Szybkilopezz Opublikowano 6 Września 2013 Zgłoś Udostępnij Opublikowano 6 Września 2013 Witam Serdecznie Od kilka dni mam problem z uruchomieniem centrum zabezpieczeń w WIN 7. Temat pojawiał się już wcześniej i jego geneza jest wygląda bardzo podobnie. Proszę o pomoc. Pozdrawiam Addition.txt Extras.Txt FRST.txt GMER.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 6 Września 2013 Zgłoś Udostępnij Opublikowano 6 Września 2013 W systemie działa infekcja uruchamiana przez Harmonogram zadań (zadanie o nazwie zxgc kierujące na plik mstscaxy.dll). Infekcja ta wyłącza Centrum, Przywracanie systemu i Windows Defender. Przechodząc do usuwania: 1. Otwórz Notatnik i wklej w nim: Task: {10FA7D97-A6C3-4274-B1A3-2CE463916831} - System32\Tasks\zxgc => C:\Windows\system32\mstscaxy.dll [2013-09-05] () Task: C:\Windows\Tasks\zxgc.job => C:\Windows\system32\mstscaxy.dll C:\Windows\system32\mstscaxy.dll C:\Users\AS-BUD\AppData\Roaming\hellomoto HKCU\...\Run: [] - [x] HKCU\...\Run: [ABBYY Screenshot Reader Retail] - [x] HKCU\...\Run: [AdobeBridge] - [x] Winlogon\Notify\LBTWlgn: c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll [X] SearchScopes: HKLM - DefaultScope value is missing. FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\qvo6.xml S3 BOCDRIVE; \??\C:\Program Files\Comodo\CBOClean\BOCDRIVE.sys [x] S3 massfilter; system32\drivers\massfilter.sys [x] S3 MREMPR5; \??\C:\PROGRA~1\COMMON~1\Motive\MREMPR5.SYS [x] S3 MRENDIS5; \??\C:\PROGRA~1\COMMON~1\Motive\MRENDIS5.SYS [x] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [x] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [x] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [x] CMD: netsh advfirewall reset Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Włącz usługi zdeaktywowane przez infekcję: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Windows Defender za to nie będzie tu włączany celowo = działa w tle MSSE (który i tak go deaktywuje). Ochrona systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików" 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. . Odnośnik do komentarza
Szybkilopezz Opublikowano 6 Września 2013 Autor Zgłoś Udostępnij Opublikowano 6 Września 2013 Krok po kroku według instrukcji. Załączam raporty Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 6 Września 2013 Zgłoś Udostępnij Opublikowano 6 Września 2013 Wszystko zrobione. Przejdź do tej porcji zadań: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner (używałeś go) uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Uruchom TFC - Temp Cleaner. 3. Zrób pełny skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
Szybkilopezz Opublikowano 6 Września 2013 Autor Zgłoś Udostępnij Opublikowano 6 Września 2013 Przedstawiam raport z Malwarebytes Anti-Malware, niestety wykryło troche świństwa. MBAM-log-2013-09-06 (14-04-11).txt Odnośnik do komentarza
picasso Opublikowano 9 Września 2013 Zgłoś Udostępnij Opublikowano 9 Września 2013 Wyniki MBAM: skaner wykrył adware, wątpliwy "program" RegClean Pro. Ja tego nie widziałam wcześniej na liście zainstalowanych, więc wyniki sugerują, że nabyłeś to między czyszczeniem systemu a skanem MBAM pobierając coś w Operze: C:\Users\AS-BUD\AppData\Local\Opera\Opera\cache\g_0006\opr0KQKE.tmp (PUP.Optional.RegCleanerPro) -> Nie wykonano akcji. C:\Users\AS-BUD\AppData\Local\Opera\Opera\temporary_downloads\rcpsetup_dcomnew_sec_728_dcomnew_sec_728.exe (PUP.Optional.RegCleanerPro) -> Nie wykonano akcji. Natomiast to wygląda na fałszywe alarmy: D:\CHOMIK\Diablo (matim96)\Diablo\DDtrainer109a+.exe (Malware.Packer) -> Nie wykonano akcji. D:\Dane Andrzej\fakturyasbud.exe (Trojan.Agent) -> Nie wykonano akcji. D:\Dane Andrzej\moje dokumenty\Innn\FAKTURY ASBUD.exe (Trojan.Agent) -> Nie wykonano akcji. Tak więc: - Odinstaluj przez Panel sterowania RegClean Pro. - W Operze wyczyść listę pobierania i cache. - Po w/w akcjach uruchom ponownie MBAM i sprawdź co pozostało po tym śmieciu. To usuń. - Pobierz ponownie FRST, zrób nowy log, chodzi mi o plik Addition ze spisem zaplanowanych zadań. . Odnośnik do komentarza
Szybkilopezz Opublikowano 9 Września 2013 Autor Zgłoś Udostępnij Opublikowano 9 Września 2013 RegClean Pro faktycznie zainstalował się przez pomyłkę podczas instalacji "Malwarebytes Anti-Malware" wcisnołem nie ten button. NIe kasowałem specjelnie aby nie zmieniać wyników raportu. Przedstawiam raport z FRST Addition.txt Odnośnik do komentarza
picasso Opublikowano 9 Września 2013 Zgłoś Udostępnij Opublikowano 9 Września 2013 Nic tu więcej do usuwania nie widzę. Kończ temat: 1. Przez SHIFT+DEL wykończ folder C:\FRST. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do wyrzucenia stary HijackThis i Java, reszta do aktualizacji: ==================== Installed Programs ======================= Adobe Reader XI (11.0.02) (Version: 11.0.02) HiJackThis (Version: 1.0.0) Java 7 Update 15 (Version: 7.0.150) Microsoft Office Professional Edition 2003 (Version: 11.0.8173.0) . Odnośnik do komentarza
Szybkilopezz Opublikowano 9 Września 2013 Autor Zgłoś Udostępnij Opublikowano 9 Września 2013 Dziękuję za pomoc. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi