Skocz do zawartości

Autoruns - brakuje niektórych wpisów (File Not Found)


Rekomendowane odpowiedzi

Jak w temacie.
Ściągnąłem dziś z ciekawości Comodo Cleaning Essentials i po uruchomieniu narzędzia Autorun Analyzer zwóciłem uwagę na to, że niektórych wpisów nie ma (File Not Found), co mnie nieco zaniepokoiło. Nie wiem na ile to jest niebezpieczne, dlatego prosiłbym o sprawdzenie co z tym fantem zrobić.

Z góry dzięki za ewentualną pomoc.

System Vista Home Basic 32-bitowy

FRST.txt

Addition.txt

Shortcut.txt

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

właśnie próbowałem sie tego Google Update pozbyć, ale bezskutecznie dotychczas

 

rdpclip File not found: Rdpclip

language.dll File not found: Language.dll

ATP File not found: C:\Windows\system32\DRIVERS\cmdatp.sys

DfSdkS File not found: C:\Windows\system32\drivers\DfSdkS.sys

IpInIp IP in IP Tunnel Driver File not found: C:\Windows\system32\DRIVERS\ipinip.sys

kovabf File not found: C:\Windows\system32\drivers\kovabf.sys

NwlnkFlt IPX Traffic Filter Driver File not found: C:\Windows\system32\DRIVERS\nwlnkflt.sys

NwlnkFwd IPX Traffic Forwarder Driver File not found: C:\Windows\system32\DRIVERS\nwlnkfwd.sys

Partizan File not found: C:\Windows\system32\drivers\Partizan.sys

taphss File not found: C:\Windows\system32\DRIVERS\taphss.sys

taphss6 File not found: C:\Windows\system32\DRIVERS\taphss6.sys

usbbus File not found: C:\Windows\system32\DRIVERS\lgusbbus.sys

UsbDiag LGE Mobile USB Serial Port File not found: C:\Windows\system32\DRIVERS\lgusbdiag.sys

USBModem LGE Mobile Modem Support File not found: C:\Windows\system32\DRIVERS\lgusbmodem.sys

Winsock File not found: C:\Windows\system32\drivers\Winsock.sys

耀Úʼn

File not found: 耀Úʼn

벌緬 File not found: 벌緬

 

takie krzaczki jeszcze na koniec :/

 

a to przecie wszystko w Logach powyżej ...

Odnośnik do komentarza

Zrób z tego po prostu zrzut ekranu. Nie wiadomo gdzie widzisz odnośniki do "language.dll " i krzaków. Natomiast:

 

- Wpis rdpclip w stanie "not found" jest OK. Jest tu edycja podstawowa Vista Home Basic (określone komponenty są nieaktywne / niepełne). Dla porównania ten temat: KLIK.

- Sterowniki IpInIp + NwlnkFlt + NwlnkFwd w stanie "not found" są normalne na Vista i nie będą usuwane. W systemie są określone wpisy, które nie mają powiązanych plików, ale nie należy tego naprawiać.

- Kilka pustych wpisów to zostanie usuniętych poniższymi działaniami.

 

 


Wstępnie wykonaj następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S2 *etadpug; "C:\Program Files\Google\Desktop\Install\{a886596a-7018-f03a-8a2c-160be15bac0a}\ \...\???\{a886596a-7018-f03a-8a2c-160be15bac0a}\GoogleUpdate.exe" 
HKU\S-1-5-21-3592015403-793725120-2322176034-1000\...\Run: [Google Update**.d] => "C:\Users\Wiex\AppData\Local\Google\Desktop\Install\{a886596a-7018-f03a-8a2c-160be15bac0a}\d'x"Ů"\", &h#\. ůű[\{a886596a-7018-f03a-8a2c-160be15bac0a}\GoogleUpdate.exe" > 
Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 05 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
FF NetworkProxy: "gopher", ""
FF NetworkProxy: "gopher_port", 0
FF NetworkProxy: "share_proxy_settings", true
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn2
FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn2
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver"
S3 ATP; system32\DRIVERS\cmdatp.sys [X]
U3 DfSdkS; No ImagePath
S0 kovabf; No ImagePath
U0 Partizan; system32\drivers\Partizan.sys [X]
S3 taphss; system32\DRIVERS\taphss.sys [X]
S3 taphss6; system32\DRIVERS\taphss6.sys [X]
S3 usbbus; system32\DRIVERS\lgusbbus.sys [X]
S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [X]
S3 USBModem; system32\DRIVERS\lgusbmodem.sys [X]
C:\ProgramData\TEMP
C:\Program Files\Dll-Files.com Fixer
C:\Program Files\Google\Desktop
C:\Users\Wiex\AppData\Local\Google\Desktop
C:\Users\Wiex\AppData\Roaming\3909
C:\Users\Wiex\AppData\Roaming\System
C:\Windows\system32\Drivers\etc\hosts.ccebak
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CMD: netsh winsock reset
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ClamWin" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + Farbar Service Scanner. Dołącz też plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Usuwanie infekcji poszło gładko. Log z Farbar Service Scanner wykazuje dewastację usług poczynioną przez infekcję. Kolejna porcja działań:

 

1. Otwórz Notatnik i wklej w nim:

 

Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC} /v AutoStart /t REG_SZ /d "" /f
CMD: del /q C:\ProgramData\D__Programy_HideIPEasy_HideIPEasy.exe
CMD: del /q C:\Windows\System32\libs.exe
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Zastosuj ServicesRepair, zresetuj system i zrób nowy log z Farbar Service Scanner.

 

3. I jeszcze pokaż na obrazku gdzie widzisz tych delikwentów:

 

Nie wiadomo gdzie widzisz odnośniki do "language.dll " i krzaków.

Po prostu masz mi zrobić zrzuty ekranu pokazujące "not found", ale tak by było widać który odgórny klucz jest skanowany, bo Ty obciąłeś dane.

 

 

 

.

Odnośnik do komentarza

dodam jeszcze że delikwentów  skrzaczonych się namnożyło i ogólnie wpisów dużo więcej z etyKietą File Not Found niż poprzednio :/

ale to jeszcze przed zrobieniem tego powyżej

 

a ścieżka taka:

HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\\BootExecute i jest tu mnóstwo plików NOT FOUND i właśnie dużo chińszczyzny

Odnośnik do komentarza

a ścieżka taka:

HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\\BootExecute i jest tu mnóstwo plików NOT FOUND i właśnie dużo chińszczyzny

Log z FRST nie pokazuje modyfikacji BootExecute (powinien), ale już wiem do czego zmierzasz. Krzaki to nie jest problem, w tej wartości często to występuje. Tu na dodatek BootExecute było zaprzężone do roboty dodatkowej, gdyż FRST przesuwał metodą przy bootowaniu katalog ZeroAccess. Dla świętego spokoju możesz przebić BootExecute dla bieżącej konfiguracji (alternatywne konfigi się nie liczą) przepuszczając w FRST taki skrypt:

 

Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v BootExecute /t REG_MULTI_SZ /d "autocheck autochk" /f

 

 

 

.

Odnośnik do komentarza

wszystko juz śmiga o niebo lepiej :D

chociaż wydawało mi się, że to komp już taki zamierzchły (nie podejrzewałem robactwa i innych eboli)

po raz któryś z kolei wielgachne dzięki !!!

 

coś jeszcze na zakończenie ???

 

dodam że oprócz rzeczy z obrazka rejestr czyściuchny jak łza (poza plikami wspomnianymi przez Ciebie oraz Winsock.sys z Services)

Mam nadzieję, że o ten Log chodziło dodaje FRST.txt (nic poza tym i już dodanym Fixlog nie mam w folderze FRST) i dobrej nocy

FSS.txt

post-9633-0-61328100-1410980474_thumb.jpg

Fixlog.txt

Odnośnik do komentarza

Jeśli chodzi o log z Farbar Service Scanner, to nadal jest notowany brak usług PolicyAgent i RemoteAccess (obie skasowane przez ZeroAccess). Odbudowa usług:

 

1. Pobierz SetACL (na spodzie strony "Administrators: Download the EXE version of SetACL 3.0.6 for 32-bit and 64-bit Windows."). Z folderu x86 przekopiuj plik SetACL.exe do folderu C:\Windows. Następnie wykonaj instrukcje z tego posta: KLIK.

 

2. Zresetuj system i zrób nowy log z Farbar Service Scanner.

 

 

Mam nadzieję, że o ten Log chodziło dodaje FRST.txt (nic poza tym i już dodanym Fixlog nie mam w folderze FRST) i dobrej nocy

Usuwam log FRST, mnie chodzi o wyniki skryptu z posta numer #6. Czy Ty go w ogóle wykonałeś?

 

 

dodam że oprócz rzeczy z obrazka rejestr czyściuchny jak łza (poza plikami wspomnianymi przez Ciebie oraz Winsock.sys z Services)

U mnie na Windows 7 jest identyczny odczyt z klucza HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oba wpisy są w stanie "not found", a także sterownik Winsock jest "not found". Tak więc te wpisy także zostawiasz w spokoju.

 

 

 

 

.

Odnośnik do komentarza

Bez zmian, a to dlatego, bo jak na PW zgłosiłeś w ogóle plik REG nie został zaimportowany. Dopóki nie wykonasz importu pliku, akcja z SetACL jest bezcelowa (przetwarzanie nieistniejących obiektów).

 

 

PS. I nadal brakuje pliku fixlog.txt z tego działania:

 

1. Otwórz Notatnik i wklej w nim:

 

Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC} /v AutoStart /t REG_SZ /d "" /f
CMD: del /q C:\ProgramData\D__Programy_HideIPEasy_HideIPEasy.exe
CMD: del /q C:\Windows\System32\libs.exe
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Odnośnik do komentarza

Usługi pomyślnie odbudowane. Myślę, że możemy przejść do czynności końcowych:

 

1. Usuń ręcznie SetACL i C:\Users\Wiex\Downloads\FRST. Popraw narzędziem DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Drobne aktualizacje, są nowsze wersje tych dwóch programów:

 

==================== Installed Programs ======================

 

Adobe Reader XI (11.0.05) - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.05 - Adobe Systems Incorporated)

Java 7 Update 60 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217040FF}) (Version: 7.0.600 - Oracle)

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...