afg Opublikowano 29 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Win64/Patched.B.Gen koń trojański Witam. Eset Smart Security wykrył mi wirusa Win64/Patched.B.Gen koń trojański. Zarażony obiekt to services.exe. Nie mam pojęcia jak się go pozbyć. Proszę o pomoc. System Windows JG7 64bit (przeróbka) W sumie to temat skopiowałem z http://www.fixitpc.p...-kon-trojanski/ . Odezwałem się już do moderatora Landuss'a ale nie wiem jak dysponuje czasem, może ktoś jeszcze jest w stanie pomóc? Pozdrawiam. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 30 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2012 Należy pobrać dane dodatkowe: 1. Uruchom SystemLook x64 i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. 2. Zrób log z Farbar Service Scanner. Zaznacz wszystkie opcje. . Odnośnik do komentarza
afg Opublikowano 30 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2012 Załączam logi. Dodam że mam netbooka, msi u270. Z góry dziękuje:) SystemLook 30.07.11 by jpshortstuff Log created at 14:01 on 30/08/2012 by Misialek Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Misialek\AppData\Local\{ec71bb19-2e7a-d411-513f-5e83b9309cbd}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] (Unable to calculate MD5) C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- FSS.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 30 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2012 Jest problem z plikiem services.exe, jest zablokowany (nie sprawdzona suma kontrolna): C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] (Unable to calculate MD5) Przejdź w Tryb awaryjny Windows. Uruchom GrantPerms x64, w oknie wklej: C:\Windows\System32\services.exe Klik w Unlock. Po tym zrób ponownie log z SystemLook na te same warunki co poprzednio. . Odnośnik do komentarza
afg Opublikowano 30 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2012 Proszę bardzo. SystemLook 30.07.11 by jpshortstuff Log created at 15:20 on 30/08/2012 by Misialek Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Misialek\AppData\Local\{ec71bb19-2e7a-d411-513f-5e83b9309cbd}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 014A9CB92514E27C0107614DF764BC06 C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- Odnośnik do komentarza
picasso Opublikowano 30 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2012 GrantPerms odblokował plik, suma kontrolna przeliczona = plik jest zainfekowany przez ZeroAccess. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{ec71bb19-2e7a-d411-513f-5e83b9309cbd} C:\Users\Misialek\AppData\Local\{ec71bb19-2e7a-d411-513f-5e83b9309cbd} C:\Users\Misialek\AppData\Roaming\Mozilla\Firefox\Profiles\hexk0h73.default\searchplugins\sweetim.xml :OTL O4 - HKLM..\Run: [] File not found O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. 4. Przez Panel sterowania odinstaluj adware SweetIM for Messenger 3.6, SweetPacks Toolbar for Internet Explorer 4.5, Update Manager for SweetPacks 1.0. 5. Uruchom AdwCleaner i zastosuj Delete. Powstanie log z usuwania na dysku C. 6. Zrób nowy log OTL z opcji Skanuj oraz SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Dołącz log z usuwania AdwCleaner. . Odnośnik do komentarza
afg Opublikowano 30 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2012 Dzięki. Zrobię to wieczorem. ////// Nod32 przestał wyświetlać informację o infekcji. Wklejam logi, chyba wszystkie:) SystemLook 30.07.11 by jpshortstuff Log created at 22:13 on 30/08/2012 by Misialek Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- otl 08302012_212326.txtPobieranie informacji ... OTL2.TxtPobieranie informacji ... AdwCleanerS1.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 30 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2012 Wszystko zrobione, logi potwierdzają wyleczenie infekcji. To jednak nie koniec, ZeroAccess zdewastował rejestr, usunął usługi Zapory, Centrum, Windows Defenfer i Windows Update. Log z Farbar notuje jednak rzecz wykraczającą poza znane mi manipulacje tego trojana, czyli brak pliku Windows Defender: ATTENTION!=====> C:\Program Files\Windows Defender\MpSvc.dll FILE IS MISSING AND SHOULD BE RESTORED. Czy to Twoje celowe działania? Usługę Windows Defender i tak odbuduję, ale ustawię na wyłączoną, w związku z brakiem pliku (na razie niejasny powód). 1. Rekonstrukcja zapory (usługi BFE + MpsSvc + SharedAccess i ich uprawnienia): KLIK. 2. Rekonstrukcja pozostałych usług. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS] "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\ 72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\ 63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance] "Library"="bitsperf.dll" "Open"="PerfMon_Open" "Collect"="PerfMon_Collect" "Close"="PerfMon_Close" "InstallType"=dword:00000001 "PerfIniFile"="bitsctrs.ini" "First Counter"=dword:000007d2 "Last Counter"=dword:000007e2 "First Help"=dword:000007d3 "Last Help"=dword:000007e3 "Object List"="2002" "PerfMMFileName"="Global\\MMF_BITS_s" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\ 00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\ 00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\ 00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\ 00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\ 00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\ 00,20,02,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000004 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv] "PreshutdownTimeout"=dword:036ee800 "DisplayName"="Windows Update" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%systemroot%\\system32\\wuaueng.dll,-106" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceMain"="WUServiceMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 Adnotacja dla innych czytających: import dopasowany do Windows 7. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal 3. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. . Odnośnik do komentarza
afg Opublikowano 31 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 Witaj, Do rejestru wszystko dodane poprawnie, Nod32 nie wyrzuca juz błędów ani o zapore, ani o trojana.Przez pewien czas nie moglemudostepniać plikow w sieci LAN, coś o punktach kontrolnych/końcowych(ich braku) wyskakiwało, nie pamietam dokładnie. Problem chyba również zniknął. Jesli chodzi o windows Defender, może to być efekt zmodyfikowanego windowsa, cos w stylu http://www.keyser2.p...opic.php?pid=22 pozdrawiam:) W tym momencie znów wyskoczyła mi infekcja w pliku services.ese, nod32 ;/ FSS2.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 31 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 Cytat W tym momencie znów wyskoczyła mi infekcja w pliku services.ese, nod32 ;/ Jeśli tak, nastąpiła reinfekcja (np. ponowne odwiedzenie określonej witryny), bo ostatni sprawdzany log pokazywał prawidłową sumę kontrolną pliku services.exe. Od początku: log z SystemLook na warunki podane przeze mnie w pierwszym moim poście. . Odnośnik do komentarza
afg Opublikowano 31 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 Nie odwiedzałem zadnych dziwnych stron. Włącze Firewalla chyba... SystemLook 30.07.11 by jpshortstuff Log created at 16:18 on 31/08/2012 by Misialek Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- Odnośnik do komentarza
picasso Opublikowano 31 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 Pokaż dokładnie jak ESET wykrywa ten wynik, bo wg SystemLook z services.exe nie ma problemu. Odnośnik do komentarza
afg Opublikowano 31 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 Też tak uważam, bo komunikat wyskakuje o wieele rzadziej, i jednokrotnie. Tak jakby z rozpędu;p Jak tylko sie pokaze to odrazu wkleje. Powinienem jeszcze dziś. Odnośnik do komentarza
afg Opublikowano 1 Września 2012 Autor Zgłoś Udostępnij Opublikowano 1 Września 2012 Cytat 2012-09-01 12:40:40 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\WINSXS\TEMP\PENDINGDELETES\$$DELETEME.SERVICES.EXE.01CD86E44999BE0D.0000 Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. to z dziennika. Nod32 widze juz mnie broni przed ta infekcja, jednak to normalne ze svchost.exe 'szuka' zarazonego pliku w temp'ie? Odnośnik do komentarza
picasso Opublikowano 1 Września 2012 Zgłoś Udostępnij Opublikowano 1 Września 2012 SystemLook niepotrzebny (usuwam), ten wynik w ESET ma inną interpretację i svchost.exe nie ma tu nic do rzeczy. Właściwym obiektem po infekcji jest $$DELETEME.SERVICES.EXE.01CD86E44999BE0D.0000. To nie jest infekcja czynna, to jedynie odpadek pozostawiony w katalogu tymczasowym WinSxS po operacji podmiany pliku services.exe przez infekcję. ESET "nie broni", on nie potrafi nawet skasować tego odpadka. 1. Uruchom GrantPerms x64 i w oknie wklej: C:\WINDOWS\WINSXS\TEMP\PENDINGDELETES\$$DELETEME.SERVICES.EXE.01CD86E44999BE0D.0000 C:\WINDOWS\WINSXS\TEMP\PENDINGDELETES Klik w Unlock. 2. Sprawdź czy jesteś w stanie z dysku przez SHIFT+DEL skasować cały folder C:\WINDOWS\WINSXS\TEMP\PENDINGDELETES. . Odnośnik do komentarza
afg Opublikowano 2 Września 2012 Autor Zgłoś Udostępnij Opublikowano 2 Września 2012 Innego folderu jak to nie ma: Cytat C:\Windows\winsxs\Temp\PendingRenames Ahh sorry, po uwidocznieniu ukrytych i systemowych folder sie pokazał, oczywiscie usunąłem na dobre. A tak wygląda dziennik noda Cytat 2012-09-02 15:23:00 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\WINSXS\TEMP\PENDINGDELETES\$$DELETEME.SERVICES.EXE.01CD86E44999BE0D.0000 Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe.2012-09-01 12:40:40 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\WINSXS\TEMP\PENDINGDELETES\$$DELETEME.SERVICES.EXE.01CD86E44999BE0D.0000 Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-31 15:15:10 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\WINSXS\TEMP\PENDINGDELETES\$$DELETEME.SERVICES.EXE.01CD86E44999BE0D.0000 Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-31 12:10:56 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\WINSXS\TEMP\PENDINGDELETES\$$DELETEME.SERVICES.EXE.01CD86E44999BE0D.0000 Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-31 11:17:06 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\WINSXS\TEMP\PENDINGDELETES\$$DELETEME.SERVICES.EXE.01CD86E44999BE0D.0000 Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 21:56:03 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\WINSXS\TEMP\PENDINGDELETES\$$DELETEME.SERVICES.EXE.01CD86E44999BE0D.0000 Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 21:40:59 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\WINSXS\TEMP\PENDINGDELETES\$$DELETEME.SERVICES.EXE.01CD86E44999BE0D.0000 Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 21:27:54 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\WINSXS\TEMP\PENDINGDELETES\$$DELETEME.SERVICES.EXE.01CD86E44999BE0D.0000 Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 21:18:50 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\System32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: C:\Windows\System32\poqexec.exe. 2012-08-30 21:18:20 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\System32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\servicing\TrustedInstaller.exe. 2012-08-30 21:18:19 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\System32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\servicing\TrustedInstaller.exe. 2012-08-30 21:18:18 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\System32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\servicing\TrustedInstaller.exe. 2012-08-30 15:33:01 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\SYSTEM32\SERVICES.EXE Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 15:31:12 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\SYSTEM32\SERVICES.EXE Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 15:16:33 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\USŁUGA LOKALNA Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 15:15:45 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\USŁUGA LOKALNA Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 15:07:05 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\SYSTEM32\SERVICES.EXE Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 14:54:29 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\USŁUGA LOKALNA Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 14:44:57 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\USŁUGA LOKALNA Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 14:28:47 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\USŁUGA LOKALNA Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 14:23:45 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\USŁUGA LOKALNA Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 14:20:29 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\SYSTEM32\SERVICES.EXE Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 14:18:37 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\USŁUGA LOKALNA Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 14:16:13 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\USŁUGA LOKALNA Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 14:14:45 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\USŁUGA LOKALNA Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 14:01:54 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\System32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\SystemLook_x64.exe. 2012-08-30 13:46:51 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\SYSTEM32\SERVICES.EXE Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 13:45:06 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\SYSTEM32\SERVICES.EXE Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 01:08:58 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\USŁUGA LOKALNA Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-30 00:10:22 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\SYSTEM32\SERVICES.EXE Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-29 22:20:20 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\USŁUGA LOKALNA Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-29 21:53:30 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć ZARZĄDZANIE NT\USŁUGA LOKALNA Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Windows\System32\svchost.exe. 2012-08-29 21:07:52 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:52 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:52 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:45 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:45 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:45 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:45 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:45 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:44 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:44 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:44 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:44 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:44 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:44 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:44 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:43 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:43 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:43 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:43 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:43 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:43 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:42 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:42 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:42 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:42 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:42 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:42 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:42 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:42 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:42 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:41 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:41 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:41 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:41 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:41 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. 2012-08-29 21:07:41 Ochrona systemu plików w czasie rzeczywistym plik C:\Windows\system32\services.exe Win64/Patched.B.Gen koń trojański nie można wyleczyć E450\Misialek Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Users\Misialek\Downloads\OTL.exe. W sumie nic tu juz ciekawego. System wyglada na zdrowy. Chyba pozostaje mi podziękować za szybka i konkretną pomoc:) Odnośnik do komentarza
picasso Opublikowano 3 Września 2012 Zgłoś Udostępnij Opublikowano 3 Września 2012 Przejdź do tej porcji czynności: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 2. Napraw błąd WMI numer 10 widoczny w Dzienniku zdarzeń: KB2545227. 3. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86417000FF}" = Java 7 (64-bit)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit (wtyczka dla Firefox) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217000FF}" = Java 7"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{D34598D1-07B8-4EB6-AD9A-DBDF58FFC19F}" = Adobe Shockwave Player 11.6"Foxit Reader_is1" = Foxit Reader"Konnekt" = Konnekt"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 (brak pakietu SP1) Konnekt też zakreślam. To jest archaizm, który ledwo działa. Jeśli szukasz czegoś lekkiego i bez reklam o modelu Konnekta, ale nowoczesnego, obsługującego najnowsze standardy i zgodnego z Windows 7 x64, to oglądnij WTW. Konnekta prześcinął daaawno temu. Pełny opis komunikatora: KLIK. 4. Prewencyjnie zmień hasła logowania w serwisach. . Odnośnik do komentarza
afg Opublikowano 3 Września 2012 Autor Zgłoś Udostępnij Opublikowano 3 Września 2012 1 OTL posprzątał swoje, ADWCleaner sie usunął 2 Zrobione 3 Tak jak mowie, moj przerobiony windows chyba nie ma mozliwosci aktualizacji. Prawdopodobnie beda kłopoty z oryginalnością..... 4 Wiem iż z konnektem xle sie podziało, wtw zaraz przetestuje, dzięki! 5 Na bierząco pozamieniam hasełka. Dzięuje bardzo! BTW Ten cytat pokazałeś mi tylko dla informacji rozumiem, nie mialem go nigdzie wklejac itp Postaram sie puścic jakąś dotację, Odnośnik do komentarza
picasso Opublikowano 3 Września 2012 Zgłoś Udostępnij Opublikowano 3 Września 2012 Cytat 3 Tak jak mowie, moj przerobiony windows chyba nie ma mozliwosci aktualizacji. Prawdopodobnie beda kłopoty z oryginalnością..... Podałam do aktualizacji określone aplikacje a nie system. Wg OTL Twój Windows ma już zainstalowany SP1 i IE9: 64bit- Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstationInternet Explorer (Version = 9.0.8112.16421) A to, że to przerabiany Windows to inna sprawa. Owszem, modyfikacje mogą mieć skutki uboczne. Nie polecam takich cudzych przeróbek. . Odnośnik do komentarza
Rekomendowane odpowiedzi