main Opublikowano 22 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 22 Sierpnia 2012 temat podobny do http://www.fixitpc.p...-kon-trojanski/ nie jestem w stanie usunac tego pliku, tzn malwarebites wywala go przy starcie, ale on zaraz sie odbudowuje; prosze o pomoc; SystemLook 30.07.11 by jpshortstuff Log created at 17:35 on 22/08/2012 by Administrator Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{eda4f6ba-c30f-8a8c-06a4-0fe0b62d0259}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\WINDOWS\system32\services.exe --a---- 111616 bytes [06:55 17/02/2007] [06:55 17/02/2007] A41FABB5EECEB574D9DE53B3DFF05D26 -= EOF =- OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 24 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2012 1. Wejdź w start > uruchom > cmd i wklep to polecenie: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe -- (WPFFontCache_v0400) SRV - File not found [On_Demand | Stopped] -- winhttp.dll -- (WinHttpAutoProxySvc) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) DRV - File not found [Adapter | On_Demand | Unknown] -- -- (LicenseInfo) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcacm.sys -- (huawei_cdcacm) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ewfiltertdidriver.sys -- (filtertdidriver) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev) [2012-04-07 14:05:59 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{d94d712d-3eb3-8a6b-3e11-c354b0b69f1b} O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found. O4 - HKLM..\Run: [] File not found :Files C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{eda4f6ba-c30f-8a8c-06a4-0fe0b62d0259} netsh winsock reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: vShare Plugin 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
main Opublikowano 25 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2012 dziekuje za pomoc, wstepnie wyglada ze jest OK; SystemLook 30.07.11 by jpshortstuff Log created at 12:02 on 25/08/2012 by Administrator Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\WINDOWS\system32\services.exe --a---- 111616 bytes [06:55 17/02/2007] [06:55 17/02/2007] A41FABB5EECEB574D9DE53B3DFF05D26 C:\WINDOWS\system32\dllcache\services.exe --a--c- 111616 bytes [06:55 17/02/2007] [06:55 17/02/2007] A41FABB5EECEB574D9DE53B3DFF05D26 -= EOF =- FSS.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 25 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2012 Jako, ze jest tutaj Windows Server 2003 nie wiem co myśleć o tych ubytkach w usługach w logu z FSS. Czy wszystko w systemie działą poprawnie? np. zapora systemowa i Windows Update? Odnośnik do komentarza
main Opublikowano 25 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2012 nie uzywam ani zapory windows ani windows update, wiec trudno mi powiedziec; jak na moje oko chyba wszystko jest juz OK, wiec jeszcze raz bardzo dziekuje; Odnośnik do komentarza
Landuss Opublikowano 25 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2012 To jeszcze sfinalizuj temat: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows Server 2003 Enterprise Edition Dodatek Service Pack 2 (Version = 5.2.3790) - Type = NTServer Internet Explorer (Version = 7.0.5730.11) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 21 "Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
picasso Opublikowano 28 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 (edytowane) Jako, ze jest tutaj Windows Server 2003 nie wiem co myśleć o tych ubytkach w usługach w logu z FSS. nie uzywam ani zapory windows ani windows update, wiec trudno mi powiedziec;jak na moje oko chyba wszystko jest juz OK, wiec jeszcze raz bardzo dziekuje; Farbar Service Scanner nie jest zgodny z edycjami serwerowymi, nie rozpoznaje parametrów platformy 2003, dlatego zwraca mieszane wyniki przypinając ni w pięć ni w dziesięć charakterystykę innych systemów. - Na Windows 2003 nie ma usług: bfe (Podstawowy aparat filtrowania), MpsSvc (Zapora systemu Windows), mpsdrv (Sterownik Zapory), SDRSVC (Windows Backup), Nsi, nsiproxy, tdx. To są usługi Vista / Windows 7. Również nie istnieje Centrum zabezpieczeń znane z XP SP2/SP3. - Nie liczy się wynik Windows Defender, po prostu nie jest zainstalowany, to na nowszych systemach Defender jest wbudowany, na XP/2003 tylko poprzez celową instalację jako osobny program. To co jest rozbieżne od oryginału to: w sekcji Windows Update usługi są inaczej skonfigurowane (przynajmniej Kryptograficzne + Dziennik zdarzeń powinny być na Automatycznym, Autoaktualizacje i BITS mogą zostać jak widać), a faktyczny ubytek to brak klucza SharedAccess (to Zapora starszych systemów). Other Services:==============Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist.Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist.Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to open SharedAccess registry key. The service key does not exist. Nanieś stosowne korekty. Dane wyeksportowałam z fabrycznej instalacji Windows Server 2003 Enterprise (R2) SP2. Klucz SharedAccess goły, żadnych reguł. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "DependOnGroup"=hex(7):00,00,00,00 "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego (ICS)" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "ObjectName"="LocalSystem" "Type"=dword:00000020 "Start"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cryptsvc] "Start"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog] "Start"=dword:00000002 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Zresetuj system. Ewentualne przestawienie statusu usługi Zapory wiadomo gdzie (services.msc). . Edytowane 29 Września 2012 przez picasso 29.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi