TR/ATRAPS.Gen2

czapkin · 24 Lipca 2012

Witam. Od kilku dni mam pewien problem. Mój antywirus (Avira) wyświetla mi komunikat o wykrytym wirusie/niepożądanym oprogramowaniu. Mimo podjęcia próby usunięcia nie udaje mi się ta czynność. Zauważyłwm również brak dostępu do Zapory systemu windows.

OTL.Txt

Extras.Txt

GMER.txt

picasso · 24 Lipca 2012

To co wykrywa Avira to rootkit ZeroAccess tu w wariancie user mode, GMER notuje jego czynności (ukryty moduł "n" wstrzelony do procesów systemowych). Wymagany dodatkowy skan na punkty ładowania.

1. Uruchom SystemLook i w oknie wklej:

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

Klik w Look. Przestaw raport wynikowy.

2. Dodatkowo zrób log z Farbar Service Scanner. Zaznacz wszystkie opcje.

.

czapkin · 25 Lipca 2012

OK zamieszczam raporty

SystemLook 30.07.11 by jpshortstuff

Log created at 11:12 on 25/07/2012 by MATEUSZ

Administrator - Elevation successful

========== reg ==========

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="D:\Documents and Settings\MATEUSZ\Ustawienia lokalne\Dane aplikacji\{2277028b-4e1f-cfb9-64a9-300c97d475b5}\n."

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="\\.\globalroot\systemroot\Installer\{2277028b-4e1f-cfb9-64a9-300c97d475b5}\n."

"ThreadingModel"="Both"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shdocvw.dll"

"ThreadingModel"="Apartment"

========== filefind ==========

Searching for "services.exe"

FSS.txt

picasso · 25 Lipca 2012

Log z SystemLook jest niepełny, nie skończone szukanie na wystąpienia pliku services.exe. Dobra, założę na teraz, że plik nie jest zmodyfikowany, bo tu jest system XP i ten wariant ZeroAccess modyfikujący plik nie był jeszcze przeze mnie widziany na innych systemach niż Vista i Windows 7.

1. Otwórz Notatnik i wklej w nim:

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d D:\WINDOWS\system32\wbem\wbemess.dll /f
reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar" /v {CCC7A320-B3CA-4199-B1A6-9F516DD69829} /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f
reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Antiwpa" /f

Adnotacja dla innych czytających: import unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

Plik umieść wprost na D:\.

2. Uruchom BlitzBlank i w karcie Script wklej:

DeleteFolder:

D:\WINDOWS\Installer\{2277028b-4e1f-cfb9-64a9-300c97d475b5}

"D:\Documents and Settings\MATEUSZ\Ustawienia lokalne\Dane aplikacji\{2277028b-4e1f-cfb9-64a9-300c97d475b5}"

"D:\Documents and Settings\Gość\Dane aplikacji\PriceGong"

"D:\Documents and Settings\MATEUSZ\Dane aplikacji\PriceGong"

DeleteFile:

D:\WINDOWS\System32\antiwpa.dll_1528F

"D:\Documents and Settings\MATEUSZ\Ustawienia lokalne\Dane aplikacji\zqnchnofua.exe"

"D:\Program Files\mozilla firefox\searchplugins\v9.xml"

Execute:

D:\fix.bat

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku D log.

3. Przez Panel sterowania odinstaluj adware pdfforge Toolbar v6.0, SFT_Polska Toolbar, Softonic toolbar on IE and Chrome, V9 HomeTool.

4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku D.

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + SystemLook na te same warunki co podane wcześniej. Dołącz log z usuwania BlitzBlank z punktu 2 oraz AdwCleaner z punktu 4.

.

czapkin · 25 Lipca 2012

Oto wtgenerowane logi, ponieważ blitzblank.log nie chciał się załadować "Nie masz uprawnień do wysyłania tego typu plików" to wklejam go bezpośrednio:

BlitzBlank 1.0.0.32

File/Registry Modification Engine native application

MoveDirectoryOnReboot: sourceDirectory = "\??\d:\windows\installer\{2277028b-4e1f-cfb9-64a9-300c97d475b5}", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\d:\windows\installer\{2277028b-4e1f-cfb9-64a9-300c97d475b5}\@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\d:\windows\installer\{2277028b-4e1f-cfb9-64a9-300c97d475b5}\L", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\d:\windows\installer\{2277028b-4e1f-cfb9-64a9-300c97d475b5}\n", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\d:\windows\installer\{2277028b-4e1f-cfb9-64a9-300c97d475b5}\U", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\d:\windows\installer\{2277028b-4e1f-cfb9-64a9-300c97d475b5}\U\00000001.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\d:\windows\installer\{2277028b-4e1f-cfb9-64a9-300c97d475b5}\U\80000000.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\d:\windows\installer\{2277028b-4e1f-cfb9-64a9-300c97d475b5}\U\800000cb.@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\d:\documents and settings\mateusz\ustawienia lokalne\dane aplikacji\{2277028b-4e1f-cfb9-64a9-300c97d475b5}", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\d:\documents and settings\mateusz\ustawienia lokalne\dane aplikacji\{2277028b-4e1f-cfb9-64a9-300c97d475b5}\@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\d:\documents and settings\mateusz\ustawienia lokalne\dane aplikacji\{2277028b-4e1f-cfb9-64a9-300c97d475b5}\L", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\d:\documents and settings\mateusz\ustawienia lokalne\dane aplikacji\{2277028b-4e1f-cfb9-64a9-300c97d475b5}\n", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\d:\documents and settings\mateusz\ustawienia lokalne\dane aplikacji\{2277028b-4e1f-cfb9-64a9-300c97d475b5}\U", destinationDirectory = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\d:\documents and settings\gość\dane aplikacji\pricegong", destinationDirectory = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\d:\documents and settings\gość\dane aplikacji\pricegong\Data", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\d:\documents and settings\gość\dane aplikacji\pricegong\Data\mru.xml", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\d:\documents and settings\mateusz\dane aplikacji\pricegong", destinationDirectory = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\d:\documents and settings\mateusz\dane aplikacji\pricegong\Data", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\d:\documents and settings\mateusz\dane aplikacji\pricegong\Data\mru.xml", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\d:\windows\system32\antiwpa.dll_1528f", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\d:\documents and settings\mateusz\ustawienia lokalne\dane aplikacji\zqnchnofua.exe", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\d:\program files\mozilla firefox\searchplugins\v9.xml", destinationFile = "(null)", replaceWithDummy = 0

LaunchOnReboot: launchName = "\fix.bat", commandLine = "d:\fix.bat"

SystemLook 30.07.11 by jpshortstuff

Log created at 14:58 on 25/07/2012 by MATEUSZ

Administrator - Elevation successful

========== reg ==========

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="D:\WINDOWS\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shdocvw.dll"

"ThreadingModel"="Apartment"

========== filefind ==========

Searching for "services.exe"

D:\WINDOWS\$NtServicePackUninstall$\services.exe -----c- 108544 bytes [11:38 14/05/2012] [12:00 04/08/2004] 3DA8D964D2CC12EF8E8C342471A37917

D:\WINDOWS\ServicePackFiles\i386\services.exe ------- 109056 bytes [11:44 14/05/2012] [20:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

D:\WINDOWS\system32\services.exe --a---- 109056 bytes [12:00 04/08/2004] [20:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

-= EOF =-

OTL.Txt

AdwCleanerS1.txt

picasso · 25 Lipca 2012

Wszystko zrobione. Idziemy dalej:

1. Poprawka na szczątki. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:5.6
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:5.6
O3 - HKU\S-1-5-21-220523388-606747145-839522115-1003\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKLM..\Run: [LaunchAp] D:\Program Files\Launch Manager\LaunchAp.exe File not found
O4 - HKLM..\Run: [Wbutton] D:\Program Files\Launch Manager\WButton.exe File not found
[2012-07-25 14:38:49 | 000,000,000 | ---- | M] () -- D:\WINDOWS\TempFile
[2012-06-20 21:03:33 | 000,000,000 | ---D | M] -- D:\Documents and Settings\Gość\Dane aplikacji\wtxpcom
[2012-06-20 23:08:47 | 000,000,000 | ---D | M] -- D:\Documents and Settings\MATEUSZ\Dane aplikacji\wtxpcom
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

2. Rekonstrukcja skasowanych przez ZeroAccess usług. W imporcie jest dopasowanie ścieżek na dysk D. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"AntiVirusDisableNotify"=dword:00000000

"FirewallDisableNotify"=dword:00000000

"UpdatesDisableNotify"=dword:00000000

"AntiVirusOverride"=dword:00000000

"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS]

"Type"=dword:00000020

"Start"=dword:00000003

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

"DisplayName"="Usługa inteligentnego transferu w tle"

"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00

"DependOnGroup"=hex(7):00,00

"ObjectName"="LocalSystem"

"Description"="Transferuje dane pomiędzy klientami a serwerami w tle. Jeżeli usługa BITS zostanie wyłączona, funkcje takie jak Windows Update nie będą działać poprawnie."

"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\

00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters]

"ServiceDll"=hex(2):44,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\

00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,71,00,6d,00,\

67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security]

"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\

05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\

20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\

00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\

00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Enum]

"0"="Root\\LEGACY_BITS\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]

"Type"=dword:00000020

"Start"=dword:00000002

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

"DisplayName"="Centrum zabezpieczeń"

"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\

6d,00,67,00,6d,00,74,00,00,00,00,00

"ObjectName"="LocalSystem"

"Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]

"ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\

00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\

77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]

"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\

05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\

20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\

00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\

00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]

"0"="Root\\LEGACY_WSCSVC\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

"Type"=dword:00000020

"Start"=dword:00000002

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

"DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego"

"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\

6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00

"DependOnGroup"=hex(7):00,00

"ObjectName"="LocalSystem"

"Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]

"Epoch"=dword:0000042e

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]

"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\

00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\

69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\

00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"

"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"

"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"

"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004"

"445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005"

"137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001"

"138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]

"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\

05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\

20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\

00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\

00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]

"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]

"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]

"0"="Root\\LEGACY_SHAREDACCESS\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]

"Type"=dword:00000020

"Start"=dword:00000002

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

"DisplayName"="Aktualizacje automatyczne"

"ObjectName"="LocalSystem"

"Description"="Umożliwia pobieranie i instalowanie aktualizacji systemu Windows. Jeśli ta usługa jest wyłączona, ten komputer nie będzie mógł używać funkcji Aktualizacje automatyczne lub witryny Windows Update w sieci Web."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]

"ServiceDll"=hex(2):44,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\

00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\

61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security]

"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\

05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\

20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\

01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum]

"0"="Root\\LEGACY_WUAUSERV\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

3. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. Dołącz też log z wynikami usuwania OTL z punktu 1.

.

czapkin · 26 Lipca 2012

Ok, oto wygenerowane logi. OLT nie chciał się załadować więc zamieszczam bezpośrednio poniżej:

All processes killed

========== OTL ==========

Prefs.js: pdfforge@mybrowserbar.com:5.6 removed from extensions.enabledItems

Prefs.js: wtxpcom@mybrowserbar.com:5.6 removed from extensions.enabledItems

Registry value HKEY_USERS\S-1-5-21-220523388-606747145-839522115-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{CCC7A320-B3CA-4199-B1A6-9F516DD69829} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\LaunchAp deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Wbutton deleted successfully.

File move failed. D:\WINDOWS\TempFile scheduled to be moved on reboot.

D:\Documents and Settings\Gość\Dane aplikacji\wtxpcom\temp folder moved successfully.

D:\Documents and Settings\Gość\Dane aplikacji\wtxpcom folder moved successfully.

D:\Documents and Settings\MATEUSZ\Dane aplikacji\wtxpcom\temp folder moved successfully.

D:\Documents and Settings\MATEUSZ\Dane aplikacji\wtxpcom folder moved successfully.

