jera Opublikowano 12 Grudnia 2011 Zgłoś Udostępnij Opublikowano 12 Grudnia 2011 Witam, Dokładniej to usługę "Centrum zabezpieczeń" mogę uruchomić (Automat opóźnione) ale za kilka sekund się sama zatrzymuje. Wczoraj w ogóle się nie dała uruchomić. W tzw. międzyczasie robiłem raporty OTL GMER oraz wyłączyłem przy pomocy SPTDinst sterownik SPTD (kluczy z rejestru nie usuwałem). GMER wykonał raport dopiero za n-tym (4 lub 5) podejściem - początkowo pojawiał się niebieski pusty ekran lub się zacinał. Historia poprzednich działań (niekonieczne wg. podanej niżej kolejności). Na początku komputer startował tylko w trybie awaryjnym. Usunąłem istniejący ESET nod32 (zgłaszał problemy) oraz pozostałości Symanteca Chciałem zainstalować MS Security Essentials. Zainstalował się ale nie startował lub na chwilę i sam się wyłączał. Usunąłem Sec.Essentials i zainstalowałem Kaspersky Anti-Virus. Przeskanowałem KAV - wykrył kilka trojanów. Dokonałem aktualizacji systemu min SP 2, przeinstalowałem Mozille Firefox, usunąłem część starych plików (tymczasowe, internet off-line). Przeskanowałem też komputer po starcie z Kaspersky Rescue Disk - nic nie wykrył. Z góry dziękuję za pomoc. Przekazuję wymagane logi. gmer_rap.txt Extras.Txt OTL.Txt gmer_rap_kasp_off.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2011 Zgłoś Udostępnij Opublikowano 12 Grudnia 2011 Usługa jest wyłączana, ponieważ działa tu trojan w postaci pary ukrytych plików: [2011-12-12 08:40:09 | 000,000,308 | -HS- | M] () -- C:\Windows\tasks\Azznztzyu.job[2011-02-17 14:06:41 | 000,090,112 | RHS- | C] () -- C:\Windows\System32\cs-CZY.dll Trojan ten nokautuje: Centrum zabezpieczeń, Ochronę systemu, Windows Defender oraz Microsoft Security Essentials. Ponadto: są ślady po podpinaniu zainfekowanych urządzeń USB oraz obiekt udający "ctfmon" Windows (na zasadzie literówki "cftmon"). I niekorzystnie zmodyfikowany plik HOSTS (prawdopodobnie robota programu w rodzaju Spybot Search & Destroy). 1. Odinstaluj śmiecia sponsoringowego DAEMON Tools Toolbar. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\tasks\Azznztzyu.job C:\Windows\System32\cs-CZY.dll C:\Program Files\Common Files\microsoft shared\Web Components\cftmon.exe C:\Users\Kasia\AppData\Local\Temp*.html :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cftmon.exe"=- "Symantec PIF AlertEng"=- :OTL FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) :Commands [resethosts] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 3. Aktywuj poszkodowane infekcją funkcje: - Z usługą już wiesz jak się obchodzić, powinna mieć start "Automatycznie (opóźnione uruchomionie)" i stan "Uruchomiono" (po usunięciu przeszkody trojana powinno pruć samodzielnie, o ile Typ startowy będzie prawidłowo skonfigurowany). - Panel sterowania > System i konserwacja > System > Ochrona systemu > zaznacz dysk z Windows do ochrony - Windows Defender jawnie wyłączony, ale go sobie darujemy. Przy Kasperskym zbyt duże skomasowanie aktywnych czyjników. 4. Wygeneruj do oceny nowy log z OTL opcją Skanuj (Extras już nie potrzebuję). Dołącz log z wynikami usuwania pozyskany w punkcie 2. . Odnośnik do komentarza
jera Opublikowano 12 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2011 Wykonałem p. 1, 2, i połowę 3-go. Centrum zabezpieczeń już działa i raportuje wszystko na zielono. Natomiast przy drugiej części p3. mam wątpliwości. W oknie automatyczne punkty przywracania zaznaczony jest dysk C z systemem Vista. Natomiast "Tworzenie punktów przywracania jest wyłączone przez zasady grupy". Nie wiem czy tak ma być i czy w Vista Home Premium można (jeśli tak to gdzie) edytować zasady grupy. Docelowo usunę Kaspersky AV a zainstaluję MS Sec.Essentals. Rozumiem, że Windows Defender też może zostać wyłączony? Załączam raport z OTL po wykonaniu skryptu naprawczego. Raport ze skanowania OTL już się robi i za chwile go doślę. pozdrawiam W uzupełnieniu log z OTL opcją Skanuj. OTL_rap_po naprawie_12122011_162221.txt OTL_log_scan_finalny.Txt Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2011 Zgłoś Udostępnij Opublikowano 13 Grudnia 2011 Do uzupełniania odpowiedzi, gdy nikt jeszcze nie odpisał, służy opcja "Edytuj". Posty łączę. W oknie automatyczne punkty przywracania zaznaczony jest dysk C z systemem Vista. Natomiast "Tworzenie punktów przywracania jest wyłączone przez zasady grupy". To oznacza, że Przywracanie systemu jest wyłączone i nie jest to prawidłowe. Skoro widzisz taki błąd, to zapewne przyczyną są te wpisy (mimo że są równe 0, co teoretycznie oznacza "nieczynną blokadę", to 1 powinno być aktywną blokadą): ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]"DisableSR" = 0"DisableConfig" = 0 Poniżej podaję instrukcje jak to zlikwidować. Rozumiem, że Windows Defender też może zostać wyłączony? Przy obecności antywirusa (teraz Kaspersky, planowana instalacja Microsoft Security Essentials) aktywność Windows Defender nie jest pożądana, tak ze względu na wydajność, jak i realizowane funkcje. Mimo że Windows Defender został tu zdeaktywowany na poziomie usługi widzialnej w services.msc, nie zalecam jego ożywiana z podanych powodów. Zresztą po instalacji Microsoft Security Essentials i tak Windows Defender zostałby osłabiony, w celu zapobieżenia konfliktom. Skrypt pomyślnie przetworzył wszystkie zadania. Kolejne kroki do wykonania: 1. Drobna poprawka na ów wpis blokujący Przywracanie systemu oraz szczątek po Daemon Tools Toolbar. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] :Commands [reboot] Klik w Wykonaj skrypt. Po restarcie systemu w interfejsie Ochrony systemu opcja tworzenia punktów przywracania powinna wrócić na miejsce. 2. W OTL uruchom Sprzątanie, co zlikwiduje z dysku OTL wraz z jego kwarantanną. 3. Przeskanuj system za pomocą Malwarebytes' Anti-Malware. Przedstaw raport, jeśli coś zostanie wykryte. Pustego nie pokazuj. . Odnośnik do komentarza
jera Opublikowano 13 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2011 Centrum zabezpieczeń - działa. Tworzenie punktów przywracania - działa. Raport z Malwarebytes' Anti-Malware - czysty. Jestem pod wrażeniem. Profesjonalna pomoc. Zrozumiałe informacje z użyciem dobrego polskiego języka. Dziękuję !!! pozdrawiam Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2011 Zgłoś Udostępnij Opublikowano 13 Grudnia 2011 Na zakończenie wykonaj drobne aktualizacje aplikacji. Na Twojej liście zainstalowanych są widoczne: Internet Explorer (Version = 8.0.6001.19154) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 29"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java 6 Update 5"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8"{AC76BA86-7AD7-1033-7B44-A81300000003}" = Adobe Reader 8.1.3"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Gadu-Gadu 10" = Gadu-Gadu 10 - Szczegóły aktualizacyjne: INSTRUKCJE. Dla uwypuklenia: aktualizacja Internet Explorer jest istotna mimo nieużywania go, starsze Java możesz odinstalować, Flash Player jest w dwóch wersjach i to wersja dla IE ma nieznany status. - Poboczny tor dyskusji: GG10, jako program o dysproporcji na "korzyść" reklam i zbędnych funkcji, można wymienić alternatywą. W moim artykule Darmowe komunikatory są opisane alternatywy: AQQ, Kadu, WTW, Miranda. . Odnośnik do komentarza
jera Opublikowano 13 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2011 IE już zaktualizowałem. Znalazłem się tutaj (fixitpc.pl) przedwczoraj, usilnie poszukując informacji/pomocy z ww problemem. Czuję, że będę tu zaglądał czytając artykuły i zgłaszane problemy. Picasso - gratuluję wiedzy. pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi