zerbatin Opublikowano 15 Listopada 2012 Zgłoś Udostępnij Opublikowano 15 Listopada 2012 Komputer znajomego, z logów - chyba XP. Napisałem skrypt, ale nie jestem pewien, czy dobrze i czy znalazłem wszystkie problemy. Wolę zapytać Was - zdecydowanie bardziej obeznanych z tematem. Z góry dziękuję za analizę i pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 zerbatin, dziwnie formułujesz pytanie. Mówisz "z logów - chyba XP", a bierzesz się za "Napisałem skrypt"?! Przecież wątpliwość w kwestii platformy wyklucza to drugie ... Na dodatek nie podałeś zawartości owego "skryptu", by można było to ocenić. Nie za bardzo rozumiem czy coś tu robiłeś, ale wygląda na to, że absolutnie nic: Infekcja Weelsof czynna, ale Weelsof to podrzędny problem. W systemie działa rootkit ZeroAccess. Trojan ten robi też szkody w systemie, kasuje usługi Centrum zabezpieczeń, Zapora systemu Windows, Windows Update. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Uruchom plik przez dwuklik i zresetuj system w celu odładowania ZeroAccess z pamięci. 2. Start > Uruchom > cmd i wpisz komendę: netsh winsock reset Zresetuj system w celu dokończenia resetu katalogu sieciowego Winsock. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\Installer\{c97194ff-1e77-3b79-ac62-1e398e56f3ec} C:\Documents and Settings\Konto\Ustawienia lokalne\Dane aplikacji\{c97194ff-1e77-3b79-ac62-1e398e56f3ec} C:\Documents and Settings\Konto\Menu Start\Programy\Autostart\ctfmon.lnk C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\Konto\Dane aplikacji\Toolbar4 C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software C:\Documents and Settings\All Users\Dane aplikacji\avg9 :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main] "Start Page"=- :OTL IE - HKLM\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=ac4069d6-0f08-11e2-9986-00262202f554&q={searchTerms}" IE - HKU\S-1-5-21-1645522239-412668190-1417001333-1003\..\SearchScopes\{18412F94-CF8F-42AD-AD9B-F9D7D7F8E851}: "URL" = "http://www.bigseekpro.com/search/browser/acala3gp/{74FE4918-2B1A-44A2-9600-7DF2FEC1366E}?q={searchTerms}" IE - HKU\S-1-5-21-1645522239-412668190-1417001333-1003\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = "http://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60346" IE - HKU\S-1-5-21-1645522239-412668190-1417001333-1003\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=ac4069d6-0f08-11e2-9986-00262202f554&q={searchTerms}" IE - HKU\S-1-5-21-1645522239-412668190-1417001333-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" O4 - HKLM..\Run: [brsca] rundll32.exe "C:\DOCUME~1\Konto\USTAWI~1\Temp\brsca.dll",SteamAPI_Init File not found O8 - Extra context menu item: Crawler Search - tbr:iemenu File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. 4. Przez Panel sterowania odinstaluj adware Crawler Toolbar with Web Security Guard, DAEMON Tools Toolbar, LiveVDO plugin 1.3, SweetIM for Messenger 3.3. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), GMER, Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
zerbatin Opublikowano 17 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2012 Tak, praktycznie nie zrobiłem nic. W OTL jak byk jest napisane XP SP 3, nie wiem jak mogłem przeoczyć. Napisałem to co jest poniżej, jak widzę nic dobrego bym "tym" nie zdziałał. Przeczytałem tylko to co Ty tworzysz i chciałem zobaczyć, czy cokolwiek umiem wywnioskować. Nikomu nie podesłałem moich "wypocin". Pracę i pomoc pozostawiam profesjonalistom, ja tylko przekazuję dalej mówiąc kto pomógł. Chcę się dowiedzieć więcej między innymi na temat pisania skryptów i rozpoznawania zagrożeń w systemach, tak by za jakiś czas (powiedzmy dwa, trzy lata) móc pomagać podobnie jak Wy. PS Twoje rady przekazałem dalej, do poszkodowanego. Z. :Files C:\Documents and Settings\Konto\Menu Start\Programy\Autostart\ctfmon.lnk C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\Konto\Dane aplikacji\Toolbar4 :OTL IE - HKLM\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=ac4069d6-0f08-11e2-9986-00262202f554&q={searchTerms}" IE - HKU\S-1-5-21-1645522239-412668190-1417001333-1003\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=ac4069d6-0f08-11e2-9986-00262202f554&q={searchTerms}" IE - HKU\S-1-5-21-1645522239-412668190-1417001333-1003\..\SearchScopes\{18412F94-CF8F-42AD-AD9B-F9D7D7F8E851}: "URL" = "http://www.bigseekpro.com/search/browser/acala3gp/{74FE4918-2B1A-44A2-9600-7DF2FEC1366E}?q={searchTerms}" IE - HKU\S-1-5-21-1645522239-412668190-1417001333-1003\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = "http://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60346" IE - HKU\S-1-5-21-1645522239-412668190-1417001333-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "ShopperReports@ShopperReports.com"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Default_Search_URL"=- "Search Bar"=- "SearchPage"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" :Commands [emptytemp] Do wszystkich którzy tu zajrzą zanim usunę część tego posta - ten "skrypt" to TYLKO moje wypociny - nie kopiować, nie udostępniać! Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2012 Zgłoś Udostępnij Opublikowano 17 Listopada 2012 Oczekuję na dane zwrotne od tej osoby. A co do Ciebie: 1. Fragment istotny, który definiuje infekcję ZeroAccess, to ten: O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000024 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000025 - mswsock.dll File not found ========== ZeroAccess Check ========== [2010-12-09 16:15:25 | 000,002,048 | -HS- | M] () -- C:\WINDOWS\Installer\{c97194ff-1e77-3b79-ac62-1e398e56f3ec}\@ [2012-11-12 14:24:17 | 000,000,000 | -HSD | M] -- C:\WINDOWS\Installer\{c97194ff-1e77-3b79-ac62-1e398e56f3ec}\L [2012-11-12 14:24:17 | 000,000,000 | -HSD | M] -- C:\WINDOWS\Installer\{c97194ff-1e77-3b79-ac62-1e398e56f3ec}\U [2012-11-12 12:05:34 | 000,000,804 | ---- | M] () -- C:\WINDOWS\Installer\{c97194ff-1e77-3b79-ac62-1e398e56f3ec}\L\00000004.@ [2012-10-28 07:55:10 | 000,011,776 | ---- | M] () -- C:\WINDOWS\Installer\{c97194ff-1e77-3b79-ac62-1e398e56f3ec}\U\80000000.@ [2012-11-03 22:28:31 | 000,091,136 | ---- | M] () -- C:\WINDOWS\Installer\{c97194ff-1e77-3b79-ac62-1e398e56f3ec}\U\80000032.@ [2012-11-12 12:16:14 | 000,002,048 | -HS- | M] () -- C:\Documents and Settings\Konto\Ustawienia lokalne\Dane aplikacji\{c97194ff-1e77-3b79-ac62-1e398e56f3ec}\@ [2010-12-09 16:15:25 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Konto\Ustawienia lokalne\Dane aplikacji\{c97194ff-1e77-3b79-ac62-1e398e56f3ec}\L [2012-11-12 14:24:17 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Konto\Ustawienia lokalne\Dane aplikacji\{c97194ff-1e77-3b79-ac62-1e398e56f3ec}\U [2012-11-08 15:44:52 | 000,000,804 | ---- | M] () -- C:\Documents and Settings\Konto\Ustawienia lokalne\Dane aplikacji\{c97194ff-1e77-3b79-ac62-1e398e56f3ec}\L\00000004.@ [2012-11-08 15:44:52 | 000,011,776 | ---- | M] () -- C:\Documents and Settings\Konto\Ustawienia lokalne\Dane aplikacji\{c97194ff-1e77-3b79-ac62-1e398e56f3ec}\U\80000000.@ [2012-11-08 15:44:52 | 000,091,136 | ---- | M] () -- C:\Documents and Settings\Konto\Ustawienia lokalne\Dane aplikacji\{c97194ff-1e77-3b79-ac62-1e398e56f3ec}\U\80000032.@ [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "ThreadingModel" = Both "" = C:\Documents and Settings\Konto\Ustawienia lokalne\Dane aplikacji\{c97194ff-1e77-3b79-ac62-1e398e56f3ec}\n. [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = \\.\globalroot\systemroot\Installer\{c97194ff-1e77-3b79-ac62-1e398e56f3ec}\n. "ThreadingModel" = Both I jeszcze są na pewno skasowane usługi w rejestrze (ZeroAccess to prowadzi), co udowodni raport z Farbar Service Scanner. 2. Nie wiem skąd wymyśliłeś wpisy w sekcji :Reg. ShopperReports w Firefox, klucza Search i wartości Default_Page_URL i Default_Search_URL nie ma w raporcie. Poza tym, klucz "Search" wstawiony do importu jako pusty. . Odnośnik do komentarza
zerbatin Opublikowano 18 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2012 Wymagane pliki poniżej. Zmieniłem rozszerzenie "gmer_log" na txt, bo uploader nie chciał przyjąć *.log. *2 Wszystko co napisałem wziąłem z analizy poprzednich OTL i skryptów które pisałaś. Nigdy nie napisałem żadnego skryptu, ten był pierwszy. Dlatego jest w nim tak wiele błędów i niedociągnięć. Za jakiś czas odezwę się i pokaże Ci jeden skrypt do jakichś logów. Znajdę ciekawy przypadek na forum. Jeżeli będziesz miała chwilę czasu to może rzucisz na niego okiem i napiszesz mi co robię źle, lub czego nie zauważam. Jak dla mnie FSS nie wykazuje zniszczeń przez ZeroAccess - dobrze widzę? Chyba, że powinien wypisać wszystko? ======================================= -Firewall Disabled Policy: -System Restore: -System Restore Disabled Policy: -Security Center: -Windows Update: -Windows Autoupdate Disabled Policy: ======================================= FSS.txt OTL_2.Txt AdwCleanerS1.txt gmer_log.txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2012 Zgłoś Udostępnij Opublikowano 18 Listopada 2012 Log z GMER wygląda na szybki preskan a nie pełne szukanie. Log z Farbar Service Scanner jest niekompletny, użytkownik nie zaznaczył wszystkich opcji do skanu, w ogóle nie zostały przeskanowane usługi. A usuwanie ZeroAccess niekompletne, użytkownik w ogóle nie wykonał punktu 1 z plikiem FIX.BAT, nadal są zmodyfikowane klucze ZeroAccess. Nie wiem co robił, ale widzę w świeżych plikach jakieś kuriozum reg.reg a nie FIX.BAT: [2012-11-17 23:09:04 | 000,000,245 | ---- | C] () -- C:\Documents and Settings\Konto\Pulpit\reg.reg 1. Usunięcie modyfikacji ZeroAccess w rejestrze plus korekty po używaniu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="C:\\WINDOWS\\system32\\wbem\\wbemess.dll" "ThreadingModel"="Both" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Tak, tym razem FIX.REG a nie FIX.BAT. Inna metoda importu. 2. Zrób nowe logi: OTL z opcji Skanuj oraz Farbar Service Scanner (wszystkie opcje zaznaczone). . Odnośnik do komentarza
zerbatin Opublikowano 18 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2012 Wszystko zrobione. OTL_3.Txt FSS_2.txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2012 Zgłoś Udostępnij Opublikowano 19 Listopada 2012 (edytowane) O ile modyfikacje ZeroAccess w kluczach klas już naprawione, to kompletny log z Farbar Service Scanner pokazuje to o czym już mówiłam: usunięte usługi Zapory, Centrum, Windows Update. 1. Rekonstrukcja usług. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS] "Type"=dword:00000020 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Usługa inteligentnego transferu w tle" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Używa przepustowości bezczynnej sieci do transferu danych. Jeżeli BITS zostanie wyłączone, funkcje takie jak Windows Update przestaną działać." "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Enum] "0"="Root\\LEGACY_BITS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Aktualizacje automatyczne" "ObjectName"="LocalSystem" "Description"="Umożliwia pobieranie i instalowanie ważnych aktualizacji systemu Windows. Jeśli ta usługa zostanie wyłączona, komputer nie będzie umożliwiał korzystania z funkcji Automatyczne aktualizacje lub strony Windows Update." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\ 61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum] "0"="Root\\LEGACY_WUAUSERV\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000042e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Adnotacja dla innych czytających: import dopasowany do Windows XP. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Zresetuj system i zrób nowy log z Farbar Service Scanner (wszystkie opcje zaznaczone). . Edytowane 18 Grudnia 2012 przez picasso 19.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi