naprawiła się.

 

 

 

.

[Dareg]

Tak, usterka została naprawiona.

Dziękuję za szybką pomoc. Oczywiście przekażę datację.

[picasso]

OK. Ale to nie koniec jeszcze, nie uciekaj, przed nami kilka akcji.

 

1. Po pierwsze, prześlij mi do analizy skasowane zadanie malware. Plik C:\FRST\Quarantine\mxsletbzupd spakuj do ZIP i wyślij mi na PW link do paczki.

 

2. Po drugie, nie wygląda na to byś wykonał to:

 

- Wyczyść preferencje Firefox po nim: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

Po tym zrób nowy log FRST (bez Addition).

 

 

 

.

[Dareg]

Link przesłałem na PW.

Ustawienia FireFoxa, zresetowałem.

 

 

I jeszcze log.

FRST.txt

[picasso]

Dzięki za plik. Mini poprawka na odpadki po odinstalowanych Kasperskym w Firefox oraz usunięcie zablokowanej obiektami ZeroAccess kwarantanny.

 

1. Przez SHIFT+DEL skasuj:

 

C:\Program Files\Mozilla Firefox\extensions\KavAntiBanner@kaspersky.ru_bak

C:\Program Files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru_bak

C:\Windows\MegaManager.INI

 

2. Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw.

 

 

 

 

.

[Dareg]

Log w załączniku.

Fixlog.txt

[picasso]

1. Porządki po narzędziach. To wszystko do usunięcia przez SHIFT+DEL:

 

2013-08-31 18:30 - 2013-08-31 18:30 - 00000000 ____D C:\Users\Darek\Desktop\Stare dane programu Firefox

2013-08-31 17:31 - 2013-08-31 18:15 - 00003850 _____ C:\Users\Darek\Desktop\FSS.txt

2013-08-31 17:26 - 2013-08-31 17:24 - 00358571 _____ (Farbar) C:\Users\Darek\Desktop\FSS.exe

2013-08-31 17:14 - 2013-08-31 15:13 - 01085067 _____ (Farbar) C:\Users\Darek\Desktop\FRST.exe

2013-08-31 16:05 - 2013-08-31 17:28 - 00000000 ____D C:\FRST

2013-08-31 14:37 - 2013-08-31 14:38 - 00000000 ____D C:\Users\Public\Desktop\CC Support

2013-08-31 14:19 - 2013-08-31 14:19 - 00001115 _____ C:\AdwCleaner[R3].txt

2013-08-31 14:03 - 2013-08-31 14:03 - 00004898 _____ C:\Users\Darek\Desktop\fix.bat

2013-08-21 20:26 - 2013-08-21 20:27 - 00000988 _____ C:\AdwCleaner[R2].txt

2013-08-18 21:07 - 2013-08-18 21:07 - 00005648 _____ C:\AdwCleaner[s3].txt

2013-08-18 19:38 - 2013-08-18 19:38 - 00000325 _____ C:\AdwCleaner[s2].txt

2013-08-18 19:36 - 2013-08-18 19:37 - 00005512 _____ C:\AdwCleaner[R1].txt

 

Dodatkowo, odinstaluj w poprawny sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej:

 

C:\ComboFix.exe /uninstall

 

2. Uruchom TFC - Temp Cleaner.

 

3. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

 

.

[Dareg]

MBAM znalazł jeszcze jeden podejrzany plik.

MBAM-log-2013-09-01 (17-44-16).txt

[picasso]

Wyniki: to tylko szczątkowy plik instalatora adware Ask Toolbar. Do usunięcia. Na zakończenie:

 

1. Usuń poniżej wyliczone stare wersje i zainstaluj najnowsze: KLIK.

 

==================== Installed Programs =======================
 

Adobe Reader X (10.1.7) - Polish (Version: 10.1.7)

Java™ 6 Update 32 (Version: 6.0.320)

Java™ SE Runtime Environment 6 (Version: 1.6.0.0)

 

2. Dla bezpieczeństwa zmień hasła logowania w serwisach.

 

 

.