Malicious url blocked AVAST - ciągle pojawiający się komunikat

[respown]

Gmer wyswietlil obecnosc rootkitow. AVAST co chwile blokuje jakies podejrzane strony (przy braku aktywnosci w internecie).

Addition.txt

Extras.Txt

FRST.txt

gmer.txt

OTL.Txt

[picasso]

Tak, jest tu rootkit ZeroAccess w najnowszej wersji symulującej "Google Update". Rootkit niszczy także określone usługi Windows oraz Windows Defender (przerobiony na linki symboliczne). Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

U2 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{874a5589-1488-2c18-7512-653219bcfd28}\ \...\???\{874a5589-1488-2c18-7512-653219bcfd28}\GoogleUpdate.exe" 
HKCU\...\Run: [Google Update*] - [x] 
C:\Program Files (x86)\Google\Desktop
C:\Users\Danny\AppData\Local\Google\Desktop
C:\Users\Danny\AppData\Roaming\_MDLogs
C:\Windows\system32\%APPDATA%
DeleteJunctionsInDirectory: C:\Program Files\Windows Defender
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKCU\...\Policies\system: [DisableLockWorkstation] 0
HKCU\...\Policies\system: [DisableChangePassword] 0
HKLM-x32\...\Run: [] - [x]
BHO-x32: No Name - {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
S3 PCDSRVC{F36B3A4C-F95654BD-06000000}_0; \??\c:\program files\pc-doctor for windows\pcdsrvc_x64.pkms [x]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Zresetuj system.

 

2. Google Chrome wygląda jakby miało uszkodzone preferencje (brak odczytu danych z pliku Preferences). Zrób akcję modyfikującą Preferences, czyli reset cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.

 

3. Zrób nowy skan FRST (bez Addition) + log z Farbar Service Scanner. Dołącz plik fixlog.txt.

 

 

.

[respown]

Jak zwykle pod szczerym podziwem wiedzy Picasso.

 

Komputer miałem kupiony na Ebay'u, z tego co widziałem to był przywrócony system z partycji odzyskiwania (dużo śmieci HP'ka, Norton z licencją na 2 mies...), możliwe jest że ten rootkit był na nim zainstalowany celowo?

FRST.txt

FSS.txt

[picasso]

Nie podałeś pliku fixlog.txt. Proszę dołącz go. Obowiązkowo muszę sprawdzić co przetwarzał FRST, czy wszystko poszło jak należy. W kwestii uszkodzeń systemowych stworzonych przez ZeroAccess:

 

1. Uruchom ServicesRepair i zresetuj system.

 

2. Zrób nowy log z Farbar Service Scanner.

 

 

Komputer miałem kupiony na Ebay'u, z tego co widziałem to był przywrócony system z partycji odzyskiwania (dużo śmieci HP'ka, Norton z licencją na 2 mies...), możliwe jest że ten rootkit był na nim zainstalowany celowo?

Wątpliwe. Rootkit ZeroAccess tu widziany ma źródło w zainfekowanych stronach. Czyli albo odwiedziłeś jakąś stronę, która automatycznie wykonała kod, albo pobrałeś coś co udawało inny obiekt (np. "wtyczkę Adobe Flash").

 

 

.

[respown]

Przepraszam za roztargnienie, fixlog.txt dodany.

System Error zgłasza na starcie program: 

svohost.exe, proces ma taka samą nazwę.

The program cant' start because OpenCL.dll is missing...

Log z Farbar w drodze, nie chce stracić posta a musze zrestartować komputer po Services Repair.

Avast puszczony na chwilę też coś pokazał.

Fixlog.txt

FRST.txt

[picasso]

Czekam na log z Farbar Service Scanner.

 

 

System Error zgłasza na starcie program:

 

svohost.exe, proces ma taka samą nazwę.

Ja tu ominęłam dwa obiekty, nie będąc pewna czy to przypadkiem nie jest coś robione przez Ciebie umyślnie ręcznie:

 

Startup: C:\Users\Danny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hstart.bat ()
 

2013-09-21 11:50 - 2013-09-21 11:51 - 00000000 ____D C:\Users\Danny\AppData\Roaming\test

 

Z tego co teraz rozumiem plik hstart.bat i ów test-folder są Ci nieznane. Jeśli tak, przez SHIFT+DEL dokasuj oba elementy z dysku, zresetuj system i zweryfikuj czy błąd nadal występuje.

 

 

 

.

[respown]

Log z FSS:

EDIT:
Tak usunąłem hstart.bat + test i nie było wymienionego błędu. Za chwilę będą nowe logi.

FSS.txt

[picasso]

Niestety, ale nie ma żadnym zmian. Wszystkie uszkodzenia są na miejscu. Ponownie uruchom ServicesRepair jako Administrator, zresetuj system, podaj kolejny log z Farbar Service Scanner. Jeśli nie będzie nadal zmian, otrzymasz instrukcje ręcznej odbudowy.

 

Nie wypowiadasz się, czy usunąłeś hstart.bat + test, i czy po usunięciu ustąpił błąd svohost.exe.

 

 

 

.

[respown]

Usunąłem wymienione pliki. Problem z svohost zniknął.

Logi z FSS:

FSS.txt

[picasso]

Tym razem wszystko poprawnie odbudowane. Przechodzimy już do finalizacji:

 

1. Uruchom TFC - Temp Cleaner.

 

2. Przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie, resztę narzędzi dokasuj ręcznie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Dla pewności zrób jeszcze pełny skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[respown]

Przez przypadek usunąłem inny folder niż FRST (bodajże frst małymi literami). Usunięte. Dzięki.

mbam-log-2013-10-06 (20-26-02).txt

[picasso]

Wyniki MBAM:

- Na pewno folder C:\FRST został usunięty? MBAM wykrył obiekt w jego kwarantannie. Poza tym, zapomniałam, że usuwane obiekty ZeroAccess blokują usunięcie tego folderu i należy podać odpowiedni skrypt do FRST. Potwierdź czy ten folder nadal jest na dysku.

- Wyniki w katalogu Downloads: instalatory adware DAEMON Tools oraz wrapper FileZilla. Do czytania co się zmieniło na SourceForge: KLIK.

 

 

 

.

[respown]

Dziękie wielki za ten news o sourceforge, FRST faktycznie się nie usunął spod shift+del, użyłem unclockera do jego usunięcia.

[picasso]

Zakończ sprawy:

 

1. Ponownie wyczyść foldery Przywracania systemu.

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

3. Porównaj co wymaga aktualizacji: KLIK. Ostatnie raporty są już relatywnie stare, ale m.in. widoczny był brak podstawowych aktualizacji Windows 7.

 

 

 

.