Podejrzenie Win32/Neshta, problemy z UAC i błąd w Harmonogramie zadań

[Orzelek303]

Witam!

W systemie prawdopodobnie występuje wiele dysfunkcji spowodowanych głównie przez moje eksperymentowanie z konfiguracją systemu i ingerencji w różne zaawansowane obszary i nie tylko.

 

 

---

Problemem zauważonym ostatnio jest problem z uruchamianiem programów wymagających urachamiania ich jako administrator. Kiedy próbuję je uruchomić to zamiast pojawienia się dialogu UAC nic się nie dzieje, patrząc w menedżer zadań i uruchamiając taki program nie pojawia się nawet na chwilę jego proces. Programy można natomiast uruchomić wybierając "uruchom jako administrator" z prawokliku. Problem ten występuje również w niektórych systemowych aplikacjach np. MSConfig.

 

---

Przekleiłem następującą linię:

 

HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== ATTENTION!

z Addition.txt do fixlist.txt i uruchomiłem Fix w FRST. Problem na chwilę ustąpił dla aplikacji pozasystemowych jednak po restarcie znów jest to samo a w ponownym skanie znów ta linia jest widoczna.

 

 

---

W tym samym czasie pojawiły się również problemy z działaniem programów np. błędy przy próbie otwarcia archiwum za pomocą WinRAR czy zamontowania obrazu ISO w DAEMON Tools (Komunikaty o prostej treści: "Nie można zamontowć obrazu", "Nie znalazłem archiwów"). Przy próbie uruchamienia Firefoxa wyświetlał się błąd "Could not find Mozilla runtime".

 

---

Po przeinstalowniu Firefoksa działa on poprawnie lecz pozostałym programom reinstalacja nie pomogła.

 

 

Zauważyłem też, że nazwy niektórych procesów na liście Menedżera zadań mają dziwną postać np. zamiast CCleaner64.exe jest CCLEAN~1.EXE a podczas instalacji najnowszej wersji Silverlight uruchomił się na chwilę proces coregen.exe w następującym oknie wiersza poleceń:

 

 

Bez bicia się przyznam, że pobrałem przez sieć BitTorrent kilka egzemplarzy systemu Windows  7 (głównie obrazy ISO). Dopiero przy którejś próbie zamontowania obrazu ISO zauważyłem wyżej opisane błędy. Wykonałem przywracanie systemu do stanu sprzed kilku dni a wszystkie pobrane przez sieć BitTorrent pliki dotyczące W7 usunąłem lecz na problem z UAC to nie pomogło.

 

Innym problemem (występującym od bardzo dawna) jest niepoprawnie działający Harmonogram zadań. Przy każdym uruchomieniu witany jestem błędem:

Wybrane zadanie {0} już nie istnieje. Aby wyświetlić bieżące zadania, kliknij przycisk Odśwież.

 

Dołączam obowiązkowe raporty i dodatkowo Autoruns (proszę o sprawdzenie).

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

Autoruns.txt

[cyrkiel85]

System jest zarażony wirusem Win32/Neshta. Załóż nowy temat w dziale pomocy doraźnej KLIK i cierpliwie czekaj na odpowiedź picasso.

[Orzelek303]

A po których liniach w logu to stwierdziłeś?

 

[cyrkiel85]

2015-03-23 19:46 - 2015-03-24 02:29 - 00000056 _____ () C:\Windows\directx.sys

2015-03-23 19:45 - 2015-03-24 01:39 - 00041472 _____ () C:\Windows\svchost.com

HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== ATTENTION!

Porównaj z tym tematem.

[Orzelek303]

Widocznie mam pecha i trafiłem akurat na taki okres kiedy picasso nie bywa na forum a nie ukrywam, że potrzebuję rozwiązania tego problemu jak ryba wody. Nie chcę w tym momencie dokonywać na własną rękę prób dezynfekcji skoro już założyłem temat na forum. Poczekam jeszcze trochę, ale jak nie dostanę odpowiedzi to będę musiał coś zrobić gdyż akurat w tym samym czasie mam do dokończenia pewien projekt, czas nagli a infekcja mocno mi to utrudnia.

[Orzelek303]

Dokonałem na własną rękę próby dezynfekcji:
1. Uruchomiłem prosty skrypt naprawczy w FRST którego wyniki załączam w postaci pliku Fixlog.txt.
2. Zastartowałem z pendrive'a Trend Micro Rescue Disk > Remove Threats > Full Scan.

Program po zakończeniu skanowania wyświetlił następujący komunikat:
Trend Micro Postfix Tool found and removed 736 threats.

oraz listę 109 plików wykonywalnych które zostały usunięte. Na liście widniały ścieżki do wielu programów zainstalowanych i używanych przeze mnie na codzień, zostały też usunięte pliki .exe z folderów mających w nazwie Realtek, Brother czy Samsung więc spodziewałem się niedziałających sterowników, konieczności ponownej instalacji wielu programów itp. O dziwo po uruchomieniu systemu nie widać na pierwszy rzut oka jakichś defektów. Opisany wcześniej problem z UAC w tym momencie nie występuje a programy uruchamiają się raczej prawidło. Nie wszystko mam czas teraz sprawdzić.

Na partycji systemowej powstał folder TMRescueDisk a w nim kilka logów informujących zapewne o przebiegu skanowania i usuwania. Są one jednak bardzo długie więc załączę je tylko na prośbę. W podfolderach znajduje się również folder quarantine w którym znajdują się usunięte pliki (dokładnie 735 plików) o nazwach nazwapliku.exe.numery.

Proszę o analizę czy wymieniona wyżej naprawa odniosła skutki, czy infekcja została usunięta i jakie kroki należy jeszcze poczynić.

Fixlog.txt

[Orzelek303]

Kolejna informacja to fakt iż przy usuwaniu programu za pomocą Revo Uninstaller przy etapie wyszukiwania pozostałości w rejestrze po usuniętym programie Revo Uninstaller wyświetlił wpisy rejestru należące do wielu innych programów. Ja odruchowo wybrałem opcję usuń wszystko ponieważ nigdy wcześniej taka sytuacja nie miała miejsca. Teraz w wyniku braku tych wpisów programy nie figurują na liście zainstalowanych programów i nie działają prawidłowo lub w ogóle. Wiadomo, że wyjściem z tej sytuacji jest uruchomienie wbudowanych deinstalatorów z folderów głównych programów i z niektórymi tak zrobiłem. Nie mniej jednak wymieniam wszystkie logi na nowe pokazujące stan systemu z ostatniej chwili.

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

[picasso]

Tak, system był zarażony Neshta - wirusem plików wykonywalnych, stąd: wpis asocjacji skojarzeń EXE, masowe usuwanie wykonywalnych przez skaner oraz konsekwencje w Revo.

 

 

1. Uruchomiłem prosty skrypt naprawczy w FRST którego wyniki załączam w postaci pliku Fixlog.txt.

Do usuwania były dwa pliki i ten pierwszy nadal jest w systemie:

 

2015-03-23 19:46 - 2015-03-24 02:29 - 00000056 _____ () C:\Windows\directx.sys

2015-03-23 19:45 - 2015-03-24 01:39 - 00041472 _____ () C:\Windows\svchost.com

 

Ta część zaś była bez sensu:

 

Running from D:\Pobrane\Logi\FRST
 

Content of fixlist:

*****************

C:\FRST\Hives

D:\Pobrane\Logi\FRST\FRST.txt

D:\Pobrane\Logi\FRST\Addition.txt

D:\Pobrane\Logi\FRST\Shortcut.txt

DeleteQuarantine:

 

C:\FRST\Hives to kopia bezpieczeństwa rejestru utworzona przez FRST. Po pierwsze: nie powinna być usuwana wcale przed zakończeniem leczenia. Po drugie: ta akcja była conajmniej dziwna, bo przesunąłeś zawartość C:\FRST\Hives tylko w inne miejsce tego samego folderu, tzn. do C:\FRST\Quarantine, a zaraz po tym komendą DeleteQuarantine: uziemiłeś ten folder... Gdyby coś poszło nie tak, nie byłoby skąd brać backupu.

 

Usuwałeś też logi. Narzędzie działało z D:\Pobrane\Logi\FRST. FRST podczas skanu (a taki robiłeś potem) automatycznie zastępuje poprzednie logi nowymi w tym samym miejscu skąd był uruchamiany.

 

 

---

1. Zakładam, że skaner Trend Micro znalazł wszystkie zainfekowane pliki. A szkód po wirusie nie naprawisz w inny sposób niż reinstalując uszkodzone aplikacje.

 

2. Drobne poprawki na wpisy szczątkowe i puste. Usuwam także komponenty DAEMON Tools, bo nie wygląda on na poprawnie zainstalowany, oraz cały folder C:\TMRescueDisk z zawirusowanymi kopiami. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S3 dtlitescsibus; C:\Windows\System32\DRIVERS\dtlitescsibus.sys [30352 2015-04-05] (Disc Soft Ltd)
U0 sptd; C:\Windows\System32\Drivers\sptd.sys [381608 2015-04-07] (Duplex Secure Ltd.)
Task: {018D0512-2704-4FA0-89C3-4BF8D4F58B15} - System32\Tasks\{BB30F3ED-CCEC-45A5-ABF2-FA00656E0511} => pcalua.exe -a D:\Pobrane\msicuu2.exe -d D:\Pobrane
Task: {05F62D84-376B-4483-AB5D-2806C66070DC} - System32\Tasks\{C5066D7C-2B15-4E55-8C9A-1882B5FB0A11} => pcalua.exe -a "D:\Pliki i dokumenty\Instalki, programy\GameRanger (online install).exe" -d "D:\Pliki i dokumenty\Instalki, programy"
Task: {080E55F5-8FDD-41B4-BF51-B91C1AB2118E} - System32\Tasks\{EB802848-94BD-4055-9480-DFAE18036E85} => pcalua.exe -a C:\Users\Mateusz\Desktop\Revouninstaller.exe -d C:\Users\Mateusz\Desktop
Task: {151A7759-F538-4E4B-9AE4-5F1D250659E2} - System32\Tasks\{A28EF6EE-B98E-4C07-896C-F995B48F3A59} => pcalua.exe -a "D:\Pobrane\Dependency Walker x86\depends.exe" -d "D:\Pobrane\Dependency Walker x86"
Task: {1A049A90-AAB5-4C5F-B1FD-011BBB281A91} - System32\Tasks\{669E0180-2FBE-4493-8152-6081D346773D} => pcalua.exe -a "D:\Gry\Montezuma's Return!\1.29\mwsetup.exe" -d "D:\Gry\Montezuma's Return!\1.29"
Task: {1C6F8F0E-8AFC-4DF1-A69B-07C1839718D6} - System32\Tasks\{683ED025-113B-4559-B771-4442B7FA20AE} => pcalua.exe -a F:\Setup.exe -d F:\
Task: {295F5CCD-29F5-483E-B748-0C70D1114756} - System32\Tasks\{AFB748DF-031E-4561-B50E-94F024D81398} => pcalua.exe -a "D:\Programy\Revo Uninstaller\Revouninstaller.exe" -d "D:\Programy\Revo Uninstaller"
Task: {2AA7BD84-B5FB-4F2B-92BA-B5013A40DFBB} - System32\Tasks\{10A0CEDC-1B73-4928-AB95-2348726868A5} => D:\Programy\Revo Uninstaller\Revouninstaller.exe
Task: {33DA759F-EA72-47C1-87B3-C42E3CC82428} - System32\Tasks\{9DE28510-78F6-430F-BDC4-13F125A4E817} => pcalua.exe -a "D:\Pobrane\Silent Hunter II Patche\Crack\RegSetup.exe" -d "D:\Pobrane\Silent Hunter II Patche\Crack"
Task: {38BCA0F0-9E12-407E-8345-371BE47FCD25} - System32\Tasks\{7A385DE6-6BCF-4FA3-99A1-177C2FCC163D} => pcalua.exe -a "D:\Pobrane\Grand Theft Auto San Andreas - pliki\Oficjalne spolszczenie Cenega.exe" -d "D:\Pobrane\Grand Theft Auto San Andreas - pliki"
Task: {5836705F-4878-4087-BC44-BE1059E7032A} - System32\Tasks\{274E57DC-7230-4822-A483-0A7F032B3835} => pcalua.exe -a "D:\Pliki i dokumenty\Sterowniki\Samsung NP-R519-FS04PL\Sterowniki\Windows 7\WLAN\Atheros Driver 1.0.0.1\setup.exe" -d "D:\Pliki i dokumenty\Sterowniki\Samsung NP-R519-FS04PL\Sterowniki\Windows 7\WLAN\Atheros Driver 1.0.0.1"
Task: {9755A0B4-2E1B-4B59-BDF7-209BA32C2214} - System32\Tasks\{AD8E1DB3-760D-47EC-B34A-290D8B652C5C} => pcalua.exe -a F:\Setup.now.exe -d F:\
Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - System32\Tasks\Microsoft\Windows\Application Experience\AitAgent => aitagent.exe
Task: {BE046E42-8AB7-4E96-96FC-F3622023BB0A} - System32\Tasks\{E99C1C9F-9B54-4FB3-BD7C-61C5C1D5ADE7} => pcalua.exe -a "C:\Program Files (x86)\Windows Installer Clean Up\MsiZap.exe" -d C:\Users\Mateusz
Task: {C74A60BE-6FD3-4F0B-84DE-B97B813EBADB} - System32\Tasks\{46CD1DBE-A601-4EDB-8985-2283488A0CBF} => pcalua.exe -a "C:\Program Files (x86)\Windows Installer Clean Up\msicuu.exe" -d "C:\Program Files (x86)\Windows Installer Clean Up"
Task: {CEB0DE62-3489-4301-987E-47C2B22D365B} - System32\Tasks\{F77148BD-4ACC-44E3-906C-D32543961FAF} => pcalua.exe -a "D:\Pobrane\Silent Hunter 2 (PL)\Crack\RegSetup.exe" -d "D:\Pobrane\Silent Hunter 2 (PL)\Crack"
Task: {ECAB7719-72C6-40EA-A10B-46D06E48D7A9} - System32\Tasks\{FBFD38F8-951B-4D7F-B525-C8BDA63BBDA6} => pcalua.exe -a "G:\Programy\Revo Uninstaller 1.95\Revouninstaller.exe" -d "G:\Programy\Revo Uninstaller 1.95"
Task: {FDFF7F30-99E6-4224-8F48-319CD7FC5FAB} - System32\Tasks\{9CAD7954-6A9B-4100-9296-FAEF01395EF6} => pcalua.exe -a "C:\Users\Mateusz\Desktop\Revouni nstaller.exe" -d C:\Users\Mateusz\Desktop
C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Revo Uninstaller Pro (*).lnk
C:\Users\Mateusz\AppData\Local\housecall.guid.cache
C:\Users\Mateusz\AppData\Roaming\DAEMON Tools Lite
C:\Users\Mateusz\AppData\Roaming\Skype
C:\Windows\directx.sys
C:\Windows\System32\Drivers\dtlitescsibus.sys
C:\Windows\System32\Drivers\sptd.sys
RemoveDirectory: C:\TMRescueDisk
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Disc Soft Lite Bus Service" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdate" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdatem" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDFProFiltSrvPP" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SkypeUpdate" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Sony PC Companion" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MySql" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Update Techgile" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
CMD: type C:\Users\Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\yasr66cw.default\user.js
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

[Orzelek303]

W pełni świadomie usunąłem kopie rejestru stworzone przez FRST a potem kwarantannę choć faktycznie nie było to potrzebne a kto wie co się mogło wydarzyć. Teraz wiem, że zawsze lepiej mieć jedną deskę ratunkową więcej niż mniej w razie jakiejś pomyłki czy awarii która uziemiłaby system. Dziękuję jednak za rady i na przyszłość wezmę je sobie do serca.
 

Co do Harmonogramu zadań to dalej po uruchomieniu ukazuje się błąd:
Wybrane zadanie {0} już nie istnieje. Aby wyświetlić bieżące zadania, kliknij przycisk Odśwież.

Fixlog.txt

[picasso]

Fix wykonany tylko częściowo, nie zostały przetworzone komendy Reg, wszystkie mają następujący zwrot:

 

Nazwa 'reg' nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne, program wykonywalny lub plik wsadowy.

 

To wskazuje albo na uszkodzenie Zmiennych środowiskowych, albo na skasowany plik systemowy reg.exe (co nie byłoby niczym dziwnym w przypadku leczenia z wirusa w wykonywalnych).

 

 

Co do Harmonogramu zadań to dalej po uruchomieniu ukazuje się błąd:

Wybrane zadanie {0} już nie istnieje. Aby wyświetlić bieżące zadania, kliknij przycisk Odśwież.

To jest wynik uszkodzenia lub złej konfiguracji któregoś zadania w Harmonogramie. Harmonogram był tu już sprzątany z niedomyślnych śmieci, ale FRST ma tak silne filtrowanie, że nie jest znana lista ani kondycja zadań domyślnych Microsoftu. Pobiorę ich listę w inny sposób.

 

 

Na teraz proszę pobór danych:

 

1. Z prawokliku na C:\Windows\system32\cmd.exe Uruchom jako Administrator > wklej komendę sfc /scannow i ENTER. Gdy komenda ukończy działanie:

 

2. Przygotuj w Notatniku fixlist.txt o postaci:

 

File: C:\Windows\System32\reg.exe
CMD: SET
CMD: C:\Windows\System32\findstr.exe /c:"[sR]" %windir%\logs\cbs\cbs.log
CMD: C:\Windows\System32\schtasks.exe /Query /FO LIST /V

 

W FRST Fix i dostarcz wynikowy fixlog.txt. Analiza tego zajmie mi czas i nie obiecuję szybkiej odpowiedzi.

[Orzelek303]

Załączam Fixlog.

Fixlog.txt

[picasso]

Analizą usterki Harmonogramu zajmę się potem, jak sam widzisz wyniki gruuuube. Na szybko wyjaśnienie pozostałej części. Nic tu nie wskazuje na naruszenia w plikach Windows (plik reg.exe jest na dysku, a skan SFC nic nie wykrył), to Zmienne środowiskowe są niepoprawne, brakuje domyślnych specyfikacji folderów systemowych:

 

path=C:\ProgramData\Oracle\Java\javapath;D:\Programy\Wget\bin

 

 

1. Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe zaznacz Path i klik w Edytuj. Przeklej całą ścieżkę do Notatnika, by łatwo można było to zedytować i na samym początku dostaw domyślną frazę Windows z końcowym średnikiem oddzielającym od istniejącej już części niedomyślnej:

 

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\ProgramData\Oracle\Java\javapath;D:\Programy\Wget\bin

 

Zapisz zmiany i zresetuj system.

 

2. Powtórz nieudaną część. Czyli załaduj do FRST skrypt i podaj wynikowy fixlog.txt:

 

Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Disc Soft Lite Bus Service" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdate" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdatem" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDFProFiltSrvPP" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SkypeUpdate" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Sony PC Companion" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MySql" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Update Techgile" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
CMD: del /q C:\Users\Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\yasr66cw.default\user.js

[Orzelek303]

Zalecane operacje wykonane. Co do zmiennych środowiskowych to następującą część D:\Programy\Wget\bin sam dodałem bo była mi potrzebna do działania jednego skryptu w Pythonie który korzystał z Wget'a. Zapomniałem jeszcze podziękować za podjęcie pomocy w moim temacie co czynię no i czekam na kolejne instrukcje.

 

Fixlog.txt