Skocz do zawartości

Przekierowania google na hooot.com, wyłączona zapora Windows, Defender itp.


Rekomendowane odpowiedzi

Witam.

Nie chcę zakładać nowego tematu od początku więc dam linka do innego forum.

Dotychczasowe działania nie przyniosły rezultatu, dodatkowo zauważyłem, że nie ma możliwości włączenia Zapory Systemu Windows ani Windows Defendera.

Po użyciu narzędzia Microsoftu do skanowania i usuwania wirusów msert.exe nie ma możliwości uruchomienia systemu, pozostaje opcja przywracania.

 

http://forum.program...e-vp959553.html

 

EDIT:

Ponieważ z niewiadomych przyczyn temat został na tamtym forum usunięty to jutro z rana dam wymagane logi i opiszę co było robione, choć mówiąc szczerze to kalka działań picasso z tego forum (nawet wpisy żywcem kopiowane z tej strony).

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Z Google Cache pobrałam temat > KLIK. Faktycznie kalka moich instrukcji, nieprawidłowa. Powodzenia w resetowaniu Winsock, gdy jest czynny ZeroAccess (błąd "Brak pliku pomocnika wshelper.dll, nie można znaleźć polecenia winsock reset."). Obecność ZeroAccess wnioskuję pośrednio. Logów z wklej.org nie mogę pobrać (ACTA-protest), toteż muszę dedukować.

 

 

Po użyciu narzędzia Microsoftu do skanowania i usuwania wirusów msert.exe nie ma możliwości uruchomienia systemu, pozostaje opcja przywracania.

 

Tu nie jest pewne czy przyczynił się do tego skaner Microsoftu, to mógł załatwić ComboFix, którego Ci podsunięto = ostatnio na forum mam tu przypadki nieprawidłowego usuwania ZeroAccess na systemach 64-bit przez ComboFix. Zapewne skaner usunął plik consrv.dll, a niestety nie został skorygowany rejestr, dlatego system nie może startować. Nie przywracaj systemu, to nie jest potrzebne. Poproszę o log z narzędzia FRST x64. Umieść na pendrive, F8 przy starcie systemu i wejdź do modułu "Napraw komputer" w celu uruchomienia FRST.

 

 

 

.

Odnośnik do komentarza

Fix result of Farbar Recovery Tool (FRST written by farbar) Version: 24-01-2012

Ran by SYSTEM at 2012-01-24 15:07:41 R:1

Running from F:\

 

==============================================

 

HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\SubSystems\\Windows Value was restored.

C:\Windows\system32\consrv.dll moved successfully.

C:\Windows\system32\ultra66.dll not found.

C:\Windows\assembly\GAC_64\desktop.ini moved successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs NICSer_WPC300N not found.

 

========= reg delete HKLM\SYSTEM\ControlSet001\Services\NICSer_WPC300N /f =========

 

BŁĄD: System nie znalazł w rejestrze określonego klucza albo wartości.

 

========= End of Reg: =========

 

 

==== End of Fixlog ====

 

 

C:\Windows\system32>cmd

Microsoft Windows [Wersja 6.1.7600]

Copyright © 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone.

 

C:\Windows\system32>netsh winsock reset

Nie można załadować następującego pomocnika DLL: WSHELPER.DLL.

Nie znaleziono następującego polecenia: winsock reset.

 

C:\Windows\system32>

OTL.Txt

Odnośnik do komentarza

No i właśnie: "Fix result of Farbar Recovery Tool". Te skrypty są unikatowe dla danego systemu. Tu nie było ode mnie ani słowa o przejściu do procedur usuwania i to przy wykorzystaniu błędnych skryptów, miałeś tylko i wyłącznie zrobić log z FRST w trybie "tylko do odczytu". Oczywiście, że skrypt nie działa (aka ZeroAccess czynny i uniemożliwia reset Winsock), bo u Ciebie ZeroAccess ma inną postać. Usługa nowej wersji ZeroAccess u każdego jest inna, tu:

 

SRV:64bit: - [2009-07-14 02:39:46 | 000,005,120 | ---- | M] (Iomega) [Auto | Running] -- C:\Windows\SysNative\RDID1027.dll -- (tng-doba)

 

Są też i inne rzeczy do usuwania, które nie są powtarzalne. Użyłeś skrypt nie pod swój przypadek, skrypt zazębił się tylko w 3 wpisach (to stanowczo za mało), a w związku z aktywną usługą ZA nie wiadomo czy skasowane obiekty aby nie wróciły na miejsce. Proszę o skan potwierdzający.

 

1. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne i w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
c:\Windows\system32\consrv.dll /64
C:\Windows\assembly\GAC_64\*.*
C:\Windows\assembly\GAC_32\*.*
dir /s /a C:\Windows\assembly\tmp /C

 

Klik w Skanuj (nie Wykonaj skrypt!).

 

2. Uruchom Farbar Service Scanner, zaznacz wszystkie sekcje do skanowania i klik w Scan.

 

 

PS. Proszę korzystaj z systemu Załączniki, zmieniam. Zasady działu do wglądu. Tagi CODE = nie. Poza tym, to nie jest kompletny OTL, brak Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania").

 

 

 

.

Odnośnik do komentarza

Ach, postać tematu w Google Cache jest niekompletna, nie widzę tam bowiem tego wątku. Takich "ekspertów" za włosy. Biorą moje fiksy i nic z tego nie rozumieją. Nic a nic. Okropnie się wkurzam. Danie skryptu z całkiem inną usługą niż w logu jest jednoznaczne z tym, że nie potrafią go czytać. Bez komentarza. Ciekawe też dlaczego temat skasowali.

 

Skrypt wprawdzie usuwał consrv.dll, jednakże to wszystko wróciło na miejsce. Również masz całkowicie skasowaną z rejestru usługę Zapory systemu Windows. Ponadto, plik regedit nie ma sygnatury Microsoftu i nie wiem do czego to podpasować (uszkodzony? zainfekowany?):

 

[2009-07-14 00:27:10 | 000,427,008 | ---- | C] () -- C:\Windows\regedit.exe

 

 

 

1. Montuj skrypt do FRST, czyli fixlist.txt:

 

SubSystems: [Windows] ==> ZeroAccess
NETSVC: tng-doba
2 tng-doba; C:\Windows\System32\RDID1027.dll [5120 2009-07-14] (Iomega)
C:\Windows\System32\RDID1027.dll
C:\Windows\System32\consrv.dll
C:\Windows\assembly\tmp\U
C:\Windows\assembly\tmp\loader.tlb
C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
C:\Users\user\AppData\Local\da66c0bc
C:\Users\user\AppData\Local\Microsoft Help
C:\Users\user\AppData\Roaming\Ukyzr
C:\Users\user\AppData\Roaming\Byxo
C:\Users\user\AppData\Roaming\jumprs
C:\Users\user\AppData\Roaming\38C00
C:\Users\user\AppData\Roaming\48F38
C:\Users\user\AppData\Roaming\6615DE.dat
C:\Users\user\AppData\Roaming\MSWINSCK.OCX
C:\Users\user\AppData\Roaming\1.gif
C:\Users\user\AppData\Roaming\start
C:\Users\user\AppData\Roaming\ct_start
C:\Users\user\AppData\Roaming\xxzic1upujaqmjsvcccrcg1g1xexwdp12
C:\Users\user\AppData\Roaming\xfuxownrijstax1kopspcbnwfbypleia2
C:\Users\user\AppData\Roaming\x1su1ublpqjksu11clzp2ntfcbdjldd32
C:\Users\user\AppData\Roaming\xfk2luzgv2sh23rmp2gueguhqbpdphtp2
C:\ProgramData\k803Rl2.dat
C:\Windows\SysWow64\%APPDATA%

 

2. F8 > Napraw komputer > uruchamiasz FRST i opcja Fix. Restart do Windows.

 

3. Reset Winsock. Akurat kroki są nadal aktualne, tylko teraz właściwa kolejność ich prowadzenia. Potwórz reset Protocol i NameSpace: KLIK (punkty 1+2).

 

4. Wykonaj weryfikację poprawności plików poleceniem sfc /scannow, kolejnym poleceniem przefiltruj CBS.LOG do wystąpień znaczników [sR]: KLIK.

 

5. Poprzez Panel sterowania odinstaluj kwestionowalnego śmiecia ALOT Appbar Helper.

 

6. Do oceny: wyniki przetwarzania skryptu (fixlog.txt), log z filtrowania SFC oraz zrobiony po wszystkim log z OTL opcją Skanuj (o Extras przypominam).

 

 

Cyzelowaniem (drobnostki) i odtwarzaniem Zapory zajmiemy się potem.

 

 

 

.

Odnośnik do komentarza

Proszę stosuj opcję "Edytuj", gdy nikt jeszcze nie odpisał. Posty łączę.

 

 

Logi, tylko nie mogę wygenerowac extras w OTL. Jak to zrobić?

 

vs.

 

(...) brak Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania").

 

 

Logi już "ładne", najgorsze za nami. Skan SFC wiele wyjaśnia. Oto wyniki:

 

2012-01-25 10:50:59, Info    CSI    000002e5 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"wshelper.dll" from store

2012-01-25 10:50:59, Info CSI 000002e6 [sR] Repairing corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:22{11}]"regedit.exe" from store

 

Uszkodzone zarówno regedit.exe, jak i ów wshelper.dll (czyli delikwent z komunikatu netsh). Tu był podwójny problem z Winsock, załatwiony przez ZeroAccess plus uszkodzony plik relatywny. SFC naprawiło szkody. Teraz komenda powinna zostać wykonana poprawnie.

 

1. Ponów komendę netsh winsock reset i zresetuj system.

 

2. Drobna kosmetyka wpisów-odpadków i czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=48f38c0000000000000000264da5e93c&tlver=1.4.19.19&ss=1&affID=17981"
IE - HKCU\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:64424
[2011-05-14 18:59:36 | 000,002,428 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
 
:Files
rd /s /q C:\FRST /C
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami.

 

3. Do oceny: pełny nowy log z OTL opcją Skanuj (Extras! Extras!) oraz log z wynikami usuwania z punktu 2. Z Extras się m.in. dowiem czy Firefox jest na liście zainstalowanych, bo wg loga to jakby szczątki w rejestrze ....

 

 

 

.

Odnośnik do komentarza

Winsock został zresetowany, zniknęły wszystkie odczyty "not found" będące pochodną ZeroAccess.

 

1. Nie wiem skąd w folderze system32 utworzył się i dopiero teraz uwidocznił plik z końcówką *.bak (skasuj go ręcznie):

 

[2012-01-24 16:01:52 | 000,019,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wshelper.dll.bak

 

2. Firefoxa nie widzę na liście zainstalowanych, toteż Start > w polu szukania wpisz regedit > skasuj wszystkie klucze spełniające warunek:

 

HKEY_LOCAL_MACHINE\Software\Mozilla*

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Mozilla*

 

3. Przechodzimy do naprawy usterki w usługach. Wspominasz w tytule tematu coś o "Windows Defender", o co chodzi z nim? Uzupełnij skasowaną usługę Zapora systemu Windows (tylko jednej brakuje + skan SFC omijasz): KLIK. Zresetuj system. Zrób nowy log z Farbar Service Scanner.

 

 

 

.

Odnośnik do komentarza

Ten bak pewnie pochodzi z próby podmiany przeze mnie wshelper.dll ,sądzilem, ze uszkodzenie lub brak tego pliku jest przyczyną niemożności wykonania polecenia netsh.

Klucze w rejestrze usunięte.

Odnosnie Windows Defender to przy próbie uruchomienia wyskakuje: Okreslona usługa nie istnieje jako usługa zainstalowana (kod błędu 0x80070424).

Biorę się za zaporę. Próbowałem ja wczesniej zrekonstruowac ale nie dało rady, być może wirus blokował część poczynań.

 

EDIT:

Wszystkie polecenia wykonane, wydaje się, że poprawnie, kończę sfc /scannow i restart

 

EDIT2:

Zapora odbudowana i działa, Windows Defender dalej wyświetla błąd.

Odnośnik do komentarza
Ten bak pewnie pochodzi z próby podmiany przeze mnie wshelper.dll ,sądzilem, ze uszkodzenie lub brak tego pliku jest przyczyną niemożności wykonania polecenia netsh.

 

Głowiłam się skąd tu uszkodzenie pliku, bo ta przypadkowość uszkodzenia akurat pliku związanego z Winsock wydała mi się podejrzana :lol:. Wygląda na to, że sam się do tego przyczyniłeś, wstawiając plik niezgodny z systemem. Jestem przekonana, że plik nie spełniał warunków: 64-bitowy, z Windows 7. Jeśli z Google brałeś, to duże prawdopodobieństwo, że wstawiłeś plik 32-bit, być może nawet pochodzący z obcej platformy.

To polecenie resetu Winsock na początku nie mogło się wykonać, ponieważ był czynny ZeroAccess. Dopóki infekcja jest aktywna, reset jest nie do przeprowadzenia, komenda zwraca błąd który podałeś.

 

 

Wszystkie polecenia wykonane, wydaje się, że poprawnie, kończę sfc /scannow i restart

 

SFC przecież już robiłeś (naprawiał pliki) i to kazałam ominąć. Za to nie podałeś raportu z Farbar Service Scanner, który przedstawi sytuację po odbudowie Zapory.

 

 

Odnosnie Windows Defender to przy próbie uruchomienia wyskakuje: Okreslona usługa nie istnieje jako usługa zainstalowana (kod błędu 0x80070424).

 

Kolejna usługa skasowana z systemu. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
  00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
  65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
  74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
  69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
  00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
  00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\
  72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\
  69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\
  00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
  00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
  20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
  00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]
"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
  05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
  00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
  84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
  05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
  04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

Zresetuj system.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...