"Antywirus" Security Shield, trojany oraz Rootkit.0Access

[bpm]

Dobry wieczór,

 

dziś zainfekowany notebook z systemem Windows 7 Pro x64. Infekcja podobno nie wiadomo skąd, pojawiła się nagle. Pierwszy objaw "lewy" antywirus Security Shield, usunięty został przez MBAM. Po tym kilka skanowań MBAM (logi w załączniku), kilka trojanów oraz Rootkit.0Access, który pojawiał się za każdym razem.

 

TDSSKiller nie wykrył natomiast nic, zainstalowany antywirus Ashampoo Anti-malware również. Inne zaobserwowane objawy:

 

- za każdym razem po uruchomieniu systemu ikony są bardzo duże;

- nie ma możliwości zmiany wyglądu ikon czy folderów np na "Kafelki", "Lista" czy "Małe ikony" z opcji "Szczegóły"

 

Wklejam wymagane logi:

 

OTL

Extras

GMER

MBAM1

MBAM2

MBAM3

MBAM4

[Landuss]

- za każdym razem po uruchomieniu systemu ikony są bardzo duże;

- nie ma możliwości zmiany wyglądu ikon czy folderów np na "Kafelki", "Lista" czy "Małe ikony" z opcji "Szczegóły"

 

To jest właśnie następstwo ZeroAccess, a problem występuje bo w rejestrze jest dodatkowa klasa tej infekcji.

 

Potrzebne dwa dodatkowe raporty:

 

1. Uruchom SystemLook x64 i do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look i przedstaw wynikowy raport.

 

2. Wykonaj log z Farbar Service Scanner (zaznacz wszystko do skanowania)

[bpm]

Gotowe, oto logi:

 

SystemLook

FSS

[Landuss]

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}

 

2. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow):

• Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  
• Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK
  

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Windows\SysNative\%APPDATA%
C:\Windows\Installer\{3e58d350-0404-11ea-3e07-051db12986fd}
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z SystemLook i z FSS

[bpm]

Wszystko wykonane według instrukcji. Nowy log:

 

OTL

[Landuss]

Log z OTL to za mało, masz dać jeszcze nowy z SystemLook i z FSS.

[bpm]

O przepraszam, jakoś mi umknęło. Już wklejam pozostałe logi:

 

SystemLook

FSS

[Landuss]

Tu jeszcze nie koniec usuwania.

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system.

 

2. Wklej do OTL skrypt o takiej treści:

 

:Files
C:\Users\Patrycja\AppData\Local\{3e58d350-0404-11ea-3e07-051db12986fd}
 
:OTL
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
 
:Comamnds
[reboot]

 

3. Nowy log z OTL do pokazania i z SystemLook.

[bpm]

Nowe logi:

 

OTL

SystemLook

[Landuss]

Załatwione. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj lekko Jave do wersji 7 Update 5: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[bpm]

Zrobione według zaleceń. Serdecznie dziękuję za pomoc. Jeśli to wszystko temat do zamknięcia.