piotr91 Opublikowano 18 Lipca 2011 Zgłoś Udostępnij Opublikowano 18 Lipca 2011 Witam mój problem pojawił się już tutaj na forum. Nie mogę włączyć centrum zabezpieczeń oraz Windows Defendera. Spybot znalazł mi takie coś " Microsoft.WindowsSecurityCenter_disabled: [sBI $2E20C9A9] Ustawienia (Zmiany w rejestrze, nothing done) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start " ale pomimo naprawienia nadal ten plik jest wykrywalny. Mój system to Windows 7 32bity. Dodaję logi z OTL proszę o pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Lipca 2011 Zgłoś Udostępnij Opublikowano 18 Lipca 2011 Stosowałeś jakiś skrypt do OTL, proszę mi pokazać skąd go brałeś i czy sobie krzywdy nie zrobiłeś. Jeśli brałeś z cudzych postów = takich rzeczy nie wolno robić, skrypty są unikatowe dla danego systemu. Ta infekcja stosuje losowe nazwy plików i u każdego jest zupełnie inny zestaw plików. U Ciebie jest to: [2011-07-15 18:40:48 | 000,064,000 | RHS- | M] () -- C:\Windows\System32\logmanf.dll Aczkolwiek brak tu do pary pliku zadania harmonogramu *.job, co sugeruje, że któraś akcja go usunęła. Spybot znalazł mi takie coś " Microsoft.WindowsSecurityCenter_disabled: [sBI $2E20C9A9] Ustawienia (Zmiany w rejestrze, nothing done) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start " ale pomimo naprawienia nadal ten plik jest wykrywalny. Spybot sobie z tym nie poradzi, bo wykrywa tylko wyłączoną usługę Centrum (podany tu wynik to po prostu klucz usługi w rejestrze) a nie komponenty infekcji, które to zrobiły i zapobiegają rekonfiguracji. Ponadto, Spybot to zdezelowany przestarzały program, słaba kompatybilność z Windows 7 i polecam deinstalację. Masz już MBAM na dysku, to jest odpowiedni program, jeśli mowa o tym rodzaju aplikacji. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\System32\logmanf.dll C:\Users\Piotrek\AppData\Local\Temp*.html :OTL O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Value error.) :Commands [emptyflash] [emptytemp] Rozpocznij przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Włącz komponenty wyłączone przez malware: Centrum zabezpieczeń: Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście dwuklik w Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie) + usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". Windows Defender: Aktywacji nie podaję z prostej przyczyny, rzecz "szkodliwa" w widzianym tu układzie oprogramowania zabezpieczającego. Przy zainstalowanym F-Secure Internet Security 2011 to może obniżyć wydajność. Programy typu Windows Defender i Spybot wychodzą też z użytku. 3. Deinstalacje adware pasków: Przejdź do Panelu sterowania do modułu deinstalacji programów i usuń AyuWage Toolbar, Conduit Engine, uTorrentBar Toolbar. Otwórz menedżer rozszerzeń Firefox i usuń LogiTool Community Toolbar, uTorrentBar Community Toolbar, Conduit Engine. 4. Wygeneruj nowy log z OTL opcją Skanuj do oceny, przy czym nie muszę już niektórych rzeczy oglądać po raz drugi, tzn. zaznacz opcję Pomiń pliki Microsoftu. Dołącz także log z wynikami usuwania uzyskany w punkcie 1 oraz log trybu skanu z AD-Remover. . Odnośnik do komentarza
piotr91 Opublikowano 18 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 18 Lipca 2011 Dzięki już centrum zabezpieczeń działa oto logi. Ad-Report-SCAN1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Lipca 2011 Zgłoś Udostępnij Opublikowano 18 Lipca 2011 Nie pokazałeś skryptu, którym się posługiwałeś przed poproszeniem o pomoc. Prosiłam też o log z wynikami usuwania, a nie został podany. Czyszczenie odpadków po odinstalowanych paskach: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultthis.engineName: "LogiTool Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2771935&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "LogiTool Customized Web Search" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2771935&q=" :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}"=- "{ee4c73ff-7a1b-4330-acec-45e409118cc1}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}"=- "{EE4C73FF-7A1B-4330-ACEC-45E409118CC1}"=- [-HKEY_CURRENT_USER\Software\AppDataLow\Software\PriceGong] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{541BD924-F1C1-43B9-8C08-902E71865B00}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2589491] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2786678] [-HKEY_LOCAL_MACHINE\Software\Conduit] :Files C:\Users\Piotrek\AppData\Roaming\mozilla\Firefox\Profiles\0rlp8b07.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} C:\Users\Piotrek\AppData\Roaming\mozilla\Firefox\Profiles\0rlp8b07.default\extensions\{481f306a-420c-4673-be90-543b7d62a78e} C:\Users\Piotrek\AppData\Roaming\Mozilla\FireFox\Profiles\0rlp8b07.default\searchplugins\conduit.xml C:\Users\Piotrek\AppData\Local\Conduit C:\Users\Piotrek\AppData\LocalLow\Conduit C:\Users\Piotrek\AppData\LocalLow\PriceGong C:\Program Files\Conduit Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Do oceny wystarczy mi tylko log z wynikami usuwania OTL (a nie log z opcji Skanuj). . Odnośnik do komentarza
piotr91 Opublikowano 18 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 18 Lipca 2011 Skryptu przed poproszeniem o pomoc nie podam, ponieważ wziąłem go z innego forum ale w miedzy czasie użyłem ccleanera i straciłem cała historie przeglądania i nie mogę znaleźć. Log usunięte to jest ten zaległy a 071 to log po usunięciu toolbarów i użyciu twojego 2 skryptu. 071.txt usuniete.txt Odnośnik do komentarza
picasso Opublikowano 18 Lipca 2011 Zgłoś Udostępnij Opublikowano 18 Lipca 2011 (edytowane) Zadanie wykonane. Skryptu przed poproszeniem o pomoc nie podam, ponieważ wziąłem go z innego forum ale w miedzy czasie użyłem ccleanera i straciłem cała historie przeglądania i nie mogę znaleźć. Raport powinieś mieć na dysku, bo jak sądzisz, po czym poznałam, że stosowałeś skrypt? Po tym, że na dysku był katalog OTL, który powstaje tylko po używaniu skryptu a nie samym skanowaniu, i to w nim są gromadzone logi z usuwania. Skoro katalog się ostał po akcji z CCleaner, jego zawartość także powinna być nienaruszona. Ale to już zostaw. Dodatkowa sprawa: przed przejściem do finałowych kroków zapakuj do ZIP folder C:\_OTL, shostuj na jakimś serwisie hostingowym i wyślij mi w sposób niepubliczny via PW link do tej paczki. Ja plik infekcji obecny w tej kwarantannie prześlę do bazy MBAM. Po wykonaniu tego: 1. Posprzątaj po używanych narzędziach: w OTL uruchom Sprzątanie, odinstaluj AD-Remover. 2. Komentarze na temat oprogramowania: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Gadu-Gadu 10" = Gadu-Gadu 10"Google Chrome" = Google Chrome Jak mówiłam: Spybot do deinstalacji. Zbędny w widzianym tu zestawie programów zabezpieczających. Nie widzę tu dokładnie wersji Adobe Flash. Sprawdź którą posiadasz otwierając po kolei tę stronę w przeglądarkach IE, Firefox i Opera: Find Flash Player version. Najnowsza wersja to Adobe Flash Player 10.3.181.34. Jeśli coś nie jest świeże, instalacja wymaga otworzenia strony pobierania w każdej z przeglądarek z osobna (inne wersje instalatorów). Również nieznana wersja Google Chrome, upewnij się, że posiadasz najnowszą. Propozycja zamiany ciężarnego GG10: w temacie Darmowe komunikatory są opisane alternatywy (AQQ, Kadu, WTW, Miranda). Polecam zainteresowanie się WTW. . Edytowane 20 Sierpnia 2011 przez picasso 20.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi