qmineq Opublikowano 17 Stycznia 2012 Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 Laptop z widows 7 64 bit Od jakiegoś miesiąca klikając z google przekierowuje mnie na stronę 95p.com dzisiaj zaczął wyskakiwać problem z biblioteką (tytuł pliku: nslookup.exe) Postanowiłem użyć ComboFix'a ("na żywca") myślałem że wszystko ok to go odinstalowałem no i chciałem uruchomić ponownie system. Teraz w ogóle nie chce mi się włączyć laptop włącza się jedynie przywracanie systemu które nie przynosi skutków. proszę o szybką pomoc czytałem trochę na forum ale mało co rozumiałem więc proszę o szczegółową pomoc bo nie jestem obeznany za bardzo w temacie wirusów. Mam problem nawet z uruchomieniem i nie mogę znaleźć płytki instalacyjnej Po włączeniu laptopa pokazują mi się dwie opcje: - skorzystaj z urządzenia przywracania systemu - uruchom normalnie Jeśli dam przywracanie systemu to on nie może nic naprawić a jeśli dam uruchomić normalnie wracam do punktu wyjścia. Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2012 Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 Przenoszę temat do działu infekcji. Infekcja ZeroAccess. ComboFix usunął jego plik i nie skorygował rejestru. Proszę uruchomić narzędzie FRST x64 i przedstawić z niego log. Narzędzie umieść np. na pendrive, F8 przy starcie i wybierz opcję "Napraw komputer", by dostać się do linii komend w celu uruchomienia FRST. . Odnośnik do komentarza
qmineq Opublikowano 17 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 mam problem z wierszem poleceń nie wiem co wpisać żeby mi wykryło pendrive'a a po za tym nie wiem czy w ogóle mi wykrywa pendrive'a Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2012 Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 mam problem z wierszem poleceń nie wiem co wpisać żeby mi wykryło pendrive'a a po za tym nie wiem czy w ogóle mi wykrywa pendrive'a Czy przeczytałeś dostatecznie wnikliwie opis narzędzia jak się sprawdza literę przyznaną dla pendrive? Punkt 3 i trik z Notatnikiem. . Odnośnik do komentarza
qmineq Opublikowano 17 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 udało się! oto log ze skanu frst64 FRST.txt Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2012 Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 qmineq do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, zamiast tworzenie X postów w ciągu. Posty łączę. 1. Przygotuj plik naprawczy. Otwórz Notatnik i wklej w nim: SubSystems: [Windows] ==> ZeroAccess NETSVC: sagefserver 2 sagefserver; C:\Windows\System32\IBM_LLC2.dll [5120 2009-07-13] (Iomega) C:\Windows\System32\IBM_LLC2.dll HKU\Madzia\...\Run: [Malware Protection Center] "C:\ProgramData\873065\MP873_8016.exe" /s /d [3386368 2012-01-17] () HKU\Madzia\...\Policies\system: [disableregistrytools] 0 2012-01-17 10:40 - 2012-01-17 12:24 - 0001627 ____A C:\Users\Madzia\Desktop\Malware Protection Center.lnk 2012-01-17 10:40 - 2012-01-17 10:42 - 0000000 __SHD C:\Users\Madzia\AppData\Roaming\Malware Protection Center 2012-01-17 10:40 - 2012-01-17 10:40 - 0000000 __SHD C:\Users\All Users\MPJOZMXTDUC 2012-01-17 10:40 - 2012-01-17 10:40 - 0000000 __SHD C:\ProgramData\MPJOZMXTDUC 2012-01-17 10:39 - 2012-01-17 11:49 - 0000000 __SHD C:\Users\All Users\873065 2012-01-17 10:39 - 2012-01-17 11:49 - 0000000 __SHD C:\ProgramData\873065 2011-12-29 02:25 - 2012-01-17 12:20 - 0000000 __SHD C:\Users\Madzia\AppData\Local\514618ee Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST. 2. Uruchom ponownie narzędzie FRST i wybierz opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt. 3. Jeśli wszystko się uda, będziesz w stanie zastartować do Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset. 4. Zrób nowe logi już spod Windows: OTL + Farbar Service Scanner (zaznacz wszystko do skanowania). Dostarcz też Fixlog.txt. . Odnośnik do komentarza
qmineq Opublikowano 17 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 oto fix, OTL i FSS Fix result of Farbars's Recovery Tool (FRST written by farbar Version 2.3.2) Ran by SYSTEM at 2012-01-17 23:33:48 R:1 Running from G:\ ============================================== HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\SubSystems\\Windows Value was restored. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs sagefserver Deleted successfully. sagefserver service deleted successfully. C:\Windows\System32\IBM_LLC2.dll moved successfully. HKEY_USERS\Madzia\Software\Microsoft\Windows\CurrentVersion\Run\\Malware Protection Center Value deleted successfully. HKEY_USERS\Madzia\Software\Microsoft\Windows\CurrentVersion\Policies\system\\disableregistrytools Value deleted successfully. C:\Users\Madzia\Desktop\Malware Protection Center.lnk moved successfully. C:\Users\Madzia\AppData\Roaming\Malware Protection Center moved successfully. C:\Users\All Users\MPJOZMXTDUC moved successfully. C:\ProgramData\MPJOZMXTDUC not found. C:\Users\All Users\873065 moved successfully. C:\ProgramData\873065 not found. C:\Users\Madzia\AppData\Local\514618ee moved successfully. ==== End of Fixlog ==== http://www.wklej.org/id/831054/txt/ http://www.wklej.org/id/831055/txt/ http://www.wklej.org/id/831056/txt/ Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2012 Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 Czy na pewno wszystko wykonałeś? Nie wygląda na to, byś wdrożył komendę w cmd z punktu 3. Mamy jeszcze trochę do roboty. Konsekwencją pobytu infekcji ZeroAccess w systemie jest skasowanie z rejestru usługi Zapora systemu Windows. Usługę trzeba będzie zrekonstruować. 1. Pobierz narzędzie SetACL. Z paczki z katalogu x64 skopiuj plik SetACL.exe do katalogu C:\Windows. 2. Przygotuj trzy pliki naprawcze. ----> W Notatniku wklej: SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc" -ot reg -actn restore -bckp C:\fix.txt netsh winsock reset pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT ----> W Notatniku wklej: "machine\SYSTEM\CurrentControlSet\Services\MpsSvc",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP",4,"O:BAD:PAI(A;CI;CCDC;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CI;CCDC;;;S-1-5-80-3526382388-830156861-4107432654-3665941875-1028450966)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn",4,"O:BAD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut",4,"O:BAD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap",4,"O:BAD:PAI(A;CI;CCDC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo",4,"O:BAD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)" "machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Security",4,"O:BAD:AI" Z menu Notatnika > Plik > Zapisz pod nazwą fix.txt > przenieś go bezpośrednio na C:\ ----> W Notatniku wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc] "DisplayName"="@%SystemRoot%\\system32\\FirewallAPI.dll,-23090" "Group"="NetworkProvider" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,6f,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,00,00 "Description"="@%SystemRoot%\\system32\\FirewallAPI.dll,-23091" "ObjectName"="NT Authority\\LocalService" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):6d,00,70,00,73,00,64,00,72,00,76,00,00,00,62,00,66,00,\ 65,00,00,00,00,00 "ServiceSidType"=dword:00000003 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,\ 00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,75,\ 00,64,00,69,00,74,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,00,6f,00,74,00,69,\ 00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,\ 00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,\ 65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,00,74,00,65,00,50,\ 00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,\ 6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,\ 00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 6d,00,70,00,73,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords\DHCP] "Collection"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords\IPTLSIn] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords\IPTLSOut] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords\RPC-EPMap] "Collection"=hex:87,00,01,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords\Teredo] "Collection"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Security] "Security"=hex:01,00,14,80,b4,00,00,00,c0,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,84,00,05,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,28,00,15,00,\ 00,00,01,06,00,00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,\ 0e,a7,8b,eb,ca,7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,\ 00,00,00,05,12,00,00,00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 "Serial_Access_Num"=dword:00000020 "Num_Catalog_Entries64"=dword:00000006 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG 3. Uruchom naprawę (w tej a nie innej kolejności): z prawokliku na FIX.REG wybierz opcję Scal, następnie z prawokliku na plik FIX.BAT wybierz opcję Uruchom jako Administrator. Zresetuj system. 4. Przejdź do Panelu sterowania do modułu deinstalacji programów i odinstaluj śmieci: Softonic Deutsch FF Toolbar + StartNow Toolbar. 5. Stwórz nowe logi: OTL z opcji Skanuj (zaznacz Pomiń pliki Microsoftu) + AD-Remover z opcji Scan. Oczywiście odpowiadasz już w nowym poście, a nie edytujesz poprzedni. . Odnośnik do komentarza
qmineq Opublikowano 18 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 oto logi z OTL'a i ADR OTL.Txt Ad-Report-SCAN1.txt Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2012 Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 Coś tu nie gra. Winsock nie chce się zresetować w obszarze Protocol (obszar NameSpace naprawił mój FIX.REG). Powiedz mi co widzisz przy wykonaniu tego: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset. Co się pokazuje w oknie, jakiś błąd? . Odnośnik do komentarza
qmineq Opublikowano 18 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 Żądana operacja wymaga podniesienia uprawnień <uruchom jako administrator> Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2012 Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 Czy na pewno użyłeś opcji Uruchom jako Administrator? Bez tego FIX.BAT niestety nie wykonał zadania. . Odnośnik do komentarza
qmineq Opublikowano 18 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 nie pojawiła się taka opcja Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2012 Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 Tylko się upewnię, nie masz takiej opcji w menu kontekstowym (?): Zastartuj do Trybu awaryjnego, który charakteryzuje się prawami administracyjnymi, uruchom plik FIX.BAT. Następnie z powrotem wróć do Trybu normalnego i zrób nowy log z Farbar Service Scanner w celu potwierdzenia, że usługa Zapory też działa. . Odnośnik do komentarza
qmineq Opublikowano 18 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 log FSS.txt Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2012 Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 Zadanie zdaje się być wykonane. Teraz czyszczenie śmieci po adware-paskach. 1. Uruchom AD-Remover w trybie Clean. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..browser.search.defaulturl: "Yahoo" FF - prefs.js..browser.search.order.1: "Yahoo" FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.startup.homepage: "http://klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20110930&user_guid=3EA6E2D53DD24D22A764F659A2B95741&machine_id=dfe4347e8d07937be1388b65e48979e9&browser=FF&os=win&os_version=6.1-x64-SP0" FF - prefs.js..keyword.URL: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20110930&user_guid=3EA6E2D53DD24D22A764F659A2B95741&machine_id=dfe4347e8d07937be1388b65e48979e9&browser=FF&os=win&os_version=6.1-x64-SP0&q=" [2012-01-14 20:48:13 | 000,001,210 | ---- | M] () -- C:\Users\Madzia\AppData\Roaming\Mozilla\Firefox\Profiles\bds41t4u.default\searchplugins\search.xml [2011-09-30 09:50:48 | 000,001,390 | ---- | M] () -- C:\Users\Madzia\AppData\Roaming\Mozilla\Firefox\Profiles\bds41t4u.default\searchplugins\yahoo-zugo.xml O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{9D81AF43-DE53-48D0-A199-42C2A226B24C}"=- :Files rd /s /q C:\FRST /C rd /s /q C:\Windows\ERDNT /C del /q C:\Windows\SetACL.exe /C :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i powinieneś otrzymać log z wynikami usuwania. 3. Przedstaw nowy (i mam nadzieję, że ostatni) log z OTL z opcji Skanuj (zaznaczone "Pomiń pliki Microsoftu"). . Odnośnik do komentarza
qmineq Opublikowano 18 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 logi ADR logi z OTL Ad-Report-CLEAN2.txt OT L.txt Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2012 Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 Log z AD-Remover nie był mi potrzebny. Logi z OTL: upewnij się, że nie leżą poza krawędzią widoczności Pulpitu, tzn. wejdź bezpośrednio do katalogu C:\Users\Madzia\Desktop, zamiast sprawdzać co widać na wirtualnej przestrzeni ekranowej. Jeżeli rzeczywiście ich brak, wygeneruj je po prostu ponownie. EDIT: Dodałeś log z usuwania OTL, a gdzie jest: Przedstaw nowy (i mam nadzieję, że ostatni) log z OTL z opcji Skanuj (zaznaczone "Pomiń pliki Microsoftu"). . Odnośnik do komentarza
qmineq Opublikowano 18 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 przepraszam ze tak późno oto log z OTL OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2012 Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 Wszystko zrobione w zakresie widocznym w logach. Możemy przejść dalej: 1. Porządkowanie po używanych narzędziach: Odinstaluj AD-Remover. Ręcznie usun używane skanery marki Farbar. Odinstaluj w prawidłowy sposób ComboFix. Jeżeli skasowałeś już narzędzie, pobierz je ponownie na Pulpit, klawisz z flagą Windows + R i w Uruchom wklej polecenie:C:\Users\Madzia\Desktop\ComboFix.exe /uninstall W OTL uruchom funkcję Sprzątanie, która automatycznie skasuje z dysku OTL wraz z kwarantanną. 2. Przeprowadź pełne skanowanie systemu za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do sprawdzania. Przedstaw log z wykrytymi zagrożeniami, o ile takowe będą. . Odnośnik do komentarza
qmineq Opublikowano 18 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 gdzie znajde raport ze skanu Kasperskym kaspersky.txt Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2012 Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 Raport nie jest nigdzie zapisywany w sposób automatyczny. Należy to wykonać samodzielnie: w prawym górnym narożniku ikonka "kartki" > karta Detected threats > zapisz wyniki. EDIT: Dodany log. Wszystkie wyniki z C:\Windows\assembly to były resztki po ZeroAccess. Widzę, że skasowane. Odinstaluj Kasperskiego, wystarczy zamknąć okno, a proces się samoistnie dokona. 1. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 2. Wykonaj ważne aktualizacje: INSTRUKCJE. System nie ma Service Pack, są i programy wymagające łatania: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java 6 Update 25"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1"Mozilla Firefox 8.0.1 (x86 pl)" = Mozilla Firefox 8.0.1 (x86 pl) 3. Dla bezpieczeństwa zmień hasła logowania w serwisach. . Odnośnik do komentarza
qmineq Opublikowano 18 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 Jestem ci bardzo wdzięczny za pomoc. Dzięki za cierpliwość Odnośnik do komentarza
Rekomendowane odpowiedzi