Zeroaccess - usunięty, ale brak internetu, zapora odmawia dostępu

[dziabong]

Witam.

 

Zostałem poproszony o pomoc z zawiruszonym komputerem. Sam nie dałem rady i zwróciłem się o pomoc tu: http://www.elektroda.pl/rtvforum/viewtopic.php?t=2182933&highlight=

 

No i z tego co rozumiem infekcje mam już z głowy, ale skutki zostały....

 

Jak tam pisałem, zbieram się już do formatu, a że komputer dość nowy, to wszystkie dane już zgrałem. Więc przede wszystkim pytanie czy warto jeszcze z tym walczyć w takim układzie, czy szybciej będzie zrobić format?

 

Załączam świeże logi z GMER i OTL

gmer.txt

OTL.Txt

[picasso]

To nie jest cały log z OTL, brakuje aktualnego Extras (m.in. z błędami z Dziennika zdarzeń). Nie ustawiłeś opcji "Rejestr - skan dodatkowy" na "Użyj filtrowania". Niemniej Extras pobrałam z elektrody.

 

Komentarz do tego co tam robiono. Dodawanie do usuwania w skrypcie OTL tego co widział na początku GMER (czyli C:\Windows\$NtUninstallKB20827$) to zła akcja. Skoro to jest w GMER, oznacza to określoną blokadę (OTL jest tylko prostym narzędziem). Tego się tak nie usuwa. To jest zablokowany przez uprawnienia reparse point (nie folder). Należy odblokować link, zdjąć reparse point via fsutil i dopiero wtedy można usuwać. A skoro aktualny log z GMER tego już nie pokazuje, to oznacza że ComboFix to usuwał, bo samo się nie mogło zlikwidować.

Na temat ComboFix: czy posiadasz plik C:\ComboFix.txt lub w C:\Qoobox log quarantine?

 

 

---

Co widzę w logach:

 

1. Wg OTL po ZeroAccess pozostał jeszcze ten plik o wadliwej nazwie:

 

File not found -- C:\Windows\System32\

 

Jego usuwanie zostawiam na potem, nie jest to istotne w aktualnej fazie.

 

2. Pod kątem padniętej sieci: apropos "Ale nie wiadomo, które usługi usunął Rootkit" z elektrody, eh... nie sprawdzone logi zbyt dokładnie. Przecież w OTL Extras jest podany wymowny zestaw błędów, który pokazuje gdzie jest usterka (usługę mógł uszkodzić antywirus, bo to się niestety dzieje przy infekcji ZeroAccess, gdy AV wykryje infekcję w danym sterowniku):

 

[ System Events ]
Error - 2012-01-06 18:06:00 | Computer Name = Olenka-Komputer | Source = Service Control Manager | ID = 7001
Description = Usługa Usługa autowykrywania serwera proxy w sieci Web WinHTTP zależy
 od usługi Klient DHCP, której nie można uruchomić z powodu następującego błędu:
   %%1068
 
Error - 2012-01-06 18:06:06 | Computer Name = Olenka-Komputer | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Sterownik obsługi starszych urządzeń TDI
 NetIO z powodu następującego błędu:   %%2
 
Error - 2012-01-06 18:06:06 | Computer Name = Olenka-Komputer | Source = Service Control Manager | ID = 7001
Description = Usługa Klient DHCP zależy od usługi Sterownik obsługi starszych urządzeń
 TDI NetIO, której nie można uruchomić z powodu następującego błędu:   %%2
 
Error - 2012-01-06 18:06:06 | Computer Name = Olenka-Komputer | Source = Service Control Manager | ID = 7001
Description = Usługa Usługa autowykrywania serwera proxy w sieci Web WinHTTP zależy
 od usługi Klient DHCP, której nie można uruchomić z powodu następującego błędu:
   %%1068
 
Error - 2012-01-06 18:06:06 | Computer Name = Olenka-Komputer | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Sterownik obsługi starszych urządzeń TDI
 NetIO z powodu następującego błędu:   %%2
 
Error - 2012-01-06 18:06:06 | Computer Name = Olenka-Komputer | Source = Service Control Manager | ID = 7001
Description = Usługa Klient DHCP zależy od usługi Sterownik obsługi starszych urządzeń
 TDI NetIO, której nie można uruchomić z powodu następującego błędu:   %%2
 
Error - 2012-01-06 18:06:06 | Computer Name = Olenka-Komputer | Source = Service Control Manager | ID = 7001
Description = Usługa Usługa autowykrywania serwera proxy w sieci Web WinHTTP zależy
 od usługi Klient DHCP, której nie można uruchomić z powodu następującego błędu:
   %%1068
 
Error - 2012-01-06 18:06:11 | Computer Name = Olenka-Komputer | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Sterownik obsługi starszych urządzeń TDI
 NetIO z powodu następującego błędu:   %%2
 
Error - 2012-01-06 18:06:11 | Computer Name = Olenka-Komputer | Source = Service Control Manager | ID = 7001
Description = Usługa Klient DHCP zależy od usługi Sterownik obsługi starszych urządzeń
 TDI NetIO, której nie można uruchomić z powodu następującego błędu:   %%2
 
Error - 2012-01-06 18:06:11 | Computer Name = Olenka-Komputer | Source = Service Control Manager | ID = 7001
Description = Usługa Usługa autowykrywania serwera proxy w sieci Web WinHTTP zależy
 od usługi Klient DHCP, której nie można uruchomić z powodu następującego błędu:
   %%1068

 

Należy zrekonstruować prawidłową postać "Sterownika obsługi starszych urządzeń TDI NetIO", przypuszczalnie tu brakuje pliku. Wykonaj skany potwierdzające:

 

1. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, za to w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\tdx /S
/md5start
tdx.sys
/md5stop

 

Klik w Skanuj (a nie Wykonaj skrypt!). Przedstaw log wynikowy.

 

2. Uruchom Farbar Service Scanner, zaznacz wszystkie opcje i kliknij w Scan, przedstaw log wynikowy.

 

 

 

.

[dziabong]

Wspomnianych plików po Combofixie nie widzę (włączyłem ukryte pliki)

 

Załączam logi.

FSS.txt

OTL1.txt

[picasso]

File Check:
========
Attention! C:\Windows\system32\Drivers\tdx.sys is missing.

 

Tak jak wytypowałam, kompletny brak pliku tdx.sys w katalogu drivers, dlatego nie startuje nadrzędny "Sterownik obsługi starszych urządzeń TDI NetIO" potrzebny do prawidłowej pracy usług. Są kopie tego pliku wyglądające poprawnie, ale te wersje są starsze niż Windows 7 SP1. Mimo to wezmę je, gdyż nie widzę pasujących do nowszych wystąpień wyników z WinSxS.

 

Windows Firewall:
=============
MpsSvc Service is not running. Checking service configuration:
Checking Start type: Attention! Unable to open MpsSvc registry key. The service key does not exist.
Checking ImagePath: Attention! Unable to open MpsSvc registry key. The service key does not exist.
Checking ServiceDll: Attention! Unable to open MpsSvc registry key. The service key does not exist.
 
bfe Service is not running. Checking service configuration:
Checking Start type: Attention! Unable to open bfe registry key. The service key does not exist.
Checking ImagePath: Attention! Unable to open bfe registry key. The service key does not exist.
Checking ServiceDll: Attention! Unable to open bfe registry key. The service key does not exist.

 

Dodatkowo, skoszona usługa Zapory (MpsSvc) oraz jej nadrzędna zależność Podstawowy aparat filtrowania (BFE). Wymagana kompletna rekonstrukcja w rejestrze oraz zestawu uprawnień.

 

 

---

1. Rekonstrukcja zestawu zapory (wpisy w rejestrze + uprawnienia): KLIK.

 

2. Uzupełnienie brakującego pliku tdx.sys. Przekopiuj ten plik z katalogu C:\Windows.old\Windows\System32\drivers do C:\Windows\system32\drivers.

 

3. Dodatkowo przeprowadź ogólną weryfikację plików systemowych. Wykonaj komendę sfc /scannow, następnie za pomocą kolejnej komendy stwórz log filtrowany do wystąpień znaczników [sR]: KLIK.

 

4. Restart systemu

 

5. Raporty do oceny: Wygeneruj nowy ogólny log z OTL opcją Skanuj + dołącz log z wynikami filtrowania CBS.LOG pozyskany w punkcie 3. Wypowiedz się wyraźnie czy wszystko zaczęło działać.

 

 

 

.

[dziabong]

No i śmiga. Bardzo dziękuję

 

Zapora OK, internet jest, czyli z objawów, które widziałem już nic nie ma.

 

Załączam pliki.

 

Pomyślałem, że wrzucę link z rozwiązaniem na elektrodę, ale stwierdziłem, że wypada zapytać o zgodę.

 

Pozdrawiam i dziękuję bardzo. Nie wiem czy regulamin zezwala na podziękowania materialne, ale jak dostane adres chętnie coś wyśle

sfc.txt

OTL.Txt

[picasso]

Narzędzie SFC dokończyło moje dzieło, przywracając wersję pliku tdx.sys zgodną z SP1:

 

2012-01-08 12:06:50, Info                  CSI    000001a6 [sR] Cannot repair member file [l:14{7}]"tdx.sys" of Microsoft-Windows-TDI-Over-TCPIP, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing
2012-01-08 12:06:50, Info                  CSI    000001a7 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"tdx.sys" by copying from backup
2012-01-08 12:06:50, Info                  CSI    000001a9 [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"tdx.sys" from store

 

Teraz mogę załatwić drobnicę, tzn.:

 

1. Omawiany wcześniej plik "not found".

 

File not found -- C:\Windows\System32\

 

Ten plik wygląda w taki sposób, jakby był bez nazwy:

 

 

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
del "\\?\C:\Windows\System32\ " /C

 

Klik w Wykonaj skrypt. Powinien zgłosić się log z wynikami, pokaż go. I potwierdź sobie wzrokowo, iż ów plik z obrazka zniknął.

 

2. Przejdź do apletu deinstalacji programów i usuń śmiecia sponsoringowego Softonic-Polska Toolbar.

 

 

 

Pomyślałem, że wrzucę link z rozwiązaniem na elektrodę, ale stwierdziłem, że wypada zapytać o zgodę.

 

Nie mam nic przeciwko, w końcu zaczynałeś temat tam, nawet wypada byś zakończył swoje sprawy. O ile elektroda godzi się na obce linki.

 

Nie wiem czy regulamin zezwala na podziękowania materialne, ale jak dostane adres chętnie coś wyśle

 

Możesz wesprzeć mój serwer poprzez dotację. Na stronie głównej forum są w pasku bocznym banery metod wsparcia forum. Będzie mi miło. Aczkolwiek nie traktuj mojej wypowiedzi jako układu wiążącego, tzn. że ja obowiązkowo będę tego oczekiwać.

 

 

 

.

[dziabong]

Skrypt wykonany, śmieć zniknął. Toolbar nie chce się odinstalować "cannot open instal.log.file"

log.txt

[picasso]

Toolbar nie chce się odinstalować "cannot open instal.log.file"

 

No cóż, może to stąd, że użyto w pierwszej kolejności AD-Remover brutalnie usuwający składniki Counduit, a ów Softonic-Polska Toolbar jest oparty na Conduit. Zawsze powinno się postępować na odwrót: deinstalować naturalną drogą ile się da, po tym poprawiać takimi ekstra usuwaczami. W takim przypadku siłowo go wyrwę.

 

 

1. Pominęłam przez nieuwagę kikin plugin. To dodatek kwestionowalny, o parametrach reklamodawczych: KLIK.

 

2. Wykończenie odpadków Softonic. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
IE - HKCU\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
O2 - BHO: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (Softonic-Polska Toolbar) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Softonic-Polska Toolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{122445A3-DE10-4179-B1D6-CA2CC2B26162}]
 
:Files
rd /s /q "C:\Program Files\Softonic-Polska" /C

 

Klik w Wykonaj skrypt. Po tej akcji pasek powinien zniknąć z listy zainstalowanych, z integracji z IE oraz z dysku.

 

3. Porządkowanie po używanych narzędziach. Odinstaluj w prawidłowy sposób ComboFix (co także wyczyści foldery Przywracania systemu). Z klawiatury kombinacja klawisz z flagą Windows + R i w Uruchom wklej polecenie:

 

"Ścieżka dostępu do ComboFix.exe" /uninstall

 

Po tym zastosuj funkcję Sprzątanie w OTL, likwidującą z dysku cały majdan OTL (program + jego kwarantanna). Plus deinstalacja AD-Remover. Możesz usunąć z dysku foldery C:\Users\Olenka\DoctorWeb + C:\Windows\ERDNT (kopia rejestru utworzona przez ComboFix).

 

4. Dla pewności wykonaj kompletny skan za pomocą mini skanera Kaspersky Virus Removal Tool. Przedstaw wykryte zagrożenia, o ile takowe zostaną znalezione.

 

 

 

 

.

[dziabong]

Ad 3. Tylko, że ja już sprzątałem OTL'em po instalacji ComboFix'a i przy tej okazji zniknął, co oznacza, że nie został odinstalowany poprawnie.... robić coś w związku z tym czy przejść dalej?

 

------

 

Aha. Po deinstalacji Alcohol'a został podobny śmieć jak ten w System 32 - nieusuwalny plik bez nazwy. Jak to ruszyć?

[picasso]

Tylko, że ja już sprzątałem OTL'em po instalacji ComboFix'a i przy tej okazji zniknął, co oznacza, że nie został odinstalowany poprawnie.... robić coś w związku z tym czy przejść dalej?

 

Pobierz ponownie ComboFix i wzdróż komendę. ComboFix zostanie prawidłowo odinstalowany.

 

EDIT:

 

Dopisałeś:

 

Aha. Po deinstalacji Alcohol'a został podobny śmieć jak ten w System 32 - nieusuwalny plik bez nazwy. Jak to ruszyć?

 

To zapewne nie jest od Alcohola tylko ZeroAccess tam grzebał (niestesty brak odczytu z ComboFix, by potwierdzić czy była detekcja zainfekowanych w katalogach). Te pliki bez nazwy są pochodną aktywności infekcji. W OTL ładuj skrypt o postaci:

 

:Files
del "\\?\C:Program files\Katalog Alcohola\ " /C

 

 

 

 

.

[dziabong]

OK.

 

Skan nic nie znalazł.

 

Dziękuję raz jeszcze.

[picasso]

Jako zakończenie aktualizacja oprogramowania (KLIK). Na Twojej liście zainstalowanych kwalifikację mają:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 24
"{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2
"{B7B3E9B3-FB14-4927-894B-E9124509AF5A}" = Adobe Flash Player 10 ActiveX
"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Google Chrome" = Google Chrome
"Mozilla Firefox 8.0 (x86 pl)" = Mozilla Firefox 8.0 (x86 pl)
"Mozilla Thunderbird (8.0)" = Mozilla Thunderbird (8.0)

 

Tak, aktualizacja IE jest istotna mimo nie używania go. I zwróć uwagę, że to Flash w wersji IE jest stary.

 

 

PS. Spoza tematu, może zainteresuje Cię zamiana potwora komercyjnego GG10 lekkim WTW: Darmowe komunikatory.

 

 

Temat jako ukończony będziemy zamykać.

 

 

.