kasownik Opublikowano 3 Marca 2014 Zgłoś Udostępnij Opublikowano 3 Marca 2014 Witam! Jak w temacie, oprocz tego nie otwieraja sie strony microsoft i WU krzyczy, ze nie uruchomionie sa potrzebne uslugi. W zalacznikach wymagane logi, plus logi z arcabita. Bardzo prosze o pomoc. OTL.TxtPobieranie informacji ... Addition.txtPobieranie informacji ... Arcabit_20140303133551_3781.txtPobieranie informacji ... Arcabit_20140303140640_5968.txtPobieranie informacji ... Arcabit_20140303140645_8593.txtPobieranie informacji ... Arcabit_20140303140657_4640.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... FRST.txtPobieranie informacji ... gmer.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 11 Marca 2014 Zgłoś Udostępnij Opublikowano 11 Marca 2014 Jest to ta sama infekcja, co na poprzednich komputerach. Do wykonania: 1. Otwórz Notatnik i wklej w nim: C:\WINDOWS\System32\cljtj.dll NETSVC: dgotde -> No Registry Path. NETSVC: lhiwc -> No Registry Path. NETSVC: keceywu -> No Registry Path. HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k Unlock: HKLM\SYSTEM\ControlSet002\Services\lhiwc Reg: reg delete HKLM\SYSTEM\ControlSet002\Services\lhiwc /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Oowstanie plik fixlog.txt. 2. Zresetuj cache wtyczek Google Chrome, by się pozbyć putych wpisów. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz plik fixlog.txt. Dodatkowo, uruchom SystemLook i w oknie wklej: :filefind cljtj.dll I jeszcze mam pytanie czy Beniamin i Ochraniacz są na pewno odinstalowane. Jakoby puste wpisy w starcie. . Odnośnik do komentarza
kasownik Opublikowano 13 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2014 Zrobione, ale nadal arcavir krzyczy, ze cos w nim siedz, logi w zalaczniku. Beniamina i ochraniacza na kompie na pewno nie ma. Zycze Zdrowia!!! Arcabit_20140313102829_9609.txtPobieranie informacji ... Arcabit_20140313112449_3718.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... SystemLook.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Marca 2014 Zgłoś Udostępnij Opublikowano 13 Marca 2014 1. Uruchom GMER > rozwiń strzałki > karta Pliki > usuń plik C:\Program Files\Movie Maker\cljtj.dll. 2. Otwórz Notatnik i wklej w nim: S3 cfvrrtiwx; \??\C:\WINDOWS\system32\09D.tmp [X] S3 pszrpghz; \??\C:\WINDOWS\system32\01.tmp [X] S3 tfhmwqka; \??\C:\WINDOWS\system32\054E.tmp [X] NETSVC: jrndnunlg -> No Registry Path. NETSVC: vesmabzas -> No Registry Path. HKLM\...\Run: [skaner] - C:\Program Files\Ochraniacz\OPZTskaner.exe HKLM\...\Run: [tguard] - C:\Program Files\Beniamin\tguard.exe Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST (bez Addition i Shortcut). Dołącz fixlog.txt. . Odnośnik do komentarza
kasownik Opublikowano 13 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2014 Gmer w szybkim skanie widzi plik (log w zalaczniku), ale w zakladce pliki juz, wiec nie mam jak go usunac. Reszty wiec nie wykonywalem. gmer.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Marca 2014 Zgłoś Udostępnij Opublikowano 13 Marca 2014 1. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: C:\WINDOWS\system32\cljtj.dll "C:\Program Files\Movie Maker\cljtj.dll" DeleteRegKey: HKLM\SYSTEM\CurrentControlSet\Services\jrndnunlg HKLM\SYSTEM\CurrentControlSet\Services\stxqdgyoo HKLM\SYSTEM\CurrentControlSet\Services\vesmabzas Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows pojawi się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 2. Wykonaj skrypt FRST zadany w poprzednim poście. 3. Zrób nowy log FRST (bez Addition i Shortcut). Dołącz logi BlitzBlank i fixlog.txt. . Odnośnik do komentarza
kasownik Opublikowano 13 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2014 Po nacisnieciu Execute Now dostaje komunikat: Syntax error in line 3, Invalid file path. i dalej nic sie nie dzieje. Odnośnik do komentarza
picasso Opublikowano 13 Marca 2014 Zgłoś Udostępnij Opublikowano 13 Marca 2014 Trzecia linia to plik C:\Program Files\Movie Maker\cljtj.dll. Wg SystemLook plik był na dysku, ale też ArcaVir zawiadamiał o usuwaniu (trudno mi było ocenić czy skutecznie). Wytnij tę linię ze skryptu i ponów próbę. . Odnośnik do komentarza
kasownik Opublikowano 13 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2014 Wywalilem, to potem pisze, ze blad w linii 4, jak wywale to znowu i tak z wszystkimi procesami. Jak je wywalilem, to poszlo. Logi w zalaczniku. Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... blitzblank.log.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Marca 2014 Zgłoś Udostępnij Opublikowano 13 Marca 2014 Czy GMER coś teraz notuje? Czy ArcaVir nadal coś znajduje? I drobna poprawka. Otwórz Notatnik i wklej w nim: NETSVC: stxqdgyoo -> No Registry Path. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. . Odnośnik do komentarza
kasownik Opublikowano 13 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2014 Gmer i Arcavir nadal widza cos w systemie, wyglada na to, ze nic nie zostalo usuniete a wrecz przybylo logi w zalaczniku. Arcabit_20140313143708_2578.txtPobieranie informacji ... Arcabit_20140313144416_3593.txtPobieranie informacji ... gmer.txtPobieranie informacji ... Odnośnik do komentarza
jessica Opublikowano 24 Marca 2014 Zgłoś Udostępnij Opublikowano 24 Marca 2014 czy w międzyczasie podpinałeś jakiś pendrive? a może zrób nowe logi z FRST i OTL? z tym, że logi OTL zrób na dodatkowym ustawieniu: W pole Własne opcje skanowania/Scrypt wklej: Cytat msconfig netsvcs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List i dopiero wtedy kliknij Skanuj. jessi Odnośnik do komentarza
kasownik Opublikowano 31 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 31 Marca 2014 Dopiero dzis udalo mi sie dotrzec do komputera. Nic nie bylo do komputera podlaczane, przynajmniej w czasie kiedy probowalem cos z nim zrobic. Zamowione logi w zalaczeniu. Dzieki za zainteresowanie... Addition.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... FRST.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
jessica Opublikowano 1 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2014 Hmm, w logu FRST widać tylko ślady po Confickerze, natomiast w logach OTL widać, że Conficker jest dalej aktywny. Ja nie zastąpię @Picasso, ale przynajmniej można spróbować usunąć. Ponieważ FRST nie widzi Confickera, to usuwać go będziemy w OTL, Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Cytat :OTLSRV - File not found [Auto | Stopped] -- C:\Program Files\Movie Maker\cljtj.dll -- (vesmabzas)SRV - [2008-04-15 14:00:00 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cljtj.dll -- (stxqdgyoo)SRV - [2008-04-15 14:00:00 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cljtj.dll -- (jrndnunlg)SRV - [2008-04-15 14:00:00 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cljtj.dll -- (fkczmzlrw)NetSvcs: stxqdgyoo - C:\WINDOWS\system32\cljtj.dll ()NetSvcs: fkczmzlrw - C:\WINDOWS\system32\cljtj.dll ():Reg[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]"8870:TCP"=-:Commands[emptytemp] Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem. jessi Odnośnik do komentarza
kasownik Opublikowano 7 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 7 Kwietnia 2014 Skrypt wykonany, skan zrobiony, logi w zalaczeniu. Oprocz tego w trakcie skanowania wyskoczyl komunikat z antywirusa, ktory tez zalaczam. Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... 04072014_095741.log.txtPobieranie informacji ... Odnośnik do komentarza
jessica Opublikowano 7 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 7 Kwietnia 2014 ArcaBit niech to usunie - "Downadup" to inna nazwa Confickera. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Cytat :OTLSRV - [2014-04-07 09:08:59 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\Program Files\Internet Explorer\cljtj.dll -- (dxcbzuyhj)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\026.tmp -- (rlqfblkb)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\03.tmp -- (oirmdiehy)O4 - HKLM..\Run: [sSC Service Utility] C:\Program Files\SSC Service Utility\ssc_serv.exe /s File not found:Commands[emptytemp] Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Zrób nowy log z OTL, ale oprócz normalnych ustawień, dodaj jeszcze jedno:W pole Własne opcje skanowania/Scrypt wklej: Cytat netsvcs i dopiero wtedy kliknij Skanuj. jessi Odnośnik do komentarza
kasownik Opublikowano 7 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 7 Kwietnia 2014 Zrobione, logi w zalaczeniu 04072014_112251.log.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
jessica Opublikowano 7 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 7 Kwietnia 2014 W tych logach nie widzę już aktywnego Confickera (jest tylko ślad). Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Cytat :OTLNetSvcs: wmdmpmsp - File not foundNetSvcs: dxcbzuyhj - File not found:Commands[emptytemp] Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Zrób nowe logi z OTL - na takim samym dodatkowym ustawieniu, jak ostatnio. Zrób też logi z FRST, bo może @Picasso zechce je obejrzeć. jessi Odnośnik do komentarza
kasownik Opublikowano 7 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 7 Kwietnia 2014 Zrobione 04072014_192436.log.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... FRST.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 9 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 9 Kwietnia 2014 jessika W spoilerze komentarz: Pokaż ukrytą zawartość Post usuwam. To wygląda na komputer administrowany, jeden z wielu z którymi pojawia się tu kasownik. Te restrykcje (nie pochodzą od Beniamina) są całkiem inne niż te = inne warunki są tu skonfigurowane (przecież widać jakich obiektów tyczą, tam programy zabezpieczające, tu inne rzeczy). Jest multum wariantów takich restrykcji, mogą być pożyteczne, mogą być szkodliwe. Zależy to od punktu widzenia, środowiska (komputer domowy vs. komputer w sieci) oraz użytych programów immunizujących (np. po skorzystaniu z CryptoPrevent cały log jest wytapetowany od góry do dołu podobnymi odczytami, i nie należy tego ruszać, by nie zdjąć ochrony). "ATTENTION" to tylko zwrócenie uwagi, ocena wpisu nie może być "w ciemno". Druga sprawa, został usunięty ten wpis bez potwierdzenia czy rzeczywiście to szczątek: O4 - HKLM..\Run: [sSC Service Utility] C:\Program Files\SSC Service Utility\ssc_serv.exe /s File not found Ja go celowo nie ruszyłam (na etapie usuwania istotniejszych rzeczy), bo oprogramowanie EPSON jest na liście zainstalowanych (to jest część EPSON), a w odczyt nie można wierzyć w ślepo, OTL ten wpis przedstawi jako "not found" niezależnie od tego czy plik jest czy go nie ma. Wynik ułomnego systemu szukania plików, jeśli są doń doklejone parametry (tu: /s), tu był szukany plik "ssc_serv.exe /s" anie "ssc_serv.exe". I jeszcze w kwestii skanu dostosowanego OTL: przecież FRST pokazuje skan Netsvc (skan główny) i msconfig (Addition) out-of-box... Cały czas były te dane. kasownik Sprawdź czy jest folder C:\Program Files\SSC Service Utility na dysku i podaj tę informację. Jeśli jest, podam jak wpis przywrócić. Jeśli nie ma, to nie trzeba więcej z tym nic robić i podam kroki końcowe. . Odnośnik do komentarza
kasownik Opublikowano 9 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 9 Kwietnia 2014 Nie ma takiego katalogu, Jest katalog c:\program files\epson , ale jest w srodku pusty. PS. Ciesze sie, ze wrocilas picasso Odnośnik do komentarza
picasso Opublikowano 9 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 9 Kwietnia 2014 Kończymy: 1. Drobnostka w Google Chrome, czyli reset cache wtyczek, by usunąć puste wpisy: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Przez SHIFT+DEL skasuj narzędzia zlokalizowane w folderze "fix" na Pulpicie, następnie popraw DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Jak wiesz, godzina XP już wybiła, tu będzie słabo. Najwyraźniej to komputer z zespołu określonego konkretnymi wytycznymi (na wszystkich komputerach ArcaBit i starocie). Nie za bardzo wiem co tu wchodzi w grę i co można zrobić (nowe instalacje / aktualizacje ?). O ile to możliwe, conajmniej uzupełnij chociaż braki w dostępnych aktualizacjach (nowych już nie będzie), bo tu np. IE jest w tragicznym stanie IE6. Nie wiadomo czego jeszcze brakuje. Internet Explorer Version 6 ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 10.3.181.23 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 11.1.102.55 - Adobe Systems Incorporated) ----> wtyczka dla FF Microsoft .NET Framework 2.0 Service Pack 2 (HKLM\...\{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}) (Version: 2.2.30729 - Microsoft Corporation) Microsoft Office Professional Edition 2003 (HKLM\...\{90110415-6000-11D3-8CFE-0150048383C9}) (Version: 11.0.5614.0 - Microsoft Corporation) Mozilla Firefox 27.0.1 (x86 pl) (HKLM\...\Mozilla Firefox 27.0.1 (x86 pl)) (Version: 27.0.1 - Mozilla) . Odnośnik do komentarza
jessica Opublikowano 9 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 9 Kwietnia 2014 @Picasso Dzięki za wytłumaczenie. Ale nie zgadzam się z Tobą w kwestii tego: Cytat I jeszcze w kwestii skanu dostosowanego OTL: przecież FRST pokazuje skan Netsvc (skan główny) i msconfig (Addition) out-of-box... Cały czas były te dane. Przecież wyraźnie widać, że FRST nie widzi tego, co widzi OTL (logi robione prawie w tym samym czasie, więc można wykluczyć, że w międzyczasie Użytkownik podpiął pendrive i nastąpiła reinfekcja, a dwie usługi były zarówno w FRST, jak i OTL, ale w FRST te usługi były uznane za bezplikowe, ): Log FRST: Cytat ==================== NetSvcs (Whitelisted) ===================NETSVC: stxqdgyoo -> No Registry Path.NETSVC: fkczmzlrw -> No Registry Path. W logu FRST nie ma w ogóle pliku "clitj.dll" Log OTL: Cytat SRV - File not found [Auto | Stopped] -- C:\Program Files\Movie Maker\cljtj.dll -- (vesmabzas)SRV - [2008-04-15 14:00:00 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cljtj.dll -- (stxqdgyoo)SRV - [2008-04-15 14:00:00 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cljtj.dll -- (jrndnunlg)SRV - [2008-04-15 14:00:00 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cljtj.dll -- (fkczmzlrw) Wyraźnie widać, że FRST nie wykrył pliku tej usługi, i nie wykrył dwóch innych usług związanych z tym plikiem. Dlatego zaleciłam dodatkowe ustawienie w OTL - skoro FRST nie jest w stanie zobaczyć aktywnego Confickera, wykrywa tylko nieaktywne ślady. Usługi "fkczmzlw" i "stxqdqyoo" były zarówno w czasie wykonywania logu FRST, jak i logu OTL, ale tylko OTL określił je jako aktywne, z plikiem. jessi Odnośnik do komentarza
picasso Opublikowano 9 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 9 Kwietnia 2014 jessika, ale Ty mówisz o detekcji usługi i jej pliku (tego nie kwestionuję). Przecież określiłam wyraźnie o co mi chodzi: wartość Netsvc w rejestrze (FRST widział te wpisy) i wpisy wyłączone w msconfig (skan w Addition pokazuje że nie ma nic). NETSVC: stxqdgyoo -> No Registry Path. NETSVC: fkczmzlrw -> No Registry Path. vs. NetSvcs: stxqdgyoo - C:\WINDOWS\system32\cljtj.dll () NetSvcs: fkczmzlrw - C:\WINDOWS\system32\cljtj.dll () Trzy raporty (licz jeszcze GMER pokazujący ukryte usługi) wspólnie miały więc komplet danych. . Odnośnik do komentarza
kasownik Opublikowano 9 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 9 Kwietnia 2014 W dniu 9.04.2014 o 07:32, picasso napisał(a): Kończymy: 1. Drobnostka w Google Chrome, czyli reset cache wtyczek, by usunąć puste wpisy: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Przez SHIFT+DEL skasuj narzędzia zlokalizowane w folderze "fix" na Pulpicie, następnie popraw DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Jak wiesz, godzina XP już wybiła, tu będzie słabo. Najwyraźniej to komputer z zespołu określonego konkretnymi wytycznymi (na wszystkich komputerach ArcaBit i starocie). Nie za bardzo wiem co tu wchodzi w grę i co można zrobić (nowe instalacje / aktualizacje ?). O ile to możliwe, conajmniej uzupełnij chociaż braki w dostępnych aktualizacjach (nowych już nie będzie), bo tu np. IE jest w tragicznym stanie IE6. Nie wiadomo czego jeszcze brakuje. Pkt 1 zrobiony pkt 2, z tego folderu byl uruchamiany OTL i FRST, nie powinienem uruchomic sprzatania przez OTL (na c:\ sa po nim pozostalosci) pkt. 3 zrobione pkt 4, komputer nalezy do dostawu pt. "Pracownia multimedialna w szkole" i dopoki dziala nikt nie wstawi nowego, wiadomo jak jest sytuacja finansowa w naszych szkolach Conficker zablokowal WU, ale widze, ze juz dziala, wiec co sie da, bedzie aktualne Odnośnik do komentarza
Rekomendowane odpowiedzi