Problem z procesem ping.exe i nie tylko

[Albi07]

Witam. Na początku głównie chodziło o proces ping.exe, który zabierał jakieś 80-90% pracy procesora i komp chodził jak kosiarka. Gdy zainteresowałem się tym i przeskanowałem to avastem wyszło takie coś:

 

 

Chyba zrobiłem coś źle, bo przeskanowałem drugi raz kompa programem Malwarebytes Anti-Malware i usunąłem zarażone pliki. Potem komp nie chciał się włączyć i przywróciłem stan do momentu teoretycznie dobrze działającego systemu (naprawianie Windowsa). Stan wrócił do pojawiania się ping.exe i kosiarka rox. Na razie nie huczy, ale co pół minuty pojawia się komunikat avasta o tym samym zagrożeniu (co widać na screenie).

 

Co więcej: Skończyłem skanowanie (szybkie) i avast znalazł rookita. Nie wiem czy jak to usunę to czy znowu nie będzie coś źle. Błagam o konkretną pomoc. Pozdrawiam i oto screen:

 

 

 

PS: Po zakonczeniu skanowania przesyłam wynik:

 

[picasso]

Chyba zrobiłem coś źle, bo przeskanowałem drugi raz kompa programem Malwarebytes Anti-Malware i usunąłem zarażone pliki. Potem komp nie chciał się włączyć i przywróciłem stan do momentu teoretycznie dobrze działającego systemu (naprawianie Windowsa). Stan wrócił do pojawiania się ping.exe i kosiarka rox. Na razie nie huczy, ale co pół minuty pojawia się komunikat avasta o tym samym zagrożeniu (co widać na screenie).

 

Infekcja ZeroAccess. Po usunięciu pliku consrv.dll tej infekcji, ale bez korekty miejsca w rejestrze skąd plik startuje, system przestaje się uruchamiać. Usuwanie musi adresować edycję rejestru.

 

Na początek proszę o spełnienie zasad działu, czyli podanie logów z OTL. Dopiero na tej podstawie podam instrukcje usuwające.

 

 

 

.

[Albi07]

Oba pliki w załącznikach. Proszę o dalsze instrukcje.

Extras.Txt

OTL.Txt

[picasso]

1. Pobierz narzędzie FRST x64 i umieść na pendrive. Przygotuj plik naprawczy. Otwórz Notatnik i wklej w nim:

 

SubSystems: [Windows] ==> ZeroAccess
NETSVC: CcmExec
2 CcmExec; C:\Windows\System32\TdmService.dll [6656 2009-07-14] (Oak Technology Inc.)
C:\Windows\System32\TdmService.dll
C:\Windows\System32\consrv.dll
C:\Windows\System32\dds_trash_log.cmd
C:\Windows\assembly\tmp\U
C:\Windows\assembly\tmp\loader.tlb
C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
CMD: C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\system64
C:\Users\ALBI\AppData\Roaming\mozilla\Firefox\Profiles\au3kqljm.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
C:\Users\ALBI\AppData\Roaming\mozilla\Firefox\Profiles\au3kqljm.default\extensions\toolbar@ask.com

 

Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST.

 

2. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom zgodnie z opisem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt. Po ukończeniu akcji zresetuj do Windows.

 

3. Reset Winsock: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera.

 

4. Odbuduj brakujący plik HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

 

#	127.0.0.1       localhost

#	::1             localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\System32\drivers\etc.

 

5. Wygeneruj nowe logi do oceny: OTL z opcji Skanuj + Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. Dołącz plik fixlog.txt.

 

 

 

 

.

[Albi07]

Myślę, że zrobiłem wszystko co trzeba. Na początku F8 nie działało, bo Avast wziął mi zarażone pliki w kwarantanne albo nie wiadomo co. Wyłączyłem go całkiem i przywróciłem kompa do tego niby normalnego stanu i zacząłem działania wg. Pana instrukcji. W załącznikach mam nadzieję wszystko, co trzeba. Czekam na odpowiedź.

 

PS: Nazwy logów z OTL są identyczne z poprzednimi, bo poprzednie przeniosłem gdzie indziej żeby się nie mieszały. Logi są aktualne.

OTL.Txt

Fixlog.txt

FSS.txt

[picasso]

PS: Nazwy logów z OTL są identyczne z poprzednimi, bo poprzednie przeniosłem gdzie indziej żeby się nie mieszały. Logi są aktualne.

 

Po zawartości logów widać czy są aktualne czy nie. Operacje tu prowadzone mają wybitny wpływ na odczyty. Zadanie zostało wykonane, skrypt do FRST nie znalazł tylko obiektów w C:\Windows\assembly\tmp. Infekcja pomyślnie usunięta, brak jakichkolwiek znaków czynnego ZeroAccess. Możemy przejść do poprawek oraz napraw = infekcja ZeroAccess skasowała z rejestru całkowicie usługi Zapory, Centrum zabezpieczeń i Windows Defender.

 

1. Odinstaluj przez Panel sterowania wątpliwy Dll-Files.com Fixer. Prawdopodobnie to nawet nie było celowo instalowane i dostało się do systemu jako sponsor innej paczki.

 

2. Uruchom GrantPerms x64 i w oknie wklej:

 

C:\Windows\system64

 

Klik w Unlock.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

rd /s /q C:\Windows\system64 /C
rd /s /q C:\TDSSKiller_Quarantine /C
rd /s /q C:\SDFix /C
rd /s /q C:\FRST /C
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z tego działania.

 

4. Odbuduj skasowane usługi:

• Rekonstrukcja usług Zapory: KLIK. Odtwarzasz dwie usługi (BFE i MpsSvc) a nie trzy i omijasz sfc /scannow.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  

5. Zresetuj system. Wygeneruj nowy log z Farbar Service Scanner. Dołącz też log z przetwarzania skryptu OTL powstały w punkcie 3.

 

 

 

PS.

 

działania wg. Pana instrukcji.

 

Jestem kobietą.

 

 

.

[Albi07]

Napotkałem problem. Zrobiłem screen. Link niżej:

http://img600.images...4792/bladtr.png

Plik umieściłem prawidłowo na C i wkleiłem zawartość wg. instrukcji zawartej pod adresem: http://www.fixitpc.p...ystemu-windows/

 

Co teraz?

 

PS: Przepraszam, sugerowałem się nazwą użytkownika, nie avatarem . Będę pamiętał.

[picasso]

Przy pierwszej próbie popełniłeś literówkę w komendzie. Przy drugiej próbie jest wszędzie "Nie można odnaleźć określonego pliku" = czy Ty na pewno zaimportowałeś prawidłowo pliki REG? Bez wykonania importu rejestru SetACL nie zdziała nic, bo robi akcje na nieistniejących kluczach.

 

 

 

.

[Albi07]

Fakt mój błąd. Dodałem do rejestru tylko jeden plik. O drugim zapomniałem.

Aktualne logi w załącznikach. Co dalej?

 

PS: Drugi plik miał nazwę taką:

05032012_161026.log

 

Nie mogłem go załączyć, bo wyskakiwał na forum taki komunikat: "Nie masz uprawnień do wysyłania tego typu plików"

Skopiowałem zawartość, zmieniłem nazwę i nazywa się Drugi log.txt

FSS.txt

Drugi log.txt

[picasso]

Wszystko wykonane prawidłowo, log z Farbar Service Scanner poświadcza odbudowę usług. Możemy przejść do ostatnich kroków natury czyszczącej:

 

1. Uporządkuj po używanych narzędziach: w OTL uruchom Sprzątanie, które skasuje z dysku składniki OTL. Resztę narzędzi stosowanych w diagnostyce ręcznie dokasuj przez SHIFT+DEL.

 

2. Uruchom systemowe Narzędzie oczyszczania dysku, widzę bowiem w Twoim logu stary folder C:\Windows.old.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Dla potwierdzenia zrób na wszelki wypadek jeszcze pełne skanowanie systemu za pomocą posiadanych Avast + MBAM. Zgłoś się tu z wynikami czy narzędzia coś wykryły.

 

 

 

Nie mogłem go załączyć, bo wyskakiwał na forum taki komunikat: "Nie masz uprawnień do wysyłania tego typu plików"

Skopiowałem zawartość, zmieniłem nazwę i nazywa się Drugi log.txt

 

W Załącznikach dopuszczam tylko rozszerzenie TXT, a ten raport z OTL to format LOG. Wystarczy zmiana rozszerzenia w nazwie.

 

 

 

.

[Albi07]

Wykonałem szybkie skanowanie oboma narzędziami i wygląda na to, że chyba wszystko w porządku. Zrobiłem wszystko co trzeba.

 

Bardzo dziękuję za pomoc. Nie wiem co bym bez Pani zrobił . Chyba znowu przeinstalowywałbym system (stąd Windows.old - zamierzam usunąć w najbliższym czasie). Tyle, że wtedy miałem problem, który jak widzę ma ktoś inny dzisiaj w tym temacie:

http://www.fixitpc.p...-pliku-rjlbdll/

Dla przybliżenia sytuacji powiem tylko tyle, że nie dało się włączyć żadnego programu, ponieważ zawsze wyskakiwał error. Jedynie winamp mi działał (co było dość dziwne). Nie miałem możliwości opisać problemu, a pliku dll nie było w sieci, więc instalowałem windowsa od nowa (na tyle mnie było stać).

 

Chcę jeszcze tylko prosić o polecenie jakiegoś sensownego programu podobnego do MBAM, ponieważ to trial na 14 dni, a nie stać mnie na kupno. Poleca Pani jakieś darmowe rozwiązanie? I czy taki program nie będzie się gryzł z avastem?

[picasso]

Na zakończenie:

 

1. Wykonaj istotne aktualizacje: KLIK. Do uzupełnienia masz całe Windows Update, Twój system nie ma SP1+IE9:

 

64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)

 

2. Dla bezpieczeństwa zmień hasła logowania w serwisach.

 

 

(stąd Windows.old - zamierzam usunąć w najbliższym czasie)

 

A jaki jest powód dla odkładania na "najbliższy czas"? Jak mówiłam, skorzystaj z Narzędzia oczyszczania dysku. Jeśli narzędzie tego jednak nie namierzy, to ręcznie usuń ten folder.

 

 

Chcę jeszcze tylko prosić o polecenie jakiegoś sensownego programu podobnego do MBAM, ponieważ to trial na 14 dni, a nie stać mnie na kupno. Poleca Pani jakieś darmowe rozwiązanie? I czy taki program nie będzie się gryzł z avastem?

 

Taki program już posiadasz: Avast. Nie jest potrzebny MBAM w wersji płatnej z rezydentem, gdyż Avast ze swoimi osłonami realizuje zbieżne funkcje, a złączenie obu tych programów z osłonami to niedobry krok. Za to możesz pobrać darmową wersję MBAM (bez rezydenta) i okresowo wykonywać ręczne skany.

 

 

Tyle, że wtedy miałem problem, który jak widzę ma ktoś inny dzisiaj w tym temacie:

http://www.fixitpc.p...-pliku-rjlbdll/

Dla przybliżenia sytuacji powiem tylko tyle, że nie dało się włączyć żadnego programu, ponieważ zawsze wyskakiwał error. Jedynie winamp mi działał (co było dość dziwne). Nie miałem możliwości opisać problemu, a pliku dll nie było w sieci, więc instalowałem windowsa od nowa (na tyle mnie było stać).

 

Dla jasności: tylko 32-bitowe programy się nie uruchamiały, bo na systemie 64-bit ta infekcja podstawia 32-bitowy plik ws2_32.dll w SysWOW64 a nie 64-bitowy w system32. Na przyszłość: mogłeś bez trudu uruchomić 64-bitową wersję Internet Explorer (skrót w Menu Start), udać się na forum i poprosić o pomoc. A plików z sieci nie pobieraj na wyczucie, ani nie stosuj dziwactw typu Dll-Files.com Fixer. Masz Windows 7 i to x64, jest to bardziej skomplikowany twór niż powiedzmy prymitywy XP, muszą być idealnie dobrane wersje i bity plików, a to może się stać tylko tymi metodami: wbudowane w system narzędzie SFC (KLIK) lub szczegółowa analiza wersji plików przez kogoś zaawansowanego w tych klockach.

 

 

 

.

[Albi07]

Co do uaktualnień: Załóżmy, że nie mam legalnego systemu. Czy jeśli pobrałbym ten SP1 do siódemki, to wymaga to potwierdzenia legalności i wykrywa pirata mimo sztucznie zaaplikowanego orginału?

[picasso]

Systemy "legalne inaczej" nadal mogą się aktualizować. Uruchom Windows Update z poziomu Panelu sterowania i wykonaj wszystkie ważne aktualizacje.

[Albi07]

Ok wielkie dzięki. Wszystko wyjaśnione . Temat do zamknięcia.

[picasso]

Drobna uwaga: nie przyjrzałam się zbyt uważnie na pierwszy zrzut ekranu z komunikatami Avast, zwyciężyło moje przyzwyczajenie do określonych ścieżek infekcji. Na tym zrzucie widzę, że ZeroAccess zmienił lokalizację i ścieżka to C:\Windows\assembly\temp\U a nie jak dawniej C:\Windows\assembly\tmp\U. W tej lokalizacji "tymczasowej" nadal mogą być drobne (już nieszkodliwe) resztki infekcji. Na wszelki wypadek dodaj mi jeszcze dir tego katalogu. W SystemLook x64 wklej do skanu:

 

:dir
C:\Windows\assembly\temp /s

 

 

 

.

Edytowane 5 Czerwca 2012 przez picasso
5.06.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso