Po usunięciu infekcji - błędy w działaniu

[nitro07]

Zainfekowany system Windows 7 został "oczyszczony" za pomocą:

Malwarebytes Anti-Malware

AdwCleaner

NOD online

 

Oczywiście napewno jeszcze coś zostało, nie można uruchomić zapory Windows, nie pobierają się aktualizacje z Windows Update.

 

 

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[picasso]

Blokada zapory i Windows Update wynika raczej z czego innego: działa tu Avast na spółkę z nieudolnie odinstalowanym starym McAfee (on działa w tle, mimo że nie ma wejścia na liście zainstalowanych). To jest pakiet IS - aktywna jest zapora McAfee, co oznacza automatyczną deaktywację Zapory Windows. Owszem, są też szczątki adware, ale to poboczna sprawa i nie ma żadnego wpływu na niemoc komponentów Windows. Widzę, też że używałeś (do wyrzucenia):

- FixZeroAccess: to stare narzędzie, usuwa wariant, który jest wymarły. Jest multum przyczyn dla których nie działa Zapora czy Windows Update, infekcja ZeroAccess to tylko jedna z tysiąca przyczyn.

- HijackThis: to program przestarzały i 32-bitowy, zupełnie się nie nadaje na Windows 64-bit (pokazuje fałszywe wyniki "file missing", gdyż nie widzi natywnie 64-bitowej części).

 

 

Wstępnie:

 

1. Wejdź w Tryb awaryjny Windows. Zastosuj McAfee Consumer Product Removal Tool. Widzę, że on już jest pobrany i chyba używany, ale prawdopodobnie robiłeś to z poziomu Trybu normalnego Windows (czynne sterowniki McAfee mogą zablokować zrobienie im krzywdy).

 

2. Opuść Tryb awaryjny. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {00FEC37E-2E01-4F2E-B6A5-7249387A81B4} - \globalUpdateUpdateTaskMachineCore No Task File 
Task: {03E86E98-2BA6-42B7-A13E-39910686AD65} - System32\Tasks\{1CF293E6-69FC-46D8-AAA4-CE0E08A6B3BF} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group)
Task: {043EDB0B-88E0-4408-A7F7-190B8AFB4A5A} - System32\Tasks\{BCA34CCE-5E94-4811-B0A9-7928BB613B82} => pcalua.exe -a C:\Users\mateusz\Downloads\Shockwave_Installer_Slim.exe -d C:\Users\mateusz\Downloads
Task: {055662D5-A6A8-4865-8944-4372D0A9A1EC} - \241088c9-696a-4418-bda9-b3b4bab05fe5-6 No Task File 
Task: {09C5D82D-F120-49A0-8BC2-031DE0A8CBE0} - System32\Tasks\{8B3C4B1B-17D2-4F33-ADF4-681C21CA6806} => pcalua.exe -a C:\Users\mateusz\AppData\Local\Temp\Low\{5B87788F-2F05-4420-AC80-2FE12D6E08A7}\adobeshockwavextrabundle.exe -d C:\Users\mateusz\Desktop -c /xtrabundle=BC_Shockwave_3D_Asset
Task: {0C8D7EEC-654B-4F4A-897C-A2801C2D20E6} - \globalUpdateUpdateTaskMachineUA No Task File 
Task: {0E55065D-7B9B-476F-B764-ED7D798524C1} - System32\Tasks\{822088F6-7A6D-4728-9960-C1D45A0144CE} => pcalua.exe -a "C:\Program Files (x86)\G Data\InternetSecurity\GUI\GDSC.exe" -d C:\Users\mateusz\Desktop
Task: {0FFA6EC1-3C0D-4B6F-AA54-8863AADAD76D} - \BlockAndSurf Update No Task File 
Task: {107F7900-B507-4FCF-A8E3-7FC654FC43C0} - \SaveSenseLiveUpdateTaskMachineUA No Task File 
Task: {110567EE-B756-4756-8180-D63567E1E9EC} - System32\Tasks\{AFC10F2E-499C-41DF-AB28-A299152CC148} => pcalua.exe -a E:\Install.exe -d E:\
Task: {128C077C-7678-47EE-96CA-ACF37E3319AD} - \241088c9-696a-4418-bda9-b3b4bab05fe5-7 No Task File 
Task: {1E356FD0-747E-482A-98F5-48C1F04AEB69} - \SaveSense No Task File 
Task: {23E2E1D2-CAA2-429B-991B-A5961BD620D6} - \BitGuard No Task File 
Task: {3AC4BCFF-79CE-4FBC-A49F-BB464AC3EA84} - \241088c9-696a-4418-bda9-b3b4bab05fe5-4 No Task File 
Task: {3CF73285-6B96-4AF9-91D8-5046085EEE27} - System32\Tasks\{4B5C51CB-56F8-4261-8DFC-A75F60FEB17C} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group)
Task: {3D1A434F-2713-4244-AD9C-B9242541F7D0} - \BlockAndSurf_wd No Task File 
Task: {4BF5E155-582D-43EE-AB62-950E381C91CE} - \241088c9-696a-4418-bda9-b3b4bab05fe5-1 No Task File 
Task: {518EE03F-A36E-4211-A6EB-C1EA83DAA9A9} - System32\Tasks\{CC53FC14-8864-45A4-95FE-7E0AC82BD696} => pcalua.exe -a C:\Users\mateusz\AppData\Roaming\awesomehp\UninstallManager.exe
Task: {52245D7D-7F8B-4C26-93DB-EE242F78F872} - \AmiUpdXp No Task File 
Task: {55A22B93-FC75-4D72-A971-9067DC6DA2CD} - System32\Tasks\{591EB96F-08F2-4D62-AE1E-470AFB8C62BD} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group)
Task: {5C571624-B7B9-48F6-9ACE-5365BFA04590} - System32\Tasks\{4254C72F-578D-4F99-9194-33F3ED423B3B} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group)
Task: {6D20318F-CA03-4D57-9D8E-547051584711} - System32\Tasks\{CEDB865C-C777-49E8-B41C-83B12C0941AC} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group)
Task: {707028F2-4AA0-4AC7-98E0-ED14BF12BE51} - \SaveSenseLiveUpdateTaskMachineCore No Task File 
Task: {71A66698-D02D-496B-A701-7712890272E9} - System32\Tasks\{4142C8E7-7E1E-4AAE-9FAE-EDD32E84AF25} => pcalua.exe -a C:\Users\mateusz\AppData\Local\Temp\Low\{B442FEDE-914F-4090-8E2C-98DFF30D18DD}\adobeshockwavextrabundle.exe -d C:\Users\mateusz\Desktop -c /xtrabundle=BC_SwaStrm
Task: {766FDA0C-7208-4EEF-B19D-92A33E7DC769} - System32\Tasks\{8F56A9DC-B252-4121-AD03-D8E682286DBE} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group)
Task: {7A9BB502-5BEB-45A9-93AE-D799BF69AE78} - System32\Tasks\RMSchedule => C:\Program Files (x86)\PC Tools Registry Mechanic\RegMech.exe
Task: {8535685E-E8C4-4792-A6AB-D7BF888AAF39} - System32\Tasks\Norton Security Scan for mateusz => C:\PROGRA~2\NORTON~2\Engine\361~1.11\Nss.exe
Task: {8B083170-873B-45BE-9D58-F8C30C4046C4} - \RegClean Pro_DEFAULT No Task File 
Task: {8ED3A920-5BEC-4C2F-8573-B08CB20DF9B7} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe 
Task: {97B9BE3D-D4B8-4BBA-9FE6-F96C50AB31AA} - \241088c9-696a-4418-bda9-b3b4bab05fe5-5 No Task File 
Task: {996734FE-039D-4F6F-A7F1-20ADF4AA58F9} - System32\Tasks\APSnotifierCA => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: {A3CDB19D-19B3-4228-A90F-AF6DDBE7A5BD} - \241088c9-696a-4418-bda9-b3b4bab05fe5-3 No Task File 
Task: {AD62135A-BA21-47C2-A106-AC5429F3EA97} - \241088c9-696a-4418-bda9-b3b4bab05fe5-2 No Task File 
Task: {C0D4B0D0-E048-4BB7-AC19-9E4C6DAA2151} - System32\Tasks\{2B68B673-39CC-4C4E-8D3B-027ACFE00093} => pcalua.exe -a E:\Setup.exe -d E:\
Task: {C53BBE77-EA74-4DC5-8A89-F0C8622AFA8B} - System32\Tasks\{54461FC2-3FD1-4FE3-A818-5FE76EE01CF0} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group)
Task: {CACFBDBA-3D14-49DE-94B7-B031762BABE7} - System32\Tasks\{FE7977C2-BEBB-4374-81F6-6E5AF4B00642} => pcalua.exe -a c:\PROGRA~2\COMMON~1\ADOBEA~1\Versions\1.0\ADOBEA~1.EXE -d C:\Users\mateusz\Downloads -c "C:\Users\mateusz\Downloads\ifscl248c (1).air"
Task: {D2EE992F-CFC4-45CC-8EF9-4D9C7A198408} - System32\Tasks\{99FFE0C2-F982-49B9-9B01-3B882636BA5C} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group)
Task: {E3D87B30-8150-4524-895C-C15018F4D9AB} - System32\Tasks\{AD963E2D-CA51-4956-9C3D-F78C2D3B9E52} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group)
Task: {E5BAE136-44C5-4ADE-9537-7DB826EDC00A} - System32\Tasks\{6C57434D-05B1-4989-8342-5BDDD20CA535} => pcalua.exe -a C:\Windows\system32\pcwrun.exe -c C:\Gratka\ZG_Demo\start.exe
Task: {E6C1F2E6-B766-4CF3-B715-BABB51A183C1} - System32\Tasks\RMAutoUpdate => C:\Program Files (x86)\PC Tools Registry Mechanic\SULauncher.exe
Task: {EE1BD01F-7F5D-49E2-9A63-D5602D85F6A3} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles Updater\GFFUpdater.exe 
Task: {FE754B3A-6ED4-4B17-9454-01EF20FA5FEC} - System32\Tasks\{0EF0D1B2-EF93-4AF1-A0B6-DF1FD2C12CBB} => pcalua.exe -a C:\Windows\system32\pcwrun.exe -c C:\Bakoma\bakoma.exe
Task: C:\Windows\Tasks\McAfee Cleanup.job => C:\Users\mateusz\AppData\Local\Temp\MCPR\mccleanup.exe 
Task: C:\Windows\Tasks\RMAutoUpdate.job => C:\Program Files (x86)\PC Tools Registry Mechanic\SULauncher.exe
Task: C:\Windows\Tasks\RMSchedule.job => C:\Program Files (x86)\PC Tools Registry Mechanic\RegMech.exe
S4 PCToolsSSDMonitorSvc; C:\Program Files (x86)\Common Files\PC Tools\sMonitor\StartManSvc.exe [793048 2012-03-21] (PC Tools)
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
HKLM-x32\...\Run: [sSDMonitor] => C:\Program Files (x86)\Common Files\PC Tools\sMonitor\SSDMonitor.exe [103896 2012-03-21] (PC Tools)
HKU\S-1-5-21-2026956122-931518800-205582366-1000\...\MountPoints2: K - K:\LaunchU3.exe -a
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}
Toolbar: HKU\S-1-5-21-2026956122-931518800-205582366-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
CHR HomePage: Default -> https://www.google.pl/webhp?sourceid=chrome-instant&rlz=1C1ASAC_enPL471&ion=1&espv=2&ie=UTF-8
CHR RestoreOnStartup: Default -> "hxxp://rts.dsrlte.com?affID=pr_f61be305-461b-4149-9745-e874f3166cfe"
CHR DefaultNewTabURL: Default -> http://search.yahoo.com/?fr=hp-ddc-bd-tab&type=616_pr__alt__ddc_dsssyctab_bd_com
CHR HKLM-x32\...\Chrome\Extension: [dmalcdljnnlplhfoanpjmkinnjjilmof] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha7515\ch\MediaViewV1alpha7515.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [pacjkhgobllpadpndpolldjgoibibjkk] - C:\Program Files (x86)\TrustMediaViewerV1\TrustMediaViewerV1alpha3654\ch\TrustMediaViewerV1alpha3654.crx [Not Found]
FF Plugin: @mcafee.com/MSC,version=10 -> c:\PROGRA~1\mcafee\msc\NPMCSN~1.DLL No File
FF Plugin-x32: @mcafee.com/MSC,version=10 -> c:\progra~2\mcafee\msc\npmcsn~1.dll ()
FF HKLM-x32\...\Firefox\Extensions: [{D19CA586-DD6C-4a0a-96F8-14644F340D60}] - C:\Program Files (x86)\Common Files\McAfee\SystemCore
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefire => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Driver"
C:\Program Files (x86)\Common Files\PC Tools
C:\Program Files (x86)\EgisTec
C:\Program Files (x86)\EgisTec Egis Software Update
C:\Program Files (x86)\G Data
C:\Program Files (x86)\PC Tools Registry Mechanic
C:\ProgramData\89c775be-12de-4e15-846c-6b3e6a8c39a2
C:\ProgramData\G DATA
C:\ProgramData\Malwarebytes
C:\ProgramData\Norton
C:\ProgramData\Temp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Flash Movie Player
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Komputerowa Gratka
C:\Users\mateusz\AppData\Local\*.tmp
C:\Users\mateusz\AppData\Local\{*}
C:\Users\mateusz\AppData\Local\11894
C:\Users\mateusz\AppData\Local\22211
C:\Users\mateusz\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\mateusz\AppData\Local\MyWinLockerInstaller.txt-20150218.log
C:\Users\mateusz\AppData\Roaming\Dropbox
C:\Users\mateusz\Desktop\Złoty Gryziwąs (Demo).lnk
C:\Users\Public\Desktop\Norton Online Backup.lnk
C:\Users\Public\Desktop\PC Tools Registry Mechanic.lnk
C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BlockAndSurf" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fst_pl_128" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fst_pl_149" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\G Data AntiVirus Tray Application" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GDFirewallTray" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcui_exe" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Wyczyść Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Yahoo kierujące na adres rts.dsrlte.com oraz inne niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Wypowiedz się jakie problemy występują po w/w czyszczeniu.