Trojan Win64 ZeroAccess! A2; Virus Win32 Crypted! IK; Trojan Win32 Refroso! IK

[Prezes2607]

Witam.

 

Może najpierw dane opis mojego komputera:

 

System: Windows 7 Ultimate x64 ( oryginalny )

Procesor: Intel Core 2 Duo CPU E7200 @ 2.53 GHz 2.53 GHz

RAM: 3 Gb DDR 2

Karta graficzna: ATI Radeon HD 3850

Płyta główna: Asus P5N-E SLI

Dysk twardy: ATA 160gb

 

Dzisiaj zmieniałem anty-wirusa (Malwarebytes Anti-Malware i następnie Malwarebytes Pro) polecanego przez kolegę na innego, ponieważ kończył się jego okres darmowy,

Malwarebytes Pro jednak korzystał z tego samego okresu trialowego, więc zainstalowałem anty-wirusa Ashampoo Anti-Malware.

Podczas pierwszego, pełnego skanowania (które trwało parę dobrych godzin 4^) anty-wirus wykrył u mnie trzy następujące wirusy:

 

 

http://imageshack.us...hampooanti.jpg/

 

Długo zastanawiałem się czy usunąć je tym anty-wirusem, aż w końcu to zrobiłem.

Oczywiście komputer od razu odmówił posłuszeństwa ukazując mi BlueScreen - log w załączniku.

Zaleczyłem go narzędziem do przywracaniem systemu - naprawa była robiona trzy razy, aż Windows sam się uruchomił do pulpitu bez żadnych widocznych, negatywnych zmian.

 

Następnie znalazłem tą stronę nie chcąc już nic więcej ryzykować na własną rękę.

 

Po kolei czytałem informacje dotyczące założenia tutaj tematu.

 

1. Odinstalowanie wirtualnych napędów i następnie programu do ich wytworzenia.

 

- Panel sterowania:

 

http://imageshack.us...aemontools.jpg/

 

- Usuwanie resztek w rejestrze programem SPTDinst-v183-x64 exe:

 

http://imageshack.us...waniesptd1.jpg/

 

Tak jak zostało przewidziane, nie dało rady od razu usunąć resztek w rejestrze, więc użyłem RegDelNull i następnie ( z racji, że RegDelNull chyba nie działał poprawnie ) SWREG.

Niestety przy włączaniu obu aplikacji (w C: Windows) skan trwał niesamowicie krótko. Oto screenshot:

 

http://imageshack.us...regdelnull.jpg/

 

Wykorzystałem więc opcję usunięcia resztek za sprawą podniesienia uprawnień konta, która zadziałała i usunęła sptd.

 

Zamknąłem rejestr.

 

2. Logi z OTL:

 

Ściągnąłem i skonfigurowałem program OTL tak jak było napisane w temacie na tutejszym forum ( http://www.fixitpc.p...ty-systemowe/#1 ):

 

http://imageshack.us...nfiguracja.jpg/

 

Kliknąłem Skanuj.

Otrzymałem:

 

OTL.Txt i Extras.Txt ( w załącznikach )

 

To już chyba wszystko o ile czegoś nie zauważyłem.

Proszę o pomoc w usunięciu wirusów.

 

Po wszystkim będę miał prośbę o doradzenie jakiego anty-wirusa używać.

 

Pozdrawiam

Prezes2607

 

P.S. Jak na razie najważniejsza dla mnie na tą chwilę jest informacja czy któryś z tych wirusów może doprowadzić do zeskanowania loginu i hasła podczas logowania?

blue screenA.txt

OTL.Txt

Extras.Txt

[picasso]

Dzisiaj zmieniałem anty-wirusa (Malwarebytes Anti-Malware i następnie Malwarebytes Pro) polecanego przez kolegę na innego, ponieważ kończył się jego okres darmowy,

Malwarebytes Pro jednak korzystał z tego samego okresu trialowego, więc zainstalowałem anty-wirusa Ashampoo Anti-Malware.

 

(...)

 

Po wszystkim będę miał prośbę o doradzenie jakiego anty-wirusa używać.

 

To nie są klasyczne antywirusy. Zainstalowany Ashampoo Anti-Malware nie jest taki nowy (pliki z roku 2011). Jeśli mam coś proponować, to z darmowych antywirusów podsuwam Avast (osłony rezydentne) w połączeniu ze skanerem na żądanie darmowej edycji MBAM (ona nie wygasa, jeśli się ją wybierze przy instalacji). Avast w całości jest natywnie 64-bitowy, w odróżnieniu od Ashampoo i MBAM.

 

 

Długo zastanawiałem się czy usunąć je tym anty-wirusem, aż w końcu to zrobiłem.

Oczywiście komputer od razu odmówił posłuszeństwa ukazując mi BlueScreen - log w załączniku.

 

W wynikach był plik C:\Windows\system32\services.exe. Ashampoo Anti-Malware pokazuje ścieżkę C:\Windows\SysNative\services.exe, ale to dlatego, że nie jest natywną 64-bitową aplikacją (jest 32-bitowy) i by uzyskać dostęp do 64-bitowego katalogu system32, musi używać sztuczki = ukrytego aliasu SysNative. Jeśli Ty przeznaczyłeś wykryty plik services.exe na ubój i zastosowałeś akcję usuń, BSOD byłby wyjaśnialny, bo to krytyczny plik Windows i nie wolno go usuwać. Jeśli jest zainfekowany, musi być leczony. Ale ja mam wątpliwości czy detekcja tego pliku była prawidłowa, nie wykluczam błędu...

 

 

Tak jak zostało przewidziane, nie dało rady od razu usunąć resztek w rejestrze, więc użyłem RegDelNull i następnie ( z racji, że RegDelNull chyba nie działał poprawnie ) SWREG.

Niestety przy włączaniu obu aplikacji (w C: Windows) skan trwał niesamowicie krótko. Oto screenshot:

 

Nie przeczytałeś dokładnie. Klucz SPTD jest zablokowany przez uprawnienia, a wymienione tu narzędzia służą do usuwania zupełnie innych typów blokad, czyli kluczy zerowych null. Po drugie: zachowanie aplikacji prawidłowe i one nic samodzielnie nie skanują (w nich dopiero ręcznie komendy się wprowadza). To są aplikacje konsolowe, czyli nie uruchamia się ich z dwukliku (okno się samoczynnie zamyka) ale przez linię komend cmd.

 

 

Wykorzystałem więc opcję usunięcia resztek za sprawą podniesienia uprawnień konta, która zadziałała i usunęła sptd.

 

Tak jak mówię wyżej: uprawnienia, czyli i narzędzia związane z ich przestawianiem / zmianą kontekstu uprawnień są właściwymi.

 

 

---

W raportach OTL brak jakichkolwiek oznak infekcji i ja nie jestem przekonana czy takowa tu była... Diagnostyka tego awykonalna po użyciu Przywracania systemu.

 

1. Dla świętego spokoju jeszcze podaj skan na sumy kontrolne pliku services.exe, choć wątpię, by coś się okazało. Uruchom SystemLook x64 i w oknie wklej:

 

:filefind
services.exe

 

Klik w Look.

 

2. I mini szczątki po ingerencji adware do usunięcia, ale są jak mówię "mini". Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Program Files (x86)\v9Soft
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

 

.

[Prezes2607]

Dziękuje za szybkie zajęcie się problemem

 

1. SystemLook x64:

 

,,

 

SystemLook 30.07.11 by jpshortstuff

Log created at 10:26 on 01/12/2012 by Ogólny

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

"

 

2. OTL - sekcja Własne opcje skanowania / skrypt z restartem.

 

,,

 

All processes killed

========== FILES ==========

C:\Program Files (x86)\v9Soft folder moved successfully.

========== REGISTRY ==========

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully!

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Ogólny

->Temp folder emptied: 689181 bytes

->Temporary Internet Files folder emptied: 285237 bytes

->Java cache emptied: 295941 bytes

->FireFox cache emptied: 37746363 bytes

->Google Chrome cache emptied: 111634496 bytes

->Flash cache emptied: 570 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 136783322 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50534 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 274,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 12012012_103428

 

Files\Folders moved on Reboot...

C:\Users\Ogólny\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

C:\Windows\temp\TMP00000008B341C4BD91F76AA0 moved successfully.

 

PendingFileRenameOperations files...

 

Registry entries deleted on Reboot...

"

[picasso]

Wedle spodziewań w SystemLook żadnych "rewelacji", plik jest poprawny. Skrypt do OTL pomyślnie wykonany. Czyli zalecenia końcowe:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL i jego składniki.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj Windows i wyliczone poniżej programy: KLIK. Wg raportu system nie ma SP1 i są zainstalowane wersje:

 

64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3
"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.2
"KLiteCodecPack_is1" = K-Lite Codec Pack 4.1.7 (Standard)
"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl)

 

Uwaga dodatkowa: Gadu-Gadu 10. Program woła o pomstę do nieba, spożycie zasobów i reklamy. Oglądnij lżejsze i przyjaźniejsze zasobom alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Pełne opisy komunikatorów w moim artykule: Darmowe komunikatory.

 

To tyle z mojej strony.

 

 

.

[Prezes2607]

1. OTL Sprzątnięte z restartem.

2. Foldery Przywracania systemu wyczyszczone za pomocą opcji usuń w Ochronie systemu - oby dwa dyski.

3. Jestem w trakcie pobierania SP1. Pobieram oba do x32 i x64.

SP1 x32 - tak jak myślałem nie jest aplikacją systemy x64 na co instalator zwrócił uwagę - instaluję x64.

IE przy próbie instalacji wykazuje, że moja przeglądarka jest aktualna.

Zaraz po tym zaktualizuję pozostałe wymienione programy i odpowiem jak zakończyłem.

 

Dziękuję za uwagę odnośnie komunikatora. To GG jest dla mnie jakąś masakrą - nie wiem czy to prawda, ale kiedyś ktoś mi powiedział, że w jakichś testach GG pożerało 300 mb RAMu.

Dziękuję również za odpowiedź na temat anty-wirusa .

 

Jak rozumiem, żadna ze zgłoszonych ze mnie dolegliwości nie mogła raczej prowadzić do "zeskanowania" mojego loginu czy też hasła podczas logowania do programów i forów stron internetowych?

 

Niezmiernie dziękuję za pomoc! Bardzo mnie uspokoiłaś

Odwdzięczę się dotacją ^^

Gratuluję umiejętności

[picasso]

Jak rozumiem, żadna ze zgłoszonych ze mnie dolegliwości nie mogła raczej prowadzić do "zeskanowania" mojego loginu czy też hasła podczas logowania do programów i forów stron internetowych?

 

Nie sądzę. I jak mówiłam, mam wątpliwości co tak naprawdę wykrył skaner.

 

 

3. Jestem w trakcie pobierania SP1. Pobieram oba do x32 i x64.

IE przy próbie instalacji wykazuje, że moja przeglądarka jest aktualna.

 

Nie, masz pobrać tylko 64-bitowy pakiet SP1. Internet Explorer nie wskazywałam do aktualizacji, bo przecież mam dane w logach że jest już wersja 9:

 

64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)

 

Podałam dokładnie co Cię dotyczy, a to że kieruję do tematu, gdzie jest opisane wszystko wspólnie, oznacza, że masz zastosować tylko to co wskazałam. Opis jest ogólny, bo nie jest możliwe napisanie tego rodzaju instrukcji w sposób, by każdy użytkownik widział tam tylko "swój przypadek".

 

 

To GG jest dla mnie jakąś masakrą - nie wiem czy to prawda, ale kiedyś ktoś mi powiedział, że w jakichś testach GG pożerało 300 mb RAMu.

 

Żadnych przekłamań tu nie ma. Pisząc pracę o komunikatorach miałam okazję się o tym przekonać. Kilkaset MB to nie przenośnia. Szczerze Ci polecam WTW. Jest lekki, portable, nie ma reklam, dobrze obsługuje Gadu.

 

 

 

.

[Prezes2607]

Jak rozumiem miałem zaktualizować programy wyznaczone w tym skrypcie raporcie:

 

 

64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3

"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.2

"KLiteCodecPack_is1" = K-Lite Codec Pack 4.1.7 (Standard)

"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl)

 

Podczas aktualizacji Open Office ukazał mi się komunikat, że moja wersja jest aktualna.

Chyba, że źle zrozumiałem i miałem te programy usunąć dla poprawienia działania systemu?

 

Open Office był pobierany ze strony producenta.

Dla pewności sprawdziłem jego wersję instalatora na pewnym popularnym serwisie z instalatorami i tam jest napisane, że istnieje tylko wersja x32 - przynajmniej u nich.

 

edit:

Hm, być może ukazało mi wersję 3.3.0 na oficjalnej stronie producenta ze względu na wersję językową - już instaluję 3.4.1.

[picasso]

To nie skrypt, to cytat z raportu OTL tego co jest w rejestrze.

 

 

Podczas aktualizacji Open Office ukazał mi się komunikat, że moja wersja jest aktualna.

