Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

Brak usługi zapory Windows w Windows 7, różne dziwne problemy z komputerem

Ultrastefan

Przez Ultrastefan
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Ultrastefan

Ultrastefan

Opublikowano
Opublikowano

Witam,

Od dzisiejszego popołudnia walczę z dość bezskutecznie z komputerem( windows 7 64x), Zaczęło się koło 17.

1. Sam z siebie włączył się program, który wygląda jak różnego typu usuwacze malware - zrobił sobie skan i wyrzucił mi wszystkie pliku systemowe, nie mogłem tego zamknąć ani włączyć żadnego programu, czy też zabić procesu.

2. Po zresetowaniu i włączeniu trybu bezpiecznego, anty wirus znalazł jakiegoś trojana : protect.exe w program data i usunął.

3. Włączyłem normalnie kompa - bootowanie trwało dziwnie długo - po boocie ramu i informacji press del to enter setup komp naprawdę dłuuuuuuuuuuuugo czekał po czym włączył system (mam dysk SSD więc normalnie trwa to bardzo szybko). Zauważyłem że wyszukując przez googla wyskakuje jakiś kozukekesearchpower.com czy coś takiego do tego nie ma usługi windows firewall (wogóle jej nie ma w services.msc i tej bfe też).

4. Przyznam że spanikowałem - zainstalowałem po kolei sporo anti wirów , removerów malware itp. Było to głupie no ale jestem laikem.

5. Po resecie kompa SZOK - niebieski ekran przy włączaniu niestety nie spisałem informacji (coś było o tym że czegoś nie ma )

6. Wsadziłem płytkę z windą włączyłem naprawę bootu i przywracanie systemu (mimo że dałem starsze, firewalla dalej nie ma)

7. Teraz próbuję uporządkować sytuację i postępuję zgodnie z tutejszym faqiem - czy to normalne że ten program znika z mojego kompa po użyciu? Mam już ich 5 ściągniętych w historii firefoxa

W razie jakiś niejasności proszę o wyrozumiałość - mam napięty grafik w pracy a ta "awaria" totalnie mi pomieszała szyki

Extras.TxtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Poniższa część loga z OTL sugeruje, ze może tu być infekcja ZeroAccess:

 

O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000028 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000029 - %SystemRoot%\System32\winrnr.dll File not found

 

Jest tu system 64-bitowy i na takim systemie ta infekcja jest łatwiejsza do wyleczenia.

 

1. Uruchom zgodnie z wytycznymi ComboFix

 

2. Zaprezentuj log powstały z narzędzia oraz wykonaj nowe logi z OTL.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
  Cytat
7. Teraz próbuję uporządkować sytuację i postępuję zgodnie z tutejszym faqiem - czy to normalne że ten program znika z mojego kompa po użyciu? Mam już ich 5 ściągniętych w historii firefoxa

W razie jakiś niejasności proszę o wyrozumiałość - mam napięty grafik w pracy a ta "awaria" totalnie mi pomieszała szyki

 

O OTL mówisz? Czy przypadkiem nie uruchamiałeś w nim opcji "Sprzątanie"? Ta opcja kasuje OTL.

 

 

  Cytat
4. Przyznam że spanikowałem - zainstalowałem po kolei sporo anti wirów , removerów malware itp. Było to głupie no ale jestem laikem.

5. Po resecie kompa SZOK - niebieski ekran przy włączaniu niestety nie spisałem informacji (coś było o tym że czegoś nie ma )

6. Wsadziłem płytkę z windą włączyłem naprawę bootu i przywracanie systemu (mimo że dałem starsze, firewalla dalej nie ma)

 

ComboFix nic nie wykrył. Moim zdaniem infekcja ZeroAccess została już wcześniej niezbyt elegancko usunięta w partii, którą może dedykować ComboFix, zakreślony fragment to sugeruje. BSOD to charakterystyczny objaw po usunięciu biblioteki ZeroAccess bez dostosowania miejsca w rejestrze które punktuje ładowanie biblioteki. Pliku ZeroAccess nie wolno usuwać z dysku "z palca". Czyli wyobrażam sobie to tak: któryś z owych "antivirów, removerów" usunął plik ZeroAccess, zrobił to nieprawidłowo (bez uzgodnienia rejestru), skutkiem był BSOD.

 

W tej sytuacji zostaje naprawa tego co zdaje się być jeszcze naruszone. Nie rozwinąłeś dostatecznie aspektu "brak usługi zapory" = tzn. że usługi nie ma w services.msc?

 

 

1. Kasacja pozostawionego po ZeroAccess folderu, odpadków adware i szczątków Avast. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Zaj\AppData\Local\862d9737
C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml
C:\Users\Zaj\AppData\Roaming\Mozilla\Firefox\Profiles\1uo4ff0u.default\searchplugins\daemon-search.xml
C:\Users\Zaj\AppData\Roaming\Mozilla\Firefox\Profiles\1uo4ff0u.default\searchplugins\Search.xml
C:\Users\Zaj\AppData\Roaming\Mozilla\Firefox\Profiles\1uo4ff0u.default\searchplugins\web-search.xml
 
:OTL
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
IE - HKU\S-1-5-21-1240944274-2991984103-2798602988-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com?o=101702&l=dis"
IE - HKU\S-1-5-21-1240944274-2991984103-2798602988-1000\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found
O2:64bit: - BHO: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll File not found
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found
O3:64bit: - HKLM\..\Toolbar: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll File not found
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found

 

Klik w Wykonaj skrypt.

 

2. Naprawa Winsock:

 

-----> Reset części Protocol: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep komendę netsh winsock reset

 

-----> Reset części NameSpace: Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00


 


[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]


"Num_Catalog_Entries"=dword:00000006


"Serial_Access_Num"=dword:00000020


"Num_Catalog_Entries64"=dword:00000006


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001]


"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"


"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"


"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83


"SupportedNameSpace"=dword:0000000f


"Enabled"=dword:00000001


"Version"=dword:00000000


"StoresServiceClassInfo"=dword:00000001


"ProviderInfo"=hex:


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002]


"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"


"DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103"


"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b


"SupportedNameSpace"=dword:0000000c


"Enabled"=dword:00000001


"Version"=dword:00000000


"StoresServiceClassInfo"=dword:00000001


"ProviderInfo"=hex:


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003]


"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"


"DisplayString"="NTDS"


"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac


"SupportedNameSpace"=dword:00000020


"Enabled"=dword:00000001


"Version"=dword:00000000


"StoresServiceClassInfo"=dword:00000000


"ProviderInfo"=hex:


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004]


"LibraryPath"="%SystemRoot%\\system32\\napinsp.dll"


"DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000"


"ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae


"SupportedNameSpace"=dword:00000025


"Enabled"=dword:00000001


"Version"=dword:00000000


"StoresServiceClassInfo"=dword:00000001


"ProviderInfo"=hex:


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005]


"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"


"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"


"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d


"SupportedNameSpace"=dword:00000027


"Enabled"=dword:00000001


"Version"=dword:00000000


"StoresServiceClassInfo"=dword:00000001


"ProviderInfo"=hex:


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006]


"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"


"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"


"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d


"SupportedNameSpace"=dword:00000026


"Enabled"=dword:00000001


"Version"=dword:00000000


"StoresServiceClassInfo"=dword:00000001


"ProviderInfo"=hex:


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64]


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001]


"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"


"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"


"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83


"SupportedNameSpace"=dword:0000000f


"Enabled"=dword:00000001


"Version"=dword:00000000


"StoresServiceClassInfo"=dword:00000001


"ProviderInfo"=hex:


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002]


"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"


"DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103"


"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b


"SupportedNameSpace"=dword:0000000c


"Enabled"=dword:00000001


"Version"=dword:00000000


"StoresServiceClassInfo"=dword:00000001


"ProviderInfo"=hex:


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003]


"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"


"DisplayString"="NTDS"


"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac


"SupportedNameSpace"=dword:00000020


"Enabled"=dword:00000001


"Version"=dword:00000000


"StoresServiceClassInfo"=dword:00000000


"ProviderInfo"=hex:


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004]


"LibraryPath"="%SystemRoot%\\system32\\napinsp.dll"


"DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000"


"ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae


"SupportedNameSpace"=dword:00000025


"Enabled"=dword:00000001


"Version"=dword:00000000


"StoresServiceClassInfo"=dword:00000001


"ProviderInfo"=hex:


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005]


"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"


"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"


"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d


"SupportedNameSpace"=dword:00000027


"Enabled"=dword:00000001


"Version"=dword:00000000


"StoresServiceClassInfo"=dword:00000001


"ProviderInfo"=hex:


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006]


"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"


"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"


"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d


"SupportedNameSpace"=dword:00000026


"Enabled"=dword:00000001


"Version"=dword:00000000


"StoresServiceClassInfo"=dword:00000001


"ProviderInfo"=hex:

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik zaimportuj FIX.REG. Zresetuj system.

 

3. Deinstalacja śmiecia DAEMON Tools Toolbar i wątpliwej wtyczki vShare.tv plugin 1.3. Deinstalację przeprowadź w Panelu sterowania oraz rozszerzeniach Firefox i Google Chrome. jednakże dla Google Chrome jest wymagane więcej działań, bo ten śmieć jest również jako wtyczka:

 

========== Chrome  ==========
 
CHR - plugin: vShare.tv plug-in (Enabled) = C:\Users\Zaj\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll
CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll
CHR - Extension: vshare plugin = C:\Users\Zaj\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\

 

Zamknij Google Chrome. W pasku adresów Windows eksplorer wklej %localappdata%\Google\Chrome\User Data\Default i ENTER. W folderze tym otwórz w Notatniku plik o nazwie Preferences, w nim wyszukaj ustęp "plugins": i wytnij te dwie partie (uważaj na zaknięcia {}, musisz zachować formułę listowania wtyczek wynikającą z ciągłości):

 

{
		 "enabled": true,
		 "name": "vShare.tv plug-in",
		 "path": "C:\\Program Files (x86)\\Mozilla Firefox\\plugins\\npvsharetvplg.dll",
		 "version": "1.3.0.1"
	  },

 

+

 

{
		 "enabled": true,
		 "name": "vShare.tv plug-in"
	  },

 

Zapisz zmiany w pliku.

 

 

4. Zrób nowy skan w OTL na dostosowanym warunku. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej co poniżej i klik w Skanuj (a nie Wykonaj skrypt).

 

C:\Windows\*. /RP /s


dir /s /a C:\Windows\assembly\tmp /C

 

Dorzuć także log z AD-Remover z opcji Scan.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zadaję pytanie ponownie:

 

  picasso napisał(a):
Nie rozwinąłeś dostatecznie aspektu "brak usługi zapory" = tzn. że usługi nie ma w services.msc?

 

Na temat wyników właśnie przeprowadzonych działań:

 

  Cytat
wyrzuciłem całe google chrome (nie korzystam w sumie i tak)

 

Niedokładnie. W OTL widać nadal konfigurację Google Chrome. Należy skasować z dysku cały folder C:\Users\Zaj\AppData\Local\Google.

 

Winsock został poprawnie zresetowany, reszta odpadków usunięta pomyślnie. Skan dostosowany wykazuje, że po infekcji ZeroAccess pozostał jeszcze ten skład w assembly:

 

 

Katalog: C:\WINDOWS\ASSEMBLY\TMP

 

2011-12-03 21:40 2˙632 loader.tlb

2011-11-26 06:08 2˙048 {1B372133-BFFA-4dba-9CCF-5474BED6A9F6}

 

Zapewne katalog Tmp ma wyzerowane uprawnienia.

 

 

1. Uruchom AD-Remover w trybie Clean, co wykończy resztę wpisów po Ask i vShare.

 

2. Uruchom GrantPerms x64 i w oknie wklej:

 

C:\Windows\assembly\tmp
C:\Windows\assembly\tmp\loader.tlb
C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}

 

Klik w Unlock.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files


C:\Windows\assembly\tmp\loader.tlb


C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}


C:\Windows\assembly\GAC_64\Desktop.ini


 


:Reg


[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}]


[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E0A900DF-9611-4446-86BD-4B1D47E7DB2A}]


[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C8D05139-D04A-44A1-822E-6E3737CC880B}]


[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]


"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]


"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions]


"wrc@avast.com"=-

 

Klik w Wykonaj skrypt. Z tego powstanie log i pokaż go.

 

4. Pokasuj z dysku foldery powstałe po reperacji Windows:

 

[2011-12-03 20:19:06 | 000,000,000 | ---D | C] -- C:\$UPGRADE.~OS
[2011-12-03 20:18:30 | 000,000,000 | ---D | C] -- C:\$WINDOWS.~BT

 

... oraz resztki po używanych programach, a od wyrobów Paretologic radzę się trzymać z daleka:

 

[2011-12-03 22:22:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Comodo
[2011-12-03 21:20:18 | 000,055,384 | ---- | C] (Sunbelt Software) -- C:\Windows\SysNative\drivers\SBREDrv.sys
[2011-12-03 21:18:08 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
[2011-12-03 21:18:08 | 000,000,000 | ---D | C] -- C:\ProgramData\Lavasoft
[2011-12-03 21:18:08 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Lavasoft
[2011-12-03 20:46:33 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2011-12-03 20:38:10 | 000,000,000 | ---D | C] -- C:\ProgramData\CPA_VA
[2011-12-03 20:24:19 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\COMODO
[2011-12-03 20:13:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Comodo Downloader
[2011-12-03 19:56:57 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools
[2011-12-03 19:32:22 | 000,000,000 | ---D | C] -- C:\Program Files\Hitman Pro 3.5
[2011-12-03 19:31:05 | 000,000,000 | ---D | C] -- C:\ProgramData\Hitman Pro
[2011-12-03 18:50:23 | 000,000,000 | ---D | C] -- C:\Users\Zaj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ParetoLogic
[2011-12-03 18:50:22 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ParetoLogic
[2011-12-03 18:50:22 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\ParetoLogic
[2011-12-03 18:40:58 | 000,000,000 | ---D | C] -- C:\Users\Zaj\AppData\Roaming\ParetoLogic
[2011-12-03 18:40:58 | 000,000,000 | ---D | C] -- C:\Users\Zaj\AppData\Roaming\DriverCure
[2011-12-03 18:40:54 | 000,000,000 | ---D | C] -- C:\ProgramData\ParetoLogic
[2011-12-03 00:00:39 | 000,000,000 | ---D | C] -- C:\Users\Zaj\AppData\Roaming\QuickScan
[2011-12-03 18:50:57 | 000,000,464 | ---- | M] () -- C:\Windows\tasks\ParetoLogic Registration3.job

 

 

 

.

Odnośnik do komentarza
Ultrastefan

Ultrastefan

Opublikowano
  • Autor
Opublikowano

Dzięki za pomoc,

Najpierw usługa firewalla:

 

  Cytat
Nie rozwinąłeś dostatecznie aspektu "brak usługi zapory" = tzn. że usługi nie ma w services.msc?

 

Tak, nie ma tej usługi w services.msc, tak samo jej jednej składowej (a pewnie i więcej ale reszty nie znam) (aparat filtrowania)

Załączam wynik z OST, skasowałem wszystkie śmieci ( ten wyrób Paretologic to efekt wczorajszej desperacji :) )

Widzę że programik o nazwie CfosSpeed, który używam wyleciał z autostartu (na 99% sam tego nie zrobiłem) i się zastanawiam czy to też jest efekt tego wczorajszego waterloo moich systemów obronnych :(

12042011_121609.txtPobieranie informacji ...

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skrypt pomyślnie wykonany.

 

  Cytat
Tak, nie ma tej usługi w services.msc, tak samo jej jednej składowej (a pewnie i więcej ale reszty nie znam) (aparat filtrowania)

 

Podaj precyzyjny skan wyliczający usługi. Uruchom OTL, wszystkie opcje ustaw na Brak+Żadne, z wyjątkiem sekcji Usługi ustawionej na Wszystko. Na tej podstawie ocenię ile usług faktycznie brakuje i podam importy do rejestru je rekonstruujące.

 

  Cytat
Widzę że programik o nazwie CfosSpeed, który używam wyleciał z autostartu (na 99% sam tego nie zrobiłem) i się zastanawiam czy to też jest efekt tego wczorajszego waterloo moich systemów obronnych

 

Robiłeś reperację Windows. To wystarczający mechanizm dla wyzerowania niektórych obszarów.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Brakuje trzech usług, już tu odnotowanych MpsSvc + BFE, trzecim brakiem jest iphlpsvc ("Pomoc IP"). W rekonstrukcji muszę pominąć pewne dane, które są charakterystyczne tylko dla mojego systemu.

 

1. Rekonstrukcja usług w rejestrze. Montuj kolejny FIX.REG do importu przez regedit jako Administrator:

 

 

  Pokaż ukrytą zawartość

 

 

2. Wywołaj komendę sfc /scannow, przefiltruj CBS.LOG do wystąpień znaczników [sR] i zaprezentuj raport: KLIK.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Dlaczego sprzeczne z zasadami? Jeśli coś nie może wejść w Załączniki forum, można posłużyć się serwisem hostingowym.

 

Ale coś mi się tu nie zgadza. 7MB?! Czy Ty to ... filtrujesz "ręcznie"?! W temacie jest podana komenda, która ekstraktuje do raportu tekstowego automatycznie tylko linie z SFC. Czy mówimy na pewno o tak przygotowanym logu przez komendę?

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

"Interfejs graficzny" = opcje zapory w Panelu sterowania. Usługa się nie uruchamia, toteż konfiguracja będzie wyrzucać błąd. Spróbuj zresetować ustawienia sieci. Otwórz Notatnik i wklej w nim:

 

netsh advfirewall reset
netsh int ipv4 reset
netsh int ipv6 reset
reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Z prawokliku Uruchom plik jako Administrator. Zresetuj system. Podaj rezultaty czy jest poprawa, tzn. czy usługa Zapory samoczynnie się uruchamia.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
  Cytat
problem jest w podstawowym aparacie filtrowania (chyba). Tamta usługa nie może zostać włączona (brak dostępu)

 

Brak dostępu, to spróbuj zresetować uprawnienia kluczy. Usługi importowane sztucznie nie otrzymały identycznych uprawnień jak w oryginale, w kluczach są specjalne konta wbudowane usług, które najpewniej same się nie dorobiły. Załadujesz replikę ustawień z mojego systemu x64.

 

 

1. Pobierz SetACL, ze środka wypakuj wersję x64 i umieść w katalogu C:\Windows. W Notatniku trzy razy będziesz wklejał zestawy uprawnień, a plik z zestawem zapiszesz pod nazwą backup.txt na C:\. Plik ten będzie ładowany w cmd uruchomionym jako Administrator przez komendę. Poniżej podaję zestawy:

 

Zestaw 1 do Notatnika:

 

"machine\SYSTEM\CurrentControlSet\Services\BFE",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy",4,"O:BAD:PAI(A;CI;KA;;;SY)(A;CI;KA;;;BA)(A;CI;CCDCLCSWRPRC;;;S-1-5-80-1383147646-27650227-2710666058-1662982300-1023958487)"
"machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\BootTime",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\BootTime\Filter",4,"O:BAD:P(A;CI;KA;;;SY)(A;CI;KA;;;BA)(A;CI;CCDCLCSWRPRC;;;S-1-5-80-1383147646-27650227-2710666058-1662982300-1023958487)"
"machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Persistent",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Persistent\Filter",4,"O:BAD:P(A;CI;KA;;;SY)(A;CI;KA;;;BA)(A;CI;CCDCLCSWRPRC;;;S-1-5-80-1383147646-27650227-2710666058-1662982300-1023958487)"
"machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Persistent\Provider",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Persistent\SubLayer",4,"O:BAD:AI"

 

Komenda:

 

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\BFE" -ot "reg" -actn restore -bckp C:\backup.txt

 

Zestaw 2 do Notatnika:

 

"machine\SYSTEM\CurrentControlSet\Services\MpsSvc",4,"O:BAD:AI"


"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters",4,"O:BAD:AI"


"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords",4,"O:BAD:AI"


"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP",4,"O:BAD:PAI(A;CI;CCDC;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CI;CCDC;;;S-1-5-80-3526382388-830156861-4107432654-3665941875-1028450966)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"


"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn",4,"O:BAD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"


"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut",4,"O:BAD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"


"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap",4,"O:BAD:PAI(A;CI;CCDC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"


"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo",4,"O:BAD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"


"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Security",4,"O:BAD:AI"

 

Komenda:

 

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc" -ot "reg" -actn restore -bckp C:\backup.txt

 

Zestaw 3 do Notatnika:

 

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc",4,"O:BAD:AI"


"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\config",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"


"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Interfaces",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"


"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"


"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\IPHTTPS",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"


"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Isatap",4,"O:SYD:AI"


"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Teredo",4,"O:SYD:AI"


"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"


"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo\PreviousState",4,"O:SYD:AI"

 

Komenda:

 

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc" -ot "reg" -actn restore -bckp C:\backup.txt

 

2. Jeśli wszystko się zaimportuje i nie będzie żadnych błędów, ponów FIX.BAT z poprzedniego mojego posta.

 

3. Zresetuj system.

 

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Po usunięciu infekcji należy jeszcze:

 

1. Porządki po stosowanych narzędziach, w tej a nie innej kolejności:

 

- Odinstaluj AD-Remover.

- Odinstaluj ComboFix, z klawiatury kombinacja klawisz z flagą Windows + R i w Uruchom wklej O:\ComboFix.exe /uninstall

- W OTL uruchom Sprzątanie.

 

2. Dla bezpieczeństwa wymiana haseł logowania w serwisach.

 

3. Aktualizacje oprogramowania. Na Twojej liście zainstalowanych widać:

 

Internet Explorer (Version = 8.0.7601.17514)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 24
"Mozilla Thunderbird (7.0.1)" = Mozilla Thunderbird (7.0.1)

 

Szczegóły aktualizacyjne: INSTRUKCJE. Tak, nieużywany IE powinien być aktualizowany.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...