Przekierowania abnow.com

[Dourel]

No niestety to też mnie dziś złapało https://www.fixitpc.pl/topic/7716-abnowcom/. Trochę nieogarniam tego o czym tu rozmawiacie dlatego prosiłbym o pomoc krok po kroku. Mam system Win7 64bitowy więc GMERem raczej wam nie pomogę.

 

I z tego co widzę, zapora u mnie też siadła.

 

Edit:

Przepraszam za dopisanie.

Co do Combofixa, nie działa on pod trybem awaryjnym. Standardowo wypakowywuje się i po tej czynności powinien się odpalić, niestety spotyka mnie piękny blask BSoD'a.

[picasso]

Dourel zacznij od przeczytania zasad działu: KLIK. Po pierwsze: nie wolno się dopisywać do cudzych tematów i zostałeś wydzielony. Po drugie: analiza tematu bez materiałów w postaci raportów jest niemożliwa, a w zasadach działu jest napisane jakie raporty się dostarcza z systemu 64-bit.

 

Poproszę o logi z OTL i Farbar Service Scanner (wszystkie opcje zaznaczone). Odpowiadaj już pod moim postem.

 

 

 

.

[Dourel]

Oto logi.

Zauważyłem także brak dostępu do folderów jak "Dane Aplikacji" czy też "Ustawienia lokalne"

Extras.Txt

FSS.txt

OTL.Txt

[picasso]

Co do Combofixa, nie działa on pod trybem awaryjnym. Standardowo wypakowywuje się i po tej czynności powinien się odpalić, niestety spotyka mnie piękny blask BSoD'a.

 

ComboFix pobrałeś ze złego serwisu. Serwis ten nie ma autoryzacji na trzymanie kopii, a przez to, że hostują kopię narzędzia można się nadziać na niespodzianki nienajnowszej wersji narzędzia. Jedyne autoryzowane linki, to te podane u nas w przyklejonym: KLIK.

 

[2012-03-07 18:15:51 | 000,000,000 | ---D | C] -- C:\ComboFix_www.INSTALKI.pl_

 

 

Zauważyłem także brak dostępu do folderów jak "Dane Aplikacji" czy też "Ustawienia lokalne"

 

Jeśli masz na myśli te widzialne wprost w C:\Users\Konto, to nomalne. To nie są foldery, tylko linki symboliczne: KLIK.

 

 

---

Oczywiście to jest ten przypadek z infekcją ZeroAccess i są identyczne naruszenia (skasowana Zapora oraz błędne ścieżki usługi Windows Defender). Poświadcza to log z Farbar oraz grupa miłych błędów w Dzienniku zdarzeń:

 

[ System Events ]
Error - 2012-03-26 09:59:50 | Computer Name = KD | Source = Service Control Manager | ID = 7001
Description = Usługa Dostawca grupy domowej zależy od usługi Host dostawcy odnajdowania
 funkcji, której nie można uruchomić z powodu następującego błędu:   %%1068
 
Error - 2012-03-26 09:59:50 | Computer Name = KD | Source = Service Control Manager | ID = 7001
Description = Usługa Dostawca grupy domowej zależy od usługi Host dostawcy odnajdowania
 funkcji, której nie można uruchomić z powodu następującego błędu:   %%1068
 
Error - 2012-03-26 10:37:22 | Computer Name = KD | Source = Service Control Manager | ID = 7023
Description = Usługa Przeglądarka komputera zakończyła działanie; wystąpił następujący
 błąd:   %%1060
 
Error - 2012-03-26 10:37:22 | Computer Name = KD | Source = Service Control Manager | ID = 7003
Description = Usługa Moduły obsługi kluczy IPsec IKE i AuthIP zależy od następującej
 usługi: BFE. Ta usługa może nie być zainstalowana.
 
Error - 2012-03-26 10:37:26 | Computer Name = KD | Source = Service Control Manager | ID = 7003
Description = Usługa Agent zasad IPsec zależy od następującej usługi: BFE. Ta usługa
 może nie być zainstalowana.
 
Error - 2012-03-26 10:37:26 | Computer Name = KD | Source = Service Control Manager | ID = 7003
Description = Usługa Udostępnianie połączenia internetowego (ICS) zależy od następującej
 usługi: BFE. Ta usługa może nie być zainstalowana.
 
Error - 2012-03-26 10:37:27 | Computer Name = KD | Source = Service Control Manager | ID = 7023
Description = Usługa Windows Defender zakończyła działanie; wystąpił następujący
 błąd:   %%126

 

 

Zadania podzielę. Na początek usunięcie infekcji, potem podam naprawy usług Windows. Lecimy:

 

1. Pobierz narzędzie FRST x64 i umieść je na pendrive.

 

2. Przygotuj plik naprawczy. Otwórz Notatnik i wklej w nim:

 

SubSystems: [Windows] ==> ZeroAccess
NETSVC: APLMp50
2 APLMp50; C:\Windows\System32\deltafw.dll [5120 2009-07-14] (Iomega)
C:\Windows\System32\deltafw.dll
C:\Windows\System32\consrv.dll
C:\Windows\System32\dds_log_ad13.cmd
C:\Windows\system32\%APPDATA%
C:\Windows\assembly\tmp\U
C:\Windows\assembly\tmp\loader.tlb
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
C:\Users\Krzysiek\AppData\Local\1954a474

 

Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST.

 

3. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom zgodnie z opisem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt.

 

4. Restartujesz do Windows.

 

5. Reset Winsock: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera.

 

6. Zrób nowy log z OTL na warunku dostosowanym, tzn. w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Skanuj.

 

netsvcs

C:\Windows\assembly\tmp\*.*

 

Dostarcz też Fixlog.txt pozyskany w punkcie 3.

 

 

 

 

.

[Dourel]

ComboFix pobrałeś ze złego serwisu. Serwis ten nie ma autoryzacji na trzymanie kopii, a przez to, że hostują kopię narzędzia można się nadziać na niespodzianki nienajnowszej wersji narzędzia. Jedyne autoryzowane linki, to te podane u nas w przyklejonym: KLIK.

 

[2012-03-07 18:15:51 | 000,000,000 | ---D | C] -- C:\ComboFix_www.INSTALKI.pl_

Ściągnąłem Combofixa z normalnej strony, ten przypadek zignoruj. Nie raz instalowałem ComboFixa i po ściągnięciu go z instalek przypomniałem sobie, że może on nie działać.

 

Tak więc zabieram się za zabawę.

[picasso]

To był komentarz poboczny. Narzędzie ma problem przypuszczalnie ze względu na aktywność infekcji ZeroAccess, która blokuje działanie.

[Dourel]

Oto logi.

 

Dalej nie mogę otworzyć folderów "Dane aplikacji" i "Ustawienia lokalne" a bardzo często z nich korzystam.

Proszę również nie zapomnieć o fakcie jakim jest niedziałająca zapora.

Fixlog.txt

Extras.Txt

OTL.Txt

[picasso]

Dalej nie mogę otworzyć folderów "Dane aplikacji" i "Ustawienia lokalne" a bardzo często z nich korzystam.

 

Wczytaj się proszę w link, który podałam:

 

Jeśli masz na myśli te widzialne wprost w C:\Users\Konto, to nomalne. To nie są foldery, tylko linki symboliczne: KLIK.

 

Przecież mówię, to naturalne w systemie Windows 7, to są linki symboliczne a nie foldery właściwe. "Dane aplikacji" i "Ustawienia lokalne" na systemie Windows 7 to całkiem inne położenie:

 

C:\Users\Konto\AppData\Roaming

C:\Users\Konto\AppData\Local

 

Szybko możesz się do nich dostać wklejając w pasku adresów Windows Eksplorer zmienną %appdata% oraz %localappdata%.

 

 

To ten pierwszy AppData jest właściwym folderem, dwa pozostałe "Application Data" + "Local Settings" to są łącza punktujące zwrotnie do pierwszego, dla wstecznej kompatybilności aplikacji nie znających nowych ścieżek Windows 7, a nie foldery zasadnicze, te łącza prowadzą właśnie do w/w katalogów. Łącza są zablokowane przez uprawnienia celowo.

 

 

Proszę również nie zapomnieć o fakcie jakim jest niedziałająca zapora.

 

Przecież mówiłam:

 

Oczywiście to jest ten przypadek z infekcją ZeroAccess i są identyczne naruszenia (skasowana Zapora oraz błędne ścieżki usługi Windows Defender). Poświadcza to log z Farbar oraz grupa miłych błędów w Dzienniku zdarzeń (...) Zadania podzielę. Na początek usunięcie infekcji, potem podam naprawy usług Windows.

 

Teraz dopiero za to się zabieramy...

 

 

---

Skrypt FRST pomyślnie usunął główne składniki infekcji. Winsock został prawidłowo zresetowany. Skan dostosowany w OTL wykazał jeszcze jeden plik ZeroAccess, którego się spodziewałam:

 

[2012-03-26 08:23:03 | 000,002,048 | ---- | M] () -- C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
del /q C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6} /C
icacls C:\ComboFix_www.INSTALKI.pl_ /grant Wszyscy:F /T /C
rd /s /q C:\ComboFix_www.INSTALKI.pl_ /C
rd /s /q C:\FRST /C
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt (tak, tym razem ta opcja). System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Przechodzimy do odbudowy usług Windows. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"Group"="COM Infrastructure"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-3068"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
  00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
  65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
  74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
  69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
  00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
  00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
  00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
  20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
  00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal

 

Zrekonstruuj Zaporę systemu Windows, tzn. usługi BFE + MpsSvc: KLIK.

 

3. Zresetuj system i zrób nowy log z Farbar Service Scanner. Podaj też log z wynikami przetwarzania skryptu OTL z punktu 1, tyle wystarczy do oceny (nowy pełny log z OTL nie jest mi potrzebny).

 

 

 

 

 

 

.

[Dourel]

Logi.

 

Niestety pomimo pozytywnego testu FSS dalej mam problem z włączeniem zapory.

FSS.txt

otlpousuwaniu.txt

[picasso]

Czy zrestartowałeś system po zaimportowaniu plików REG oraz uprawnień przez SetACL?

[Dourel]

Ah no tak... Wszystko już działa bez problemu i szybciej niż zwykle.

 

Dziękuję za poświęcony czas, CIERPLIWOŚĆ (!) oraz jak najbardziej pomoc.

[picasso]

To teraz możemy przejść do akcji finalizujących:

 

1. Odinstaluj w prawidłowy sposób ComboFix (mimo iż nie doszedł daleko), co także czyści foldery Przywracania systemu. Klawisz z flagą Windows + R i w Uruchom wklej:

 

"pełna ścieżka dostępu do ComboFix.exe" /uninstall

 

Po tym możesz zastosować Sprzątanie w OTL usuwające z dysku OTL i jego składniki. Resztę narzędzi dokasuj sobie ręcznie.

 

2. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware (widzę zainstalowany). Przedstaw raport z wynikami, o ile coś zostanie wykryte.

 

 

 

.

Edytowane 27 Kwietnia 2012 przez picasso
27.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso