Zainfekowany system windows/ nie można otworzyć Windows defender

[picasso]

Nadal brak jest dostępu w przypadku zapisu plików pobierania itp. Po kliknięciu prawym na pulpicie jedyną opcją jest stworzenie folderu z takim wizerunkiem administratora. Cóż nie działa też parę rzeczy typu WMP, Catalyst Control Center (błąd) i przy starcie nadal błąd jako settings.ini jest używany przez inny proces. Zaczynam się obawiać, że jedynym wyjściem będzie przeinstalowanie systemu

 

Wariant infekcji ZeroAccess, który posiadałeś, to ten najgorszy. Aktualne są lżejsze i prostsze do usunięcia. Twój wariant mógł zepsuć poważnie uprawnienia w określonych ścieżkach, choć nigdy jeszcze się nie zdarzyło na forum, by ruszył Desktop użytkownika. Sprawdź co się stanie, gdy: z poziomu Trybu awaryjnego utworzysz nowe konto użytkownika, zalogujesz się na to nowe konto, czy problemy ujawniają się na nowym koncie?

 

 

(usługa Windows Defender nadal nie działa)

 

Wg Farbar Service Scanner nie ma uszczerbku usługi Windows Defender:

 

Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is set to Demand. The default start type is Auto.

 

Po prostu usługa nie jest uruchomiona, ma wyasygnowany Typ uruchomienia Ręczny a nie Automatyczny, co ewentualnie sobie skorygujesz samodzielnie w przystawce services.msc. Windows Defender jest słaby i raczej należy go wyłączać na korzyść pełnego oprogramowania antywirusowego aniżeli dbać, by chodził na auto. Zresztą antywirusy mają planowane wyłączanie go, by nie kolidował.

 

 

 

.

[Seat]

Utworzyłem nowe konto Administratora, zalogowałem się i problemów nie ma! Tzn. mogę zapisywać tworzyć pliki na pulpicie itp. Zapora działa, Windows defender nie (ale to chyba tak jak napisałaś co innego) i chyba ogólnie wszystko wydaje się być ok! Tylko teraz pytanie czy gdzieś na dysku jest ten rootkit i ewentualnie jak się go pozbyć ;/

[picasso]

Utworzyłem nowe konto Administratora, zalogowałem się i problemów nie ma!

 

Czyli rootkit naruszył uprawnienia w C:\Users\Stare konto w głąb. Nie warto się bawić w reset uprawnień, by konto ożywić, już to przerabiałam wcześniej na kilku innych systemach zaprawionych ZeroAccess i robota była skomplikowana. Pozbądź się tego wadliwego konta: skasuj je przez Panel sterowania, następnie wejdź do folderu C:\Users i sprawdź ile z folderów tego starego konta się ostało i podaj mi precyzyjne ścieżki. Te foldery będą stanowić większy problem przy usuwaniu ręcznym, ze względu na czystą listę ACL. Będzie wymagany ręczny reset uprawnień. Podam jak, gdy uzyskam listę zablokowanych obiektów.

 

 

Windows defender nie (ale to chyba tak jak napisałaś co innego)

 

Skoro tak za nim płaczesz, to przetestuj sobie czy działa uruchamianie usługi Windows Defender. Jeśli test wypadnie pomyślnie, nie zajmuj się nim, gdyż po prostu nie będzie żadnej jawnej usterki (tylko kwestia konfiguracji).

 

Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator

 

Na liście druklik w usługę Windows Defender i usługę uruchom przyciskiem. Następnie uruchom aplikację Windows Defender. Jeśli zastartuje bez błędu, jak mówię: Typu uruchomienia usługi Windows Defender należy przestawić z bieżącego Ręczny na Automatyczny.

 

 

Tylko teraz pytanie czy gdzieś na dysku jest ten rootkit i ewentualnie jak się go pozbyć ;/

 

Czynny ZeroAccess został usunięty, a masz dowód w postaci tego, że byłeś zdolny zresetować katalog sieciowy Winsock (komendę zadałam w skrypcie do OTL). Przy czynnym rootkicie nie jest to możliwe. Natomiast te odczyty "hidden" w GMER są owszem niepokojące i nie wiem co je generuje. Jeszcze na wszelki wypadek sprawdź czy GMER uruchomiony spod nowego świeżo założonego konta też zwraca te odczyty.

 

 

 

.

[Seat]

Z tego co widzę na C:\Users to widnieje tylko moje nowe konto oraz folder "Publiczny". Brak folderu starego konta pod nazwą "Administrator". Z tego co przeglądam w folderze publicznym pod "Dokumenty publiczne" mam moje gry, których broń Boże nie chce usuwać , dwa foldery z muzyką i filmami które też dobrze by się ostały i reszta to te windowsowe obrazki.

Za chwilę biorę się by raz jeszcze wygenerować log z GMER.

 

Od razu mam pytanie czy jest możliwość, żeby sprawdzić skąd ew. wziął się zeroAcces na komputerze (chodzi mi o źródło)? Czy to za dużo zachodu i nie warto? I jaki polecisz anty wirus by na przyszłość uniknąć takich akcji najlepiej darmowy.

 

 

LOG -> http://wklej.org/id/774012/

[picasso]

W kwestii tego odczytu w GMER: przypomniałam sobie, że na forum były dwa przypadki z niedopasowanym "rootkitem" widocznym w GMER na platformie Vista. Tu pierwszy z tematów KLIK, w którym log z GMER ma identyczne zwroty "hidden". Po aktualizacji systemu do stanu SP2 objawy ustąpiły. I to tu będzie prowadzone, ale nie ze względu na ten odczyt w GMER, tylko krytyczny poziom Twoich zabezpieczeń:

 

Windows Vista Ultimate Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)

 

 

Od razu mam pytanie czy jest możliwość, żeby sprawdzić skąd ew. wziął się zeroAcces na komputerze (chodzi mi o źródło)? Czy to za dużo zachodu i nie warto?

 

Nie ma takiej możliwości, by precyzyjnie wskazać gdzie to nabyłeś, nie sposób odtworzyć co robiłeś / jakie witryny odwiedzałeś / co pobierałeś, zaś loader trojana zaraz po uruchomieniu samokasuje się z dysku. Ogólnie rzecz biorąc ZeroAccess rozprzestrzenia się via linki URL i pliki typu podrobiona wtyczka Flash etc. To było przypuszczalne źródło, coś kliknąłeś.

 

 

I jaki polecisz anty wirus by na przyszłość uniknąć takich akcji najlepiej darmowy.

 

To jest trudne pytanie ze względu na to, że wg przypadków z forum trojan ZeroAccess przeszedł wesoło przez wszystkie wiodące marki komercyjne i darmowe. Nie robiło mu różnicy z czym ma do czynienia, spustoszył system, spustoszył antywirusy. Z darmowych proponuję Ci Avast, ale jeszcze nic nie instaluj, w pierwszej kolejności:

 

 

---

1. Porządki po narzędziach: w AdwCleaner zastosuj Uninstall, odinstaluj skaner Kasperskiego (o ile już to się nie stało), przez SHIFT+DEL skasuj foldery C:\TDSSKiller_Quarantine + C:\Windows\ERDNT. Odinstaluj w prawidłowy sposób ComboFix. Pobierz go ponownie na Pulpit nowego konta, klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

"C:\Users\Nowe konto\Desktop\ComboFix.exe" /uninstall

 

Gdy komenda się ukończy, w OTL uruchom Sprzątanie.

 

2. Do wykonania kompletne aktualizacje systemowe: KLIK. Czyli SP2+IE9 i wszystkie łaty z Windows Update wydane po, a także aktualizacja poniżej wyliczonych aplikacji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java™ 6 Update 29
"{5335DADB-34BA-4AE8-A519-648D78498846}" = Skype™ 5.3
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

Gdy wszystko ukończysz, zrób nowy log z GMER i zobaczymy czy "rootkit" nadal widoczny.

 

 

 

.

[bojawiem]

Piszę w imieniu kolegi/autora tematu.

 

"

Po usunięciu Combofix i innych wymienionych wykonałem czyszczenie otl i zresetowało kompa i nie działa internet, trwa identyfikacja sieci.

 

Problem to brak uruchomionej usługi klient dhpc. Po wejściu w usługi jako admin i odszukaniu na liście klient dhcp biorę uruchom lecz wyskakuje nast. błąd: "system windows nie może uruchomić usługi klient dhcp na komputerze lokalnym błąd 1075: usługa zależności nie istnieje lub została oznaczona do usunięcia".

 

Próbowałem przywracać system i reinstalować kartę sieciowa - bez skutecznie

 

Próba uruchomienia usługi autowykrywania serwera proxy w sieci web winhttp (zależnej od tamtej) zwraca błąd 1068 uruchomienie usługi zależności lub grupy nie powiodło się.

"

 

Zaznaczam jeszcze raz, że zarejestrowałem się i napisałem powyższy post tylko i wyłącznie na prośbę kolegi, który niestety ma problem uniemożliwiający zrobienie mu tego samemu.

 

Pozdrawiam

[picasso]

Wpadam tu tylko na szybko. Wygląda na to, że "coś" (mógł to być antywirus) skasowało usługę zależności:

 

 

Problem to brak uruchomionej usługi klient dhpc. Po wejściu w usługi jako admin i odszukaniu na liście klient dhcp biorę uruchom lecz wyskakuje nast. błąd: "system windows nie może uruchomić usługi klient dhcp na komputerze lokalnym błąd 1075: usługa zależności nie istnieje lub została oznaczona do usunięcia".

 

Usługa DHCP zależy od usług sterownikowych: Tdx, NSI i Afd. Odtwarzaj usługi na poziomie rejestru:

 

1. Otwórz Notatnik i wklej:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD]
"DisplayName"="Ancilliary Function Driver for Winsock"
"Group"="PNP_TDI"
"ImagePath"=hex(2):5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,00,72,\
  00,69,00,76,00,65,00,72,00,73,00,5c,00,61,00,66,00,64,00,2e,00,73,00,79,00,\
  73,00,00,00
"Description"="Ancilliary Function Driver for Winsock"
"ErrorControl"=dword:00000001
"Start"=dword:00000001
"Type"=dword:00000001
"BootFlags"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Enum]
"0"="Root\\LEGACY_AFD\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdx]
"DisplayName"="@%SystemRoot%\\system32\\tcpipcfg.dll,-50004"
"Group"="PNP_TDI"
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
  52,00,49,00,56,00,45,00,52,00,53,00,5c,00,74,00,64,00,78,00,2e,00,73,00,79,\
  00,73,00,00,00
"ErrorControl"=dword:00000001
"Start"=dword:00000001
"Tag"=dword:00000004
"Type"=dword:00000001
"DependOnService"=hex(7):54,00,63,00,70,00,69,00,70,00,00,00,00,00
"Description"="@%SystemRoot%\\system32\\tcpipcfg.dll,-50004"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdx\Enum]
"0"="Root\\LEGACY_TDX\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nsi]
"DisplayName"="@%SystemRoot%\\system32\\nsisvc.dll,-200"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
  00,65,00,00,00
"Description"="@%SystemRoot%\\system32\\nsisvc.dll,-201"
"ObjectName"="NT Authority\\LocalService"
"ErrorControl"=dword:00000001
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):6e,00,73,00,69,00,70,00,72,00,6f,00,78,00,79,00,00,00,\
  00,00
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\
  00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
  67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
  00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nsi\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  6e,00,73,00,69,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

2. Restart komputera.

 

3. Niestety, odbyło się to:

 

Próbowałem przywracać system i reinstalować kartę sieciowa - bez skutecznie

 

Przywracanie systemu oznacza, że mogły zostać odkręcone wszystkie pożądane korekty / zmiany, usuwane uprzednio wpisy, w tym te od infekcji, mogły wrócić na miejsce. Wszystkie logi od początku proszę do wglądu (OTL + GMER + AdwCleaner z opcji Search + Farbar Service Scanner).

 

 

.

[Seat]

Naprawdę wielkie dzięki za dotychczasową pomoc Przesyłam LOGI:

GMER http://wklej.org/id/774592/

adwCleaner http://wklej.org/id/774594/

FSS http://wklej.org/id/774597/

OTL http://wklej.org/id/774601/ i http://wklej.org/id/774602/

 

Jeszcze coś zauważyłem po tym restarcie od początku jak by coś muli niektóre rzeczy np. zanim wybiorę opcję przywracania systemu upływa ~20 sek, również ikonka od sieci pokazuje brak połączenia przez ten czas chociaż tak naprawdę połączenie jest zawarte. Oprócz tego na pasku bocznym systemu Windows nie działa jak należy taki gadżet od wyświetlania obrazów (ścieżka podana jest prawidłowo C:\Users\Public\Pictures\Random Pictures (wcześniej działało). Być może więcej rzeczy przez przypadek zostało usunięte zamieszczam zrzut ekranu, żeby wyjaśnić o co mi chodzi:

http://oi47.tinypic.com/2jsdxj.jpg

[picasso]

Jeszcze coś zauważyłem po tym restarcie od początku jak by coś muli niektóre rzeczy np. zanim wybiorę opcję przywracania systemu upływa ~20 sek, również ikonka od sieci pokazuje brak połączenia przez ten czas chociaż tak naprawdę połączenie jest zawarte.

 

Na chwilę obecną nic mi się z tym nie kojarzy. Czy to na pewno defekt trwały i po każdym restarcie systemu obecny? Podaj do wglądu pełne Dzienniki zdarzeń, tzn. przekopiuj na Pulpit folder C:\WINDOWS\system32\winevt\Logs > do ZIP > na hosting > podaj tu link.

 

 

Oprócz tego na pasku bocznym systemu Windows nie działa jak należy taki gadżet od wyświetlania obrazów (ścieżka podana jest prawidłowo C:\Users\Public\Pictures\Random Pictures (wcześniej działało).

 

Wykonaj przerejestrowanie dwóch maszyn:

 

1. Przerejestrowanie silnika Internet Explorer za pomocą tego skryptu: KLIK.

 

2. Przerejestrowania silnika Windows Script: KB949140.

 

3. Zresetuj system i podaj rezultaty czy gadżet wrócił do formy.

 

 

---

Logi nie wskazują, by Przywracanie systemu cofnęło zbyt daleko. Nie widzę żadnych obiektów infekcji, do korekty są drobne rzeczy (odpadki po pasku narzędziowym i szczątki narzędzi).

 

1. W AdwCleaner zastosuj Delete, a po tym Uninstall.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [Disabled | Stopped] --  -- (Messenger) 
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU\Run IMVU.lnk File not found

 

Klik w Wykonaj skrypt. Po tym zastosuj Sprzątanie.

 

3. Przez SHIFT+DEL skasuj z dysku te odpadki po używanych narzędziach:

 

[2012-06-15 23:06:42 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2012-06-15 23:06:40 | 000,000,000 | --SD | C] -- C:\32788R22FWJFW
[2012-06-15 18:00:15 | 001,592,832 | ---- | C] (Helge Klein) -- C:\Windows\SetACL.exe
[2012-06-15 15:14:45 | 000,000,000 | ---D | C] -- C:\ProgramData\Kaspersky Lab
[2012-06-14 16:46:02 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe

 

4. Główne aktualizacje, zadane we wcześniejszym poście, nadal aktualne.

 

 

 

 

.

Edytowane 27 Sierpnia 2012 przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso