Pum.userwload i trojan.ransom

[cchris]

Po kilkukrotnym przeskanowaniu Malwarebytes Anti-Malware nie byl w stanie ich usunac i nie wiem co robic dalej. Prosze o pomoc.

 

Kategoria: Registry Value

Obiekt: HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load

 

Ponizej zalaczam logi z OTL i MBAM.

 

Dziekuje za wszelka pomoc.

Extras1.Txt

OTL1.Txt

MBAM-log-2013-02-04 (00-34-21).txt

[picasso]

W systemie są ślady trojana ZeroAccess, który wygląda jak źle wyczyszczony. Stosowałeś skaner SpyHunter = program wątpliwej reputacji.

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Zresetuj system.

 

2. Otwórz Notatnik i wklej w nim:

 

TAKEOWN /F C:\$Recycle.Bin /R /A /D T

icacls C:\$Recycle.Bin /grant Wszyscy:F /T
rd /s /q C:\$Recycle.Bin
netsh advfirewall reset
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O4 - HKU\S-1-5-21-4137318519-2198754348-3624511956-1000..\Run: [Kuomg] C:\Users\CCHRIS\AppData\Roaming\Ixyv\ytzez.exe File not found
O4 - HKU\S-1-5-21-4137318519-2198754348-3624511956-1000..\Run: [MSConfig] "C:\Users\CCHRIS\cpmwdwkp.exe" File not found
O4 - HKU\S-1-5-21-4137318519-2198754348-3624511956-1000..\Run: [rafbitirxyfo] C:\Users\CCHRIS\rafbitirxyfo.exe File not found
F3:64bit: - HKU\S-1-5-21-4137318519-2198754348-3624511956-1000 WinNT: Load - (C:\Users\CCHRIS\LOCALS~1\Temp\msuzcavq.scr) -  File not found
F3 - HKU\S-1-5-21-4137318519-2198754348-3624511956-1000 WinNT: Load - (C:\Users\CCHRIS\LOCALS~1\Temp\msuzcavq.scr) -  File not found
DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
[2013/01/29 11:13:27 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
 
:Files
C:\Users\CCHRIS\AppData\Roaming\desktop.ini
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Uruchom SystemLook x64 i w oknie wklej:

 

:dir

C:\$Recycle.Bin /s
 
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Klik w Look.

 

 

 

.

[cchris]

Zrobione.

Dzieki wielkie za pomoc.

FSS.txt

OTL.Txt

SystemLook.txt

[picasso]

Jeden obiekt ZeroAccess z Kosza nie zniknął.

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

icacls C:\$Recycle.Bin\S-1-5-21-4137318519-2198754348-3624511956-1000\$3d72859218d05528bf18d8a8468c647a /grant Wszyscy:F /T

 

Następnie wklej komendę:

 

rd /s /q C:\$Recycle.Bin

 

2. Zrób nowy log SystemLook na warunek:

 

:dir
C:\$Recycle.Bin /s

 

 

 

.

[cchris]

Zrobione

SystemLook.txt

[picasso]

Jest problem, obiekt nadal siedzi. Wklej w cmd Uruchomionym jako Administrator tę komendę:

 

icacls C:\$Recycle.Bin\S-1-5-21-4137318519-2198754348-3624511956-1000\$3d72859218d05528bf18d8a8468c647a /grant Wszyscy:F /T

 

Przeklej z okna co Ci się pokazuje.

 

 

 

.

[cchris]

Zrobiłem i wrzucam wynik w .jpg

[picasso]

I wszystko jasne. Twój Windows przedstawiał się w logu z OTL z polskim locale:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 0000040c | Country: Pologne | Language: PLK | Date Format: yyyy-MM-dd

 

Ale to pozory. Powinno mnie już oświecić słowo "Pologne", ale nie zwróciłam uwagi na to skupiając się na "PLK". Tu nie ma natywnie polskiego Windows tylko francuski. To oznacza, że nazwy grup nie są polskie lecz francuskie i w tej komendzie musi być podstawiona francuska nazwa grupy:

 

icacls C:\$Recycle.Bin\S-1-5-21-4137318519-2198754348-3624511956-1000\$3d72859218d05528bf18d8a8468c647a /grant Wszyscy:F /T

 

Czyli zamiast "Wszyscy" wpisz tam francuski odpowiednik komendy. Po jej wykonaniu wdrażasz tę komendę:

 

rd /s /q C:\$Recycle.Bin

 

 

 

 

.

[cchris]

Zamiast ,,Wszyscy'' uzylem dwoch odpowiednikow tego slowa w j. francuskim(Tous i Tout) i nic to chyba nie zmienilo.

Po peirwszej komendzie ktora podales wyswietla sie:

 

Mapowanie między nazwami kont a identyfikatorami zabezpieczeń nie zostało wykonane

0 plikow prawidłowo leczone, nieprawidlowe leczenie 1 plik

 

natomiast po drugiej:

Katalog nie jest pusty

[picasso]

Zamiast ,,Wszyscy'' uzylem dwoch odpowiednikow tego slowa w j. francuskim(Tous i Tout) i nic to chyba nie zmienilo.

 

Czy na pewno po francusku taka nazwa grupy? Sprawdź jak to widać w innych częściach systemu. Pierwsze z brzegu sprawdzanie : Start > w polu szukania wpisz regedit > prawoklik na gałąź HKEY_LOCAL_MACHINE i pobierz Uprawnienia > Wszyscy są na liście, podaj pod jaką nazwą fr.

 

 

 

.

[cchris]

Na liscie sa pod nazwa "tout le monde", wpisywalem tak poprzednio i teraz jeszcze raz. W oknie cmd pokazuje sie ,ze parametr ten jest niepoprawny.

[picasso]

Nazwa grupy ma spację. Czy ująłeś nazwę grupy przez cudzysłów? Czyli wklejaj to:

 

icacls C:\$Recycle.Bin\S-1-5-21-4137318519-2198754348-3624511956-1000\$3d72859218d05528bf18d8a8468c647a /grant "Tout le monde":F /T

 

 

 

.

[cchris]

Wpisywalem bez, po pierwszej komendzie wyskakuje "0 plikow odpowiednio leczone ,Niepowodzenie przetwarzania 1 plik"

po drugiej "odmowa dostepu".

[picasso]

Spróbuj jeszcze raz cały Kosz od góry przetworzyć, czyli komendy:

 

TAKEOWN /F C:\$Recycle.Bin /R /A

 

Po tej padnie monit o zatwierdzenie. System prawdopodobnie będzie bredził o Y (od Yes), ale masz wstukać skrót od francuskiego "Tak". Następnie:

 

icacls C:\$Recycle.Bin /grant "Tout le monde":F /T

 

I tylko wtedy, gdy powyższa komenda się przetworzy:

 

rd /s /q C:\$Recycle.Bin

 

Jeżeli nawalą dwie pierwsze komendy, pokaż zrzut ekranu z okna cmd jak te komendy były wpisywane.

 

 

 

.

[cchris]

Juz wszystko jest ok. Po wpisaniu dwoch pierwszych komend wyskoczylo mi, ze 3 pliki sa wyleczone poprawnie i 0 nie wyleczonych.

Dzieki bardzo za pomoc.

[picasso]

Sprawa Kosza załatwiona, lecimy na koniec:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie, resztę dokasuj sobie ręcznie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Aktualizacje: KLIK. Dostarczony log wskazywał, że system nie ma zainstalowanego SP1, do usunięcia stare Adobe+Java oraz aktualizacja przeglądarek:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java™ 6 Update 14 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java™ 6 Update 14
"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.5.3 MUI
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox)
"Mozilla Firefox 18.0.1 (x86 pl)" = Mozilla Firefox 18.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_146.dll ()

 

4. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

.