Skocz do zawartości

Cyberatak - policja ciąg dalszy


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie zgłosiłeś się wtedy: KLIK. Nie została potwierdzona naprawa usług, nie zadane czynności końcowe.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Bartek\wgsdgsdgdsgsd.exe
C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 
:OTL
O7 - HKU\S-1-5-21-3490047007-2606767096-1547910160-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

 

2. Przez Panel sterowania odinstaluj adware LiveVDO plugin 1.3.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner.

 

 

Proszę o sprawdzenię i poradę jak się przed tym ustrojstwem bronić. Jest jakiś antywirus, który by pilnował dziur przez które to wlatuje?

 

Dyskusja na temat tej infekcji: KLIK.

 

 

.

Odnośnik do komentarza

Infekcja usunięta, ale:

 

 

Chyba nawet w końcu sprawy z tą zaporą nie zrobiłem.

 

No i właśnie, są pokiereszowane usługi. Usługi BFE + MpsSvc w ogóle nie uruchomione (przypuszczalnie brak prawidłowych uprawnień) plus całkowity brak usługi iphlpsvc:

 

Other Services:

==============

Checking Start type of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.

Checking ImagePath of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.

Checking ServiceDll of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.

 

 

1. BFE + MpsSvc: Z instrukcji rekonstrukcji Zapory wykonaj część z odtwarzaniem uprawnień tych usług za pomocą SetACL: KLIK.

 

2. iphlpsvc: Większa liczba kroków wymagana, bo w ogóle brak w rejestrze tej usługi. Od razu uwzględnię inne korekty.

 

----> Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc]
"DisplayName"="@%SystemRoot%\\system32\\iphlpsvc.dll,-500"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,4e,00,65,00,74,00,53,00,76,00,63,00,73,00,00,00
"Description"="@%SystemRoot%\\system32\\iphlpsvc.dll,-501"
"ObjectName"="LocalSystem"
"ErrorControl"=dword:00000001
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,53,00,00,00,54,00,64,00,78,00,\
  00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,74,00,63,00,70,00,69,\
  00,70,00,00,00,6e,00,73,00,69,00,00,00,00,00
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\
  00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
  67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
  00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,53,00,65,00,4c,00,6f,00,61,00,64,00,44,00,72,00,69,00,76,00,65,00,72,\
  00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\config]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Interfaces]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,68,00,6c,00,70,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,\
  00
"ServiceDllUnloadOnStop"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters\IPHTTPS]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters\Isatap]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters\Teredo]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Teredo]
"SP1Installed"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Teredo\PreviousState]
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

----> Następnie wklejasz ten zestaw do Notatnika:

 

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc",4,"O:BAD:AI"

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\config",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Interfaces",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\IPHTTPS",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Isatap",4,"O:SYD:AI"

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Teredo",4,"O:SYD:AI"

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo\PreviousState",4,"O:SYD:AI"

 

Plik zapisujesz pod nazwą fix.txt i przenosisz na C:\. Ładujesz uprawnienia komendą:

 

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc" -ot "reg" -actn restore -bckp C:\fix.txt

 

3. Zresetuj system. Zrób nowy log z Farbar Service Scanner.

 

 

 

.

Odnośnik do komentarza

O ile jest poprawa, to coś tu nadal jest nie tak, usługa Zapory MpsSvc jest w stanie zatrzymanym:

 

Windows Firewall:

=============

MpsSvc Service is not running. Checking service configuration:

The start type of MpsSvc service is OK.

The ImagePath of MpsSvc service is OK.

The ServiceDll of MpsSvc service is OK.

 

Powtórz jeszcze raz ładowanie uprawnień MpsSvc przez SetACL. Zresetuj system i zrób nowy log z Farbar Service Scanner.

 

 

 

.

Odnośnik do komentarza
  • 1 miesiąc temu...

Jest bez zmian, usługa w stanie zatrzymanym:

 

Windows Firewall:

=============

MpsSvc Service is not running. Checking service configuration:

The start type of MpsSvc service is OK.

The ImagePath of MpsSvc service is OK.

The ServiceDll of MpsSvc service is OK.

 

Z innej strony, zastosuj ServicesRepair, zatwierdź restart systemu i zrób nowy log z Farbar Service Scanner.

 

 

 

Edytowane przez picasso
18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...