Rootkit "ZeroAccess"

[picasso]

Usługa instalator Windows nie jest dostępna w trybie awaryjnym.

 

A zapomniałam o tym, że te Fixit to MSI. To zrób to z poziomu Trybu normalnego.

[futrzak]

Przedstawiam logi :

AntiZeroAccess_Log.txt

OTL.Txt

[picasso]

Wygląda na to, że daliśmy radę. AntiZeroAccess potwierdza to co mówiłeś (brak detekcji infekcji), a Winsock wrócił do normy (przy czynnym rootkicie to jest niemożliwe). Kolejne akcje do przeprowadzenia:

 

1. Odblokuj + usuń z dysku zablokowane przez rootkita pliki, foldery ComboFix (nie chciały się skasować z poziomu OTLPE) i folder fałszywkę zrobioną przez DummyCreator. Uruchom GrantPerms, w oknie wklej:

 

C:\Windows\3203397148
C:\ComboFix
C:\Qoobox
... doklej tu wszystkie inne ścieżki do zablokowanych, o ile takie są ...

 

Zastosuj opcję Unlock. Następnie przez SHIFT+DEL skasuj z dysku wyżej wymienione. Usuń też te foldery powstałe na skutek używania płyt OTLPE i Kaspersky:

 

[2011-10-03 23:33:48 | 000,000,000 | ---D | C] -- C:\_OTL
[2011-10-03 18:46:10 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0

 

2. Niepokoi mnie poprzedni skan w Kaspersky Rescue Disk, w którym były pliki prawidłowych aplikacji wykryte jako zainfekowane, nie uzyskałam jasnych wyników czy nie ma aby nawrotów. Zrób kolejny skan, tym razem spod systemu, za pomocą narzędzia Kaspersky Virus Removal Tool. Przedstaw raport, o ile coś zostanie wykryte (wyniki typu OK / Packed / Archive / Password Protected mnie nie interesują).

 

3. Pierdoła: przejdź do Panelu sterowania i odinstaluj adware wprowadzone przez Unlocker QuickStores Toolbar.

 

4. Zaprezentuj nowy log z OTL z opcji Skanuj + AD-Remover z opcji Scan + raport Kasperskiego (o ile coś znajdzie).

 

 

 

 

.

[futrzak]

Kaspersky nie wykrył żadnych problemów, wiec nie przedstawiam raportu (OK / Packed / Archive / Password Protected takie wyniki cię nie interesują)

 

GrantPerms został uruchomiony pliki skasowane

 

Przedstawiam logi:

OTL.Txt

Ad-Report-SCAN1.txt

[picasso]

1. Minimalna poprawka, tzn. usuwanie drobnych wpisów pustych i czyszczenie plików tymczasowych. W OTL (spod Windows) wklej co poniżej i klik w Wykonaj skrypt.

 

:OTL
O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.
 
:Commands
[emptyflash]
[emptytemp]

 

2. Posprzątaj po używanych narzędziach: Odinstaluj AD-remover + Kaspersky Virus Removal Tool. W OTL uruchom Sprzątanie. Oczywiście możesz zlikwidować wszystkie inne używane narzędzia.

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE

 

4. Dla bezpieczeństwa zmień hasła logowania w serwisach, obecność ZeroAccess tworzy niepewny grunt.

 

5. Ważne aktualizacje do wykonania:

 

Windows Vista Home Basic Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 26
"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java™ SE Runtime Environment 6 Update 1
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Gadu-Gadu" = Gadu-Gadu 7.7
"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)
"ShockwaveFlash" = Adobe Flash Player 9 ActiveX

• Antymalware: przy obecności ESET i MBAM (nawiasem: czy one są sprawne / rootkit im nic nie zrobił?) dodatkowe programy antyspyware są zbędne. Odinstaluj zdezelowanego Spybot (program przestarzały i mało skuteczny w aktualnych warunkach), a wbudowany w system Windows Defender wyłącz (uruchom msconfig i w kartach Usługi + Uruchamianie wyłącz oba składniki).
  
• Do wykonania podstawy aktualizacyjne: INSTRUKCJE. Należy obowiązkowo należy odwiedzić Windows Update i zainstalować SP2, IE9 oraz wszystkie inne łatki. Pozaostałe programy tu wyliczone także do aktualizacji.
  
• (Opcjonalnie) zastanów się nad wymianą niepełnosprawnego GG7 (brak szyfrowania + problem z pełną obsługą własnej sieci). W temacie Darmowe komunikatory do poczytania opisy zamienników: AQQ, Kadu, WTW i Miranda.
  

 

Potwierdź wykonanie wszystkich akcji, wypowiedz się wyraźnie czy są notowane jeszcze jakieś problemy / coś należy naprawiać.

 

 

 

.

[futrzak]

Zastosuję się do twoich rad. Porobię aktualizacje oraz po testuję Vistę. Mam nadzieję że, wszystko będzie OK.

 

Wielkie dzięki za ofiarowaną pomoc oraz cierpliwość.

Edytowane 5 Października 2011 przez picasso
Temat tymczasowo pozostawię otwarty. Jeśli nie zgłosisz żadnych problemów, zostanie zamknięty. //picasso

[futrzak]

Witam ponownie

 

Mam problem próbuję zainstalować SP2 ale wyskakuje mi komunikat żebym zainstalował SP1. Natomiast SP1 mam zainstalowaną razem z Vistą więc mam ją w systemie. Ściągnąłem SP1 i jak próbuję zainstalować mam komunikat że jest już zainstalowany.

 

Natomiast jak chce pobrać aktualizacje przez internet pokazuje mi komunikat: kod 80096001.

 

Wczoraj przeskanowałem mbam i znalazł mi trojana, poniżej przedstawiam log.

 

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org

 

Wersja bazy: 7877

 

Windows 6.0.6001 Service Pack 1

Internet Explorer 7.0.6001.18000

 

2011-10-05 17:38:12

mbam-log-2011-10-05 (17-38-12).txt

 

Typ skanowania: Pełne skanowanie (C:\|)

Przeskanowano obiektów: 320030

Upłynęło: 51 minut(y), 21 sekund(y)

 

Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 0

Zainfekowanych wartości rejestru: 0

Zainfekowane informacje rejestru systemowego: 0

Zainfekowanych folderów: 1

Zainfekowanych plików: 1

 

Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)

 

Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)

 

Zainfekowanych kluczy rejestru:

(Nie znaleziono zagrożeń)

 

Zainfekowanych wartości rejestru:

(Nie znaleziono zagrożeń)

 

Zainfekowane informacje rejestru systemowego:

(Nie znaleziono zagrożeń)

 

Zainfekowanych folderów:

c:\Users\agnieszka\AppData\Roaming\gadcom (Trojan.Agent) -> Quarantined and deleted successfully.

 

Zainfekowanych plików:

c:\Users\agnieszka\downloads\nero_8.3.6.0_pl\nero lite 8.3.6.0\keygen.exe (Trojan.Agent) -> Not selected for removal.

 

Natomiast obecnie skanuję nodem i również mam 1 infekcję (przedstawiam wpis z raportu)

 

C:\Documents and Settings\Agnieszka\AppData\Local\Temp\3203397148:3809022017.exe - Win32/Sirefef.CT koń trojański - wyleczony przez usunięcie - poddany kwarantannie

[picasso]

Wczoraj przeskanowałem mbam i znalazł mi trojana, poniżej przedstawiam log. Natomiast obecnie skanuję nodem i również mam 1 infekcję (przedstawiam wpis z raportu)

 

Ten wynik z MBAM mało istotny, gorszy wynik z NOD, gdyż on wykrył w katalogu tymczasowym strumień ZeroAccess. To nie powinno mieć miejsca po wykonaniu punktu 1 z poprzedniej instrukcji (skrypt do OTL miał komendę czyszczenia lokalizacji tymczasowych). No chyba, że czyszczenie lokalizacji tymczasowych się nie wykonało z jakiegoś powodu. Na wszelki wypadek pokaż nowy log z OTL....

 

 

Natomiast jak chce pobrać aktualizacje przez internet pokazuje mi komunikat: kod 80096001.

 

Wypróbuj na początek narzędzie Fixit resetujące Windows Update, użyte z zaznaczonym trybem agresywnym: KLIK. Zresetuj system i sprawdź czy Windows Update jest zdolne wyszukać i instalować aktualizacje.

 

 

.

[futrzak]

Przedstawiam log z OTL:

OTL.Txt

[picasso]

1. Nie widzę tu śladów aktywności ZeroAccess / nawrotu infekcji, toteż zakładam, że ten strumień w Temp to tylko resztówka i wynik nie przeczyszczenia lokalizacji tymczasowych (a jaki powód = nie wiem, gdyż komendę zadawałam). Ale co widzę: nie sądzę, że użyłeś Sprzątanie w OTL, ponieważ są na dysku pliki wypakowane przez ComboFix, które są usuwane tą rutyną.... I możesz skasować z dysku te foldery (zakładam, że Spybot poleciał zgodnie z poprzednią radą):

 

[2011-10-04 18:49:06 | 000,000,000 | ---D | C] -- C:\ProgramData\Kaspersky Lab
[2011-09-29 20:45:35 | 000,000,000 | ---D | C] -- C:\windows\ERDNT
[2011-09-28 22:25:13 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2011-09-28 22:25:13 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy

 

2. Przejdź do tematyki Windows Update i zgłoś się tu z opisem co się aktualnie dzieje. Acha, i jeszcze jedno: na czas aktualizacji koniecznie wyłącz całą osłonę rezydentną ESET Smart Security. Oprogramowanie zabezpieczające to jedna z podstawowych przyczyn niemożności łączenia z WU. Czasami nawet trzeba w całości takie oprogramowanie odinstalować, by umożliwić prawidłowe aktualizacje.

 

 

 

.

[futrzak]

1 Jeżeli chodzi o OTL: tak wykonałem cały skrypt z postu wyżej, a po zakończeniu skryptu dałem sprzątanie wszystkie logi oraz OTL się skasowały. Spybot został odinstalowany.

 

2 Uruchomiłem Fixit ale dalej mam komunikat że nie może wyszukać nowych aktualizacji oraz kod 80096001. Wyłączyłem NODA ale dalej jest tak samo.

[picasso]

a po zakończeniu skryptu dałem sprzątanie wszystkie logi oraz OTL się skasowały

 

Te pliki powinny zostać skasowane Sprzątaniem:

 

[2011-09-30 18:06:59 | 000,518,144 | ---- | C] (SteelWerX) -- C:\windows\SWREG.exe
[2011-09-30 18:06:59 | 000,406,528 | ---- | C] (SteelWerX) -- C:\windows\SWSC.exe
[2011-09-30 18:06:59 | 000,060,416 | ---- | C] (NirSoft) -- C:\windows\NIRCMD.exe
[2011-09-30 18:06:59 | 000,256,000 | ---- | C] () -- C:\windows\PEV.exe
[2011-09-30 18:06:59 | 000,208,896 | ---- | C] () -- C:\windows\MBR.exe
[2011-09-30 18:06:59 | 000,098,816 | ---- | C] () -- C:\windows\sed.exe
[2011-09-30 18:06:59 | 000,080,412 | ---- | C] () -- C:\windows\grep.exe
[2011-09-30 18:06:59 | 000,068,096 | ---- | C] () -- C:\windows\zip.exe

 

Ręcznie je usuń.

 

 

Wyłączyłem NODA ale dalej jest tak samo.

 

Dla uzyskania całkowitej pewności, że ESET nie jest przyczyną, tymczasowo go całkowicie odinstaluj + restart systemu. Dopóki nie jest rozwiązany problem Windows Update, nie instaluj go ponownie. To na samym końcu.

 

 

 

.

[futrzak]

Pliki usunąłem ręcznie tak jak mówiłaś, a z Windows Update dalej jest tak samo po odinstalowaniu NODA

[picasso]

Z podanego wcześniej linka, skąd brałeś Fixit, pobierz kolejną aplikację Narzędzie analizy gotowości aktualizacji systemu. Zgodnie ze wskazówkami uruchom i przedstaw wynikowy checksur.log.

[futrzak]

Podczas uruchomienia programu (na samym początku) wyskoczył mi błąd:

 

Instalator napotkał błąd: 0x80096001

 

Podczas weryfikowania zaufania wystąpił błąd poziomu systemu.

[picasso]

To wygląda na problem z Usługami kryptograficznymi. Poprzednio stosowany Fix-it pewne powiązane składniki resetował. Wypróbuj kolejne narzędzie Fix-it z artykułu: KB822798. Zresetuj system, sprawdź czy jest możliwe uruchomienie Windows Update.

 

Wg opisu to narzędzie Fix-it automatycznie wykonuje punkty 1 do 5 z artykułu, punkty 6+9 w sumie zawierają się w punkcie 2, punkt 10 wykonywany poprzednio używanym Fix-it do resetu Windows Update.

 

 

.

[futrzak]

Odpaliłem FixIta ale dalej nie mogę pobrać aktualizacji.

[picasso]

1. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Jaki Typ uruchomienia oraz status mają Usługi kryptograficzne? Powinny być Automatyczne i Uruchomione. Jeśli stan jest inny, sprawdź z kolei co się dzieje przy próbie uruchomienia usługi.

 

2. Zrób również skan czy nie ma jakiś uszkodzeń w plikach. Wywołaj polecenie sfc /scannow, a log wynikowy przefiltruj do wystąpień znaczników [sR] i zaprezentuj: KLIK

 

 

.

[futrzak]

1 Usługi kryptograficzne mają status Uruchomiono oraz Automatyczny

 

Przedstawiam log:

sfc.txt

[picasso]

Na szybko piszę, gdyż jestem już zbyt zdekoncentrowana, by to rozwinąć:

 

Wyników SFC nie przejrzałam zbyt dokładnie, ale widzę że SFC poprawił niektóre uszkodzenia po rootkicie, zaś dużo wyników wygląda na nieistotne, ale to jeszcze będę dokładniej sprawdzać potem. Natomiast nad tym błędem Windows Update muszę się zastanowić. Jest tu prawdopodobne, że to skutki infekcji, bo np. jest temat z ZeroAccess, gdzie objawił się ten błąd: KLIK. Jednakże nie potrafię go zreprodukować. Zapuściłam u siebie ZeroAccess, ale nie ujawnia się u mnie błąd 0x80096001. Natomiast skojarzyły mi się jeszcze problematyczne ścieżki generowane przez rootkita, przejrzałam cały temat od początku i:

 

1.

========== Files/Folders - Created Within 30 Days ==========
 
File not found -- C:\windows\System32\

 

Cały czas we wszystkich logach OTL to było widać, ja zaś nie zwróciłam dostatecznej uwagi na to, głównie ze względu na to, że u innych w logach ani na swoich próbkach ZeroAccess tego nigdy nie widziałam. Dopiero na najnowszej próbce ZeroAccess identyczny odczyt uzyskałam w OTL, co więcej ComboFix na to zareagował kasując:

 

 

2. Nie widzę, by zostało wykryte przekierowanie. Pierwszy skan OTLPE z komendą wyszukiwania linków symbolicznych nie wykazał obecności tego czego się spodziewałam (dolarowy $NtUninstallKB*$). Niemniej zweryfikuj sprawę raz jeszcze. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz DIR /A C:\Windows. Przyjrzyj się czy w wynikach jest oznaczenie [sYMLINKD] takiego rodzaju:

 

 

 

 

W związku z tymi dwoma proponuję jeszcze raz spróbować pobrać + uruchomić ComboFix. Sytuacja aktualnie jest inna, nie ma ESET Smart Security oraz wszystkie urządzenia/sterowniki rootkit zdają się być w pełni usunięte. Tak: u mnie ComboFix przy czynnym rootkit device zacinał się co rusz na innym etapie, trzy razy padł rzekomo "już już produkując log", tak naprawdę zdołał wykonać pełną rundę dopiero wtedy, gdy użyłam inne narzędzia przed.

 

 

.

[futrzak]

Combofix chodził ponad godzinę informując że skanowanie będzie trwało około 10 min. Obecnie również wyskoczył mi błąd: Kosz na dysku C:\ jest uszkodzony. Czy chcesz opróżnić Kosz na tym dysku?

 

Również zaproponowałaś żebym przeskanował Kasperskim nie uczyniłem tego ponieważ pracował ComboFix. Czy mam teraz przeskanować ??

 

 

Przyjrzyj się czy w wynikach jest oznaczenie [sYMLINKD] takiego rodzaju

 

Przedstawię log z tego polecenia. Znalazł ale jest inny.

 

Microsoft Windows [Wersja 6.0.6001]

Copyright © 2006 Microsoft Corporation. Wszelkie prawa zastrzeżone.

 

 

C:\>DIR /A C:\Windows

Wolumin w stacji C nie ma etykiety.

Numer seryjny woluminu: 76A8-5960

 

Katalog: C:\Windows

 

2011-10-07 16:31 <DIR> .

2011-10-07 16:31 <DIR> ..

2008-09-25 20:12 <SYMLINKD> $NtUninstallKB3255$ [c:\windows\system32\config]

[picasso]

Również zaproponowałaś żebym przeskanował Kasperskim nie uczyniłem tego ponieważ pracował ComboFix. Czy mam teraz przeskanować ??

 

Tak, Kaspersky TDSSKiller na wszelki wypadek uruchom, jak poleciłam na PW. Gdy z nim skończysz, przejdź do tych przekombinowanych ścieżek:

 

 

1. Tak, jest punkt ponownej analizy:

 

2008-09-25  20:12         $NtUninstallKB3255$ [c:\windows\system32\config]

 

W związku z tym, że pokazuje się "folder docelowy" wygląda na to, że uprawnienia zostały już przetasowane. Jeśli wejdziesz do katalogu C:\Windows, to zobaczysz że ten dolarowiec wygląda jak link, a po wejściu w niego fałszywie się przedstawia zawartość z folderu c:\windows\system32\config (w którym są bardzo ważne pliki Windows).

 

 

Należy teraz zdjąć link. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę:

 

fsutil reparsepoint delete C:\Windows\$NtUninstallKB3255$

 

Jeśli przy wykonaniu tego polecenia jednak otrzymasz "Odmowę dostępu", to pobierz ponownie wymieniany wcześniej GrantPerms i w nim wklej ścieżkę C:\Windows\$NtUninstallKB3255$ do odblokowania, a po tym ponów w/w komendę w cmd. Po wykonaniu tego polecenia obiekt przestanie się wyświetlać jako "link" i przemieni się w folder z właściwą konfiguracją rootkita w środku.

 

 

Podświetl i przez SHIFT+ DEL skasuj $NtUninstallKB3255$.

 

 

2. Na temat tajemniczego "File not found -- C:\windows\System32\", ten plik widać w taki sposób, tzn. jako "bez nazwy", dlatego OTL nie potrafi go odnaleźć:

 

 

Są poważne trudności z usunięciem tego spod Windows, plik jest zablokowany na wszystkie możliwe sposoby (wada nazwy + uprawnienia + procesy). Zastartuj z płyty OTLPE (to usunie przeszkody z uprawnieniami i procesami) i do OTL ładuj skrypt z komendą zawierającą syntax omijania weryfikacji nazw:

 

:Files
del "\\?\C:\Windows\system32\ " /C

 

Zauważ, że po ukośniku jest spacja, dokładnie 1:1 przeklej to do OTL.

 

 

Obecnie również wyskoczył mi błąd: Kosz na dysku C:\ jest uszkodzony. Czy chcesz opróżnić Kosz na tym dysku?

 

1. Skasuj folder Kosza, odtworzy się przy pierwszej próbie usuwania czegoś. W cmd wpisz polecenie:

 

RD /S /Q C:\$Recycle.Bin

 

2. Następnie wykonaj sprawdzanie błędów na dysku z zaznaczoną opcją naprawy błędów.

 

Owszem, błędy na dysku też mi się skojarzyły z problemami Windows Update.

 

 

.

[futrzak]

Wszystkie polecenia zostały wykonane bez żadnych problemów. Przy sprawdzaniu błędów nie wykryło mi żadnych błędów.

 

Również przedstawiam log z Kasperskego

 

 

Nadal nie mogę pobrać aktualizacji. Skanowałem ComboFixem w trybie awaryjnym ale wierszał mi się przy tworzeniu raportów.

 

TDSSKiller.2.6.6.0_07.10.2011_20.24.10_log.txt

Edytowane 9 Października 2011 przez futrzak

[picasso]

W Kasperskym nie ma nic ciekawego, sterowniki Unlocker i HP są pokazane jako niepodpisane cyfrowo (co o niczym nie świadczy). Mówisz, że owe dwie wadliwe ścieżki usunięte. Sprawa składników rootkit jest już zamknięta. Zresztą te usuwane co dopiero obiekty już szkód nie mogły Ci wyrządzić (rootkit nieczynny), ale ich usuwanie było istotne w celu zapobiegnięcia problemom z narzędziami Windows. Np. ów dolarowy punkt ponownej analizy w moich testach okazał się poważną przeszkodą dla wykonalności Przywracania systemu:

 

 

 

1. Wracam do skanu SFC. Jak mówiłam, narzędzie poprawiło szkody po rootkicie:

 

2011-10-06 20:51:48, Info                  CSI    00000384 [sR] Repairing corrupted file [ml:520{260},l:98{49}]"\??\C:\windows\Microsoft.NET\Framework\v2.0.50727"\[l:24{12}]"mscorsvw.exe" from store
2011-10-06 20:51:48, Info                  CSI    0000038f [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:16{8}]"dfsc.sys" by copying from backup

 

Grom wyników punktuje "uszkodzony" plik tekstowy license.rtf w katalogach C:\windows\System32\pl-PL\Licenses i to raczej nie ma żadnego znaczenia dla problemów aktualizacji. Zostają te dwa wyniki:

 

2011-10-06 20:40:44, Info                  CSI    00000060 [sR] Cannot repair member file [l:22{11}]"autochk.exe" of Microsoft-Windows-Autochk, Version = 6.0.6001.18000, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing
2011-10-06 20:40:49, Info                  CSI    00000061 [sR] Cannot repair member file [l:22{11}]"autochk.exe" of Microsoft-Windows-Autochk, Version = 6.0.6001.18000, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing
2011-10-06 20:40:49, Info                  CSI    00000063 [sR] Could not reproject corrupted file [ml:520{260},l:46{23}]"\??\C:\windows\System32"\[l:22{11}]"autochk.exe"; source file in store is also corrupted
 
2011-10-06 20:43:35, Info                  CSI    000000a8 [sR] Cannot repair member file [l:22{11}]"PINTLGT.IMD" of Microsoft-Windows-IME-Simplified-Chinese-TrigramDictionary, Version = 6.0.6000.16386, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2011-10-06 20:43:40, Info                  CSI    000000ab [sR] Cannot repair member file [l:22{11}]"PINTLGT.IMD" of Microsoft-Windows-IME-Simplified-Chinese-TrigramDictionary, Version = 6.0.6000.16386, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2011-10-06 20:43:45, Info                  CSI    000000ae [sR] Could not reproject corrupted file [ml:520{260},l:62{31}]"\??\C:\windows\IME\IMESC5\DICTS"\[l:22{11}]"PINTLGT.IMD"; source file in store is also corrupted

 

Przesyłam poprawne pliki dopasowane do widzianych tu buildów:

 

----> Plik PINTLGT.IMD (KLIK) masz wstawić w dwa miejsca:

 

C:\Windows\IME\IMESC5\DICTS\PINTLGT.IMD

C:\Windows\winsxs\x86_microsoft-windows-i..e-trigramdictionary_31bf3856ad364e35_6.0.6000.16386_none_b4aaff4041e28397\PINTLGT.IMD

 

----> Plik autochk.exe (KLIK) idzie tu:

 

C:\Windows\System32\autochk.exe

C:\Windows\winsxs\x86_microsoft-windows-autochk_31bf3856ad364e35_6.0.6001.18000_none_e1f3ed49c1c122ef\autochk.exe

 

Uwaga: podmiana z palca się nie uda, pliki są obwarowane restrykcjami uprawnień. Posługując się tutorialem (KLIK) należy tymczasowo przestawić uprawnienia zastępowanych plików. W skrócie: zmieniasz Właściciela z TrustedInstaller na swoje konto + swojemu kontu przyznajesz Pełną kontrolę, pliki wymieniasz, po wymianie przywracasz wcześniejsze uprawnienia (przestawiasz z powrotem Właściciela na TrustedInstaller, a swoje konto usuwasz). Dla plików w system32 i IME rób to na plikach. Dla kopii tych plików w katalogu C:\Windows\winsxs uprawnienia przyznaj dla nadrzędnego katalogu w którym siedzi plik i nie zaznaczaj rekursywnego przetwarzania wszystkich obiektów w katalogu, a potencjalne błędy "Odmowa dostępuy" ignoruj.

 

Po tej operacji ponów sfc /scannow, przefiltruj sobie do znaczników [sR] i sprawdź wyniki. Jeśli po odrzuceniu owego license.rtf nic więcej się nie pokaże, sprawa jest tu załatwiona. Logów z tej operacji po raz drugi nie muszę oglądać.

 

2. Nie wiem jakie znaczenie dla uprzednio używanych Fix-it mogły mieć te dwie ścieżki pozostawione po ZeroAccess, ale ponów oba Fixit raz jeszcze (ten do resetu Windows Update z zaznaczonym trybem agresywnym plus ten podany ostatnio).

 

3. Użyj także narzędzi Fix WU Utility oraz Fix IE Utility.

 

Zresetuj system i podaj wyniki czy jest jakaś zmiana ....

 

 

Skanowałem ComboFixem w trybie awaryjnym ale wierszał mi się przy tworzeniu raportów.

 

Narzędzie odinstaluj z systemu via parametr /uninstall i już nim się nie zajmujemy.

 

 

 

 

.

[futrzak]

Wyżej wymienione polecenia wykonałem.

Jest poprawa pobiera mi aktualizację. Nareszcie mam nadzieję że to już koniec.