tosza Opublikowano 13 Marca 2013 Zgłoś Udostępnij Opublikowano 13 Marca 2013 Kilka dni temu przestał mi działać specyficzny program do wykonywania tłumaczeń Idiom Worldserver. Chcąc to naprawić zacząłem szukać przyczyny, która zazwyczaj polega na uszkodzeniach .Neta. Gdy przejrzałem ustawienia systemu, to okazało się, że był niemiłosierny bałagan i po prostu syf. Wiele rzeczy (m.in. przywróciłem zaporę) naprawiłem dzięki poradom z tego forum, za co bardzo dziękuję. Mój program nadal jednak nie działa. Podejrzewam, że w systemie nadal są jakieś podłości, których już nie umiem sam naprawić. Co zauważyłem: - Windows Update nie chce dokończyć instalacji poprawek i po pobraniu ich i zresetowaniu zaczyna aktualizację, którą przerywa po kilku procentach i wycofuje zmiany. Wykonałem wszystkie czynności znalezione przeze mnie na fixitpc.pl i nie pomogło, choć część aktualizacji się zainstalowała. - Do tego dziwnie działa prawy przycisk myszy - po naciśnięciu i przytrzymaniu natychmiast pojawia się menu kontekstowe, a powinno dopiero po puszczeniu klawisza. - Ogólnie system działa ślamazarnie. - Ponadto Monitor zasobów i wydajności twierdzi, że Test włączenia kontroli konta użytkownika zakończył się niepomyślnie. Załączam logi z OTL. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 13 Marca 2013 Zgłoś Udostępnij Opublikowano 13 Marca 2013 Temat przenoszę do działu diagnostyki infekcji: Wiele rzeczy (m.in. przywróciłem zaporę) naprawiłem dzięki poradom z tego forum, za co bardzo dziękuję. W systemie są ślady aktywności rootkita ZeroAccess (wariant ładowany z Kosza), a infekcja ta kasuje dokumentnie z rejestru określone usługi (Zapora systemu / Pomoc IP / Windows Update / Windows Defender) oraz ikonę Centrum Akcji. Nie wiadomo ile odtworzyłeś, nie wspominając o tym, że infekcja wygląda na czynną (jest wpis ładujący). Dodaj mi skany: 1. Log z Farbar Service Scanner. 2. Uruchom SystemLook x64 i do okna wklej: :dir C:\$Recycle.Bin /s :filefind services.exe :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Klik w Look. . Odnośnik do komentarza
tosza Opublikowano 13 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2013 Motyla noga, Malwarebytes twierdził, że usunął ZeroAccess. Załączam logi. FSS.txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 13 Marca 2013 Zgłoś Udostępnij Opublikowano 13 Marca 2013 Skany wykazują następujące rzeczy: - ZeroAccess w Koszu siedzi nadal, dwa foldery i nie wyglądają na tknięte (dir nie może być zrobiony w głąb = tzn. że uprawnienia je blokują). - Nienaprawione szkody: brak usług iphlpsvc (Pomoc IP) + Windows Defender, brak ikony Centrum Akcji. Działania: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32] @=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\ 65,00,6d,00,5c,00,66,00,61,00,73,00,74,00,70,00,72,00,6f,00,78,00,2e,00,64,\ 00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "ConsentPromptBehaviorAdmin"=dword:00000005 "EnableLUA"=dword:00000001 "EnableUIADesktopToggle"=dword:00000000 "FilterAdministratorToken"=dword:00000000 "ValidateAdminCodeSignatures"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i wybierz opcję Scal. Zresetuj system. 2. Otwórz Notatnik i wklej w nim: attrib -s -h C:\Windows\assembly\GAC_32\Desktop.ini attrib -s -h C:\Windows\assembly\GAC_64\Desktop.ini del /q C:\Windows\assembly\GAC_32\Desktop.ini del /q C:\Windows\assembly\GAC_64\Desktop.ini TAKEOWN /F C:\$Recycle.Bin /R /A /D T icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-21-3753379803-1400587885-533003548-1001\$fa5b36d5d62b78c23c0afea4eaee3c3b /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin rd /s /q C:\found.001 rd /s /q C:\Users\tosza\AppData\Roaming\OpenCandy rd /s /q C:\Users\tosza\AppData\Roaming\ProgSense pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. 3. Odbuduj usunięte usługi za pomocą ServicesRepair. 4. Zrób nowy log OTL z opcji Skanuj (bez Extras) + Farbar Service Scanner + SystemLook na warunki: :dir C:\$Recycle.Bin /s :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders . Odnośnik do komentarza
tosza Opublikowano 13 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2013 Nie wyświetla mi się w menu kontekstowym polecenie Scal. Czy mogę fix.reg po prostu zaimportować do Regedita przez Plik->Importuj? Odnośnik do komentarza
picasso Opublikowano 13 Marca 2013 Zgłoś Udostępnij Opublikowano 13 Marca 2013 Nie wyświetla mi się w menu kontekstowym polecenie Scal. Pomyliłeś się, przecież ten plik na który klikasz to "plik wsadowy", czyli FIX.BAT, a pierwszy plik to ma być FIX.REG. Włącz pokazywanie rozszerzeń, bo się wprowadzasz w błąd: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów plików. . Odnośnik do komentarza
tosza Opublikowano 13 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2013 Z pośpiechy zły printscreen poszedł. Wyświetliłem rozszerzenia. Problem pozostaje - .REG nie mają opcji Scalania. Czy to coś poważnego, czy mogę działać z Regeditem? Odnośnik do komentarza
picasso Opublikowano 13 Marca 2013 Zgłoś Udostępnij Opublikowano 13 Marca 2013 W związku z brakiem Scal rozszerz zakres pliku FIX.REG do tej postaci (uwzględnia przywrócenie domyślnych skojarzeń REG): Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32] @=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\ 65,00,6d,00,5c,00,66,00,61,00,73,00,74,00,70,00,72,00,6f,00,78,00,2e,00,64,\ 00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "ConsentPromptBehaviorAdmin"=dword:00000005 "EnableLUA"=dword:00000001 "EnableUIADesktopToggle"=dword:00000000 "FilterAdministratorToken"=dword:00000000 "ValidateAdminCodeSignatures"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.reg\PersistentHandler] @="{5e941d80-bf96-11cd-b579-08002b30bfeb}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile] "EditFlags"=dword:00100000 @="Registration Entries" "FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\ 00,6f,00,6f,00,74,00,25,00,5c,00,72,00,65,00,67,00,65,00,64,00,69,00,74,00,\ 2e,00,65,00,78,00,65,00,2c,00,2d,00,33,00,30,00,39,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\DefaultIcon] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,72,00,65,00,67,00,65,00,64,00,69,00,74,00,2e,00,65,00,78,00,65,00,\ 2c,00,31,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6e,00,6f,00,\ 74,00,65,00,70,00,61,00,64,00,2e,00,65,00,78,00,65,00,20,00,22,00,25,00,31,\ 00,22,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open] @="Mer&ge" "MUIVerb"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\ 6f,00,74,00,25,00,5c,00,72,00,65,00,67,00,65,00,64,00,69,00,74,00,2e,00,65,\ 00,78,00,65,00,2c,00,2d,00,33,00,31,00,30,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command] @="regedit.exe \"%1\"" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\print] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\print\command] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6e,00,6f,00,\ 74,00,65,00,70,00,61,00,64,00,2e,00,65,00,78,00,65,00,20,00,2f,00,70,00,20,\ 00,22,00,25,00,31,00,22,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\ShellEx] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\ShellEx\{8895b1c6-b41f-4c1c-a562-0d564250836f}] @="{1531d583-8375-4d3f-b5fb-d23bbd169f22}" [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.reg] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator (to ważne) > z menu Plik zaimportuj ten REG. Zgłaszając się z danymi po wykonaniu wszystkich akcji potwierdź mi czy opcja Scal powróciła do menu plików REG. EDIT: tosza i proszę nie odpowiadaj na nieistniejący już post. To zresztą nie ma związku. . Odnośnik do komentarza
tosza Opublikowano 13 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2013 Załączam skany z programów po wykonaniu wszystkich czynności. Polecenie Scal nie wróciło do menu kontekstowego. Prawy przycisk myszy nadal się zachowuje nieprawidłowo - tak jak opisałem w pierwszym poście. Drugie pytanie program: do tłumaczeń o którym wspominałem w pierwszym poście to Idiom Worldserver i to z powodu jego niedziałania zaczęła się ta cała krucjata. Program nadal nie działa, ale wyrzuca błąd niezwiązany z samym programem (na moje oko, bo Google milczy na temat tego błędu w kontekście tego programu, a podaje wiele wyników "programistycznych") tylko bardziej z komponentami Windows (znów na moje oko). Ten błąd to: An error occured while importing. Specified cast is not valid. Dodam, że 4 dni temu Idiom Worldserver działał jeszcze idealnie, a teraz nie otwiera już żadnych plików. Czy jest na forum miejsce, gdzie mógłbym też o to dopytać? FSS.txt SystemLook.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 13 Marca 2013 Zgłoś Udostępnij Opublikowano 13 Marca 2013 Na razie to męczymy czyszczenie po infekcji, bo jeszcze nie koniec: 1. Log z Farbar Service Scanner: żadnych zmian, nadal brakuje usług Pomoc IP i Windows Defender. Powtarzaj zadanie z ServicesRepair + restart systemu. Nowy skan z Farbar podaj. 2. Dwa pliki ZeroAccess nie zniknęły. Zmiana metody, zamiast pliku BAT skrypt OTL. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. Po restarcie przedstaw raport z wynikami usuwania przez OTL, nowy skan OTL nie jest potrzebny. Polecenie Scal nie wróciło do menu kontekstowego. Do SystemLook wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.reg /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile /s HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.reg /s Przedstaw raport. - Do tego dziwnie działa prawy przycisk myszy - po naciśnięciu i przytrzymaniu natychmiast pojawia się menu kontekstowe, a powinno dopiero po puszczeniu klawisza. Start > w polu szukania wpisz main.cpl > co jest ustawione tu: - Przełącz przycisk podstawowy i pomocniczy - BlokadaKliknięcia Program nadal nie działa, ale wyrzuca błąd niezwiązany z samym programem (na moje oko, bo Google milczy na temat tego błędu w kontekście tego programu, a podaje wiele wyników "programistycznych") tylko bardziej z komponentami Windows (znów na moje oko). Ten błąd to: An error occured while importing. Specified cast is not valid. Dodam, że 4 dni temu Idiom Worldserver działał jeszcze idealnie, a teraz nie otwiera już żadnych plików Zakładam, że próbowałeś oczywiście reinstalacji programu, ale czy próbowałeś przeinstalować także .NET Framework? - Reinstalacja wersji natywnych wbudowanych w system: Panel sterowania > Programy i funkcje > Włącz lub wyłącz funkcje systemu Windows > odptaszkuj .NET Framework + restart systemu > po resecie wejdź tam ponownie i zaptaszkuj + reset. - Reinstalacja wersji wtórnych: widzialna u Ciebie wersja .NET Framework 1.1. Odinstaluj tradycyjnie. Po tym popraw specjalistą .NET Framework Cleanup Tool i zainstaluj ponownie tę wersję. . Odnośnik do komentarza
tosza Opublikowano 14 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 14 Marca 2013 Na razie to męczymy czyszczenie po infekcji, bo jeszcze nie koniec: (...)Do SystemLook wklej: (...) Załączam raporty. Start > w polu szukania wpisz main.cpl > co jest ustawione tu:- Przełącz przycisk podstawowy i pomocniczy - BlokadaKliknięcia I się wyjaśniło. Problem jest sprzętowy. Po zamianie przycisków działa jak trzeba i z inną myszą działa jak trzeba. Dziękuję za pomoc i zamykamy ten podwątek. Zakładam, że próbowałeś oczywiście reinstalacji programu, ale czy próbowałeś przeinstalować także .NET Framework?- Reinstalacja wersji natywnych wbudowanych w system: Panel sterowania > Programy i funkcje > Włącz lub wyłącz funkcje systemu Windows > odptaszkuj .NET Framework + restart systemu > po resecie wejdź tam ponownie i zaptaszkuj + reset. - Reinstalacja wersji wtórnych: widzialna u Ciebie wersja .NET Framework 1.1. Odinstaluj tradycyjnie. Po tym popraw specjalistą .NET Framework Cleanup Tool i zainstaluj ponownie tę wersję. Zrobione. Niestety nie pomogło. FSS.txt SystemLook.txt 03142013_004917.txt Odnośnik do komentarza
picasso Opublikowano 14 Marca 2013 Zgłoś Udostępnij Opublikowano 14 Marca 2013 Pliki ZeroAccess nie usunięte, OTL również odmawia współpracy. Błędy sugerują brak uprawnień. W Farbar również zupełny brak zmian i usługi nadal nie odbudowane. W związku z tym będziemy rekonstruować ręcznie usługi. Na razie te sprawy oraz brak Scal w kontekstowym omijam, gdyż: Zrobione. Niestety nie pomogło. Ten problem oraz problem z usuwaniem plików ZeroAccess z katalogu C:\Windows\assembly to mogą być inne postaci tej samej usterki podskórnej. ZeroAccess jako jedną ze swoich "cech" przejawia mataczenie z uprawnieniami (resetuje ścieżki w których tworzy pliki), niekiedy to się kończy odebraniem uprawnień wszystkim kontom (czysta lista ACL). Brak uprawnień do Assembly może tłumaczyć wykładanie się Idiom Worldserver. Dla porównania rozwiązywany kiedyś przeze mnie problem ingerencji ZeroAccess w uprawnienia Assembly skutkujący niemożnością uruchomienia gry Fifa: KLIK. Czyli na teraz podaj mi precyzyjny spis uprawnień Assembly. Aplikację SetACL.exe już posiadasz w C:\Windows (widziałam w raporcie), za jego pomocą właśnie pobiorę uprawnienia. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: SetACL -on "C:\Windows\assembly" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" -rec yes >>C:\log.txt Przedstaw wynikowy C:\log.txt. . Odnośnik do komentarza
tosza Opublikowano 14 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 14 Marca 2013 Nie pokrzepiłaś mnie. Jeśli w twoich kolejnych działaniach jest jakaś możliwość priorytetyzowania, to ten Idiom jest absolutnym priorytetem dla mnie, bez tego klient mnie niedługo oskubie. Załączam log. log.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się