Windows 7 64bit aero uszkodzone czyszczeniem TDSSKiller 2.9.2.0

[techniacz97]

Witam,

 

Tak jak w temacie. Końcówka loga TDSSKiller :  Detected object count: 1

 

   Actual detected object count: 1

 

C:\Windows\system32\themeservice.dll - copied to quarantine

 

HKLM\SYSTEM\ControlSet001\services\Themes - will be deleted on reboot

 

HKLM\SYSTEM\ControlSet002\services\Themes - will be deleted on reboot

 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost:netsvcs - will be cured on reboot

 

C:\Windows\system32\themeservice.dll - will be deleted on reboot

 

Themes ( UnsignedFile.Multi.Generic ) - User select action: Delete

 

Oraz do tego od niedawna dziwne miejsca zapisu plików, mimo wyboru innych scieżek m.in pliki z bittorrent, pobrane magnet linkiem zapisuja sie w ukrytym folderze " C:\ VTRoot  oczywiście po wskazaniu innej scieżki zapisu. Równierz dziwne zapisywane sa pliki pobierane z przeglądarki ( FireFox 23.0.1 )  mimo wskazania miejsca zapisu w  " C:\Users\Desktop "  plik " FRST64 " nie jest widoczny na pulpicie, ani w domyślnym folderze " User\Deskop "  tylko i wyłącznie do podglądu z FireFoxa z miejsca pobranych plików.

 

I jeszcze trzecia, ostatnia pierdoła jaką tu truje d...    Otóż za każdym razem kiedy jest otwarte jedno, "Pierwsze" pełne lub nie okno np. Przeglądarki, Skype albo po prostu okno w eksploratorze windows, i gdy na to okno wyświetli się inne, mniejsze lub okno np. z otwarciem notatnika, jakiejś aplikacji, informacji o aktualizacji jakiegoś programu, itd. No po prostu wszystko co wyświetli się "NA" pierwszym otworzonym oknie, " Znika" w mgnieniu oka minimalizuje się, lub chowając się " ZA " pierwsza kartą  GDY TYLKO KURSOR MYSZY OPUŚCI PASEK ZADAŃ :/  jest to już uciążliwe, czatowanie i błyskawiczne operacje myszą, aby tylko " kliknąć " na denerwujące okno żeby się nie schowało.

 

Z góry dziękuje za uwagę, oraz za poświęcony czas

 

TDSSKiller.2.9.2.0_22.08.2013_00.24.03_log.txt

Addition2.txt

[picasso]

Themes zostało wykryte jako "Unsigned", co sugeruje, że prawdopodobnie mataczono z wprowadzeniem obsługi niedomyślnych tematów (spoza puli MS). Takich wyników "Unsigned" nie rusza się w TDSSKiller, nie na darmo domyślna akcja to Skip. Rekonstrukcja uszkodzonej usługi Themes:

 

1. Uzupełnij brakujący plik. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER:

 

sfc /scannow

 

Gdy komenda ukończy działanie, w cmd wklej kolejną:

 

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

 

Wynikowy log dołącz tutaj.

 

2. Uzupełnij skasowaną usługę. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Themes]
"Start"=dword:00000002
"DisplayName"="@%SystemRoot%\\System32\\themeservice.dll,-8192"
"ErrorControl"=dword:00000001
"Group"="ProfSvc_Group"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Type"=dword:00000020
"Description"="@%SystemRoot%\\System32\\themeservice.dll,-8193"
"ObjectName"="LocalSystem"
"RequiredPrivileges"=hex(7):53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,\
00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,\
72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\
00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,00,74,\
00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Themes\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceMain"="ThemeServiceMain"
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
74,00,68,00,65,00,6d,00,65,00,73,00,65,00,72,00,76,00,69,00,63,00,65,00,2e,\
00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
"netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\
63,00,00,00,43,00,65,00,72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,\
00,00,00,53,00,43,00,50,00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,\
00,00,6c,00,61,00,6e,00,6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,\
00,00,00,67,00,70,00,73,00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,\
54,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,\
00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
00,69,00,74,00,79,00,00,00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,\
6e,00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,\
00,00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,\
69,00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,\
00,74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,\
73,00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,\
00,63,00,65,00,73,00,73,00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,\
61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,\
00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,\
73,00,72,00,76,00,00,00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,\
00,6d,00,53,00,70,00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,\
69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\
00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,\
44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,\
00,6f,00,6e,00,48,00,6f,00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,\
64,00,69,00,74,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,\
00,70,00,6c,00,6f,00,61,00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,\
6c,00,70,00,73,00,76,00,63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,\
00,6e,00,00,00,41,00,70,00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,\
69,00,73,00,63,00,73,00,69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,77,\
00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,00,72,00,74,00,\
00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,50,00,72,00,6f,00,66,\
00,53,00,76,00,63,00,00,00,73,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,00,\
00,00,68,00,6b,00,6d,00,73,00,76,00,63,00,00,00,53,00,65,00,73,00,73,00,69,\
00,6f,00,6e,00,45,00,6e,00,76,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,\
74,00,00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,54,00,68,00,65,\
00,6d,00,65,00,73,00,00,00,42,00,44,00,45,00,53,00,56,00,43,00,00,00,41,00,\
70,00,70,00,4d,00,67,00,6d,00,74,00,00,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Zresetuj system.

 

 

Oraz do tego od niedawna dziwne miejsca zapisu plików, mimo wyboru innych scieżek m.in pliki z bittorrent, pobrane magnet linkiem zapisuja sie w ukrytym folderze " C:\ VTRoot oczywiście po wskazaniu innej scieżki zapisu.

Folder C:\VTRoot to sandbox COMODO. Czyli do wglądu konfiguracja programu.

 

 

I jeszcze trzecia, ostatnia pierdoła jaką tu truje d...

Został podany tylko log Addition, brak głównego raportu FRST.

 

 

 

.

[techniacz97]

Po zastosowaniu się do powyższych zaleceń, aero odzyskało sprawność .

 

Z ciekawości postanowiłem przeskanować system, tym razem COMODO Cleaning Essentials i po raz drugi moim oczom ukazało się "dziwne?" zagrożenie: TrojWare.Win32.Qhost.~14S9@116242354, oraz najdziwniejsza ścieżka: 0.0.0.0 .   Nie mogłem nigdzie znaleźć opisu tego cuda, więc publikuje go tutaj.

 

Jeszcze raz sto krotne dzięki za pomoc ( Nie po raz pierwszy zresztą ) Pozdrawiam

sfc.txt

FRST.txt