Skocz do zawartości

Nie działa MS Essentials, Google przekierowuje na goingonearth


Rekomendowane odpowiedzi

Witam,

jakiś czas temu po ściągnięciu zainfekowanego patcha (skany online nic nie wykazały) przestała działać zapora systemowa a Google przekierowuje na witrynę goingonearth. Zainstalowany MS Essentials nie uruchamia się. Podjęte próby wyeliminowania infekcji nie przyniosły rezultatu. Próbowałem skanerów on-line (usunięte dwa wirusy z temp), spy-bota (Google już nie przekierowuje) i HijackThis (bez efektów). Logi z tych operacji nie zachowały się. Infekcja dalej występuje - MS Essentials w dalszym ciągu się nie uruchamia. Dodatkowo system nie chce się aktualizować. Ściągnięte aktualizacje po restarcie są wycofywane. Pojawia się też informacja o sterowniku intellipoint NUID filter driver zablokowanym z powodu niezgodności. System operacyjny: Win7, 32-bit + SP1.

 

Prosiłbym o zdiagnozowanie rodzaju infekcji i pomoc w jej wyleczeniu.

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Prócz podstawowego body infekcji jest tu także odpadek po infekcji Brontok oraz ofensywne rozszerzenie GamePlayLabs wstawione w Firefox.

 

 

Podjęte próby wyeliminowania infekcji nie przyniosły rezultatu. Próbowałem skanerów on-line (usunięte dwa wirusy z temp), spy-bota (Google już nie przekierowuje) i HijackThis (bez efektów).

 

HijackThis to nie ten zawodnik, nawet nie przedstawia wpisów infekcji, bo tego po prostu nie uwzględnia. Coś mi się nie wydaje, by Spybot podołał / cokolwiek robił, gdyż pliki tej infekcji są w stanie nienaruszonym (zawsze występują dwa). Spybot to także przestarzały program, nie polecany przeze mnie na Windows 7 (słaba kompatybilność), a tu jeszcze zbroił plik HOSTS (nieoptymalne zachowanie) i będę go resetować. Ten program do deinstalacji.

 

 

Logi z tych operacji nie zachowały się.

 

Ale widzę na dysku ten folder:

 

[2011-07-21 01:45:51 | 000,000,000 | ---D | C] -- C:\Users\Karol\Desktop\backups

To folder wytwarzany przy operacji "fiksowania" wpisów w HijackThis. Pokaż mi jego zawartość na zrzucie ekranu.

 

 

Pojawia się też informacja o sterowniku intellipoint NUID filter driver zablokowanym z powodu niezgodności.

 

Rozwiązywałam to już na forum, sterowniki należy zaktualizować: KLIK.

 

 


1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2011-07-07 14:29:09 | 000,138,240 | RHS- | C] () -- C:\Windows\System32\lsasso.dll
[2011-07-07 14:29:09 | 000,000,298 | -HS- | C] () -- C:\Windows\tasks\Ivcejidukk.job
[2011-01-16 22:49:44 | 000,012,407 | ---- | C] () -- C:\Users\Karol\AppData\Local\Bron.tok.A10.em.bin
FF - prefs.js..browser.search.defaultthis.engineName: "Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT329536&SearchSource=3&q="
FF - prefs.js..extensions.enabledItems: {7a88e876-d715-4503-a7bf-a8eba13ca3f9}:2.5.5
O4 - HKLM..\Run: []  File not found
 
:Commands
[resethosts]
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Po restarcie automatycznie powinien się otworzyć log z wynikami usuwania.

 

2. Włącz wyłączone przez malware funkcje:

 

  • Centrum zabezpieczeń: Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście dwuklik w Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie) + usługę zastartuj przyciskiem.
  • MSSE: jak wyżej, tylko chodzi o usługę o nazwie Microsoft Antimalware Service, a Typ uruchomienia ma mieć przestawiony na Automatyczny.
  • Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików".
  • Windows Defender: infekcja też go wyłącza, ale aktywacji nie podaję, bo to koliduje z działaniami MSSE (który zresztą Defendera na własną rękę ogłupia).

3. W związku z obecnością GamePlayLabs w Firefox sprawdź także czy tego aby nie ma w Google Chrome (OTL nie może przedstawiać składników tej przeglądarki ani jej konfigurować). Dla porównania temat: KLIK.

 

4. Wygeneruj nowy log z OTL z opcji Skanuj. Dołącz także log z wynikami usuwania z punktu 1.

 

 

 

 

.

Odnośnik do komentarza

Skrypt wykonany pomyślnie. Czy punkty 2+3 także? No i gdzie jest aktualny log z OTL z opcji Skanuj?

 

 

Załączyć dodatkowo pliki z C:\Users\Karol\Desktop\backups ?

 

Nie, a zawartość katalogu i tak mi nic nie mówi.

 

 

Martwi mnie troche to cofanie aktualizacji przy restarcie zakonczone kolejnym restatem...

 

Na razie jesteśmy w fazie usuwania infekcji (która może mieć wpływ na operatywność funkcji systemu). Zadania spoza dopiero, gdy zostanie ukończona sprawa główna. To dopiero wtedy będzie można oceniać co działa a co nie. Ponadto, w zakres zadań "poinfekcyjnych" wchodzi także usunięcie Spybota i aktualizacja sterowników IntelliPoint / IntelliType.

 

 

EDIT: Log dodany. Nie odpowiedziałeś na wszystkie pytania i też nie wszystko widzę wykonane co miało być zrobione przed nowym logiem OTL opcji Skanuj.

 

1. Mówiłam, by włączyć usługi, a w logu nadal usługa MSSE "Microsoft Antimalware Service" jest "Disabled":

 

SRV - [2011-04-27 15:39:26 | 000,011,736 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe -- (MsMpSvc)

2. Drobna korekta po resecie pliku HOSTS, OTL ustawił oba protokoły jako czynne:

 

O1 HOSTS File: ([2011-07-21 15:57:56 | 000,000,098 | ---- | M]) - C:\Windows\System32\drivers\etc\Hosts

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: ::1 localhost

Domyślnie w Windows 7 plik HOSTS ma skomentowane obie linie. Zastartuj Notatnik w trybie Uruchom jako Administrator, otwórz w nim plik C:\Windows\system32\drivers\etc\Hosts i dodaj przy obu liniach na początku znaczki komentarzy #:

 

#	127.0.0.1       localhost
#	::1             localhost

3. W OTL uruchom Sprzątanie, co usunie kwarantannę z trojanami oraz sam OTL jako taki.

 

4. Przeskanuj system przez Malwarebytes' Anti-Malware i zaprezentuj raport wynikowy.

 

 

.

Odnośnik do komentarza

1. Wyniki MBAM: wszystko z sekcji "Zainfekowanych kluczy rejestru" to są składniki infekcji przeze mnie usuwanej i należy to zlikwidować. Wynik Broken.OpenCommand z scrfile nie oznacza troski, po prostu screensaver jest skojarzony z otwieraniem przez Notatnik, co można za pomocą MBAM zresetować do poziomu domyślnego. Natomiast wyniki z "Zainfekowanymi plikami": pierwszy niejasny, drugi to fałszywy alarm na plikach aplikacji wirtualizowanej metodą Thinstall (tu: Office, zapewne "wersja portable").

 

2. I przechodząc do tego:

 

 

Dodatkowo system nie chce się aktualizować. Ściągnięte aktualizacje po restarcie są wycofywane.

 

Sprawdź czy to nadal ma miejsce. Jeśli tak, zadam kolejną diagnostykę, już specyficzną pod tym kątem.

 

 

.

Odnośnik do komentarza
Niestety problem z aktualizacjami dalej występuje.

 

Do wykonania:

 

1. Podstawowy krok z resetem Windows Update: KLIK. Chodzi mi o ustęp "Ręczne wykonanie metody 2" i zerowanie SoftwareDistribution + Catroot. Gdy zawiedzie:

 

2. Z podanego wyżej linka pobierz i uruchom Narzędzie analizy gotowości aktualizacji systemu i zaprezentuj jego wynikowy log checksur.log.

 

 

 

.

Odnośnik do komentarza

reset Windows Update nie powiódł się:

C:\Windows\system32>net start bits

Wystąpił błąd systemu 5.

 

Odmowa dostępu.

 

C:\Windows\system32>bitsadmin /reset /allusers

 

BITSADMIN version 3.0 [ 7.5.7601 ]

BITS administration utility.

© Copyright 2000-2006 Microsoft Corp.

 

BITSAdmin is deprecated and is not guaranteed to

of Windows.

Administrative tools for the BITS service are now

dlets.

 

0 out of 0 jobs canceled.

 

Przy restarcie systemu wymaganym w pkt 1. niepowodzenie akutalizacji i ponowny restart. Mój błąd czy grubsza sprawa? Dalej dostępne te same aktualizacje co wcześniej.

 

Załączam log z pkt 2.

CheckSUR.txt

Odnośnik do komentarza

(f)	CSI Payload File Corrupt	0x00000000	poqexec.exe	x86_microsoft-windows-servicingstack_31bf3856ad364e35_6.1.7601.17592_none_0b0e4b4025cf4049

 

Ten plik jest uszkodzony i musisz go podmienić.Ażeby tego dokonać trzeba przyznać swojemu kontu pełną kontrolę do tego folderu

 

1.Pobierz plik do podmiany KLIK i wypakuj go

 

2.Odnajdź folder C:\Windows\WinSxS\x86_microsoft-windows-servicingstack_31bf3856ad364e35_6.1.7601.17592_none_0b0e4b4025cf4049

 

przejmij na własność ten folder i nadaj swemu kontu pełną kontrolę do tego folderu

 

3.Podmień plik poqexec.exe

4.Przywróć pierwotny układ zabezpieczeń tj. odbierz swojemu kontu uprawnienia do tego folderu i przywróć TrustedInstaller jako właściciela tego folderu

 

Pomocna lektura jak manipulować uprawnieniami do plików i folderów https://www.fixitpc.pl/topic/55-przyznawanie-kontroli-dla-plikow-i-folderow/

Odnośnik do komentarza
dodatkowo też zauważyłem, że defender dalej nie daje się włączyć.

 

Nie przeczytałeś co mówiłam:

 

2. Włącz wyłączone przez malware funkcje:

 

Windows Defender: infekcja też go wyłącza, ale aktywacji nie podaję, bo to koliduje z działaniami MSSE (który zresztą Defendera na własną rękę ogłupia).

U mnie po instalacji MSSE na Windows 7 i tak Windows Defender się nie uruchamia, gdyż MSSE go nokautuje. Tę akcję przeprowadza chyba większość dzisiejszych AV, by zmniejszyć kolizyjność. Mogę go włączyć tu jednym gestem dla Twojej przyjemności patrzenia, ale nie robię tego celowo, bo Windows Defender to przeżytek i jego działania zastępują nowoczesne antywirusy. By nie zamęczać systemu, Windows Defender powinien być wyłączony.

 

 

niestety nie pomogło.

 

Wygeneruj nowy Checksur.log do oceny. Dodatkowo, zrób komendę sfc /scannow i przefiltruj log do wystąpień znaczników [sR]: KLIK.

 

 

 

.

Edytowane przez picasso
31.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...