Rychwal Opublikowano 26 Listopada 2010 Zgłoś Udostępnij Opublikowano 26 Listopada 2010 Witam dostałem kompter do naprawy i znajdował się na nim taki skaner jak w temacie. Nie można było zalogować się do systemu ponieważ wszystkie procesy blokował i nie można było nic zrobić. Usunąłem go ręcznie z trybu awaryjnego z wierszem poleceń. Jego nazwa to było Hotfix.exe a znajdował się w folderze Documents and settings Zrobiłem skan MBAM'em i usunąłem infekcje które wykrył następnie przeskanowałem cureit i też usunąłem infekcje które znalazł Chcę jeszcze sprawdzić czy pokazał coś OTL i GMER Załączam logi OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 26 Listopada 2010 Zgłoś Udostępnij Opublikowano 26 Listopada 2010 Pozostałością infekcji jest ten zapis: O29 - HKLM SecurityProviders - (digiwet.dll) - File not found Startuje tu także to dziwo i nawet jeśli to jakiś "zalegalizowany" patch, to bym usuwała, bo cracki w Autostarcie to bardzo dziwna metoda omijania: O4 - HKLM..\RunServices: [Office XP hack] c:\office_patch.exe (Omega) 1. Miniaturowa akcja w OTL. Uruchom OTL i w polu Własne opcje skanowania / skrypt wklej: :OTL O29 - HKLM SecurityProviders - (digiwet.dll) - File not found O4 - HKLM..\RunServices: [Office XP hack] c:\office_patch.exe (Omega) DRV - [2009-11-30 23:01:35 | 000,000,000 | ---- | M] () [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\1473afde.sys -- (1473afde) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\PCAMPR5.SYS -- (PCAMPR5) O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Commands [emptyflash] [emptytemp] Uruchom przez Wykonaj skrypt. Będzie restart. Po ukończeniu pracy wystarczy pokazać tylko log z usuwania. 2. Druga sprawa. PC Tools z jednej strony wygląda na w pełni zainstalowany (wpis w Dodaj / Usuń + dużo elementów), z drugiej ma dwa zapisy oznaczone jako "not found" (a w Dzienniku zdarzeń jest od tego zażalenie). Czy on działa jak należy? Wejście jest w Dodaj / Usuń, to i program powinien dać się odinstalować. SRV - File not found [Auto | Stopped] -- C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe -- (PCTAVSvc)O4 - HKLM..\Run: [PCTAVApp] C:\Program Files\PC Tools AntiVirus\PCTAV.exe File not found Error - 2010-11-26 04:58:11 | Computer Name = F-BE1E26B3168C4 | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi PC Tools AntiVirus Engine z powodu następującego błędu: %%3 3. Nie startują usługi Windows: Error - 2010-11-26 04:58:11 | Computer Name = F-BE1E26B3168C4 | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi Usługa inteligentnego transferu w tle z powodu następującego błędu: %%2 Error - 2010-11-26 04:58:11 | Computer Name = F-BE1E26B3168C4 | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi Aktualizacje automatyczne z powodu następującego błędu: %%2 Wejdź w Dziennik zdarzeń i przeklej z Właściwości błędów ich dokładną formułę. 4. Zaktualizuj Internet Explorer i Java: INSTRUKCJE. 5. Na koniec, gdy już wszystko będzie usunięte i naprawione, wyczyść foldery Przywracania systemu: INSTRUKCJE. . Odnośnik do komentarza
Rychwal Opublikowano 26 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 26 Listopada 2010 Odnośnie błędów w dzienniku zdarzeń jeden ma taki opis: Nie można uruchomić usługi Usługa inteligentnego transferu w tle z powodu następującego błędu: Nie można odnaleźć określonego pliku. Aby znaleźć więcej informacji, zobacz http://go.microsoft....link/events.asp w Centrum pomocy i obsługi technicznej. a drugi Nie można uruchomić usługi Aktualizacje automatyczne z powodu następującego błędu: Nie można odnaleźć określonego pliku. Aby znaleźć więcej informacji, zobacz http://go.microsoft....link/events.asp w Centrum pomocy i obsługi technicznej. Aktualizacje są włączone Log z OTL po wykonaniu skryptu zaktualizowałwem IE oraz Javę, Użyłem również wcześniej Windows worms door cleaner, a zapomniałem o tym napisać pozamykałem porty. Dziękuję za pomoc EDIT: PC antywirus nie działa ale jest wykrywany przez windows Użyłem teraz jeszcze ccleaner i usunąłem to co zbędne czyli jakieś błędy w rejestrze odniesienia do deinstalatorów itp. OTL po wykonaniu skryptu.txt Odnośnik do komentarza
picasso Opublikowano 26 Listopada 2010 Zgłoś Udostępnij Opublikowano 26 Listopada 2010 1. OTL wykonany. Możesz wywołać w nim funkcję Sprzątanie. 2. W kwestii błędów usług "Nie można odnaleźć określonego pliku", o tyle jest tu dziwnie, że OTL nie notuje w spisie usług wady (a przy naruszeniu usług Windows powinno się to pokazać jako "niedomyślny" wpis). Na początek sprawdź czy są na dysku następujące pliki: C:\WINDOWS\system32\qmgr.dll C:\WINDOWS\system32\wuauserv.dll Jeśli one jednak są, poproszę o eksport rejestru wyglądu usług. 3. W kwestii: PC antywirus nie działa ale jest wykrywany przez windowsUżyłem teraz jeszcze ccleaner i usunąłem to co zbędne czyli jakieś błędy w rejestrze odniesienia do deinstalatorów itp. Czyli na czym tu stoisz? Czy program został odinstalowany przez Dodaj / Usuń? Jeśli nie (tylko czyszczenie rejestru CCleaner) to nie jest dobry sposób usuwania tego typu oprogramowania. . Odnośnik do komentarza
Rychwal Opublikowano 26 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 26 Listopada 2010 Program odinstalowałem przez dodaj/usuń programy, ale wydawało mi się, że coś za szybko poszło ponieważ nie było deinstalatora a ikona zniknęła po chwili jak kliknąłem usuń. To było przed tym zanim użyłem cleanera. co do usług podaję plik rejestr usług.txt Odnośnik do komentarza
picasso Opublikowano 26 Listopada 2010 Zgłoś Udostępnij Opublikowano 26 Listopada 2010 Program odinstalowałem przez dodaj/usuń programy, ale wydawało mi się, że coś za szybko poszło ponieważ nie było deinstalatora a ikona zniknęła po chwili jak kliknąłem usuń. To było przed tym zanim użyłem cleanera. Wprawdzie już dałam opcję Sprzątanie (co usuwa OTL), ale coś tu mi się nie podoba ten proces. Pobierz OTL raz jeszcze i pokaż log. co do usług podaję plik Nie o taki wyciąg mi chodziło z usług. Ja czekałam aż powiesz wyraźnie, że pliki są, by dopiero podać instrukcje co eksportować. Start > Uruchom > regedit i z prawokliku wyeksportuj te dwie gałęzie: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bits HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Format eksportu: nie REG tylko przestaw na TXT, by ścieżki nie były zakodowane w hex (co gorzej mi się czyta). . Odnośnik do komentarza
Rychwal Opublikowano 26 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 26 Listopada 2010 tutaj są te gałęzie bits.txt wuauserv.txt a log z OTL za chwilę EDIT: LogOTL.Txt Odnośnik do komentarza
picasso Opublikowano 26 Listopada 2010 Zgłoś Udostępnij Opublikowano 26 Listopada 2010 Mamy przyczynę, infekcja przekonfigurowała jedną literę w nazwie zmiennej %fystemRoot% > %SystemRoot% Nazwa klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITSWartość 3 Nazwa: ImagePath Typ: REG_EXPAND_SZ Dane: %fystemRoot%\system32\svchost.exe -k netsvcs Nazwa klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Wartość 3 Nazwa: ImagePath Typ: REG_EXPAND_SZ Dane: %fystemroot%\system32\svchost.exe -k netsvcs Po kolei wejdź do tych kluczy, dwuklik w wartość ImagePath i popraw tę jedną literkę. **************************************************** Dodany log z OTL: tak jak przypuszczałam, PC Tools siedzi w postaci nienaruszonej, wszystkie sterowniki działają i jest w Winsock wpięty plik. SRV - File not found [Auto | Stopped] -- C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe -- (PCTAVSvc)DRV - [2009-04-03 11:18:26 | 000,130,936 | ---- | M] (PC Tools) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\PCTCore.sys -- (PCTCore)DRV - [2009-02-10 10:13:18 | 000,021,904 | ---- | M] (PC Tools Research Pty Ltd ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AVRec.sys -- (AVRec)DRV - [2009-02-10 10:13:16 | 000,028,560 | ---- | M] (PC Tools Research Pty Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AVHook.sys -- (AVHook)DRV - [2009-02-10 10:13:16 | 000,021,904 | ---- | M] (PC Tools Research Pty Ltd) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\AVFilter.sys -- (AVFilter)O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)O10 - Protocol_Catalog9\Catalog_Entries\000000000029 - C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.) 1. Zresetuj Winsock Start > Uruchom > cmd i wpisz polecenie netsh winsock reset 2. Usługi tu widoczne można usuwać via OTL. W sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe -- (PCTAVSvc) DRV - [2009-04-03 11:18:26 | 000,130,936 | ---- | M] (PC Tools) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\PCTCore.sys -- (PCTCore) DRV - [2009-02-10 10:13:18 | 000,021,904 | ---- | M] (PC Tools Research Pty Ltd ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AVRec.sys -- (AVRec) DRV - [2009-02-10 10:13:16 | 000,028,560 | ---- | M] (PC Tools Research Pty Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AVHook.sys -- (AVHook) DRV - [2009-02-10 10:13:16 | 000,021,904 | ---- | M] (PC Tools Research Pty Ltd) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\AVFilter.sys -- (AVFilter) :Files C:\Program Files\Common Files\PC Tools C:\WINDOWS\System32\drivers\PCTAppEvent.sys Klik w Wykonaj skrypt. Po usuwaniu pokaż nowy log z OTL, dla potwierdzenia stanu. . Odnośnik do komentarza
Rychwal Opublikowano 27 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2010 Wyedytuję ten post, wcześniej nie miałem czasu napisać odpowiedzi, a zamknęli mi firmę i nie zdążyłem zrobić wszystkiego tego o co prosiłaś zrobię to dzisiaj zaraz po tym jak wrócę na swoje stanowisko pracy. Zresetowałem tylko winsock. Pozdrawiam i dziękuję serdecznie za pomoc. Jeszcze co do Image path nie wiem czy to jest normalnie ustawione, ale musiałem sobie nadać prawa "pełna kontrola" ponieważ nie chciało mi wcześniej zapisać zmian z "f" na "s" *********************************************************************************************************************************** EDIT OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2010 Zgłoś Udostępnij Opublikowano 27 Listopada 2010 1. O ile Winsock się ładnie zresetował, to sterowniki PC Tools nie puściły: DRV - [2009-04-03 11:18:26 | 000,130,936 | ---- | M] (PC Tools) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\PCTCore.sys -- (PCTCore)DRV - [2009-02-10 10:13:18 | 000,021,904 | ---- | M] (PC Tools Research Pty Ltd ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AVRec.sys -- (AVRec)DRV - [2009-02-10 10:13:16 | 000,028,560 | ---- | M] (PC Tools Research Pty Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AVHook.sys -- (AVHook)DRV - [2009-02-10 10:13:16 | 000,021,904 | ---- | M] (PC Tools Research Pty Ltd) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\AVFilter.sys -- (AVFilter) Przy okazji, pojawiły się nowe "not found" (wygląda, że uruchomiłeś deinstalację sterowników Nokii): DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\usbser_lowerfltj.sys -- (UsbserFilt)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys -- (upperdev) Spróbujmy inaczej: w Autoruns w karcie Drivers odptaszkuj wszystkie te pozycje (co wyłącza sterownik z rozruchu) i zresetuj system (już się nie uruchomią), zaś po restarcie wejdź ponownie w Autoruns i skasuj je (powiązane pliki już trzeba ręcznie usuwać z dysku). 2. Jeśli to się uda, możesz w OTL wywołać Sprzątanie oraz zresetować stan folderów Przywracania systemu. Jeszcze co do Image path nie wiem czy to jest normalnie ustawione, ale musiałem sobie nadać prawa "pełna kontrola" ponieważ nie chciało mi wcześniej zapisać zmian z "f" na "s" W naturalnych okolicznościach klucz nie jest zablokowany, ma od razu Pełną kontrolę dla Administratorów. Jeśli tu układ uprawnień był inny, rekonfigurację wykonał ten sam obiekt, który "edytował" ImagePath. . Odnośnik do komentarza
Rychwal Opublikowano 27 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2010 (edytowane) Z tą nokią to było tak że się aktualizowało oprogramowanie i wyskoczył później jakiś błąd. Z tym ImagePath tak myślałem, że to mógł zmienić ten robaczek co tam siedział. W poniedziałek się odezwę ponieważ nie mam dostępu do tego komputera. Dziękuję serdecznie za poświęcenie Twojego czasu co do mojego problemu. Pozdrawiam. ***************************************************************************************** EDIT: Troszeczkę mi zeszło z tym wszystkim po usunięciu tych plików z autoruns komputer się nie uruchamiał tak więc straciłem resztę cierpliwości i zrobiłem format i na nowo windowsa wgrałem. Dziękuję picasso za pomoc PS. Ty powinnaś pracować dla Microsoftu taka wiedza jaką Ty posiadasz to aż brakuje słów. Dziękuję i pozdrawiam. Edytowane 5 Grudnia 2010 przez Rychwal Odnośnik do komentarza
Rekomendowane odpowiedzi