Generic27.PN / ZeroAccess.dr.gen.d robi spustoszenie

[picasso]

W normalnym.

[stanleyp]

1. Unlock operation completed.

 

2. Odmowa dostepu po pierwszej komendzie.

[picasso]

Spróbuj uruchomić ComboFix po raz drugi, tym razem nie ma już przeszkód, wszystkie czynne elementy rootkit zdegradowane. ComboFix zajmuje się kasowaniem tego punktu łączenia. Zobaczymy czy da radę. Przedstaw raport z jego pracy.

 

 

 

.

[stanleyp]

Jak na razie dotarl do tego samego momentu, co poprzednio:

 

"Skanowanie w poszukiwaniu zainfekowanych plików . . .

Zwykle operacja ta nie zajmuje więcej niż 10 minut

W przypadku mocno zainfekowanych komputerów czas skanowania może się nieznacznie

przedłużyć"

 

i od 20 minut nic dalej sie nie dzieje.

[picasso]

Poczekaj jeszcze. Jeżeli nic z tego, napocznij ComboFix z poziomu Trybu awaryjnego. A gdy to zawiedzie, trzeba będzie obmyślić inną metodę likwidacji tego łącza ...

[stanleyp]

Nadal bez zmian. Jak dlugo poczekac, aby przejsc do proby w trybie awaryjnym?

[picasso]

Tego nie wiem, ale objawy sugerują, że ComboFix ma zawias. Przerwij jego działanie. Odinstaluj aktualne wystąpienie, klawisz z flagą Windows + R i w Uruchom wklej:

 

"C:\Users\Aga i Piotr\Desktop\ComboFix.exe" /uninstall

 

Następnie pobierz nową kopię, wejdź w Tryb awaryjny i ponów próbę.

 

 

.

[stanleyp]

Utknal w tym samym punkcie. Nic sie nie dzieje od ponad 20 minut.

[picasso]

Dobra, przerwij mu i porzućmy już tego ComboFixa. Odinstaluj go po raz drugi. Na początek powierdź mi czy obiekt C:\Windows\$NtUninstallKB33617$ posiada ikonę strzałki definiującą, że jest to nadal link symboliczny a nie folder.

[stanleyp]

Nie widze w ogole takiego obiektu w katalogu Windows.

[picasso]

Zapewne nie masz włączonych wcale wszystkich opcji widoku. W Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego.

[stanleyp]

Ukryte pliki wczesniej odznaczylem, ale pliki systemu operacyjnego mialem zaptaszkowane.

 

Jest symbol folderu ze strzalka.

[picasso]

Z innej strony spróbujmy zresetować uprawnienia.

 

1. Pobierz SetACL, ze środka z katalogu x86 wypakuj SetACL.exe i umieść w C:\Windows. Do Notatnika wklej:

 

"\\?\C:\Windows\$NtUninstallKB33617$",1,"O:BAD:AI"

 

Zapisz jako fix.txt. Plik przekopiuj wprost na C:\. Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator, wpisz komendę:

 

SetACL -on "C:\Windows\$NtUninstallKB33617$" -ot file -actn restore -bckp C:\fix.txt

 

Jeżeli komenda będzie pomyślna:

 

2. W cmd uruchomionym jako Administrator ponów:

 

fsutil reparsepoint delete C:\Windows\$NtUninstallKB33617$

 

 

.

[stanleyp]

Chyba sie udalo tym razem.

Po ostatniej komendzie jest po prostu znak zachety i nie bylo zadnego komunikatu.

Obiekt C:\Windows\$NtUninstallKB33617$ ma ikone folderu.

[picasso]

Tak, łącze symboliczne rootkita znokautowane. Przez SHIFT+DEL skasuj C:\Windows\$NtUninstallKB33617$ z dysku. Przechodzimy do dalszych działań:

 

1. Rekonstrukcja skasowanego układu Zapory: KLIK. Odtwarzasz dwie usługi, czyli BFE + MpsSvc. Wykonaj także ponownie sfc /scannow i zrób log filtrowany.

 

2. Restart systemu. Prezentujesz: nowy log z Farbar Service Scanner oraz wyniki z sfc /scannow.

 

 

 

.

 

 

[stanleyp]

Operacje bede mogl przeprowadzic za kilka godzin. Czy na ten czas zostawic komputer wlaczony, czy moge go wylaczyc?

[picasso]

Oczywiście możesz go wyłączyć.

[stanleyp]

Operacje przebiegly bez bledow.

Zalaczam logi.

FSS.txt

sfc.txt

[picasso]

Usługi odtworzone. Pozostał nam problem uszkodzonej sieci, który nadal oznajmia mi log z Farbar Service Scanner ("There is no connection to network."). Na początek:

 

1. Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > dla połączenia pobierz Właściwości i w karcie Ogólne sprawdź jakie komponenty są używane przez połączenie. Standardowy zestaw to: Klient sieci MS Networks, Harmonogram pakietów QoS, Udostępnianie plików i drukarek, Protokół internetowy w wersji 6 oraz 4, Sterownik We/Wy mapowania z odnajdowaniem topologii warstwy łącza, Responder odnajdywania topologii warstwy łącza. Jeżeli widnieje tu cokolwiek innego, np. od AVG, podświetl i odinstaluj. Restart systemu.

 

2. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń. Przeszukaj sekcje Karty sieciowe oraz Sterowniki niezgodne z Plug and Play. Zweryfikuj czy widnieją obiekty relatywne do AVG i sieci z wykrzyknikami / pytajnikami. Znalezione zaznacz i odinstaluj. Restart systemu.

 

3. Zresetuj podstawowe parametry sieci. Otwórz Notatnik i wklej w nim:

 

reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f
ipconfig /flushdns
netsh winhttp reset proxy
netsh advfirewall reset
netsh winsock reset
netsh int ip reset c:\resetlog.txt
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > z prawokliku Uruchom jako Administrator

 

Dokładnie zweryfikuj w oknie na okoliczność błędów przy poleceniach. Zanotuj co ewentualnie odmówiło wykonania. Zresetuj system.

 

4. Podaj rezultaty działań.

 

 

.

[stanleyp]

1. Po wejsciu w "zmien ustawienia karty sieciowej" wyswietla sie bialy ekran. Wszedlem w menedzera urzadzen. Przy karcie sieciowej jest wykrzyknik. W stanie urzadzenia komunikat "system Windows nie moze zaladowac sterownika urzadzenia dla tego sprzetu. Sterownik moze by uszkodzony lub nieobecny. (kod 39)". Opcja "przywroc sterownik" jest nieaktywna.

 

2. Nic takiego nie znalazlem.

 

Kolejnych krokow nie wykonywalem.

[picasso]

Po wejsciu w "zmien ustawienia karty sieciowej" wyswietla sie bialy ekran.

 

Na ten defekt może pomóc pierwsza komenda w FIX.BAT czyli kasowanie wartości Config (po restarcie wartość zostanie przebudowana przez Windows). Zanim jednak przejdziesz do akcji z BAT:

 

 

Przy karcie sieciowej jest wykrzyknik. W stanie urzadzenia komunikat "system Windows nie moze zaladowac sterownika urzadzenia dla tego sprzetu. Sterownik moze by uszkodzony lub nieobecny. (kod 39)". Opcja "przywroc sterownik" jest nieaktywna.

 

Z prawokliku odinstaluj urządzenie + restart systemu. Po restarcie załaduj FIX.BAT i ponowny restart. Opisz wyniki.

 

 

 

.

[stanleyp]

Karta zainstalowala sie pomyslnie. Powrocilo polaczenie sieciowe. Po zaladowaniu fix.bat wszystkie operacje przebiegly pomyslnie. Dziala IE.

[picasso]

Jesteśmy na prostej. Kolejne operacje do wykonania:

 

1. Porządki po używanych narzędziach: ComboFix już deinstalowałeś (po tym ostatnim nieudanym podejściu w awaryjnym miałeś to zrobić). W OTL uruchom Sprzątanie, co zlikwiduje z dysku kwarantannę OTL oraz program jako taki. Ręcznie możesz skasować pozostałe użytki marki Farbar.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Wykonaj pełne skanowanie systemu za pomocą kombinacji Kaspersky Virus Removal Tool + Malwarebytes Anti-Malware i przedstaw raporty narzędzi z wykrytymi zagrożeniami, o ile takowe będą. Jeżeli nic nie zostanie znalezione, raporty rzecz jasna zbędne.

 

 

 

.

[stanleyp]

Punkty 1,2 wykonane.

Kaspersky nie chce sie uruchomic. Probowalem i wersji polskiej i angielskiej.

Skanuje teraz Malwarebytes.

[picasso]

Kaspersky nie chce sie uruchomic. Probowalem i wersji polskiej i angielskiej.

 

Nie ma dwóch wersji, to tylko artykuł opisowy jest różnojęzyczny, jest podawany jeden i ten sam plik EN. Czy na pewno mowa o wersji 11 a nie starej 10? I co to oznacza "nie chce się uruchomić"? Opisz objawy.