Caspa Opublikowano 23 Września 2015 Zgłoś Udostępnij Opublikowano 23 Września 2015 Hej jestem nowy na forum i potrzebuję pomocy. Najprawdopodobniej mam trojana zeroaccess, proszę o pomoc w usunięciu go. system: win 10, 64 bit Nie podałem log'ów frst i gmer bo w innych tematach o zeroaccess nie widziałem żeby były potrzebne, jakby co to mogę je podać. Odnośnik do komentarza
Nevan Opublikowano 23 Września 2015 Zgłoś Udostępnij Opublikowano 23 Września 2015 Dlaczego sądzisz, że to akurat ZeroAccess? Jakieś ostrzeżenia od antywirusów? Jeżeli tak, to podaj gdzie znajdują infekcje. Mimo wszystko podaj potrzebne logi. Każdą sprawę rozpatruje się indywidualnie, tym bardziej, że nie ma pewności, że to ZeroAccess. Odnośnik do komentarza
Caspa Opublikowano 23 Września 2015 Autor Zgłoś Udostępnij Opublikowano 23 Września 2015 FRST: http://wklej.org/id/1802710/ http://wklej.org/id/1802711/ http://wklej.org/id/1802712/ GMER: http://wklej.org/id/1802694/ Myślę, że to zeroaccess bo ikony na pulpicie zmieniają miejsce (autorozmieszczanie wyłączone), eset wykrył 3 pliki z trojanami podczas skanowania, wszystkie usunąłem a problem został. Podczas pisania tego postu miałem BSOD'a więc to chyba kolejny powód. Z tego co wiem zeroaccess jest trudny do znalezienia i usunięcia więc eset chyba sobie nie poradził. Nie znam się na takich rzeczach więc jeśli coś jest źle zeskanowane albo czegoś nie ma to napisz. Odnośnik do komentarza
Caspa Opublikowano 25 Września 2015 Autor Zgłoś Udostępnij Opublikowano 25 Września 2015 To pomożesz czy iść na inne forum? Odnośnik do komentarza
picasso Opublikowano 25 Września 2015 Zgłoś Udostępnij Opublikowano 25 Września 2015 Caspa Myślę, że to zeroaccess bo ikony na pulpicie zmieniają miejsce (autorozmieszczanie wyłączone), eset wykrył 3 pliki z trojanami podczas skanowania, wszystkie usunąłem a problem został. Podczas pisania tego postu miałem BSOD'a więc to chyba kolejny powód. Z tego co wiem zeroaccess jest trudny do znalezienia i usunięcia więc eset chyba sobie nie poradził. Temat zostaje przeniesiony do działu Windows 10. W raportach brak jakichkolwiek śladów infekcji, która mogłaby mieć z tym związek i szczerze powątpiewam, by problem był pochodną infekcji. Te objawy mogą być wynikiem różnych problemów, w tym zupełnie nie związanych z infekcją. Ważna sprawa, nie podałeś raportu z ESET co usuwał i skąd, a wytyczne działu wyraźnie wskazują by owe materiały dostarczyć. ZeroAccess to stara infekcja (nieaktywny botnet), która od jakiegoś czasu nie występuje, a określone warianty tej infekcji nawet nie mogą się zainstalować w Windows 10 ze względu na zmiany techniczne w tej platformie. W Twoim systemie nie występuje żadna z wersji ZeroAccess, wliczając wariant który powoduje opisywany problem - dowodem są logi z FRST (program specjalizowany w detekcji wszystkich znanych wariantów ZeroAccess). BSOD także nie może być z winy nieistniejącego ZeroAccess. Natomiast tu jest podejrzenie, że przyczyną usterki z ikonami Pulpitu może być ... ESET - błędna detekcja i edycja określonego klucza w rejestrze. Nie jest też pewne co dodatkowo robiłeś (widać pobrany SystemLook), czy się dodatkowo nie pogrążyłeś próbując "naprawiać" coś ręcznie i stosując wpisy rejestru niepasujące do Windows 10. Krok pierwszy to będzie pobranie określonych danych z rejestru w trybie "tylko do odczytu" - załączam pobór tych danych w skrypcie FRST podanym niżej. Druga sprawa: Twój system Windows 10 był instalowany techniką aktualizacji Windows 7, w konsekwencji w systemie pozostały śmieci po poprzednim systemie, głównie w Harmonogramie zadań. Jest to sprawa podrzędna, lecz dodatkowo będę sprzątać system z tych śmieci. Zwracam też uwagę, że aktualizacja Windows 10 wyłączyła Przywracanie systemu, miej tego świadomość. Do przeprowadzenia następujące operacje: 1. Otwórz Notatnik i wklej w nim: Task: {00CBB0B7-B00C-491C-AF49-52BA7CDD0174} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {1636749C-5D41-4834-A113-2F904EEB7337} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {1765BCFC-C7EB-4485-AF1E-6803AFD455C1} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {1DF2729B-6D6D-4CDC-B021-060005C89BA8} - System32\Tasks\{EDB1BC50-C530-46F4-BCDE-766C7AC5361D} => pcalua.exe -a D:\utorrnet\Dishonored\setup.exe -d D:\utorrnet\Dishonored Task: {2086D245-674E-4D61-8BA1-480EC16D7713} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {255B38F8-CDBA-4A24-96F8-A41A268964BE} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {27C5F0C2-3C94-45C7-B3E8-A23A643EF653} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {2AA35FC8-CBDF-43BB-A9DA-FBABE3A6750F} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {4A3FF6E4-EAC1-4E99-AB4B-8771DC30BDD2} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {57B6C199-1BA7-4466-A392-483D0B3397D2} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {5B2E3D90-9843-4C23-BBE8-AEFFBD324D59} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {604148F3-76BB-427B-AA8C-31E0A07704EA} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {622BA747-0B24-42BA-A7DA-9D4DD2C04F59} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {630803A1-E321-448B-94B7-A220C563D041} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {63E61DCB-731F-4FA9-8331-EA99CC49B982} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {6D3C31D6-8199-4FA8-9EE9-281A0C859654} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {6F56CCDC-70E7-497C-8A02-F1DA80F7ABF2} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {7153B9E4-FB56-4CC3-AD08-1657B1E7A974} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {7748C444-9625-45B9-A849-F03DE5030D54} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {7ADF769F-8706-4C99-9F34-A0C97696CABA} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {8DB910B8-204F-47E7-863F-15E6907A8710} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {A8427BEA-1214-4C4F-9ACF-4CCB48BBB2A0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {A8E2669D-1DBD-444C-857E-230A4FC0C3A8} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {B1CB71DC-3F75-4A86-8DEF-81E8EE9DF5CD} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {BA91FB0B-8031-42EF-B001-004AF0B87A20} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {D0A4CCE7-5D56-4645-99C2-E6F80C67FE58} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {D1695A40-1AA8-4471-8E42-9AEA8A0B2702} - System32\Tasks\{DC37BBA6-2B1B-4AB3-989B-ECCAA1B9B4AA} => pcalua.exe -a "D:\The Sims 2\EAUninstall.exe" Task: {D52A02A2-4F51-4E88-8B99-EB1AD47C5CCF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {DADC4D21-9F67-4BA9-8887-068A50F18246} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {DC23FDA8-ED61-476C-A755-5B039E328D63} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {E44EFBDE-75D0-45B3-89CB-BB71B566886B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {EF5262B9-983E-4871-95B2-0FC235EFD683} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {F130609F-7B1E-4028-82CD-EACD2B96D906} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {F3705329-0CE2-41D4-AA52-ED5BD64887BD} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {F6781F84-A3D6-4B1F-84D1-D586BAA5C43B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku U3 fxtoipow; C:\Users\konto\AppData\Local\Temp\fxtoipow.sys [56496 2015-09-23] (GMER) [brak podpisu cyfrowego] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath HKU\S-1-5-21-835746795-2319851380-3316763563-1000\...\Run: [Clownfish] => [X] FF Plugin: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelogx64.dll [brak pliku] FF Plugin: @esn/npbattlelog,version=2.7.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.7.0\npbattlelogx64.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelog.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.7.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.7.0\npbattlelog.dll [brak pliku] DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center C:\Windows\System32\Tasks\Microsoft\Windows\Media Center Reg: reg query HKCU\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s Reg: reg query HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Drobny odpadek adware w Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres feed.helperbar.com 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz przeklej raport ESET pokazujący co on usuwał. Odnośnik do komentarza
Caspa Opublikowano 25 Września 2015 Autor Zgłoś Udostępnij Opublikowano 25 Września 2015 raport ESET: http://wklej.org/id/1804006/przerwałem skanowanie bo musiałem robić je drugi raz i wiedziałem już, że więcej plików z do usunięcia nie będzie. fixlog: http://wklej.org/id/1804008/ FRST: http://wklej.org/id/1804009/ addition: http://wklej.org/id/1804010/ System look'a używałem bo widziałem podobny temat na innym forum i próbowałem zrobić to co tam ale kiedy zobaczyłem, że skrypty są dla każdego inne to przestałem. Skończyło się tylko na skanie system look'iem. Odnośnik do komentarza
picasso Opublikowano 25 Września 2015 Zgłoś Udostępnij Opublikowano 25 Września 2015 Fix FRST pomyślnie przetworzony. Problem z ikonami Pulpitu jest też już jasny - tworzą go błędne ścieżki w kluczach InProcServer32: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32 (Default) REG_EXPAND_SZ %SystemRoot%\system32\shell32.dll ThreadingModel REG_SZ Apartment HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32 (Default) REG_EXPAND_SZ %SystemRoot%\SysWow64\shell32.dll ThreadingModel REG_SZ Apartment W Windows 10 jest kierunek na plik windows.storage.dll. Kierunek na shell32.dll występuje w Windows 7 i starszych systemach. To nie jest infekcja, błąd musiał utworzyć program zewnętrzny. Mówiłeś, że ESET coś wykrywał - te wykryte rzeczy to błahe sprawy, które nie miały wpływu na system. Wbrew moim podejrzeniom w raporcie ESET nie było więc nic powiązanego, ale poszukałam informacji na oficjalnym forum ESET. To jest wina ESET, dowolna detekcja odpala tę usterkę: KLIK. To oznacza, że gdy naprawię problem, on się ponownie pojawi, gdyż skorzystasz z ESET. Naprawa: 1. Pobierz SetACL (na spodzie strony klik w "Administrators: Download the EXE version of SetACL 3.0.6 for 32-bit and 64-bit Windows"). Rozpakuj pobraną paczkę i z folderu x64 przekopiuj plik SetACL.exe do katalogu C:\Windows. 2. Otwórz Notatnik i wklej w nim: CMD: SetACL -on "HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn setowner -ownr "n:Administratorzy" CMD: SetACL -on "HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn ace -ace "n:Administratorzy;p:full" CMD: SetACL -on "HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn setowner -ownr "n:Administratorzy" CMD: SetACL -on "HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn ace -ace "n:Administratorzy;p:full" Reg: reg add HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%SystemRoot^%\system32\windows.storage.dll /f Reg: reg add HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%SystemRoot^%\SysWow64\windows.storage.dll /f CMD: SetACL -on "HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn ace -ace "n:Administratorzy;p:read" -actn setowner -ownr "n:SYSTEM" CMD: SetACL -on "HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn ace -ace "n:Administratorzy;p:read" -actn setowner -ownr "n:SYSTEM" Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nastąpi restart systemu. Powstanie kolejny plik fixlog.txt. Przedstaw go. 3. Jeśli punkt 2 poprawnie się wykona, po restarcie problem z ikonami powinien ustąpić. Ale Twój ESET znów to zepsuje, gdy nastąpi jakaś detekcja. Z tego co rozumiem z wątku na forum ESET, trzeba zaktualizować moduł "Cleaner" w ESET. Odnośnik do komentarza
Caspa Opublikowano 26 Września 2015 Autor Zgłoś Udostępnij Opublikowano 26 Września 2015 fixlog: http://wklej.org/id/1804146/ Dziękuję za pomoc, problem zniknął. Odnośnik do komentarza
picasso Opublikowano 26 Września 2015 Zgłoś Udostępnij Opublikowano 26 Września 2015 Zadanie pomyślnie wykonane. Przypominam o aktualizacji modułu ESET, by zapobiec pojawieniu się usterki ponownie. Usuń plik C:\Windows\SetACL.exe oraz pobrany GMER. Następnie zastosuj DelFix. Odnośnik do komentarza
slina223 Opublikowano 29 Września 2015 Zgłoś Udostępnij Opublikowano 29 Września 2015 Mowiąc o aktualizacji modułu, miałeś na myśli zwykłą aktualizacje? Odnośnik do komentarza
wojtuq Opublikowano 24 Października 2015 Zgłoś Udostępnij Opublikowano 24 Października 2015 Ja miałem dokładnie ten sam problem, nagle się pojawił i nagle znikł. Nie pamiętam czy było to przed czy po usunięciu foderu old windows, bo robiłem przesiadkę z win7. Odnośnik do komentarza
picasso Opublikowano 27 Października 2015 Zgłoś Udostępnij Opublikowano 27 Października 2015 wojtuq, folder Windows.old nie ma nic do rzeczy. Jeśli miałeś ESET (piję do tego tematu), to prawdopodobnie ta samoistna naprawa nastąpiła przy udziale ESET per se. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się