yarekya Opublikowano 5 Stycznia 2015 Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 System: Windows XP SP2 32 bit Podczas uruchamiania pojawia się BSOD: 0x0000007E(0xC0000005,0X00000000,0xB84FF5F4,0xB84FF2F0) W trybie awaryjnym pulpit jest cały czarny, nie ma żadych ikon i dolnego paska. Aktywuje się Menedżer Zadań przez Ctrl+Alt+Del. Z jego poziomu mogę uruchamiać aplikacje. NIe mogę niestety wykonać pełnego skanowania programem GMER. Po pewnym czasie skanowanie zawiesza się. Wklejam to, co program wygenerował do momentu zawieszenia. OTL.Txt Extras.Txt Shortcut.txt Addition.txt FRST.txt GMER.txt defogger_disable.txt Odnośnik do komentarza
picasso Opublikowano 5 Stycznia 2015 Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 Sytem jest zainfekowany malware Sathurbot, ponadto są tu liczne ślady infekcji ZeroAccess (link symboliczny, uszkodzony łańcuch Winsock, prawdopodobnie sterownik serial.sys jest zainfekowany) oraz są ślady niepoprawnie odinstalowanego Kasperskiego. Przed przejściem do usuwania poproszę o dodatkowe dane: - Spis kopii pliku serial.sys. Uruchom FRST, w polu Search wklep serial.sys, klik w Search Files i dostarcz wynikowy log. - Log z Kaspersky TDSSKiller. Jeśli cokolwiek znajdzie, wybierz Skip i tylko wynikowy raport dostarcz. Odnośnik do komentarza
yarekya Opublikowano 6 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2015 Wklejam potrzebne logi. Search.txt TDSSKiller.3.0.0.42_06.01.2015_01.40.19_log.txt Odnośnik do komentarza
picasso Opublikowano 6 Stycznia 2015 Zgłoś Udostępnij Opublikowano 6 Stycznia 2015 Spodziewałam się tego patrząc na podejrzany wyciąg z GMER. Tu nie tylko jest infekcja sterownika serial.sys (modyfikacja ZeroAccess), ale także bootkit - Rootkit.Boot.Cidox.B. Działania wstępne: Z POZIOMU TRYBU AWARYJNEGO: 1. Uruchom TDSSKiller ponownie, jednak tym razem pozostaw wszystkie akcje domyślnie ustawione przez narzędzie i pozwól przeprowadzić leczenie. Zresetuj komputer. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: DeleteJunctionsInDirectory: C:\WINDOWS\$NtUninstallKB34492$ ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Secure\Icons\SecureIconsProvider.dll () HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [Otsics] => C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics\tmpD2.exe [145256 2014-10-24] () HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [Ektion] => regsvr32.exe "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Ektion\kbdcomex54.dll" HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [YjPack] => C:\WINDOWS\system32\regsvr32.exe "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics\AcroIEHelperShim.DLL" HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [ChromeUpdate] => C:\Documents and Settings\Jarek\Dane aplikacji\FrameworkUpdate\ChromeUpdate.exe [233984 2014-11-26] (Company name goes here) Winlogon\Notify\klogon: C:\WINDOWS\system32\klogon.dll (Kaspersky Lab) BootExecute: autocheck autochk /k:C * S2 SecurityCenterServer4196545509; "C:\WINDOWS\system32\deurge.exe" -service "C:\Documents and Settings\Jarek\Dane aplikacji\Aguhxyro\googy.exe" S2 ASInsHelp; \??\C:\WINDOWS\system32\drivers\AsInsHelp32.sys [X] U3 awdw3w0e; No ImagePath S0 Chl27; No ImagePath S3 ddxgb; \??\C:\DOCUME~1\Jarek\USTAWI~1\Temp\ddxgb.sys [X] S0 Hmq51; No ImagePath S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 Video3D; No ImagePath HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Chl27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hmq51.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Chl27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hmq51.sys => ""="Driver" Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5 03 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = URLSearchHook: HKU\S-1-5-21-1417001333-746137067-839522115-1004 - (No Name) - {bfc39e47-d643-4dc2-aa1d-61377501c844} - No File Toolbar: HKU\.DEFAULT -> No Name - {2E924F4F-67F0-4BD8-9560-49F468E843D2} - No File Handler: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\system32\Msdxm6.ocx (Microsoft Corporation) CustomCLSID: HKU\S-1-5-21-1417001333-746137067-839522115-1004_Classes\CLSID\{6835F21B-AD12-485C-A8FD-D7DF60C72A69}\InprocServer32 -> wbocx32.ocx No File CustomCLSID: HKU\S-1-5-21-1417001333-746137067-839522115-1004_Classes\CLSID\{6AC91CBD-DB47-406A-AF60-90F8150FA5B8}\InprocServer32 -> wbocx32.ocx No File FF Plugin: @videolan.org/vlc,version=0.8.6h -> C:\Program Files\VideoLAN\VLC\npvlc.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Secure C:\Documents and Settings\All Users\Dane aplikacji\PPLive C:\Documents and Settings\All Users\Dane aplikacji\SecuriSoft SARL C:\Documents and Settings\Jarek\Dane aplikacji\*.exe C:\Documents and Settings\Jarek\Dane aplikacji\.BitTornado C:\Documents and Settings\Jarek\Dane aplikacji\addpcs C:\Documents and Settings\Jarek\Dane aplikacji\Aguhxyro C:\Documents and Settings\Jarek\Dane aplikacji\atube C:\Documents and Settings\Jarek\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\Jarek\Dane aplikacji\DMCache C:\Documents and Settings\Jarek\Dane aplikacji\FrameworkUpdate C:\Documents and Settings\Jarek\Dane aplikacji\iliveto C:\Documents and Settings\Jarek\Dane aplikacji\Moyea C:\Documents and Settings\Jarek\Dane aplikacji\Opera Software C:\Documents and Settings\Jarek\Dane aplikacji\PPLive C:\Documents and Settings\Jarek\Dane aplikacji\Publish Providers C:\Documents and Settings\Jarek\Dane aplikacji\Warez C:\Documents and Settings\Jarek\Dane aplikacji\WebCompiler3 C:\Documents and Settings\Jarek\Dane aplikacji\Xi C:\Documents and Settings\Jarek\Dane aplikacji\Ylgyas C:\Documents and Settings\Jarek\Dane aplikacji\Yzwexupa C:\Documents and Settings\Jarek\Pulpit\Icons\Programs\1\DAEMON Tools Pro.lnk C:\Documents and Settings\Jarek\Pulpit\Icons\Programs\1\YASU.exe.lnk C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\~wmrg C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Ektion C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics C:\Program Files\Mozilla Firefox\extensions C:\Program Files\mozilla firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\deurge.exe C:\WINDOWS\system32\klogon.dll Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Page" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v SearchMigratedDefaultName /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v SearchMigratedDefaultURL /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset CMD: dir /a "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji" CMD: dir /a C:\WINDOWS\$NtUninstallKB34492$ Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Z POZIOMU TRYBU NORMALNEGO: Jeśli wszystko pójdzie dobrze, system powinien poprawnie się uruchomić. Kolejne działania: 1. Przez Dodaj/Usuń programy odinstaluj stare dziurawe wersje Adobe Flash Player 13 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 67, Java 6 Update 5, Java 6 Update 7 oraz scrackowany ESET NOD32 Antivirus + NOD32 v3.0.642 FiX1.2 by TemDono. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie potem przeinstalować. 3. Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie pole Addition, by powstały dwa logi) oraz GMER. Dołącz też plik fixlog.txt. Odnośnik do komentarza
yarekya Opublikowano 7 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 Z POZIOMU TRYBU AWARYJNEGO: 1.Zrobione 2.FRST pracował przez 8 godzin bez końcowego rezultatu. Po tym czasie wyłączyłem go. Wygenerował się log. Teraz system uruchamia się normalnie. Z POZIOMU TRYBU NORMALNEGO: 1.Zrobione 2.Zrobione 3.Próba uruchomienia GMER powoduje BSOD: 0x00000019(0x00000020,0x898D0000,0x898D0828,0x1B050000) Addition.txt FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 7 Stycznia 2015 Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 FRST się zatrzymał, gdyż na śmierć zapomniałam, że tworzenie punktu Przywracania systemu jest niemożliwe z poziomu Trybu awaryjnego. Działania poprawkowe: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Secure\Icons\SecureIconsProvider.dll () HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [Otsics] => C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics\tmpD2.exe HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [Ektion] => regsvr32.exe "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Ektion\kbdcomex54.dll" HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [YjPack] => C:\WINDOWS\system32\regsvr32.exe "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics\AcroIEHelperShim.DLL" HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [ChromeUpdate] => C:\Documents and Settings\Jarek\Dane aplikacji\FrameworkUpdate\ChromeUpdate.exe Winlogon\Notify\klogon: C:\WINDOWS\system32\klogon.dll (Kaspersky Lab) BootExecute: autocheck autochk /k:C * S2 NOD32FiXTemDono; C:\WINDOWS\system32\regedt32.exe /s C:\WINDOWS\nod32fixtemdono.reg S2 SecurityCenterServer4196545509; "C:\WINDOWS\system32\deurge.exe" -service "C:\Documents and Settings\Jarek\Dane aplikacji\Aguhxyro\googy.exe" S2 ASInsHelp; \??\C:\WINDOWS\system32\drivers\AsInsHelp32.sys [X] U3 awdw3w0e; No ImagePath S0 Chl27; No ImagePath S3 ddxgb; \??\C:\DOCUME~1\Jarek\USTAWI~1\Temp\ddxgb.sys [X] S0 Hmq51; No ImagePath S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 Video3D; No ImagePath HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\79687185.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Chl27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hmq51.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\79687185.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Chl27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hmq51.sys => ""="Driver" Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5 03 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = URLSearchHook: HKU\S-1-5-21-1417001333-746137067-839522115-1004 - (No Name) - {bfc39e47-d643-4dc2-aa1d-61377501c844} - No File Toolbar: HKU\.DEFAULT -> No Name - {2E924F4F-67F0-4BD8-9560-49F468E843D2} - No File Toolbar: HKLM - @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\Msdxm6.ocx (Microsoft Corporation) Handler: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\system32\Msdxm6.ocx (Microsoft Corporation) DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab CustomCLSID: HKU\S-1-5-21-1417001333-746137067-839522115-1004_Classes\CLSID\{6835F21B-AD12-485C-A8FD-D7DF60C72A69}\InprocServer32 -> wbocx32.ocx No File CustomCLSID: HKU\S-1-5-21-1417001333-746137067-839522115-1004_Classes\CLSID\{6AC91CBD-DB47-406A-AF60-90F8150FA5B8}\InprocServer32 -> wbocx32.ocx No File FF Plugin: @java.com/DTPlugin,version=10.67.2 -> C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll No File FF Plugin: @videolan.org/vlc,version=0.8.6h -> C:\Program Files\VideoLAN\VLC\npvlc.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\Mozilla Thunderbird C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Secure C:\Documents and Settings\All Users\Dane aplikacji\PPLive C:\Documents and Settings\All Users\Dane aplikacji\SecuriSoft SARL C:\Documents and Settings\All Users\Menu Start\Programy\Java C:\Documents and Settings\Jarek\Dane aplikacji\*.exe C:\Documents and Settings\Jarek\Dane aplikacji\.BitTornado C:\Documents and Settings\Jarek\Dane aplikacji\addpcs C:\Documents and Settings\Jarek\Dane aplikacji\Aguhxyro C:\Documents and Settings\Jarek\Dane aplikacji\atube C:\Documents and Settings\Jarek\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\Jarek\Dane aplikacji\DMCache C:\Documents and Settings\Jarek\Dane aplikacji\FrameworkUpdate C:\Documents and Settings\Jarek\Dane aplikacji\iliveto C:\Documents and Settings\Jarek\Dane aplikacji\Moyea C:\Documents and Settings\Jarek\Dane aplikacji\Opera Software C:\Documents and Settings\Jarek\Dane aplikacji\PPLive C:\Documents and Settings\Jarek\Dane aplikacji\Publish Providers C:\Documents and Settings\Jarek\Dane aplikacji\Warez C:\Documents and Settings\Jarek\Dane aplikacji\WebCompiler3 C:\Documents and Settings\Jarek\Dane aplikacji\Xi C:\Documents and Settings\Jarek\Dane aplikacji\Ylgyas C:\Documents and Settings\Jarek\Dane aplikacji\Yzwexupa C:\Documents and Settings\Jarek\Pulpit\Icons\Programs\1\DAEMON Tools Pro.lnk C:\Documents and Settings\Jarek\Pulpit\Icons\Programs\1\YASU.exe.lnk C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\~wmrg C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Ektion C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics C:\Program Files\Java C:\Program Files\Common Files\Java C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\deurge.exe C:\WINDOWS\system32\klogon.dll Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Page" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v SearchMigratedDefaultName /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v SearchMigratedDefaultURL /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset CMD: dir /a "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji" CMD: dir /a C:\WINDOWS\$NtUninstallKB34492$ EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 4. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + Farbar Service Scanner. Dołącz też plik fixlog.txt. 3.Próba uruchomienia GMER powoduje BSOD: 0x00000019(0x00000020,0x898D0000,0x898D0828,0x1B050000) Zamiennie sprawdź czy ponownie uruchomiony TDSSKiller widzi coś. Odnośnik do komentarza
yarekya Opublikowano 7 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 Tym razem FRST zakończył pracę bez problemu. TDSSKiller niczego nie wykrył. Załączam logi. Fixlog.txt FRST.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2015 Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Wszystko sprawnie poszło. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: Folder: C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\LocalLow RemoveDirectory: C:\Documents and Settings\Jarek\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\cache RemoveDirectory: C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Opera Software RemoveDirectory: C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\TDSSKiller_Quarantine RemoveDirectory: C:\WINDOWS\$NtUninstallKB34492$ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Rekonstrukcja skasowanych przez ZeroAccess usług. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000042e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Uruchom plik przez dwuklik, potwierdź import do rejestru i zresetuj system. Zrób nowy log z Farbar Service Scanner. Odnośnik do komentarza
yarekya Opublikowano 8 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Wszystko wykonane Załączam logi. Fixlog.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2015 Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Wszystko zrobione. Idziemy dalej: 1. Usuń pobrany FRST i inne narzędzia. Zastosuj DelFix. 2. Uruchom Malwarebytes Anti-Malware (przy instalacji odznacz opcję trial). Wykonaj pełny skan. Jeśli program coś znajdzie, dostarcz raport wynikowy. Odnośnik do komentarza
yarekya Opublikowano 8 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 1.Zrobione 2.Malwarebytes Anti-Malware wykrył 21 obiektów. mbam-log-2015-01-08 (23-48-57).txt Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2015 Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Program znalazł różne odpadki infekcji. Czy usunąłeś wszystko za pomocą programu? Odnośnik do komentarza
yarekya Opublikowano 8 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Tak, wszystko usunięte. Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2015 Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Kończymy: 1. Dla bezpieczeństwa pozmieniaj hasła logowania w serwisach (bank / poczta / serwisy społecznościowe etc.). 2. Wykonaj pełną aktualizację systemu, bo status SP2 po prostu nie może zostać: KLIK. 3. Zainstaluj dowolnie wybranego nowoczesnego antywirusa (byle nie crackowany). Dodatkowo proponuję zaopatrzyć się w: - Malwarebytes Anti-Exploit (dostępna wersja free): w wersji darmowej ochrona przeglądarek oraz Java przed eksploitami / atakami - SandBoxie (po 30-dniach nagscreen, ale z programu nadal można korzystać): wirtualne środowisko, piaskownica. Wymagany XP SP3. Odnośnik do komentarza
yarekya Opublikowano 9 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2015 Pozostaje jeszcze kwestia tego, dlaczego uruchamianie GMER powoduje BSODa. Odnośnik do komentarza
picasso Opublikowano 9 Stycznia 2015 Zgłoś Udostępnij Opublikowano 9 Stycznia 2015 Nie wiem. Ale jest tu sporo różnych archaicznych sterowników od programów trzecich, a GMER jest bardzo "czuły" na środowisko. Nie jest też wykluczone, że system po aktualizacji do SP3 + reszta z Windows Update (wymiana wszystkich plików Windows) będzie się zachowywał inaczej. Odnośnik do komentarza
yarekya Opublikowano 9 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2015 Bardzo dziękuję za kompetentną i bezinteresowną pomoc. Wszystkiego najlepszego w nowym roku. Odnośnik do komentarza
Rekomendowane odpowiedzi