Prośba o analizę logów po dezynfekcji TDSSKiller i MBAM

[bpm]

Witam,

 

komputer z systemem Windows XP, na którym objawy występowały takie:

 

- po każdym starcie systemu uruchamiał się Active Desktop (biały pulpit z informacją czy chcę go wyłączyć);

- jednocześnie klikając PKM na pulpicie nie można było uruchomić Właściwości;

- system był bardzo powolny, start czegokolwiek trwał kilka minut;

- po podłączeniu komputera do sieci, internet działał mimo informacji "Ograniczenie lub brak łączności";

- nie działały żadne przeglądarki;

 

Tyle co udało mi się zaobserwować. Po przeskanowaniu MBAM oraz TDSSKiller oraz dezynfekcji objawy zniknęły, wklejam logi z przeprowadzonego czyszczenia. Jednocześnie bardzo proszę o analizę logów z OTL oraz Gmer czy jeszcze coś zostało. Zauważyłem również, że w zeszłym roku miało miejsce użycie Combofix.

 

OTL

Extras

Gmer

TDSSKiller

MBAM

[picasso]

System był zainfekowany rootkitem ZeroAccess. To nie koniec. TDSSKiller nie usuwa wszystkich elementów / szkód po infekcji. Nadal jest uszkodzony Winsock, a jego reset jest równoznaczny również z utratą informacji ESET w Winsock. Tym jednak nie ma się co przejmować, bardzo stary ESET i ma kwalifikację do deinstalacji.

 

1. Uruchom GrantPerms i w oknie wklej:

 

C:\WINDOWS\System32\drivers\etc\hosts

 

Klik w Unlock.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\WINDOWS\$NtUninstallKB39284$
C:\WINDOWS\tasks\systems.job
C:\WINDOWS\System32\c_726560.nls
C:\Documents and Settings\Barbara\c9fce03a-5689.exe
C:\Documents and Settings\All Users\Dane aplikacji\F4D55F2C000BA7F555F08C1E0CDF108C
attrib -r -s -h C:\WINDOWS\System32\drivers\etc\hosts /C
rd /s /q C:\TDSSKiller_Quarantine /C
netsh winsock reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
 
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Barbara\USTAWI~1\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

3. Uruchom AdwCleaner z opcji Delete.

 

4. Wygeneruj nowy log z OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. Dołącz logi powstałe w punktach 2 + 3.

 

 

 

 

 

.

[bpm]

Dziękuję za informacje i pomoc.

 

Tym jednak nie ma się co przejmować, bardzo stary ESET i ma kwalifikację do deinstalacji.

 

Tak ESET za moment wyleci.

 

Logi gotowe:

 

OTL skrypt

AdwCleaner

OTL nowy

FSS

[picasso]

Wszystko zostało wykonane. Kolejna porcja zadań:

 

1. Mini poprawka na odpadki plikowe w Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Barbara\Dane aplikacji\Mozilla\Firefox\Profiles\0waeu0ao.default\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01}
C:\Documents and Settings\Barbara\Dane aplikacji\Mozilla\Firefox\Profiles\0waeu0ao.default\searchplugins\winamp-search.xml

 

Klik w Wykonaj skrypt. Od razu porządki po narzędziach, czyli Sprzątanie w OTL + Uninstall w AdwCleaner.

 

2. Odtworzenie całkowicie skasowanej usługi Centrum zabezpieczeń. Otwórz Notatnik i wklej:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Centrum zabezpieczeń"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\
  6d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="LocalSystem"
"Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\
  00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

3. Czyszczenie folderów Przywracania systemu: KLIK.

 

4. Ważne aktualizacje: KLIK. Lista zainstalowanych pokazuje następujące wersje:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1033-7B44-A70500000002}" = Adobe Reader 7.0.5
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{DBC3FDEC-D5F4-439C-9A18-EF454A74E3DE}_is1" = NOD32 FiX
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player
"Mozilla Firefox (3.6.28)" = Mozilla Firefox (3.6.28)
"NOD32" = NOD32 antivirus system

 

Przypominam: deinstalacja przestarzałego ESET i jego cracka. Po tym poprawka z poziomu Trybu awaryjnego narzędziem ESET Uninstaller.

 

 

.

[bpm]

Wszystko zrobione, wszystko chodzi jak należy, temat do zamknięcia. Dziękuję serdecznie.