buntmaszyn Opublikowano 8 Czerwca 2012 Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 Witam Pierwszy raz piszę na fixitpc, w dodatku jestem trochę zielony w sytuacjach jak poniżej. Dotej pory miałem do czynienia z robactwem i trojanami usuwalnymi przy pomocy ogólnie dostępnych skanerów. Proszę o pomoc z infekcją jak w temacie. Podczas standardowej co paro miesięcznej procedury skanowania komputera programem Malwarebytes Anti-Malware wykrył mi okoł 17 zagrożeń z czego większość został usunięta poza trzema Sirefef.EV, Small, 0Access. (Usuwane były na chwilę, do czasu ponownego podłączenia z netem). Do ciągłej ochrony mam zainstalowanego Nod32, który nic mi nie krzyczał dopiero po wykonaniu skanu znalazł Sirefef.EV i nie leczy. W systemie na szczęście jeszcze widocznych zmian nie zaobserwowałem. 2012-06-07 21:37:32 Skaner przy uruchamianiu plik Pamięć operacyjna » services.exe(696) odmiana zagrożenia Win32/Sirefef.EV koń trojański nie można wyleczyć 2012-06-06 09:22:08 Skaner przy uruchamianiu plik Pamięć operacyjna » services.exe(696) odmiana zagrożenia Win32/Sirefef.EV koń trojański nie można wyleczyć 2012-06-04 20:42:11 Skaner przy uruchamianiu plik Pamięć operacyjna » services.exe(696) odmiana zagrożenia Win32/Sirefef.EV koń trojański nie można wyleczyć 2012-06-03 19:34:32 Skaner przy uruchamianiu plik Pamięć operacyjna » C:\Users\hak\AppData\Local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\n Win32/Sirefef.EV koń trojański wyleczony przez usunięcie (po następnym uruchomieniu) - poddany kwarantannie Z GMER-em mam problem, usunąłem daemon tools (wydawało mi się że to jedyny napęd wirtualny), użyłem programu SPTDinst... z usunięciem katalogu SPDT w rejestrze miałem problem nie usunąłem wszystkich składników pomimo użycia większości opisanych metod. Do zapuszczenia Gmera nie było to konieczne więc dałem sobie spokój. Gmer przy szukaniu wywala komęde "Program GMER przestał diałać poprawnie z powodu wystąpienia problemów." Występuje to przy sprawdzaniu składnika: \Device\HarddiskVolumeSchadowCopy1. Podejrzewam, że inny dysk wirtualny siedzi jeszcze w systemie ale nie wiem jaki i gdzie. Logi z GMER-a ze skanu wstępnego załącznik 5 Dodatkowo skanowałem FSS i Cureit. Nie zapisałem logów. Albo nic nie wykrywało albo nie mogły wyleczyć nie pamiętam który co. Dodatkowo log z Security Check: Results of screen317's Security Check version 0.99.41 Windows Vista Service Pack 2 x86 (UAC is disabled!) Internet Explorer 7 Out of date! ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! ESET NOD32 Antivirus 3.0 Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware wersja 1.61.0.1400 Java™ 6 Update 20 Java™ 6 Update 5 Java version out of date! Adobe Flash Player 10 Flash Player out of date! Adobe Flash Player 10.3.181.26 Flash Player out of Date! Adobe Reader 8 Adobe Reader out of date! Mozilla Firefox (12.0) Mozilla Thunderbird (5.0). Thunderbird out of Date! ````````Process Check: objlist.exe by Laurent```````` `````````````````System Health check````````````````` Total Fragmentation on Drive C: % ````````````````````End of Log`````````````````````` mbam-log-2012-06-06 (19-21-04).txt OTL.Txt Extras.Txt Gmer_0.txt Odnośnik do komentarza
picasso Opublikowano 8 Czerwca 2012 Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 Dodatkowo skanowałem FSS i Cureit. Nie zapisałem logów. Albo nic nie wykrywało albo nie mogły wyleczyć nie pamiętam który co. FSS = a co to? Któryś program marki Farbar? Jeśli tak, te programy nie służą do leczenia automatycznego, to diagnostyki do tworzenia raportów. Przypuszczalnie jest tu zainfekowany plik services.exe, ale nie jest wykluczona i kombinacja wariantów (widziałam system na którym były wspólnie aż dwa rodzaje tej infekcji). Poproszę o skan dodatkowy pod kątem komponentów ZeroAccess. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe *.@ Klik w Look. Przedstaw log wynikowy. . Odnośnik do komentarza
buntmaszyn Opublikowano 8 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 Dzięki za bardzo szybką reakcje. Z FSS masz z pewnością rację. Po znalezieniu trojana szukałem w google i forach to podchodziło pod samodzielną próbę poradzenia sobie z problemem - bezskuteczne. Log z SystemLook SystemLook 30.07.11 by jpshortstuff Log created at 09:55 on 08/06/2012 by hak Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="%SystemRoot%\system32\shdocvw.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 279552 bytes [18:50 12/09/2009] [06:27 11/04/2009] 8737764F4FD36D6808EE80578409C843 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [18:50 12/09/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B Searching for "*.@" C:\Windows\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U\00000001.@ --a---- 1648 bytes [20:42 07/06/2012] [20:42 07/06/2012] 97054DA52301ECE758C26F5FE2682426 C:\Windows\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U\80000000.@ --a---- 12288 bytes [20:42 07/06/2012] [20:42 07/06/2012] 1BF005160D6C0469601128D75E8A0044 C:\Windows\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U\800000cb.@ --a---- 18944 bytes [20:42 07/06/2012] [20:42 07/06/2012] 7A83211285E4233E23C3C3BE3AF0010D -= EOF =- Odnośnik do komentarza
picasso Opublikowano 8 Czerwca 2012 Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 Plik services.exe jest zainfekowany. Poza tym, nie wiem czy coś tu kombinowałeś, ale masz nadwyżkę klas w rejestrze, powinien być tylko klucz w HKEY_LOCAL_MACHINE: [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]"ThreadingModel"="Both"@="%SystemRoot%\system32\shdocvw.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]@="%SystemRoot%\system32\shell32.dll""ThreadingModel"="Apartment" 1. Uruchom BlitzBlank i w karcie Script wklej: CopyFile: C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe C:\Windows\System32\services.exe DeleteFolder: C:\Windows\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888} Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 2. Wklej do posta zawartość raportu BlitzBlank. Zrób nowy log z SystemLook na warunki: :filefind services.exe :folderfind {ff24043d-55f8-5ce9-a20a-8337d9b4b888} Również wygeneruj log z Farbar Service Scanner, z wszystkimi opcjami zaznaczonymi. . Odnośnik do komentarza
buntmaszyn Opublikowano 8 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 Z rejestrem nic nie kombinowałem chyba że nieumyślnie. BlitzBlank 1.0.0.32 File/Registry Modification Engine native application CopyFileOnReboot: sourceFile = "\??\c:\windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe", destinationFile = "\??\c:\windows\system32\services.exe"MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\@", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\L", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U\00000001.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U\80000000.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U\800000cb.@", destinationFile = "(null)", replaceWithDummy = 0 SystemLook 30.07.11 by jpshortstuff Log created at 20:52 on 08/06/2012 by hak Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 279552 bytes [18:50 12/09/2009] [18:45 08/06/2012] D4E6D91C1349B7BFB3599A6ADA56851B C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [18:50 12/09/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B ========== folderfind ========== Searching for "{ff24043d-55f8-5ce9-a20a-8337d9b4b888}" C:\Users\hak\AppData\Local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888} d--hs-- [18:50 12/09/2009] -= EOF =- FSS_1.txt Odnośnik do komentarza
picasso Opublikowano 8 Czerwca 2012 Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 Plik pomyślnie zamieniony, folder infekcji skasowany. Jednakże został wykryty nowy folder. Poza tym, są szkody wyrządzone przez trojana (skasowane usługi), ale tym zajmiemy się w następnej fazie. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyOverride"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{C00616CF-AFC0-4A22-8A72-306AF067ACC2}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C00616CF-AFC0-4A22-8A72-306AF067ACC2}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ""=- :Files C:\Users\hak\AppData\Local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Poprzez Panel sterowania odinstaluj DAEMON Tools Toolbar. 3. Zastosuj AdwCleaner z opcji Delete. 4. Wygeneruj nowy log OTL z opcji Skanuj. Dołącz logi z usuwania pozyskane w punktach 1 + 3. . Odnośnik do komentarza
buntmaszyn Opublikowano 8 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 ad 1. Log z OTL ze skryptem załącznik OTL_2.txt ad 2. Deamon odinstalowany ad 3. Log z Adwcleaner opcją delete załącznik AdwCleaner[s1].txt ad 4. Log z OTL opcja skanuj załącznik OTL_3.txt - poprawiony log OTL_2.txt AdwCleanerS1.txt OTL_3.txt Odnośnik do komentarza
picasso Opublikowano 8 Czerwca 2012 Zgłoś Udostępnij Opublikowano 8 Czerwca 2012 Wszystkie zadania wykonane, z jednym małym dysonansem. OTL skrewił przy usuwaniu określonego klucza. Zadałam do kasacji tylko nadwyżkowy klucz HKCU, ale OTL podczas usuwania klasy z rejestru szuka innych wystąpień klasy. Strzelił również w klucz HKLM (prawidłowy). Należy to odtworzyć. I przechodzimy też do pozostałych napraw. 1. Rekonstrukcja klasy systemowej oraz usług Centrum zabezpieczeń + Windows Defender. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\ 65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00 "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "Group"="COM Infrastructure" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-3068" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Security] "Security"=hex:01,00,14,80,04,01,00,00,10,01,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,d4,00,07,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,\ 00,28,00,15,00,00,00,01,06,00,00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,\ e5,55,dc,f4,e2,0e,a7,8b,eb,ca,7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik opcja Scal 2. Rekonstrukcja układu Zapory systemu Windows: KLIK. Odtwarzasz usługi BFE + MpsSvc oraz uprawnienia SharedAccess. 3. Po wszystkich działaniach zresetuj systemu i wygeneruj nowy log z Farbar Service Scanner. . Odnośnik do komentarza
buntmaszyn Opublikowano 9 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 1. Plik FIX.REG wykonany 2. BFR + MpsSvc + SharedAcces wykonane. Nie wykonałem "weryfikacja poprawności plików systemowych za pomocą polecenia sfc /scannow" 3. Reset i Log FFS załącznik FFS_2 FSS_2.txt Odnośnik do komentarza
picasso Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Nie wszystko jest naprawione, aktualnie log twierdzi, że ... brak wartości w kluczu Windows Defender: Windows Defender:==============WinDefend Service is not running. Checking service configuration:Checking Start type: ATTENTION!=====> Unable to retrieve start type of WinDefend. The value does not exist.Checking ImagePath: ATTENTION!=====> Unable to retrieve ImagePath of WinDefend. The value does not exist.The ServiceDll of WinDefend service is OK. Powtórz import pliku FIX.REG z mojego poprzedniego posta. Na ewentualne błędy przy imporcie nie zwracaj uwagi. Zresetuj system i podaj nowy log z Farbar Service Scanner. . Odnośnik do komentarza
buntmaszyn Opublikowano 10 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2012 Log z FSS w załaczniku po ponownym załadowaniu FIX.REG nie było komunikatów o blędach. Czy taka reakcja z Defenderem moze być spowodowana moim wyłączeniem go. FSS_3.txt Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2012 Zgłoś Udostępnij Opublikowano 10 Czerwca 2012 Jest bez zmian. Czy taka reakcja z Defenderem moze być spowodowana moim wyłączeniem go. W jaki sposób go wyłączałeś? . Odnośnik do komentarza
buntmaszyn Opublikowano 10 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2012 Po nabyciu komputera zależało mi na szybkiej pracy, metodą obserwacji doszedłem do wniosku że to właśnie Defender jest przyczyna wolnej pracy i zwykłe wyłączenie nie dawało zadowalających rezultatów więc najprawdopodobniej usunąłem go za pomocą dostępnych aplikacji do usuwania programów z systemu. Piszę najprawdopodobniej ponieważ było to ok 3 lata temu więc szczegółów nie pamiętam (pamiętam jedynie że miałem z tym problem - teraz nie mogę wejść w zakładkę Defendera błąd 0x80070006 więc nawet wzrokowo nie przypomnę sobie co mogłem spaprać). Wtedy używałem kompa jedynie do programu graficznego nie do neta - wydawało mi się to bezpieczne?? Dodam, że przed infekcją Defender nie działał. Odnośnik do komentarza
picasso Opublikowano 11 Czerwca 2012 Zgłoś Udostępnij Opublikowano 11 Czerwca 2012 Po nabyciu komputera zależało mi na szybkiej pracy, metodą obserwacji doszedłem do wniosku że to właśnie Defender jest przyczyna wolnej pracy i zwykłe wyłączenie nie dawało zadowalających rezultatów więc najprawdopodobniej usunąłem go za pomocą dostępnych aplikacji do usuwania programów z systemu. Jestem ciekawa jak Ty go wyłączałeś, że "nie było rezultatów". Należy wyłączyć nie tylko wpis startowy ale i usługę (dodatkowo w rejestrze można ustawić politykę blokującą), gwarantowane, że Windows Defender się nie uruchomi, nie trzeba go brutalnie masakrować. Nie wiem co przeprowadziłeś i jakim narzędziem. Aktualnie nie możesz wejść do Windows Defender, bo jak mówię skan Farbar Service Scanner wykazuje naruszenie usługi (brak wartości startowych). W związku z tym, że to Twoje celowe działania naruszyły Windows Defender, krzyżując się z zamiarami infekcji, nie podejmuję dalszych działań naprawczych w tym kierunku. 1. Mini skrypt na dwa drobne wpisy, które poprzednio opuściłam. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. Klik w Wykonaj skrypt. 2. Przeprowadź porządki po narzędziach: w OTL uruchom Sprzątanie, w AdwCleaner użyj Uninstall, ręcznie dokasuj pozostałe użytki. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na wszelki wypadek przeprowadź jeszcze pełne skanowanie posiadanymi programami, potwierdź że nic już nie znajdują. . Odnośnik do komentarza
buntmaszyn Opublikowano 11 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Czerwca 2012 Wszystko wykonane wg wskazówek, skanowanie NOD32 i mbam nic nie wykryło. Bardzo dziękuje za pomoc. Napotkałem jedynie drobny problem z wygenerowałem loga z NOD32, po zakończeniu skanowania i próbie skopiowania do schowka wyniku NOD32 zwiesił się. Czekałem ok 1h przy anulowaniu nastąpiło wyłączenie programu, nigdy wcześniej nie spotkałem sie z takim zachowaniem. - temat do innego działu lub powtórka operacji. Odbudowanie wyłączonego defendera - również inny dział? Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Na zakończenie: 1. Wykonaj aktualizacje: KLIK. Tu z Twojej listy zainstalowanych wersje wymagające korekty: Internet Explorer (Version = 7.0.6002.18005) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java 6 Update 5"{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2"{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)"Mozilla Thunderbird (5.0)" = Mozilla Thunderbird (5.0) 2. Dla bezpieczeństwa prewencyjna wymiana haseł logowania w serwisach. Napotkałem jedynie drobny problem z wygenerowałem loga z NOD32, po zakończeniu skanowania i próbie skopiowania do schowka wyniku NOD32 zwiesił się. Czekałem ok 1h przy anulowaniu nastąpiło wyłączenie programu, nigdy wcześniej nie spotkałem sie z takim zachowaniem. - temat do innego działu lub powtórka operacji. Może to przypadek? Czy to się powtarza? Odbudowanie wyłączonego defendera - również inny dział? To Ty chcesz go ... odbudować? Jasno się wyraziłeś, że "niszczyłeś" go z premedytacją, dlatego spuściłam lagę na niego. Windows Defender nie jest Ci tu też potrzebny, działa program antywirusowy (który i tak powinien go deaktywować), sam Windows Defender budzi zastrzeżenia co do swoich mocy sprawczych. Swoją drogą: ten ESET NOD jest starawy (z 2009). Rozważ wymianę czymś nowocześniejszym. . Odnośnik do komentarza
buntmaszyn Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Odnośnie defendera moja niepewność czy go posiadać czy nie spowodowana jest z jednej strony innymi tematami na forum, w których dużo pracy wkładane jest w odtwarzanie go (czyli jest ważny i potrzebny) z drugiej strony chyba nie potrafiłem dogadać się z nim na tyle rzeby działał poprawnie z innymi pożytecznymi programami. nie jest Ci tu też potrzebny Przekonuje mnie do nie odbudowywania. Błąd NOD32: zrobiłem ponownie skan i sytuacja powtórzyła się - nie mogę skopiować tekstu z wyniku skanowania. Wcześniej nigdy tego nie robiłem (kopiowanie wyników do notatnika) więc nie wiem czy tak było. Ponownie zainstaluje tego starego bo mam na niego licencję do 25.06.2012 i poszukam czegoś innego lub zainstaluje nowa wersję ESET NOD - może krótka porada. Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Odnośnie defendera moja niepewność czy go posiadać czy nie spowodowana jest z jednej strony innymi tematami na forum, w których dużo pracy wkładane jest w odtwarzanie go (czyli jest ważny i potrzebny) Odtwarzanie nie jest pomiarem wysokiej ważności komponentu. Nie może prowadzący pomoc patrzyć na jawną usterkę, której użytkownik samodzielnie nie wykonał (trojan to skasował), i nie naprawić tego bagatelizując problem (czy on duży czy mały to inna kwestia). Odbudowa też jest potrzebna choćby po to, by można było prawidłowo Windows Defender wyłączyć. Zresztą wielu użytkowników ma doinstalowane antywirusy, które po odbudowie przez nas Defendera i tak go z biegu usypiają. Nie zawsze podejmuję korekty po infekcji. Jeśli infekcja tylko wyłączyła usługę Windows Defender (a nie skasowała jak to tu się odbyło), a użytkownik ma antywirusa już lub mam go właśnie polecać, nie podaję instrukcji. Błąd NOD32: zrobiłem ponownie skan i sytuacja powtórzyła się - nie mogę skopiować tekstu z wyniku skanowania. Wcześniej nigdy tego nie robiłem (kopiowanie wyników do notatnika) więc nie wiem czy tak było. Ponownie zainstaluje tego starego bo mam na niego licencję do 25.06.2012 i poszukam czegoś innego lub zainstaluje nowa wersję ESET NOD - może krótka porada. Jak mówiłam: "Swoją drogą: ten ESET NOD jest starawy (z 2009). Rozważ wymianę czymś nowocześniejszym.". Moim zdaniem nie opłaca się kręcić na tym samym polu w kółko. Proponuję radykalniejszą wymianę czymś nowoczesnym, za darmo np. Avast. Deinstalacja ESET ma wyglądać następująco: normalna przez Panel sterowania, po tym z poziomu Trybu awaryjnego specjalizowany usuwacz ESET Uninstaller. . Odnośnik do komentarza
buntmaszyn Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Dziękuje za pomoc i porady. Możesz jeszcze pomóc w poprawnym usunięciu pozostałości defendera. Odnośnik do komentarza
picasso Opublikowano 13 Czerwca 2012 Zgłoś Udostępnij Opublikowano 13 Czerwca 2012 Możesz jeszcze pomóc w poprawnym usunięciu pozostałości defendera. W tym momencie nie rozumiem o co Ci chodzi. Podsumuję: - coś robiłeś z Windows Defender i nie potrafisz mi przedstawić co. - aktualny stan to: usługa odtworzona lecz coś jej zeruje wartości startowe zaraz po zaimportowaniu pliku REG, usługa jest więc nieczynna i Windows Defender nie będzie działać. - brak wpisów startowych Windows Defender, ponownie = nie będzie działać. Nie ma potrzeby "czyścić" w szerszym zakresie. Brak komponentów startowych Windows Defender. . Odnośnik do komentarza
buntmaszyn Opublikowano 13 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Czerwca 2012 Temat infekcji można uznać za zamknięty jaki i wszystkie problemy poboczne. Za pomoc jeszcze raz wielkie dzięki. Jak założysz fundację "fixitpc.pl" to masz u mnie na pewno 1% $ Odnośnik do komentarza
Rekomendowane odpowiedzi