kvasior Opublikowano 1 Stycznia 2012 Zgłoś Udostępnij Opublikowano 1 Stycznia 2012 Witam, kiedyś usunąłem windows defender i od tego czasu pojawił się problem. Z services.msc usunęły się usługi windows defender, centrum zabezpieczeń i zapora systemu windows. Znalazłem w internecie jak zrekonstruować te 2 pierwsze usługi, jednak nie wiem jak naprawić usługę zapory systemu windows. Screeny z zapory systemu windows: http://forum.dobrepr...0&image_id=4209 http://forum.dobrepr...0&image_id=4210 http://forum.dobrepr...0&image_id=4211 EDIT: udało mi się zrekonstruować usługę zapory systemu windows. Pojawiła się ona w services.msc. jednak przy próbie uruchomienia występuje komunikat: a kod błędu przy próbie użycia ustawień zalecanych w zaporze zmienił się na: 0x80070433 . Co zrobić by włączyć zaporę systemu windows? Proszę o pomoc. Odnośnik do komentarza
picasso Opublikowano 2 Stycznia 2012 Zgłoś Udostępnij Opublikowano 2 Stycznia 2012 kiedyś usunąłem windows defender i od tego czasu pojawił się problem. Z services.msc usunęły się usługi windows defender, centrum zabezpieczeń i zapora systemu windows. Coś tu się nie zgadza. Zniknięcie tego zestawu usług jest prędzej charakterystyczne dla infekcji.... Na wszelki wypadek pokaż log z OTL. EDIT: udało mi się zrekonstruować usługę zapory systemu windows. Pojawiła się ona w services.msc.jednak przy próbie uruchomienia występuje komunikat Zapewne brakuje jeszcze conajmniej usługi Podstawowy aparat filtrowania - BFE (nadrzędna zależność dla MpsSvc). Ponadto: uprawnienia też rekonstruowałeś? Nie wystarczy zaimportować tylko wpis usługi do rejestru, również wymagane odtworzenie zestawu kont dostępowych. Do wykonania pełna rekonstrukcja usługi BFE (wpisy rejestru + import uprawniweń): KLIK. . Odnośnik do komentarza
kvasior Opublikowano 2 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 2 Stycznia 2012 sfc /scannow : "Funkcja ochrona zasobów windows nie znalazła naruszeń integralności". Zapora działa! Picasso, dziękuję Ci za pomoc. Dodam jeszcze loga z OTL. Malwarebytes anti-malware znalazło u mnie 2 trojany, dlatego prosiłbym zwrócić uwagę na te logi. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 5 Stycznia 2012 Zgłoś Udostępnij Opublikowano 5 Stycznia 2012 W logach z OTL nie widzę nic związanego z infekcją, która się kojarzy z tym konkretnym uszczerbkiem w usługach. Ale są śmieci, tzn. komponenty adware wtyczkek vShare / LiveVDO, paski sponsoringowe Facemoods Toolbar i PDF Creator Toolbar oraz podejrzany plik d3dcsx__43.dll zamontowany w Internet Explorer (imituje w nazwie pliku "DirectX" zaś w nazwie rozszerzenia "Office"). O2 - BHO: (Groove GFS Browser Helper) - {7FBC43A4-6A2D-21E4-1F8E-659920A4473A} - C:\Windows\SysWOW64\d3dcsx__43.dll () [2011/12/04 00:58:32 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\StartSearch plugin[2011/12/04 00:49:27 | 000,000,000 | ---D | C] -- C:\Users\Kwas\AppData\Roaming\VshareComplete[2011/12/04 00:49:27 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\VshareComplete[2011/12/04 00:49:15 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\vShare.tv plugin ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{ec4b6105-e039-42fb-8e18-c8aa393f0018}_is1" = VshareComplete"facemoods" = Facemoods Toolbar"PDF Creator Toolbar" = PDF Creator Toolbar Malwarebytes anti-malware znalazło u mnie 2 trojany, dlatego prosiłbym zwrócić uwagę na te logi. Jakie trojany? Przedstaw raport z MBAM. sfc /scannow : "Funkcja ochrona zasobów windows nie znalazła naruszeń integralności". Chodziło mi tylko o wykonanie punktu 1, czyli FIX.REG. A skoro komenda nie zwróciła błędów, filtrowanie raportu BCS.LOG było zbędne (oczywisty brak linii notujących błędy). Ten nadwyżkowy log usuwam. . Odnośnik do komentarza
kvasior Opublikowano 6 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2012 http://imageshack.us/g/860/58194521.png/ < link do screenów z kwarantanny mbam, nazw tych trojanów nie pamiętam. Załączam loga z dzisiejszego skanowania mbam. mbam-log-2012-01-06 (17-30-58).txt Odnośnik do komentarza
picasso Opublikowano 7 Stycznia 2012 Zgłoś Udostępnij Opublikowano 7 Stycznia 2012 W MBAM (oberazki mało czytelne) nic szczególnego i związanego bezpośrednio z omawianym tu problemem. Wyniki z PUP.VShareRedir to śmieci sponsoringowe od wtyczek pokroju vShare / LiveVDO (o czym mówiłam), SoftonicDownloader_dla_fifa11-patch.exe zapewne wykrywany ze względu na to jak jest opakowany instalator, RemoveWGA wiadomo dlaczego, podobnież z keygenami. MBAM interesował się też niejakim FoxTab Converter, możliwe że słusznie. Na temat wspominanych wcześniej: - Czy odinstalowałeś wskazywane przeze mnie paski / wtyczki? Jeśli nie, przeprowadź to. - Plikiem d3dcsx__43.dll zapewne się nie zająłeś, uruchom Autoruns i w sekcji Internet Explorer skasuj wpis doń kierujący, a po tym usuń plik C:\Windows\SysWOW64\d3dcsx__43.dll z dysku. - Na koniec przedstaw log z AD-Remover. . Odnośnik do komentarza
kvasior Opublikowano 9 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2012 Usunąłem vShare, Live VDO i plik d3dcsx__.dll, tak jak radziłaś. Przedstawiam loga z AD-Remover. Ad-Report-SCAN1.txt Odnośnik do komentarza
picasso Opublikowano 11 Stycznia 2012 Zgłoś Udostępnij Opublikowano 11 Stycznia 2012 Na pewno odinstalowałeś śmieci Facemoods Toolbar i PDF Creator Toolbar? 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [-HKEY_CURRENT_USER\Software\Conduit] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Software\Conduit] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar] "{338B4DFE-2E2C-4338-9E41-E176D497299E}"=- "{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ihflimipbcaljfnojhhknppphnnciiif] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{40713263-D7D6-4292-A816-12EF0B40E6F8}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FFDF9EF3-3C3A-4f05-9A6E-5D3B778EC567}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{64182481-4F71-486b-A045-B233BD0DA8FC}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Interface\{981334CB-7B8B-431F-B86D-67B7426B125B}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}] Zapisz jako FIX.REG i zaimportuj do rejestru na uprawnieniach Administratora. Skasuj z dysku folder C:\Users\Kwas\AppData\LocalLow\Toolbar4. 2. Na koniec wyczyść foldery Przywracania systemu: KLIK. I to by było na tyle. . Odnośnik do komentarza
kvasior Opublikowano 13 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2012 Gdybyś policzyła ludzi którym pomogłaś.. (bez urazy) ale nie policzyłabyś Dziękuję Ci za pomoc! Odnośnik do komentarza
Rekomendowane odpowiedzi