damian1521 Opublikowano 11 Czerwca 2011 Zgłoś Udostępnij Opublikowano 11 Czerwca 2011 Jestem jedną z osób która przepuściła na swój komputer trojana blokującego dostęp do Centrum Zabezpieczeń systemy Windows. Jednym z problemów związanych z tym trojanem było uruchamiania się IE z dużą ilością reklam.Ten problem rozwiązałem jednak szybka gdyż użyłem programu Malwarebytes' Anti-Malware który znalazł 5 zagrożeń które zostały usunięte. Po zastał jednak problem z Centrum zabezpieczeń gdyż nie mogę np. przewrócić poprzedniego stanu systemu. Moja wersja systemu to Windows 7 Home Premium wersja 64 bitowa. W załącznikach dodaje logi ze skanu OTL. Jeżeli jest to możliwe to chciałbym żaby obeszło się bez reinstalacji systemu Windows Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Czerwca 2011 Zgłoś Udostępnij Opublikowano 11 Czerwca 2011 Jednym z problemów związanych z tym trojanembyło uruchamiania się IE z dużą ilością reklam.Ten problem rozwiązałem jednak szybka gdyż użyłem programu Malwarebytes' Anti-Malware który znalazł 5 zagrożeń które zostały usunięte. Nie przedstawiłeś wyników ze skanera, dla informacji co i skąd było usuwane. MBAM wcale sobie z tym reklamiarzem nie poradził, nadal na dysku nie naruszona grupa infekcji: [2011-06-10 22:26:54 | 000,000,298 | -H-- | C] () -- C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job[2011-06-10 22:26:52 | 000,000,298 | -H-- | C] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job[2011-06-10 22:26:50 | 000,000,298 | -H-- | C] () -- C:\Windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job[2011-06-10 22:26:48 | 000,166,400 | RHS- | C] () -- C:\Windows\SysWow64\WfHCC.dll[2011-06-10 22:26:48 | 000,000,314 | -HS- | C] () -- C:\Windows\tasks\Ekbpycoyhg.job Jeżeli jest to możliwe to chciałbym żaby obeszło się bez reinstalacji systemu Windows Bez przesady. To jest prosta infekcja. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job C:\Windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job C:\Windows\tasks\Ekbpycoyhg.job C:\Windows\SysWow64\WfHCC.dll C:\Users\strusiek\AppData\Roaming\Mozilla\Firefox\Profiles\i0hsl1bb.default\searchplugins\conduit.xml C:\Users\strusiek\AppData\Roaming\Mozilla\Firefox\Profiles\i0hsl1bb.default\searchplugins\daemon-search.xml sc config wscsvc start= delayed-auto /C :OTL FF - prefs.js..browser.search.defaultenginename: "Hotspot Shield Private Search" FF - prefs.js..browser.search.defaultthis.engineName: "Komputerswiat.pl Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2546306&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024 FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1 FF - prefs.js..keyword.URL: "http://search.hotspotshield.com/g/results.php?c=s&q=" O2:64bit: - BHO: (Hotspot Shield Class) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-751144528-4029779328-1725896263-1000..\Run: [AVG LiveKive] File not found O4 - HKU\S-1-5-21-751144528-4029779328-1725896263-1000..\Run: [sysResources Manager] File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany, po restarcie automatycznie otworzy się log z wynikami. 2. Przejdź do apletu deinstalacji programów i odmontuj sponsora DAEMON Tools Toolbar. 3. Wykonaj nowy log z OTL opcji Skanuj do oceny. Dostarcz też wyniki usuwania wygenerowane w punkcie 1. . Odnośnik do komentarza
damian1521 Opublikowano 11 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 11 Czerwca 2011 Dodaje w załączniku nowy log z OTL . A co będzie z blokadą dostępu do Centrum zabezpieczeń systemu Windows? Nie mogę dodać wyników z usuwania bo pokazuje mi się błąd : Błąd Nie masz uprawnień by wgrywać ten rodzaj pliku OTL.Txt Nowy dokument tekstowy.txt Odnośnik do komentarza
picasso Opublikowano 11 Czerwca 2011 Zgłoś Udostępnij Opublikowano 11 Czerwca 2011 Nie mogę dodać wyników z usuwania bo pokazuje mi się błąd : Błąd Nie masz uprawnień by wgrywać ten rodzaj pliku W Załącznikach nie można dodawać rozszerzenia *.LOG. Zmienisz na*.TXT, to się plik wstawi. Ponadto, log krótki to i do posta bezpośrednio może wejść. Dodaj go w poście wyżej, a ja tu zedytuję swoją wypowiedź. EDIT: log dodany, mój post zedytowany. A co będzie z blokadą dostępu do Centrum zabezpieczeń systemu Windows? W skrypcie OTL już przecież to uwzględniłam . Infekcja wyłącza usługę Centrum, a ja ją włączyłam ponownie (komenda sc config wscsvc start= delayed-auto /C). Komenda wykonana, pliki malware i pozostałe zapisy też pomyślnie skasowane, a na dodatek przeczyszczona ogłuszająca liczba plików tymczasowych (~12GB): Total Files Cleaned = 12Â 803,00 mb Statystyki partycji systemowej przed i po czyszczeniu: Drive C: | 232,73 Gb Total Space | 93,93 Gb Free Space | 40,36% Space Free | Partition Type: NTFS vs. Drive C: | 232,73 Gb Total Space | 106,64 Gb Free Space | 45,82% Space Free | Partition Type: NTFS Końcowe zadania do wykonania: 1. Pozostały drobne szczątki po deinstalacji paska narzędziowego. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O3:64bit: - HKU\S-1-5-21-751144528-4029779328-1725896263-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found Klik w Wykonaj skrypt. Tym razem pójdzie szybko i bez restartu. 2. W OTL wywołaj funkcję Sprzątanie, co usunie kwarantannę OTL z trojanami i sam program z dysku. Funkcja wymaga restartu. 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 5. Aktualizacje software: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 24"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish"Gadu-Gadu 10" = Gadu-Gadu 10 - Do aktualizacji 32-bitowa wersja Java i wymiana Adobe Reader najnowszym: INSTRUKCJE. - Rozważ też wymianę ciężkiego mało optymalnego GG10 programem alternatywnym z obsługą Gadu. Opisy są w moim temacie Darmowe komunikatory. Propozycja doskonale dopasowana do systemu 64-bit (natywna wersja) to WTW. . Odnośnik do komentarza
damian1521 Opublikowano 11 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 11 Czerwca 2011 Niestety dalej nie mam dostępu do Centrum Odnośnik do komentarza
picasso Opublikowano 11 Czerwca 2011 Zgłoś Udostępnij Opublikowano 11 Czerwca 2011 Post wyżej zedytowany. Instrukcje końcowe załączone. Niestety dalej nie mam dostępu do Centrum To jest niemożliwe. Dodałeś log i widać, że komenda poszła sprawnie (SUKCES): [sC] ChangeServiceConfig SUKCES Usługa Centrum została prawidłowo skonfigurowana na start "Automatycznie (opóźnione uruchomienie)", był restart wymuszony skryptem OTL, czyli usługa powinna zastartować zgodnie z planem. Wielokrotnie już usuwałam tu na forum infekcję, którą masz, i po powyższej operacji wszystko grało. Proszę zresetować system ponownie i dopiero wtedy sprawdzić wyniki. . Odnośnik do komentarza
damian1521 Opublikowano 11 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 11 Czerwca 2011 Wykonałem restart systemu i niestety dalej nie mam dostępu Dodam jeszcze zrzuty ekrany może to coś pomoze w moim przypadku Odnośnik do komentarza
picasso Opublikowano 11 Czerwca 2011 Zgłoś Udostępnij Opublikowano 11 Czerwca 2011 O ile infekcja nie wróciła (nie mam podstaw tak sądzić po ostatnim logu z OTL), i jest tu niezrozumiały wynik po użyciu komendy rekonfiguracji usługi (wykonane pomyślnie = Centrum powinno działać), skorzystaj po prostu z banalnych ustawień usług w wizualnej przystawce: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście wyszukaj: Usługę Centrum zabezpieczeń, z dwukliku przejdź do właściwości i Typ uruchomienia ma być ustawiony na Automatycznie (opóźnione uruchomienie), następnie usługę zastartuj przyciskiem. Usługę Microsoft Security Essentials Microsoft Antimalware Service, Typ uruchomienia przestaw na Automatyczny, usługę zastartuj. . Odnośnik do komentarza
damian1521 Opublikowano 11 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 11 Czerwca 2011 Ok tamte problemy są rozwiązane Wielkie dzięki Podam Ci teraz link to obrazka z którego wynika że nie mogę w przyszłości przywrócić systemu do poprzedniego stanu : Odnośnik do komentarza
picasso Opublikowano 11 Czerwca 2011 Zgłoś Udostępnij Opublikowano 11 Czerwca 2011 Podam Ci teraz link to obrazka z którego wynika że nie mogę w przyszłości przywrócić systemu do poprzedniego stanu Ale na obrazku widać, że masz wyłączoną Ochronę systemu i po prostu należy ją włączyć. Podawałam instrukcje jak czyścić foldery Przywracania systemu, więc wróć do tamtej instrukcji (gdyż to właśnie w tych opcjach jest i konfig Ochrony), wybierz dysk systemowy i na tym ekranie zaznacz pierwszą opcję "Przywróć ustawienia systemu oraz poprzednie wersje plików": Odnośnik do komentarza
damian1521 Opublikowano 11 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 11 Czerwca 2011 Wszystko już mi działa Wielkie dzięki za pomoc. Temat można zamknąć Odnośnik do komentarza
Rekomendowane odpowiedzi