Skocz do zawartości

Antywirus nie działa, spowolniony komputer o 40%.


Rekomendowane odpowiedzi

Witam!

Mam problem, a mianowicie nagle wyłączył mi się antywirus (Microsoft Security Essentials) i nie mogę go włączyć. Pojawia się błąd "określona usługa nie istnieje jako usługa zainstalowana". W rozwiązaniu problemu piszą, że błąd ten spowodowany jest faktem iż nie mam oryginalnego Windowsa co jest nieprawdą. Załączam logi OTL. Poza tym komputer działa wolniej niż poprzedniej. Proszę o sprawdzenie logów:).

 

OTL: http://wklej.org/id/786859/

Extras: http://wklej.org/id/786860/

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zasady działu: KLIK. stworzyłeś dwa posty. Gdy jest zamiar uzupłnienia informacji, stosuje się opcję Edytuj, a nie pisze w serii posty własne ... Ponadto, log z OTL nie jest do końca skonfigurowany jak w opisie na forum (niektóre sekcje, takie jak Procesy i Moduły, ustawione na Wszystko a ma być Użyj filtrowania).

 

 


Jest / był tu trojan ZeroAccess. Trojan ten kasuje także z rejestru usługi Windows takie jak Zapora czy Centrum zabezpieczeń. Skanowałeś w MBAM, jakoby usunięte, ale to należy sprawdzić. Poza tym, uszkodzenia w systemie się same nie naprawią, aktualnie masz zdewastowany przez infekcję łańcuch Winsock i na pewno usunięte z rejestru usługi, bo Dziennik zdarzeń zgłasza liczne błędy relatywne. Naprawy są skomplikowane i do tego przejdziemy. Na początek jednak zresetuj system i wygeneruj materiały dodatkowe do oceny:

 

1. Potwierdzenie usunięcia ZeroAccess. Uruchom SystemLook i w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:folderfind
{6b9492dd-2142-9944-9537-d6ff2c0f1416}

 

Klik w Look.

 

2. Wykaz uszkodzeń w usługach. Zrób log z Farbar Service Scanner z wszystkimi opcjami zaznaczonymi.

 

 

 

.

Odnośnik do komentarza

O ile w rejestrze brak już punktów ładowania ZeroAccess, foldery trojana nadal są na dysku. Do przeprowadzenia następujące czynności:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\Installer\{6b9492dd-2142-9944-9537-d6ff2c0f1416}
C:\Users\Wojtek\AppData\Local\{6b9492dd-2142-9944-9537-d6ff2c0f1416}
C:\Users\Wojtek\AppData\Roaming\Mozilla\Firefox\Profiles\28sy2uyh.default\searchplugins\search.xml
C:\ProgramData\svcnet2.inc
C:\ProgramData\svcnet2.cfg
C:\Windows\System32\runkgb.lnk
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera.

 

3. Odbuduj skasowane usługi (omiń sfc /scannow w tych instrukcjach):

  • Rekonstrukcja usług Zapory systemu Windows: KLIK.
  • Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  • Rekonstrukcja usługi Windows Defender: KLIK.

4. Otwórz Google Chrome i w menedżerze wyszukiwarek przestaw domyślną z bieżącego Babylon na cokolwiek innego, a po tym Babylon usuń z listy.

 

5. Zresetuj system i wygeneruj nowe logi OTL z opcji Skanuj oraz Farbar Service Scanner.

 

 

 

 

.

Odnośnik do komentarza
2. Tu jakiś błąd wyskakuje i teraz nie wiem czy pomijając ten krok mogę zrobić następne?

To co mi się pojawiło:

Nie mozna zaladowac nastepujacego pomocnika DLL: WSHELPER.DLL

Nie znaleziono nastepujacego polecenia: winsock reset

 

Niedobrze. Ten błąd może oznaczać, że trojan ZeroAccess jest czynny (czyli się zrekonstruował), gdyż jego aktywność całkowicie uniemożliwia reset Winsock. Proszę o nowe logi OTL + SystemLook na warunki:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

 

.

 

 

Odnośnik do komentarza

I wszystko jasne. Tu była kombinacja dwóch wariantów ZeroAccess, masz również zainfekowany plik systemowy services.exe, a tego wariantu MBAM nie jest zdolny wykryć, ani tym bardziej uleczyć. Wymagane specjalne działania przywracające oryginalny niemodyfikowany plik:

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system.

 

2. I po tym jedziesz od punktu 2 do 5 z poprzednio podanej instrukcji.

 

 

 

.

Odnośnik do komentarza

odnośnie kroku 3 to mam pobrać wszystkie pliki i zmienić rozszerzenie na reg? Czy tylko Zapora systemu Windows (MpsSvc)?

 

Wszystko zrobiłem zgodnie z instrukcją, ale tak jak Microsoft Security Essentials nie działał tak nie działa.

 

FSS: http://wklej.org/id/787120/

 

OTL: http://wklej.org/id/787122/

 

Ps. Przepraszam za pisanie dwóch postów <zapomniałem> :)

Odnośnik do komentarza

Wszystko zdaje się być poprawnie wykonane, Winsock zresetowany + usługi odbudowane (log z Farbar "czyściutki").

 

Wszystko zrobiłem zgodnie z instrukcją, ale tak jak Microsoft Security Essentials nie działał tak nie działa.

 

Trojan ZeroAccess lubuje się w dewastowaniu produktów Microsoftu. Zapewne MSSE też dostał w tyłek.

 

 

1. Kosmetyczna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1716329714-369077267-911810370-1001\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/burn4free/{EC8A5341-929E-4023-8624-05F6FA250A9C}?q={searchTerms}"
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.104.0: C:\Program Files\Battlelog Web Plugins\1.104.0\npesnlaunch.dll File not found
DRV - [2011-04-30 16:06:39 | 000,135,032 | ---- | M] (Doctor Web, Ltd.) [File_System | Boot | Running] -- C:\Windows\System32\drivers\dwprot.sys -- (DwProt)

 

Klik w Wykonaj skrypt. Tym razem pojedzie bez restartu.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie, a resztę narzędzi dokasuj ręcznie.

 

3. Wykonaj reinstalację MSSE. Odinstaluj normalną drogą + powiązany pakiet językowy:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{43592B2E-C393-433F-8D0E-5A4B15A8C786}" = Microsoft Antimalware Service PL-PL Language Pack

"{50779A29-834E-4E36-BBEB-B7CABC67A825}" = Microsoft Security Client PL-PL Language Pack

"Microsoft Security Client" = Microsoft Security Essentials

 

Następnie upewnij się w tym usuwaczu zapuszczonym w trybie automatycznym, że żadne relatywne wpisy nie są widoczne: KLIK.

 

4. Po przeinstalowaniu powyższego wykonaj nim pełny skan systemu. Gdyby coś wykrył, przedstaw wyniki. A jeśli nic:

 

5. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

Odnośnik do komentarza

Spodziewałam się jeszcze wyników, dlatego zadałam skan. Wyniki oznaczone jako "Sirefef" to są odpadki. Rozumiem, że już to usunąłeś? Po tym jak mówiłam czyszczenie Przywracania systemu. Na koniec zaś:

 

1. Podstawowe aktualizacje: KLIK. Tutaj z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java™ 6 Update 29

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

"Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl)

 

2. Prewencyjna wymiana haseł logowania w serwisach.

 

 

PS. Gadu-Gadu 10 = rozważ alternatywę dla tego reklamodawcy. Do wglądu arykuł Darmowe komunikatory i opisy WTW, Kadu, Miranda, AQQ (reszta odpada w przedbiegach).

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...