Egrom Opublikowano 12 Marca 2017 Zgłoś Udostępnij Opublikowano 12 Marca 2017 Witam. Mam identyczny problem jak w tym poście: https://www.fixitpc.pl/topic/31727-problem-kompozycjeaero-windows-7/ czyli po usunięciu starych programów oraz przeskanowaniu i usunięciu uszkodzonych/zainfektowanych plików wyłączyłem komputer, a po ponownym uruchomieniu nie działają mi kompozycje Areo. Próbując je włączyć w usługach wyskakuje mi błąd 1075. Jeśli ktoś wie jak to naprawić to byłbym bardzo wdzięczny za wszelką pomoc. P.s. W załaczniku zamieszam wyniki skanu FRST. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 12 Marca 2017 Zgłoś Udostępnij Opublikowano 12 Marca 2017 Ogromny bałagan w systemie, ale nie przejdę do instrukcji dopóki nie dostarczysz trzeciego obowiązkowego raportu Shortcut generowanego przez FRST. Odnośnik do komentarza
Egrom Opublikowano 12 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 12 Marca 2017 Dodałem Shortcut w pierwszym poście, aby wszystkie pliki z tego programu były w jednym miejscu. Odnośnik do komentarza
Miszel03 Opublikowano 12 Marca 2017 Zgłoś Udostępnij Opublikowano 12 Marca 2017 Jak wspominałem kolosalnie zainfekowany system. W cale nie korzystasz z przeglądarki Google Chrome, ani Mozilla FireFox tylko z ich zarażonych podszywek. Nie widzę charakterystycznej modyfikacji dla usługi Themes przy infekcji wariantem Elex, czyli DependOnService. Zakładam, że doszło do uszkodzenia całkowitego podczas usuwania infekcji przez jakiś skaner, dlatego wdrążam rekonstrukcję całej usługi. Do poczytania: KLIK. 1. Przez panel sterowania odinstaluj: amulesw WinSnare 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\...\ChromeHTML: -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Birdjob Task: {0B283F53-5B5B-48DD-AC4F-EE0B6A98BFD9} - \BirdeyeUpdateTaskMachineCore -> Brak pliku Task: {204CFA13-C70B-4D8F-AE21-631183502246} - \SetmikeUpdateTaskMachineCore -> Brak pliku Task: {491F7546-0A02-4D35-B64A-A226BF6E2BDD} - \Shacuentrudack Engine -> Brak pliku Task: {4EBB7685-1291-48CD-A6E1-526DCADC409C} - \SetmikeUpdateTaskMachineUA -> Brak pliku Task: {910A16B5-5E8F-440F-89C4-DE13E80208EC} - \BirdeyeUpdateTaskMachineUA -> Brak pliku FirewallRules: [{65AB3DE9-0ED6-4F04-ABB2-9023AA9759E7}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{57504F8C-AEE0-480B-BCEE-949E261ADED6}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe FirewallRules: [TCP Query User{0F357D1B-EA68-444C-90C1-69BC1B31C440}C:\program files (x86)\willjob\application\chrome.exe] => (Allow) C:\program files (x86)\willjob\application\chrome.exe FirewallRules: [uDP Query User{1DD54C44-6EB1-4512-BC09-13B4677AF56A}\application\chrome.exe] => (Allow) C:\program files (x86)\willjob\application\chrome.exe RemoveDirectory: C:\program files (x86)\willjob FirewallRules: [{96328BA8-1A54-4A4A-BD03-BAA6BB3A81EC}] => (Allow) C:\Program Files (x86)\Birdjob\Application\chrome.exe HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [iDM Shell Extension] -> {CDC95B92-E27C-4745-A8C5-64A52A78855D} => -> Brak pliku GroupPolicy: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX&q={searchTerms} HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX&q={searchTerms} HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX HKU\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1485091696&z=fc13f7839aaffdbe807290cgazdb6w7eat1g5q3t4w&from=archer1028&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX&q={searchTerms} SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.startpageing123.com/?type=sc&ts=1489151978&z=42f456a869870fd216dd6a1gfz5b5tcgbwfg1tcmfq&from=ggg0302&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 gkernel; \??\C:\Users\admin\AppData\Local\Temp\gkernel.sys [X] S3 NAVENG; \??\D:\Norton AntiVirus\NortonData\22.7.1.32\Definitions\SDSDefs\20170310.008\ENG64.SYS [X] S3 NAVEX15; \??\D:\Norton AntiVirus\NortonData\22.7.1.32\Definitions\SDSDefs\20170310.008\EX64.SYS [X] S1 p1481293846am; \??\C:\Users\admin\AppData\Local\Temp\bk83DF.tmp\p1481293846am.sys [X] R2 WinSnare; Brak ImagePath StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Themes] "Start"=dword:00000002 "DisplayName"="@%SystemRoot%\\System32\\themeservice.dll,-8192" "ErrorControl"=dword:00000001 "Group"="ProfSvc_Group" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\themeservice.dll,-8193" "ObjectName"="LocalSystem" "RequiredPrivileges"=hex(7):53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,\ 00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\ 00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,00,74,\ 00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Themes\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceMain"="ThemeServiceMain" "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 74,00,68,00,65,00,6d,00,65,00,73,00,65,00,72,00,76,00,69,00,63,00,65,00,2e,\ 00,64,00,6c,00,6c,00,00,00 EndRegedit: RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Profil w przeglądarce Google Chrome jest prefabrykowany przez adware i zarażony, a w przeglądarce Mozilla FireFox też wygląda podejrzanie. Obie przeglądarki wymagają kompleksowej zmiany profili. ------> Google Chrome. Otwórz przeglądarkę Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj osobę, zaloguj się na nią, poprzednie okno sesji zamknij > wejdź ponownie w Osoby i skasuj wszystkie poprzednie profile / osoby. ------> Mozilla FireFox. Otwórz przeglądarkę Mozilla Firefox, następnie kliknij klawisz z flagą Windows + R > wklej komendę C:\Program files (x86)\Mozilla Firefox\firefox.exe -p lub C:\Program Files\Mozilla Firefox\firefox.exe -p > załóż nowy profil, wszystkie poprzednie skasuj, Ustaw jakąś przeglądarkę jako domyślną w celu cofnięcia modyfikacji infekcji. Skromnie sugeruje, by wybrać Google Chrome. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). birdjob;willjob Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Egrom Opublikowano 12 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 12 Marca 2017 Załączam wszystkie niezbędne pliki w załączniku. Co do przeglądarki to ustawiłem chroma jako domyślną a firefoxa całkowicie usunąłem. Natomiast jeśli chodzi o kompozycje Aero to znowu jestem w stanie z nich korzystać, ale skoro nadal znajduje się wiele błędów w systemie to prosiłbym o dalszą pomoc z ich rozwiązaniem. Fixlog.txt SearchReg.txt AdwCleanerS0.txt FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 12 Marca 2017 Zgłoś Udostępnij Opublikowano 12 Marca 2017 Natomiast jeśli chodzi o kompozycje Aero to znowu jestem w stanie z nich korzystać, ale skoro nadal znajduje się wiele błędów w systemie to prosiłbym o dalszą pomoc z ich rozwiązaniem. Załączam wszystkie niezbędne pliki w załączniku. Co do przeglądarki to ustawiłem chroma jako domyślną a firefoxa całkowicie usunąłem. Ad. 1 To oznacza, że jakiś skaner źle to próbuje usuwać (kasacji całej usługi, a nie tylko ustawienia DependOnSerivce). Ad. 2 OK. Jest coraz lepiej, jedziemy dalej. 1. Wszystkie zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Birdjobsc DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Birdjob DeleteKey: HKEY_USERS\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Birdjob DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Willjob DeleteKey: HKEY_USERS\S-1-5-21-3302463646-3433223202-2161670610-1000\Software\Willjob S3 gkernel; \??\C:\Users\admin\AppData\Local\Temp\gkernel.sys [X] S3 NAVENG; \??\D:\Norton AntiVirus\NortonData\22.7.1.32\Definitions\SDSDefs\20170310.008\ENG64.SYS [X] S3 NAVEX15; \??\D:\Norton AntiVirus\NortonData\22.7.1.32\Definitions\SDSDefs\20170310.008\EX64.SYS [X] AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [152] C:\Users\admin\AppData\Local\Google\Chrome\User Data\zedckzukickplupuy StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.startpageing123.com/?type=sc&ts=1489151978&z=42f456a869870fd216dd6a1gfz5b5tcgbwfg1tcmfq&from=ggg0302&uid=TOSHIBAXDT01ACA100_Z2MS7UXPSXXZ2MS7UXPSX DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\admin\AppData\Local\Mozilla C:\Users\admin\AppData\Roaming\Mozilla C:\Users\admin\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą narzędzia Malwarebytes AntiMalware (masz na dysku, więc tylko robisz aktualizacje sygnatur wirusów / programu). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Egrom Opublikowano 13 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2017 Program Malwarebytes wykrył u mnie około 13000 niezgodności. Wydaje mi się, że wrzucanie całego dokumentu tekstowego jest pozbawione sensu, dlatego załączam screen na którym znajdują się pliki zaznaczone wg programu "do usunięcia" Fixlog.txt FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 14 Marca 2017 Zgłoś Udostępnij Opublikowano 14 Marca 2017 Przecież prosiłem o aktualizacje MBAM. Masz wersje 1, a już jest 3. Wstawienia pliku tekstowego ma sens, bo muszę sklasyfikować wszystkie wyniki. Odnośnik do komentarza
Egrom Opublikowano 14 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 14 Marca 2017 Nie zwróciłem uwagi, że opcja "aktualizuj" aktualizuje jedynie bazę wirusów, a nie sam program. Jako, że plik .txt (oczywiście z nowej wersji MBAM) jest za duży aby dodać go do załącznika, daję link do pobrania go z zewnętrznego hostingu. https://megawrzuta.pl/filesgroup/15fad31aa4cb2b193b1dc72e15c0fd07.html Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się