Problem z usługami: Windows Firewall

[auror]

Witam,

 

Tym razem mam problem z drugim komputerem.

Zapora nieaktywna. Przy próbie uruchomienia pojawia się błąd.

Dołączam też log z Farbar Service Scanner, na którym widać, że chyba coś jest "nie halo".

 

Prośba o analizę logów.

Dziękuję.

OTL.Txt

Extras.Txt

FSS.txt

[picasso]

Zakres szkód w usługach sugeruje trojana ZeroAccess, albo kiedyś był i nie naprawiono po nim w prawidłowy sposób, albo jest tu wariant modyfikujący plik services.exe. Podaj mi na wszelki wypadek skan na ten plik. Uruchom SystemLook x64 i w oknie wklej:

 

:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

 

 

 

.

 

[auror]

Dzięki picasso za Twoją pomoc. Te forum to prawdziwy skarb.

 

SystemLook x64 skanował trochę długo (tak ze 2 minuty).

Dołączam log.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 18:19 on 19/11/2012 by bitstream

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

[picasso]

Plik jest w porządku, czyli zabieram się już za naprawę usług i szczątki adware.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{71CA4CCF-74E0-4317-8C71-446E3A0C7380}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=88853498-c927-11e1-8d04-00248c2cecb0&q={searchTerms}"
IE - HKU\S-1-5-21-1319446930-3825953659-905038583-1000\..\SearchScopes\{5FEAD8F7-DD96-424A-B076-2A2A7624E700}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10401&src=crm&q={searchTerms}&locale=&apn_ptnrs=^ABZ&apn_dtid=^YYYYYY^YY^PL&apn_uid=a88f3ba6-ec1e-419c-af4d-e42e795d06d3&apn_sauid=89E2DC48-81A1-413E-8CED-5A3B5DE903AB"
IE - HKU\S-1-5-21-1319446930-3825953659-905038583-1000\..\SearchScopes\{71CA4CCF-74E0-4317-8C71-446E3A0C7380}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=88853498-c927-11e1-8d04-00248c2cecb0&q={searchTerms}"
IE - HKU\S-1-5-21-1319446930-3825953659-905038583-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4"
O4 - HKLM..\Run: []  File not found
O7 - HKU\S-1-5-21-1319446930-3825953659-905038583-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
[2012-08-06 10:50:35 | 000,000,080 | RHS- | C] () -- C:\Windows\SysWow64\0AD141A908.dll
[2012-01-01 04:11:12 | 000,000,000 | ---D | M] -- C:\Users\bitstream\AppData\Roaming\LogSys
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
[HKEY_USERS\S-1-5-21-1319446930-3825953659-905038583-1003\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-1319446930-3825953659-905038583-1003\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-1319446930-3825953659-905038583-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\S-1-5-21-1319446930-3825953659-905038583-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

2. Odbuduj usunięte usługi za pomocą ServicesRepair.

 

3. Po restarcie systemu zrób nowe raporty: OTL z opcji Skanuj + Farbar Service Scanner.

 

 

 

.

[auror]

Wygląda na to, że zapora i pozostałe usługi się odbudowały.

 

Mam jeszcze problem z jednym plikiem z którym nic nie można zrobić.

Ani usunąć, ani przenieść.

Wszelkie próby powodują zawieszenie się explorer.exe

Próbowałem też Total Commanderem i nic to nie daje.

Nawet samo wejście do folderu gdzie znajduje się ten plik, nie otwierając go, powoduje zawieszkę explorer.exe

Czy to oznacza, że konieczne jest zapuszczenie chkdsk ?

OTL.Txt

FSS.txt

[picasso]

Zadania wykonane, usługi odbudowane. Kończymy:

 

1. Mała poprawka (za późno zedytowałam skrypt). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_USERS\S-1-5-21-1319446930-3825953659-905038583-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
 
:OTL
[2012-08-06 10:50:35 | 000,000,080 | RHS- | C] () -- C:\Windows\SysWow64\0AD141A908.dll
[2012-01-01 04:11:12 | 000,000,000 | ---D | M] -- C:\Users\bitstream\AppData\Roaming\LogSys

 

Klik w Wykonaj skrypt. Po tym uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wyliczone poniżej aplikacje. Wg raportu obecnie masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wtyczka dla IE)
"Microsoft SQL Server 10" = Microsoft SQL Server 2008 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
"Opera 11.64.1403" = Opera 11.64
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

 

Czyli: odinstaluj Adobe Flash i zastąp najnowszym, zaktualizuj Operę i OpenOffice.org, zainstaluj Service Pack dla Microsoft SQL Server 2008 (KB968382).

 

 

Mam jeszcze problem z jednym plikiem z którym nic nie można zrobić.

Ani usunąć, ani przenieść.

Wszelkie próby powodują zawieszenie się explorer.exe

Próbowałem też Total Commanderem i nic to nie daje.

Nawet samo wejście do folderu gdzie znajduje się ten plik, nie otwierając go, powoduje zawieszkę explorer.exe

Czy to oznacza, że konieczne jest zapuszczenie chkdsk ?

 

Zastartuj do Trybu awaryjnego z Wierszem polecenia (nie ładuje powłoki explorer.exe), wpisz poniższą komendę i ENTER:

 

del /q "pełna ścieżka dostępu do pliku"

 

 

 

 

.

[auror]

Powyższe 3 punkty wykonane.

 

Natomiast z tym plikiem w Trybie awaryjnym z Wierszem poleceń się nie udało.

 

Wyskoczył mi komunikat:

The request could not be performed because of an i/o device error

[picasso]

Co to konkretnie za plik, gdzie leży i jaka jest jego nazwa?

[auror]

To jest zwykły film mkv o rozmiarze ok. 4,4 GB (tak jak DVD).

Mieści się w utworzonym przeze mnie katalogu {user}/Downloads/Filmy

Na początku dało się uruchomić film i go obejrzeć. Dopiero później jak robiłem porządki czyli przenosiłem pliki na dysk zewnętrzny pojawił się problem.

[picasso]

Jak sądzę, film jest uszkodzony lub w eksploratorze ładuje się określone rozszerzenie kodekowe, próba przetwarzania danych o pliku powoduje lock explorer.exe. Dlatego mnie dziwi, że nie daje temu rady Tryb awaryjny z Wierszem polecenia... Tylko się upewnię, to na pewno był ten tryb a nie zwykły awaryjny i uruchomiona linia komend cmd?

 

 

 

 

.

[auror]

Tak, awaryjny z linią cmd.

 

Dodam, że raz wywalił się niebieski ekran i restart komputera

[picasso]

Spróbuj usunąć plik przez środowisko zewnętrzne WinRE: F8 > Napraw komputer > Wiersz polecenia > del /q "pełna ścieżka dostępu do pliku"

[auror]

Przez środowisko zewnętrzne WinRE to samo

The request could not be performed because of an I/O device error

 

Coś mi się wydaje, że to jakieś błędy na dysku

[picasso]

Z poziomu WinRE wykonaj komendę chkdsk /f /r. Po tym spróbuj ponowić usuwanie pliku.

[auror]

chkdsk skanował całą noc ale naprawił błędy na dysku. Raport ujawnił 88 KB złych sektorów.

Plik udało się skasować.

 

Wielkie dzięki picasso za pomoc.