Windows 7 Trojan - proszę o pomoc

[Unka]

Dzień dobry, znajomi polecili mi Waszą grupę więc jestem.
Na początku chciałabym zaznaczyć, że nigdy nie korzystałam z takiej pomocy online więc niektóre kwestie będą dla mnie czarną magią.
Proszę o cierpliwość i w miarę dokładne wskazówki...takie wiecie...dla zielonej dziewczyny
Starałam się dostosować do schematu tego działu - za wszelkie błędy z góry przepraszam.

Komputer jest nowiutki. Kupiony 4 czerwca br. Mam nadzieję, że to ułatwi Wam zadanie. Nie zdążyłam na nim zrobić wielkiego bałaganu.

Objawy zainfekowania:
Avast co kilkanaście/kilkadziesiąt sekund pokazuje komunikaty (od wczoraj). Poza tym nie zauważyłam żadnych nieprawidłowości w działaniu kompa.

zarażenie -win32 zaccess-pb trojan
proces: c:\windows\system 32\services.exe

Wykonywane działania:
Na prośbę Avasta skanowałam komputer przy uruchomieniu. Coś tam sobie poprzerzucał do kwarantanny - uruchomił się normalnie.

Logi:
OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

RSIT

[Aby zobaczyć linki, zarejestruj się tutaj]

[chomikos]

Ściągnij program TDSSKilleri zrób skan. Nie usuwaj, tylko podaj log (dokument tekstowy).

[Aby zobaczyć linki, zarejestruj się tutaj]

Następnie pobierz Farbar Service Scanneri podaj log.

[Aby zobaczyć linki, zarejestruj się tutaj]

W menu Dodaj i usuń programyodinstaluj:

-WebCakeDesktop i mu pochodne

Zaktualizuj:

-Internet Explorer do wersji 10

Dalej czekaj na tachiona

[Unka]

dzięki, zabieram się do roboty

---

Dodano: 24 cze 2013, 21:32

WebCakeDesktop usunięto. Nie wiem , które to są jego pochodne hmm...

TDSSKiller -

[Aby zobaczyć linki, zarejestruj się tutaj]

prawdopodobnie z rozpędu, rozgorączkowania oraz niepokoju wcisnęłam to czego czego wciskać nie miałam
Farbar Service Scanner -

[Aby zobaczyć linki, zarejestruj się tutaj]

Internet Explorer sprawdziłam - jest w wersji 10

[chomikos]

Widać, że ZeroAccess był. Wykonaj restart komputera. TDSSKiller usunął większość śmieci.Ponownie przeskanuj system TDSSKillerem i podaj log. Dodatkowo ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i przeskanuj system. Nie pamiętam, czy jest możliwość zapisania logu. Jeśli tak, zapodaj. Usuń to, co znalazł. Zrób nowy log OTL razem z extracts. O WebCake się nie martw, nie byłem pewny, czy będzie się w ten sposób nazywał.

[Unka]

[Aby zobaczyć linki, zarejestruj się tutaj]

- TDSSKiller

HitmanPro nie mogę użyć - nie jest prawidłową aplikacją systemu Win32

Czy w takim wypadku zrobić ponownie log OTL razem z extracts?

[chomikos]

Poszukaj odpowiedniej dla siebie wersji hitmana na tej stronie:surfright.nl w dziale Downloads. A logi możesz dać. Z tego co widzę, sirefef został usunięty, zostały tylko pozostałości.

[Unka]

Ponadto mam alert, że nie mogę zmienić ustawień dotyczących Windows Update. Chorągiewka z czerwonym alertem a pasku zadań.
Było już wcześniej - zanim zaczęłam jakiekolwiek skany.

---

Dodano: 24 cze 2013, 22:45

Hitman -

[Aby zobaczyć linki, zarejestruj się tutaj]

a to log po usunięciu (sporo rzeczy nie zostało usuniętych

[Aby zobaczyć linki, zarejestruj się tutaj]

Dodatkowo OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

Nie wiem czemu tym razem tylko jeden plik.

[chomikos]

Aby usunąć rzeczy, musiz aktywować darmową, trialową 30 dniową licencję. Brak windows update jest normalny, działanie sirefef. Narazie poszukaj gdzieś w ustawieniach hitmana 30-dniowej licencji i przeskanuj jeszcze raz, i usuń.

[Unka]

zrobiłam tak już wcześniej. Widziałam, że sporo usunął ale też sporo miało opis, że nie usunięto

---

Dodano: 24 cze 2013, 22:55

ale zrobię jeszcze raz

---

Dodano: 24 cze 2013, 23:02

[Aby zobaczyć linki, zarejestruj się tutaj]

te pliki, które mają opis "usunięcie nieudane" to (*jak się przyjrzałam) ciasteczka Chrome...

[chomikos]

To nie ma się czym martwić :-)Znając życie, podczas usuwania miałaś Chrome włączone Jutro napiszę więcej Teraz nie mam czasu. Co najwyżej zainstaluj MBAM

[Aby zobaczyć linki, zarejestruj się tutaj]

i na końcowym okienku instalacji odznacz "Uruchom okres testowy Malwarebytes'' Anti-malware PRO".Wykonaj szybki skan, usuń to co znalazło, podaj log i jeżeli poprosi zrestartuj komputer.

[Unka]

a co z nieszczęsnym Windows Update? to się naprawi?

---

Dodano: 24 cze 2013, 23:11

i oczywiście dziękuję za dotychczasową pomoc!

---

Dodano: 24 cze 2013, 23:31

reasumując - ostatnie logi zMBAM

[Aby zobaczyć linki, zarejestruj się tutaj]

Wciąż jest alert Windows Update. Avast już nie piszczy.

[chomikos]

Potem dam ci pliki rejestru dotyczące tych Windowsowskich spraw. Nie tylko update jest wyłączony, ale i usługi defendera, UAC, itp. Po to, poleciłem ci wykonać skan FSS. Teraz wychodzę, pomogę dalej tak koło14:00.
EDIT
Wykonaj skrypt w OTL

Kod:

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=1370619238
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=1370619238
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=3735618
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=1370619238
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=1370619238
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=1370619238
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=3735618
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=1370619238
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=1370619238
CHR - homepage: http://www.qvo6.com/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000DM003-1CH162_Z1D43GP0XXXXZ1D43GP0&ts=1370619238
:Commands
[EMPTYTEMP]
[clearallrestorepoints]

Podaj logi OTL

[Unka]

no ale ja Cię proszę....
skrypty to ja ostatnio na studiach używałam na KPA


a po laickiemu jak to będzie?

[chomikos]

Ten skrypt wklej tu:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Unka]

dobrze, że humor dopisuje
bardzo ładne strzałki oraz zaskakujący akcent onomatopeiczny

[Aby zobaczyć linki, zarejestruj się tutaj]

[chomikos]

Wykonaj jeszcze raz tamten skrypt. Dodatkowo wykonaj ten: (jako oddzielny)

Kod:

:OTL
[2013-06-24 21:22:37 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{b79443ad-69e9-9589-87cf-ec3cae772c73}\L
[2013-06-24 22:15:31 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{b79443ad-69e9-9589-87cf-ec3cae772c73}\U
[2013-06-24 12:57:00 | 000,000,804 | ---- | M] () -- C:\Windows\Installer\{b79443ad-69e9-9589-87cf-ec3cae772c73}\L\0
[2013-06-24 14:01:57 | 000,000,544 | ---- | M] () -- C:\$Recycle.bin\S-1-5-21-1139844606-3016237566-1043412071-1000\$IV7PJA5.@0000004.@
:Commands
[EMPTYTEMP]
[REBOOT]

Powinno być dosyć czysto. Ściągnij jeszcze

[Aby zobaczyć linki, zarejestruj się tutaj]

i rurchom z opcji "Usuń".

Dodaje w załączniku pliki rejestru do naprawy.
Wypakujesz sobie.
To będzie wszystko

[Unka]

skrypt nr 1

[Aby zobaczyć linki, zarejestruj się tutaj]

skrypt nr 2

[Aby zobaczyć linki, zarejestruj się tutaj]

i log po AdwCleaner

[Aby zobaczyć linki, zarejestruj się tutaj]

[chomikos]

Jest już czysto <!-- s-->

[Unka]

rzeczywiście mam już dostęp do aktualizacji. Niestety nie mogę ich zainstalować. Zaczyna pobierać a za chwilę wywala błąd.
Kod 800B0100

Po zmianach w rejestrze zrobiłam restart. Potem te nieszczęsne aktualizacje, które nie chcą się zainstalować.

[chomikos]

Spróbuj użyć tego

[Aby zobaczyć linki, zarejestruj się tutaj]