tylkokamila Opublikowano 5 Czerwca 2013 Zgłoś Udostępnij Opublikowano 5 Czerwca 2013 Pomocy Mam podobny problem z tym Internet Security PRO 2013, ale ja nie potrafie sama nic z nim zrobić Nie mam własciwie zadnego aktualnego zabezpieczenia, tylko stary ESET NOD32. Program blokuje mi przegladarke i nie pozwala zainstalowac żadnego nowego programu Prosze pomóżcie zależy mi na czasie (jak widac jestem laikiem w tej dziedzinie więc prosze o zrozumienie) Odnośnik do komentarza
picasso Opublikowano 5 Czerwca 2013 Zgłoś Udostępnij Opublikowano 5 Czerwca 2013 Zasady działu: KLIK. Po pierwsze: tu nie wolno się dopisywać do cudzych tematów, wydzielone w osobny. Po drugie: są wymagane raporty, by ocenić stan systemu. Przejdź w Tryb awaryjny Windows i zrób wymagane raporty narzędziem OTL. . Odnośnik do komentarza
tylkokamila Opublikowano 5 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2013 Przepraszam a jak mam zrobić te raporty??? Odnośnik do komentarza
picasso Opublikowano 5 Czerwca 2013 Zgłoś Udostępnij Opublikowano 5 Czerwca 2013 Czy przeczytałaś zasady działu? Tam jest link do instrukcji robienia raportów, kierujący do: KLIK. Odnośnik do komentarza
tylkokamila Opublikowano 5 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2013 ok zrobiłam, nie wiem czy o to chodzi? Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 5 Czerwca 2013 Zgłoś Udostępnij Opublikowano 5 Czerwca 2013 Tak, o te raporty mi chodziło. Na podstawie informacji w nich zawartych mogę przejść do usuwania infekcji. Tu niestety sprawa jest bardziej skomplikowana, nie tylko infekcja Internet Security PRO 2013, ale także rootkit ZeroAccess uruchamiany z Kosza. Poza tym jest i adware reklamodawcze, ale to mniejszy problem. Wykonaj następujące kroki: 1. Otwórz Notatnik i wklej w nim: reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\fastprox.dll /f reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Internet Security" /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Uruchom plik poprzez dwuklik na niego. Otworzy się czarne okno linii komend, które po wykonaniu zadania poprosi o "wciśnięcie jakiegokolwiek klawisza by kontynuować". ENTER z klawiatury. Konieczny jest restart systemu, by odładować infekcję z pamięci. 2. Otwórz Notatnik i wklej w nim: attrib -s -h C:\WINDOWS\assembly\GAC\Desktop.ini del /q C:\WINDOWS\assembly\GAC\Desktop.ini del /q "C:\Profiles\All Users\Dane aplikacji\indefender.exe" del /q "C:\Profiles\All Users\Pulpit\Internet Security PRO 2013.lnk" cacls C:\RECYCLER\S-1-5-18 /E /G Wszyscy:F cacls C:\RECYCLER\S-1-5-18\$32bc33109ea7eac6e13c40ed783fb937 /E /G Wszyscy:F cacls C:\RECYCLER\S-1-5-21-1957994488-1708537768-839522115-1001\$32bc33109ea7eac6e13c40ed783fb937 /E /G Wszyscy:F rd /s /q C:\RECYCLER netsh winsock reset pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Podobnie jak wyżej: uruchom plik przez dwuklik, ENTER z klawiatury. 3. Opuść Tryb awaryjny Windows i przejdź do deinstalacji adware: - Przez Dodaj/Usuń programy odinstaluj: BabylonObjectInstaller, Deinstalator Strony V9, Facemoods Toolbar, Funmoods on IE and Chrome, iLivid, Softonic toolbar on IE and Chrome, Windows iLivid Toolbar, Yontoo 1.10.02. - Otwórz Google Chrome, wejdź do ustawień i w Rozszerzeniach powtórz deinstalację: Babylon Toolbar, Funmoods, Facemoods, Yontoo. Jeśli tego nie będzie na liście, to mógł wykonać robotę punkt powyżej. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
tylkokamila Opublikowano 5 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2013 Jesteście kochani pomogło mam nadzieję że nie pominęłam żadnych załączników AdwCleanerS1.txt OTL.Txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 5 Czerwca 2013 Zgłoś Udostępnij Opublikowano 5 Czerwca 2013 Czynna infekcja pomyślnie usunięta, ale tu jeszcze nie koniec zadań. Infekcja ZeroAccess zrobiła dużo szkód w usługach systemu, a także wymagane inne poprawki. Zanim podam kolejne instrukcje, potrzebuję informacji na temat tej adnotacji o braku pliku usługi Centrum zabezpieczeń: ATTENTION!=====> C:\WINDOWS\system32\wscsvc.dll FILE IS MISSING AND SHOULD BE RESTORED. Podaj skan czy są kopie pliku w systemie. Uruchom SystemLook i w oknie wklej: :filefind wscsvc.dll Klik w Look i czekaj na raport. . Odnośnik do komentarza
tylkokamila Opublikowano 5 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2013 zrobione SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 5 Czerwca 2013 Zgłoś Udostępnij Opublikowano 5 Czerwca 2013 Zupełny brak pliku. Tu nie mam pewności, czego wynikiem jest brak usługi Centrum zabezpieczeń. Infekcja tę usługę kasuje, ale tu jej brak może mieć inne przyczyny: w logu są ślady, że Twój system jest modyfikowany (nieoryginalny system XP, tweakowany przez kogoś) i prawdopodobnie usługę Centrum wycięto już na etapie przygotowywania płyty Windows. Czy jesteś w stanie mi powiedzieć czy Centrum zabezpieczeń posiadałaś dostępne w tym systemie XP? W sytuacji, gdy usługi nie ma z powodów tu wymienionych, jej odtworzenie nie jest dość sensowne, bo musiałabym zrobić więcej kroków przywracających i nie jest pewne czy to dałoby rezultaty. Nie wiadomo ile wycięto z XP. . Odnośnik do komentarza
tylkokamila Opublikowano 5 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2013 niestety ja tego też nie wiem mogę spróbować zasięgnąć informacji od kogoś kto mi wszystko wgrywał, ale chyba dziś mi się to nie uda czyli co dokładnie powinnam sie dowiedzieć? czy wycięte zostało Centrum i czy coś jeszcze? Odnośnik do komentarza
picasso Opublikowano 5 Czerwca 2013 Zgłoś Udostępnij Opublikowano 5 Czerwca 2013 czyli co dokładnie powinnam sie dowiedzieć? czy wycięte zostało Centrum i czy coś jeszcze?Tak, czy Centrum zabezpieczeń zostało wycięte i jakie inne usługi ewentualnie. W związku z tym, że czekam na tę informację, na razie pomijam całkowicie Centrum zabezpieczeń w naprawach, ale zadaję inne czynności: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS] "Type"=dword:00000020 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Usługa inteligentnego transferu w tle" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Używa przepustowości bezczynnej sieci do transferu danych. Jeżeli BITS zostanie wyłączone, funkcje takie jak Windows Update przestaną działać." "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Enum] "0"="Root\\LEGACY_BITS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Aktualizacje automatyczne" "ObjectName"="LocalSystem" "Description"="Umożliwia pobieranie i instalowanie ważnych aktualizacji systemu Windows. Jeśli ta usługa zostanie wyłączona, komputer nie będzie umożliwiał korzystania z funkcji Automatyczne aktualizacje lub strony Windows Update." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\ 61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum] "0"="Root\\LEGACY_WUAUSERV\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000042e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{09F90059-BA9D-46AE-AB5B-E47374373887}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{57EB8B2D-4269-4F33-B2B7-964429D1A881}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ChomikBox"=- [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] Adnotacja dla innych czytających: import dopasowany do Windows XP. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Zróć uwagę, że teraz tworzysz plik o rozszerzeniu REG a nie BAT. Uruchom plik przez dwuklik. Pojawi się pytanie o import do rejestru. Potwierdź. 2. Uruchom GrantPerms i w oknie wklej: C:\WINDOWS\assembly\GAC\Desktop.ini Klik w Unlock. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\assembly\GAC\Desktop.ini C:\Programs\Mozilla Firefox :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Zrób nowe logi: OTL z opcji Skanuj (bez Extras) oraz Farbar Service Scanner. . Odnośnik do komentarza
tylkokamila Opublikowano 5 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2013 zrobione FSS.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 5 Czerwca 2013 Zgłoś Udostępnij Opublikowano 5 Czerwca 2013 Wszystko zrobione. W logu z Farbar Service Scanner zostały tylko odczyty na temat brakującej usługi Centrum zabezpieczeń, ale tu czekam na Twoje potwierdzenie. Natomiast ogólnie możesz przejść do tej części zadań: 1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, wszystkie ręcznie stworzone pliki BAT/REG do śmieci. Zostaw na razie Farbar Service Scanner. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek zrób skanowanie w Malwarebytes Anti-Malware. Przy instalacji padnie pytanie o typ wersji i wybierz darmową bezrezydenta. Jeżeli coś zostanie wykryte, przedstaw raport. Uwaga: masz aktywację Windows zaprawioną crackiem. MBAM znajdzie wpisy punktujące do pliku antiwpa.dll. Nie usuwaj tego, bo nie zalogujesz się do Windows. . Odnośnik do komentarza
tylkokamila Opublikowano 5 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2013 Wszystko zrobiłam z pkt 1 i 2 natomiast jak uruchomiłam ten program Malwarebytes Anti-Malware wraz wynalazło jakieś trojany, czy to tak miało być??? co mam z tym teraz zrobić? (MAM.jpg) MBAM-log-2013-06-05 (16-47-07).txt Odnośnik do komentarza
picasso Opublikowano 5 Czerwca 2013 Zgłoś Udostępnij Opublikowano 5 Czerwca 2013 (edytowane) Jak mówiłam, musisz ominąć wszystkie wpisy punktujące cracka aktywacji Antiwpa (MBAM wykrywa po prostu crcki), bo nie zalogujesz się do Windows. Poza tym, inne wykryte modyfikacje rejestru to nie wina infekcji tylko Twojego zmodyfikowanego Windows. Nie usuwaj nic za pomocą programu, zignoruj co mówi. Jedyne co usuniesz ręcznie, to po prostu plik RMVBPlayerSetup.exe na Pulpicie (instalator sklasyfikowany jako nośnik adware). To tyle na razie. Czekam na informację o Centrum zabezpieczeń. . Edytowane 5 Lipca 2013 przez picasso 5.07.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi