Wiki84 Opublikowano 5 Marca 2012 Zgłoś Udostępnij Opublikowano 5 Marca 2012 dzień dobry, mam nastepujący problem z komputerem. Nie wiem kiedy się to stało bo zauważyłam to wczoraj z tygodniowego urlopu. Przez ten czas komp nie był uruchamiany. Chodzi mi o usługę Windows Defender. Mój system to Vista sp2 64bit. W czasie mojej nieobecności wyszły aktualizacje w "Windows Update", które m.in. dotyczyły WD. Niestety nie mogę ich zainstalować, ręczne uruchomienie Windows Defendera w Panelu Sterowania kończy się komunikatem "Nie można zainicjować aplikacji 0x800106ba. Usługa tego programu została zatrzymana z powodu wystapienia problemu". Potem Próbowałam w services.msc. W "Usługach" w ogóle nie można odczytać opisu (zdjęcie1). po kliknięciu "uruchom" pojawia się komunikat o błędzie. Skanowanie standardowymi programami typu Ad-aware, malwarebytes nic nie znalazło. Dodatkowo Mam też log z HiJackThis (wiem ze eksperci uznają go za przestarzały i niewiele warty) ale on wykrył coś czego wcześniej na pewno nie miałam, może ma to związek z moim problemem. Chodzi mi o część loga: : O1 - Hosts: ::1 localhost O1 - Hosts: 67.215.245.19 www.google-analytics.com. O1 - Hosts: 67.215.245.19 ad-emea.doubleclick.net. O1 - Hosts: 67.215.245.19 www.statcounter.com. O1 - Hosts: 108.163.215.51 www.google-analytics.com. O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net. O1 - Hosts: 108.163.215.51 www.statcounter.com. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 5 Marca 2012 Zgłoś Udostępnij Opublikowano 5 Marca 2012 W logu usługi od ZeroAccess: SRV:64bit: - [2008/01/21 03:49:28 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Disabled | Stopped] -- C:\Windows\SysNative\w200bus.dll -- (lvusbsta) SRV:64bit: - [2008/01/21 03:49:28 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Disabled | Stopped] -- C:\Windows\SysNative\sbhooksvc.dll -- (DLARTL_M) Na początek zacznij od użycia ComboFix i zaprezentuj log. Po tym działaniu wykonaj też nowe logi z OTL oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) i załącz do posta. Odnośnik do komentarza
Wiki84 Opublikowano 5 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Marca 2012 Miałam problemy z ComboFix. Niby skanuje jak trzeba ale potem ten log jest urwany. Po prostu krótki.Nie wiem czy tak powinien wyglądac. Drugi raz uruchomiłam ComboFix w trybie awaryjnym ale log był taki sam. No nic, umieszczam go tak jak wyglada oraz OTL i Farbar. OTL.TxtPobieranie informacji ... ComboFix.txtPobieranie informacji ... FSS.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 6 Marca 2012 Zgłoś Udostępnij Opublikowano 6 Marca 2012 Tu nie jest pewne, czy ZeroAccess jest rzeczywiście czynny, mimo dziwnego zachowania ComboFix sugerującego odwrotność. Te dwie usługi ZeroAccess mają status Disabled (Wyłączony) + Stopped (Zatrzymany), poza tym brak innych oznak w raporcie sugerujących działania tej infekcji, choć widać od niej ten plik: [2012/02/28 20:06:09 | 000,000,000 | -HS- | C] () -- C:\Windows\SysNative\dds_trash_log.cmd Wykonaj skan potwierdzający (nie)istnienie składników. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej: netsvcs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s c:\Windows\system32\consrv.dll /64 C:\Windows\assembly\GAC_64\*.* C:\Windows\assembly\GAC_32\*.* dir /s /a C:\Windows\assembly\tmp /C Klik w Skanuj (nie Wykonaj skrypt!). Przedstaw log wynikowy. Cytat Niestety nie mogę ich zainstalować, ręczne uruchomienie Windows Defendera w Panelu Sterowania kończy się komunikatem "Nie można zainicjować aplikacji 0x800106ba. Usługa tego programu została zatrzymana z powodu wystapienia problemu". Potem Próbowałam w services.msc. W "Usługach" w ogóle nie można odczytać opisu (zdjęcie1). po kliknięciu "uruchom" pojawia się komunikat o błędzie. To jest usterka innego poziomu, efekt insynuuje zepsute pliki Windows Defender, z których jest pobierana nazwa. Przeprowadź weryfikację plików systemowych za pomocą komendy sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log. Cytat Dodatkowo Mam też log z HiJackThis (wiem ze eksperci uznają go za przestarzały i niewiele warty) ale on wykrył coś czego wcześniej na pewno nie miałam, może ma to związek z moim problemem. Chodzi mi o część loga Eeeee ... ale proszę popatrz na log z OTL: O1 HOSTS File: ([2012/02/28 21:26:55 | 000,001,398 | RHS- | M]) - C:\Windows\SysNative\drivers\etc\HostsO1 - Hosts: 127.0.0.1 localhostO1 - Hosts: ::1 localhostO1 - Hosts: 67.215.245.19 www.google-analytics.com.O1 - Hosts: 67.215.245.19 ad-emea.doubleclick.net.O1 - Hosts: 67.215.245.19 www.statcounter.com.O1 - Hosts: 108.163.215.51 www.google-analytics.com.O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net.O1 - Hosts: 108.163.215.51 www.statcounter.com. Log z OTL przedstawia wszystko co HijackThis i jeszcze więcej i jeszcze dokładniej. My mamy naprawdę dobry powód, że nie prosimy o HijackThis, a już zwłaszcza na systemie 64-bit, którym dysponujesz. To narzędzie jest 32-bitowe i kompletnie niezgodne z Twoim systemem, nie pokazuje prawdy w obszarze natywnie 64-bit i wprowadza w błąd (w posiadanym logu popatrz na wpisy "file missing" = to są błędy poboru danych przez narzędzie a nie rzeczywiste "file missing"). Wyrzuć z dysku i definitywnie o nim zapomnij. A ostatnie wieści: program zakończył oficjalnie żywot jako aplikacja TrendMicro, usunięty ze strony producenta i przetransportowany na SourceForge. Nareszcie. Co do wpisów: nie, te wpisy nie powodują omawianych tu błędów. Natomiast trzeba je usunąć (mowa o wszystkim z wyjątkiem dwóch pierwszych linijek, które są prawidłowe, odpowiednio zgodne z protokołem IPv4 i protokołem IPv6). Ponadto sam plik HOSTS ma złe atrybuty (RHS = tylko do odczytu - ukryty - systemowy). Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. Jest jeszcze dziwna rzecz w wartości BootExecute i odpadki, ale tym się zajmiemy potem. . Odnośnik do komentarza
Wiki84 Opublikowano 6 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Marca 2012 Nowe logi: OTL.TxtPobieranie informacji ... sfc.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 6 Marca 2012 Zgłoś Udostępnij Opublikowano 6 Marca 2012 ZeroAccess w formie czynnej tu nie ma, to są jedynie odpadki i szybko to poprawimy. Chyba ktoś nieudolnie usuwał tę infekcję, a na dysku jest katalog narzędzia FRST. Natomiast skan SFC namierzył całkiem co innego, ale nie uszkodzenia Windows Defender. I czy resetowałaś plik HOSTS? 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV:64bit: - [2008/01/21 03:49:28 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Disabled | Stopped] -- C:\Windows\SysNative\w200bus.dll -- (lvusbsta) SRV:64bit: - [2008/01/21 03:49:28 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Disabled | Stopped] -- C:\Windows\SysNative\sbhooksvc.dll -- (DLARTL_M) NetSvcs:64bit: lvusbsta - C:\Windows\SysNative\w200bus.dll (Oak Technology Inc.) NetSvcs:64bit: DLARTL_M - C:\Windows\SysNative\sbhooksvc.dll (Oak Technology Inc.) O34 - HKLM BootExecute: (C:\Windows\12542059.exe \??\C:\Windows\12542059.dat) [2012/03/03 21:33:46 | 000,000,000 | -HS- | M] () -- C:\Windows\SysNative\dds_trash_log.cmd [2010/10/09 18:31:06 | 000,000,012 | ---- | C] () -- C:\Users\Wiki\AppData\Roaming\ldcpfk.dat O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1664850960-2529085890-1216291335-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1664850960-2529085890-1216291335-1000\..\Toolbar\WebBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found. O3 - HKU\S-1-5-21-1664850960-2529085890-1216291335-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-1664850960-2529085890-1216291335-1000\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found. FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\crossriderapp498@crossrider.com: C:\Users\Wiki\AppData\Local\RewardsArcade\498\Firefox [2012/03/04 18:50:36 | 000,000,000 | ---D | M] @Alternate Data Stream - 971 bytes -> C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BF1V4WG4H6PT4KGM8HTV4K6N636VFSVF7JB4VPJGF @Alternate Data Stream - 368 bytes -> C:\Users\Wiki\AppData\Local\desktop.ini:722b2b1c349a06abf0e866180e5a7e63 @Alternate Data Stream - 1382 bytes -> C:\Program Files\Common Files\Microsoft Shared:bmLFMhEa2EVogCHNwCPrR9J @Alternate Data Stream - 1377 bytes -> C:\ProgramData\Microsoft:MmzRPuzNiFUUi5E1 @Alternate Data Stream - 1352 bytes -> C:\Users\Wiki\AppData\Local\qkIbWnVUDHWGQ:J8ONlvgp2ih4sUFnzvd2ZAHTh4 @Alternate Data Stream - 1168 bytes -> C:\ProgramData\Microsoft:BqtOXo766Jy0OOggqC13QHA8bJ :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{4591085A-945E-46F3-BF69-4B5AC3C76D90}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{2F9F2BBB-B96D-46F2-816E-BC93D1323C1B}] :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. 2. Wykonaj nowe logi: skan z OTL z opcji Skanuj + AdwCleaner z opcji Search + SystemLook: Ponadto zrób dodatkowy skan pokazujący wygląd usługi oraz składowe folderów Windows Defender, plus wyszukiwanie na wystąpienia pliku msscb.dll (SFC nie umiał go naprawić). Uruchom SystemLook x64, w oknie wklej poniższy tekst, kliknij w Look i czekaj na raport. :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend /s :dir C:\Program Files\Windows Defender /s C:\Program Files (x86)\Windows Defender /s :filefind msscb.dll Przedstaw też ten log z usuwania z punktu 1. . Odnośnik do komentarza
Wiki84 Opublikowano 6 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Marca 2012 (edytowane) Tak, Plik HOSTS resetowałam tym fixem w poprzednich czynnosciach. Tylko nie wiem co teraz robić, chodzi o czynność z 1 punktu - OTL z wklejonym skryptem się zawiesił od kilkunastu minut czekam i nic. Nie wiem czy się sam odwiesi i dalej czekać czy go zamknąc jeśli to bezpieczne w poprzednim poście nie sprecyzowałaś czy dodatkowe opcje OTLa mam jakoś ustawić. Może tu jest problem Chyba utknęłam w martwym punkcie. OTL zawiesił się na dobre, więc zamknęłam go Ctrl+Alt+Del. Sama zrestartowałam ale system się nie uruchomil, mignąl tylko niebieski ekran z jakimś błędem. W trybie arayjnym to samo. Dopiero zadziałało uruchomienie "ostatnia dobra konfiguracja". Nie wiem czy pominąc ten krok i przjeść do skanowania AdwCleaner a potem SystemLook czy może próbować z OTL. Edytowane 6 Marca 2012 przez Wiki84 Odnośnik do komentarza
picasso Opublikowano 6 Marca 2012 Zgłoś Udostępnij Opublikowano 6 Marca 2012 Cytat w poprzednim poście nie sprecyzowałaś czy dodatkowe opcje OTLa mam jakoś ustawić. Może tu jest problem Nie myl z funkcją skanowania. Te opcje nie mają żadnego znaczenia, jeśli wybiera się "Wykonaj skrypt". Cytat Chyba utknęłam w martwym punkcie. OTL zawiesił się na dobre, więc zamknęłam go Ctrl+Alt+Del. Sama zrestartowałam ale system się nie uruchomil, mignąl tylko niebieski ekran z jakimś błędem. W trybie arayjnym to samo. Dopiero zadziałało uruchomienie "ostatnia dobra konfiguracja". Nie wiem czy pominąc ten krok i przjeść do skanowania AdwCleaner a potem SystemLook czy może próbować z OTL. Ponów wykonanie skryptu, ale tym razem wklej treść pomijając końcówkę: :Commands [emptytemp] . Odnośnik do komentarza
Wiki84 Opublikowano 6 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Marca 2012 OTL ponownie się zawiesił w tym samym momencie przy Processing 034 - HKLM BootExecute. Po ręcznym uruchomieniu systemu też tylko opcja "ostatnia znane dobra konfiguracja" pozwala na uruchomienie systemu. Po tym ręcznym uruchomieniu pojawił się na pulpicie komunikat ale nie ten o który chodzi. Tak wygląda: Odnośnik do komentarza
picasso Opublikowano 6 Marca 2012 Zgłoś Udostępnij Opublikowano 6 Marca 2012 To wytnij ze skryptu linię "O34 - HKLM BootExecute ..." i ponów. Odnośnik do komentarza
Wiki84 Opublikowano 6 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Marca 2012 dziwne rzeczy się dzieją... po usunięciu tej linii OTL wykonał skan bez zawieszki. Pojawil się komunikat, by wykonać restart. I po restarcie to co przedtem - niebieski ekran na samym początku paska ładowania systemu i tylko uruchomienie z ostatniej dobrej konfiguracja działa. Tym nie mniej po uruchomieniu na pulpicie znowu pojawił się log w otwartym notatniku. Tym razem jest dluższy. Musze skopiować bo nie mam uprawnień do wysylania takiego loga, więc rozumiem że nie pochodzi z OTL: Tytuł loga to "03062012_173432" All processes killed ========== OTL ========== Service lvusbsta stopped successfully! Service lvusbsta deleted successfully! File move failed. C:\Windows\SysNative\w200bus.dll scheduled to be moved on reboot. Service DLARTL_M stopped successfully! Service DLARTL_M deleted successfully! File move failed. C:\Windows\SysNative\sbhooksvc.dll scheduled to be moved on reboot. Unable to remove from NetSvcs value. Error: No service named was found to stop! Unable to delete service\driver key . File indows\SysNative\w200bus.dll not found. Unable to remove from NetSvcs value. Error: No service named was found to stop! Unable to delete service\driver key . File indows\SysNative\sbhooksvc.dll not found. File move failed. C:\Windows\SysNative\dds_trash_log.cmd scheduled to be moved on reboot. C:\Users\Wiki\AppData\Roaming\ldcpfk.dat moved successfully. 64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found. Registry value HKEY_USERS\S-1-5-21-1664850960-2529085890-1216291335-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found. Registry value HKEY_USERS\S-1-5-21-1664850960-2529085890-1216291335-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BA14329E-9550-4989-B3F2-9732E92D17CC} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BA14329E-9550-4989-B3F2-9732E92D17CC}\ not found. Registry value HKEY_USERS\S-1-5-21-1664850960-2529085890-1216291335-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found. Registry value HKEY_USERS\S-1-5-21-1664850960-2529085890-1216291335-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D43723AE-1AE1-4A25-A6A4-BF0929273CAB} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D43723AE-1AE1-4A25-A6A4-BF0929273CAB}\ not found. File HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\crossriderapp498@crossrider.com: C:\Users\Wiki\AppData\Local\RewardsArcade\498\Firefox not found. ADS C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BF1V4WG4H6PT4KGM8HTV4K6N636VFSVF7JB4VPJGF deleted successfully. ADS C:\Users\Wiki\AppData\Local\desktop.ini:722b2b1c349a06abf0e866180e5a7e63 deleted successfully. ADS C:\Program Files\Common Files\Microsoft Shared:bmLFMhEa2EVogCHNwCPrR9J deleted successfully. ADS C:\ProgramData\Microsoft:MmzRPuzNiFUUi5E1 deleted successfully. ADS C:\Users\Wiki\AppData\Local\qkIbWnVUDHWGQ:J8ONlvgp2ih4sUFnzvd2ZAHTh4 deleted successfully. ADS C:\ProgramData\Microsoft:BqtOXo766Jy0OOggqC13QHA8bJ deleted successfully. ========== REGISTRY ========== HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{4591085A-945E-46F3-BF69-4B5AC3C76D90}" /E : value set successfully! Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found. Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{2F9F2BBB-B96D-46F2-816E-BC93D1323C1B}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2F9F2BBB-B96D-46F2-816E-BC93D1323C1B}\ not found. ========== COMMANDS ========== [EMPTYTEMP] User: Wiki ->Temp folder emptied: 2074989 bytes ->Temporary Internet Files folder emptied: 154973091 bytes ->Java cache emptied: 4462686 bytes ->Google Chrome cache emptied: 49762486 bytes ->Opera cache emptied: 0 bytes ->Flash cache emptied: 57048 bytes User: All Users User: AppData User: Application Data User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes ->Flash cache emptied: 56475 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public User: TEMP ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes ->Flash cache emptied: 56504 bytes User: TEMP.WIKI-PC ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes ->Flash cache emptied: 57184 bytes User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes ->Flash cache emptied: 56504 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 757760 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 1309302 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 301874 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 35840589 bytes %systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 328 bytes RecycleBin emptied: 1125941559 bytes Total Files Cleaned = 1,312.00 mb OTL by OldTimer - Version 3.2.35.0 log created on 03062012_173432 Files\Folders moved on Reboot... File move failed. C:\Windows\SysNative\w200bus.dll scheduled to be moved on reboot. File move failed. C:\Windows\SysNative\sbhooksvc.dll scheduled to be moved on reboot. File move failed. C:\Windows\SysNative\dds_trash_log.cmd scheduled to be moved on reboot. C:\Users\Wiki\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. File move failed. C:\Windows\SysNative\SET13A4.tmp scheduled to be moved on reboot. File move failed. C:\Windows\SysNative\SET13C6.tmp scheduled to be moved on reboot. File move failed. C:\Windows\SysNative\SET5D35.tmp scheduled to be moved on reboot. File move failed. C:\Windows\SysNative\SET5E22.tmp scheduled to be moved on reboot. File move failed. C:\Windows\SysNative\SETAB7F.tmp scheduled to be moved on reboot. File move failed. C:\Windows\SysNative\SETADE3.tmp scheduled to be moved on reboot. Registry entries deleted on Reboot... Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 Dorzuć logi, o które prosiłam w punkcie 2. Odnośnik do komentarza
Wiki84 Opublikowano 7 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Marca 2012 (edytowane) Logi, już dodane: SystemLook.txtPobieranie informacji ... AdwCleaner.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Edytowane 7 Marca 2012 przez Wiki84 Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 A gdzie jest log z OTL z opcji Skanuj? Dołącz w poście powyżej, zedytuję swój stosownie do tego co zobaczę. EDIT No tak, log z OTL bez zmian w części która stawia opór, zaś plik HOSTS nie jest wcale zresetowany. Może na wszelki wypadek podaj jeszcze skan z Kaspersky TDSSKiller, czy tu nie ma czegoś dodatkowego, czego nie widać. Jeżeli cokolwiek zostałoby wykryte, przyznaj akcję Skip i tylko log zaprezentuj. Jeżeli Kaspersky nic nie wykryje, log jest zbędny. . Odnośnik do komentarza
Wiki84 Opublikowano 7 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Marca 2012 Skanowanie nic nie wykazało. No threats found. Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 Tak swoją drogą to widzę, że więcej usług niedomyślnych ma status "Disabled", czy tu nie było jakiejś kombinacji z msconfig? Z innej strony się zabierzmy za te podejrzane wpisy, nie przez skrypt OTL i nie wszystko na raz. Na początek załadowanie domyślnego wpisu BootExecute + wartości NetSvcs na systemie Vista x64: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\ 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost] "netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\ 63,00,00,00,77,00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,\ 00,72,00,74,00,00,00,54,00,68,00,65,00,6d,00,65,00,73,00,00,00,43,00,65,00,\ 72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,00,00,00,53,00,43,00,50,\ 00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,00,00,6c,00,61,00,6e,00,\ 6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,00,00,00,67,00,70,00,73,\ 00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,54,00,00,00,41,00,75,00,\ 64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,00,73,00,74,00,55,00,73,\ 00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,69,00,6e,00,67,00,43,00,\ 6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,00,69,00,74,00,79,00,00,\ 00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,6e,00,00,00,4e,00,6c,00,\ 61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,00,00,4e,00,57,00,43,\ 00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,\ 4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,74,00,00,00,52,00,61,\ 00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,00,6d,00,61,00,6e,00,\ 00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,63,00,65,00,73,00,73,\ 00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,\ 61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,\ 00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,\ 57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,00,\ 00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,\ 77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,00,42,00,49,00,54,00,53,\ 00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,00,74,00,65,00,\ 63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,00,6f,00,6e,00,48,00,6f,\ 00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,64,00,69,00,74,00,00,00,\ 68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,00,70,00,6c,00,6f,00,61,\ 00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,6c,00,70,00,73,00,76,00,\ 63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,41,00,70,\ 00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,69,00,73,00,63,00,73,00,\ 69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,68,00,6b,00,6d,00,73,00,76,\ 00,63,00,00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,73,00,63,00,\ 68,00,65,00,64,00,75,00,6c,00,65,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,\ 00,74,00,00,00,53,00,65,00,73,00,73,00,69,00,6f,00,6e,00,45,00,6e,00,76,00,\ 00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,50,00,72,00,6f,00,66,\ 00,53,00,76,00,63,00,00,00,00,00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lvusbsta] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLARTL_M] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik wybierz opcję Scal 2. Zresetuj system i wygeneruj nowy log z OTL z opcji Skanuj. . Odnośnik do komentarza
Wiki84 Opublikowano 7 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Marca 2012 W msconfig jeszcze przed tymi problemami powyłączałam w zakładce uruchamianie pluginy do adobe, download manager, kilka toolbarów, jakieś wtyczki do google, update kodeków. OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 Zadanie się wykonało, BootExecute i wpisy usług ZeroAccess w rejestrze mamy z głowy. Teraz druga partia zadania, czyli pliki na dysku, które stawiły opór w OTL. 1. Uruchom GrantPerms x64, w oknie wklej: C:\Windows\system32\w200bus.dll C:\Windows\system32\sbhooksvc.dll C:\Windows\system32\dds_trash_log.cmd C:\Windows\system32\drivers\etc\Hosts Klik w Unlock. 2. Otwórz Notatnik i wklej w nim: del /q C:\Windows\system32\w200bus.dll del /q C:\Windows\system32\sbhooksvc.dll del /q C:\Windows\system32\dds_trash_log.cmd attrib -r -s -h C:\Windows\system32\drivers\etc\Hosts pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > z prawokliku na ten plik wybierz Uruchom jako Administrator 3. Ponownie zastosuj narzędzie Fix-it Microsoftu z KB972034 do przywracania domyślnego pliku HOSTS. 4. Zresetuj system. Podaj nowy log z OTL z opcji Skanuj. . Odnośnik do komentarza
Wiki84 Opublikowano 8 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Marca 2012 Wszystko wykonałam wg powyższych wskazówek. Obecny log: OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 9 Marca 2012 Zgłoś Udostępnij Opublikowano 9 Marca 2012 1. Zadanie prawie wykonane, HOSTS ma już prawidłowe atrybuty i domyślną zawartość, ale ostał się ten: [2012/03/03 21:33:46 | 000,000,000 | -HS- | M] () -- C:\Windows\SysNative\dds_trash_log.cmd Moje niedopatrzenie, plik ma atrybuty HS i przed poleceniem del musi mieć je zdjęte. Powtórz sobie plik FIX.BAT, tym razem o zawartości: attrib -s -h C:\Windows\system32\dds_trash_log.cmd del /q C:\Windows\system32\dds_trash_log.cmd pause 2. Przejdźmy do sprawy z Windows Defender i "Błąd 126: Nie można odnaleźć określonego modułu" + "Nie można odczytać opisu. Kod błędu: 2" przy odczycie danych. Głównym modułem usługi jest MpSvc.dll, zaś opis jest pobierany z modułu MsMpRes.dll. Problem jest w tym, że w rejestrze jest skierowanie na moduły z katalogu 32-bit (%ProgramFiles(x86)%), podczas gdy w tym katalogu nie ma takowych. Prawidłowa lokalizacja obu modułów to folder 64-bit (%ProgramFiles%): ========== reg ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend]"Description"="@%ProgramFiles(x86)%\Windows Defender\MsMpRes.dll,-3068" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Parameters]"ServiceDll"="%ProgramFiles(x86)%\Windows Defender\mpsvc.dll" ========== dir ========== C:\Program Files\Windows Defender - Parameters: "/s" ---Files---MpSvc.dll --a---- 383544 bytes [02:46 21/01/2008] [02:46 21/01/2008]MsMpRes.dll --a---- 654440 bytes [15:00 02/11/2006] [15:00 02/11/2006] C:\Program Files (x86)\Windows Defender - Parameters: "/s" Ktoś tu chyba coś grzebał, że przekierowało zmienne. Popraw wszystko. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "Group"="COM Infrastructure" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-3068" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal Zresetuj system i sprawdź w services.msc czy usługa Windows Defender wróciła do normy. . Odnośnik do komentarza
Wiki84 Opublikowano 9 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2012 Defender już działa, aktualizacje tez dają się pobrać. Bardzo dziekuje za diagnoze i pomoc krok po kroku. Jesli to koniec to chyba szczęśliwie mozna zakończyć wątek. Odnośnik do komentarza
picasso Opublikowano 9 Marca 2012 Zgłoś Udostępnij Opublikowano 9 Marca 2012 (edytowane) 1. Zaległa sprawa z tym odczytem z SFC: 2012-03-06 11:11:23, Info CSI 00000335 [sR] Cannot repair member file [l:18{9}]"msscb.dll" of WindowsSearchEngine, Version = 7.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2012-03-06 11:11:23, Info CSI 00000337 [sR] Cannot repair member file [l:18{9}]"msscb.dll" of WindowsSearchEngine, Version = 7.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2012-03-06 11:11:23, Info CSI 00000338 [sR] This component was referenced by [l:162{81}]"Package_16_for_KB948465~31bf3856ad364e35~amd64~~6.0.1.18005.948465-57_neutral_GDR"2012-03-06 11:11:23, Info CSI 0000033b [sR] Could not reproject corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:18{9}]"msscb.dll"; source file in store is also corrupted Poprawny plik do zamiany: KLIK. Plikiem tym wymieniasz te dwa: C:\Windows\System32\msscb.dll C:\Windows\winsxs\amd64_windowssearchengine_31bf3856ad364e35_7.0.6002.18005_none_9993048c6fc005d9\msscb.dll Dla ułatwienia posłuż się narzędziem Windows Se7en File Replacer. 2. Zapomniałam dać to: w AdwCleaner uruchom Delete, a gdy ukończy to Uninstall. 3. Porządki po narzędziach: Była próba z ComboFix. Należy go w prawidłowy sposób odinstalować, co także wdroży procedurę czyszczenia folderów Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\ComboFix.exe /uninstall Po tym możesz zastosować Sprzątanie w OTL. No i dokasować ręcznie wszystkie inne narzędzia stosowane do analiz / napraw. 4. Drobne komentarze do zainstalowanych programów: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 26"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Gadu-Gadu" = Gadu-Gadu 7.7"Gadu-Gadu 10" = Gadu-Gadu 10 Starszą Javę możesz odinstalować, masz stary Adobe Flash w wersji pod przeglądarki alternatywne i odinstaluj go, a duplikat Gadu sugeruję zamienić jednym a porządnym programem. W moim artykule Darmowe komunikatory popatrz na opisy: WTW, Kadu, Miranda, AQQ. Pogrubiam konkretny, gdyż go sobie bardzo chwalę i jest programem dobrze dostosowanym do 64-bitowego Windows. . Edytowane 17 Kwietnia 2012 przez picasso 17.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi