Windows Defender <Nie można odczytać opisu. Kod błędu: 5 >

[AsiK]

Witam,

 

Mój komputer został zainfekowany jakimś trojanem, który spowodował, że parę rzeczy mi nie działa. Przy pomocy tego forum udało się włączyć Zaporę systemu Windows oraz centrum zabezpieczeń, niestety nie umiem sobie poradzić z Windows Defender, mam błąd: <Nie można odczytać opisu. Kod błędu: 5 >. oraz nie mogę niczego pobrać z internetu, gdyż mam komunikat: "Ten program zawiera wirusa i został usunięty."

 

Bardzo proszę o pomoc

 

W załączeniu wymagane logi.

Addition.txt

Extras.Txt

FRST.txt

GMER.txt

OTL.Txt

[picasso]

Oczywiście mamy tu nie dokończone czyszczenie infekcji: szczątki rogue Antivirus Security Pro oraz czynna infekcja rootkit ZeroAccess. To ZeroAccess rozwalił w mak Windows Defender (przerobiony na linki symboliczne). Przeprowadź następująe działania:

 

1. Otwórz Notatnik i wklej w nim:

 

U2 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{3c42eb88-3e76-c42f-e757-e3ec8d556822}\ \...\???\{3c42eb88-3e76-c42f-e757-e3ec8d556822}\GoogleUpdate.exe" 
HKCU\...\Run: [Google Update*] - [x] 
HKCU\...\Run: [AS2014] - C:\ProgramData\XnVXnUa3\XnVXnUa3.exe
HKLM\...\Run: [AS2014] - C:\ProgramData\XnVXnUa3\XnVXnUa3.exe
HKLM\...\Winlogon: [userinit] userinit.exe,C:\ProgramData\XnVXnUa3\XnVXnUa3.exe -sm,
BHO-x32: Smart Suggestor - {DB536AF2-E422-402d-B7FD-887297F1A198} - C:\Program Files (x86)\Smart Suggestor\SmartSuggestor.dll (Think Tank Labs, LLC)
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [x]
DeleteJunctionsInDirectory: C:\Program Files\Windows Defender
C:\Program Files (x86)\Google\Desktop
C:\Users\Asia\AppData\Local\Google\Desktop
C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antivirus Security Pro
C:\Users\Asia\AppData\Roaming\sp_data.sys
C:\ProgramData\Trend Micro
C:\Windows\system32\AutoRunFilter.ini
C:\Windows\system32\ServiceFilter.ini
C:\Windows\system32\TmInstall.log
C:\Windows\SysWOW64\TmInstall.log
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extensions\{520BD054-EEEE-487c-84E8-D5B2DFFE5C18}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{520BD054-EEEE-487c-84E8-D5B2DFFE5C18}" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Zresetuj system.

 

2. Przez Panel sterowania odinstaluj adware Smart Suggestor.

 

3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome.

 

4. Zrób nowe raporty: skan FRST (bez Addition) oraz Farbar Service Scanner. Dołącz plik fixlog.txt.

 

 

 

.

[AsiK]

Witam,

 

bardzo dziękuję za odpowiedź.

Wykonałam wszystkie kroki. W załączeniu przekazuję nowe raporty, bez FSS (gdyż nie mogę odpalić narzędzia - zostaje ono usunięte, przez antywirusa).

Fixlog.txt

FRST.txt

[picasso]

FSS (gdyż nie mogę odpalić narzędzia - zostaje ono usunięte, przez antywirusa).

Czy na pewno to ma nadal miejsce już teraz po czyszczeniu ZeroAccess? Czy chodzi o Windows Defender czy Norton Internet Security? Jeśli ten drugi, to po prostu wyłącz go na czas pobierania i uruchamiania narzędzia.

 

 

 

.

[AsiK]

Po wyłączeniu antywirusa narzędzie udało się odpalić. W załączeniu log.

FSS.txt

[picasso]

Log wykazuje nadal uszkodzone usługi (iphlpsvc, PolicyAgent, RemoteAccess). Akcja:

 

1. Uruchom ServicesRepair i zresetuj system.

 

2. Zrób nowy log z Farbar Service Scanner.

 

 

.

[AsiK]

Zrobione. Poniżej log z Farbar Service Scanner:

FSS.txt

[picasso]

Narzędzie odtworzyło iphlpsvc, ale pozostały nadal dwie do odbudowy: PolicyAgent + RemoteAccess. Wykonaj następujące akcje:

 

1. Odtworzenie kluczy usług. Pobierz poniższy plik. Zmień mu nazwę z TXT na REG, z prawokliku na plik Scal i potwierdź import do rejestru.

 

usługi.txt

 

2. Odtworzenie uprawnień usług. SetACL już posiadasz i wiesz jak tym działać. Zapisz w Notatniku poniższy tekst (plik ma być umieszczony w lokalizacji C:\fix.txt):

 

"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent",4,"O:BA"
"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters",4,"O:BA"
"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters\Cache",4,"O:BAD:PAI(A;OICI;CCDCLCSWRPRC;;;S-1-5-80-3044542841-3639452079-4096941652-1606687743-1256249853)"
"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\TriggerInfo",4,"O:BA"
"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\TriggerInfo\0",4,"O:BA"

 

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent" -ot reg -actn restore -bckp C:\fix.txt

 

Drugi plik C:\fix.txt z serii:

 

fix.txt

 

Komenda do cmd:

 

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess" -ot reg -actn restore -bckp C:\fix.txt

 

3. Zresetuj system i zrób nowy log z Farbar Service Scanner.

 

 

 

.

[AsiK]

Zrobione. Poniżej log z Farbar Service Scanner:

FSS.txt

[picasso]

Wszystko poprawnie wykonane. Przechodzimy dalej. Konkretnie usunięcie zablokowanej kwarantanny FRST. Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

 

.

[AsiK]

Zrobione. W załączeniu log.

Fixlog.txt

[picasso]

Wykonane. Przechodzimy do kolejnej porcji zadań:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST i używane fiksy/SetACL, w OTL uruchom Sprzątanie.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Na wszelki wypadek zrób jeszcze pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli program coś znajdzie, przedstaw raport.

 

 

 

.

[AsiK]

Wykonałam wszystkie kroki, w załączeniu raport ze skanowania pełnego w Malwarebytes Anti-Malware.

MBAM-log-2013-10-03 (20-16-55).txt

[picasso]

Usuń wyniki z wyjątkiem "Spyware.ZeuS", bo to komponenty Dysku GG i wygląda to na fałszywy alarm.

[AsiK]

Bardzo dziękuję za pomoc!

[picasso]

Na zakończenie:

 

1. Zaktualizuj poniżej wyliczone programy (o ile już to się nie stało, gdyż logi nie są świeże): KLIK. Wg listy zainstalowanych posiadasz wersje:

 

==================== Installed Programs ======================
 

Google Chrome (x32 Version: 29.0.1547.76)

Java 7 Update 11 (x32 Version: 7.0.110)

Microsoft Office 2010 (x32 Version: 14.0.4763.1000)

Mozilla Firefox 15.0.1 (x86 pl) (x32 Version: 15.0.1)

Mozilla Thunderbird 17.0.8 (x86 pl) (x32 Version: 17.0.8)

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

 

.