"Mediashifting" & usunięte całkowicie Centrum zabezpieczeń

[donass]

Witam, jak w temacie.

 

Gdy próbuje włączyć obojętnie jaką stronę WWW, otwiera się zakładka w firefoxie z adresem MEDIASHIFTING.xxxxxxxxxxxx.COM (x- roznego typu wpisy) po czym po 2 sekundach przechodzi do google w tej samej zakładce.

 

Dodatkowo w Mcaffe Wyrzuciło mi zaporę z automatu, p oręcznej próbiwe uruchomienia. ciągle wywala na wył.

Centrum zabezpieczeń również nie ma. więc już znam powód dlaczego się Mcaffe wykrzacz( w usługach też CZ nie ma;/)

walczyłem Combofixem(wiem że nie miałem), MalwareByte i TDSSKILLER i co znalazło usunelem , ale problem wciaz pozostaje.

 

system Win 7 64bit

 

Dzięki

OTL.Txt

Extras.Txt

[Landuss]

walczyłem Combofixem(wiem że nie miałem), MalwareByte i TDSSKILLER i co znalazło usunelem

 

W takim razie musisz zaprezentować log z ComboFix oraz z TDSSKiller gdyż musimy wiedzieć co tam zostało ewentualnie usunięte. Nie zawsze to co jest wykryte jest szkodliwe.

[donass]

W takim razie musisz zaprezentować log z ComboFix oraz z TDSSKiller gdyż musimy wiedzieć co tam zostało ewentualnie usunięte. Nie zawsze to co jest wykryte jest szkodliwe.

TDSSKiller.2.6.25.0_25.12.2011_10.42.15_log.txt

ComboFix.txt

[picasso]

Co to za "FIX.REG" stosowałeś? Podaj skąd i jaka zawartość. To co jest w TDSSKiller mam nadzieję, że nie usuwałeś .... Pliki punktowane skanerem są prawidłowymi plikami, tylko są oznaczone jako niesygnowane, co swoją drogą jest nienaturalne = tak dużo wyników, że można zwątpić czy problemem jest brak sygnatury czy coś co przeszkadza sygnatury sprawdzić (np. pad systemu kryptograficznego).

Infekcję właściwą usuwał ComboFix, konkretnie: ZeroAccess. Na systemie 64-bit ta infekcja działa zupełnie inaczej niż w systemach 32-bit, dlatego narzędzia typu Kaspersky TDSSKiller czy ESET Sirefef Remover to nie tu (narzędzia dedykują 32-bitowy wariant infekcji). Przy okazji: HijackThis też nie tu, aplikacja w ogóle niezgodna z 64-bitami i przedstawia głupoty.

 

 

Dodatkowo w Mcaffe Wyrzuciło mi zaporę z automatu, p oręcznej próbiwe uruchomienia. ciągle wywala na wył.

Centrum zabezpieczeń również nie ma. więc już znam powód dlaczego się Mcaffe wykrzacz( w usługach też CZ nie ma;/)

 

Twierdzisz, że Centrum zabezpieczeń jest skasowane. Wg wyciągu z Dziennika zdarzeń widać też, że poleciała cała konstrukcja Zapory systemu Windows (Podstawowy aparat filtrowania (BFE) + Zapora (MpsSvc) zostały skasowane).

 

Error - 2011-12-25 06:08:56 | Computer Name = PC-Komputer | Source = Service Control Manager | ID = 7003
Description = Usługa Udostępnianie połączenia internetowego (ICS) zależy od następującej
usługi: BFE. Ta usługa może nie być zainstalowana.
 
Error - 2011-12-25 10:06:48 | Computer Name = PC-Komputer | Source = Service Control Manager | ID = 7003
Description = Usługa McAfee Personal Firewall Service zależy od następującej usługi:
MpsSvc. Ta usługa może nie być zainstalowana.

 

Usługi same się nie zrekonstruują i muszą być zaimportowane ich struktury do rejestru oraz odtworzone uprawnienia (system Windows 7 ma specjalne konta dostępowe).

 

 

---

1. Usunięcie folderów-szczątków po infekcji, wątpliwych zadań w harmonogramie (po dziwadłach Dll-Files.com Fixer + RegCure) oraz wpisów oznaczonych jako "puste". Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2011-12-25 10:40:19 | 000,000,000 | ---D | C] -- C:\Users\PC\AppData\Roaming\PonF4amH5W7E8R
[2011-12-25 10:26:07 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\76871
[2011-12-25 10:25:38 | 000,000,000 | ---D | C] -- C:\Users\PC\AppData\Roaming\FUUVVelIB
[2011-12-25 10:25:34 | 000,000,000 | ---D | C] -- C:\Users\PC\AppData\Roaming\brrzzPNNyxAuv2o
[2011-12-25 10:25:32 | 000,000,000 | ---D | C] -- C:\Users\PC\AppData\Roaming\s33oonGG4aH6sJ
[2011-12-25 10:25:31 | 000,000,000 | ---D | C] -- C:\Users\PC\AppData\Roaming\BgTZqqjYCwkIr
[2011-12-25 10:25:26 | 000,000,000 | ---D | C] -- C:\Users\PC\AppData\Roaming\eEEEL88gTZqhCwU
[2011-12-25 10:25:25 | 000,000,000 | ---D | C] -- C:\Users\PC\AppData\Roaming\u77ffRLL9gXqjCe
[2011-06-18 16:16:55 | 000,000,292 | ---- | M] () -- C:\Windows\Tasks\RDReminder.job
[2011-11-13 12:09:35 | 000,000,416 | ---- | M] () -- C:\Windows\Tasks\RegCure Program Check.job
[2011-11-13 12:09:35 | 000,000,398 | ---- | M] () -- C:\Windows\Tasks\RegCure.job
IE - HKU\S-1-5-21-946895887-3485042716-126150702-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:55253
O2 - BHO: (QuickNet BHO) - {EA5CA8B6-9B9C-4994-A7A1-947B6C631BE7} - C:\Program Files (x86)\RegTweaker\key.dll File not found
O4 - Startup: C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_70904604.lnk = C:\Users\PC\AppData\Local\Temp\_uninst_70904604.bat ()

 

Klik w Wykonaj skrypt.

 

2. Rekonstrukcja usługi Centrum zabezpieczeń systemu Windows: KLIK.

 

3. Rekonstrukcja usług Podstawowy aparat filtrowania + Zapora systemu Windows: KLIK.

 

4. Restart systemu i sprawdź czy usługi wróciły na miejsce.

 

5. Podaj nowe logi z OTL zrobione opcją Skanuj i opisz dokładnie co się dzieje w systemie.

 

 

 

.

[donass]

FIX-a miałem z tego postu: http://www.fixitpc.p...5653#entry45653

po restarcie.. usługi wrocily, lecz nie na długo.. przy ponownym restarcie juz znow zapora zamknieta i juz BRAK usług.

 

TDSSKiller - wszystko nim usunąłem co się tylko dało z hukiem.

 

Narzedzia SetACL nie rozumniem- możesz pomóc ? wypakowałem do C:/Windows z rozszezeniem .EXE bo w paczce jest jeszcze z .OCX i co dalej ? wkleiłem pierwszy zestaw do notatnika , zapisalem jako backup.txt i co dalej ?

co z tą komendą ? SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\BFE" -ot reg -actn restore -bckp C:\fix.txt ?? gdzie mam to wkleić ??

i co z kolejnymi zestawami ? ponadawac kolejne nazwy backup1.txt itd ? no i te komendy znów.

[picasso]

TDSSKiller - wszystko nim usunąłem co się tylko dało z hukiem.

 

I huk tu może być = uszkodzenie systemu własną ręką. Nie mam jednak żadnej pewności co Ty tu zrobiłeś. Wyszukaj wszystkie logi z TDSSKiller na dysku i wstaw tu do porównania.

 

 

po restarcie.. usługi wrocily, lecz nie na długo.. przy ponownym restarcie juz znow zapora zamknieta i juz BRAK usług.

 

Nie wiem do czego to odnosisz. Do akcji przed moim postem czy po moim poście.

 

 

Narzedzia SetACL nie rozumniem- możesz pomóc ? wypakowałem do C:/Windows z rozszezeniem .EXE bo w paczce jest jeszcze z .OCX i co dalej ? wkleiłem pierwszy zestaw do notatnika , zapisalem jako backup.txt i co dalej ?

co z tą komendą ?

 

Oczywiście, że mowa o SetACL.exe a nie OCX i to SetACL.exe z folderu x64 (kompilacja 64-bitowa). Co do reszty: stworzyłeś fix.txt (mam, nadzieję, że w nim wkleiłeś tylko to co jest ujęte szarym tłem), otwierasz cmd jako Administrator i wklejasz komendę numer 1. Gdy się wykona, modyfikujesz plik fix.txt wklejając w nim drugi zestaw i w cmd wklejasz drugą dopasowaną komendę. Akcja wykonana w sumie dwa razy. Plik cały czas nazywa się tak samo (przecież w komendach jest używana jedna i ta sama nazwa pliku), tylko jego zawartość ulega zmianie.

 

 

 

.

[donass]

po restarcie.. usługi wrocily, lecz nie na długo.. przy ponownym restarcie juz znow zapora zamknieta i juz BRAK usług.

to było przed proszeniem jeszcze o pomoc.

 

No między czasie się coraz bardziej krzaczy.. wyszedłem sobie na chwilę od kompa i po chwili przybywszy.. zobaczyłem mega duze screeny z wykrytymi wirusami przez jakieś dziadostwo typu USUŃ WIRUSY ale najpierw zapłać! to:

Win 7 Security 2011

 

 

nie mogłem wogóle neta uruchomić wciąż wyskakiwały te okienka

od razu więc uruchomiłem Combofixa (bo innych się nie dało)

 

i usunął to:

c:\users\PC\AppData\Local\ovd.exe
c:\users\PC\AppData\Local\sfaxau.exe
c:\users\PC\AppData\Local\Temp\{FFA82390-7E60-4762-B632-DAC0378FEB55}\ISBEW64.exe
c:\windows\system32\java.exe

 

i całe szczescie mogę Ci odpowiedzieć bo net się pojawił uff a innego na tę chwile dostepu do pc nie mam..

 

tak wiec wszystkie logi TDSKILLERA w zalacznikach

 

nie dodaje jeszcze wyniku skanu OTL zrobie po restarcie gdy by znow neta nie bylo zameiszczam poki to co jest teraz

 

EDIT:

 

zapora w MC już działa lecz systemowa nadal nie

 

w uslugach nadal niema Centrum Zabezpieczen i Defendera

skanuje OTL ....

Juz Logi w załączniku

 

co do opisu , to oprocz tej nieznosnej zapory, i brak odpowiednich Usług

 

dręczy kazdorazowe wlaczenie firefoxa i brak internetu pomaga dopiero odptaszkowanie w opcjach BEZ PROXY.. po wyalczeniu znow zmienia na proxy o IP 127.00.1, no i do tego stabilnosc systemu spadła nieźle

 

~~~~posty połączone~~~~

 

Witam, pomoże ktoś ?

 

~~~~posty połączone~~~~

 

Dlaczego usuwacie moje posty ?

TDSSKiller.2.6.25.0_24.12.2011_15.02.00_log.txt

TDSSKiller.2.6.25.0_24.12.2011_23.00.02_log.txt

TDSSKiller.2.6.25.0_25.12.2011_00.34.36_log.txt

TDSSKiller.2.6.25.0_25.12.2011_10.37.25_log.txt

TDSSKiller.2.6.25.0_25.12.2011_10.41.23_log.txt

TDSSKiller.2.6.25.0_25.12.2011_10.42.15_log.txt

TDSSKiller.2.6.25.0_25.12.2011_11.17.37_log.txt

Extras.Txt

OTL.Txt

[picasso]

Dlaczego usuwacie moje posty ?

 

Nikt postów nie usuwa, zostały połączone, to normalna procedura w dziale (zapobiegająca X postów w serii). My widzimy kto nie otrzymał odpowiedzi i odpowiadamy gdy jesteśmy obecni / zdolni to wykonać. Były święta.

 

Temat wbrew pozorom nie jest ukończony, mimo że kontynuowałeś na innym forum (i nic szczególnego tam się nie stało). Drobny komentarz, usuwano tam to:

 

[2011-11-15 18:18:30 | 000,000,198 | ---- | M] () -- C:\Windows\Tasks\{74FAE564-F4E2-4B44-82D7-F08E929610F3}.job

 

Przecież w logu z ComboFix były dane od czego to pochodzi, to (było) zadanie Skype a infekcja:

 

Zawartość folderu 'Zaplanowane zadania'
.
2011-11-15 c:\windows\Tasks\{74FAE564-F4E2-4B44-82D7-F08E929610F3}.job
- c:\program files (x86)\Skype\Phone\Skype.exe [2011-10-13 08:27]

 

Na temat tutejszego TDSSKiller: widzę, że tu była także inna infekcja (nowy typ bootkita SST), a z raportów wynika, że poczyniłeś następujące szkody:

 

23:05:36.0330 4792	Detected object count: 3
23:05:36.0330 4792	Actual detected object count: 3
23:09:12.0792 4792	HKLM\SYSTEM\ControlSet001\services\MREMP50 - will be deleted on reboot
23:09:13.0012 4792	HKLM\SYSTEM\ControlSet002\services\MREMP50 - will be deleted on reboot
23:09:13.0053 4792	C:\PROGRA~2\COMMON~1\Motive\MREMP50.SYS - will be deleted on reboot
23:09:13.0054 4792	MREMP50 ( UnsignedFile.Multi.Generic ) - User select action: Delete
23:09:13.0070 4792	HKLM\SYSTEM\ControlSet001\services\MRESP50 - will be deleted on reboot
23:09:13.0086 4792	HKLM\SYSTEM\ControlSet002\services\MRESP50 - will be deleted on reboot
23:09:13.0088 4792	C:\PROGRA~2\COMMON~1\Motive\MRESP50.SYS - will be deleted on reboot
23:09:13.0088 4792	MRESP50 ( UnsignedFile.Multi.Generic ) - User select action: Delete
23:09:13.0093 4792	HKLM\SYSTEM\ControlSet001\services\stppp - will be deleted on reboot
23:09:13.0146 4792	HKLM\SYSTEM\ControlSet002\services\stppp - will be deleted on reboot
23:09:13.0147 4792	C:\Windows\system32\DRIVERS\stppp.sys - will be deleted on reboot
23:09:13.0147 4792	stppp ( UnsignedFile.Multi.Generic ) - User select action: Delete
00:28:03.0390 5568	Deinitialize success

 

Wybrałeś na kasację sterowniki Thompson Speedttouch (stppp.sys) + Printing Communications (MREMP500). Aktualna postać raportu z TDSSKiller mówi mi, że to rzeczywiście się wykonało, bo takie sterowniki nie są notowane. Odtworzenie tego (gdy okaże się to konieczne) będzie wymagało reinstalacji poszkodowanego oprogramowania. Niewykluczone, że ten błąd z Dziennika zdarzeń jest pochodną Twojej akcji:

 

Error - 2012-01-04 13:46:15 | Computer Name = PC-Komputer | Source = Service Control Manager | ID = 7034
Description = Usługa SpeedTouch 330 Manager niespodziewanie zakończyła pracę. Wystąpiło to razy: 1.

 

 

---

Biorę poprawkę na to, że na innym forum z obszaru faktycznych obiektów infekcji skasowano tylko dwa foldery nr601be46s74wvr75xq2cs i zalecono ... powtórzenie fiksów rekonstruujących usługi z tutejszego tematu. Za odnośnik biorę ostatni log z OTL z tamtego forum z 4 stycznia (wykazuje różnice w stosunku do OTL stąd).

 

1. System w międzyczasie został pozbawiony pliku HOSTS:

 

Hosts file not found

 

Ze skutkami w postaci błędów w Dzienniku zdarzeń:

 

Error - 2012-01-04 13:54:43 | Computer Name = PC-Komputer | Source = Microsoft-Windows-DNS-Client | ID = 1012
Description = Wystąpił błąd podczas próby odczytu lokalnego pliku hosts.

 

Widzę w raporcie taką oto kopię pliku, ale jest ona zerobajtowa i ten plik usuń (SysNative = system32, to jest ten sam folder, tylko to kwestia "nazewnictwa" w logu tzn. 32-bitowy OTL stosuje alias, by dostać się do danych 64-bit):

 

[2011-12-28 17:01:22 | 000,000,000 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts.old

 

Należy plik zrekonstruować. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

 

#	127.0.0.1	   localhost
#	::1		   localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\System32\drivers\etc.

 

2. W Firefox nadal notowane proxy:

 

FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 55253
FF - prefs.js..network.proxy.type: 1

 

Mówiłeś:

 

dręczy kazdorazowe wlaczenie firefoxa i brak internetu pomaga dopiero odptaszkowanie w opcjach BEZ PROXY.. po wyalczeniu znow zmienia na proxy o IP 127.00.1

 

Brak jakichkolwiek wypowiedzi na temat postępowania końcowego. Ostatni OTL proxy pokazuje, czy zostało zlikwidowane?

 

3. Odinstaluj w prawidłowy sposób ComboFix (co także zresetuje foldery Przywracania systemu). Z klawiatury kombinacja klawisz z flagą Windows + R i wklej komendę:

 

C:\Users\PC\Desktop\ComboFix.exe /uninstall

 

4. Wykonaj nowy log z OTL opcją Skanuj (dla przedstawienia, że plik HOSTS wrócił do normy, proxy usunięte oraz nic nowego się nie ujawniło) oraz przedstaw wyniki skanowania z zainstalowanego w systemie Malwarebytes' Anti-Malware.

 

 

 

 

.

Edytowane 13 Lutego 2012 przez picasso
13.02.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso