Poważna infekcja - uruchamia się tylko tryb awaryjny

[bpm]

Dzień dobry,

 

dziś proszę o analizę logów z notebook'a z systemem Windows 7 x64. Z tego co widzę zainstalowany był fałszywy antywirus Smart Fortress 2012. System uruchamia się wyłącznie w trybie awaryjnym. To co udało mi się zaobserwować:

 

1. Po starcie wyświetla się informacja: "The system is booting in safemode - Minimal Services" i w efekcie system uruchamia się w tylko w trybie awaryjnym;

 

2. Nie można uruchomić pendrive - wyświetla następujący błąd: "F:\ Nie można odnaleźć aplikacji"

 

3. Nie działają pliki .exe po każdej próbie uruchomienia wyświetla się okno "Otwieranie za pomocą..." Jedynie co mogłem zrobić na chwile obecną to logi z OTL.scr

 

OTL

Extras

 

Bardzo proszę o analizę i informacje.

[picasso]

1. Po starcie wyświetla się informacja: "The system is booting in safemode - Minimal Services" i w efekcie system uruchamia się w tylko w trybie awaryjnym

 

Wygląda na to, że infekcja zedytowała plik startowy BCD i ustawiła permanentny boot w Trybie awaryjnym. Działanie ma na celu przymus wejścia w Tryb awaryjny, infekcja bowiem zmieniła powłokę dla Trybu z Wierszem polecenia:

 

O31 - SafeBoot: AlternateShell - services32.exe

 

 

3. Nie działają pliki .exe po każdej próbie uruchomienia wyświetla się okno "Otwieranie za pomocą..." Jedynie co mogłem zrobić na chwile obecną to logi z OTL.scr

 

Smart Fortress przejęło skojarzenia EXE:

 

O37 - HKU\S-1-5-21-2743808155-3546654969-808456240-1001\...exe [@ = B7E85] -- "C:\ProgramData\B7E85886000164850062E278A60145BE\B7E85886000164850062E278A60145BE.exe" -s "%1" %*

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O37 - HKU\S-1-5-21-2743808155-3546654969-808456240-1001\...exe [@ = B7E85] -- "C:\ProgramData\B7E85886000164850062E278A60145BE\B7E85886000164850062E278A60145BE.exe" -s "%1" %*
O4 - HKLM..\Run: [4349853.exe] C:\Windows\Temp\4349853.exe ()
O4 - HKLM..\Run: [MozillaAgent] C:\Windows\Temp\_ex-68.exe (X-Ways Software Technology AG)
O4 - HKLM..\Run: [systemup] C:\Windows\systemup.exe ()
O4 - HKLM..\Run: [tray_ico]  File not found
O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-10-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico1] C:\Windows\update.tray-9-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico2]  File not found
O4 - HKLM..\Run: [tray_ico3]  File not found
O4 - HKLM..\Run: [tray_ico4]  File not found
O4 - HKLM..\Run: [wxpdrv] C:\Windows\services32.exe ()
O7 - HKU\S-1-5-21-2743808155-3546654969-808456240-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
IE - HKU\S-1-5-21-2743808155-3546654969-808456240-1001\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No CLSID value found
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=dword:00000001
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart Fortress 2012]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page Restore"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}]
 
:Files
C:\Windows\update.tray*
C:\Windows\unrar.exe
C:\Windows\loader2.exe_ok
C:\Windows\Tasks\PDVDServ.EXE_1401070597.job
C:\Users\Kasia\AppData\Roaming\wabyz.exe
C:\Users\Kasia\AppData\Roaming\tsa.exe
C:\ProgramData\B7E85886000164850062E278A60145BE
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Po restarcie EXE zaczną działać.

 

2. Start > w polu szukania wpisz msconfig > w karcie Rozruch odznacz "Bezpieczny rozruch":

 

 

3. Uruchom GrantPerms x64, w oknie wklej:

 

C:\Windows\system32\drivers\etc\hosts

 

Klik w Unlock

 

4. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

5. Odinstaluj adware: Conduit Engine, DAEMON Tools Toolbar, DealPly, SFT_Polska Toolbar, FoxTab FLV Player. Powtórz usuwanie w menedżerze dodatków Firefox, są dwie dodatkowe pozycje: Babylon + IncrediMail MediaBar 2 Toolbar. Na koniec zastosuj AdwCleaner z opcji Delete.

 

6. Wygeneruj nowy log z OTL z opcji Skanuj (bez Extras) + Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. Podaj log z wynikami usuwania z OTL i AdwCleaner.

 

 

 

.

[bpm]

Wszystko wykonane zgodnie z zaleceniami. Podaję logi:

 

OTL

AdwCleaner

FSS

[picasso]

Zapomniałeś podać log z usuwania OTL. Jest w katalogu C:\_OTL. Mamy tu niestety jeszcze pracę, infekcja jest nadal aktywna.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\update.*
C:\Users\Kasia\AppData\Roaming\Yandex
sc config wscsvc start= delayed-auto /C
sc config wuauserv start= auto /C
 
:OTL
FF - prefs.js..browser.search.defaultenginename: "MyStart Search"
IE - HKU\S-1-5-21-2743808155-3546654969-808456240-1001\..\URLSearchHook: {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - No CLSID value found
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3:64bit: - HKU\S-1-5-21-2743808155-3546654969-808456240-1001\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Pasek Nortona w IE jest uszkodzony, możliwe że Norton główny też ma coś naruszone. Odinstaluj program, następnie z pozioimu Trybu awaryjnego popraw przez Norton Removal Tool.

 

3. Wykonaj nowy log z OTL z opcji Skanuj + dołącz ten z usuwania w punkcie 1.

 

 

.

[bpm]

Zapomniałeś podać log z usuwania OTL

 

Faktycznie zapomniałem ale już się poprawiam, oto on:

 

Log usuwanie 1

 

Pasek Nortona w IE jest uszkodzony, możliwe że Norton główny też ma coś naruszone. Odinstaluj program, następnie z pozioimu Trybu awaryjnego popraw przez Norton Removal Tool

 

Samego Norton chyba nie było tylko jakieś pozostałości, bo przy próbie odinstalowania wyświetliło błąd: "Wystąpił błąd podczas próby deinstalacji NIS... Czy chcesz usunąć NIS z listy Programy i funkcje". Resztę załatwił Norton Removal Tool.

 

Nowe logi:

 

OTL

Log usuwanie 2

[picasso]

Norton raczej został uszkodzony przez infekcję (taki typ tu był). Wszystko zrobione, z wyjątkiem rekonfiguracji usług Windows (OTL miał problem z przetworzeniem konsolowych poleceń).

 

1. Mini poprawka na szczątek paska Norton. W OTL w polu Własne opcje skanowania / skrypt wklej co poniżej i klik w Wykonaj skrypt.

 

:OTL
O3 - HKU\S-1-5-21-2743808155-3546654969-808456240-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.

 

2. Porządki po narzędziach: Sprzątanie w OTL + Uninstall w AdwCleaner.

 

3. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator i dla usług Centrum zabezpieczeń + Windows Update przyznaj Typy uruchomienia Automatycznie (opóźnione uruchomienie). Zastartuj usługi przyciskami.

 

4. Klasyczne czyszczenie folderów Przywracania systemu: KLIK.

 

5. Wykonaj skanowanie za pomocą Kaspersky Virus Removal Tool. W konfiguracji ustaw wszystkie obszary do skanu, to owszem potrwa długo. Zaprezentuj raport z wynikami typu "Detected" (inne typy mnie nie interesują).

 

 

 

.

[bpm]

Skan wykonany:

 

Log detected

[picasso]

1. Przez SHIFT+DEL skasuj te foldery z dysku:

 

C:\Program Files\Temp

C:\Documents and Settings\Kasia\AppData\Roaming\IDM\DwnlData\Kasia\Flash-Player_228

 

Kasperskiego możesz już usunąć.

 

2. Do wykonania aktualizacje: KLIK. System nie ma SP1 i widoczne następujące wersje aplikacji:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 23
"{AC76BA86-7AD7-1045-7B44-AA0000000001}" = Adobe Reader X - Polish
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Mozilla Firefox (3.6.27)" = Mozilla Firefox (3.6.27)

 

3. Dobierz jakiegoś nowoczesnego antywirusa tutaj.

 

4. Wymiana haseł logowania w serwisach.

 

 

 

.

[bpm]

Zrobione. Jeśli to wszystko to temat można zamknąć. Ślicznie dziękuję za pomoc oraz informacje. Pozdrawiam