Usterki w systemie po infekcji

[st3fan0]

Witam.

 

Miałem ostatnio nieciekawy problem. Otóż przy próbie ściągnięcia zimowego moda do ETS2 złapałem "policjanta". Na szczęście udało mi się usunąć to ransomware przy pomocy drugiego konta, przekazaniu uprawnień i czystce w rejestrze. Korzystałem z głównie z ccleanera. Niestety po tym wirusie pozostały pewne szkody:

 

 

1. Komunikat w Centrum akcji "włącz usługę centrum zabezpieczeń systemu Windows (Ważne)". Przy próbie włączenia otrzymuje informację zwrotną "Nie można uruchomić usługi Centrum zabezpieczeń systemu Windows.

 

Przy wejściu do services i próbie ręcznego startu pojawia się taka informacja "System Windows nie może uruchomić usługi Centrum zabezpieczeń systemu Windows na komputerze Komputer lokalny.

 

Błąd 1068: Uruchomienie usługi zależności lub grupy nie powiodło się.

 

Próbowałem fixa, sprawdzałem poprawność plików (sfc/scannow), nie pomogło.

 

2. Ikonka sieci (komputerek) czasem pozostaje w "fazie wczytywania" -> , choć internet jest już podłączony i można z niego korzystać. Niegroźny błąd, ale jednak.

 

3. Przy wejściu w Panel Sterowania->Programy->Włącz lub wyłącz funkcje systemu Windows nie widać żadnej listy, występuje tylko białe pole.

 

4. Origin włącza się dłużej niż zwykle, gry nie włączają się pomimo aktywnego procesu w menadżerze zadań. FIFA 13, która włączała się w 3 sekundy po kliknięciu "Graj", nie reaguje poza wymienionym procesem. Gra i origin przeinstalowane. Wszystko aktualne. Podobnie problem występuje z ETS2. Gry spoza origina chodzą w porządku

 

5. Comodo przestał się aktualizować zwracał błąd. Przeinstalowałem, bez zmian. Pisałem do supportu, ale dopóki nie mam wersji płatnej to mam radzić sobie sam. Zmieniłem tymczasowo na Avirę.

 

6. Komunikat "Serwer zajęty" pojawiający się o losowej porze o treści: "Nie można ukończyć tej czynności, gdyż inny program jest zajęty. Wybierz przycisk "Przełącz na", aby uaktywnić zajęty program i usunąć problem". Czasem wystarczy kliknąć na spróbuj ponownie, innym razem muszę crashować jakiś proces.

 

IMO wszystkie problemy mogą być powiązane. Najprościej byłoby zrobić format, bo system stoi już sobie ponad 2 lata, ale nie mam gdzie upchnąć masy danych. Skanowałem za pomocą przeróżnych programów typu Drcureit, ccleaner, obecnym antywirem, spybotem, ale nie wykryli nic groźnego. Oczywiście mam najnowsze stery/Directx itp Nie mam punktu przywracania systemu, gdyż należy go wykonać na osobnej partycji, a ta nie ma dostatecznie miejsca.

 

PS. ESET online scanner nic nie wykrył:

C:\Users\xxx\AppData\Local\Temp\CDBurnerXP-updates\cdbxp_setup_4.3.8.2474.exe Win32/OpenCandy aplikacja

C:\Users\xxx\AppData\Local\Temp\CDBurnerXP-updates\cdbxp_setup_4.3.8.2513.exe Win32/OpenCandy aplikacja

C:\Users\xxx\AppData\Local\Temp\CDBurnerXP-updates\cdbxp_setup_4.3.8.2521.exe Win32/OpenCandy aplikacja

C:\Users\xxx\AppData\Local\Temp\CDBurnerXP-updates\cdbxp_setup_4.3.8.2523.exe Win32/OpenCandy aplikacja

C:\Users\yyy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\6d7441f9-24df8aa4 Java/Agent.FH koń trojański

 

Konfiguracja: Intel Xeon x3440, 4 GB RAM, GE GTX 470 Amp!, Win 7 32 bit.

OTL.Txt

Extras.Txt

[picasso]

1. Komunikat w Centrum akcji "włącz usługę centrum zabezpieczeń systemu Windows (Ważne)". Przy próbie włączenia otrzymuje informację zwrotną "Nie można uruchomić usługi Centrum zabezpieczeń systemu Windows.

 

Ten i kilka innych problemów wynika z niedziałającego WMI. Problem stanowi uszkodzona usługa Instrumentacji Windows:

 

========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\Users\Stefano\wgsdgsdgdsgsd.dll -- (Winmgmt)

 

Czyli do korekty powyższe oraz usunięcie drobnych odpadków:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
IE - HKLM\..\SearchScopes\{72A0F67F-53E7-494d-A1FC-588260986316}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=48843b6c-0969-11e1-9493-1c6f6538a242&q={searchTerms}"
IE - HKCU\..\SearchScopes\{4A14BB93-72E6-4c62-9EFE-016E1FD0581E}: "URL" = "http://search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=STDVM"
IE - HKCU\..\SearchScopes\{527FB08B-7110-4e68-8EAE-7D67604EFB3C}: "URL" = "http://www.bing.com/search?q={searchTerms}&form=SPLBR2&pc=SPLH"
IE - HKCU\..\SearchScopes\{6D268F57-B32D-421F-B9F5-D3B357214351}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=2CC7BCFD-4E98-4543-80C8-3B26019A8C5B&apn_sauid=07CA6A50-CB71-407E-AC81-318F85505B8A"
IE - HKCU\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.104.0: C:\Program Files\Battlelog Web Plugins\1.104.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found.
[2012-12-22 11:51:11 | 000,000,000 | ---D | C] -- C:\Users\Stefano\AppData\Roaming\ParetoLogic
[2012-12-22 11:51:11 | 000,000,000 | ---D | C] -- C:\Users\Stefano\AppData\Roaming\DriverCure
[2012-12-21 18:45:05 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
[2012-10-17 20:38:03 | 000,000,000 | ---D | M] -- C:\Users\Stefano\AppData\Roaming\logs
[2012-06-01 11:12:34 | 000,711,240 | ---- | C] () -- C:\Windows\is-PFPPU.exe
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Programy\EVEREST Home Edition\kerneld.wnt -- (EverestDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\cmdatp.sys -- (ATP)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Podaj ile rzeczy zaczęło działać po naprawie.

 

 

 

.

Edytowane 18 Lutego 2013 przez picasso
18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso