Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

Nie można udostępnić drukarki po Antywirus Security Pro

Jan49

Przez Jan49
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Jan49

Jan49

Opublikowano
Opublikowano

W dniu 2013.10.18 na komputerze z Windows 7 Profesional załapało “Antyvirus security Pro” Na pulpicie pojawił się link do programu “C:\ProgramData\DpdpngDX\DpdpngDX.exe” oraz strony: hxxp://techprotectorltd.com/?.

Użyto Kaspersky Rescue Disk 10.0, wykrył ale nie usunął – z wbudowanego tam edytora rejestru usunięto klucz:

  

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="\"C:\\Users\\Rej\\AppData\\Local\\Google\\Desktop\\Install\\{855c3967-086f-3046-d588-ae24035dd676}\\<dziwne znaki-psują resztę posta>          \\{855c3967-086f-3046-d588-ae24035dd676}\\GoogleUpdate.exe\" >"
"AS2014"="C:\\ProgramData\\DpdpngDX\\DpdpngDX.exe"

 

Użyto także Windows defender offline, Rkill i Kaspersky Virus Removal Tool.

Był rootkit ZEROACCESS. klika trojanów.

System wydaje się czysty, ale zapora Windows też jest czysta – nie ma w niej żadnych reguł, także tych domyślnych, instalowanych wraz z systemem.

Dla potrzeby udostępniania wyłączono zaporę. Pliki są dostępne w sieci, ale próba udostępniania drukarki kończy się komunikatem: “Nie można zapisać ustawień drukarki. Nie można ukończyć operacji (błąd 0x000006d9)” Przy włączonej zaporze komunikat różni się jedynie: (błąd 0x00000001)” .

Na tym komputerze była udostępniana drukarka HP LaserJet Professional P1102, usunięto ją i zainstalowano ponownie. Po instalacji pojawiły się w panelu sterowania dwie drukarki opócz tej jak wyżej także HP LaserJet 1100 Series z żółtym wykrzyknikiem i bez pozycji Właściwości Drukarki w menu. Powraca za każdą próbą jej usunięcia po restarcjie systemu. HP LaserJet Professional P1102 jest domyśną i lokalnie drukuje.

W katalogu virusa był plik wsadowy –serv.bat, wydaje się, że potrzebne usługi dla udostępniania drukarki są włączone.

Jak naprawić system dla udostępniania drukarki i przywrócić domyślne reguły zapory?

 

Logi OTL i FRST po walce z wirusami.

 

Addition.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... FRST.txtPobieranie informacji ... OTL.TxtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
jessica

jessica

Opublikowano
Opublikowano

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (kłopoty osobiste).

Zanim tu zajrzy, to możesz zrobić to:

 

1. Otwórz Notatnik i wklej w nim:

  

HKCU\...\Run: [Google Update*] - [x] <===== ATTENTION (ZeroAccess rootkit hidden path)
U2 *etadpug; "C:\Program Files\Google\Desktop\Install\{855c3967-086f-3046-d588-ae24035dd676}\   \...\???\{855c3967-086f-3046-d588-ae24035dd676}\GoogleUpdate.exe" < <==== ATTENTION (ZeroAccess)
S3 gfiark; system32\drivers\gfiark.sys [x]
S2 sbapifs; system32\DRIVERS\sbapifs.sys [x]
C:\Program Files\Google\Desktop\Install
C:\Users\Rej\AppData\Local\Google\Desktop\Install
C:\Users\Rej\AppData\Local\Temp\siinst.exe
C:\Users\Rej\AppData\Local\Temp\siuninst.exe
C:\Users\Rej\AppData\Local\Temp\strings.dll
Task: {8362C96B-D02A-46E4-AA83-B5CD6BB41714} - \WPD\SqmUpload_S-1-5-21-2890126291-69562741-2740643167-500 No Task File


Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

Daj ten raport.

 

2. Na wszelki wypadek (choć raczej już nie będzie ZeroAccesa) użyj RogueKiller.
Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego.

 

3. Zrób log z Farbar Service Scanner (do skanowania zaznacz wszystko).

 

4. Zrób aktualne logi z FRST.

 

jessi

Odnośnik do komentarza
Jan49

Jan49

Opublikowano
  • Autor
Opublikowano

Coś jednak było w rejestrze po ZeroAcces. Po wykonaniu instrukcji dalej jak poprzednio brak możliwości udostępniania drukarki. Poczekamy na Picasso, a jak się nie doczekamy to najwyżej zakupię serwer druku. Przykro, że ma kłopoty...

 

FRST.txtPobieranie informacji ... FSS.txtPobieranie informacji ... RKreport0_D_10282013_122320.txtPobieranie informacji ... RKreport0_S_10282013_122251.txtPobieranie informacji ...

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

Jeśli przez 2-3 dni @Picasso tu nie pomoże, to zrobisz to:

 

 

  Pokaż ukrytą zawartość

 

 

(więcej nie dało się zmieścić w tym poście - przejdź do następnego)

 

jessi

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

ciąg dalszy, bo w poprzednim poście nie zmieściło się.

 

 

  Pokaż ukrytą zawartość

 

 

jessi

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

jessika

 

By uniknąć takich monstrualnych wklejek, proszę kieruj do tematu gdzie są gotowe załączniki PolicyAgent i RemoteAccess dla systemów Vista +: KLIK.

 

 

muzyk75

 

Jest tu Windows 7, więc komenda "netsh firewall reset" to stara komenda, która wprawdzie się uruchamia, ale ma mniejszy zakres funkcji. Do resetu służy nowa komenda netsh advfirewall reset. Więcej: KB947709. Ponadto, tu brakuje reguł domyślnych:

  

Checking FirewallRules of SharedAccess: ATTENTION!=====> Unable to open "SharedAccess\Defaults\FirewallPolicy\FirewallRules" registry key. The key does not exist.

 

Komenda nie odtworzy klucza FirewallRules.

 

 

Jan49

 

Nie dostarczyłeś pliku fixlog.txt. Wszystkie operacje przetwarzane przez FRST muszą być sprawdzone. Na dodatek ja tu widzę jakieś dziwne rzeczy sugerujące przeinaczenie instrukcji: została zadana konkretna kolejność działań: skrypt do FRST i pokazanie pliku fixlog.txt, a potem dopiero RogueKiller. Skrypt powinien usunąć ZeroAccess, a log z RogueKiller wykazuje usuwanie obiektów, które miały być już usunięte. Co Ty właściwie robiłeś?

 

 

  Cytat

zapora Windows też jest czysta – nie ma w niej żadnych reguł, także tych domyślnych, instalowanych wraz z systemem.

(...)

Wykonałem zgodnie z powyższymi instrukcjami. Nie przyniosło to zmian. Dalej ten sam błąd przy próbie udostępniania drukarki, reguły zapory nie powróciły.

Rozwiń  

 

Przyczyną jest brak powyższego klucza, ale właściwie w ogóle nie jest znana cała postać klucza SharedAccess oraz jego uprawnienia. FSS to ograniczony skan. A po zdekompletowaniu klucza SharedAccess nasuwa się podejrzenie, że ta usługa może być niepoprawna także w innych częściach. ZeroAccess kasuje cały klucz SharedAccess, a skoro tu jest on tylko niepełny, to wygląda na jakieś skutki nieprawidłowych napraw...

 

Proponuję odtworzyć klucz SharedAccess od zera:

 

1. Najpierw skasuj aktualny klucz. Uruchom regedit i usuń cały:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess

 

2. Następnie odtwórz cały klucz SharedAccess na podstawie instrukcji: KLIK. Czyli: import pliku REG dla SharedAccess + nałożenie uprawnień SharedAccess via SetACL.

 

3. Zresetuj system.

 

Odnośnik do komentarza
Jan49

Jan49

Opublikowano
  • Autor
Opublikowano 
C:\Users\Rej>netsh firewall reset

WAŻNE: Polecenie "netsh firewall" jest wycofywane;
      zamiast niego należy używać polecenia "netsh advfirewall firewall".
      Aby uzyskać więcej informacji o używaniu polecenia
      "netsh advfirewall firewall" zamiast "netsh firewall",
      zobacz artykuł Bazy wiedzy nr 947709 pod adresem
      http://go.microsoft.com/fwlink/?linkid=121488.

Odmowa dostępu.


C:\Users\Rej>netsh advfirewall reset
Odmowa dostępu.

 

A było uruchom jako administrator

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Jan49, czy przeczytałeś mój post? Przecież napisałam, że ta komenda to staroć. I podałam w ogóle inne instrukcje. Dla formalności skomentuję:

 

  Cytat

Odmowa dostępu.

 

C:\Users\Rej>netsh advfirewall reset

Odmowa dostępu.

 

A było uruchom jako administrator

Rozwiń  

 

- Zarówno błąd ("Odmowa dostępu"), jak i ścieżka (C:\Users\Rej) sugerują jednak CMD uruchomione w kontekście konta użytkownika bez podniesieia uprawnień. Czy na pewno mówimy o tym samym "Uruchom jako Administrator" (prawoklik na cmd)?

- Inna możliwość: ustawienia całej Zapory są nieprawidłowe, brak uprawnień do kluczy relatywnych. Pytanie: co robiłeś przed napisaniem tu posta, jakie kroki tyczące Zapory i usług BFE, MpsSvc, SharedAccess?

 

Odnośnik do komentarza
Jan49

Jan49

Opublikowano
  • Autor
Opublikowano

Picasso – wielkie dzięki, wykonanie Twojej instrukcji rozwiązało problem, drukarka już dostępna w sieci.

 

- Nasze poprzednie posty się minęły – 1 minuta w czasie edycji.
 

- Ścieżka chyba nie świadczy o kontekście użytkownika. CMD uruchomiałem z ikony w Start ( często używana, to tam się pojawiła) – prawoklik na niej i "Uruchom jako Administrator". Zastanowiło mnie to, i po Twoim poście dałem "Uruchom jako Administrator" z wyszukaj po wpisaniu CMD:

  

Microsoft Windows [Wersja 6.1.7601]
Copyright © 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone.

C:\Windows\system32>netsh advfirewall reset

Odmowa dostępu.

C:\Windows\system32>

 

- A na Twoje pytanie “Co Ty właściwie robiłeś?”, to w swoim 65 roku życia mam pamięć bardzo dobrą, ale i bardzo krótką. Byłem świadomy potrzeby zachowania kolejności podanej przez jessika, i z pewnością ją zachowałem.

Przeszukanie dysku na którym to robiłem dowiodło, że jest na nim plik (dołączam) fixlog.txt - czas 2013-10-28 12:20:38 a więc wcześniejszy od użycia RogueKiller (też z logu).

Fixlog.txtPobieranie informacji ...

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...