c64girl Opublikowano 13 Października 2014 Zgłoś Udostępnij Opublikowano 13 Października 2014 Witam od kilku dni nie mogę się uporać z przywrócenien wcześniejszych ustawień co do 'zasady ograniczeń oprogramowania' problem jest taki że antywirus NOD32 przestał się uruchamiać i zaczeły pojawiać się komunikaty zasady ograniczeń oprogramowania przy próbie odinstalowania programów jak i uruchomieniem. proszę o pomoc. Sytem Windows XP SP2 32bit Logi w załączniku Addition.txt FRST.txt OTL.Txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 13 Października 2014 Zgłoś Udostępnij Opublikowano 13 Października 2014 Na temat konfiguracji FRST: sekcja "Drivers MD5" nie miała być zaznaczona. Zabrakło też raportu OTL Extras. Był tu używany ComboFix i na przyszłość: KLIK. W systemie są ślady infekcji, która prawdopodobnie weszła z exploitów Java. W systemie są stare dziurawe wersje Java z silną podatnością na ataki. Ponadto, ten system ma krytyczny poziom aktualizacji i jest "zabezpieczany" przez sfatygowany stary ESET Smart Security z 2009, na dodatek scrackowany. Póżniej w ramach zabezpieczeń będzie aktualizacja całego Windows i wymiana antywirusa. Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) OS Language: Polski Internet Explorer Version 6 Infekcja zablokowała oprogramowanie zabezpieczające za pomocą polityk. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM Group Policy restriction on software: C:\Program Files\ESET HKLM Group Policy restriction on software: C:\Program Files\Malwarebytes' Anti-Malware HKLM Group Policy restriction on software: C:\Program Files\Alwil Software HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension R3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X] U3 mbr; \??\C:\DOCUME~1\User\USTAWI~1\Temp\mbr.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\EecejFugto C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Documents and Settings\User\Dane aplikacji\DSite C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj stare niebezpieczne wersje Adobe Flash Player 10 ActiveX, Adobe Flash Player 11 Plugin, Adobe Flash Player 9 ActiveX, Java 7 Update 9, Java 6 Update 24. Przy okazji odinstaluj też zbędny Akamai NetSession Interface. 3. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz log C:\ComboFix.txt. . Odnośnik do komentarza
c64girl Opublikowano 13 Października 2014 Autor Zgłoś Udostępnij Opublikowano 13 Października 2014 Stary komputer ten nod to tam już jest od wieków zainstalowałem Avasta. Logi: ComboFix.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 13 Października 2014 Zgłoś Udostępnij Opublikowano 13 Października 2014 Mówiłam, iż w FRST sekcja "Drivers MD5" nie ma być zaznaczona. ComboFix nie usuwał nic związanego z tą infekcją. Natomiast zadane przeze mnie czynności pomyślnie wykonane. Poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2000478354-842925246-725345543-1003\...\Run: [Akamai NetSession Interface] => "C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File FF Plugin: @java.com/DTPlugin,version=10.9.2 -> C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird S2 .EsetTrialReset; C:\WINDOWS\system32\regedt32.exe /s C:\WINDOWS\esettrialreset.reg RemoveDirectory: C:\Documents and Settings\User\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Qoobox EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Powstanie kolejny fixlog.txt. Przedstaw go. . Odnośnik do komentarza
c64girl Opublikowano 13 Października 2014 Autor Zgłoś Udostępnij Opublikowano 13 Października 2014 OK zrobione jeden minus ze komp sie nie zrestartowal sam. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 13 Października 2014 Zgłoś Udostępnij Opublikowano 13 Października 2014 Komputer się nie zrestartował, bo być może przerwałeś operacje FRST nie czekając aż skończy. Z dostarczonego tu Fixlog wynika, że uruchomiłeś go aż dwa razy, bo to już runda numer 3 (powinna być to runda 2). Skrypt nie może być uruchamiany więcej niż raz, nie przetworzy ponownie tego co już usunięte. Pomijając to drobne zawirowanie, akcje pomyślnie ukończone. 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Antywirus już wymieniony, ale jeszcze została cała aktualizacja Windows do wykonania z Windows Update (SP3 + IE8 + reszta łat). Rundy z wyszukiwaniem aktualizacji należy powtórzyć tyle razy, aż uzyskasz zwrot o braku dostępnych aktualizacji. . Odnośnik do komentarza
c64girl Opublikowano 13 Października 2014 Autor Zgłoś Udostępnij Opublikowano 13 Października 2014 A bo raz zawiesił się program może dlatego. Tak czy siak bardzo dziękuje za pomoc Odnośnik do komentarza
picasso Opublikowano 13 Października 2014 Zgłoś Udostępnij Opublikowano 13 Października 2014 A tak, jeśli zawieszenie, to owszem efekt się zgadza. Zapomniałam napisać, iż możesz jeszcze do tego Avasta doładować darmową wersję Malwarebytes Anti-Exploit, czyli ochronę przeglądarek oraz Java przed eksploitami / atakami. Odnośnik do komentarza
c64girl Opublikowano 13 Października 2014 Autor Zgłoś Udostępnij Opublikowano 13 Października 2014 Dobrze zainstaluje Dziękuje jeszcze raz Odnośnik do komentarza
Rekomendowane odpowiedzi