Problem z usługami po usunięciu Live Security Platinium

[skytec]

Cześć,

 

Po długich zmaganiach z usunięciem tytułowego wirusa/trojana/malware ( do końca nie wiem co to było), nie uruchamiają mi się niektóre usługi Windowsa odpowiedzialne za bezpieczeństwo(zapora, defender), windows update wyszukuje aktualizacje, ale nie jest w stanie się połączyć, żeby je pobrać.

Zastosowałem się do poradnika, który napisała Picasso( Rekonstrukcja Zapory systemu Windows ),ale nadal przy próbie uruchomienie usługi zapory wyskakuje mi błąd numer 5.

 

Może nie jest to bardzo uciążliwe dla mnie, ale i tak serdecznie proszę Was o pomoc:)

 

P.S. zamieszczam logi z OTL...

Extras.Txt

OTL.Txt

[picasso]

Temat przenoszę do działu malware, bo system nie jest wcale wyleczony do końca. Twój log z OTL wykazuje ślady rootkita ZeroAccess w starszej wersji infekującej sterowniki systemowe (uszkodzony łańcuch Winsock + obecność łącza symbolicznego). Może to tylko resztki niedoleczone, a może sprawa cięższego kalibru. Zrób nowe logi: GMER + Farbar Service Scanner.

 

 

ale nadal przy próbie uruchomienie usługi zapory wyskakuje mi błąd numer 5.

 

Z formuły błędu wynika, że nie odtworzyłeś prawidłowo uprawnień usług.

 

 

.

[skytec]

Dziękuję bardzo za zainteresowanie!

 

Trochę trwało to "GMER"anie, ale już mam logi i je załączam

FSS.txt

gmer.txt

[picasso]

Wygląda na to, że to nie jest czynna infekcja ZeroAccess, tylko niedoleczona sprawa.

 

1. Reset Winsock: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera.

 

2. Uruchom GrantPerms i w oknie wklej:

 

C:\Windows\$NtUninstallKB24387$
C:\Windows\System32\%APPDATA%

 

Klik w Unlock.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

fsutil reparsepoint delete C:\Windows\$NtUninstallKB24387$ /C
C:\Windows\System32\%APPDATA%
 
:OTL
DRV - File not found [Kernel | Auto | Stopped] -- G:\VirtualBox\Portable-VirtualBox\app32\drivers\USB\filter\VBoxUSBMon.sys -- (VBoxUSBMon)
DRV - File not found [Kernel | Auto | Stopped] -- G:\VirtualBox\Portable-VirtualBox\app32\drivers\VBoxDrv\VBoxDrv.sys -- (VBoxDRV)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbfake.sys -- (hwusbfake)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv)
IE - HKU\S-1-5-21-4180017802-2292323992-3731856309-1001\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
O7 - HKU\S-1-5-21-4180017802-2292323992-3731856309-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

4. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS]
"DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001"
"ObjectName"="LocalSystem"
"ErrorControl"=dword:00000001
"Start"=dword:00000002
"DelayedAutoStart"=dword:00000001
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\
  6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\
  00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
  67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
  00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\
  72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\
  63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance]
"Library"="bitsperf.dll"
"Open"="PerfMon_Open"
"Collect"="PerfMon_Collect"
"Close"="PerfMon_Close"
"InstallType"=dword:00000001
"PerfIniFile"="bitsctrs.ini"
"First Counter"=dword:000007d2
"Last Counter"=dword:000007e2
"First Help"=dword:000007d3
"Last Help"=dword:000007e3
"Object List"="2002"
"PerfMMFileName"="Global\\MMF_BITS_s"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security]
"Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\
  00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\
  00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\
  00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
  20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\
  00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\
  00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\
  00,20,02,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000003
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
  00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
  65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
  74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
  69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
  00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
  00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\
  72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\
  69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\
  00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
  00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
  20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
  00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]
"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
  05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
  00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
  84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
  05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
  04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal

 

5. Z opisu rekonstrukcji Zapory systemu Windows powtórz odtwarzania przez SetACL uprawnień usług: BFE, MpsSvc i SharedAccess.

 

6. Zresetuj system i zrób nowe logi OTL z opcji Skanuj oraz Farbar Service Scanner.

 

 

 

 

.

[skytec]

Dziękuję bardzo za instrukcje - wszystko wykonane bez error'ów - zamieszczam logi..

FSS.txt

OTL.Txt

[picasso]

Usługi pomyślnie odbudowane, reszta też wykonana.

 

1. Po rozlinkowaniu łącza rootkit pozostał na dysku ukryty katalog C:\Windows\$NtUninstallKB24387$. Przez SHIFT+DEL go skasuj.

 

2. Na wszelki wypadek sprawdź poprawność plików systemowych za pomocą komendy sfc /scannow. Jeśli komenda zwróci komunikat o "naruszeniu integralności", za pomocą kolejnej przefiltruj wyniki do znaczników [sR] i przedstaw log wynikowy. Instrukcje: KLIK.

 

3. W OTL uruchom Sprzątanie. GrantPerms, SetAcl i inne użytki możesz ręcznie skasować.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

.

[skytec]

Picasso,

 

Dziękuję Ci bardzo! Wszystko działa i już problem nie występuje

Microsoft powinien Cię zatrudnić!

 

pozdrawiam,

skytec

 

 

1. Usunięto

2. Komenda nic nie zwrociła negatywnego, więc nie załączam

3. Sprzątanie odpalone, GrantPerms, SetAcl i inne użytki ręcznie skasowane.

4. Przywracania systemu nigdny nie było uruchomione, ale na wszelki wypadek procedure zastosowałem

5. Pełne skanowanie nic nie wykryło!

[picasso]

Na zakończenie zaktualizuj wyliczone poniżej aplikacje: KLIK. Wersje widziane w logach:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1033-7B44-A91000000001}" = Adobe Reader 9.1 Lite
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-4180017802-2292323992-3731856309-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome 21.0.1180.89
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()

 

 

4. Przywracania systemu nigdny nie było uruchomione, ale na wszelki wypadek procedure zastosowałem

 

Posiadasz Windows 7, a na tej platformie Przywracanie systemu jest cenną funkcją naprawczą, to nie jest prymityw z Windows XP. Co więcej, Przywracanie systemu można uruchomić w sytuacji, gdy Windows już nie startuje, z poziomu środowiska WinRE. Z tych powodów nie polecam wyłączać tej funkcji.

 

 

.

[skytec]

Aplikacje zaktualizowane, dziwne, że pojawiała się wtyczka dla Firefox'a, którego usunąłem już jakiś czas temu, ale sobie poradziłem z tematem.

 

Dzięki za informacje o przywracaniu systemu - już włączone

Czy masz jakieś rady odnośnie tej funkcji? (czy na każdym dysku/ ile miejsca powinno się w miare optymalny sposób na to przeznaczyć?)

[picasso]

Czy masz jakieś rady odnośnie tej funkcji? (czy na każdym dysku/ ile miejsca powinno się w miare optymalny sposób na to przeznaczyć?)

 

Jak mówiłam, to cenna funkcja i kiedyś może uratować system, a dodatkowo masz pod ręką od razu wbudowany w system "program" do odzyskiwania danych (z punktu Przywracania można wybiórczo odzyskać skasowane pliki/foldery = w karcie Właściwości plików / folderów funkcja "Poprzednie wersje"). Ustawienie domyślne jest w porządku, respektuje proporcje dysku. Szczególnych rad nie mam, poza hasłem "nie żałować miejsca", w rozumieniu zmierzania do sztucznych limitacji magazynu. Choć owszem, u Ciebie jest dość biednie, na system przyznałeś jednak zbyt małą partycję wg szablonu "minimalnych wymagań" i ja tu przeczuwam okresowe problemy ze zbliżaniem się na styk, co prowadzi mnie do pytania czy C+D leżą na jednym dysku fizycznym:

 

Drive C: | 30,00 Gb Total Space | 8,84 Gb Free Space | 29,47% Space Free | Partition Type: NTFS
Drive D: | 202,87 Gb Total Space | 73,48 Gb Free Space | 36,22% Space Free | Partition Type: NTFS

 

Dodatkowo do wglądu tematy z pogranicza tematyki wyjaśniające parę innych spraw na temat Przywracania: KLIK / KLIK.

 

 

 

.