krisp2511 Opublikowano 6 Września 2012 Zgłoś Udostępnij Opublikowano 6 Września 2012 proszę w miarę możliwości o pomoc oraz również o cierpliwość.Jestem rencistą i laikiem w sprawach komputerowych.Mam zainstalowaną Vistę 32bit i program Ashampoo Anti-Malware.Studiowałem od kilku dni forum i wskazówki Pani Picasso.Postaram się sprostać wyzwaniu i nie zepsuć niczego więcej.Przesyłam Państwu obowiązkowe logi z tym że Gmer jest nie zakończony (skan się zatrzymał) oraz zrzuty z ekranu podejmowanych czynności i komunikaty .Proszę o pomoc i instrukcje w dalszym postępowaniu.Komputer jeszcze działa. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... gmer not.txtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 7 Września 2012 Zgłoś Udostępnij Opublikowano 7 Września 2012 Jest infekcja ZeroAccess w starszej wersji, która bierze się za sterowniki systemowe i tdx.sys jest wyraźnie zaprawiony: .rsrc C:\Windows\system32\DRIVERS\tdx.sys section is executable [0x8E764000, 0x3854, 0x68000020] ? C:\Windows\system32\DRIVERS\tdx.sys suspicious PE modification 1. Z trybu awaryjnego zastosuj narzędzie ComboFix 2. Po zakończeniu jego pracy wejdź w tryb normalny i wklej raport z ComboFix oraz nowe logi z OTL + Gmer Odnośnik do komentarza
krisp2511 Opublikowano 8 Września 2012 Autor Zgłoś Udostępnij Opublikowano 8 Września 2012 Przepraszam za długą przerwę, musiałem się zapoznać z tematem ComboFix. Nasunęło mi się pytanie przed wykonaniem poleceń powinienem wykonać zabezpieczenie w postaci płyty przywracania systemu (posiadam nośnik DVD przywracania systemu dołączony do komputera) ? narzędzie przywracania systemu nie działa Odnośnik do komentarza
picasso Opublikowano 9 Września 2012 Zgłoś Udostępnij Opublikowano 9 Września 2012 Aż takie działania nie wydają mi się konieczne. Aczkolwiek skoro zaczynasz się obawiać, to możesz użyć zamiennie mniej inwazyjnego narzędzia: 1. Uruchom Kaspersky TDSSKiller. Zostaw wszystkie akcje domyślnie przyznane przez narzędzie. Zresetuj system. Na dysku C powstanie log z narzędzia. 2. Wykonaj świeżą serię logów: OTL + GMER. Plik Extras po raz wtóry zbędny. Dołącz log z TDSSKillera. . Odnośnik do komentarza
krisp2511 Opublikowano 9 Września 2012 Autor Zgłoś Udostępnij Opublikowano 9 Września 2012 uruchomiłem Kaspersky TDSSKiller. podczas skanowania pokazał się komunikat: "Threats detected" Virus.Win32.ZAccess.k. Nie podjąłem żadnych czynności kontynuując scan.Po restarcie systemu włączył się CHKDSK (3 poziomy).Podczas scanu programem OLT zauważyłem że połączenie komputera z internetem zostało przerwane.Podczas scanu GMER, na moment wyłączył się ekran po ponownym włączeniu komunikat "sterownik ekranu przestał działać, ale odzyskał sprawność". Tym razem scan GMER dobiegł do końca. Po restarcie komputera i modemu nie udało mi się przywrócić połączenia z internetem: Proszę o dalsze instrukcje. gmer.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... TDSSKiller.2.8.8.0_09.09.2012_19.22.13_log.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 TDSSKiller zrobił wstępną robotę, usuwając core rootkita (wyleczenie zainfekowanego sterownika systemowego tdx.sys, zdjęcie linka symbolicznego). Ale tu jeszcze jest co robić, było to spodziewane. I wygląda na to, że TDSSKiller niepoprawnie zajął się usługą TDX, bo widać w niej aktualnie skierowanie na tymczasowy plik TDSSKiller a nie systemowy sterownik (pewnie dlatego nie ma sieci): DRV - File not found [Kernel | System | Stopped] -- system32\drivers\tsk30D0.tmp -- (tdx) 1. Naprawa ścieżki sterownika TDX. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdx] "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,74,00,64,00,78,00,2e,00,73,00,79,\ 00,73,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Z prawokliku na plik wybierz opcję Scal i zatwierdź import do rejestru. 2. Reset katalogu sieciowego Winsock przekierowanego przez rootkita: KLIK. Z artykułu wykonaj: reset części Protocol poprzez komendę netsh winsock reset oraz reset części NameSpace przez import stosownego pliku REG. Zatwierdź reset komputera. 3. Uruchom GrantPerms i w oknie wklej: C:\Windows\System32\%APPDATA% Klik w Unlock. 4. Pobierz najnowszy OTL (posługujesz się starszym). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\$NtUninstallKB13661$ C:\Windows\System32\%APPDATA% :OTL FF - prefs.js..browser.search.selectedEngine: "AVG Secure Search" FF - HKLM\Software\MozillaPlugins\@thrixxx.com/WebLaunch: C:\Program Files\thriXXX\WebLaunch\Binaries\npWebLaunch.dll File not found FF - HKCU\Software\MozillaPlugins\@thrixxx.com/WebLaunch: C:\Program Files\thriXXX\WebLaunch\Binaries\npWebLaunch.dll File not found IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1289565" IE - HKU\S-1-5-21-3448668637-3735255564-3605904168-1002\..\SearchScopes\{080FBDF6-B230-4e4d-A4E7-7C7A56D7BABC}: "URL" = "http://searchservice.myspace.com/index.cfm?fuseaction=sitesearch.results&qry={searchTerms}&type=Web&orig=IMC-IEDS" IE - HKU\S-1-5-21-3448668637-3735255564-3605904168-1002\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch" IE - HKU\S-1-5-21-3448668637-3735255564-3605904168-1002\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-3448668637-3735255564-3605904168-1002\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1289565" IE - HKU\S-1-5-21-3448668637-3735255564-3605904168-1002\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/?search={searchTerms}&loc=search_box_im2_test_v2" IE - HKU\S-1-5-21-3448668637-3735255564-3605904168-1003\..\SearchScopes\{080FBDF6-B230-4e4d-A4E7-7C7A56D7BABC}: "URL" = "http://searchservice.myspace.com/index.cfm?fuseaction=sitesearch.results&qry={searchTerms}&type=Web&orig=IMC-IEDS" IE - HKU\S-1-5-21-3448668637-3735255564-3605904168-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch" IE - HKU\S-1-5-21-3448668637-3735255564-3605904168-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-3448668637-3735255564-3605904168-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1289565" IE - HKU\S-1-5-21-3448668637-3735255564-3605904168-1003\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/?search={searchTerms}&loc=search_box_im2_test_v2" IE - HKLM\..\URLSearchHook: {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - No CLSID value found IE - HKU\S-1-5-21-3448668637-3735255564-3605904168-1002\..\URLSearchHook: {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - No CLSID value found IE - HKU\S-1-5-21-3448668637-3735255564-3605904168-1003\..\URLSearchHook: {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - No CLSID value found IE - HKU\S-1-5-21-3448668637-3735255564-3605904168-1003\..\URLSearchHook: {e802027b-1f2b-40bd-b307-0bd96d036835} - No CLSID value found O2 - BHO: (no name) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - No CLSID value found. O2 - BHO: (no name) - {e802027b-1f2b-40bd-b307-0bd96d036835} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - No CLSID value found. O3 - HKU\S-1-5-21-3448668637-3735255564-3605904168-1002\..\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found. O3 - HKU\S-1-5-21-3448668637-3735255564-3605904168-1002\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-3448668637-3735255564-3605904168-1002\..\Toolbar\WebBrowser: (no name) - {B2E293EE-FD7E-4C71-A714-5F4750D8D7B7} - No CLSID value found. O3 - HKU\S-1-5-21-3448668637-3735255564-3605904168-1003\..\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found. O3 - HKU\S-1-5-21-3448668637-3735255564-3605904168-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-3448668637-3735255564-3605904168-1003\..\Toolbar\WebBrowser: (no name) - {B2E293EE-FD7E-4C71-A714-5F4750D8D7B7} - No CLSID value found. O3 - HKU\S-1-5-21-3448668637-3735255564-3605904168-1003\..\Toolbar\WebBrowser: (no name) - {E802027B-1F2B-40BD-B307-0BD96D036835} - No CLSID value found. O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm) DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr) DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio) DRV - File not found [File_System | Boot | Stopped] -- system32\drivers\54279535.sys -- (75796635) [2012-08-30 15:52:27 | 000,000,000 | ---D | C] -- C:\Users\Krzysztof_2\AppData\Roaming\ParetoLogic [2012-08-30 15:52:27 | 000,000,000 | ---D | C] -- C:\Users\Krzysztof_2\AppData\Roaming\DriverCure [2012-08-30 15:52:16 | 000,000,000 | ---D | C] -- C:\ProgramData\ParetoLogic :Reg [HKEY_USERS\S-1-5-21-3448668637-3735255564-3605904168-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Otrzymasz log z wynikami usuwania. 5. Otwórz Google Chrome i wejdź do ustawień. W zarządzaniu wyszukiwarkami przestaw domyślną z MyStart Search na np. Google, po tym usuń MyStart Search z listy. 6. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 4. . Odnośnik do komentarza
krisp2511 Opublikowano 10 Września 2012 Autor Zgłoś Udostępnij Opublikowano 10 Września 2012 mam nadzieję że wykonałem wszystko (oprócz pkt.5, gdyż nadal komputer nie ma dostępu do sieci ) i importowany stosowny plik reg z pkt.2 to WinsockNSP_Win7_Vista_32bit dołączam logi i proszę o dalsze instrukcje 09102012_172931.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 Cytat oprócz pkt.5, gdyż nadal komputer nie ma dostępu do sieci Przecież do wykonania tego dostęp do sieci zbędny. A sieci nie ma , bo import się nie udał, w rejestrze zapisała się nazwa tdx.s a nie tdx.sys: DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\tdx.s -- (tdx) 1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. Wejdź do klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdx Dwuklik w wartość ImagePath i popraw końcówkę tdx.s na tdx.sys. Zresetuj system. Sieć powinna powrócić. 2. Wykonaj zaległą operację z przeglądarką Google Chrome. 3. Przez SHIFT+DEL skasuj ten folder z dysku: C:\Users\Krzysztof\AppData\Roaming\Babylon . Odnośnik do komentarza
krisp2511 Opublikowano 10 Września 2012 Autor Zgłoś Udostępnij Opublikowano 10 Września 2012 wszystkie polecenia wykonałem. Połączenie z siecią jest .Proszę o dalsze instrukcje Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 Teraz należy zająć się uszkodzonymi usługami. Podaj log z Farbar Service Scanner. Odnośnik do komentarza
krisp2511 Opublikowano 11 Września 2012 Autor Zgłoś Udostępnij Opublikowano 11 Września 2012 Witam !Podaję log z Farbar Service Scanner FSS.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 1. Rekonstrukcja usług Zapory systemu Windows (BFE + MpsSvc + SharedAccess i ich uprawnień): KLIK. Omiń sfc /scannow. To nie jest potrzebne. 2. Rekonstrukcja usług Centrum zabezpieczeń, Windows Update, Windows Defender. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS] "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\ 72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\ 63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance] "Library"="bitsperf.dll" "Open"="PerfMon_Open" "Collect"="PerfMon_Collect" "Close"="PerfMon_Close" "InstallType"=dword:00000001 "PerfIniFile"="bitsctrs.ini" "First Counter"=dword:000007d2 "Last Counter"=dword:000007e2 "First Help"=dword:000007d3 "Last Help"=dword:000007e3 "Object List"="2002" "PerfMMFileName"="Global\\MMF_BITS_s" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\ 00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\ 00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\ 00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\ 00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\ 00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\ 00,20,02,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv] "PreshutdownTimeout"=dword:036ee800 "DisplayName"="Windows Update" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%systemroot%\\system32\\wuaueng.dll,-106" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceMain"="WUServiceMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 Adnotacja dla innych czytających: import dopasowany do Windows Vista. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal 3. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. . Odnośnik do komentarza
krisp2511 Opublikowano 11 Września 2012 Autor Zgłoś Udostępnij Opublikowano 11 Września 2012 Przepraszam że tak długo .mam problemy z rekonstrukcją uprawnień. Rekonstrukcja kluczy BFE + MpsSvc + SharedAccess przebiegła prawidłowo. Narzędzie SetAcl rozpakowałem na pulpicie i po usunięciu wersji 64bit za pomocą wytnij \wklej przeniosłem do C:\Windows. W notatniku dodałem wskazane wkleiki i zmieniłem nazwę na fix.txt. przeniosłem do C:\ Polecenie cmd z poziomu administratora, wklejona komenda i Enter rezultat to załączony komunikat: Co zrobiłem źle ? Wertuję posta cały dzień i nie mogę znaleźć co.Proszę o pomoc i cierpliwość Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 Z plikiem fix.txt jest coś nie w porządku. Zrób go od zera. Odnośnik do komentarza
krisp2511 Opublikowano 11 Września 2012 Autor Zgłoś Udostępnij Opublikowano 11 Września 2012 Nic nie pomaga. Może nazwa pliku ( powinna być fix.txt. czy fix.txt -bez kropki na końcu ) Czy kodowanie w notatniku ma znaczenie ? jest ustawione kodowanie ANSI Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 Nazwa pliku to fix.txt (żadnych kropek na końcu). Plik zapisz w kodowaniu Unicode. Zrób go całkowicie od nowa. Odnośnik do komentarza
krisp2511 Opublikowano 11 Września 2012 Autor Zgłoś Udostępnij Opublikowano 11 Września 2012 Poszło .Przepraszam, jestem laikiem w sprawach komputera. Przesyłam log z Farbar Service Scanner. FSS.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 Szkody pomyślnie naprawione. Idziemy dalej: 1. Czyszczenie po narzędziach: przez SHIFT+DEL skasuj folder C:\TDSSKiller_Quarantine, w OTL uruchom Sprzątanie, ręcznie dokasuj inne używane. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Gdyby coś zostało wykryte, przedstaw raport. . Odnośnik do komentarza
krisp2511 Opublikowano 11 Września 2012 Autor Zgłoś Udostępnij Opublikowano 11 Września 2012 Rozumiem , że wszystkie wytworzone wpisy rejestrów i logi do kosza przez SHIFT+DEL. Wolę się upewnić Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 Pliki REG, narzędzie SetACL możesz usunąć ręcznie oraz logi ostałe się po Sprzątaniu OTL możesz usunąć ręcznie. Odnośnik do komentarza
krisp2511 Opublikowano 12 Września 2012 Autor Zgłoś Udostępnij Opublikowano 12 Września 2012 witam ! Przesyłam log z Malwarebytes Anti-Malware mbam-log-2012-09-12 (09-04-26).txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Września 2012 Zgłoś Udostępnij Opublikowano 12 Września 2012 1. Wyniki MBAM: wszystko do usunięcia z wyjątkiem Riskware.Tool.CK. Na Twojej liście zainstalowanych jest też (chyba już martwa) pozycja myBabylon_English Toolbar i to usuń. Po usunięciu wszystkiego ponów czyszczenie folderów Przywracania systemu. 2. Wykonaj podstawowe aktualizacje: KLIK. Tu cytat z Twojej listy zainstalowanych o co mi chodzi: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217006FF}" = Java 7 Update 6"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java SE Runtime Environment 6 Update 1"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.3)"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Mozilla Firefox 15.0 (x86 pl)" = Mozilla Firefox 15.0 (x86 pl) 3. Prewencyjnie zmień hasła logowania w serwisach. . Odnośnik do komentarza
krisp2511 Opublikowano 14 Września 2012 Autor Zgłoś Udostępnij Opublikowano 14 Września 2012 Witam Picasso! Wykonałem prawie wszystko ( zostało mi parę haseł na nieistotnych serwisach).Będę je zmieniał sukcesywnie. Riskware.Tool.CK usunąłem niepotrzebny folder. Czy jeszcze powinienem podjąć jakieś działania? Odnośnik do komentarza
picasso Opublikowano 14 Września 2012 Zgłoś Udostępnij Opublikowano 14 Września 2012 Cytat Czy jeszcze powinienem podjąć jakieś działania? To wszystko z mojej strony w temacie infekcji. Jeśli nie ma określonych problemów, to daj sygnał do zamknięcia tematu. . Odnośnik do komentarza
krisp2511 Opublikowano 14 Września 2012 Autor Zgłoś Udostępnij Opublikowano 14 Września 2012 Dziękuję BARDZO za pomoc Pani Picasso oraz Landussowi za podjęcie tematu.Zamykamy temat.Dzięki. Odnośnik do komentarza
Rekomendowane odpowiedzi