Freeze Opublikowano 1 Grudnia 2012 Zgłoś Udostępnij Opublikowano 1 Grudnia 2012 Witam. Drugi raz w tym samym komputerze trafił mi się ten cały ukash. Z tym, że wcześniej było to FBI,a teraz przynajmniej Nasi Proszę o sprawdzenię i poradę jak się przed tym ustrojstwem bronić. Jest jakiś antywirus, który by pilnował dziur przez które to wlatuje? OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 1 Grudnia 2012 Zgłoś Udostępnij Opublikowano 1 Grudnia 2012 Nie zgłosiłeś się wtedy: KLIK. Nie została potwierdzona naprawa usług, nie zadane czynności końcowe. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Bartek\wgsdgsdgdsgsd.exe C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk :OTL O7 - HKU\S-1-5-21-3490047007-2606767096-1547910160-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie. 2. Przez Panel sterowania odinstaluj adware LiveVDO plugin 1.3. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner. Proszę o sprawdzenię i poradę jak się przed tym ustrojstwem bronić. Jest jakiś antywirus, który by pilnował dziur przez które to wlatuje? Dyskusja na temat tej infekcji: KLIK. . Odnośnik do komentarza
Freeze Opublikowano 1 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Grudnia 2012 Przepraszam. Chyba nawet w końcu sprawy z tą zaporą nie zrobiłem. Dziękuję za pomoc. Z pewnością teraz dokończę instrukcję do ostatniej linijki. OTL.Txt AdwCleanerS1.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2012 Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 Infekcja usunięta, ale: Chyba nawet w końcu sprawy z tą zaporą nie zrobiłem. No i właśnie, są pokiereszowane usługi. Usługi BFE + MpsSvc w ogóle nie uruchomione (przypuszczalnie brak prawidłowych uprawnień) plus całkowity brak usługi iphlpsvc: Other Services:==============Checking Start type of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.Checking ImagePath of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.Checking ServiceDll of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist. 1. BFE + MpsSvc: Z instrukcji rekonstrukcji Zapory wykonaj część z odtwarzaniem uprawnień tych usług za pomocą SetACL: KLIK. 2. iphlpsvc: Większa liczba kroków wymagana, bo w ogóle brak w rejestrze tej usługi. Od razu uwzględnię inne korekty. ----> Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc] "DisplayName"="@%SystemRoot%\\system32\\iphlpsvc.dll,-500" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4e,00,65,00,74,00,53,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\iphlpsvc.dll,-501" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,53,00,00,00,54,00,64,00,78,00,\ 00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,74,00,63,00,70,00,69,\ 00,70,00,00,00,6e,00,73,00,69,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,4c,00,6f,00,61,00,64,00,44,00,72,00,69,00,76,00,65,00,72,\ 00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\config] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Interfaces] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,68,00,6c,00,70,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,\ 00 "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters\IPHTTPS] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters\Isatap] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters\Teredo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Teredo] "SP1Installed"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Teredo\PreviousState] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. ----> Następnie wklejasz ten zestaw do Notatnika: "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\config",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Interfaces",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\IPHTTPS",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Isatap",4,"O:SYD:AI" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Teredo",4,"O:SYD:AI" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo\PreviousState",4,"O:SYD:AI" Plik zapisujesz pod nazwą fix.txt i przenosisz na C:\. Ładujesz uprawnienia komendą: SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc" -ot "reg" -actn restore -bckp C:\fix.txt 3. Zresetuj system. Zrób nowy log z Farbar Service Scanner. . Odnośnik do komentarza
Freeze Opublikowano 11 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2012 Wszystkie kroki zrobione. Przepraszam, że taka długa przerwa. FSS.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2012 Zgłoś Udostępnij Opublikowano 12 Grudnia 2012 O ile jest poprawa, to coś tu nadal jest nie tak, usługa Zapory MpsSvc jest w stanie zatrzymanym: Windows Firewall:=============MpsSvc Service is not running. Checking service configuration:The start type of MpsSvc service is OK.The ImagePath of MpsSvc service is OK.The ServiceDll of MpsSvc service is OK. Powtórz jeszcze raz ładowanie uprawnień MpsSvc przez SetACL. Zresetuj system i zrób nowy log z Farbar Service Scanner. . Odnośnik do komentarza
Freeze Opublikowano 13 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2013 Mam nadzieję, że nie zwlekałem zbyt długo. FSS.txt Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 (edytowane) Jest bez zmian, usługa w stanie zatrzymanym: Windows Firewall:=============MpsSvc Service is not running. Checking service configuration:The start type of MpsSvc service is OK.The ImagePath of MpsSvc service is OK.The ServiceDll of MpsSvc service is OK. Z innej strony, zastosuj ServicesRepair, zatwierdź restart systemu i zrób nowy log z Farbar Service Scanner. Edytowane 18 Lutego 2013 przez picasso 18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi