limak Opublikowano 22 Lipca 2011 Zgłoś Udostępnij Opublikowano 22 Lipca 2011 Witam serdecznie, Mam taki sam problem jak onegdaj kolega Jerzy - w tym temacie. Ponadto nie mam nawet wymienionej usługi centrum zabezpieczeń na liście usług w narzędziach administracyjnych (żeby zrobić coś takiego). Czy ktoś jest mi w stanie pomóc? Pozdrawiam. otl.txt extras.txt Odnośnik do komentarza
picasso Opublikowano 23 Lipca 2011 Zgłoś Udostępnij Opublikowano 23 Lipca 2011 Mam taki sam problem jak onegdaj kolega Jerzy - w tym temacie. To nie jest ten sam problem. W Twoim systemie gościła całkiem inna infekcja przechwytująca EXE (aktualnie widzę tylko ślady po niej). Owszem, ta infekcja może w całości kasować usługę Centrum + Windows Defender z rejestru (bo ostatnio testowałam droppera infekcji i rzeczywiście to się działo), co jest w pełni zgodne z tym objawem: Ponadto nie mam nawet wymienionej usługi centrum zabezpieczeń na liście usług w narzędziach administracyjnych 1. Rekonstrukcja usługi. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik zaimportuj FIX.REG. Zresetuj system. Jeśli wszystko się prawidłowo wykonało, usługa Centrum zacznie działać. 2. Usunięcie resztek po infekcji + mało istotnych wpisów odpadków. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2011/05/17 02:17:09 | 000,009,294 | -HS- | C] () -- C:\Users\Maja\AppData\Local\q656b57d7y7iob2j5vei5224tt1jqq50x506g55 [2011/05/17 02:17:09 | 000,009,294 | -HS- | C] () -- C:\ProgramData\q656b57d7y7iob2j5vei5224tt1jqq50x506g55 [2010/09/26 20:39:15 | 000,000,002 | ---- | C] () -- C:\Users\Maja\AppData\Local\09898511015555.xxe [2010/09/26 19:28:35 | 000,122,828 | ---- | C] () -- C:\Windows\fs1235.dat [2010/09/26 19:19:56 | 000,000,002 | ---- | C] () -- C:\Users\Maja\AppData\Local\0100979857102102.xxe [2010/09/26 19:00:03 | 000,000,002 | ---- | C] () -- C:\Users\Maja\AppData\Local\05349534999101.xxe [2010/09/26 18:59:57 | 000,000,002 | ---- | C] () -- C:\Users\Maja\AppData\Local\010197504810250.xxe [2010/09/26 18:58:36 | 000,000,002 | ---- | C] () -- C:\Users\Maja\AppData\Local\010155555710297.xxe [2010/09/26 18:58:08 | 000,000,001 | -H-- | C] () -- C:\Windows\bk23567.dat O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. Nastąpi restart. Po restarcie zgłosi się log z wynikami usuwania. Tylko ten log mi wystarczy do oceny. 3. Sprawdź czy usługa Windows Defender także jest skasowana. Uruchom regedit i czy widzisz ten klucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend . Odnośnik do komentarza
limak Opublikowano 23 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 23 Lipca 2011 Hej, dzięki wielkie za rychłą pomoc! Wszystko zadziałało jak należy! Załączam wspomniany przez Ciebie plik. A co do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend, to nie znalazłem tego klucza w regedit. Nie wiem czy to dobrze czy źle? 07232011_141850.txt Odnośnik do komentarza
picasso Opublikowano 23 Lipca 2011 Zgłoś Udostępnij Opublikowano 23 Lipca 2011 A co do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend, to nie znalazłem tego klucza w regedit. Nie wiem czy to dobrze czy źle? Źle. Windows Defender to natywny składnik Windows 7. Brak tej usługi to kolejny skutek wspominanej przeze mnie infekcji. 1. Importuj kolejny FIX.REG, tym razem o zawartości: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000004 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 W pliku ustaliłam Defendera jako wyłączonego, by nie przeszkadzał aktywności CIS. 2. W OTL uruchom Sprzątanie, co usunie z dysku kwarantannę OTL i OTL. 3. Przeskanuj system za pomocą Malwarebytes' Anti-Malware i podaj raport. . Odnośnik do komentarza
limak Opublikowano 23 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 23 Lipca 2011 Zrobiłem tak jak napisałaś, a oto raport: BTW, jeszcze raz wielkie dzięki, że tak kompleksowo mi pomagasz mbam-log-2011-07-23 (16-24-43).txt Odnośnik do komentarza
picasso Opublikowano 25 Lipca 2011 Zgłoś Udostępnij Opublikowano 25 Lipca 2011 Kończymy: 1. Wykonaj aktualizacje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java 6 Update 14 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 17"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Google Chrome" = Google Chrome"KLiteCodecPack_is1" = K-Lite Codec Pack 5.4.4 (Full)"Nowe Gadu-Gadu" = Nowe Gadu-Gadu - Do aktualizacji 32-bitowa i 64-bitowa Java, Skype i kodeki. Nie widzę tu dokładnego builda Adobe Flash i Google Chrome, zweryfikuj czy posiadasz najnowsze wydania. Szczegóły aktualizacyjne: INSTRUKCJE. - Mam propozycję zamiany Nowego GG programem mniej wysilającym zasoby i lepiej dopasowanym do systemu 64-bit: WTW. Opis programu znajdziesz w temacie Darmowe komunikatory. 2. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE. . Odnośnik do komentarza
limak Opublikowano 25 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 25 Lipca 2011 Dzięki wielkie za wszystko! Bardzo mi pomogłaś! Zaktualizuje sobie programy, a gadu-gadu całkowicie usunę bo i tak już go nie używam : ) Pozdrawiam! Odnośnik do komentarza
Rekomendowane odpowiedzi