Problem abnow.com

[spectral]

Witam

Jak spora część użytkowników również mam problem z abnow.com próbowałem coś kombinować na własną ręke ,ale się nie udało. Prosiłbym o pomoc i wamiare jasne tłumaczenie ,ponieważ nie znam się za bardzo na komputerach.Mam system 7 64-bitowy . ComboFix najprawdopodobniej został zablokowany przez wirusa ,podczas gdy wypakowuje ( gdy jest czarne tło i zielone literki) poprostu się wyłącza.

Pozdrawiam i z góry dziękuje za pomoc.

Extras.Txt

FSS.txt

OTL.Txt

[picasso]

Widzę, że coś tu mataczyłeś:

 

[2012-03-28 22:16:34 | 000,058,880 | ---- | C] (Microsoft Corporation) -- C:\redbook.sys

 

Nie wzoruj się w żadnym wypadku na innych tematach. Tu jest system 64-bit, ZeroAccess nie działa w technice rootkit i nie infekuje sterowników systemowych, działa na bazie kompletnie innego mechanizmu. Poza tym, u każdego jest w pewien sposób niepowtarzalny zestaw cech, bo infekcja nigdy nie tworzy identycznego zestawu plików, są różnice.

 

[2012-03-28 12:56:37 | 000,000,000 | ---D | C] -- C:\FRST

 

Co robiłeś w narzędziu FRST?

 

 

1. Dla pewności powtórzę: narzędzie w wersji FRST x64 ma być na pendrive.

 

2. Przygotuj plik naprawczy. Otwórz Notatnik i wklej w nim:

 

SubSystems: [Windows] ==> ZeroAccess
NETSVC: dac960nt
2 dac960nt; C:\Windows\System32\elnkupdateservice.dll [5120 2009-07-14] (Iomega)
C:\Windows\System32\elnkupdateservice.dll
C:\Windows\System32\consrv.dll
C:\Windows\System32\dds_log_ad13.cmd
C:\Windows\system32\%APPDATA%
C:\Windows\assembly\tmp\U
C:\Windows\assembly\tmp\loader.tlb
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
C:\Users\KYSU\AppData\Local\83bdc98a
C:\Users\KYSU\AppData\Roaming\2693BA.exe

 

Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST.

 

3. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom zgodnie z opisem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt.

 

4. Restartujesz do Windows.

 

5. Reset Winsock: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera.

 

6. Zrób nowy log z OTL na warunku dostosowanym, tzn. w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Skanuj.

 

netsvcs

C:\Windows\assembly\tmp\*.*

 

Dostarcz też Fixlog.txt pozyskany w punkcie 3.

 

 

.

[spectral]

Nowe logi:

Fixlog.txt

OTL.Txt

[picasso]

Zadanie pomyślnie przeprowadzone, główne składniki infekcji usunięte. Do wykonania będzie jeszcze usuwanie szczątków oraz odbudowa uszkodzonych przez infekcję usług Windows.

 

2. Otwórz OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-1974966561-2015022450-3812258673-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKU\S-1-5-21-1974966561-2015022450-3812258673-1000..\Run: [DT Soft] C:\Users\KYSU\AppData\Roaming\2693BA.exe File not found
O20 - HKU\S-1-5-21-1974966561-2015022450-3812258673-1000 Winlogon: Shell - (C:\Users\KYSU\AppData\Local\83bdc98a\X) -  File not found
 
:Files
del /q C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6} /C
rd /s /q C:\FRST /C
rd /s /q C:\TDSSKiller_Quarantine /C
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami przetwarzania skryptu.

 

2. Poprawka usług Windows Defender i Centrum zabezpieczeń. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"Group"="COM Infrastructure"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-3068"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
  00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
  65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
  74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
  69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
  00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
  00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
  00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
  20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
  00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc]
"DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
  00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\
  72,00,69,00,63,00,74,00,65,00,64,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\
  4d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="NT AUTHORITY\\LocalService"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\
  00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
  67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
  00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security]
"Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\
  00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\
  00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\
  00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\
  7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\
  00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal

 

3. Rekonstrukcja Zapory systemu Windows: KLIK. Do odtworzenia masz dwie usługi, czyli BFE + MpsSvc (omijasz naprawę mpsdrv). Możesz też opuścić weryfikację sfc /scannow.

 

4. Po wykonaniu wszystkich zadań zresetuj system i zrób nowy log z Farbar Service Scanner. Dołącz też log z wynikami usuwania z punktu 1.

 

 

 

.

[spectral]

Log z wynikami przetwarzania skryptu:

 

All processes killed

========== OTL ==========

Registry value HKEY_USERS\S-1-5-21-1974966561-2015022450-3812258673-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\ not found.

Registry value HKEY_USERS\S-1-5-21-1974966561-2015022450-3812258673-1000\Software\Microsoft\Windows\CurrentVersion\Run\\DT Soft deleted successfully.

Registry value HKEY_USERS\S-1-5-21-1974966561-2015022450-3812258673-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\KYSU\AppData\Local\83bdc98a\X deleted successfully.

========== FILES ==========

< del /q C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6} /C >

C:\Users\KYSU\Downloads\cmd.bat deleted successfully.

C:\Users\KYSU\Downloads\cmd.txt deleted successfully.

< rd /s /q C:\FRST /C >

C:\Users\KYSU\Downloads\cmd.bat deleted successfully.

C:\Users\KYSU\Downloads\cmd.txt deleted successfully.

< rd /s /q C:\TDSSKiller_Quarantine /C >

C:\Users\KYSU\Downloads\cmd.bat deleted successfully.

C:\Users\KYSU\Downloads\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: KYSU

->Temp folder emptied: 21844061151 bytes

->Temporary Internet Files folder emptied: 56655737 bytes

->Java cache emptied: 36805256 bytes

->FireFox cache emptied: 670867126 bytes

->Google Chrome cache emptied: 257114047 bytes

->Flash cache emptied: 8122911 bytes

 

User: Public

 

User: UpdatusUser

->Temp folder emptied: 3496 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 1296787451 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 56773363 bytes

RecycleBin emptied: 370295431 bytes

 

Total Files Cleaned = 23 458,00 mb

 

 

OTL by OldTimer - Version 3.2.39.2 log created on 03292012_163841

 

Files\Folders moved on Reboot...

C:\Users\KYSU\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

 

Registry entries deleted on Reboot...

 

 

3. Rekonstrukcja Zapory systemu Windows:

Tu natknąłem na problem: w załączniku

[picasso]

Skrypt wykonany.

 

 

3. Rekonstrukcja Zapory systemu Windows:

Tu natknąłem na problem: w załączniku

 

Czy na pewno skopiowałeś narzędzie SetACL.exe do katalogu C:\Windows? Jeśli tak i narzędzie tam rzeczywiście nadal jest, to błąd jest charakterystyczny dla uszkodzonych Zmiennych środowiskowych. Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy widnieje zmienna Path równa:

 

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\

 

Jeśli w ogóle jej nie ma, opcją Nowa utwórz. Jeśli jest, ale ma inny ciąg, zedytuj.

 

 

.

[spectral]

PATH - się zgadza

 

Na dysku C: jest umieszczony plik: SetACL.exe

[picasso]

Na dysku C: jest umieszczony plik: SetACL.exe

 

Wstaw go do C:\Windows.

[spectral]

Mój błąd.

Log z Farbar Service Scanner:

FSS.txt

[picasso]

Log z Farbar Service Scanner poświadcza naprawę wszystkich defektów.

 

1. Odinstaluj ComboFix. Klawisz z flagą Windows + R i w Uruchom wklej polecenie:

 

C:\Users\KYSU\Desktop\ComboFix.exe /uninstall

 

Gdy ukończy, w OTL zastosuj Sprzątanie. Ręcznie dokasuj pozostałe użytki oraz te niepotrzebnie pobrane pliki *.sys.

 

2. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw raport, o ile coś wykryje.

 

 

 

.

[spectral]

Log z Malwarebytes Anti-Malware :

mbam-log-2012-03-31 (08-41-38).txt

[picasso]

W wynikach tylko ten z RECYCLER (oraz jego kopie w System Volume Information = Przywracaniu systemu) zdaje się budzić podejrzenia. Reszta to albo fałszywe alarmy, albo rzeczy nieistotne.

 

1. Przez SHIFT+DEL skasuj cały katalog C:\RECYCLER. Ręcznie wyczyść foldery Przywracania systemu: KLIK.

 

2. Wykonaj istotną aktualizację systemu: KLIK. System nie ma SP1 i IE9 zainstalowanego:

 

64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)

 

3. Na wszelki wypadek zmień hasła logowania w serwisach.

 

Podsumuj czy wszystko działa, zwłaszcza czy instalacje aktualizacji się udały.

 

 

 

.

[spectral]

Wszystko działa instalacje przebiegły bez żadnych problemów.

Jeśli to już wszystko to serdecznie dziękuje za szybką i profesjonalną pomoc.Powodzenia w prowadzenia świetnego serwisu.

Pozdrawiam spectral