Podejrzane aktualizacje i niedziałająca zapora

[wertumnus]

Podczas uruchomienia jeszcze na czarnym tle z okienkiem windows pokazały się jakieś komponenty dodawane do rejestru (chyba głównie do HKLM) w ramach "aktualizacji". Później BSOD i w trybie naprawy przywróciłem system do poprzedniego punktu. Jednak po uruchomieniu znów pojawiło się dodawanie wpisów do rejestru. Jeszcze raz przywróciłem system z punktu i wyłączyłem aktualizacje. Do tego błędy na dysku, które naprawiałem w trybie naprawy chkdsk /f. Po uruchomieniu windowsa Avast i zapora były wyłączone. Avast nie dawał się uruchomić więc w panelu zainstalowanych programów został naprawiony i już działa. Z zaporą podstawowe działania nie dały efektu (włączanie z usług, szczepionka MS).

 

Podejrzewam, ze infekcja mogła nastąpić w chwili pobrania plików od znajomego przez skypa chociaz ich skan avastem nic nie wykazał. To były spakowane zipem pliki modyfikujące interface gry. Nic innego nie przychodzi mi do głowy.

 

Znalazłem jeszcze w dzienniku zdarzeń ostrzeżenie o tym, ze skype coś mieszał w rejestrze więc zamieszczam tutaj opis.

Ponadto przy bezczynności proces svchost zabiera 50% + i mam wrażenie, że strony otwierają się wolno. W tym momencie nie chce sie uruchomić ani zapora ani antywirus. ewidentnie coś jest nie tak, bardzo proszę o pomoc.

 

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

OTL.Txt

Extras.Txt

Z dziennika zdarzen.txt

[wertumnus]

Czy jest szansa, że ktoś zajmie się opisanym problemem?

[jessica]

Czy jest szansa, że ktoś zajmie się opisanym problemem?

Szansa jest znikoma, bo:

https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/

 

--------------------------------------------------------------------------------------

 

MSCONFIG\Services: BFE => 2

Usługa BFE (Podstawowy aparat filtrowania) została wyłączona poprzez "msconfig", a bez tej usługi nie będzie działać Zapora.

Być może wystarczy spowrotem włączyć BFE,, a Zapora zacznie działać?

O ile BFE nie została uszkodzona.

Możesz, na wszelki wypadek, zrobić log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko). Choć nie wiem, czy dla @Picasso się przyda.

 

jessi

[wertumnus]

Dzięki jessi za zainteresowanie. Usługa nie chce się włączyć: odmowa dostępu (włączone z prawami administratora).

W logu wg mnie wszystko w porządku (zaznaczyłem wszystkie opcje skanowania). Muszę przeprowadzić kilka przelewów bankowych z internetu ale obawiam się o bezpieczeństwo bo w zasadzie od początku zdarzenia nie działa mi firewall i antywirus. Dlatego czas gra dla mnie istotna rolę.

Proszę tylko dać znać, czy jeszcze chwilę poczekać czy lepiej przeinstalować windowsa. Nie ukrywam, że druga opcja jest dla mnie mało atrakcyjna i wolałbym jej uniknąć.

FSS.txt

[jessica]

Usługa nie jest uszkodzona, ale jest wyłączona.

 

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\Services\bfe]

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.

 

Spróbuj teraz włączyć BFE.

.

[wertumnus]

Niestety nic to nie dało. Stan usługi ciągle jako zatrzymano zaś przy próbie uruchomienia odmowa dostępu.

[jessica]

Pobierz >>ESET ServicesRepair
Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.

 

jessi

[wertumnus]

Programu używałem już wcześniej ale i tym razem nic się nie zmieniło. Po restarcie ciągle usługa zatrzymana i odmowa dostępu. 

[Zappa]

Otwórz notatnik i wklej

 

Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BFE"
ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BFE

 

plik zapisz jako fixlist.txt i umieść w D:\Download\POMOC. Uruchom FRST i kliknij w Fix. Przedstaw raport fixlog.txt.

[wertumnus]

Proszę

Fixlog.txt

[Zappa]

Pobierz ten plik i zapisz go jako fix.reg. Z prawokliku na plik > Scal . restart i sprawdzasz czy usługa działa.

 

https://www.fixitpc.pl/index.php?app=core&module=attach&section=attach&attach_id=13540

[wertumnus]

BFE już działa (musiałem użyć trybu awaryjnego) ale zapora nadal nie chce się włączyć. Mimo ustawienia auto ma stan zatrzymane. Przy próbie uruchomienia pokazuje się monit:

 

System Windows nie może uruchomić usługi Zapora systemu Windows na komputerze Komputer lokalny.

Błąd 1079: Konto podane dla tej usługi różni się od konta podanego dla innych usług działających w tym samym procesie.

 

Dodam, że próbowałem naprawić usługi wcześniej już używanym Services Repair.

[Zappa]

Zapora jest wyłaczona przez Avasta. I tak ma być.

[wertumnus]

Tyle, że avasta nie mogę aktywować do ochrony. Pokazuje mi stan jako wyłączony. Mam go przeinstalować?

[Zappa]

wejdź w tryb awaryjny i zastosuj avast uninstal utility

http://www.avast.com/uninstall-utility

 

potem w trybie normalnym spróbuj zainstalować anrtywirusa

[wertumnus]

Avast juz zainstalowany. nadal nie mogę uruchomić zapory:

 

Zapora systemu Windows nie może zmienić niektórych ustawień.

Kod błędu: 0x80070437

 

Avast teraz i wcześniej zainstalowany w wersji free - czyli bez zapory. Korzystałem z systemowej. 

[Zappa]

skorzystaj z tego tutka. Pomiń krok z usługą BFE

 

https://www.fixitpc.pl/topic/6855-rekonstrukcja-zapory-systemu-windows/

[wertumnus]

Pominąłem kroki dla BFC ale mimo ręcznej rekonstrukcji uprawnień nie mogę scalić MpsSvc.reg (reszta poszła bez problemu).

oto skopiowany z cmd "sukces" dla działania SetACL:

 

C:\Windows\system32>SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\BFE" -ot
reg -actn restore -bckp C:\fix.txt
INFO: The restore action ignores the object name parameter (paths are read from
the backup file). However, other actions that require the object name may be com
bined with -restore.
Input file for restore operation opened: 'C:\fix.txt'
Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\BFE>
Writing SD to <machine\SYSTEM\CurrentControlSet\Services\BFE> failed with: Odmow
a dostępu.
Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters>
Writing SD to <machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters> failed
with: Odmowa dostępu.
Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Polic
y>
Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Polic
y\BootTime>
Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Polic
y\BootTime\Filter>
Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Polic
y\Persistent>
Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Polic
y\Persistent\Filter>
Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Polic
y\Persistent\Provider>
Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Polic
y\Persistent\SubLayer>


SetACL finished successfully.

A tu monit wyskakujący przy próbie scalenia:

 

Nie można zaimportować D:\...\MpsSvc.reg: nie wszystkie dane zostały pomyslnie zapisane w rejestrze. Niektóre klucze są otwarte przez inny system lub inne procesy.

 

Próbowałem też w trybie awaryjnym ale było to samo

 

Edit: nie zwróciłem wcześniej uwagi ale zapora działa!

czy są jeszcze jakieś kroki do zrobienia? Sfc scannow?

 

Przeprowadziłem skanowanie sfc /verifyonly - pojawił się komunikat o naruszeniach integralności. Uwaga log dość duży

http://wklej.org/id/1740710/

 

[Zappa]

Uwaga log dość duży

 

Duzy bo nie został przefiltrowany odpowiednią komendą.

 

 

Start > polecenie uruchom > cmd

 

w oknie konsoli wklej

 

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

 

 

raport podaj jako załacznik - nie wrzucaj na wklej.org

[wertumnus]

raport:

sfc.txt

[wertumnus]

Czy jest jeszcze coś do zrobienia?