wiex Opublikowano 17 Września 2014 Zgłoś Udostępnij Opublikowano 17 Września 2014 Jak w temacie.Ściągnąłem dziś z ciekawości Comodo Cleaning Essentials i po uruchomieniu narzędzia Autorun Analyzer zwóciłem uwagę na to, że niektórych wpisów nie ma (File Not Found), co mnie nieco zaniepokoiło. Nie wiem na ile to jest niebezpieczne, dlatego prosiłbym o sprawdzenie co z tym fantem zrobić.Z góry dzięki za ewentualną pomoc.System Vista Home Basic 32-bitowy FRST.txt Addition.txt Shortcut.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2014 Zgłoś Udostępnij Opublikowano 17 Września 2014 Pokaż o które wpisy "not found" Ci chodzi, a temat jedzie natychmiast do działu malware, w systemie działa rootkit ZeroAccess (wersja w postaci sfałszowanego Google, użycie znaków Unicode). Daj mi moment na skonstruowanie odpowiedzi. Odnośnik do komentarza
wiex Opublikowano 17 Września 2014 Autor Zgłoś Udostępnij Opublikowano 17 Września 2014 właśnie próbowałem sie tego Google Update pozbyć, ale bezskutecznie dotychczas rdpclip File not found: Rdpclip language.dll File not found: Language.dll ATP File not found: C:\Windows\system32\DRIVERS\cmdatp.sys DfSdkS File not found: C:\Windows\system32\drivers\DfSdkS.sys IpInIp IP in IP Tunnel Driver File not found: C:\Windows\system32\DRIVERS\ipinip.sys kovabf File not found: C:\Windows\system32\drivers\kovabf.sys NwlnkFlt IPX Traffic Filter Driver File not found: C:\Windows\system32\DRIVERS\nwlnkflt.sys NwlnkFwd IPX Traffic Forwarder Driver File not found: C:\Windows\system32\DRIVERS\nwlnkfwd.sys Partizan File not found: C:\Windows\system32\drivers\Partizan.sys taphss File not found: C:\Windows\system32\DRIVERS\taphss.sys taphss6 File not found: C:\Windows\system32\DRIVERS\taphss6.sys usbbus File not found: C:\Windows\system32\DRIVERS\lgusbbus.sys UsbDiag LGE Mobile USB Serial Port File not found: C:\Windows\system32\DRIVERS\lgusbdiag.sys USBModem LGE Mobile Modem Support File not found: C:\Windows\system32\DRIVERS\lgusbmodem.sys Winsock File not found: C:\Windows\system32\drivers\Winsock.sys 耀Úʼn File not found: 耀Úʼn 벌緬 File not found: 벌緬 takie krzaczki jeszcze na koniec :/ a to przecie wszystko w Logach powyżej ... Odnośnik do komentarza
picasso Opublikowano 17 Września 2014 Zgłoś Udostępnij Opublikowano 17 Września 2014 Zrób z tego po prostu zrzut ekranu. Nie wiadomo gdzie widzisz odnośniki do "language.dll " i krzaków. Natomiast: - Wpis rdpclip w stanie "not found" jest OK. Jest tu edycja podstawowa Vista Home Basic (określone komponenty są nieaktywne / niepełne). Dla porównania ten temat: KLIK. - Sterowniki IpInIp + NwlnkFlt + NwlnkFwd w stanie "not found" są normalne na Vista i nie będą usuwane. W systemie są określone wpisy, które nie mają powiązanych plików, ale nie należy tego naprawiać. - Kilka pustych wpisów to zostanie usuniętych poniższymi działaniami. Wstępnie wykonaj następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 *etadpug; "C:\Program Files\Google\Desktop\Install\{a886596a-7018-f03a-8a2c-160be15bac0a}\ \...\???\{a886596a-7018-f03a-8a2c-160be15bac0a}\GoogleUpdate.exe" HKU\S-1-5-21-3592015403-793725120-2322176034-1000\...\Run: [Google Update**.d] => "C:\Users\Wiex\AppData\Local\Google\Desktop\Install\{a886596a-7018-f03a-8a2c-160be15bac0a}\d'x"Ů"\", &h#\. ůű[\{a886596a-7018-f03a-8a2c-160be15bac0a}\GoogleUpdate.exe" > Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 05 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" FF NetworkProxy: "gopher", "" FF NetworkProxy: "gopher_port", 0 FF NetworkProxy: "share_proxy_settings", true FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn2 FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn2 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" S3 ATP; system32\DRIVERS\cmdatp.sys [X] U3 DfSdkS; No ImagePath S0 kovabf; No ImagePath U0 Partizan; system32\drivers\Partizan.sys [X] S3 taphss; system32\DRIVERS\taphss.sys [X] S3 taphss6; system32\DRIVERS\taphss6.sys [X] S3 usbbus; system32\DRIVERS\lgusbbus.sys [X] S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [X] S3 USBModem; system32\DRIVERS\lgusbmodem.sys [X] C:\ProgramData\TEMP C:\Program Files\Dll-Files.com Fixer C:\Program Files\Google\Desktop C:\Users\Wiex\AppData\Local\Google\Desktop C:\Users\Wiex\AppData\Roaming\3909 C:\Users\Wiex\AppData\Roaming\System C:\Windows\system32\Drivers\etc\hosts.ccebak C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: netsh winsock reset Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ClamWin" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + Farbar Service Scanner. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
wiex Opublikowano 17 Września 2014 Autor Zgłoś Udostępnij Opublikowano 17 Września 2014 Job done Awaiting orders...w załączniku Logia pro pos PtrScr to nie wiem bo sporo tego ... FRST.txt Fixlog.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2014 Zgłoś Udostępnij Opublikowano 17 Września 2014 Usuwanie infekcji poszło gładko. Log z Farbar Service Scanner wykazuje dewastację usług poczynioną przez infekcję. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC} /v AutoStart /t REG_SZ /d "" /f CMD: del /q C:\ProgramData\D__Programy_HideIPEasy_HideIPEasy.exe CMD: del /q C:\Windows\System32\libs.exe DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Zastosuj ServicesRepair, zresetuj system i zrób nowy log z Farbar Service Scanner. 3. I jeszcze pokaż na obrazku gdzie widzisz tych delikwentów: Nie wiadomo gdzie widzisz odnośniki do "language.dll " i krzaków. Po prostu masz mi zrobić zrzuty ekranu pokazujące "not found", ale tak by było widać który odgórny klucz jest skanowany, bo Ty obciąłeś dane. . Odnośnik do komentarza
wiex Opublikowano 17 Września 2014 Autor Zgłoś Udostępnij Opublikowano 17 Września 2014 dodam jeszcze że delikwentów skrzaczonych się namnożyło i ogólnie wpisów dużo więcej z etyKietą File Not Found niż poprzednio :/ ale to jeszcze przed zrobieniem tego powyżej a ścieżka taka: HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\\BootExecute i jest tu mnóstwo plików NOT FOUND i właśnie dużo chińszczyzny Odnośnik do komentarza
picasso Opublikowano 17 Września 2014 Zgłoś Udostępnij Opublikowano 17 Września 2014 a ścieżka taka: HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\\BootExecute i jest tu mnóstwo plików NOT FOUND i właśnie dużo chińszczyzny Log z FRST nie pokazuje modyfikacji BootExecute (powinien), ale już wiem do czego zmierzasz. Krzaki to nie jest problem, w tej wartości często to występuje. Tu na dodatek BootExecute było zaprzężone do roboty dodatkowej, gdyż FRST przesuwał metodą przy bootowaniu katalog ZeroAccess. Dla świętego spokoju możesz przebić BootExecute dla bieżącej konfiguracji (alternatywne konfigi się nie liczą) przepuszczając w FRST taki skrypt: Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v BootExecute /t REG_MULTI_SZ /d "autocheck autochk" /f . Odnośnik do komentarza
wiex Opublikowano 17 Września 2014 Autor Zgłoś Udostępnij Opublikowano 17 Września 2014 wszystko juz śmiga o niebo lepiej chociaż wydawało mi się, że to komp już taki zamierzchły (nie podejrzewałem robactwa i innych eboli) po raz któryś z kolei wielgachne dzięki !!! coś jeszcze na zakończenie ??? dodam że oprócz rzeczy z obrazka rejestr czyściuchny jak łza (poza plikami wspomnianymi przez Ciebie oraz Winsock.sys z Services) Mam nadzieję, że o ten Log chodziło dodaje FRST.txt (nic poza tym i już dodanym Fixlog nie mam w folderze FRST) i dobrej nocy FSS.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2014 Zgłoś Udostępnij Opublikowano 18 Września 2014 Jeśli chodzi o log z Farbar Service Scanner, to nadal jest notowany brak usług PolicyAgent i RemoteAccess (obie skasowane przez ZeroAccess). Odbudowa usług: 1. Pobierz SetACL (na spodzie strony "Administrators: Download the EXE version of SetACL 3.0.6 for 32-bit and 64-bit Windows."). Z folderu x86 przekopiuj plik SetACL.exe do folderu C:\Windows. Następnie wykonaj instrukcje z tego posta: KLIK. 2. Zresetuj system i zrób nowy log z Farbar Service Scanner. Mam nadzieję, że o ten Log chodziło dodaje FRST.txt (nic poza tym i już dodanym Fixlog nie mam w folderze FRST) i dobrej nocy Usuwam log FRST, mnie chodzi o wyniki skryptu z posta numer #6. Czy Ty go w ogóle wykonałeś? dodam że oprócz rzeczy z obrazka rejestr czyściuchny jak łza (poza plikami wspomnianymi przez Ciebie oraz Winsock.sys z Services) U mnie na Windows 7 jest identyczny odczyt z klucza HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oba wpisy są w stanie "not found", a także sterownik Winsock jest "not found". Tak więc te wpisy także zostawiasz w spokoju. . Odnośnik do komentarza
wiex Opublikowano 18 Września 2014 Autor Zgłoś Udostępnij Opublikowano 18 Września 2014 jest Log mam nadzieję, że o to chodziło FSS.txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2014 Zgłoś Udostępnij Opublikowano 18 Września 2014 Bez zmian, a to dlatego, bo jak na PW zgłosiłeś w ogóle plik REG nie został zaimportowany. Dopóki nie wykonasz importu pliku, akcja z SetACL jest bezcelowa (przetwarzanie nieistniejących obiektów). PS. I nadal brakuje pliku fixlog.txt z tego działania: 1. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC} /v AutoStart /t REG_SZ /d "" /f CMD: del /q C:\ProgramData\D__Programy_HideIPEasy_HideIPEasy.exe CMD: del /q C:\Windows\System32\libs.exe DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
wiex Opublikowano 18 Września 2014 Autor Zgłoś Udostępnij Opublikowano 18 Września 2014 i takie hocki klocki :/ (a propos dodania uslugi.reg do rejestru)a poniżej Fixlog Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2014 Zgłoś Udostępnij Opublikowano 18 Września 2014 Pomimo błędu przejdź do wykonania akcji z SetACL, a po tym dostarcz świeży log z Farbar Service Scanner. Odnośnik do komentarza
wiex Opublikowano 18 Września 2014 Autor Zgłoś Udostępnij Opublikowano 18 Września 2014 following orders... FSS.txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2014 Zgłoś Udostępnij Opublikowano 18 Września 2014 Usługi pomyślnie odbudowane. Myślę, że możemy przejść do czynności końcowych: 1. Usuń ręcznie SetACL i C:\Users\Wiex\Downloads\FRST. Popraw narzędziem DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Drobne aktualizacje, są nowsze wersje tych dwóch programów: ==================== Installed Programs ====================== Adobe Reader XI (11.0.05) - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.05 - Adobe Systems Incorporated) Java 7 Update 60 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217040FF}) (Version: 7.0.600 - Oracle) . Odnośnik do komentarza
wiex Opublikowano 18 Września 2014 Autor Zgłoś Udostępnij Opublikowano 18 Września 2014 rozumiem, że SetACL z katalogu Windows ??? a co z FSS ? Odnośnik do komentarza
picasso Opublikowano 18 Września 2014 Zgłoś Udostępnij Opublikowano 18 Września 2014 Tak + pobraną paczkę. DelFix ma skasować FSS i instrukcja nakazuje przedstawić log wynikowy. SetACL podałam do usuwania ręcznego, bo wątpię, by DelFix to adresował. Odnośnik do komentarza
wiex Opublikowano 18 Września 2014 Autor Zgłoś Udostępnij Opublikowano 18 Września 2014 nie usunął ani FSS ani OTL, jedynie ślady w rejestrze po SetACL. Może dlatego, że nie były bezpośrednio na C: tylko w podkatalogu ? Odnośnik do komentarza
picasso Opublikowano 18 Września 2014 Zgłoś Udostępnij Opublikowano 18 Września 2014 A gdzie te programy zapisałeś? Jeśli w jakiś podkatalogach folderów Pulpit lub Pobieranie, to wszystko musisz usunąć ręcznie, bo DelFix adresuje tylko określone miejsca i nie robi rekursywnego skanu (trawałoby to potwornie długo). . Odnośnik do komentarza
wiex Opublikowano 18 Września 2014 Autor Zgłoś Udostępnij Opublikowano 18 Września 2014 java zaktualizowana, AReader również czyli można powiedzieć, że dokonało się ...?Jeżeli to wszystko to dziękuję po raz wtóry za nieocenialną i ekspercką pomoc Odnośnik do komentarza
picasso Opublikowano 18 Września 2014 Zgłoś Udostępnij Opublikowano 18 Września 2014 Tak jest. Koniec działań. Zamykam temat. Odnośnik do komentarza
Rekomendowane odpowiedzi