Nie działa internet (trojan-dropper sirefef)

[pain]

Niestety tak, czyli jest po prostu "Trwa identyfikowanie... Brak dostępu do internetu",podczas gdy laptop i telefony łączace sie przez ta siec normalnie działają.

[picasso]

Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń, co uwidoczni na liście m.in. gałązkę "Sterowniki niezgodne z Plug and Play". W menedżerze szukaj urządzeń z wykrzyknikami / pytajnikami, wszystkie znalezione podświetl i z prawokliku odinstaluj, również w sekcji Kart sieciowych odinstaluj swoje urządzenia. Restart systemu, Windows przebuduje układ. Podaj wyniki czy jest poprawa.

 

 

 

.

[pain]

Czyli rozumiem,że jeśli mam w sekcji karty sieciowe sterownik tego typu(Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit Ethernet NIC (NDIS 6.20)

to on również ma zostać odinstalowany? ,wiesz po prostu nie chce niczego popsuć.

[picasso]

Czyli rozumiem,że jeśli mam w sekcji karty sieciowe sterownik tego typu(Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit Ethernet NIC (NDIS 6.20)

to on również ma zostać odinstalowany,wiesz po prostu nie chce niczego popsuć.

 

Tak, masz odinstalować wszystko. Windows przebuduje urządzenia przy restarcie.

[pain]

Niestety problem występuje nadal,brak połączenia.

[picasso]

Tu się nie dziw za bardzo. ZeroAccess to jest bardzo mocny zawodnik, rozpieprza Windows. Usunięcie czynnej infekcji to połowa zadania, naprawa szkód po infekcji czasem jest skomplikowana i długotrwała. Nie wykluczam, że może się skończyć na reinstalacji Windows, jeśli zawiodą wszystkie standardowe metody.

 

Pytanie: czy na pewno włączyłaś pokazywanie ukrytych urządzeń, czy na pewno odinstalowałaś wszystko co związane z siecią, czy były tam jakieś wykrzykniki? Pokaż na obrazku co usuwałaś. Ponadto, dodaj log z Farbar Service Scanner.

 

 

 

.

[pain]

Tak włączyłam, wszystkiego raczej nie spośród 10 okolo 6 gdyż przy innych przy kliknieciu odinstaluj ladowal sie pasek ale sterownik nie znikał ,z Sterowników niezgodnych z Plug and Play około 4.

FSS.txt

[picasso]

1. Zaimportuj brakujący klucz LEGACY (wg Farbar):

 

Checking LEGACY_tdx: Attention! Unable to open LEGACY_tdx\0000 registry key. The key does not exist.

 

Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDX]
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDX\0000]
"Service"="tdx"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000400
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="@%SystemRoot%\\system32\\tcpipcfg.dll,-50004"
"Capabilities"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDX\0000\Control]
"ActiveService"="tdx"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Plik FIX.REG przekopiuj wprost na C:\. Uruchom regedit na uprawnieniu konta SYSTEM za pomocą Process Hacker: KLIK. Z menu Plik zaimportuj plik FIX.REG.

 

2. Zresetuj ustawienia sieci. Otwórz Notatnik i wklej w nim:

 

reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f

ipconfig /flushdns
netsh winhttp reset proxy
netsh advfirewall reset
netsh winsock reset
netsh int ip reset c:\resetlog.txt
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > z prawokliku Uruchom jako Administrator

 

Podczas wykonywania BAT zweryfikuj w oknie czy nie pojawiają się jakieś błędy.

 

3. Zresetuj system. Podaj rezultaty działań.

 

 

 

.

[pain]

W dalszym ciągu ten sam błąd, wszystko jeśli dobrze widziałam przebiegło pomyślnie nie licząc tej komendy netsh advfirewall reset.

Może jeszcze do weryfikacji wrzuce log z otl.

 

Czy da się coś jeszcze zrobić w tym temtacie,:-(.Czy pozostaje reinstalacja windows:'(

OTL.Txt

Extras.Txt

[picasso]

W OTL Extras jest następujący zestaw błędów tyczący "Sterownika obsługi starszych urządzeń TDI NetIO" (czyli tdx.sys):

 

Error - 2012-03-02 13:37:28 | Computer Name = MikołajPC | Source = Service Control Manager | ID = 7001
Description = Usługa Usługa autowykrywania serwera proxy w sieci Web WinHTTP zależy
 od usługi Klient DHCP, której nie można uruchomić z powodu następującego błędu:
   %%1068
 
Error - 2012-03-02 13:37:28 | Computer Name = MikołajPC | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Sterownik obsługi starszych urządzeń TDI
 NetIO z powodu następującego błędu:   %%193
 
Error - 2012-03-02 13:37:28 | Computer Name = MikołajPC | Source = Service Control Manager | ID = 7001
Description = Usługa Klient DHCP zależy od usługi Sterownik obsługi starszych urządzeń
 TDI NetIO, której nie można uruchomić z powodu następującego błędu:   %%193

 

Nie wiem na ile to jest aktualne. Proszę o:

 

1. Kompletne Dzienniki zdarzeń: KLIK. Czyli przekopiuj na Pulpit cały katalog C:\WINDOWS\system32\winevt\Logs, spakuj do ZIP > na hosting > podaj tu link.

 

2. Dodatkowy skan pod kątem wyglądu usługi tdx w rejestrze. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, za to w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\tdx /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDX /S

 

Klik w Skanuj (a nie Wykonaj skrypt!). Przedstaw log wynikowy.

 

 

.

[pain]

http://speedy.sh/2jDwT/Logs.rar

OTL.Txt

[picasso]

W Dzienniku zdarzeń jest dość dziwny (po podmianie plików) błąd, który właśnie sugeruje, że plik jest wadliwy:

 

Nie można uruchomić usługi Sterownik obsługi starszych urządzeń TDI NetIO z powodu następującego błędu: 
Sterownik obsługi starszych urządzeń TDI NetIO nie jest prawidłową aplikacją systemu Win32.

 

Wykonaj kolejny skan dostosowany w OTL. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne (wyszukiwanie plików też masz odznaczyć - poprzednio tego nie zrobiłaś), za to w sekcji Własne opcje skanowania / skrypt wklej:

 

/md5start
tdx.sys
/md5stop

 

Klik w Skanuj. Przedstaw log wynikowy.

 

 

EDIT

 

Czy Ty na pewno zaimportowałaś cały plik FIX.REG? Brakuje tego:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDX]

"NextInstance"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDX\0000]

"Service"="tdx"

"Legacy"=dword:00000001

"ConfigFlags"=dword:00000400

"Class"="LegacyDriver"

"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"

"DeviceDesc"="@%SystemRoot%\\system32\\tcpipcfg.dll,-50004"

"Capabilities"=dword:00000000

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDX\0000\Control]

"ActiveService"="tdx"

 

Powtórz import pliku FIX.REG przez Process Hacker. Zresetuj system.

 

 

 

.

[pain]

Niestety, problem jest nadal , myśle,że tak zrobiłam wszystko jak podane po zaimportowaniu pliku FIX.REG wyświetlił się komunikat "Klucze i wartości znajdujące się w C:/FIX.REG zastały poprawnie wprowadzone do rejestru."

P.S Niewiem czy to istotna informacja ale dodam,że problem z internetem (Trwa identyfikowanie...) czyli tak jak teraz pojawił się przy pierwszym użyciu ComboFixa jak i zniknoł po jego drugim użyciu,ale troche później po wykonywaniu operacji przy usuwaniu Rootkita znów wystąpił.

OTL.Txt

[picasso]

myśle,że tak zrobiłam wszystko jak podane po zaimportowaniu pliku FIX.REG wyświetlił się komunikat "Klucze i wartości znajdujące się w C:/FIX.REG zastały poprawnie wprowadzone do rejestru."

 

Mówisz o imporcie wcześniej czy po jego powtórce? A ten komunikat "zostały poprawnie wprowadzone ..." to się wyświetli nawet jeśli w pliku są głupoty czy plik jest niekompletny. To nie jest dowód na prawidłowe wykonanie zadania poprzednio. Log z OTL wykazał brak wartości "ActiveService".

 

 

P.S Niewiem czy to istotna informacja ale dodam,że problem z internetem (Trwa identyfikowanie...) czyli tak jak teraz pojawił się przy pierwszym użyciu ComboFixa jak i zniknoł po jego drugim użyciu,ale troche później po wykonywaniu operacji przy usuwaniu Rootkita znów wystąpił.

 

Już wiem dlaczego tak jest. Wyniki skanu: Twój plik tdx.sys jest zły, zupełnie nie zgadzają się jego parametry z systemem Windows 7 SP1 32-bit. Porównanie:

 

 

Twój system:

 

[2010-11-20 09:39:17 | 000,074,752 | ---- | M] (Microsoft Corporation) MD5=B459575348C20E8121D6039DA063C704 -- C:\Windows\ERDNT\cache\tdx.sys

[2009-07-14 00:12:11 | 000,074,240 | ---- | M] (Microsoft Corporation) MD5=CB39E896A2A83702D1737BFD402B3542 -- C:\Windows\winsxs\x86_microsoft-windows-tdi-over-tcpip_31bf3856ad364e35_6.1.7600.16385_none_ea141e6f3d693e28\tdx.sys

[2012-02-29 15:59:24 | 000,119,296 | ---- | M] (Microsoft Corporation) MD5=DDAD5A7AB24D8B65F8D724F5C20FD806 -- C:\tdx.sys

[2012-02-29 15:59:24 | 000,119,296 | ---- | M] (Microsoft Corporation) MD5=DDAD5A7AB24D8B65F8D724F5C20FD806 -- C:\Windows\System32\drivers\tdx.sys

[2012-02-29 15:59:24 | 000,119,296 | ---- | M] (Microsoft Corporation) MD5=DDAD5A7AB24D8B65F8D724F5C20FD806 -- C:\Windows\winsxs\x86_microsoft-windows-tdi-over-tcpip_31bf3856ad364e35_6.1.7601.17514_none_ec4532373a57c1c2\tdx.sys

 

Mój system:

 

[2010-11-20 09:39:17 | 000,074,752 | ---- | M] (Microsoft Corporation) MD5=B459575348C20E8121D6039DA063C704 -- C:\Windows\System32\drivers\tdx.sys

[2010-11-20 09:39:17 | 000,074,752 | ---- | M] (Microsoft Corporation) MD5=B459575348C20E8121D6039DA063C704 -- C:\Windows\winsxs\x86_microsoft-windows-tdi-over-tcpip_31bf3856ad364e35_6.1.7601.17514_none_ec4532373a57c1c2\tdx.sys

[2009-07-14 00:12:11 | 000,074,240 | ---- | M] (Microsoft Corporation) MD5=CB39E896A2A83702D1737BFD402B3542 -- C:\Windows\winsxs\x86_microsoft-windows-tdi-over-tcpip_31bf3856ad364e35_6.1.7600.16385_none_ea141e6f3d693e28\tdx.sys

 

No tutaj baty dostaje Landuss. Otóż dał ... plik w wersji 64-bit. Oto skan z systemu 64-bit i identyczne sumy kontrolne jak plik, który został sztucznie wprowadzony w Twój system:

 

[2009-07-14 00:21:15 | 000,099,840 | ---- | M] (Microsoft Corporation) MD5=079125C4B17B01FCAEEBCE0BCB290C0F -- C:\Windows\winsxs\amd64_microsoft-windows-tdi-over-tcpip_31bf3856ad364e35_6.1.7600.16385_none_4632b9f2f5c6af5e\tdx.sys

[2010-11-20 10:21:56 | 000,119,296 | ---- | M] (Microsoft Corporation) MD5=DDAD5A7AB24D8B65F8D724F5C20FD806 -- C:\Windows\SysNative\drivers\tdx.sys

[2010-11-20 10:21:56 | 000,119,296 | ---- | M] (Microsoft Corporation) MD5=DDAD5A7AB24D8B65F8D724F5C20FD806 -- C:\Windows\winsxs\amd64_microsoft-windows-tdi-over-tcpip_31bf3856ad364e35_6.1.7601.17514_none_4863cdbaf2b532f8\tdx.sys

 

 

 

Nic dziwnego, że jest błąd "Sterownik obsługi starszych urządzeń TDI NetIO nie jest prawidłową aplikacją systemu Win32" i sieć nie startuje = plik jest w niezgodnej bitowo wersji. Ale tu nie rozumiem jak narzędzie SFC mogło to puścić (!), jakoby naprawiało, ale fakt nie do zbicia, że sumy kontrolne plików są identyczne z kopią C:\tdx.sys, czyli naprawa się nie odbyła. W Twoim zestawie prawidłowym plikiem jest ten skopiowany do własnego cache przez ComboFix (C:\Windows\ERDNT\cache\tdx.sys) zaraz na wstępie zanim rootkit go zaprawił i tenże weźmiemy do zamiany.

 

1. Skasuj wadliwą kopię C:\tdx.sys.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

CopyFile:
C:\Windows\ERDNT\cache\tdx.sys C:\Windows\System32\drivers\tdx.sys
C:\Windows\ERDNT\cache\tdx.sys C:\Windows\winsxs\x86_microsoft-windows-tdi-over-tcpip_31bf3856ad364e35_6.1.7601.17514_none_ec4532373a57c1c2\tdx.sys

 

Klik w Execute Now. Zatwierdź restart komputera. Na dysku C powstanie log z operacji.

 

3. Wygeneruj nowy log z OTL na warunku dostosowanym, czyli wszystkie opcje ustaw na Brak + Żadne, za to w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDX /S
/md5start
tdx.sys
/md5stop

 

Klik w Skanuj. Przedstaw log wynikowy.

 

 

EDIT:

 

Spojrzałam w temat dokładniej ... W poście numer 12 został też wykonany błędy skrypt OTL usuwający prawidłowe wejścia NetSvcs na systemie Windows 7. Oto skan z mojego systemu:

 

NetSvcs: FastUserSwitchingCompatibility - File not found

NetSvcs: Ias - C:\Windows\System32\ias.dll (Microsoft Corporation)

NetSvcs: Nla - File not found

NetSvcs: Ntmssvc - File not found

NetSvcs: NWCWorkstation - File not found

NetSvcs: Nwsapagent - File not found

NetSvcs: SRService - File not found

NetSvcs: WmdmPmSp - File not found

NetSvcs: LogonHours - File not found

NetSvcs: PCAudit - File not found

NetSvcs: helpsvc - File not found

NetSvcs: uploadmgr - File not found

 

"not found" to tu ma być. Rekonstrukcją tego zajmę się potem. Uporajmy się wpierw z TDX.

 

 

.

[pain]

Z radością stwierdzam,że internet działa, wielkie dzięki za pomoc:)

Skoro nadal jest jeszcze coś do zrobienia to z niecierpliwością oczekuje dalszych instrukcji.

Po szybkim skanowaniu progam antywirusowy wykrył jakieś ślady w rejestrze,poniżej dodam z niego raport.

OTL.Txt

a2scan_120305-182356.txt

[picasso]

Potwierdzenie już tylko formalne: plik jest prawidłowy, również klucz LEGACY cały. Natomiast zaległe wątki mamy, czyli rekonstrukcja wartości NetSvcs zgodnej z Windows 7, odtworzenie scharatanego klucza deinstalacji programów oraz doczyszczenie. W ostatnim logu z OTL nadal widać dwie usługi po ZeroAccess, choć już nieczynne:

 

SRV - [2009-07-14 02:14:41 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto | Stopped] -- C:\Windows\System32\logmein.dll -- (PBADRV)
SRV - [2009-07-14 02:14:41 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto | Stopped] -- C:\Windows\System32\FiltUSBEMPIA.dll -- (eSettingsService)

 

Poza tym, po tej historii z nieprawidłowym tdx.sys to ja jednak na wszelki wypadek sprawdzę także inne dosłane kopie plików. Kopia cdrom.sys widoczna w OTL też mi się coś nie zgadza z moim systemem, ale że nie mam przeliczenia sumy kontrolnej, to jeszcze nie potwierdzam nic.

 

 

nie wiem w jaki sposób ale w panelu sterowania w opcji odinstaluj program gdzie wcześniej widziałam wszystkie programy na liście teraz sa widoczne tylko 4 programy wszystkie pozostałe zniknęły 0_o,dosłownie stało się to w kilka minut.A wszystkie programy normalnie są na dysku,gdy wchodze do CCleanera w opcji narzedzia programy sa normalnie widoczne,ale wdalszym ciagu nie widze tych dwóch programów do odinstalowania.

 

Ten wątek nie został tu zaadresowany. Widzę tę dalekosiężną zmianę między logami OTL Extras, końcowy log pokazuje tylko:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Ad-Remover" = Ad-Remover par C_XX
"Process_Hacker2_is1" = Process Hacker 2.27 (r4957)
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-569617077-483490569-2739753594-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Game Organizer" = GameXN GO
"PhotoFiltre" = PhotoFiltre
"Winamp Detect" = Detektor Winampa

 

Programy zniknęły = to nie jest prawidłowe, tu musiało nastąpić uszkodzenie. Nie wykluczam, że namieszał albo proces deinstalacji któregoś adware-śmiecia, albo AdwCleaner (z posta numer #13 widzę że to się stało dokładnie między deinstalacjami i zawieszeniem AdwCleaner). Trzeba będzie to naprawiać. Naprawa będzie polegać na wyekstraktowaniu z kopii rejestru sprzed usterki pierwotnych wersji kluczy tu widzialnych. Kopia rejestru ciągle jest = zrobił ją ComboFix w katalogu C:\Windows\ERDNT. Proszę skopiuj ten katalog na Pulpit, spakuj do ZIP, shostuj gdzieś i wyślij mi na PW link. Ja podmontuję rejestr u siebie i sprawdzę czy są klucze w oryginalnej formie.

 

Poza tym, Google Chrome wygląda na odinstalowane. W OTL Extras sprzed usterki kluczy instalacyjnych Google Chrome nie było też widoczne. Jednocześnie w logu z OTL widać jego wpisy konfiguracyjne. Katalog Google Chrome przeznaczam więc na ubój w skrypcie poniżej.

 

========== Chrome  ==========
 
CHR - default_search_provider: Google ()
CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}sourceid=chrome&ie={inputEncoding}&q={searchTerms}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?client=chrome&hl={language}&q={searchTerms}

 

 

---

1. Rekonstrukcja wartości NetSvcs w formie Windows 7. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
"netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\
  63,00,00,00,43,00,65,00,72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,\
  00,00,00,53,00,43,00,50,00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,\
  00,00,6c,00,61,00,6e,00,6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,\
  00,00,00,67,00,70,00,73,00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,\
  54,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,\
  00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
  69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
  00,69,00,74,00,79,00,00,00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,\
  6e,00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,\
  00,00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,\
  69,00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,\
  00,74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,\
  73,00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,\
  00,63,00,65,00,73,00,73,00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,\
  61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,\
  00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,\
  73,00,72,00,76,00,00,00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,\
  00,6d,00,53,00,70,00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,\
  69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\
  00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,\
  44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,\
  00,6f,00,6e,00,48,00,6f,00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,\
  64,00,69,00,74,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,\
  00,70,00,6c,00,6f,00,61,00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,\
  6c,00,70,00,73,00,76,00,63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,\
  00,6e,00,00,00,41,00,70,00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,\
  69,00,73,00,63,00,73,00,69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,77,\
  00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,00,72,00,74,00,\
  00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,50,00,72,00,6f,00,66,\
  00,53,00,76,00,63,00,00,00,73,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,00,\
  00,00,68,00,6b,00,6d,00,73,00,76,00,63,00,00,00,53,00,65,00,73,00,73,00,69,\
  00,6f,00,6e,00,45,00,6e,00,76,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,\
  74,00,00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,54,00,68,00,65,\
  00,6d,00,65,00,73,00,00,00,42,00,44,00,45,00,53,00,56,00,43,00,00,00,41,00,\
  70,00,70,00,4d,00,67,00,6d,00,74,00,00,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik wybierz Scal

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

SRV - [2009-07-14 02:14:41 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto | Stopped] -- C:\Windows\System32\logmein.dll -- (PBADRV)
SRV - [2009-07-14 02:14:41 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto | Stopped] -- C:\Windows\System32\FiltUSBEMPIA.dll -- (eSettingsService)
 
:Files
C:\Users\Mikołaj\AppData\Local\Temp*.html
%localappdata%\Google\Chrome
rd /s /q C:\FRST /C
rd /s /q C:\TDSSKiller_Quarantine /C
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. Przedstaw go.

 

3. Wygeneruj do oceny nowy log z OTL na warunkach dostosowanych, w sekcji Własne opcje skanowania / skrypt wklej:

 

netsvcs

/md5start
cdrom.sys
mswsock.dll
/md5stop

 

Klik w Skanuj. Przypominam, że masz dosłać kopię rejestru, czyli spakowany katalog C:\Windows\ERDNT.

 

 

Po szybkim skanowaniu progam antywirusowy wykrył jakieś ślady w rejestrze,poniżej dodam z niego raport.

 

Tylko ostatni wynik Trace.Registry.smartprotection2012!E1 jest wynikiem faktycznym. Pozostałe wyniki to detekcja wpisów rejestru programu Ares. Jeżeli Ares jest jednak odinstalowany, to bez skrępowania można usuwać.

 

 

 

.

[pain]

Dosyłam logi z punktu 2 i 3.

Log z usuwania.txt

OTL.Txt

[picasso]

Skrypt pomyślnie wykonany, za wyjątkiem dwóch ostatnich wejść z bezśladowym kasowaniem z dysku katalogów narzędzi FRST + TDSSKiller, ale to nie ma znaczenia, gdyż te katalogi później usuniesz ręcznie. Import wartości NetSvcs również się wykonał. Komentarz do skanu kopii plików: dosłany cdrom.sys także był niepoprawny, czyli ... 64-bitowy (oj, Landuss), komentarz do tego w spoilerze.

 

 

 

Wykazuje to zestawienie:

 

Skan z Twojego systemu 32-bit:

 

[2010-11-20 09:38:10 | 000,108,544 | ---- | M] (Microsoft Corporation) MD5=BE167ED0FDB9C1FA1133953C18D5A6C9 -- C:\Windows\System32\drivers\cdrom.sys

[2010-11-20 09:38:10 | 000,108,544 | ---- | M] (Microsoft Corporation) MD5=BE167ED0FDB9C1FA1133953C18D5A6C9 -- C:\Windows\System32\DriverStore\FileRepository\cdrom.inf_x86_neutral_6381e09675524225\cdrom.sys

[2010-11-20 09:38:10 | 000,108,544 | ---- | M] (Microsoft Corporation) MD5=BE167ED0FDB9C1FA1133953C18D5A6C9 -- C:\Windows\winsxs\x86_cdrom.inf_31bf3856ad364e35_6.1.7601.17514_none_61b0c5ce02098355\cdrom.sys

[2012-02-28 19:28:10 | 000,147,456 | ---- | M] (Microsoft Corporation) MD5=F036CE71586E93D94DAB220D7BDF4416 -- C:\cdrom.sys

 

Skan z systemu 64-bit:

 

[2010-11-20 10:19:21 | 000,147,456 | ---- | M] (Microsoft Corporation) MD5=F036CE71586E93D94DAB220D7BDF4416 -- C:\Windows\SysNative\drivers\cdrom.sys

[2010-11-20 10:19:21 | 000,147,456 | ---- | M] (Microsoft Corporation) MD5=F036CE71586E93D94DAB220D7BDF4416 -- C:\Windows\SysNative\DriverStore\FileRepository\cdrom.inf_amd64_neutral_0b3d0d1942ab684b\cdrom.sys

[2010-11-20 10:19:21 | 000,147,456 | ---- | M] (Microsoft Corporation) MD5=F036CE71586E93D94DAB220D7BDF4416 -- C:\Windows\winsxs\amd64_cdrom.inf_31bf3856ad364e35_6.1.7601.17514_none_bdcf6151ba66f48b\cdrom.sys

 

 

... ale w tym przypadku sprawa się sama "rozwiązała", bo do próby zamiany był używany OTL, który nie podoła temu przy rootkicie i nic zupełnie nie zrobił, a faktyczną naprawę plików wykonał uruchomiony po nim ComboFix:

 

Zainfekowana kopia c:\windows\system32\drivers\cdrom.sys została znaleziona. Problem naprawiono 
Plik odzyskano z - c:\windows\System32\DriverStore\FileRepository\cdrom.inf_x86_neutral_6381e09675524225\cdrom.sys 

 

 

 

Na temat uszkodzonej listy programów: z Twojej kopii rejestru wyciągnęłam cały klucz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall i go dostosowałam do wyglądu po deinstalacji adware-pasków.

 

1. Odinstaluj programy, które weszły już po usterce (AD-Remover + Process Hacker), gdyż reimport poprzedniej wersji klucza i tak zlikwiduje je z listy i stanie się już niemożliwa ich normalna deinstalacja.

 

2. Pobierz plik: KLIK. Rozpakuj, z prawokliku na plik REG opcja Scal.

 

3. Zresetuj system i sprawdź swoją listę deinstalacji programów czy wszystko wróciło na miejsce.

 

 

 

 

.

[pain]

Jeszcze się upewnię, gdy zainstalowalem kilka programow typu antywirus, zaktualizowalem Adobe i czy to również mam odinstalować,przed wykonaniem następujących kroków?

[picasso]

No tak, wszystkie zmiany, które się wykonały między wystąpieniem usterki a chwilą obecną, są niezgodne z treścią importu klucza do rejestru. Wygląd klucza pochodzi z czasu posta numer 12, z tą różnicą, że usunęłam ręcznie wpisy adware symulując przeprowadzenie procedury "deinstalacji" z posta numer 13.

 

Z drugiej strony: nie wszystko zgadza mi się co mówisz, no chyba że akcje pochodzą już z bardzo bliska po dostarczeniu ostatnich logów. Usterka nastąpiła między postami 12 a 13, aktualizacje zalecone w poście 18, zaś ostatni OTL Extras cytowany przeze mnie z posta 34, wcale nie pokazuje tych zmian = nowe wpisy po uszkodzeniu to tylko pozycje AD-Remover i Process Hacker. Stąd też to o nich mówiłam, bo to różnica między OTL Extras zaraz po usterce i ostatnim OTL Extras. Ponadto, pewne aktualizacje działają na poziomie plików, nie muszą wcale nadpisywać określonych kluczy, tu trudno stwierdzić co się aktualizowało w zasadzie...

 

Może zrób to jednak od razu jak mówię. W razie czego sobie przeinstalujesz nakładkowo jeszcze raz jakąś aplikację, gdyby okazała się problematyczna / niewidoczna / źle widoczna na liście.

 

 

 

.

[pain]

Programy wróciły na swoje miejsce,nie zauważyłem problemów,tak np aktualizacja Adobe odbyła sie około 2 h temu;] Gdy jeszcze jakis problem wystąpił niezwłocznie napiszę.

Czy pozostało mi jeszcze coś do wykonania?

[picasso]

Sprawdź dokładnie czy wszystko działa, czy Windows Update jest sprawne. Dopiero jak potwierdzisz dane, infekcję ZeroAccess możemy uznać za pomyślnie rozwiązaną. I na koniec:

 

EDIT: byłabym zapomniała, skan oczywiście, takiego tu nie było narzędziem czujnym na pliki dodatkowe ZeroAccess.

 

1. Dokasuj przez SHIFT+DEL z dysku te obiekty:

 

[2012-02-29 16:32:11 | 000,000,000 | ---D | C] -- C:\FRST
[2012-02-28 19:32:11 | 000,147,456 | ---- | C] (Microsoft Corporation) -- C:\cdrom.sys
[2012-02-27 15:11:47 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2012-02-27 10:59:37 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine

 

2. Przeprowadź pełne skanowanie za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, pokaż raport.

 

3. W związku z licznymi zmianami konfiguracyjnymi po ostatnim czyszczeniu folderów Przywracania systemu, wdróż ich ponowne czyszczenie.

 

4. Prewencyjnie pozmieniaj hasła logowania w serwisach.

 

 

 

 

.

[pain]

Wszystko wykonane,lecz chyba mi zapora nie działa a dokładniej mówiąc po wejściu w Zapore Systemu Windows w panelu sterowaniu po wybraniu opcji użyj ustawień zalecanych wskaźnik myszy zmienia sie na "zajęty" i na tym koniec czekam z 10 s i nic sie nie dzieje.Pamiętam,że wyłączałam ją wcześniej przed używaniem GMER ale potem gdy chciałam właczyć juz nie dalo rady.

[picasso]

lecz chyba mi zapora nie działa a dokładniej mówiąc po wejściu w Zapore Systemu Windows w panelu sterowaniu po wybraniu opcji użyj ustawień zalecanych wskaźnik myszy zmienia sie na "zajęty" i na tym koniec czekam z 10 s i nic sie nie dzieje

 

Mówiłaś wcześniej:

 

wszystko jeśli dobrze widziałam przebiegło pomyślnie nie licząc tej komendy netsh advfirewall reset

 

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh advfirewall reset > jaki błąd się pokazuje?

 

 

 

.

[pain]

Pokazuje: "Wystąpił błąd podczas próby kontaktowania się z usługą zapory systemu Windows.Upewnij się,że usługa jest uruchomiona i ponów żądanie." Niżej jeszcze dołącze z poprzedniego postu raport.

mbam-log-2012-03-09 (00-27-09).txt