Skocz do zawartości

Koń trojański C:\WINDOWS\assembly\GAC\desktop.ini


Rekomendowane odpowiedzi

temat podobny do http://www.fixitpc.p...-kon-trojanski/

 

nie jestem w stanie usunac tego pliku, tzn malwarebites wywala go przy starcie, ale on zaraz sie odbudowuje;

 

prosze o pomoc;

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 17:35 on 22/08/2012 by Administrator

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{eda4f6ba-c30f-8a8c-06a4-0fe0b62d0259}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shdocvw.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\WINDOWS\system32\services.exe --a---- 111616 bytes [06:55 17/02/2007] [06:55 17/02/2007] A41FABB5EECEB574D9DE53B3DFF05D26

 

-= EOF =-

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1. Wejdź w start > uruchom > cmd i wklep to polecenie:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe -- (WPFFontCache_v0400)
SRV - File not found [On_Demand | Stopped] -- winhttp.dll -- (WinHttpAutoProxySvc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Adapter | On_Demand | Unknown] --  -- (LicenseInfo)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcacm.sys -- (huawei_cdcacm)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ewfiltertdidriver.sys -- (filtertdidriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev)
[2012-04-07 14:05:59 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{d94d712d-3eb3-8a6b-3e11-c354b0b69f1b}
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O4 - HKLM..\Run: []  File not found
 
:Files
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{eda4f6ba-c30f-8a8c-06a4-0fe0b62d0259}
netsh winsock reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Przez Panel sterowania odinstaluj: vShare Plugin

 

4. Uruchom AdwCleaner z opcji Delete

 

5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Odnośnik do komentarza

dziekuje za pomoc, wstepnie wyglada ze jest OK;

 

SystemLook 30.07.11 by jpshortstuff

Log created at 12:02 on 25/08/2012 by Administrator

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shdocvw.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\WINDOWS\system32\services.exe --a---- 111616 bytes [06:55 17/02/2007] [06:55 17/02/2007] A41FABB5EECEB574D9DE53B3DFF05D26

C:\WINDOWS\system32\dllcache\services.exe --a--c- 111616 bytes [06:55 17/02/2007] [06:55 17/02/2007] A41FABB5EECEB574D9DE53B3DFF05D26

 

-= EOF =-

FSS.txt

OTL.Txt

Odnośnik do komentarza

To jeszcze sfinalizuj temat:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji:

 

Windows Server 2003 Enterprise Edition Dodatek Service Pack 2 (Version = 5.2.3790) - Type = NTServer

 

Internet Explorer (Version = 7.0.5730.11)

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 21

"Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Odnośnik do komentarza
Jako, ze jest tutaj Windows Server 2003 nie wiem co myśleć o tych ubytkach w usługach w logu z FSS.

 

nie uzywam ani zapory windows ani windows update, wiec trudno mi powiedziec;

jak na moje oko chyba wszystko jest juz OK, wiec jeszcze raz bardzo dziekuje;

 

Farbar Service Scanner nie jest zgodny z edycjami serwerowymi, nie rozpoznaje parametrów platformy 2003, dlatego zwraca mieszane wyniki przypinając ni w pięć ni w dziesięć charakterystykę innych systemów.

- Na Windows 2003 nie ma usług: bfe (Podstawowy aparat filtrowania), MpsSvc (Zapora systemu Windows), mpsdrv (Sterownik Zapory), SDRSVC (Windows Backup), Nsi, nsiproxy, tdx. To są usługi Vista / Windows 7. Również nie istnieje Centrum zabezpieczeń znane z XP SP2/SP3.

- Nie liczy się wynik Windows Defender, po prostu nie jest zainstalowany, to na nowszych systemach Defender jest wbudowany, na XP/2003 tylko poprzez celową instalację jako osobny program.

 

To co jest rozbieżne od oryginału to: w sekcji Windows Update usługi są inaczej skonfigurowane (przynajmniej Kryptograficzne + Dziennik zdarzeń powinny być na Automatycznym, Autoaktualizacje i BITS mogą zostać jak widać), a faktyczny ubytek to brak klucza SharedAccess (to Zapora starszych systemów).

 

Other Services:

==============

Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist.

Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist.

Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to open SharedAccess registry key. The service key does not exist.

 

Nanieś stosowne korekty. Dane wyeksportowałam z fabrycznej instalacji Windows Server 2003 Enterprise (R2) SP2. Klucz SharedAccess goły, żadnych reguł.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00,00,00,00
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej."
"DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego (ICS)"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Type"=dword:00000020
"Start"=dword:00000002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00000002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cryptsvc]
"Start"=dword:00000002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog]
"Start"=dword:00000002

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Zresetuj system. Ewentualne przestawienie statusu usługi Zapory wiadomo gdzie (services.msc).

 

 

.

Edytowane przez picasso
29.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...