Niemożność włączenia centrum zabezpieczeń po usunięciu win32: Malware-gen

[ghost]

Witam.

Komputer prawdopodobnie 14 czerwca został zainfekowany trojanem udającym program "Live Security Platinum".

Wszystko zaczęło się mulić. W trybie awaryjnym przeprowadziłem skan "malwarebytes-antimalware".

Po tym skanowaniu, komputer można już było można uruchomić w normalnym trybie, jednakże avast (home edition) co jakieś 5 minut sygnalizował o zablokowaniu niebezpiecznego programu win32:Malware-gen, proces windows/system32/services.exe.

 

Z problemem udałem się na inne forum, http://www.forumpc.p...pic=251209&st=0 , i najprawdopodobniej udało się usunąć "szkodnika". Nie chcę za bardzo pomieszać w opisywaniu krok po kroku usuwania, dlatego jeżeli zajdzie taka potrzeba proszę prześledzić temat (zaledwie niecałe 2 strony).

 

Cały proces działania w usuwaniu zakończył się najprawdopodobniej pomyślnie, lecz użytkownik, który mi pomagał zgłosił, że nie jest dobrze i prawdopodobnie czeka mnie rekonstrukcja Centrum Zabezpieczeń. Prosił również abym założył temat tutaj na forum.

Defakto po próbie uruchomienia Centrum Zabezpieczeń, wyrzuca monit o "Nie można uruchomić Centrum Zabezpieczeń"

 

Załączam log FarbarScanner (FSS.txt)

 

Wedle instrukcji załączam również logi z otl.

 

Z góry dziękuję za poświęcony czas.

FSS.txt

OTL.Txt

Extras.Txt

[picasso]

Co do operacji na tamtym forum, błędy logiczne. Prowadzący pomoc uczynił na ślepo założenie, że posiadasz dwa skombinowane warianty ZeroAccess i w ciemno operacje zadane na początku. To dopiero potem wyszło, że są dwa, a wcale tak nie musiało być. Komentarze do:

 

DeleteFolder:
C:\Windows\Installer\{c783b5ab-4acb-0500-129b-29439a59045e}\@

 

Zadany do usunięcia plik jako folder a nie folder nadrzędny. BlitzBlank nie pozwala wprowadzać głupot w skrypcie.

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
(No values found)
 
[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]
"ThreadingModel"="Both"

 

Post numer 19, w logu z SystemLook nadal klucz ZeroAccess. Co z tego, że pocięliście go. To nadal klucz infekcji, nie ma być cięty tylko w całości usunięty. Skutek jego obecności: nie można zapamiętywać układu ikon na Pulpicie ani widoków folderów. Na dodatek, klucz kierował na folder C:\Users\PC\AppData\Local\{c783b5ab-4acb-0500-129b-29439a59045e}. W ogóle nie sprawdzone czy folder był na dysku, nie widzę żadnej operacji relatywnej do tego elementu.

 

 

W związku z tym proszę o skan potwierdzający. Uruchom SystemLook x64, do skanu wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:folderfind
{c783b5ab-4acb-0500-129b-29439a59045e}

 

 

========== FILES ==========
Folder move failed. C:\Windows\SysNative\%APPDATA% scheduled to be moved on reboot.

 

Wygląda na kwestię uprawnień. Apropos zadanej instrukcji usuwania tego ręcznie i Twojej odpowiedzi:

 

 

Nie mogłem usunąć, ponieważ nie widzę/ nie mam tego katalogu SysNative.

 

Nic dziwnego. Nie istnieje folder SysNative. To jest ukryty alias stosowany przez aplikacje 32-bit (OTL nie jest natywnie 64-bitowy), by dojść do natywnego 64-bitowego folderu system32. To tylko w logu z OTL widać folder w ten sposób. Na dodatek, zadane szukanie w 64-bitowym SystemLook tej ścieżki, alias mogą używać tylko 32-bitowe aplikacje, SystemLook x64 tego nie znajdzie. Z poziomu eksploratora C:\Windows\SysNative = C:\Windows\system32.

 

 

Cały proces działania w usuwaniu zakończył się najprawdopodobniej pomyślnie, lecz użytkownik, który mi pomagał zgłosił, że nie jest dobrze i prawdopodobnie czeka mnie rekonstrukcja Centrum Zabezpieczeń. Prosił również abym założył temat tutaj na forum.

 

Nie tylko tego. Wg Farbar Service Scanner skasowane są usługi Zapory systemu, Centrum zabezpieczeń i Windows Defender. Do tego przejdę. W pierwszej kolejności proszę podaj mi skan w SystemLook.

 

 

 

.

[ghost]

Tak więc wklejam log:

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 14:38 on 19/06/2012 by PC

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

 

 

========== folderfind ==========

 

Searching for "{c783b5ab-4acb-0500-129b-29439a59045e}"

No folders found.

 

-= EOF =-

[picasso]

1. Start > w polu szukania wpisz regedit > z prawokliku skasuj cały klucz:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}

 

2. Uruchom GrantPerms x64, w oknie wklej:

 

C:\Windows\system32\%APPDATA%

 

Klik w Unlock. Po tej operacji spróbuj ręcznie przez SHIFT+DEL skasować folder C:\Windows\system32\%APPDATA%.

 

3. Odbuduj skasowane usługi:

• Rekonstrukcja usług Zapory systemu Windows: KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  

4. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner.

 

 

.

[ghost]

Klucz znaleziony i usunięty, tak samo jak ten folder.

 

Rekonstrukcji Zapory Systemu Windows nie udało mi się przeprowadzić. Próbowałem ręcznej naprawy poprzez rekonstrukcję kluczy usług. Następnie użyłem programu MicrosoftFixit. Niestety po restarcie systemu zapora nadal jest nie do uruchomienia.

 

Przy próbie uruchomienia najpierw wyrzuca komunikat: "Nie można wyświetlić ustawień Zapory systemu Windows, ponieważ skojarzona usługa nie jest uruchomiona. Czy chcesz uruchomić usługe Zapora systemu Windows?"

W tedy klikam na tak i wyrzuca komunikat: "System Windows nie może uruchomić usługi Zapora systemu Windows".

 

Próba ręcznej rekonstrukcji uprawnień kończy się wywaleniem komunikatu w cmd typu nieznana komenda.

 

Załączam log z FSS

 

edit: po kolejnym restarcie Windows Defender wyświetlił komunikat: Nie można zainicjować aplikacji 0x800106ba. Usługa tego programu została zatrzymana z powodu wystąpienia problemu. Aby uruchomic usługę, ponownie uruchom komputer lub wyszukaj w Pomocy i obsłudze technicznej informacje dotyczące sposobu ręcznego uruchomienia tej usługi."

FSS.txt

[picasso]

Rekonstrukcji Zapory Systemu Windows nie udało mi się przeprowadzić. Próbowałem ręcznej naprawy poprzez rekonstrukcję kluczy usług. Następnie użyłem programu MicrosoftFixit. Niestety po restarcie systemu zapora nadal jest nie do uruchomienia.

 

Diagnostyk MS, jak napisałam, nie potrafi rozwiązać tego przypadku. Wszystko trzeba ręcznie zrobić od A do Z. A czy przywracałeś uprawnienia przez SetACL dla wszystkich usług (BFE + MpsSvc + SharedAccess)? Powtarzaj zadanie od początku, przy imporcie uprawnień przez SetACL uważnie przypatrz się czy wszystko się prawidłowo wykonuje. Po przeprowadzeniu akcji obowiązkowy restart systemu i nowy log z Farbar Service Scanner.

 

 

 

.

[ghost]

Po ponownym restarcie wszystko poszło jak po maśle.

 

W centrum zabezpieczeń wszystko jest włączone.

 

Załączam jeszcze log z FSS

FSS.txt

[picasso]

Wygląda na to, że szkody zostały zreperowane. Jako finalizacja sprawy:

 

1. Usunięcie polisy blokującej ikonę Centrum akcji w obszarze powiadomień. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O7 - HKU\S-1-5-21-3427946872-3053539125-2350841564-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1

 

Klik w Wykonaj skrypt.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\Users\PC\DoctorWeb, ręcznie dokasuj pozostałe używane aplikacje.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Pro forma przeprowadź pełne (nie ekspresowe) skanowanie posiadanymi MBAM + Avast. Zgłoś się z podsumowaniem.

 

 

 

.

[ghost]

Skrypt wykonany. Wszystko szybko i ładnie się usunęło.

 

Porządki po narzędziach wykonane. Folder po DrWeb usunięty.

 

Foldery przywracania systemu usunięte.

 

Pełne skanowania wykonane. MBAM i Avast nic nie wykryli.

 

 

Dziękuję za pomoc i za poświęcony czas.

 

Pozdrawiam

[picasso]

Mam jeszcze komentarze:

 

1. Nie zwróciłam uwagi, że na tamtym forum u Ciebie importowano składnię Windows XP:

 

reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f

 

Ta składnia ma poważne skutki uboczne na platformach Windows Vista + Windows 7: KLIK. Sypie błędami WMI, nie można wejść do karty Zależności usług. Na nowszych systemach ta wartość rejestru wygląda inaczej. Musisz poprawić to. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wklej komendę:

 

reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%systemroot^%\system32\wbem\wbemess.dll /f

 

(tak, znaki karetki konieczne)

 

2. Do wykonania aktualizacje: KLIK. Z Twojej listy zainstalowanych (nie widać wersji wtyczek Adobe = zweryfikuj):

 

Internet Explorer (Version = 8.0.6001.19272)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20
"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish
"{D5A6D02F-3CBB-4FBF-8F65-C3A6D721E8A4}" = OpenOffice.org 3.2
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"FileZilla Client" = FileZilla Client 3.5.0
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)
"SkanerOnline" = Skaner on-line mks_vir

 

A pradawny i mało skuteczny skaner MKS do deinstalacji.

 

O hasłach Ci już mówiono. Czy zmieniłeś je?

 

 

 

.

[ghost]

Wpis do rejestru dodany.

 

Komenda w cmd też gładko poszła.

 

Internet Explorer zaktualizowany do najnowszej. Pozostałe aktualizacje, które "wyskoczyły" zrobione, ale po nich rozdzielczość ekranu się zmieniła oraz ikonki na pulpicie wyrównały się do lewej strony i cały wyświetlany obraz przesunął się o jakiś centymetr w prawo; musiałem na nowo wgrywać sterownik do karty graficznej . [nie wiem, może jakiś błąd w aktualizacjach].

 

O hasłach siostrze już mówiłem. Miała zmienić - przypomnę jej jeszcze raz ;]

 

Dziękuję i pozdrawiam.

[picasso]

Wpis do rejestru dodany.

 

Komenda w cmd też gładko poszła.

 

Niepotrzebnie podwójnie. Import rejestru był w tamtym temacie dopasowany pod przypadek użytkownika (zawierał dodatkowy klucz). U Ciebie była zadana tylko komenda w cmd, która automatycznie edytuje rejestr. Nic się nie stało, że powieliłeś akcje, ale to było bez sensu.

 

 

Temat pomyślnie ukończony. Zamykam.

 

 

.