 

Wg raportu masz zainstalowaną wersję OpenOffice.org 3.3, a najnowsza to OpenOffice.org 3.4.1: KLIK. Dane o Twojej wersji pochodzą z Twojego rejestru. Otwórz swój OpenOffice.org i sprawdź w oknie pomocy jaką wersję podaje, czy taką samą jak rejestr.

 

 

Dla pewności sprawdziłem jego wersję instalatora na pewnym popularnym serwisie z instalatorami i tam jest napisane, że istnieje tylko wersja x32 - przynajmniej u nich.

 

Tak, OpenOffice.org jest 32-bitowy. To nie ma tu znaczenia dla kontekstu sprawy.

 

 

Chyba, że źle zrozumiałem i miałem te programy usunąć dla poprawienia działania systemu?

 

Nie, masz je zaktualizować. Ale niekiedy aktualizacja wymaga w pierwszej kolejności pełnej deinstalacji starszej wersji. Tak tu będzie z Adobe Reader i kodekami.

 

 

.

[Prezes2607]

;/

 

Podczas próby zainstalowania SP1 ukazał mi się komunikat:

 

http://imageshack.us...703/sp1bld.jpg/

 

Ściągnąłem i zainstalowałem Windows6.1-KB947821-v25-x64 ze strony http://support.microsoft.com/kb/947821

 

Ponownie spróbowałem instalacji SP1 ( windows6.1-KB976932-X64 )

 

Ukazał mi się taki sam błąd jak na początku.

Użyłem Windows Update i opcji Wyszukaj aktualizacje. W ramce statusu aktualizacji przed wyszukiwaniem miałem wszystkie dotychczasowe aktualizacje, po wyszukaniu pojawił się błąd.

 

http://imageshack.us...tualizacji.jpg/

 

i nie wiem co teraz zrobić...

 

W pomocy na stronie Windows'a ( http://windows.microsoft.com/pl-PL/windows7/why-am-i-receiving-message-system-components-missing ) każą włożyć płytę z instalatorem Windows 7 i tam Uaktualnić jego składniki. Boję się tylko, że znowu wyskoczy jakiś błąd i system już nie ruszy.

[picasso]

Te błędy wyjaśniają dlaczego w systemie nie było zainstalowanego SP1...

 

 

Ściągnąłem i zainstalowałem Windows6.1-KB947821-v25-x64 ze strony http://support.microsoft.com/kb/947821

 

Ale to nie jest żadna instalacja (tylko tak wygląda), to jest skan, a wyniki trzeba ocenić (KLIK). Skoro uruchomiłeś już, to log jest i przedstaw go: C:\Windows\Logs\CBS\checksur.log

 

 

.

[Prezes2607]

Windows Update się obudził i pobiera właśnie SP1 x64, więc myślę, że może na razie zaczekam i zobaczę czy mu się uda.

 

checkSUR.txt na razie wygląda tak :

 

=================================

Checking System Update Readiness.

Binary Version 6.1.7601.21645

Package Version 17.0

2012-12-01 12:31

 

Checking Windows Servicing Packages

 

Checking Package Manifests and Catalogs

 

Checking Package Watchlist

 

Checking Component Watchlist

 

Checking Packages

(f) CSI Unable to Query Store Version 0x00000002

 

Summary:

Seconds executed: 41

Found 1 errors

CSI Unable to Query Store Version Total count: 1

"

[picasso]

Log z Checksur nie wygląda dobrze (niemożność poboru danych), ale skoro Windows Update się "obudziło", to poczekajmy i zobaczymy co się stanie.

[Prezes2607]

Po kilkukrotnym restarcie powiązanym z instalacją aktualizacji otrzymałem komunikaty:

 

http://imageshack.us.../sp1zainst.jpg/

 

i drugi na pasku szybkiego uruchamiania o pobranych aktualizacjach.

 

Więc chyba to wszystko?

 

Zastanawia mnie tylko nad czym mój komputer tak myśli - użycie procesora i RAMu ponad 50%, ale zaraz go zrestartuję i zobaczę czy to coś poprawi.

 

Chyba już wszystko gra. Zainstalowało poprawnie wszystkie aktualizacje "wspierające" SP1 przez Windows Update.

 

Procesor jest raczej spokojny, tylko RAM utrzymuje się na poziomie 43% ( największe użycie zasobów svchost.exe (LocalSystemNetworkRestricted) i chrome.exe + ich pomniejsze pliki niżej ), ale to już chyba nie miejsce na takie tematy.

 

Bardzo dziękuję za pomoc.