uzytkownik Opublikowano 1 Czerwca 2013 Zgłoś Udostępnij Opublikowano 1 Czerwca 2013 Po zainstalowaniu rzekomego pakietu sterowników okazało się, że był on wirusem. Pojawił się dymek o wyłączeniu jakichś zabezpieczeń, a program "Eset Nod Antivirus 4" natychmiast wykrył konia trojańskiego i określił infekcję pliku C:\Windows\assembly\GAC_32\Desktop.ini. Kilkukrotne próby usunięcia wirusa wraz z restartami przez program Eset nic nie dały. Po włączeniu komputera, za każdym razem wyświetlają się komunikaty, które załączam w załączniku "komunikaty". Nie wykonywałem żadnych prób napraw na własną rękę. (Nie da się przywrócić systemu bo prawdopodobnie wyczłączenie ochrony systemu przez wirusa spowodowało utracenie tworzonych automatycznie punktów przywracania.) Zgodnie z instrukcją usunałęm programy emulujące napędy oraz sterownik SPDT (nie usuwałem klucza z rejestru). Po tych czynnościach wykonałem obowiązkowe logi, które załączam. Bardzo Proszę o pomoc. Extras.Txt GMER.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 1 Czerwca 2013 Zgłoś Udostępnij Opublikowano 1 Czerwca 2013 Infekcja rootkitem ZeroAccess w wariancie infekującym systemowy plik services.exe (o czym mówi GMER) i tworzącym linki symboliczne na katalogu Windows Defender (w GMER jest zablokowany conajmniej jeden komponent Windows Defender). Poproszę o dodatkowe raporty: 1. Spis kopii pliku services.exe. Uruchom SystemLook x64 i w oknie wklej: :filefind services.exe Klik w Look. Przedstaw wynikowy log. 2. Spis linków symbolicznych. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę dir /s "C:\Program Files\Windows Defender" > C:\log.txt i ENTER. Przedstaw wynikowy plik C:\log.txt. 3. Spis szkód w usługach poczynionych przez infekcję. Log z Farbar Service Scanner. . Odnośnik do komentarza
uzytkownik Opublikowano 1 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 1 Czerwca 2013 Załączam logi, o które poproszono. SystemLook 30.07.11 by jpshortstuff Log created at 21:04 on 01/06/2013 by ASIA Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] 50BEA589F7D7958BDD2528A8F69D05CC C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- FSS.txt log.txt Odnośnik do komentarza
picasso Opublikowano 1 Czerwca 2013 Zgłoś Udostępnij Opublikowano 1 Czerwca 2013 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe ENTER. Zresetuj system, by ukończyć naprawę pliku. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie przechodź do wykonania dalszych czynności, tylko od razu zgłoś się na forum. 2. Otwórz Notatnik i wklej w nim: attrib -s -h C:\Windows\Installer\{409e27c4-e12c-0662-ca89-cc76e387f315} attrib -s -h C:\Windows\SysWow64\%APPDATA% attrib -s -h C:\Windows\assembly\GAC_32\Desktop.ini attrib -s -h C:\Windows\assembly\GAC_64\Desktop.ini rd /s /q C:\Windows\Installer\{409e27c4-e12c-0662-ca89-cc76e387f315} rd /s /q C:\Windows\SysWow64\%APPDATA% del /q C:\Windows\assembly\GAC_32\Desktop.ini del /q C:\Windows\assembly\GAC_64\Desktop.ini fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpAsDesc.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpClient.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpCmdRun.exe" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpCommu.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpEvMsg.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpOAV.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpRTP.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpSvc.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MSASCui.exe" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MsMpCom.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MsMpLics.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\MsMpRes.dll" fsutil reparsepoint delete "C:\Program Files\Windows Defender\pl-PL" reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ /d "" /f reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27B4851A-3207-45A2-B947-BE8AFE6163AB}" /f reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar" /v {32099AAC-C132-4136-9E9A-4E364A424E17} /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{B1948B1D-2CC9-4EDA-99D7-CDFEAA294A30}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {32099AAC-C132-4136-9E9A-4E364A424E17} /f reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} /f netsh winsock reset pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Zresetuj system. 3. Uruchom ServicesRepair i zresetuj system. 4. Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 6. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner, SystemLook na te same warunki oraz komendę dir jak poprzednio. Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
uzytkownik Opublikowano 1 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 1 Czerwca 2013 Rozumiem, że komendę dir miałem wykonać po sporządzeniu wszystkich logów? Moja pomyłka już dodaje plik z komendy dir Załączam otrzymane logi: SystemLook 30.07.11 by jpshortstuff Log created at 21:59 on 01/06/2013 by ASIA Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- AdwCleanerS1.txt FSS.txt OTL.Txt log.txt Odnośnik do komentarza
picasso Opublikowano 1 Czerwca 2013 Zgłoś Udostępnij Opublikowano 1 Czerwca 2013 Infekcja usunięta. Jednakże to nie koniec zadań. Katalog Windows Defender został rozlinkowany, ale wszystkie obiekty w nim mają zresetowane uprawnienia. Kolejne akcje: 1. Pobierz SetACL (Administrators: Download the EXE version of SetACL). Z folderu 64 bit skopiuj plik SetACL.exe do katalogu C:\Windows. Otwórz Notatnik i wklej w nim: SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:Użytkownicy;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:Użytkownicy;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:Użytkownicy;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:Użytkownicy;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:Użytkownicy;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:Użytkownicy;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:Użytkownicy;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:Użytkownicy;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:Użytkownicy;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:Użytkownicy;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:Użytkownicy;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:Użytkownicy;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:Użytkownicy;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Windows\SysWow64\%APPDATA%" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Windows\assembly\GAC_32\Desktop.ini" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Windows\assembly\GAC_64\Desktop.ini" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Windows\SysWow64\%APPDATA%" -ot file -actn ace -ace "n:Administratorzy;p:full" SetACL -on "C:\Windows\assembly\GAC_32\Desktop.ini" -ot file -actn ace -ace "n:Administratorzy;p:full" SetACL -on "C:\Windows\assembly\GAC_64\Desktop.ini" -ot file -actn ace -ace "n:Administratorzy;p:full" reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {D9A571AF-A99D-4A4E-8693-EFA0941EB941} /f reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f sc delete gfiark del /q C:\Windows\system32\drivers\gfiark.sys pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Z prawokliku na plik Uruchom jako Administrator. 2. Usuń z dysku poprzedni plik C:\log.txt. Otwórz Notatnik i wklej w nim: SetACL -on "C:\Program Files\Windows Defender" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\pl-PL\MpAsDesc.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\pl-PL\MpEvMsg.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\pl-PL\MsMpRes.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako LISTA.BAT Z prawokliku na plik Uruchom jako Administrator. Przedstaw wynikowy C:\log.txt. 3. Zrób log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
uzytkownik Opublikowano 1 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 1 Czerwca 2013 Otrzymane logi: log.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 1 Czerwca 2013 Zgłoś Udostępnij Opublikowano 1 Czerwca 2013 Coś poszło nie tak przy nakładaniu uprawnień grupie Użytkownicy, SetACL utworzył kuriozalne wpisy nieistniejącego konta "BUILTIN": BUILTIN\BUILTIN read_execute allow no_inheritance Trzeba powtórzyć proces, tylko zamiast nazwy "Użytkownicy" wykorzystam SID grupy S-1-5-32-545 (jest uniwersalny). 1. Otwórz Notatnik i wklej w nim: SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" -actn clear -clr "dacl" SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" -actn clear -clr "dacl" SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" -actn clear -clr "dacl" SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" -actn clear -clr "dacl" SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" -actn clear -clr "dacl" SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" -actn clear -clr "dacl" SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" -actn clear -clr "dacl" SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" -actn clear -clr "dacl" SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" -actn clear -clr "dacl" SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" -actn clear -clr "dacl" SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" -actn clear -clr "dacl" SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" -actn clear -clr "dacl" SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" -actn clear -clr "dacl" SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Z prawokliku na plik Uruchom jako Administrator. Następnie uruchom jako Administrator poprzedni plik LISTA.BAT i podaj wynikowy C:\log.txt. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\SysWow64\%APPDATA% C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. Przedstaw go. . Odnośnik do komentarza
uzytkownik Opublikowano 1 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 1 Czerwca 2013 Otrzymane pliki: - plik "log" po uruchomieniu LISTA - plik "log_ze skryptu" po wykonaniu skryptu Z tego co mi się wydaje plik log nie różni się od poprzedniego. Fakt, że nie mogę włączyć zapory sieciowej (po kliknięciu "włącz" nic się nie dzieje) wynika zapewne z powyższych logów, ale jeśli nie to informuję, że tak jest log.txt log_ze skryptu.txt Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2013 Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 Z tego co mi się wydaje plik log nie różni się od poprzedniego. Różni się. Moim celem było usunięcie wadliwego fantoma BUILTIN\BUILTIN dodanego przez błąd SetACL (powinna być grupa Użytkownicy). Aktualnie po ponownym resecie uprawnień jest prawidłowa grupa BUILTIN\Użytkownicy. Było: BUILTIN\BUILTIN read_execute allow no_inheritance Jest: BUILTIN\Użytkownicy read_execute allow no_inheritance Uprawnienia zresetowane poprawnie. Zadanie wykonane. Fakt, że nie mogę włączyć zapory sieciowej (po kliknięciu "włącz" nic się nie dzieje) wynika zapewne z powyższych logów, ale jeśli nie to informuję, że tak jest Nie rozumiem. Powyższe zadanie nie ma nic wspólnego z Zaporą (to był reset uprawnień katalogu Windows Defender). Zaporę rekonstruowało narzędzie ServicesRepair. I wg Farbar Service Scanner wszystko jest odtworzone (usługi Zapory czynne = Zapora czynna). Ustalmy gdzie sprawdzasz Zaporę, pokaż obrazek co widzisz. . Odnośnik do komentarza
uzytkownik Opublikowano 2 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 Stan zapory sprawdzam w Panel Sterowania -> System i zabezpieczenia -> Zapoznaj się ze stanem komputera i ukazuje mi się okno takie jak w załączniku. Po kliknięciu "włącz teraz" nie ma żadnej reakcji. Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2013 Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 Spróbuj zresetować ustawienia Zapory poprzez linię komend: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh advfirewall reset i ENTER 2. Zresetuj system. Czy komunikat o wyłączonej Zaporze nadal występuje? . Odnośnik do komentarza
uzytkownik Opublikowano 2 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 Niestety dalej to samo, komunikat nadal występuje. Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2013 Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 Hmmm, ServicesRepair odtwarzało całość. Mam też pytanie: czy przed infekcją Zapora na pewno działała? Daj mi czas na przemyślenie sprawy. Tu jest chyba coś innego tematycznie: w początkowej fazie usług Zapory nie było wcale, bo ZeroAccess skasował, ServicesRepair rekonstruowało układ od zera, a więc problem niemożności aktywacji Zapory prawdopodobnie nie leży w tych wpisach. Natomiast już teraz możesz wykonać inne zadania: 1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox oraz wszystkie używane pliki BAT. Zostaw jednak SystemLook, Farbar Service Scanner i SetACL, bo być może te narzędzia będą jeszcze używane. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zrób pełne (nie ekspresowe) skanowanie za pomocą Malwarebytes Anti-Malware. Przy instalacji padnie pytanie o wersję, wybierz darmową. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
uzytkownik Opublikowano 2 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 Jeśli chodzi o to czy zapora działała przed infekcją to przypomniało mi się że chyba już wcześniej pojawiał się komunikat proszący o jej włączenie jednak tak jak obecnie nie udało mi się tego zrobić (nie chciała się włączyć) i chyba zlekceważyłem ten problem :/ Jeśli chodzi o czyszczenie folderów przywracania, to oprócz dwóch dysków jakie posiadam to jest C i D na liście wyświetlany jest też folder RECOVERY. Jest to prawdopodobnie folder z kopiami zapasowymi programu Samsung Recovery Solution 4, który był zainstalowany od nowości. Z tego co się dowiedziałem pozwala on na następujące funkcje: - Basic Restore - ta funkcja szybko przywraca główne pliki systemu Windows (C:\Windows) bez zmiany konfiguracji użytkownika i danych znajdujących się na dysku C. - Complete Restore - ta funkcja usuwa całą zawartość dysku C, a następnie całkowicie ją przywraca. * Przywracanie stanu początkowego - ta funkcja przywraca początkowy stan komputera zapisany przy pierwszym uruchomieniu komputera po jego zakupie. * Przywracanie pełnej kopii zapasowej - ta funkcja przywraca stan komputera z momentu, w którym została użyta funkcja Pełna Kopia Zapasowa - Data Restore - ta funkcja przywraca dane użytkownika, jeżeli wcześniej została wykonana kopia zapasowa. Chodzi mi o to, że do zakupionego laptopa nie była dołączona żadna płyta z systemem. Zamiast tego wykonuje się prawdopodobnie funkcję Complete Restore (jak się domyślam odpowiednik reinstalacji systemu). Ponadto program chyba nie zapisuje kopii zapasowych samodzielnie, a ja, jak dotąd tego nie robiłem, także nie powinno być żadnych kopi z czasu infekcji systemu. Chodzi mi o to czy konieczne jest czyszczenie tego folderu, gdyż po usunięciu jego zawartości prawdopodobnie nie możliwe będzie skorzystanie z żadnej wyżej wymienionych opcji, a co za tym idzie brak możliwości reinstalacji systemu. Folder RECOVERY znajduje się prawdopodobnie na dysku C (jak sprawdzić lokalizację?) a więc czyszczenie dysku C również spowoduje utratę danych w tym folderze? W zarządzaniu dyskami widzę partycję odzyskiwania 20GB więc może tam Samsung Recovery Solution zapisał kopie. Co robić? Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2013 Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 Jeśli chodzi o czyszczenie folderów przywracania, to oprócz dwóch dysków jakie posiadam to jest C i D na liście wyświetlany jest też folder RECOVERY. (...) Chodzi mi o to czy konieczne jest czyszczenie tego folderu, gdyż po usunięciu jego zawartości prawdopodobnie nie możliwe będzie skorzystanie z żadnej wyżej wymienionych opcji, a co za tym idzie brak możliwości reinstalacji systemu. Folder RECOVERY znajduje się prawdopodobnie na dysku C (jak sprawdzić lokalizację?) a więc czyszczenie dysku C również spowoduje utratę danych w tym folderze? Ale popatrz co masz napisane w oknie na temat partycji D i RECOVERY: Ochrona = Wyłączona. Czyli nie ma czego czyścić! Czyszczenie aplikuje się tylko dla partycji, która miała Ochronę czynną, czyli jest to tu tylko dysk C. Partycje serwisowe Samsung nie wchodzą w to. Poza tym, nawet jeśli Ochrona byłaby Włączona, czyszczenie folderów Przywracania systemu nie ma nic wspólnego z systemem Recovery, to są całkowicie inne rzeczy. , Odnośnik do komentarza
uzytkownik Opublikowano 2 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 Program Malwarebytes wykrył kilka zagrożeń. Załączam log. Program zaznaczył do usunięcia wszystkie pliki oprócz tych 2 RemoveWGA. Czy mam coś usuwać? log_Malware.txt Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2013 Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 Wyniki MBAM: - Rootkit.0Access to odpadek (już nieczynny) po usuwanym tu trojanie i do usunięcia. - Riskware.Took.CK w keygenie niepewny i takie rzeczy prewencyjnie lepiej usunąć. - Trojan.FakeAlert.RRE na pliku aplikacji Zuma wygląda na fałszywy alarm. PopUninstall.exe to deinstalator Zuma. - Spyware.Zbot kierujący na pliki autorun.exe w Leica Geosystems podobnie. To wygląda na pliki autostartu CD. - Trojan.Agent w luxorres.dll niejasny. Możliwe, że też fałszywy alarm. - RemoveWGA wykryte z oczywistych powodów. Czy coś już usuwałeś za pomocą programu? . Odnośnik do komentarza
uzytkownik Opublikowano 2 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2013 Na razie nic nie usuwałem. Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2013 Zgłoś Udostępnij Opublikowano 3 Czerwca 2013 Usuń wyniki Rootkit.0Access i Riskware.Took.CK. Wątek infekcji mamy za sobą. Został problem Zapory, który zdaje się być nie powiązany z infekcją. Co do Zapory, to jeszcze spróbuj tego narzędzia Microsoftu: KLIK. Mam wątpliwości czy to coś pomoże, ale ... Narzędzie wygeneruje raport, przedstaw go. . Odnośnik do komentarza
uzytkownik Opublikowano 3 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2013 Niestety po zastosowaniu powyższego fixu (niby znalazł coś z zaporą i naprawił) ale zapora nadal była wyłączona więc uruchomiłem ponownie komputer. Jednak teraz po ponownym uruchomieniu nic nie działa tzn pojawia się pulpit i ikony ale kreci się cały czas kółeczko i nie mogę nic zrobić, także ikony na pasku startu nawet się nie podświetlają po najechaniu myszkę. Po paru restartach to samo... Co robić? Jeżeli program generuje raport to czy został on gdzieś zapisany bo nic podczas procesu nie było? Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2013 Zgłoś Udostępnij Opublikowano 3 Czerwca 2013 Jednak teraz po ponownym uruchomieniu nic nie działa tzn pojawia się pulpit i ikony ale kreci się cały czas kółeczko i nie mogę nic zrobić, także ikony na pasku startu nawet się nie podświetlają po najechaniu myszkę. Po paru restartach to samo... Co robić? Wątpię, by to było związane z pracą narzędzia Microsoftu. Tu prędzej może kolidować instalacja MBAM (ostatnia z instalacji). Tak więc spróbuj odinstalować MBAM z poziomu Trybu awaryjnego (o ile to możliwe w takim trybie). Jeżeli program generuje raport to czy został on gdzieś zapisany bo nic podczas procesu nie było? W oknie tego narzędzia był odnośnik do otwierania raportu. Raport prawdopodobnie powstał w tej ścieżce: C:\Users\ASIA\AppData\Local\Temp\MATS-Temp\ResultReport\ResultReport.html Log ma rozszerzenie HTML, nie dopuszczam takich plików w załącznikach, więc plik podaj linkując go na jakimś serwisie hostingowym. . Odnośnik do komentarza
uzytkownik Opublikowano 3 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2013 Udało mi się już uruchomić komputer nawet bez deinstalacji. Tu znajduje się raport z fixa: http://www.wklejto.pl/162535 (dziwna nazwa nadana przez wklejto.pl bo nie wiedziałem jak zmienić) Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2013 Zgłoś Udostępnij Opublikowano 3 Czerwca 2013 Udało mi się już uruchomić komputer nawet bez deinstalacji. Ale odinstaluj MBAM i zresetuj system. Tu znajduje się raport z fixa Ja chcę plik w oryginalnym formacie HTML, nie próbuj tego wklejać jako TXT. Cały plik HTML shostuj np. na SpeedyShare. . Odnośnik do komentarza
uzytkownik Opublikowano 3 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2013 Ok, usunę. Raport: http://speedy.sh/thHPD/ResultReport.xml Odnośnik do komentarza
Rekomendowane odpowiedzi