Nie działa PPM

[adaman]

Witam

Jak w temacie, po kliknięciu na pulpit,bądź ikony pulpitu nie działa PPM. Nie można też uruchomić Zapory Windows i Defendera. Bawiłem się programami do modernizacji telefonu, podczas instalacji Comodo blokował niektóre z nich, więc go wyłączyłem. Po dniu, podczas przeglądania stron internetowych (Facebook) nagle ekran się zablokował(zrobił się szary). Po twardym restarcie system wstał, wpisałem hasło logowania i wyskoczyła plansza, z której wyczytałem, że za ściąganie muzy mam zapłacić 50 Euro i dostanę kod odblokujący.Próbowałem uruchomić system w trybie awaryjnym i nic,po wklepaniu hasła szary ekran, ale udało mi się uruchomic menadżera zadań,uruchomiłem explorer.exe i commodo. Przeskanowałem system i znalazł jakiś syf.Zalogowałem się do konta.Ze strony producenta pobrałem Microsoft Security Essentials,przeskanowałem system i znalazł jeszcze 2 konie.Po tych wszystkich zabiegach zauważyłem problemy z PPM,zaporą i Defender

System to Windows7 Ultimate 32-bit,laptop HP Compaq 6820s

Pozdrawiam adaman

Extras.Txt

OTL.Txt

GMER log.txt

[Landuss]

Są tu ślady infekcji rootkitem Zero Access. Wykonaj poniższe kroki po kolei:

 

1. Uruchom zgodnie z wytycznymi narzędzie ComboFix i zachowaj raport z programu.

 

2. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

 

3. Wstaw na forum raport z działania ComboFIx, nowe logi z OTL + Gmer i z Farbar Service Scanner (zaznacz wszystko do skanowania)

[adaman]

Witam

wykonałem całą procedurę przygotowawczą do wykonania powyższych kroków, uruchamiam Combofix i program rozpoczyna skanowanie, na ekranie pojawia się komunikat: Skanowanie w poszukiwaniu zainfekowanych plików . . .

Zwykle operacja ta nie zajmuje więcej niż 10 minut

W przypadku mocno zainfekowanych komputerów czas skanowania może się nieznacznie przedłużyć, miga kursor i nic się nie dzieje.Komputer zostawiłem na całą noc, rano wyskakuje komunikat: program przestał działać. Czy mam wykonywać następne kroki?

[Landuss]

Uruchom narzędzie raz jeszcze. Możesz to zrobić w trybie awaryjnym. Zadbaj tez by programy zabezpieczające były powyłączane na czas działania programu.

[adaman]

W trybie normalnym i w awaryjnym jest cały czas to samo. Procesor pracuje na 50%, a combofix nie skanuje.Miałem zainstalowany Commodo Internet, nie mogłem go wyłączyć więc go odinstalowałem, ale zauważyłem, że przy uruchamianiu systemu ładują się jakieś biblioteki (chyba z commodo) Podobny problem mam na komputerze stacjonarnym (zablokowany komp po zalogowaniu-ten sam ekran startowy), ale po przywróceniu systemu i przeskanowaniu Malwarebytes Anti-Malware znalazł jakiś syf i komp chodzi.Czy mogę wrzucić logi w tym temacie czy zakładać nowy wątek?

[picasso]

1. Po pierwsze, przygotuj system do prawidłowego uruchomienia narzędzi antyrootkit, czyli usuń sterownik SPTD narzędziem SPTDinst: KLIK.

 

2. Zastosuj Kaspersky TDSSKiller, pozostaw w nim wszystkie akcje domyślnie dobrane przez narzędzie. Po leczeniu zresetuj system.

 

3. Wykonaj logi z punktów 2+3 z poprzedniej instrukcji (pomijając oczywiście ComboFix). Dostarcz log wygenerowany przez TDSSKiller w punkcie 2.

 

 

 

.

[adaman]

Witam

w wynikach Kaspersky TDSSKiller przeskanowało 442 pliki i nic nie było,

gmer.txt

Extras.Txt

FSS.txt

OTL.Txt

[picasso]

adaman, to nie jest pełny zestaw logów, zapomniałeś o logu ze znacznikami [sR]:

 

2. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

 

GMER nadal pokazuje link symboliczny rootkita C:\Windows\$NtUninstallKB43816$.

 

1. Uruchom GrantPerms i w oknie wklej:

 

C:\Windows\$NtUninstallKB43816$

 

Klik w Unlock.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

fsutil reparsepoint delete C:\Windows\$NtUninstallKB43816$ /C
C:\Windows\$NtUninstallKB43816$
C:\Windows\System32\dds_trash_log.cmd
C:\Users\Public\Documents\19792079
C:\Users\Ania\AppData\Roaming\dclogs
C:\Users\Ania\AppData\Local\Temp*.html
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}]
 
:OTL
O20 - HKLM Winlogon: UserInit - (C:\Users\Ania\AppData\Local\Temp\Windows\Nqi0Jbig4ym5\taskhost.exe) -  File not found
O20 - HKLM Winlogon: UserInit - (C:\Users\Ania\AppData\Local\Temp\Windows\Nqi0Jbig4ym5\taskhost.exe) -  File not found
O20 - HKLM Winlogon: UserInit - (C:\Users\Ania\AppData\Local\Temp\Windows\Nqi0Jbig4ym5\taskhost.exe) -  File not found
O20 - HKLM Winlogon: UserInit - (C:\Users\Ania\AppData\Local\Temp\Windows\Nqi0Jbig4ym5\taskhost.exe) -  File not found
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\dsNcAdpt.dll -- (s616mgmt)
NetSvcs: s616mgmt - File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Ania\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Ania\AppData\Local\Temp\ALSysIO.sys -- (ALSysIO)
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

3. Odbuduj brakujący plik HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

 

#	127.0.0.1       localhost

#	::1             localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do katalogu C:\Windows\system32\drivers\etc.

 

4. Odinstaluj śmiecia paskowego AccmeWare DB Toolbar.

 

5. Wykonaj rekonstrukcję skasowanych usług Zapory (BFE i MpsSvc): KLIK.

 

6. Wygeneruj do oceny nowe logi: OTL z opcji Skanuj (już bez Extras), GMER i Farbar Service Scanner. Dołącz log z wynikami przetwarzania skryptu w punkcie 2. Ponadto, jest ukryty plik G:\Autorun.inf, otwórz go w Notatniku i przeklej co ma w środku.

 

 

 

 

.

[adaman]

Uff. Miałem problemy z rekonstrukcją zapory.Źle lokowałem SetACL chwila przerwy od kompa dobrze mi zrobiła i mam już wszystko. Plik G:\Autorun.ini znajduje się na partycji RECOVERY. Dodałem zaległy log z SR

FSS.txt

gmer log.txt

OTL.Txt

autorun G.txt

05222012_145102.txt

log SR.txt

[picasso]

Nadal nie dostarczyłeś wyników filtrowania do znaczników [sR] z przeprowadzonego wcześniej polecenia SFC. Sprawa zdaje się być rozwiązana na poziomie infekcji, ale jedno z zadań wykonałeś niepoprawnie. Log z OTL nadal notuje brak pliku HOSTS:

 

Hosts file not found

 

A dlatego, że utworzyłeś plik pod złą nazwą host zamiast hosts:

 

[2012-05-22 15:03:29 | 000,000,056 | ---- | M] () -- C:\Windows\System32\drivers\etc\host

 

Poza tym, przypadkiem ominęłam blokadę menu kontekstowego (dlatego masz problem z prawoklikiem):

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewContextMenu = 1

 

 

1. Ręcznie zmień nazwę pliku HOSTS. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewContextMenu = 1
 
:Commands
[Reboot]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, menu kontekstowe powinno zacząć działać.

 

2. Odinstaluj w prawidłowy sposób ComboFix. Klawiasz z flagą Windows + R i w polu Uruchom wklej komendę:

 

"ścieżka dostępu do ComboFix.exe" /uninstall

 

Gdy ukończy, zastosuj Sprzątanie w OTL usuwające z dysku składniki programu. Ręcznie dokasuj inne używane narzędzia.

 

3. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw wynikowy log, o ile coś zostanie znalezione.

 

 

 

 

.

[adaman]

log skanowania całego kompa

mbam-log-2012-05-22 (22-41-16).txt

[picasso]

Wyniki MBAM trudno mi zdefiniować na 100%, niektóre zdają się być omyłkową detekcją (np. Subtitle Workshop czy wtyczka Far Manager), ale "witaminy" to zawsze podejrzane. Z pewnością usuń Malware.Trace w rejestrze, nośniki adware PUP.OfferBundler.ST + PUP.Adware.RelevantKnowledge oraz wszystkie keygeny / serial.exe / cracki. Finalizacja czynności:

 

1. Nie zauważyłam na Twojej liście zainstalowanych pozycji Deinstalator Strony V9. Usuń to.

 

2. Do nadrobienia aktualizacje: KLIK. Z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 26
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Foxit Reader" = Foxit Reader

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Dla bezpieczeństwa prewencyjnie zmień hasła logowania w serwisach.

 

 

Podsumuj wykonanie zadań i stan systemu, czy wszystko zdaje się działać prawidłowo.

 

 

 

.

[adaman]

witam

wszystko działa prawidłowo z wyjątkiem Windows Update. Podczas próby pobierania aktualizacji wyskakuje kod błędu 80096001. Robiłem to co było zalecane przez Microsoft i dalej nic

[picasso]

Podczas próby pobierania aktualizacji wyskakuje kod błędu 80096001. Robiłem to co było zalecane przez Microsoft i dalej nic

 

Na forum już rozwiązaliśmy kilka takich przypadków (to nie zawsze występuje przy infekcji ZeroAccess). Problemem są naruszone przez ZeroAccess uprawnienia w ścieżce:

 

C:\Windows\System32\config\systemprofile\AppData

 

Wejdź do folderu C:\Windows\System32\config\systemprofile, z prawokliku na AppData wybierz Właściwości > Zabezpieczenia > Zaawansowane.

- W karcie Uprawnienia na liście kont ma być: SYSTEM + Administratorzy + Twoje konto z Pełną kontrolą

- W karcie Właściciel bieżącym ma być grupa Administratorzy.

Jeśli czegoś brakuje popraw, jeśli wszystko już tak wygląda, mimo to kliknij w "Zmień uprawnienia" i na dole zaznacz "Zastąp wszystkie uprawnienia obiektów podrzędnych uprawnieniami dziedziczonymi z tego obiektu". Po zatwierdzeniu operacji zwróć uwagę, czy przy resecie uprawnień jakiś szczególny katalog zwraca błąd = podaj który.

 

 

 

 

.

[adaman]

moje okno wygląda tak jak w załączniku. Przy próbie zmiany uprawnień wyskakuję Odmowa dostępu i nic się nie zmienia

[picasso]

No tak, ale co jest w karcie Właściciel aktualnie? W pierwszej kolejności należy przestawić Właściciela na Administratorów, by móc zedytować pozycje w karcie Uprawnienia.

[adaman]

czy o tą kartę chodziło? Jeszcze jedno, dlaczego wśród nazwy grup i użytkowników jest TWóRCA-WŁAŚCICIEL, a nie ANIA-WŁAŚCICIEL

[picasso]

Skoro się mnie pytasz czy o tę kartę chodzi to co Ty właściwie robiłeś wcześniej? Pokaż mi jeszcze zrzut z pierwszej karty Uprawnienia. Masz doprowadzić wygląd tej karty do stanu:

 

 

 

PS. Co do TWÓRCA-WŁAŚCICIEL to wszystko jest OK w rozumieniu nazewnictwa grupowego. To co innego niż konto Ania, które zresztą ma zostać dodane na listę.

 

 

 

.

[adaman]

zrzut karty

[picasso]

Klik w Zmień uprawnienia, na dole zaznacz "Zastąp wszystkie uprawnienia obiektów podrzędnych uprawnieniami dziedziczonymi z tego obiektu" + odznacz "Dołącz uprawnienia dziedziczne ...". Przy odznaczaniu dziedziczenia padnie pytanie co robić, kliknij w przycisk Dodaj. W oknie pojawi się lista, na dole ponownie zaznacz "Zastąp wszystkie uprawnienia obiektów podrzędnych uprawnieniami dziedziczonymi z tego obiektu" + odznacz "Dołącz uprawnienia dziedziczne ...". Wszystko pozatwierdzaj. I w tym momencie mnie interesuje co zwróci Odmowę dostępu, czyli konkretna ścieżka / nazwa folderu podana na komunikacie. Poza tym, dodaj po operacji nowe zrzuty ekranu z kart Uprawnienia + Właściciel.

 

 

 

 

.

[adaman]

zrzuty

[picasso]

Z prawokliku na te foldery:

 

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft

C:\Windows\System32\config\systemprofile\AppData\LocalLow

C:\Windows\System32\config\systemprofile\AppData\Roaming

 

Pobierz Właściwości > Zabezpieczenia > Zaawansowane. Sprawdź kto jest Właścicielem, jeśli nikt to dodaj Administratorów. Następnie w karcie Uprawnienia, jeżeli lista jest pusta, dodaj po kolei konta: SYSTEM, Administratorzy, Ania i dla każdego przyznaj Pełną kontrolę, na dole zaznacz "Zastąp wszystkie uprawnienia obiektów podrzędnych uprawnieniami dziedziczonymi z tego obiektu". Podaj wyniki co się dzieje.

 

 

.

[adaman]

przy próbie nadania uprawnień wyskakuje odmowa

[picasso]

Spisz sobie wszystkie foldery zwracające błąd i kontynuuj, a dla folderów pokazanych na komunikacie z "Odmową dostępu" powtarzaj czynności przeze mnie podane we wcześniejszym poście.

[adaman]

Ufff. Wykonałem wszystko (prawie) jak zalecałaś, z wyjątkiem jednej ścieżki C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 w której jest 60 folderów do których trzeba nadać uprawnienia. Czy jest możliwość zrobienia tego automatycznie? Zaktualizowałem system, wszystko tak jak trzeba.Przypadkiem zajrzałem do właściwości cmd i oto co zobaczyłem: rys. poniżej. Czy jest to niepokojące? Zaglądałem dlatego,że w stacjonarnym chciałem uruchomić cmd.exe jako administrator i nie mam takiej opcji. Zakładać nowy wątek odnośnie stacjonarnego, czy ciągniemy dalej w tym?

Picasso jesteś wielka