Skocz do zawartości

Generic27.PN / ZeroAccess.dr.gen.d robi spustoszenie


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Te wyniki w MBAM były spodziewane, dlatego zadałam skan. To są oczywiście (już niegroźne) resztki naszego "przyjaciela". Usuń.

 

 

Przy uruchomieniu Kaspersky: "Some installation files are corrupt"

 

Usuń ręcznie wszystkie pliki związane z Kasperskym (jego instalator + gdzie się rozpakował), ponów czyszczenie lokalizacji za pomocą TFC - Temp Cleaner, pobierz ponownie aplikację i spróbuj ponownie.

 

 

 

.

Odnośnik do komentarza

Kasperskiego możesz odinstalować, co następuje przez zamknięcie okna. Na liście zainstalowanych programów nie zauważyłam wcześniej wpisu Facemoods Toolbar, który wygląda na martwy odpadek, wejdź do apletu deinstalacji programów i "odinstaluj" to = Windows powinien sklasyfikować ten wpis jako resztkę i zaproponować usunięcie. Ponownie wyczyść foldery Przywracania systemu. I zmierzamy do finału:

 

1. Dla bezpieczeństwa zmień hasła logowania w serwisach.

 

2. Zaopatrz się w antywirusa, aktualnie rozumiem, że goło po awaryjnym usuwaniu zainfekowanego AVG.

 

3. Wykonaj aktualizację oprogramowania. Na Twojej liście zainstalowanych widzę m.in:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 25

"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Gadu-Gadu 10" = Gadu-Gadu 10

 

- Podstawowe szczegóły aktualizacyjne: INSTRUKCJE

- Opcjonalnie polecam zamianę potwora GG10 czymś ludzkim. Propozycje: WTW, Miranda. Opisy znajdziesz w moim artykule: Darmowe komunikatory.

 

 

Potwierdź wykonanie akcji. Sprawdź czy wszystko działa jak należy. Podsumuj stan systemu.

 

 

.

Odnośnik do komentarza

Właśnie rozpoczynam aktualizacje, ale nic nie moge pobrać w IE. Nie działa ani dwuklik ani "zapisz element doceloway jako".

Ponadto, za każdym uruchomieniem IE pojawia się komunikat o uszkodzenieu domyślnego dostawcy wyszukiwania i przywróceniu domyślnego.

Nie wyświetla się historia w IE.

Windows Update nie może wyszukać nowych aktualizacji. Wyświetla błąd o kodzie 80096001.

Odinstalowełem Jave i nie mogę zainstalować nowej. Błąd: "System nie może odnależć określonej ścieżki".

 

Mam także pytania:

 

ad.1

Jakich serwisow dotyczyc ma zmiana hasel? Czy chodzi takze o poczte?

 

ad.2

Jest golo. Czy ponowne zainstalowanie AVG to dobry pomysl, czy moze sugerujesz inne narzedzie w wersji free?

Odnośnik do komentarza
Jakich serwisow dotyczyc ma zmiana hasel? Czy chodzi takze o poczte?

 

Wszystkich serwisów, w których się logujesz, czyli poczta zawiera się w tym.

 

 

Jest golo. Czy ponowne zainstalowanie AVG to dobry pomysl, czy moze sugerujesz inne narzedzie w wersji free?

 

Na razie nie instaluj antywirusa, dopóki nie poradzimy sobie z pozostałymi szkodami. Antywirus może utrudnić diagnostykę.

 

 

Windows Update nie może wyszukać nowych aktualizacji. Wyświetla błąd o kodzie 80096001.

 

No to mamy problem KLIK. Błąd jest konsekwencją manipulacji ZeroAccess, podłoże błędu nieznane i do dziś nie wiem skąd ta rozbieżność, że w jednym temacie udało mi się to rozwiązać, ale w pozostałych brak efektów. Na razie opuśćmy ten wątek, bo widzę to:

 

 

Właśnie rozpoczynam aktualizacje, ale nic nie moge pobrać w IE. Nie działa ani dwuklik ani "zapisz element doceloway jako".

Ponadto, za każdym uruchomieniem IE pojawia się komunikat o uszkodzenieu domyślnego dostawcy wyszukiwania i przywróceniu domyślnego.

Nie wyświetla się historia w IE.

 

Wykonaj naprawę IE9 na podstawie artykułu KB318378. Czyli użyj automat Fix-it oraz przeprowadź i ręcznie wszystkie kroki resetu IE do postaci domyślnej (zaznacz do resetu wszystkie opcje a nie jak na obrazku) + jego reinstalacji (odinstaluj aktualny IE9, zainstaluj ponownie z nowego instalatora).

 

 

Odinstalowełem Jave i nie mogę zainstalować nowej. Błąd: "System nie może odnależć określonej ścieżki".

 

Pokaż dokładnie jak to wygląda, obrazek z tego zdarzenia.

 

 

 

.

Odnośnik do komentarza

Wykonaj naprawę IE9 na podstawie artykułu KB318378. Czyli użyj automat Fix-it oraz przeprowadź i ręcznie wszystkie kroki resetu IE do postaci domyślnej (zaznacz do resetu wszystkie opcje a nie jak na obrazku) + jego reinstalacji (odinstaluj aktualny IE9, zainstaluj ponownie z nowego instalatora).

 

 

Czy zachowają się Ulubione, czy zrobić kopię zapasową?

Odnośnik do komentarza
Czy Fix-it można pobrać także z innego źródła jak strona Microsoftu? Uszkodzony IE nie chce mi tego odpalić ani pobrać, a tabletem nie mogę ściągnąć, bo mam niezgodny system.

 

Opuść Fix-it. Sprawdź czy jesteś w stanie otworzyć Opcje internetowe poprzez Panel sterowania > Sieć i internet, by móc zresetować przeglądarkę. Jeżeli nie, to zabierz się za reinstalację IE9.

 

 

 

.

Odnośnik do komentarza
Wcześniej probowałem także zainstalować Operę, żeby ewentualnie za jej pośrednictwem ściągać pliki. Ale niestety nie udało się.

 

Zapomniałam zapytać: co to konkretnie oznacza? "nie udało się" = co, jakie błędy?

 

 

W IE8 powielają się te same błędy

 

Zrób ręczne wyzerowanie ustawień IE na poziomie rejestru, poprzez całkowite wymazanie kluczy "Internet Explorer" + "Internet Settings" w gałęziach HKLM i HKCU. Zaimportujesz klucze z fabrycznego systemu Windows 7 zaraz po instalacji (IE8). W imporcie uzgodniłam ścieżkę do C:\Users\Aga i Piotr.

 

Pobierz ten plik: KLIK. Na poszkodowanym systemie zrób punkt Przywracania systemu, by w razie wpadki można było odkręcić akcję. Uruchom FIX.REG z poziomu poszkodowanego systemu, poprzez wybór z prawokliku opcji Scal. Zresetuj system. Sprawdź czy Internet Explorer nadal zwraca błędy.

 

 

.

Odnośnik do komentarza
Uruchomienie fix.reg kończy się błędem. Komunikat błędu w załączeniu.

 

Zignoruj to. Zobaczymy efekty.

 

 

Załączam także komunikat błędu pojawiający się przy próbie instalacji Opery.

 

Wygląda na wyzerowane przez rootkita uprawnienia dla katalogu tymczasowego. Po kolei sprawdzaj czy jesteś w stanie przejść te ścieżki i gdzie następuje Odmowa dostępu:

 

C:\Users\Aga i Piotr\AppData\Local\Temp

 

Pierwszy folder, który zwróci Odmowę dostępu: pobierz Właściwości > karta Zabezpieczenia > pokaż co tam widać.

 

 

.

 

 

Odnośnik do komentarza
Odmowa dostępu przy "Danych aplikacji". Kopia karty w załączeniu.

 

Czy na pewno klikasz na AppData a nie link symboliczny "Application Data"? Pokaż który katalog próbujesz odwiedzisz.

 

Jeżeli to będzie na pewno to, będę resetować drzewo od AppData w dół, uwzględniając standardowe katalogi obecne zaraz po instalacji Windows (omijam katalogi programów wtórnych). Do resetu potrzebuję SID (identyfikator) Twojego konta użytkownika w Windows. Akurat Twój log z OTL go nie pokazuje. Przedstaw log z narzędzia sid.vbs: KLIK (punkt 3).

 

 

 

 

.

Odnośnik do komentarza

Dodaj jeszcze spis uprawnień całej gałęzi C:\Users oraz SerViceProfiles. Zakładam, że narzędzie SetACL (stosowane wcześniej przy usuwaniu łącza rootkita) nadal masz w katalogu C:\Windows. Uruchom cmd jako Administrator i wklej po kolei komendy:

 

SetACL -on "C:\Users" -ot file -actn list -lst "f:sddl;w:d,o;i:n;s:y" -rec yes -bckp C:\lista1.txt

SetACL -on "C:\Windows\ServiceProfiles" -ot file -actn list -lst "f:sddl;w:d,o;i:n;s:y" -rec yes -bckp C:\lista2.txt

 

Wynikowe pliki C:\lista1.txt + C:\lista2.txt dołącz. Mam też pytanie: czy folder C:\Users\Aga i Piotr nie jest przypadkiem ukryty (widoczny jako wyblakły)?

 

 

Z sid.vbs mam problem. W IE nie mogę nic ściągnąć, a w tablecie od razu otwiera się plik tekstowy i gdy go zapisuję to zmienia się formatowanie. Jutro ściągnę go na innym komputerze.

 

Start > w polu szukania wpisz regedit > z prawokliku wyeksportuj ten klucz (ale zmień format zapisu z REG do TXT)

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

 

 

 

.

Odnośnik do komentarza

1. Zrób pełną kopię rejestru za pomocą narzędzia RegBak, zapakuj do ZIP i prześlij do analizy. To potrwa.

 

2. Co do logów, dla pewności podaj jeszcze skan dodatkowy innym narzędziem, gdyż nie uwzględniłam listowania obiektów dziedziczonych. Pobierz GrantPerms, z prawokliku Uruchom jako Administrator, w oknie wklej co poniżej i klik w List Permissions.

 

C:\Users\Aga i Piotr\AppData\Local\Temp 
c:\Windows\ServiceProfiles
c:\Windows\ServiceProfiles\LocalService\AppData
c:\Windows\ServiceProfiles\LocalService\AppData\Local
c:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp
c:\Windows\ServiceProfiles\LocalService\AppData\LocalLow
c:\Windows\ServiceProfiles\LocalService\AppData\LocalLow\Microsoft
c:\Windows\ServiceProfiles\LocalService\AppData\LocalLow\Microsoft\CryptnetUrlCache
c:\Windows\ServiceProfiles\LocalService\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
c:\Windows\ServiceProfiles\LocalService\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData
c:\Windows\ServiceProfiles\LocalService\AppData\Roaming
c:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft
c:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto
c:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\RSA
c:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-19
c:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\SystemCertificates
c:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\SystemCertificates\My
c:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates
c:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\SystemCertificates\My\CRLs
c:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs
c:\Windows\ServiceProfiles\NetworkService
c:\Windows\ServiceProfiles\NetworkService\AppData
c:\Windows\ServiceProfiles\NetworkService\AppData\Local
c:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp
c:\Windows\ServiceProfiles\NetworkService\AppData\LocalLow
c:\Windows\ServiceProfiles\NetworkService\AppData\LocalLow\Microsoft
c:\Windows\ServiceProfiles\NetworkService\AppData\LocalLow\Microsoft\CryptnetUrlCache
c:\Windows\ServiceProfiles\NetworkService\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
c:\Windows\ServiceProfiles\NetworkService\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData
c:\Windows\ServiceProfiles\NetworkService\AppData\Roaming
c:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft
c:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Crypto
c:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Crypto\RSA
c:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-20
c:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareProtectionPlatform
c:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareProtectionPlatform\Cache
c:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SystemCertificates
c:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SystemCertificates\My
c:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates
c:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SystemCertificates\My\CRLs
c:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs

 

3. Podaj także listing pełnej struktury ServiceProfiles. Uruchom OTL, wszystkie opcje ustaw na Brak+Żadne, w sekcji Własne opcje skanowania / skrypt wklej co poniżej i klik w Skanuj.

 

dir /s /a c:\Windows\ServiceProfiles /C

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...