Skocz do zawartości

Zarażenie: Win64:sirefef-A [Trj]


Rekomendowane odpowiedzi

Witam i proszę o pomoc przy usunięciu wirusa (chyba w tym dziale powinienem napisać od razu, jeśli jest to zbędne z góry przepraszam za zamieszanie i proszę o usunięcie jednego z postów).

 

Mam 32-bitowy system operacyjny Windows Vista.

 

AVAST co chwię wyświetla na zmianę 2 komunikaty :

 

ZABLOKOWANE KOŃ TROJAŃSKI

Osłona systemu plików avast! zablokowała zagrożenie.

Nie są wymagane dalsze działania.

Obiekt: C:\Windows\Installer\...\800000cb.@

Zarażenie: Win64:sirefef-A [Trj]

Działanie: przeniesiono do kwarantanny

Proces: C:\Windows\system32\services.exe

 

ZABLOKOWANE ROTKIT

Osłona systemu plików avast! zablokowała zagrożenie.

Nie są wymagane dalsze działania.

Obiekt: C:\Windows\Installer\...\800000cb.@

Zarażenie Win32:sirefef-AO[Rtk]

Działanie: przeniesiono do kwarantanny

Proces: C:\Windows\system32\services.exe

OTL.Txt

Extras.Txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system.

 

2. Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz:

 

HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}

 

Zresetuj system.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\Installer\{20a7ac98-7a98-182e-89dc-95c72484c748}
C:\Users\A&I\AppData\Local\{20a7ac98-7a98-182e-89dc-95c72484c748}
C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
 
:OTL
IE - HKLM\..\SearchScopes\{4A00BFEE-7D01-4A32-987C-A8EA53C13D52}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=66ceb1b7-0169-11e1-8bc6-002354628dad&q={searchTerms}"
IE - HKLM\..\SearchScopes\{6D038445-2DF3-4059-B2B5-FED7840535FB}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=66ceb1b7-0169-11e1-8bc6-002354628dad&q={searchTerms}"
IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2737658"
IE - HKU\S-1-5-21-3566313445-2323643246-291810148-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=dpgppc&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-3566313445-2323643246-291810148-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKU\S-1-5-21-3566313445-2323643246-291810148-1000\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2737658"
IE - HKU\S-1-5-21-3566313445-2323643246-291810148-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92260396713916062"
O3 - HKU\S-1-5-21-3566313445-2323643246-291810148-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adusbser.sys -- (adusbser)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Odinstaluj adware. Przez Panel sterowania pozbądź się Ask Toolbar, Facemoods Toolbar, vShare.tv plugin 1.3, VshareComplete. Otwórz Google Chrome, w Rozszerzeniach powtórz deinstalację obiektów Facemoods i vShare, a w zarządzaniu wyszukiwarkami przestaw domyślną z Web Search na Google, po tym skasuj Web Search z listy.

 

5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner podczas czyszczenia.

 

 

 

.

 

 

Odnośnik do komentarza

Dziekuję za szybką odpowiedź.

Wykonałem zgodnie z instrukcją punkty od 1 do 3 (Podczas skanowania w OTL komputer zawiesił się ale wykonałem czynność od początku).

Informacja z avast o atakach trojana przestałą się pojawiać :).

 

Natomiast mam problem z wykonaniem poleceń z pkt. 4.

Odinstalowałem przez Panel sterowania Facemoods Toolbar, vShare.tv plugin 1.3, VshareComplete natomiast nie udało mi się odnaleść Ask Toolbar.

Czy jest to konieczne? jeśli tak to proszę o wskazowki jak to zrobić/gdzie go szukać?

Natomiast w Google Chrome w Rozszerzeniach wyświetla mi się tylko avast!WebRap. Nie widzę obiektów obiektów Facemoods i vShare?

Poproszę też o podpowiedź gdzie powinienem wejść w zarządzaniu wyszukiwarkami?

Odnośnik do komentarza
Odinstalowałem przez Panel sterowania Facemoods Toolbar, vShare.tv plugin 1.3, VshareComplete natomiast nie udało mi się odnaleść Ask Toolbar.

Czy jest to konieczne? jeśli tak to proszę o wskazowki jak to zrobić/gdzie go szukać?

 

Widocznie wpis jest ukryty. Zajmie się nim i tak AdwCleaner.

 

 

Natomiast w Google Chrome w Rozszerzeniach wyświetla mi się tylko avast!WebRap. Nie widzę obiektów obiektów Facemoods i vShare?

 

Albo główna deinstalacja przez Panel sterowania już to usunęła i z Google Chrome, albo wpisy dla Ciebie niewidoczne. Zadanie anuluj i przejdź do dalszych czynności.

 

 

Poproszę też o podpowiedź gdzie powinienem wejść w zarządzaniu wyszukiwarkami?

 

W Google Chrome w ustawieniach karta Ustawienia > klik w przycisk Zarządzaj wyszukiwarkami, przestaw domyślną wyszukiwarkę, po tym Web Search usuń z listy.

 

 

 

.

Odnośnik do komentarza

Zadania wykonane :). W załącznikach zamieszczam skany. Dziękuję za pomoc!

 

Komunikaty o zarażeniu trojanem przestały pojawiać się na bieżąco, więc wygląda na to że jest już ok.

 

Jednak skaner avast wykrywa nadal następujące zarażenia:

 

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\TemporaryInternetFiles\ContentIE5\OGXZH5RE\in[1].htm Zarażnie: JS:ScriptIP-inf[Trj] Przenieś do kwarantanny

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\TemporaryInternetFiles\ContentIE5\OGXZH5RE\in[2].htm Zarażenie: JS:ScriptIP-inf[Trj] Przenieś do kwarantanny

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\TemporaryInternetFiles\ContentIE5\CT2BIBXV\in[1].htm Zarażenie: JS:ScriptIP-inf[Trj] Przenieś do kwarantanny

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\TemporaryInternetFiles\ContentIE5\CT2BIBXV\in[3].htm Zarażenie: JS:ScriptIP-inf[Trj] Przenieś do kwarantanny

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\TemporaryInternetFiles\ContentIE5\IYPJ000I\in[1].htm Zarażenie: JS:ScriptIP-inf[Trj] Przenieś do kwarantanny

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\TemporaryInternetFiles\ContentIE5\NRTUBS50\in[1].htm Zarażenie: JS:ScriptIP-inf[Trj] Przenieś do kwarantanny

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\TemporaryInternetFiles\ContentIE5\NRTUBS50\in[2].htm Zarażenie: JS:ScriptIP-inf[Trj] Przenieś do kwarantanny

 

Czy trzeba jeszcze coś z tym robić czy już mogę uznać, że mój komputer jest bezpieczny?

 

Mam jeszcze jedno pytanie techniczne: Podczas wykonywania zadań kilka razy komputer wyłączył się po pojawieniu się

niebieskiego ekranu i komunikatu "Collecting data for crash dump...Inicializing disc forn crash dump..." (zdarzało się to już kiedyś ale sporadycznie).

Czy możliwe, że jest to związane z działaniem trojana czy powód leży raczej gdzie indziej?

OTL.Txt

FSS.txt

AdwCleanerS2.txt

Odnośnik do komentarza
Mam jeszcze jedno pytanie techniczne: Podczas wykonywania zadań kilka razy komputer wyłączył się po pojawieniu się

niebieskiego ekranu i komunikatu "Collecting data for crash dump...Inicializing disc forn crash dump..." (zdarzało się to już kiedyś ale sporadycznie).

Czy możliwe, że jest to związane z działaniem trojana czy powód leży raczej gdzie indziej?

 

Trudno określić pochodzenie tego zachowania.

 

 

Czy trzeba jeszcze coś z tym robić czy już mogę uznać, że mój komputer jest bezpieczny?

 

Jesteśmy dopiero w połowie. Tu jeszcze prace są przed nami. Trojan ZeroAccess niszczy usługi w rejestrze i należy je odbudować. Kolejna porcja działań:

 

1. To co wykrył Avast to ślady infekcji (nie jest już czynna) i usuń to Avastem. Następnie doczyść szczątki po deinstalacji adware. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKLM\..\Toolbar: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - No CLSID value found.
O3 - HKU\S-1-5-21-3566313445-2323643246-291810148-1000\..\Toolbar\WebBrowser: (no name) - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - No CLSID value found.
O3 - HKU\S-1-5-21-3566313445-2323643246-291810148-1000\..\Toolbar\WebBrowser: (no name) - {F999A48B-1950-4D81-9971-79018F807B4B} - No CLSID value found.

 

Klik w Wykonaj skrypt.

 

2. Rekonstrukcja usług Zapory systemu Windows (BFE + MpsSvc + SharedAccess i ich uprawnień via SetACL): KLIK. Omiń sfc /scannow, nie jest potrzebne.

 

3. Rekonstrukcja pozostałych usług. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS]

"DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000"

"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

"Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001"

"ObjectName"="LocalSystem"

"ErrorControl"=dword:00000001

"Start"=dword:00000002

"DelayedAutoStart"=dword:00000001

"Type"=dword:00000020

"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\

6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00

"ServiceSidType"=dword:00000001

"RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\

00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\

67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\

00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\

00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\

00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\

72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\

00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\

63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\

00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00

"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\

00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters]

"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\

00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\

71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance]

"Library"="bitsperf.dll"

"Open"="PerfMon_Open"

"Collect"="PerfMon_Collect"

"Close"="PerfMon_Close"

"InstallType"=dword:00000001

"PerfIniFile"="bitsctrs.ini"

"First Counter"=dword:000007d2

"Last Counter"=dword:000007e2

"First Help"=dword:000007d3

"Last Help"=dword:000007e3

"Object List"="2002"

"PerfMMFileName"="Global\\MMF_BITS_s"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security]

"Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\

00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\

00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\

00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\

20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\

00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\

00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\

00,20,02,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc]

"DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200"

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\

00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\

72,00,69,00,63,00,74,00,65,00,64,00,00,00

"Start"=dword:00000002

"Type"=dword:00000020

"Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201"

"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\

4d,00,67,00,6d,00,74,00,00,00,00,00

"ObjectName"="NT AUTHORITY\\LocalService"

"ServiceSidType"=dword:00000001

"RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\

00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\

67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\

00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\

00,00,00,00

"DelayedAutoStart"=dword:00000001

"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\

00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters]

"ServiceDllUnloadOnStop"=dword:00000001

"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\

00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\

77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security]

"Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\

05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\

20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\

00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\

00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\

00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\

7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\

00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]

"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00

"Start"=dword:00000002

"Type"=dword:00000020

"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"

"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00

"ObjectName"="LocalSystem"

"ServiceSidType"=dword:00000001

"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\

00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\

65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\

00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\

74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\

00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\

69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\

00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\

6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\

00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\

53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\

00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\

72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\

00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\

69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\

00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\

00,00

"DelayedAutoStart"=dword:00000001

"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\

00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]

"ServiceDllUnloadOnStop"=dword:00000001

"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\

00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\

20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\

00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]

"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\

05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\

00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\

84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\

00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\

05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\

04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\

01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]

"Type"=dword:00000005

"Action"=dword:00000001

"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv]

"PreshutdownTimeout"=dword:036ee800

"DisplayName"="Windows Update"

"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

"Description"="@%systemroot%\\system32\\wuaueng.dll,-106"

"ObjectName"="LocalSystem"

"ErrorControl"=dword:00000001

"Start"=dword:00000002

"DelayedAutoStart"=dword:00000001

"Type"=dword:00000020

"DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00

"ServiceSidType"=dword:00000001

"RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\

00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\

65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\

00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\

61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\

00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\

62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\

00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\

79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\

00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\

6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\

00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\

75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\

00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\

72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00

"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\

00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters]

"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\

00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\

77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00

"ServiceMain"="WUServiceMain"

"ServiceDllUnloadOnStop"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security]

"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\

05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\

20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\

01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

 

Adnotacja dla innych czytających: import dopasowany do Windows Vista.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal

 

4. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner.

 

.

Odnośnik do komentarza

Ok. Punkt 1 wykonany. Avast już nie znajduje zagrożeń :).

 

Natomiast co do rekonstrukcji usług Zapory systemu Windows po wejściu w Panel sterowania >Zapora systemu Windows mam info, że "Usługa Zapora systemu Windows nie jest uruchomiona."

Pod spodem jest info "Zapora systemu Windows nie używa zalecanych ustawień w celu ochrony komputera" ale nie ma okienka "Użyj ustawień zalecanych".Po kliknięciu na "Aktualizuj ustawienia" pojawia się komunikat "Zapora systemu Windows nie może dokonać żadnych aktualizacji."

Nie ma informacji o błędzie 0x80070424.Czy mimo to postępować według dalszej instrukcji?

 

Jeśli tak to gdzie wejść aby odznaczyć opcję Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukrywaj rozszerzenia dla znanych typów plików?

Własne opcje skanowaniaOTL.txt

Odnośnik do komentarza
Nie ma informacji o błędzie 0x80070424.Czy mimo to postępować według dalszej instrukcji?

 

Postępuj dokładnie wg zadanych przeze mnie instrukcji. Dane pobrałam z raportu Farbar Service Scanner, który jasno mówi, że z rejestru zostały kompletnie skasowane usługi, które wymieniam jako te wymagające odbudowy.

 

 

Jeśli tak to gdzie wejść aby odznaczyć opcję Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukrywaj rozszerzenia dla znanych typów plików?

 

Otwierasz Mój komputer i na pasku narzędziowym klik w Organizuj, a dalej jak podane.

 

 

.

Odnośnik do komentarza

Rekonstrukcja usług Zapory systemu Windows (BFE + MpsSvc + SharedAccess) i pozostałych usług wykonane.

Czy odnośnie uprawnień via SetACL jeszcze coś trzeba robić czy wystarczyło użycuie pliku z SharedAccess?

Pominąłem rekonstrukcję mpsdrv. Nie jest potrzebna?

Na razie zapora nie działa ale może jeszcze nie wszystko zostało zrobione?

FSS.txt

Odnośnik do komentarza
Pominąłem rekonstrukcję mpsdrv. Nie jest potrzebna?

 

Wyraźnie punktowałam trzy konkretne usługi. Nie, nie jest potrzebna.

 

 

Czy odnośnie uprawnień via SetACL jeszcze coś trzeba robić czy wystarczyło użycuie pliku z SharedAccess?

 

Przez SetACL musisz zrzucić uprawnienia dla wszystkich trzech usług po kolei: BFE, MpsSvc, SharedAccess.

 

 

Na razie zapora nie działa ale może jeszcze nie wszystko zostało zrobione?

 

Tak jak mówię: prawdopodobnie nie odtworzyłeś wszystkich uprawnień.

 

 

.

Odnośnik do komentarza

Przyznaję, niedokładnie przeanalizowałem instrukcję..

Teraz już wiem czego nie wykonałem ale niestety nadal nie udaje mi się odtworzyć uprawnień.Widocznie coś źle robię :(.

Wypakowałem do Windows z SetACL.exe (przez Zip) folder 32 bit.Zapisałaem plik fix.txt na dysku C.

Jak wklejam w cmd komendę to pojawia się info 'Nazwa "SetACL" nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne,program wykonywalny lub plik wsadowy'.

Nie wiem w czym tkwi problem?

Odnośnik do komentarza
Wypakowałem do Windows z SetACL.exe (przez Zip) folder 32 bit.Zapisałaem plik fix.txt na dysku C.

Jak wklejam w cmd komendę to pojawia się info 'Nazwa "SetACL" nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne,program wykonywalny lub plik wsadowy'.

Nie wiem w czym tkwi problem?

 

Problem w podkreślonym. W C:\Windows masz umieścić plik SetACL.exe a nie folder.

 

 

 

.

Odnośnik do komentarza

Zmierzamy ku końcowi:

 

1. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, przez SHIFT+DEL skasuj pozostałe używane narzędzia / fiksy oraz katalog C:\_OTL. Nie używaj opcji Sprzątanie w OTL!, gdyż posiadasz wersję, która ma krytyczny błąd: KLIK.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Na wszelki wypadek zrób jeszcze skanowanie w Malwarebytes Anti-Malware (zainstaluj wersję darmową). Jeśli coś wykryje, przedstaw raport. Jeśli nic nie wykryje:

 

4. Zaktualizuj wyliczone ponożej oprogramowanie: KLIK. Wersje widzialne aktualnie w systemie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java™ 6 Update 30

"{5335DADB-34BA-4AE8-A519-648D78498846}" = Skype™ 5.3

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish

"{CEE2613D-3B53-4447-BA2D-E88C08272581}" = LibreOffice 3.3

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

 

 

PS. I jeszcze polecam zamianę ciężkiego Gadu-Gadu 10 lżejszą alternatywą z obsługą sieci Gadu. Propozycje: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.

Odnośnik do komentarza

Ad.pkt.1.

 

Usunąłem co mogłem.

 

Ponieważ miałem trudności w ściągnięciu AdwCleaner w wersji 1.409 z podanej strony, więc skorzytsałem z AdwCleaner 1.800 ściągniętego z instalek. Z tego co pamiętam skorzystałem z niego bez zapisywania na dysku.Podobnie zrobiłem z Farbar Service Scanner.

W tej sytuacji chyba nie ma żadnych pozostałości po nich?

 

Wszystkie dokumenty tekstowe mają być wykasowane czy chodzi głównie o te z rozszerzeniem reg?

 

Czy plik SetACL też mam usunąć z Windowsa?

Odnośnik do komentarza
Ponieważ miałem trudności w ściągnięciu AdwCleaner w wersji 1.409 z podanej strony, więc skorzytsałem z AdwCleaner 1.800 ściągniętego z instalek. Z tego co pamiętam skorzystałem z niego bez zapisywania na dysku.

 

Nie pobieraj staroci z Instalek. Jaki masz problem z pobraniem AdwCleaner z oryginalnej strony?

 

 

Wszystkie dokumenty tekstowe mają być wykasowane czy chodzi głównie o te z rozszerzeniem reg?

 

Czy plik SetACL też mam usunąć z Windowsa?

 

Do usunięcia było wszystko, co w trakcie leczenia pobrałeś bądź utworzyłeś. Czyli w to wchodzi też SetACL oraz wszelkie pliki utworone ręcznie.

 

 

 

.

Odnośnik do komentarza
Nie pobieraj staroci z Instalek. Jaki masz problem z pobraniem AdwCleaner z oryginalnej strony?

 

Ok.Wiem, to nie była wina strony tylko ogólnie z pobieraniem czegokolwiek bo laptop zawieszał się ciągle.

 

A teraz z kolei chyba się rozpędziłem i zrobiłem czyszczenie lokalizacji tymczasowych za pomocą TFC.Nie trzeba było tego robić?

Teraz nie aktualizuje mi się Avast i wygląda na to, że inne progamy też?

Avast binformuje: "Ostatnio wykryty błąd:Pakiet jest uszkodzony."

I co teraz?

Odnośnik do komentarza
A teraz z kolei chyba się rozpędziłem i zrobiłem czyszczenie lokalizacji tymczasowych za pomocą TFC.Nie trzeba było tego robić?

 

Tego nie musiałeś robić, było to już tu wykonywane w postaci komendy [emptytemp] w skrypcie OTL. Komenda ta robi to samo co program TFC. Niemniej przeprowadzone ponownie czyszczenie Temp można było ponowić, pliki Temp pewnie znów powstały.

 

 

Teraz nie aktualizuje mi się Avast i wygląda na to, że inne progamy też?

 

To nie powinno być związane z powyższym. Opisz dokładniej co się dzieje.

 

 

Avast binformuje: "Ostatnio wykryty błąd:Pakiet jest uszkodzony."

I co teraz?

 

Ale gdzie i na temat czego informuje? Przedstaw dokładniej.

 

 

 

.

Odnośnik do komentarza

Uruchomiłem TFC, musiałem jednak pilnie skorzystać z internetu a nie wiedziałem ile potrwa skanowanie, więc przerwałem działanie programu. Potem komputer oczywiście zawiesił się (choć i tak lepiej jest z tym ostatnio) i po restarcie Avast wyświetlił informację o tym, że aktualizacja definicji wirusów nie powiodła się i aby jak najszybciej jej dokonać.W związku z tym próbowałęm dokonać aktualizacji i wtedy pojawił się komunikat "Ostatnio wykryty błąd:Pakiet jest uszkodzony".Do tego jest info: "Pilne:Zapora ogniowa wyłączona".

 

Uznałem, że w tej sytuacji sprawdzę w Panelu sterowania czy są aktualizacje do zrobienia. Niestety żadna z nich nie powiodła się. Plik z konkretami wstawiam poniżej.

 

Nie wiem czy ma to znaczenie ale wczoraj pojawiło się też info, że Flash Player nie działa.

 

PS.

Malwere nic nie wykrył.

Nadal nie nie można zainstalować żadnych aktualizacji. Dostępnych jest już 19.Nie wiem czy jest sens je wszystkie przytaczać, bo nie aktualizuje się praktycznie nic.

Przy próbie zaktualizowania Javy pojawił się następujący komunikat: "Error 1500.Another instalation is in progress.You must complete that instalation before continuing this one."

 

PS2.

Jednak po ponowieniu próby udało się zaktualizować Jave.W takim razie sprónuję chyba z kolejnymi programami...

A może jednak jest potrzebne zaistalowanie Service Pack-ów? Jak można sprawdzić czy mam SP1 i SP2?

 

PS3.Udało się zainstalować kilka aktulaizacji windows Upadate z dzisiaj (dotyczą zabezpieczeń Windows) ale te wczorajsze nadal nie uruchamiają się. Baza wirusów też się zaktualizowała. Nie działa ta zapora ogniowa w Avast (cokolwiek to oznacza?).

Aktualizacje zakończone niepowodzeniem.txt

Odnośnik do komentarza
A może jednak jest potrzebne zaistalowanie Service Pack-ów? Jak można sprawdzić czy mam SP1 i SP2?

 

Nie. Masz już w systemie najwyższy SP z możliwych, poświadcza to nagłówek raportu z OTL:

 

Windows Vista Home Basic Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation

Internet Explorer (Version = 9.0.8112.16421)

 

 

Potem komputer oczywiście zawiesił się (choć i tak lepiej jest z tym ostatnio) i po restarcie Avast wyświetlił informację o tym, że aktualizacja definicji wirusów nie powiodła się i aby jak najszybciej jej dokonać.W związku z tym próbowałęm dokonać aktualizacji i wtedy pojawił się komunikat "Ostatnio wykryty błąd:Pakiet jest uszkodzony".Do tego jest info: "Pilne:Zapora ogniowa wyłączona".

 

Avast proponuję przeinstalować. Komputer się zawiesił w niespodziewany sposób i conajmniej jeden z komponentów Avast został wtedy uszkodzony. Być może Avast ma również związek z dysfunkcją sieci.

 

 

PS3.Udało się zainstalować kilka aktulaizacji windows Upadate z dzisiaj (dotyczą zabezpieczeń Windows) ale te wczorajsze nadal nie uruchamiają się. Baza wirusów też się zaktualizowała. Nie działa ta zapora ogniowa w Avast (cokolwiek to oznacza?).

 

Pomiędzy deinstalacją Avast a jego ponowną instalacją spróbuj zainstalować te łatki, których się nie dało.

 

 

 

.

Odnośnik do komentarza

Pokaż mi spis uprawnień tych kluczy. Uruchom MiniRegTool i w oknie wklej:

 

HKEY_LOCAL_MACHINE\SOFTWARE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl

 

Klik w List permissions i klik w Go. Przedstaw wynikowy log, który powstanie w tym samym katalogu co uruchamiane narzędzie.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...