========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator

->Temp folder emptied: 1012265 bytes

->Temporary Internet Files folder emptied: 117688 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 12255808 bytes

->Flash cache emptied: 456 bytes

User: All Users

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: Gość

->Temp folder emptied: 1269329693 bytes

->Temporary Internet Files folder emptied: 121018556 bytes

->Java cache emptied: 787310 bytes

->FireFox cache emptied: 978929777 bytes

->Flash cache emptied: 51298 bytes

User: kaaa

->Temp folder emptied: 752206 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 4309179 bytes

User: MATEUSZ

->Temp folder emptied: 169069358 bytes

->Temporary Internet Files folder emptied: 138712581 bytes

->Java cache emptied: 10036470 bytes

->FireFox cache emptied: 103923512 bytes

->Flash cache emptied: 63988 bytes

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 36026561 bytes

->Flash cache emptied: 1045 bytes

%systemdrive% .tmp files removed: 330495058 bytes

%systemroot% .tmp files removed: 2134153 bytes

%systemroot%\System32 .tmp files removed: 2596 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 7596056 bytes

RecycleBin emptied: 151216954 bytes

Total Files Cleaned = 3 183,00 mb

OTL by OldTimer - Version 3.2.54.0 log created on 07262012_111737

Files\Folders moved on Reboot...

File move failed. D:\WINDOWS\TempFile scheduled to be moved on reboot.

File\Folder D:\Documents and Settings\Gość\Ustawienia lokalne\Temp\VI sem IN.doc not found!

File\Folder D:\Documents and Settings\MATEUSZ\Ustawienia lokalne\Temp\VI sem IN.doc not found!

PendingFileRenameOperations files...

[2012-07-26 11:29:36 | 008,405,015 | ---- | M] () D:\WINDOWS\TempFile : Unable to obtain MD5

File D:\Documents and Settings\Gość\Ustawienia lokalne\Temp\VI sem IN.doc not found!

File D:\Documents and Settings\MATEUSZ\Ustawienia lokalne\Temp\VI sem IN.doc not found!

Registry entries deleted on Reboot...

FSS.txt

picasso · 27 Lipca 2012

OLT nie chciał się załadować więc zamieszczam bezpośrednio poniżej:

Zasady działu + Pomoc forum wyjaśniają, że załączniki akceptują tylko rozszerzenie *.TXT, a tu jest *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku.

Skrypt wykonany, odbudowa usług pomyślna. Możemy przejść do tej porcji zadań:

1. Porządki po narzędziach: w OTL uruchom Sprzątanie, w AdwCleaner Uninstall, BlitzBlank i resztę inwentarza dokasuj już ręcznie.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jest prawdopodobne, że znajdzie jakieś odpadki po ZeroAccess. Przedstaw raport, o ile będzie co prezentować.

.

czapkin · 28 Lipca 2012

załączam log:

mbam-log-2012-07-28 (01-25-31).txt

picasso · 28 Lipca 2012

1. Wyniki MBAM: tylko jedną mam wątpliwość na temat "mody do 18woshaulin", czy to aby prawdziwa detekcja, reszta do usunięcia. Po tym ponów czyszczenie folderów Przywracania systemu.

2. Podstawowe aktualizacje do wykonania: KLIK. Wykaz z Twojej listy zainstalowanych czym należy się zająć:

Internet Explorer (Version = 6.0.2900.5512) 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) -----> sprawdź
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) ----> już jest najnowsza
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3

3. Prewencyjna wymiana haseł logowania w serwisach.

PS. Gadu-Gadu 10 to ciężarny program konsumujący dużo zasobów systemowych. Sugeruję obejrzenie alternatywnych programów z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

.

czapkin · 29 Lipca 2012

czy to już wszystko, czy należy jeszcze coś zrobić?

Edytowane 29 Lipca 2012 przez Landuss
Jeśli nie ma problemu to wszystko, temat zamykam //Landuss

Zaloguj się

TR/ATRAPS.Gen2

Rekomendowane odpowiedzi

czapkin

Odnośnik do komentarza

picasso

Odnośnik do komentarza

czapkin

Odnośnik do komentarza

picasso

Odnośnik do komentarza

czapkin

Odnośnik do komentarza

picasso

Odnośnik do komentarza

czapkin

Odnośnik do komentarza

picasso

Odnośnik do komentarza

czapkin

Odnośnik do komentarza

picasso

Odnośnik do komentarza

czapkin

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność