babeo Opublikowano 4 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2012 Witam serdecznie, proszę o pomoc w usunięciu Live Security Platinum. Z tego co już przeczytałem to mam chyba też problem z ZeroAccess W załączeniu logi, proszę o pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 5 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 5 Sierpnia 2012 Potwierdzam, masz do pary ZeroAccess. Wykonaj raport dodatkowy. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan. Odnośnik do komentarza
babeo Opublikowano 5 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Sierpnia 2012 W załączeniu raport wynikowy, rozumiem że wszytskie dalsze operacja przeprowadzam w trybie awaryjnym? SystemLook 30.07.11 by jpshortstuff Log created at 19:51 on 05/08/2012 by Mateusz Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Mateusz\AppData\Local\{160662f1-a324-9ba7-27e6-7a04c71491a7}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 279552 bytes [15:22 13/07/2009] [22:30 04/08/2012] D4E6D91C1349B7BFB3599A6ADA56851B C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [15:22 13/07/2009] [21:28 10/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Spybot -- (SBSDWSCService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MediaCoder\SysInfo.sys -- (CrystalSysInfo) :Files C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\036DFF98197A50A94E00444B2F3B707C C:\Users\Mateusz\Desktop\Live Security Platinum.lnk C:\Users\Mateusz\AppData\Local\{160662f1-a324-9ba7-27e6-7a04c71491a7} C:\Windows\Installer\{160662f1-a324-9ba7-27e6-7a04c71491a7} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Wejdź normalnie do trybu normalnego Windows. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
babeo Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Punkty 4 i 5 w trybie normalnym czy w awaryjnym? Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 W normalnym już. Odnośnik do komentarza
babeo Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Wyskoczyła mi informacja, że rejestr nie został znaleziony. EDIT: dodatkowo widzę, że nie działa mi centrum zabezpieczeń, zapora firewall windowsa.... SystemLook 30.07.11 by jpshortstuff Log created at 18:24 on 06/08/2012 by Mateusz Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Mateusz\AppData\Local\{160662f1-a324-9ba7-27e6-7a04c71491a7}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 279552 bytes [15:22 13/07/2009] [22:30 04/08/2012] D4E6D91C1349B7BFB3599A6ADA56851B C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [15:22 13/07/2009] [21:28 10/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B -= EOF =- OTL.Txt FSS.txt Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Drobny błąd zrobiłem w kwestii punktu jeden. Będzie powtórka. 1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 3. Po wykonaniu wszystkiego pokaż nowy log z FSS oraz z SystemLook. Odnośnik do komentarza
babeo Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Podane przez Ciebie przykłady odnoszą się do Windows 7, nie ma znaczenia że ja mam Viste? W rekonstrukcji zapory wymagany jest program: SetACL. Nastąpiła jednak zmiana serwerów s stosunku do podanych w tutorialu. Przupuszczam, że poprawny jest teraz adres: http://helgeklein.com/download/ i wersja: SetACL Administrators: Download the EXE version of SetACL 3.0.4 for 32-bit and 64-bit Windows. Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Windows Vista to ta sama podstawa co Windows 7 więc wykonuj bez obaw. A co do SetACL to pobierz tą wersję którą pokazujesz. Odnośnik do komentarza
babeo Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Wykonałem wszytko zgodnie z instrukcjami, w załączeniu logi. SystemLook 30.07.11 by jpshortstuff Log created at 21:41 on 06/08/2012 by Mateusz Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 279552 bytes [15:22 13/07/2009] [22:30 04/08/2012] D4E6D91C1349B7BFB3599A6ADA56851B C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [15:22 13/07/2009] [21:28 10/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B -= EOF =- FSS.txt Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Wszystko poprawnie wykonane i powinno być po problemie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
babeo Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Zacząłem sprzątać zgodnie ze wskazówkiami powyżej. Zaisntalowalem nową javę 7 update 5. Jednak w Panel sterowania -> programy i funkcje -> oprócz tej nowej jay widnieją jakieś stare: - java 6 update 3 - java 6 update 5 - java 6 update 7 - java 6 update 31 Mogę je odinstalować i zostawić tylko tą najnowszą 7 update 5? Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Nie pytaj tylko odinstaluj te starocie. Odnośnik do komentarza
babeo Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 A jeszcze jedno pytanie, jak w razie możliwości zabezpieczyć się przed podobnymi atakami w przyszłości. Mam Avire 12... no właście, ewentualnie co jeszcze by się przydało? Coś chodzącego w tle przeciwko robakom? Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Na to pytanie nie jestem w stanie ci odpowiedzieć. Chyba nie ma idealnego zabezpieczenia, takie jest moje zdanie. Avira to dobry program, też kiedyś używałem. Odnośnik do komentarza
babeo Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Dziękuję za wszelkie odpowiedzi, pomoc i poświęcony czas. Na prawdę jestem bardzo Tobie wdzięczny. Mam nadzieję, że komputer będzie już zdrowy Serdecznie pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi