Sprzątanie po weeslofie - nie działa centrum zabezpieczeń

[Ancymonek]

Vista 32 bit

Infekcja została usunięta ręcznie, późniejszy skan MBAM i avastem nic nie wykazał.

Skan gmerem nie powiódł się - najpierw się zawiesił, kolejna próba zakończyła się BSODem

 

page fault in nonpaged area

Stop:0x00000050 (0xD7420000, 0x00000000, 0x8283F794, 0x00000000)

 

Od czasu infekcji nie można włączyć usługi centru zabezpieczeń windows, oprócz tego nie można uruchomić sentrum sieci i udostępniania z paska zadań, włączanie na inny sposób trwa dłuższą chwilę, ale kończy się sukcesem, nie ma też problemu z dostępem do sieci.

Extras.Txt

OTL.Txt

[picasso]

Log z OTL nieprawidłowo skonfigurowany, opcja Rejestr ustawiona na Wszystko, a ma być Użyj filtrowania. Problemy wynikają z nieprawidłowo doczyszczonej infekcji, uszkodzenie usługi Instrumentacja Windows:

 

========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\Users\Tomek\wgsdgsdgdsgsd.exe -- (Winmgmt)

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
 
:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640"
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp60.sys -- (ZDPSp60)
 
:Commands
[resethosts]
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Przez Panel sterowania odinstaluj adware free-downloads.net Toolbar oraz zbędny archaizm Spybot - Search & Destroy.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Ancymonek]

OTL w trakcie wykonywania skryptu przestał odpowiadać.

 

Czego używać zamiast Spybota?

OTL.Txt

[picasso]

Nie dodałeś raportu z AdwCleaner, o który prosiłam. Ale już to zostaw.

 

 

Czego używać zamiast Spybota?

 

On jest zbędny przy nowoczesnym antywirusie (tu Avast). Obecnie zatarła się granica pojęciowa i nie ma już rozróżnień na "antywirusa" i "antyspyware". Porządny antywirus adresuje wszystkie te typy. Ten Spybot jest stary i mało skuteczny, nawet jego najnowsza wersja 2, jedzie na starej opinii. Zamiast Spybota jako uzupełnienie do Avast można dokoptować skaner na żądanie Malwarebytes Anti-Malware, którym zresztą już się posługiwałeś.

 

 

OTL w trakcie wykonywania skryptu przestał odpowiadać.

 

Mimo to zadanie wykonane (z wyjątkiem resetu pliku HOSTS zmodyfikowanego przez Spybota) i zostały tylko poprawki:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:OTL
O4 - HKU\S-1-5-21-1848424521-1125039699-117466260-1000..\Run: [Gadu-Gadu] "C:\Windows.old\Program Files\Gadu-Gadu\gg.exe" /tray File not found
O16 - DPF: {444785F1-DE89-4295-863A-D46C3A781394} "http://webplayer.unity3d.com/download_webplayer/UnityWebPlayer.cab" (Reg Error: Key error.)
 
:Files
C:\Windows\System32\drivers\etc\hosts*.backup

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Zresetuj plik HOSTS do postaci domyślnej za pomocą Fix-it z artykułu: KB972034.

 

3. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Usuń starsze Adobe i Java, o ile potrzebne zastąp najnowszymi: KLIK. Wg raportu obecnie masz zamontowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 10
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.5)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla innych, w tym GG10)

 

I pozbądź się potwora Gadu-Gadu 10, który nie tylko mało użytkowy, ale i używa dziurawy stary Adobe Flash. Propozycje zamienników: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

 

.

[Ancymonek]

Dzięki wielkie, wszystko śmiga jak powino, ale mam jeszcze 2 pytania.

 

Plik HOSTS to zdaje się Spybot modyfikował w ramach immunizacji, co więc da przywrócenie postaci domyślnej?

 

Prowadzisz dział pomocy doraźnej praktycznie samodzielnie i każdemu jesteś w stanie coś doradzić - można wiedzieć skąd czerpałaś/czerpiesz swoją wiedzę?

[picasso]

Plik HOSTS to zdaje się Spybot modyfikował w ramach immunizacji, co więc da przywrócenie postaci domyślnej?

 

Tak, wiem że to modyfikacja Spybota i celowo ją odkręcam. Ta modyfikacja ma skutki uboczne. Otóż tak potężny plik HOSTS (tu: ponad 15 tysięcy wpisów) ma negatywny wpływ na zachowanie usługi Klient DNS (bufor DNS). Kolizja objawia się spowolnieniem systemu i obciążeniem tej usługi. Są dwa rodzaje naprawy: albo wyłączyć Klienta DNS, albo zresetować plik HOSTS. Obieram drogę numer dwa, bo ta modyfikacja HOSTS to liche zabezpieczenie. To było dobre kilka lat temu. Dziś trudno nadążyć z blokowaniem adresów malware tą metodą.

 

 

można wiedzieć skąd czerpałaś/czerpiesz swoją wiedzę?

 

Jestem samoukiem.

 

 

.