tomicher Opublikowano 10 Października 2012 Zgłoś Udostępnij Opublikowano 10 Października 2012 Na wstępie chciałbym powiedzieć że pracuję na: - windows 7 x64 - intel core i7 920 @ 2,67 Ghz - 7 GB RAM - dysk systemowy MAXTOR STM3160813AS Od wczoraj nastąpił drastyczny spadek używalności komputera. Potrafi się 10 minut włączać do pulpitu, zawiesza się przy niemal każdej możliwej komendzie, często odmawia włączania prostych programów typu foobar czy tlen. Skype czy photoshop ( http://img706.images...590/errorxh.jpg ) wyłączał się sam z siebie przedstawiając okienko o błędzie. Czasami miał wcześniej jakieś oznaki problemów kiedy potrafił zawiesić się przy starcie systemu czy dłużej pomyśleć przy prostej czynności. Teraz jednak to już uniemożliwia wykonanie czegokolwiek a tymbardziej pracowaniu. Zastyga raz na 10 sek raz na 5 min po czym ponownie popuszcza i pozwala cos otworzyc/zamknąć by za kilka chwil znowu robić problemy... Czuje się jakby to i7 i 7gb ramu podmienili z amigą. Na początku myślałem po tych errorach że to jakieś problemy z dyskiem maxtora, wywalał mi czasami jakieś błędy, czasami nie chciał się włączyć przy włączaniu kompa. Wtedy zwykły restart wystarczał żeby się jednak uruchomił poprawnie. Sprawdziłem jednak HDD Regeneratorem że bad sectorów jako takich nie ma więc zacząłem drążyć dalej... AVG znajduje jakieś cuda mniej lub bardziej groźne (tego nie wiem) zastanawiam się czy je kasować czy lepiej się wstrzymać. Na chwile obecną wolę najpierw Wam pokazać całą sytuację http://img443.images...4/screen1di.jpg http://img854.images...6/screen2ad.jpg Security Check: Results of screen317's Security Check version 0.99.51 Windows 7 x64 (UAC is enabled) Out of date service pack!! Internet Explorer 8 Out of date! ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! ESET Smart Security 4.2 Antivirus out of date! `````````Anti-malware/Other Utilities Check:````````` Spybot - Search & Destroy Java™ 6 Update 35 Java version out of Date! Adobe Flash Player 11.3.300.257 Flash Player out of Date! Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox 14.0.1 Firefox out of Date! ````````Process Check: objlist.exe by Laurent```````` AVG avgwdsvc.exe AVG avgtray.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: 5% ````````````````````End of Log`````````````````````` Z góry dziękuje Wam za pomoc i odratowanie blaszaka. P.S Po pierwszym dzisiaj włączeniu komputera ikony z pulpitu są w zmienionej kolejności niż oryginalne ustawienie i i potworzyły się pliki ukryte/duchy niektórych dokumentów z Worda, które nawet nie były na pulpicie. Każdy z nich ma początek rozpoczynający się od ~$nazwa pliku.docx Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Października 2012 Zgłoś Udostępnij Opublikowano 10 Października 2012 AVG znajduje jakieś cuda mniej lub bardziej groźne (tego nie wiem) zastanawiam się czy je kasować czy lepiej się wstrzymać. AVG znajduje trojana ZeroAccess w wariancie modyfikującym plik systemowy services.exe. Proszę o dodatkowe skany: 1. Uruchom SystemLook x64 i do skanu wklej: :filefind services.exe Klik w Look i przedstaw wynikowy raport. 2. Zrób też log z Farbar Service Scanner. Po pierwszym dzisiaj włączeniu komputera ikony z pulpitu są w zmienionej kolejności niż oryginalne ustawienie Konsekwencje pobytu trojana ZeroAccess. Są tu aż dwa jego warianty, services.exe + CLSID. To ten drugi poprzez dodanie specyficznego klucza w rejestrze powoduje niemożność zapamiętania widoków. potworzyły się pliki ukryte/duchy niektórych dokumentów z Worda, które nawet nie były na pulpicie. Każdy z nich ma początek rozpoczynający się od ~$nazwa pliku.docx Te pliki duchy były już w systemie. Zobaczyłeś je nagle, bo skan z OTL przełączył widoczność ukrytych plików, co jest równoznaczne z tą konfiguracją w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznaczone Pokaż ukryte pliki i foldery + odznaczone Ukryj chronione pliki systemu operacyjnego. Z pewnością miałeś wcześniej zaznaczone Ukryj chronione pliki systemu operacyjnego i w błogiej nieświadomości egzystowałeś z tymi plikami od niewiadomo jak długiego czasu. A same pliki są w porządku. Cytuję z innego tematu: Te pliki ze znakiem tyldy + dolara i rozszerzeniem doc to tzw. pliki właściciela. Artykuł Microsoftu na temat plików tymczasowych Office: KB211632. I stosowne objaśnienia: "Owner File (Same Directory as Source File) When a previously saved file is opened for editing, for printing, or for review, Word creates a temporary file that has a .doc file name extension. This file name extension begins with a tilde (~) that is followed by a dollar sign ($) that is followed by the remainder of the original file name. This temporary file holds the logon name of person who opens the file. This temporary file is called the "owner file."" When you try to open a file that is available on a network and that is already opened by someone else, this file supplies the user name for the following error message: "This file is already opened by user name. Would you like to make a copy of this file for your use?" Word may be unable to create an owner file. For example, Word cannot create an owner file when the document is on a read-only share. In this case, the error message changes to the following error message: "This file is already opened by another user. Would you like to make a copy of this file for your use?" Note Word automatically deletes this temporary file from memory when the original file is closed. When you open a file by using the HTTP or FTP protocol, the file is first copied to the temp directory. Then, the file is opened from the temp directory. When you open a file on a UNC share with Word 2007, the file is first copied to the temp directory. Then, the file is opened from the temp directory. . Odnośnik do komentarza
tomicher Opublikowano 10 Października 2012 Autor Zgłoś Udostępnij Opublikowano 10 Października 2012 Załączam pliki z wynikami. SystemLook 30.07.11 by jpshortstuff Log created at 15:29 on 10/10/2012 by tomicher Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 014A9CB92514E27C0107614DF764BC06 C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- FSS.txt Odnośnik do komentarza
picasso Opublikowano 10 Października 2012 Zgłoś Udostępnij Opublikowano 10 Października 2012 Tak, definitywnie plik services.exe jest zainfekowany, a log z Farbar dodatkowo potwierdza rzeźnię w usługach Windows (trojan skasował Zaporę systemu, Centrum zabezpieczeń, Windows Update i Windows Defender). 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz: HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1} Zresetuj system. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{0bf05217-f169-8e8f-47a7-de35fbe3d57e} C:\Users\tomicher\AppData\Local\{0bf05217-f169-8e8f-47a7-de35fbe3d57e} C:\Users\tomicher\AppData\Roaming\update C:\ProgramData\C5m67 C:\ProgramData\T09F8 C:\Program Files (x86)\Mozilla Firefox\extensions\ffxtlbr@babylon.com :OTL IE - HKU\S-1-5-21-3059515562-499425584-3167495624-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109980&babsrc=SP_ss&mntrId=70ca1a4d000000000000001986000a4b" IE - HKU\S-1-5-21-3059515562-499425584-3167495624-1001\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=BT4&o=15455&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=H2&apn_dtid=YYYYYYYYPL&apn_uid=C9C502C0-C630-43D3-80B7-F1FD8F0E7001&apn_sauid=AB3B5661-0403-4098-A9FD-89307688F006" O2 - BHO: (cashtitan browser enhancer) - {A132030F-7F5B-D5D3-2A77-C040A94F87B0} - C:\Windows\SysWow64\qurtbxgxgfttkp.dll File not found O3 - HKU\S-1-5-21-3059515562-499425584-3167495624-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4:64bit: - HKLM..\Run: [AutoKMS] C:\Windows\AutoKMS.exe File not found O4 - HKLM..\Run: [AutorunRemover.exe] D:\AutorunRemover\AutorunRemover.exe -Hide File not found O4 - HKLM..\Run: [sujlzmrpyzmp] C:\Windows\System32\regsvr32.exe /s "C:\Windows\system32\qurtbxgxgfttkp.dll" File not found O4 - HKU\S-1-5-21-3059515562-499425584-3167495624-1001..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-3059515562-499425584-3167495624-1001..\Run: [MSIDLL] C:\Windows\SysWOW64\rundll32.exe msiwqt32.dll,GTqlesIRoAV File not found O4 - HKU\S-1-5-21-3059515562-499425584-3167495624-1001..\Run: [YXE7DXCQ37] C:\Users\tomicher\AppData\Local\Temp\Ajy.exe File not found O7 - HKU\S-1-5-21-3059515562-499425584-3167495624-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 4. Przez Panel sterowania odinstaluj szczątek adware Advanced Performance Platform Cashtitan. Od razu też usuń archaiczny i mało przydatny dziś Spybot - Search & Destroy, a także HDD Regenerator (powody dlaczego nie należy tego stosować: KLIK). 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz SystemLook na te same warunki co poprzednio. . Odnośnik do komentarza
tomicher Opublikowano 10 Października 2012 Autor Zgłoś Udostępnij Opublikowano 10 Października 2012 Wszystkie kroki przeprowadziłem zgodnie z instrukcjami. Wydaje mi się, że nie napotkałem żadnych komplikacji/problemów. W załącznikach ponownie wrzucam logi. Zaraz po restarcie systemu po działaniu OTL "wypluł" też txt o który niekoniecznie prosiłaś ale wrzucam go dla świętego spokoju. SystemLook 30.07.11 by jpshortstuff Log created at 16:55 on 10/10/2012 by tomicher Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 014A9CB92514E27C0107614DF764BC06 C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- zaraz po restarcie z OTL.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Października 2012 Zgłoś Udostępnij Opublikowano 10 Października 2012 Log z SystemLook w ogóle nie potwierdza wyleczenia pliku services.exe. Plik ma złą sumę kontrolną i jest definitywnie spatchowany przez ZeroAccess. Czy na pewno w punkcie 1 prawidłowo wykonałeś tę komendę, albo może pojawił się tam jakiś błąd? Powtórka: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. Jeśli pojawi się jakikolwiek błąd tutaj, wiernie przepisz. 2. Kolejny skan w SystemLook zrób na to samo co poprzednio. . Odnośnik do komentarza
tomicher Opublikowano 10 Października 2012 Autor Zgłoś Udostępnij Opublikowano 10 Października 2012 Tak obecnie przedstawia się okienko po wpisaniu komendy. Przeprowadzać kolejne kroki czy jednak jakaś zmiana planu działania ? Odnośnik do komentarza
picasso Opublikowano 10 Października 2012 Zgłoś Udostępnij Opublikowano 10 Października 2012 Czyli jest problem: SFC nie działa wcale, dlatego pliku nie podmienił. Na razie nie diagnozuję dlaczego SFC nie działa, trzeba szybko podmienić plik systemowy zainfekowany przez ZeroAccess. Inna metoda wymiany pliku czystą kopią: 1. Pobierz narzędzie FRST x64 i umieść na pendrive. 2. Otwórz Notatnik i wklej w nim: CMD: copy /y C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe C:\Windows\System32\services.exe Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST. 3. F8 przy starcie komputera > Napraw komputer > Wiersz polecenia > zgodnie z opisem uruchom narzędzie FRST i wybierz w nim opcję Fix. 4. Resetujesz do Windows i robisz nowy log z SystemLook na te same warunki co poprzednio. . Odnośnik do komentarza
tomicher Opublikowano 10 Października 2012 Autor Zgłoś Udostępnij Opublikowano 10 Października 2012 3. F8 przy starcie komputera > Napraw komputer > Wiersz polecenia > zgodnie z opisem uruchom narzędzie FRST i wybierz w nim opcję Fix I tu się zaczynają schody... moja klawierka pracuje na bluetooth i nie reaguje w biosie na żadnych klawiszach. Da się to jakoś obejść czy lecieć pożyczyć klawiature na 5 minut ? Odnośnik do komentarza
picasso Opublikowano 10 Października 2012 Zgłoś Udostępnij Opublikowano 10 Października 2012 W BIOS sprawdź status opcji Enable USB Legacy Support lub czegoś brzmiącego podobnie. Jeśli nic z tego, to leć po klawiaturę PS/2. Odnośnik do komentarza
tomicher Opublikowano 10 Października 2012 Autor Zgłoś Udostępnij Opublikowano 10 Października 2012 w końcu pożyczyłem na te kilka minut klawierke... tak to wygląda obecnie: SystemLook 30.07.11 by jpshortstuff Log created at 19:37 on 10/10/2012 by tomicher Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- Odnośnik do komentarza
picasso Opublikowano 10 Października 2012 Zgłoś Udostępnij Opublikowano 10 Października 2012 Nareszcie, plik podstawiony pomyślnie. Czyli teraz drobne korekty na podstawie ostatniego raportu OTL plus naprawa szkód wyrządzonych przez ZeroAccess. 1. W procesach nadal działa Spybot - Search & Destroy, czy jest jakiś problem z jego wywaleniem? Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [HDD Regenerator] C:\Program Files (x86)\HDD Regenerator\HDD Regenerator.exe File not found [2012-10-10 01:37:40 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\HDD Regenerator [2010-09-06 23:20:20 | 000,000,000 | ---- | C] () -- C:\Users\tomicher\AppData\Roaming\chrtmp :Commands [emptytemp] Klik w Wykonaj skrypt. 2. Rekonstrukcja usług Centrum zabezpieczeń, Windows Update i Windows Defender. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS] "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\ 72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\ 63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance] "Library"="bitsperf.dll" "Open"="PerfMon_Open" "Collect"="PerfMon_Collect" "Close"="PerfMon_Close" "InstallType"=dword:00000001 "PerfIniFile"="bitsctrs.ini" "First Counter"=dword:000007d2 "Last Counter"=dword:000007e2 "First Help"=dword:000007d3 "Last Help"=dword:000007e3 "Object List"="2002" "PerfMMFileName"="Global\\MMF_BITS_s" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\ 00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\ 00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\ 00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\ 00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\ 00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\ 00,20,02,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv] "PreshutdownTimeout"=dword:036ee800 "DisplayName"="Windows Update" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%systemroot%\\system32\\wuaueng.dll,-106" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceMain"="WUServiceMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 Adnotacja dla innych czytających: import dopasowany do Windows 7. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal 3. Rekonstrukcja usług Zapory systemu Windows (BFE + MpsSvc + SharedAccess oraz ich uprawnień via SetACL): KLIK. Omiń sfc /scannow. 4. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. . Odnośnik do komentarza
tomicher Opublikowano 10 Października 2012 Autor Zgłoś Udostępnij Opublikowano 10 Października 2012 Punkt 1 i 2 wykonałem w całości. Co do SpyBot'a to jestem przekonany że wyrzuciłem go przez panel sterowania. Sprawdziłem teraz jeszcze raz i tam go juz nie ma. W punkcie 3 musiałem pobrać narzędzie SetACL aby móc wykonać operacje na tych wskazanych plikach zgodnie z informacją w poście poniżej (Operacja odtwarzania uprawnień kluczy BFE, MpsSvc oraz SharedAccess jest rozpisana w następnym poście. Na tym etapie odtwarzania Zapory należy wykonać wszystkie działania tam opisane.) Podczas instalacji SetACL poinformował mnie że potrzebuje NET frameworka 4 i sam przekierował mnie żeby pobrać frameworka. Kiedy instaluje frameworka pojawia się problem z instalacją po samym ściągnięciu całego pliku. Wygląda to tak: Odnośnik do komentarza
picasso Opublikowano 10 Października 2012 Zgłoś Udostępnij Opublikowano 10 Października 2012 W punkcie 3 musiałem pobrać narzędzie SetACL (...) Podczas instalacji SetACL poinformował mnie że potrzebuje NET frameworka 4 i sam przekierował mnie żeby pobrać frameworka.Kiedy instaluje frameworka pojawia się problem z instalacją po samym ściągnięciu całego pliku. Ale przecież to nie to narzędzie! Pobrałeś instalacyjny graficzny SetACL Studio, a masz pobrać bezinstalacyjny konsolowy SetACL. Co do SpyBot'a to jestem przekonany że wyrzuciłem go przez panel sterowania. Sprawdziłem teraz jeszcze raz i tam go juz nie ma. W ostatnim OTL program widoczny jako uruchomiony: ========== Processes (SafeList) ========== PRC - [2009-03-05 16:07:20 | 002,260,480 | ---- | M] (Safer-Networking Ltd.) -- D:\Spybot - Search & Destroy 32 bit\TeaTimer.exe . Odnośnik do komentarza
tomicher Opublikowano 10 Października 2012 Autor Zgłoś Udostępnij Opublikowano 10 Października 2012 kolejny raz miałeś/aś racje. to już jest powoli nudne ! : D Zgodnie z prośbą przesyłam kolejny log, tym razem FSS. P.S w procesach nie mam już tea timer'a, w panelu sterowania spy bot też zniknął. FSS.txt Odnośnik do komentarza
picasso Opublikowano 10 Października 2012 Zgłoś Udostępnij Opublikowano 10 Października 2012 Apropos "miałeś/aś" = jestem kobietą. W kwestii raportu Farbar Service Scanner: wszystkie usługi odbudowane. Możemy przejść do finalizacji czyszczenia: 1. Wyczyść po narzędziach: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj inne używane narzędzia czy fiksy. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
tomicher Opublikowano 10 Października 2012 Autor Zgłoś Udostępnij Opublikowano 10 Października 2012 To tym bardziej mi miło =) Punkty 1,2 i 3 wykonane. Malwarebytes Anti-Malware wykazało jedynie trochę ponad... 200 zainfekowanych plików. Zaznaczyłem wszystkie do wyleczenia, teraz chyba całość jest w zakładce "kwarantanna". Oto log: mbam-log-2012-10-10 (23-52-13).txt Odnośnik do komentarza
picasso Opublikowano 11 Października 2012 Zgłoś Udostępnij Opublikowano 11 Października 2012 1. Wyniki MBAM: 99% to trojany (cały folder C:\Program Files (x86)\Common Files\ComObject), a za te dwa samotne cracki głowy na pniu nie podłożę. Jak rozumiem już usuwałeś za pomocą MBAM cały majdan, to ponownie wyczyść foldery Przywracania systemu. 2. Wracam do dysfunkcji wewnętrznego narzędzia reperacyjnego SFC. Uruchom cmd jako Administrator i wklej ponownie tę komendę: sfc /scanfile=C:\Windows\system32\services.exe Tym razem jej celem nie jest leczenie pliku services.exe, bo jest już poprawny, tylko sprawdzenie czy komenda ta nadal zwraca błąd "Windows Resource Protection could not perform the requested operation" . Odnośnik do komentarza
tomicher Opublikowano 11 Października 2012 Autor Zgłoś Udostępnij Opublikowano 11 Października 2012 1. Mimo iż pliki i foldery ukryte mam wyświetlane to ComObject nie widzę w Common Files. Wczoraj dałem te wszystkie pliki do kwarantanny, dzisiaj je wykasowałem. 2.Wrzuciłem to w cmd, screen w załączniku Odnośnik do komentarza
picasso Opublikowano 11 Października 2012 Zgłoś Udostępnij Opublikowano 11 Października 2012 Podsumuj jak się zachowuje aktualnie system. Wygląda na to, że możemy już kończyć: 1. Aktualizacje Windows i poniżej wyliczonych aplikacji: KLIK. Twój raport przedstawia nieaktualizowany system (brak SP1+IE9) i wersje: 64bit- Professional (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 ----> doinstaluj pakiet SP1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 35"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"FileZilla Client" = FileZilla Client 3.3.4.1 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_257.dll ()FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation) 2. Prewencyjna wymiana haseł logowania w serwisach. PS. Widzę zainstalowany Tlen.pl. Aplikacja nierozwijana i martwa. Zainteresuj się WTW: KLIK. 1. Mimo iż pliki i foldery ukryte mam wyświetlane to ComObject nie widzę w Common Files.Wczoraj dałem te wszystkie pliki do kwarantanny, dzisiaj je wykasowałem. Tak, bo MBAM przecież cały odgórny folder wykrył i zajął się nim. Ja tylko komentowałam typy wyników. 2.Wrzuciłem to w cmd, screen w załączniku Narzędzie SFC działa teraz prawidłowo. Być może wtedy to trojan wpływał negatywnie na tę komendę, choć byłby to pierwszy przypadek na forum tego rodzaju. U innych albo komenda SFC prawidłowo wykonana, albo niedziałająca z innych powodów niż infekcja. . Odnośnik do komentarza
tomicher Opublikowano 30 Października 2012 Autor Zgłoś Udostępnij Opublikowano 30 Października 2012 Wybacz że dopiero teraz odpisuję ale za dużo się działo ostatnimi czasy, żeby skupić się na komputerze i doprowadzić wszystko do porządku. System jest w miarę stabilny. Uruchamia się poprawnie, tak samo jak i wyłącza. Anti-Malware robi trochę kłopotów, blokując mi czasami połoączenie Tlena, ikonka zmieniła się na czarno informując mnie że minął okres testowy. Kwestie aktualizacji systemu muszę jeszcze odpowiedni doczytać czy mogę ją wykonać... WTW dobrze rokuje, choć przyznam że na chwilę obecną jak dla mnie jest zbyt surowa, design i dostosowanie tej aplikacji pod siebie nie powoduje bym na chwilę obecną zamienił ją z Tlenu. Odnośnik do komentarza
picasso Opublikowano 30 Października 2012 Zgłoś Udostępnij Opublikowano 30 Października 2012 (edytowane) Kwestie aktualizacji systemu muszę jeszcze odpowiedni doczytać czy mogę ją wykonać... Co to znaczy "czy mogę"? WTW dobrze rokuje, choć przyznam że na chwilę obecną jak dla mnie jest zbyt surowa, design i dostosowanie tej aplikacji pod siebie nie powoduje bym na chwilę obecną zamienił ją z Tlenu. O co konkretnie chodzi z "dostosowaniem"? Ta aplikacja ma większe możliwości rozszerzeń (wtyczki / kompozycje) niż Tlen. A Tlen i tak prędzej czy później trzeba będzie porzucić, wszyscy uciekają, bo to już martwy produkt. . Edytowane 30 Listopada 2012 przez picasso 30.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi