Przywrócenie systemu po: Antywirus Security Pro

[lonik]

Witam,

 

Potrzebuję pomocy gdyż przeszukałem sporą część internetu i jestem w kropce.

 

Opis problemu:

Komputer został zainfekowany przez: Antywirus Security Pro.

Odszukałem który pliki należy usunać i zrobiłem to ręcznie.

 

Po usunieciu nadal nie mozna pob

rac zadnego pliku z internetu.

Wszystkie zabezpieczenai systemu zostaly wylaczone: Centrum Akcji, Windows defender, firewall, itd.

Udało mi się uruchomić usługę: Centrum bezpieczeństwa lecz nadal nie mogę uruchomić poszczególnych usług jak windows defender itd.

 

 

Stan obecny:

Nie mogę pobrać żadnego pliku z internetu w celu załączenia logów. Pliki sa odrazu usuwane.

Niestety obecnie nie ma mozliwosci uruchomienia danego narzedzia (brak druiego komputera by pobrac pliki z internetu).

 

System operacyjny:

Windows 7 Prof. 32-bit

 

Proszę o pomoc i wskazówki.

 

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

gmer.txt

[muzyk75]

Spróbuj w trybie awaryjnym z dostępem do sieci. Masz jakąkolwiek płytę botowalną z której mógłbyś uruchomić komputer?

[lonik]

Hej,

 

Zaden restart i tryb awaryjny nie pomagał ale znalzałem sposób:

Wyłączyłem w firefox: browser.download.manager.scanWhenDone;false

 

Generuję logi i zaraz załączę z prośbą o analizę. Może ktoś pomoże w miarę szybko :-) jak nie to samemu mi się może coś uda.

Niestety nie mam żadnej płyty ... nic :-)

 

Update:

Załączyłem pliki, proszę o pomoc.

Czy coś poza

DeleteJunctionsIndirectory: C:\Program Files\Windows Defender

trzeba wykonać?

[Groszexxx]

Mozesz też odpalić firefoxa w trybie awaryjnym, ale zdaje sie, ze juz ten "znaczacy" problem obszedles w inny sposob ;-). 

[jessica]

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

 

Infekcja ZeroAcces

 

1) Użyj >>RogueKiller (aby pobrać kliknij na obrazek x64 po Lien de téléchargement :)
Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego.

 

2) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

 

3) Zrób nowy log z FRST (bez Addition)

 

jessi

[lonik]

1. Chyba 32-bit nie 64 :-) Gdzie są logi z tego? Po usunięciu prosił o restart.

2 i 3 załączone.

FRST.txt

FSS.txt

[jessica]

1) Otwórz Notatnik i wklej w nim:

 

C:\Program Files\Google\Desktop\Install
C:\Users\krystyna\AppData\Local\Temp\ntdll_dump.dll
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [x]

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2) Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

 

3) Pobierz >>ESET ServicesRepair
Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.

 

4) Pobierz poniższy plik. Zmień mu nazwę z TXT na REG, z prawokliku na plik Scal i potwierdź import do rejestru.
https://www.fixitpc.pl/index.php?app=core&module=attach&section=attach&attach_id=48432

5) Pobierz narzędzie SetACL, (SetACL.3.06
 z folderu Commandline version wypakuj wersję dopasowaną do systemu (x86 = 32-bit, x64 = 64-bit) i umieść w katalogu C:\Windows.

6) W Notatniku wklej poniższą treść i zapisz plik pod nazwą fix.txt. Plik umieść bezpośrednio na C:\.

"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent",4,"O:BA"
"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters",4,"O:BA"
"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters\Cache",4,"O:BAD:PAI(A;OICI;CCDCLCSWRPRC;;;S-1-5-80-3044542841-3639452079-4096941652-1606687743-1256249853)"
"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\TriggerInfo",4,"O:BA"
"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\TriggerInfo\0",4,"O:BA"

START > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:
SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent" -ot reg -actn restore -bckp C:\fix.txt

7) Pobierz ten plik i umieść go bezposrednio na C:\
https://www.fixitpc.pl/index.php?app=core&module=attach&section=attach&attach_id=48434
START > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:
SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess" -ot reg -actn restore -bckp C:\fix.txt
 

 

8) Zrób nowy log z FSS

 

jessi

[lonik]

Zrobione.

FSS.txt

[jessica]

Zniszczone przez ZeroAcces'a usługi Systemowe zostały odbudowane.

 

Dwie z nich nie są włączone.

 

>>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź Centrum Zabezpieczeń>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie (opóźnione uruchomienie) >OK
Kliknij na "Uruchom ponownie".

 

>>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź: Windows Update>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie (opóźnione uruchomienie) >OK
Kliknij na "Uruchom ponownie".

 

Zrób nowy log z FSS.

 

Otwórz Notatnik i wklej w nim:

 

C:\Users\krystyna\Desktop\Antivirus Security Pro support.url

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.

 

Zrób nowy log z FRST.

 

jessi

[lonik]

Pozostal defender, czy może jednak jest w poprawnym trybie?

 

Dodam, że doinstalowalem jeszcze MS Security Essentials

FSS.txt

Fixlog.txt

[jessica]

W poprzednim logu FSS - Windows Defender był OK.

Teraz w zasadzie też jest OK, ale jest wyłączony.

Jeśli chcesz włączyć, to:

>>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź: Windows Defender>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie >OK
Kliknij na "Uruchom ponownie".

 

Ja u siebie ustawiłam na: Wyłączone.

Ale ustaw u siebie tak, jak chcesz.

 

Ja sytuację oceniam na opanowaną.

 

Rogue Killer - usuń ręcznie.

ESET Service Repair - usuń ręcznie.

SETAcl - usuń ręcznie.

 

FRST, OTL, FSS - na razie zostaw, bo może @Picasso zechce jeszcze coś zalecić .

 

Masz nieaktualną  Javę, więc koniecznie zainstaluj bardziej bezpieczną Javę 7update 45

Najpierw:

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft]
"SPONSORS"="DISABLE"

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.

Potem pobierz i zainstaluj Javę wg >https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/#entry130045 (post nr 4)

Masz też nieaktualne Adobe Flash Player - też to zaktualizuj.

Pewnie inne programy też są nieaktualne - nie sprawdzałam tego.

 

Myślę, że teraz możesz spokojnie, bez nerwów, czekać na wyzdrowienie @Picasso.

Nie wiem, kiedy zajmie się Twoim tematem - Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

 

jessi

[lonik]

Już wszystko zaktualizowane.

Bardzo, bardzo Ci dziękuję za pomoc :-)