Skocz do zawartości

Windows Defender przestał działać


Rekomendowane odpowiedzi

dzień dobry,

 

mam nastepujący problem z komputerem. Nie wiem kiedy się to stało bo zauważyłam to wczoraj z tygodniowego urlopu. Przez ten czas komp nie był uruchamiany. Chodzi mi o usługę Windows Defender. Mój system to Vista sp2 64bit. W czasie mojej nieobecności wyszły aktualizacje

w "Windows Update", które m.in. dotyczyły WD. Niestety nie mogę ich zainstalować, ręczne uruchomienie Windows Defendera w Panelu Sterowania kończy się komunikatem

 

"Nie można zainicjować aplikacji 0x800106ba. Usługa tego programu została zatrzymana z powodu wystapienia problemu".

 

Potem Próbowałam w services.msc. W "Usługach" w ogóle nie można odczytać opisu (zdjęcie1). po kliknięciu "uruchom" pojawia się komunikat o błędzie. Skanowanie standardowymi programami typu Ad-aware, malwarebytes nic nie znalazło. Dodatkowo Mam też log z HiJackThis (wiem ze eksperci uznają go za przestarzały i niewiele warty) ale on wykrył coś czego wcześniej na pewno nie miałam, może ma to związek z moim problemem. Chodzi mi o część loga:

:

O1 - Hosts: ::1 localhost

O1 - Hosts: 67.215.245.19 www.google-analytics.com.

O1 - Hosts: 67.215.245.19 ad-emea.doubleclick.net.

O1 - Hosts: 67.215.245.19 www.statcounter.com.

O1 - Hosts: 108.163.215.51 www.google-analytics.com.

O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net.

O1 - Hosts: 108.163.215.51 www.statcounter.com.

post-4004-0-13490500-1330960836_thumb.jpg

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W logu usługi od ZeroAccess:

 

SRV:64bit: - [2008/01/21 03:49:28 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Disabled | Stopped] -- C:\Windows\SysNative\w200bus.dll -- (lvusbsta)

SRV:64bit: - [2008/01/21 03:49:28 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Disabled | Stopped] -- C:\Windows\SysNative\sbhooksvc.dll -- (DLARTL_M)

 

Na początek zacznij od użycia ComboFix i zaprezentuj log. Po tym działaniu wykonaj też nowe logi z OTL oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) i załącz do posta.

Odnośnik do komentarza

Tu nie jest pewne, czy ZeroAccess jest rzeczywiście czynny, mimo dziwnego zachowania ComboFix sugerującego odwrotność. Te dwie usługi ZeroAccess mają status Disabled (Wyłączony) + Stopped (Zatrzymany), poza tym brak innych oznak w raporcie sugerujących działania tej infekcji, choć widać od niej ten plik:

 

[2012/02/28 20:06:09 | 000,000,000 | -HS- | C] () -- C:\Windows\SysNative\dds_trash_log.cmd

 

Wykonaj skan potwierdzający (nie)istnienie składników. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej:

 

netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
c:\Windows\system32\consrv.dll /64
C:\Windows\assembly\GAC_64\*.*
C:\Windows\assembly\GAC_32\*.*
dir /s /a C:\Windows\assembly\tmp /C

 

Klik w Skanuj (nie Wykonaj skrypt!). Przedstaw log wynikowy.

 

 

Niestety nie mogę ich zainstalować, ręczne uruchomienie Windows Defendera w Panelu Sterowania kończy się komunikatem

 

"Nie można zainicjować aplikacji 0x800106ba. Usługa tego programu została zatrzymana z powodu wystapienia problemu".

 

Potem Próbowałam w services.msc. W "Usługach" w ogóle nie można odczytać opisu (zdjęcie1). po kliknięciu "uruchom" pojawia się komunikat o błędzie.

 

To jest usterka innego poziomu, efekt insynuuje zepsute pliki Windows Defender, z których jest pobierana nazwa. Przeprowadź weryfikację plików systemowych za pomocą komendy sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

 

 

Dodatkowo Mam też log z HiJackThis (wiem ze eksperci uznają go za przestarzały i niewiele warty) ale on wykrył coś czego wcześniej na pewno nie miałam, może ma to związek z moim problemem. Chodzi mi o część loga

 

Eeeee ... ale proszę popatrz na log z OTL:

 

O1 HOSTS File: ([2012/02/28 21:26:55 | 000,001,398 | RHS- | M]) - C:\Windows\SysNative\drivers\etc\Hosts

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: ::1 localhost

O1 - Hosts: 67.215.245.19 www.google-analytics.com.

O1 - Hosts: 67.215.245.19 ad-emea.doubleclick.net.

O1 - Hosts: 67.215.245.19 www.statcounter.com.

O1 - Hosts: 108.163.215.51 www.google-analytics.com.

O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net.

O1 - Hosts: 108.163.215.51 www.statcounter.com.

 

Log z OTL przedstawia wszystko co HijackThis i jeszcze więcej i jeszcze dokładniej. My mamy naprawdę dobry powód, że nie prosimy o HijackThis, a już zwłaszcza na systemie 64-bit, którym dysponujesz. To narzędzie jest 32-bitowe i kompletnie niezgodne z Twoim systemem, nie pokazuje prawdy w obszarze natywnie 64-bit i wprowadza w błąd (w posiadanym logu popatrz na wpisy "file missing" = to są błędy poboru danych przez narzędzie a nie rzeczywiste "file missing"). Wyrzuć z dysku i definitywnie o nim zapomnij. A ostatnie wieści: program zakończył oficjalnie żywot jako aplikacja TrendMicro, usunięty ze strony producenta i przetransportowany na SourceForge. Nareszcie.

 

Co do wpisów: nie, te wpisy nie powodują omawianych tu błędów. Natomiast trzeba je usunąć (mowa o wszystkim z wyjątkiem dwóch pierwszych linijek, które są prawidłowe, odpowiednio zgodne z protokołem IPv4 i protokołem IPv6). Ponadto sam plik HOSTS ma złe atrybuty (RHS = tylko do odczytu - ukryty - systemowy). Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

Jest jeszcze dziwna rzecz w wartości BootExecute i odpadki, ale tym się zajmiemy potem.

 

 

.

Odnośnik do komentarza

ZeroAccess w formie czynnej tu nie ma, to są jedynie odpadki i szybko to poprawimy. Chyba ktoś nieudolnie usuwał tę infekcję, a na dysku jest katalog narzędzia FRST. Natomiast skan SFC namierzył całkiem co innego, ale nie uszkodzenia Windows Defender. I czy resetowałaś plik HOSTS?

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV:64bit: - [2008/01/21 03:49:28 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Disabled | Stopped] -- C:\Windows\SysNative\w200bus.dll -- (lvusbsta)
SRV:64bit: - [2008/01/21 03:49:28 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Disabled | Stopped] -- C:\Windows\SysNative\sbhooksvc.dll -- (DLARTL_M)
NetSvcs:64bit: lvusbsta - C:\Windows\SysNative\w200bus.dll (Oak Technology Inc.)
NetSvcs:64bit: DLARTL_M - C:\Windows\SysNative\sbhooksvc.dll (Oak Technology Inc.)
O34 - HKLM BootExecute: (C:\Windows\12542059.exe \??\C:\Windows\12542059.dat)
[2012/03/03 21:33:46 | 000,000,000 | -HS- | M] () -- C:\Windows\SysNative\dds_trash_log.cmd
[2010/10/09 18:31:06 | 000,000,012 | ---- | C] () -- C:\Users\Wiki\AppData\Roaming\ldcpfk.dat
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-1664850960-2529085890-1216291335-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-1664850960-2529085890-1216291335-1000\..\Toolbar\WebBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found.
O3 - HKU\S-1-5-21-1664850960-2529085890-1216291335-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-1664850960-2529085890-1216291335-1000\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found.
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\crossriderapp498@crossrider.com: C:\Users\Wiki\AppData\Local\RewardsArcade\498\Firefox [2012/03/04 18:50:36 | 000,000,000 | ---D | M]
@Alternate Data Stream - 971 bytes -> C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BF1V4WG4H6PT4KGM8HTV4K6N636VFSVF7JB4VPJGF
@Alternate Data Stream - 368 bytes -> C:\Users\Wiki\AppData\Local\desktop.ini:722b2b1c349a06abf0e866180e5a7e63
@Alternate Data Stream - 1382 bytes -> C:\Program Files\Common Files\Microsoft Shared:bmLFMhEa2EVogCHNwCPrR9J
@Alternate Data Stream - 1377 bytes -> C:\ProgramData\Microsoft:MmzRPuzNiFUUi5E1
@Alternate Data Stream - 1352 bytes -> C:\Users\Wiki\AppData\Local\qkIbWnVUDHWGQ:J8ONlvgp2ih4sUFnzvd2ZAHTh4
@Alternate Data Stream - 1168 bytes -> C:\ProgramData\Microsoft:BqtOXo766Jy0OOggqC13QHA8bJ
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{4591085A-945E-46F3-BF69-4B5AC3C76D90}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{2F9F2BBB-B96D-46F2-816E-BC93D1323C1B}]
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

2. Wykonaj nowe logi: skan z OTL z opcji Skanuj + AdwCleaner z opcji Search + SystemLook:

 

Ponadto zrób dodatkowy skan pokazujący wygląd usługi oraz składowe folderów Windows Defender, plus wyszukiwanie na wystąpienia pliku msscb.dll (SFC nie umiał go naprawić). Uruchom SystemLook x64, w oknie wklej poniższy tekst, kliknij w Look i czekaj na raport.

 

:reg

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend /s

 

:dir

C:\Program Files\Windows Defender /s

C:\Program Files (x86)\Windows Defender /s

 

:filefind

msscb.dll

 

Przedstaw też ten log z usuwania z punktu 1.

 

 

 

.

Odnośnik do komentarza

Tak, Plik HOSTS resetowałam tym fixem w poprzednich czynnosciach. Tylko nie wiem co teraz robić, chodzi o czynność z 1 punktu - OTL z wklejonym skryptem się zawiesił od kilkunastu minut czekam i nic. Nie wiem czy się sam odwiesi i dalej czekać czy go zamknąc jeśli to bezpieczne

 

 

w poprzednim poście nie sprecyzowałaś czy dodatkowe opcje OTLa mam jakoś ustawić. Może tu jest problem

 

 

Chyba utknęłam w martwym punkcie. OTL zawiesił się na dobre, więc zamknęłam go Ctrl+Alt+Del. Sama zrestartowałam ale system się nie uruchomil, mignąl tylko niebieski ekran z jakimś błędem. W trybie arayjnym to samo. Dopiero zadziałało uruchomienie "ostatnia dobra konfiguracja". Nie wiem czy pominąc ten krok i przjeść do skanowania AdwCleaner a potem SystemLook czy może próbować z OTL.

post-4004-0-37212600-1331036328_thumb.jpg

Edytowane przez Wiki84
Odnośnik do komentarza
w poprzednim poście nie sprecyzowałaś czy dodatkowe opcje OTLa mam jakoś ustawić. Może tu jest problem

 

Nie myl z funkcją skanowania. Te opcje nie mają żadnego znaczenia, jeśli wybiera się "Wykonaj skrypt".

 

 

Chyba utknęłam w martwym punkcie. OTL zawiesił się na dobre, więc zamknęłam go Ctrl+Alt+Del. Sama zrestartowałam ale system się nie uruchomil, mignąl tylko niebieski ekran z jakimś błędem. W trybie arayjnym to samo. Dopiero zadziałało uruchomienie "ostatnia dobra konfiguracja". Nie wiem czy pominąc ten krok i przjeść do skanowania AdwCleaner a potem SystemLook czy może próbować z OTL.

 

Ponów wykonanie skryptu, ale tym razem wklej treść pomijając końcówkę:

 

:Commands

[emptytemp]

 

 

 

.

 

 

Odnośnik do komentarza

OTL ponownie się zawiesił w tym samym momencie przy Processing 034 - HKLM BootExecute. Po ręcznym uruchomieniu systemu też tylko opcja "ostatnia znane dobra konfiguracja" pozwala na uruchomienie systemu.

Po tym ręcznym uruchomieniu pojawił się na pulpicie komunikat ale nie ten o który chodzi. Tak wygląda:

post-4004-0-63390900-1331046879_thumb.jpg

Odnośnik do komentarza

dziwne rzeczy się dzieją... po usunięciu tej linii OTL wykonał skan bez zawieszki. Pojawil się komunikat, by wykonać restart. I po restarcie to co przedtem - niebieski ekran na samym początku paska ładowania systemu i tylko uruchomienie z ostatniej dobrej konfiguracja działa. Tym nie mniej po uruchomieniu na pulpicie znowu pojawił się log w otwartym notatniku. Tym razem jest dluższy. Musze skopiować bo nie mam uprawnień do wysylania takiego loga, więc rozumiem że nie pochodzi z OTL:

 

 

Tytuł loga to "03062012_173432"

 

All processes killed

========== OTL ==========

Service lvusbsta stopped successfully!

Service lvusbsta deleted successfully!

File move failed. C:\Windows\SysNative\w200bus.dll scheduled to be moved on reboot.

Service DLARTL_M stopped successfully!

Service DLARTL_M deleted successfully!

File move failed. C:\Windows\SysNative\sbhooksvc.dll scheduled to be moved on reboot.

Unable to remove from NetSvcs value.

Error: No service named was found to stop!

Unable to delete service\driver key .

File indows\SysNative\w200bus.dll not found.

Unable to remove from NetSvcs value.

Error: No service named was found to stop!

Unable to delete service\driver key .

File indows\SysNative\sbhooksvc.dll not found.

File move failed. C:\Windows\SysNative\dds_trash_log.cmd scheduled to be moved on reboot.

C:\Users\Wiki\AppData\Roaming\ldcpfk.dat moved successfully.

64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.

Registry value HKEY_USERS\S-1-5-21-1664850960-2529085890-1216291335-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.

Registry value HKEY_USERS\S-1-5-21-1664850960-2529085890-1216291335-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BA14329E-9550-4989-B3F2-9732E92D17CC} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BA14329E-9550-4989-B3F2-9732E92D17CC}\ not found.

Registry value HKEY_USERS\S-1-5-21-1664850960-2529085890-1216291335-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

Registry value HKEY_USERS\S-1-5-21-1664850960-2529085890-1216291335-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D43723AE-1AE1-4A25-A6A4-BF0929273CAB} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D43723AE-1AE1-4A25-A6A4-BF0929273CAB}\ not found.

File HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\crossriderapp498@crossrider.com: C:\Users\Wiki\AppData\Local\RewardsArcade\498\Firefox not found.

ADS C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BF1V4WG4H6PT4KGM8HTV4K6N636VFSVF7JB4VPJGF deleted successfully.

ADS C:\Users\Wiki\AppData\Local\desktop.ini:722b2b1c349a06abf0e866180e5a7e63 deleted successfully.

ADS C:\Program Files\Common Files\Microsoft Shared:bmLFMhEa2EVogCHNwCPrR9J deleted successfully.

ADS C:\ProgramData\Microsoft:MmzRPuzNiFUUi5E1 deleted successfully.

ADS C:\Users\Wiki\AppData\Local\qkIbWnVUDHWGQ:J8ONlvgp2ih4sUFnzvd2ZAHTh4 deleted successfully.

ADS C:\ProgramData\Microsoft:BqtOXo766Jy0OOggqC13QHA8bJ deleted successfully.

========== REGISTRY ==========

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{4591085A-945E-46F3-BF69-4B5AC3C76D90}" /E : value set successfully!

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{2F9F2BBB-B96D-46F2-816E-BC93D1323C1B}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2F9F2BBB-B96D-46F2-816E-BC93D1323C1B}\ not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Wiki

->Temp folder emptied: 2074989 bytes

->Temporary Internet Files folder emptied: 154973091 bytes

->Java cache emptied: 4462686 bytes

->Google Chrome cache emptied: 49762486 bytes

->Opera cache emptied: 0 bytes

->Flash cache emptied: 57048 bytes

 

User: All Users

 

User: AppData

 

User: Application Data

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

->Flash cache emptied: 56475 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Public

 

User: TEMP

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

->Flash cache emptied: 56504 bytes

 

User: TEMP.WIKI-PC

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

->Flash cache emptied: 57184 bytes

 

User: UpdatusUser

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

->Flash cache emptied: 56504 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 757760 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 1309302 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 301874 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 35840589 bytes

%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 328 bytes

RecycleBin emptied: 1125941559 bytes

 

Total Files Cleaned = 1,312.00 mb

 

 

OTL by OldTimer - Version 3.2.35.0 log created on 03062012_173432

Files\Folders moved on Reboot...

File move failed. C:\Windows\SysNative\w200bus.dll scheduled to be moved on reboot.

File move failed. C:\Windows\SysNative\sbhooksvc.dll scheduled to be moved on reboot.

File move failed. C:\Windows\SysNative\dds_trash_log.cmd scheduled to be moved on reboot.

C:\Users\Wiki\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

File move failed. C:\Windows\SysNative\SET13A4.tmp scheduled to be moved on reboot.

File move failed. C:\Windows\SysNative\SET13C6.tmp scheduled to be moved on reboot.

File move failed. C:\Windows\SysNative\SET5D35.tmp scheduled to be moved on reboot.

File move failed. C:\Windows\SysNative\SET5E22.tmp scheduled to be moved on reboot.

File move failed. C:\Windows\SysNative\SETAB7F.tmp scheduled to be moved on reboot.

File move failed. C:\Windows\SysNative\SETADE3.tmp scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Odnośnik do komentarza

A gdzie jest log z OTL z opcji Skanuj? Dołącz w poście powyżej, zedytuję swój stosownie do tego co zobaczę.

 

EDIT

 

No tak, log z OTL bez zmian w części która stawia opór, zaś plik HOSTS nie jest wcale zresetowany. Może na wszelki wypadek podaj jeszcze skan z Kaspersky TDSSKiller, czy tu nie ma czegoś dodatkowego, czego nie widać. Jeżeli cokolwiek zostałoby wykryte, przyznaj akcję Skip i tylko log zaprezentuj. Jeżeli Kaspersky nic nie wykryje, log jest zbędny.

 

 

 

.

Odnośnik do komentarza

Tak swoją drogą to widzę, że więcej usług niedomyślnych ma status "Disabled", czy tu nie było jakiejś kombinacji z msconfig? Z innej strony się zabierzmy za te podejrzane wpisy, nie przez skrypt OTL i nie wszystko na raz. Na początek załadowanie domyślnego wpisu BootExecute + wartości NetSvcs na systemie Vista x64:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
  00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
"netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\
  63,00,00,00,77,00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,\
  00,72,00,74,00,00,00,54,00,68,00,65,00,6d,00,65,00,73,00,00,00,43,00,65,00,\
  72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,00,00,00,53,00,43,00,50,\
  00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,00,00,6c,00,61,00,6e,00,\
  6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,00,00,00,67,00,70,00,73,\
  00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,54,00,00,00,41,00,75,00,\
  64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,00,73,00,74,00,55,00,73,\
  00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,69,00,6e,00,67,00,43,00,\
  6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,00,69,00,74,00,79,00,00,\
  00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,6e,00,00,00,4e,00,6c,00,\
  61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,00,00,4e,00,57,00,43,\
  00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,\
  4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,74,00,00,00,52,00,61,\
  00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,00,6d,00,61,00,6e,00,\
  00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,63,00,65,00,73,00,73,\
  00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,\
  61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,\
  00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,\
  57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,00,\
  00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,\
  77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,00,42,00,49,00,54,00,53,\
  00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,00,74,00,65,00,\
  63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,00,6f,00,6e,00,48,00,6f,\
  00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,64,00,69,00,74,00,00,00,\
  68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,00,70,00,6c,00,6f,00,61,\
  00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,6c,00,70,00,73,00,76,00,\
  63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,41,00,70,\
  00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,69,00,73,00,63,00,73,00,\
  69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,68,00,6b,00,6d,00,73,00,76,\
  00,63,00,00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,73,00,63,00,\
  68,00,65,00,64,00,75,00,6c,00,65,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,\
  00,74,00,00,00,53,00,65,00,73,00,73,00,69,00,6f,00,6e,00,45,00,6e,00,76,00,\
  00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,50,00,72,00,6f,00,66,\
  00,53,00,76,00,63,00,00,00,00,00
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lvusbsta]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLARTL_M]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik wybierz opcję Scal

 

2. Zresetuj system i wygeneruj nowy log z OTL z opcji Skanuj.

 

 

 

.

Odnośnik do komentarza

Zadanie się wykonało, BootExecute i wpisy usług ZeroAccess w rejestrze mamy z głowy. Teraz druga partia zadania, czyli pliki na dysku, które stawiły opór w OTL.

 

1. Uruchom GrantPerms x64, w oknie wklej:

 

C:\Windows\system32\w200bus.dll
C:\Windows\system32\sbhooksvc.dll
C:\Windows\system32\dds_trash_log.cmd
C:\Windows\system32\drivers\etc\Hosts

 

Klik w Unlock.

 

2. Otwórz Notatnik i wklej w nim:

 

del /q C:\Windows\system32\w200bus.dll

del /q C:\Windows\system32\sbhooksvc.dll

del /q C:\Windows\system32\dds_trash_log.cmd

attrib -r -s -h C:\Windows\system32\drivers\etc\Hosts

pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > z prawokliku na ten plik wybierz Uruchom jako Administrator

 

3. Ponownie zastosuj narzędzie Fix-it Microsoftu z KB972034 do przywracania domyślnego pliku HOSTS.

 

4. Zresetuj system. Podaj nowy log z OTL z opcji Skanuj.

 

 

 

 

.

Odnośnik do komentarza

1. Zadanie prawie wykonane, HOSTS ma już prawidłowe atrybuty i domyślną zawartość, ale ostał się ten:

 

[2012/03/03 21:33:46 | 000,000,000 | -HS- | M] () -- C:\Windows\SysNative\dds_trash_log.cmd

 

Moje niedopatrzenie, plik ma atrybuty HS i przed poleceniem del musi mieć je zdjęte. Powtórz sobie plik FIX.BAT, tym razem o zawartości:

 

attrib -s -h  C:\Windows\system32\dds_trash_log.cmd
del /q C:\Windows\system32\dds_trash_log.cmd
pause

 

 

2. Przejdźmy do sprawy z Windows Defender i "Błąd 126: Nie można odnaleźć określonego modułu" + "Nie można odczytać opisu. Kod błędu: 2" przy odczycie danych. Głównym modułem usługi jest MpSvc.dll, zaś opis jest pobierany z modułu MsMpRes.dll. Problem jest w tym, że w rejestrze jest skierowanie na moduły z katalogu 32-bit (%ProgramFiles(x86)%), podczas gdy w tym katalogu nie ma takowych. Prawidłowa lokalizacja obu modułów to folder 64-bit (%ProgramFiles%):

 

========== reg ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend]

"Description"="@%ProgramFiles(x86)%\Windows Defender\MsMpRes.dll,-3068"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Parameters]

"ServiceDll"="%ProgramFiles(x86)%\Windows Defender\mpsvc.dll"

 

 

========== dir ==========

 

C:\Program Files\Windows Defender - Parameters: "/s"

 

---Files---

MpSvc.dll --a---- 383544 bytes [02:46 21/01/2008] [02:46 21/01/2008]

MsMpRes.dll --a---- 654440 bytes [15:00 02/11/2006] [15:00 02/11/2006]

 

C:\Program Files (x86)\Windows Defender - Parameters: "/s"

 

Ktoś tu chyba coś grzebał, że przekierowało zmienne. Popraw wszystko. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend]

"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"

"ErrorControl"=dword:00000001

"Group"="COM Infrastructure"

"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00

"Start"=dword:00000002

"Type"=dword:00000020

"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-3068"

"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00

"ObjectName"="LocalSystem"

"ServiceSidType"=dword:00000001

"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\

00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\

65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\

00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\

74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\

00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\

69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\

00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\

6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\

00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\

00,00

"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\

00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Parameters]

"ServiceDllUnloadOnStop"=dword:00000001

"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\

00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\

20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\

00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal

 

Zresetuj system i sprawdź w services.msc czy usługa Windows Defender wróciła do normy.

 

 

.

Odnośnik do komentarza

1. Zaległa sprawa z tym odczytem z SFC:

 

2012-03-06 11:11:23, Info                  CSI    00000335 [sR] Cannot repair member file [l:18{9}]"msscb.dll" of WindowsSearchEngine, Version = 7.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch

2012-03-06 11:11:23, Info CSI 00000337 [sR] Cannot repair member file [l:18{9}]"msscb.dll" of WindowsSearchEngine, Version = 7.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch

2012-03-06 11:11:23, Info CSI 00000338 [sR] This component was referenced by [l:162{81}]"Package_16_for_KB948465~31bf3856ad364e35~amd64~~6.0.1.18005.948465-57_neutral_GDR"

2012-03-06 11:11:23, Info CSI 0000033b [sR] Could not reproject corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:18{9}]"msscb.dll"; source file in store is also corrupted

 

Poprawny plik do zamiany: KLIK. Plikiem tym wymieniasz te dwa:

 

C:\Windows\System32\msscb.dll

C:\Windows\winsxs\amd64_windowssearchengine_31bf3856ad364e35_7.0.6002.18005_none_9993048c6fc005d9\msscb.dll

 

Dla ułatwienia posłuż się narzędziem Windows Se7en File Replacer.

 

2. Zapomniałam dać to: w AdwCleaner uruchom Delete, a gdy ukończy to Uninstall.

 

3. Porządki po narzędziach:

  • Była próba z ComboFix. Należy go w prawidłowy sposób odinstalować, co także wdroży procedurę czyszczenia folderów Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\ComboFix.exe /uninstall
  • Po tym możesz zastosować Sprzątanie w OTL. No i dokasować ręcznie wszystkie inne narzędzia stosowane do analiz / napraw.

4. Drobne komentarze do zainstalowanych programów:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 26

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Gadu-Gadu" = Gadu-Gadu 7.7

"Gadu-Gadu 10" = Gadu-Gadu 10

 

Starszą Javę możesz odinstalować, masz stary Adobe Flash w wersji pod przeglądarki alternatywne i odinstaluj go, a duplikat Gadu sugeruję zamienić jednym a porządnym programem. W moim artykule Darmowe komunikatory popatrz na opisy: WTW, Kadu, Miranda, AQQ. Pogrubiam konkretny, gdyż go sobie bardzo chwalę i jest programem dobrze dostosowanym do 64-bitowego Windows.

 

 

 

 

.

Edytowane przez picasso
17.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...