MrPLZagrajmy Opublikowano 14 Maja 2014 Zgłoś Udostępnij Opublikowano 14 Maja 2014 Dzień dobry mam problem z włączeniem zapory systemy windows Nie mogę jej włączyć Sama zapora pisze że Zapora systemu windows nie może zmienić niektórych ustawień. Kod błędu : 0x80070433 Posiadam system 64 Bitowy Próbowałem wieloma sposobami ale na marno Proszę o pomoc Extras.Txt OTL.Txt GMER.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 15 Maja 2014 Zgłoś Udostępnij Opublikowano 15 Maja 2014 MrPLZagrajmy, w systemie jest rootkit ZeroAccess w wersji fałszywego Google (znaki Unicode i RTL), lekko czymś już naruszony. Infekcja ta usuwa z systemu liczne uługi, stąd nie działa Zapora, ale to nie wszystkie szkody i usuniętych usług jest więcej (cały układ Windows Update). Ponadto, są tu też dodatkowe infekcje, czyli BitCoin Miner ("PowerMon") i adware. Widzę, że już podejmowałeś próbę naprawy za pomocą Services Repair. To nie ma racji bytu przy czynnej infekcji. W pierwszej fazie będzie usuwanie infekcji, usługi będą rekonstruowane w drugiej fazie. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Windows\Temp\PowerMon\PowerMon.exe HKLM\...\Policies\Explorer: [3212083974] 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un: [AdobeBridge] => [X] HKU\S-1-5-21-1948933813-2092389452-934283344-1000\...\Run: [Java] => %APPDATA%\Microsoft\jushed.exe HKU\S-1-5-21-1948933813-2092389452-934283344-1000\...\Run: [Google Update*] => [X] HKU\S-1-5-21-1948933813-2092389452-934283344-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [2871808 2011-05-11] (Microsoft Corporation) Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 05 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5-x64 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 05 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" S2 PowerMon; C:\Windows\Temp\PowerMon\PowerMon.exe [1958288 2013-10-11] () S2 ABConfSV; L:\ArcaVir\Common\ArcaConfSV.exe [X] S2 ABMainSV; L:\ArcaVir\ArcaVir\ArcaMainSV.exe [X] S2 ArcaRemoteService; L:\ArcaVir\ArcaAgent\ArcaRemoteSvc.exe [X] S2 AVBackup; L:\ArcaVir\ArcaTools\ArcaBackup\ArcaBackupService.exe [X] S2 AVTasks2; L:\ArcaVir\Common\ArcaTasksService.exe [X] S2 AVUpdate; L:\ArcaVir\ArcaUpdate\update.exe [X] S2 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{91bfea6f-a31b-5e17-ffc7-599a0feb4b6c}\ \...\???\{91bfea6f-a31b-5e17-ffc7-599a0feb4b6c}\GoogleUpdate.exe" S3 ABFLT; \??\L:\ArcaVir\ArcaVir\ABFLT.sys [X] S3 ABWFP; \??\L:\ArcaVir\ArcaVir\ABWFP.sys [X] S3 ADIHdAudAddService; system32\drivers\ADIHdAud.sys [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] U4 vsserv; S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {038D0BBE-0472-4FA1-95E2-8B2835CD35C8} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: {21DAA56A-3714-4959-871B-662C46A26631} - System32\Tasks\ProtectedSearch\Protected Search => C:\Program Files (x86)\Protected Search\ProtectedSearch.exe Task: {26724A2F-980C-48AB-9BB6-427C1324CE4E} - System32\Tasks\{F042A921-964B-421E-B26B-92DF97F2C874} => K:\Counter-Strike\Counter-Strike\cstrike.exe [2007-01-30] (DigitalZone ) Task: {8B7C04C2-4D76-42AF-A0AA-46C1F6590E23} - System32\Tasks\{2DCC10A8-1612-41AF-AE29-2AF48C256F76} => G:\PCFormat.exe Task: {A6381EAE-5B76-406C-9EE6-C6D6D86736DF} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: {A6E60348-036B-4C17-839D-0083BD28F4DF} - System32\Tasks\{ACE5FA09-1566-4CE9-ADC8-053C8353AEED} => D:\Minecraft.exe Task: {CA5E3229-31CE-49BB-AE66-E7455389ECD9} - System32\Tasks\{E5740F2D-A89C-408C-84BB-42B3DEE40B34} => K:\Km TPR\KM_TPR.exe [2001-11-29] () Task: {E26F85B7-E40B-42D9-AA39-59BDA631AE9C} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C ShortcutWithArgument: C:\Users\OEM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C ShortcutWithArgument: C:\Users\OEM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C ShortcutWithArgument: C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} URLSearchHook: ATTENTION ==> Default URLSearchHook is missing. StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://mysearch.avg.com/search?cid={8DB11069-4C0C-4117-97CF-7EF746977CBC}&mid=0840d4a0772647d086d9d1568027c34b-54e456de474e5148b7a2012dcce6f966901e3107&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-04-14 16:36:30&v=18.0.5.292&pid=safeguard&sg=&sap=dsp&q={searchTerms} Toolbar: HKCU - No Name - {4D594333-0076-A76A-76A7-7A786E7484D7} - No File FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 - C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 - C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll No File FF Plugin HKCU: @onlive.com/OnLiveGameClientDetector,version=1.0.0 - C:\Program Files (x86)\OnLive\Plugin\npolgdet.dll No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\safeguard-secure-search.xml 2014-04-14 16:35 - 2014-05-08 23:24 - 00003750 _____ () C:\Program Files (x86)\Mozilla Firefoxsafeguard-secure-search.xml CHR HKLM-x32\...\Chrome\Extension: [dghncoeocefmhkhiphdgikkamjeglbfh] - C:\Program Files (x86)\mystarttb\chrome-newtab-search.crx [2014-02-01] CHR HKLM-x32\...\Chrome\Extension: [pkndmigholgfjlniaohblojbhgjbkakn] - C:\Users\OEM\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv2.crx [2014-05-14] AlternateDataStreams: C:\ProgramData:NT AlternateDataStreams: C:\Users\All Users:NT AlternateDataStreams: C:\ProgramData\Application Data:NT AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT AlternateDataStreams: C:\ProgramData\Microsoft:L1aFyWqjXYyfeKbc8iV AlternateDataStreams: C:\ProgramData\Microsoft:qWrQDPQUgMdMiAmmjq4Jl1js AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT AlternateDataStreams: C:\Users\OEM\Dane aplikacji:NT AlternateDataStreams: C:\Users\OEM\Ustawienia lokalne:Dqj9xJuP4j4kSZ3FWurQZfCuaF AlternateDataStreams: C:\Users\OEM\AppData\Local:Dqj9xJuP4j4kSZ3FWurQZfCuaF AlternateDataStreams: C:\Users\OEM\AppData\Roaming:NT AlternateDataStreams: C:\Users\OEM\AppData\Local\Dane aplikacji:Dqj9xJuP4j4kSZ3FWurQZfCuaF DeleteJunctionsIndirectory: C:\Program Files\Windows Defender C:\ProgramData\*.bin C:\Program Files (x86)\mystarttb C:\Program Files (x86)\Google\Desktop C:\Users\OEM\AppData\Local\Google\Desktop C:\Users\OEM\AppData\Roaming\*.exe C:\Users\OEM\AppData\Roaming\IObit C:\Users\OEM\AppData\Roaming\QuickScan C:\Windows\Temp\PowerMon Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NortonSupport" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: copy /y "C:\Users\OEM\AppData\Local\Google\Chrome\User Data\Default\Preferences" C:\Users\OEM\Desktop\Preferences Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj zbędniki AVG SafeGuard toolbar, McAfee Security Scan Plus oraz MyFreeCodec. 3. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut), GMER i Farbar Service Scanner. Dołącz też plik fixlog.txt i log z AdwCleaner. Ponadto, na Pulpicie powstał plik Preferences, zapakuj do ZIP, shostuj gdzieś i podaj link do tego pliku. . Odnośnik do komentarza
MrPLZagrajmy Opublikowano 15 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 15 Maja 2014 Picasso Czy z tym że System zostanie zresetowany chodzi o reboot ? Odnośnik do komentarza
picasso Opublikowano 15 Maja 2014 Zgłoś Udostępnij Opublikowano 15 Maja 2014 Tak, chodzi po prostu o automatyczny restart, który jest tu wymagany, by sfinalizować usuwanie określonych elementów. Odnośnik do komentarza
MrPLZagrajmy Opublikowano 16 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 16 Maja 2014 Tutaj są wszystkie logi razem z logiem ADW i plikiem Preferences Fixlog.txt FRST.txt FSS.txt GMER.txt AdwCleanerS4.txt Odnośnik do komentarza
picasso Opublikowano 16 Maja 2014 Zgłoś Udostępnij Opublikowano 16 Maja 2014 Proszę nie umieszczaj logów w scalonej paczce, to utrudnia odwoływanie się do konkretnych elementów. Wszystkie logi tekstowe wstawione w załączniki. Tylko plik Preferences miał być zlinkowany osobno. Plik już mam, więc link do paczki usuwam. Wszystko wykonane. Log z FSS pokazuje, iż nadal brakuje multum usług. Odbędzie się kolejna próba ich odbudowy, tym razem już w środowisku bez czynnej infekcji. Kolejna porcja czynności: 1. Uruchom TFC - Temp Cleaner. 2. Uruchom ServicesRepair. 3. Zresetuj system i zrób nowy log z Farbar Service Scanner. . Odnośnik do komentarza
MrPLZagrajmy Opublikowano 16 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 16 Maja 2014 Wszystko zrobione a tu jest log z FSS FSS.txt Odnośnik do komentarza
picasso Opublikowano 16 Maja 2014 Zgłoś Udostępnij Opublikowano 16 Maja 2014 Jest progres, ale nie do końca. Nadal są trzy brakujące usługi: BFE, PolicyAgent i RemoteAccess. 1. Pobierz SetACL (Administrators: Download the EXE version of SetACL 3.0.6 for 32-bit and 64-bit Windows.), rozpakuj i z folderu 64-bit przekopiuj SetACL.exe do C:\Windows. 2. Następnie wykonaj ręczną rekonstrukcję BFE, PolicyAgent i RemoteAccess z tych postów: KLIK i KLIK. 3. Zresetuj system i zrób nowy log z Farbar Service Scanner. . Odnośnik do komentarza
MrPLZagrajmy Opublikowano 16 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 16 Maja 2014 Podczas tworzenia usług napotkałem problem Odnośnik do komentarza
picasso Opublikowano 17 Maja 2014 Zgłoś Udostępnij Opublikowano 17 Maja 2014 Nie wygląda na to, że załadowałeś plik BFE.reg. Dopiero po tym możesz importować reguły SetACL dla usługi BFE. . Odnośnik do komentarza
MrPLZagrajmy Opublikowano 17 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 17 Maja 2014 właśnie przy załadowaniu pliku BFE.reg wyskakuje ten błąd Odnośnik do komentarza
picasso Opublikowano 18 Maja 2014 Zgłoś Udostępnij Opublikowano 18 Maja 2014 Wg poprzedniego raportu FSS (oraz przy ładowaniu uprawnień via SetACL) nie było w ogóle klucza usługi BFE w rejestrze, więc nie wiem co tu może blokować import. Czy plik importowałeś opcją "Scal"? Spróbuj jeszcze ponowić próbę importu BFE.reg z poziomu Trybu awaryjnego Windows. . Odnośnik do komentarza
MrPLZagrajmy Opublikowano 21 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 21 Maja 2014 Chyba już wszystko zrobiłem czy dać logi z FSS ? Proszę tu jest log z FSS'a FSS.txt Odnośnik do komentarza
picasso Opublikowano 22 Maja 2014 Zgłoś Udostępnij Opublikowano 22 Maja 2014 Wszystkie usługi zostały odbudowane pomyślnie. Przechodzimy do kolejnego etapu: 1. Usuń kwarantannę FRST. Otwórz Notatnik i wklj w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Ręcznie usuń używane narzędzia. Następnie popraw narzędziem DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zrób pełne skanowanie za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się