Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Zablokowany system weelsof - czy na pewno szkodnik w całości jest usunięty?

xrobcio

Przez xrobcio
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

xrobcio

xrobcio

Opublikowano
Opublikowano

Witam, komputer znajomego po zalogowaniu sie windowsa zostawal blokowany po jakis 30 sek..

W trybie awaryjnym przez msconfig udalo mi sie wylaczac proces ktory blokowal system i recznie go usunalem. Screen w zalaczniku.

 

Dodatkowo w systemie nie dziala aktualizacja MS bo "usluga nie jest uruchomiona". MicrosoftFixit50202 nie pomaga.

 

EDIT:

Przed skanem OLT, antimalware usunal trojana.delf z C:\ProgramData\lsass.exe

post-8284-0-95200200-1351195777_thumb.jpg

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
W trybie awaryjnym przez msconfig udalo mi sie wylaczac proces ktory blokowal system i recznie go usunalem. Screen w zalaczniku.

 

Czy usunąłeś również wpis w msconfig? Skan OTL w domyślnej konfiguracji nie przedstawia wpisów wyłączonych przez msconfig. Oceniając logi: po infekcji pozostał jeszcze plik netdislw.pad, a także należy usunąć adware.

 

1. Jeżeli nadal jest ów wpis wyłączony w msconfig, to Start > w polu szukania wpisz regedit > wejdź do poniższego klucza:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

 

Skasuj z niego wartość ctfmon korespondującą do wyłączonego wpisu infekcji.

 

2. Przez Panel sterowania odinstaluj adware Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\netdislw.pad
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

Dodatkowo w systemie nie dziala aktualizacja MS bo "usluga nie jest uruchomiona". MicrosoftFixit50202 nie pomaga.

 

Tą sprawą zajmę się po w/w czyszczeniu. Wstępnie, w Dzienniku zdarzeń widać taki oto błąd, sugerujący uszkodzenie obiektu w SoftwareDistribution:

 

Error - 10/25/2012 7:41:34 PM | Computer Name = Krzys | Source = ESENT | ID = 412
Description = wuaueng.dll (968) SUS20ClientDataStore: Nie można odczytać nagłówka
 pliku dziennika C:\Windows\SoftwareDistribution\DataStore\Logs\edb.log. Błąd -546.

 

Dodaj też log z Farbar Service Scanner.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
A wiec tak...z pkt 1 nie zrozumialem dokladnie co usunac wiec zrobilem screena.

 

1. I dokładnie to co zaznaczyłeś po lewej stronie w drzewie skasuj.

 

2. Drobna poprawka na domyślne wyszukiwarki Internet Explorer (AdwCleaner je pokiereszował). Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

3. Wyczyść po narzędziach: przez SHIFT+DEL skasuj folder C:\ProgramData\Kaspersky Lab, w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. W kwestii Windows Update: wg Farbar Service Scanner usługa Windows Update działa ... Wejdź w Tryb awaryjny Windows i zmień nazwę folderu C:\Windows\SoftwareDistribution np. na C:\Windows\SoftwareDistribution.old. Sprawdź czy nastąpiła poprawa.

 

6. Powinny zostać przeprowadzone i aktualizacje. Tu spis z listy zainstalowanych:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java™ 6 Update 26
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Google Chrome" = Google Chrome

 

Pomijając, że na razie nie można zaktualizować Windows (błędy), to: do deinstalacji są te dwie stare Java wersji 6, Adobe Reader X do wymiany najnowszą wersję, sprawdzian wersji wtyczki Adobe Flash w Internet Explorer. Pozycja Google Chome na liście to chyba jakiś odpadek, w logu z OTL brak detekcji konfiguracji tej przeglądarki.

 

 

 

.

Odnośnik do komentarza
xrobcio

xrobcio

Opublikowano
  • Autor
Opublikowano

1, 2 i 4 zrobione.

3. Nie mam takiego folderu Program Data, w program files i program files x32 nie ma folderu kasperskiego.

5. Po restarcie probuje wyszukac aktualizacji nawet dlugo ale ostatecznie okno sie zamyka i to wszystko. Da rade cos z tym zrobic czy jednak format przy nastepnym problemie?

Google Chrome dziala i jest uzywana.

Aktualizacje softow zrobie jeszcze przez Patch My PC.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
3. Nie mam takiego folderu Program Data, w program files i program files x32 nie ma folderu kasperskiego.

 

Masz, to wbudowany w system składnik, jest to folder ukryty. Ustaw odpowiednie opcje w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego.

 

 

5. Po restarcie probuje wyszukac aktualizacji nawet dlugo ale ostatecznie okno sie zamyka i to wszystko. Da rade cos z tym zrobic czy jednak format przy nastepnym problemie?

 

Czy błąd w Dzienniku zdarzeń nadal taki sam, czy może się zmienił?

 

 

 

.

Odnośnik do komentarza
xrobcio

xrobcio

Opublikowano
  • Autor
Opublikowano (edytowane)

No tak zawsze na swoich kompach ustawiam zeby byly widoczne wszystkie pliki - polecialem z automatu :huh: Kaspersky Lab - usuniety

Aktualizacje po drugim restarcie i ponownym wyszukiwaniu znalazl (103), pobral i obecnie instaluje.

Pytanie o aktualizacje opcjonalne, znalazl od karty wifi i grafiki. Z wifi to nie ma problemu, ale od grafiki waza prawie 230mb czy to nie za duzo? Instalowac ten sterownik?

 

EDIT:

Oo dodatkowe 14 aktualizacji + SP 1:)

 

EDIT 2:

OK nie instalowalem drivera od grafiki.

Oprocz pakietu internet seciuryty kasperskiego lub ESETa jakie oprogramowanie warto zainstalowac do skanowania systemu ze szpiegow i szkodnikow? Antimalware? Cos jeszcze?

I dziekuje bardzo za pomocne wskazowki.

post-8284-0-12701800-1351623276_thumb.jpg

Edytowane przez xrobcio
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skoro Windows Update zaczęło poprawnie pracować, to już możesz usunąć ten folder, któremu zmieniałeś nazwę (SoftwareDistribution.old).

 

 

Pytanie o aktualizacje opcjonalne, znalazl od karty wifi i grafiki. Z wifi to nie ma problemu, ale od grafiki waza prawie 230mb czy to nie za duzo? Instalowac ten sterownik? (...) OK nie instalowalem drivera od grafiki.

 

Sterowniki z Windows Update a te ze stron producentów wykazują pewne różnice na niekorzyść sterowników od Microsoftu (są uboższe). Jeżeli aktualizujesz sterowniki, to pobieraj wprost ze stron producentów. Jeśli wszystko działa, to należy się zastanowić czy aktualizacja sterowników jest potrzebna, bo można sobie "popsuć" stabilność bieżącą.

 

 

Oprocz pakietu internet seciuryty kasperskiego lub ESETa jakie oprogramowanie warto zainstalowac do skanowania systemu ze szpiegow i szkodnikow? Antimalware? Cos jeszcze?

I dziekuje bardzo za pomocne wskazowki.

 

Wystarczy Malwarebytes Anti-Malware do skanów na żądanie.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...