picasso

Kiedy to przywracanie systemu się odbyło, przed zrobieniem logów OTL czy po? Jeśli po, to należy zrobić nowe raporty OTL. Jeśli natomiast przed, to zostaje jeszcze sprawa doczyszczenia systemu. .

Błąd, bo uprawnienia trzeba zmienić przed usuwaniem. Nie zadawałam tego, bo myślałam, że wiesz jak, skoro byłeś zdolny wyciąć całą usługę BFE (również blokowana)! Jeszcze raz: 1. Zmieniasz uprawnienia klucza SharedAccess, tzn. z prawokliku na klucz Uprawnienia > Zaawansowane. Wchodzisz do karty Właściciel i przestawiasz na grupę Administratorzy + zaznaczasz Zamień Właściciela dla podkontenerów i obiektów. Wchodzisz do karty Uprawnienia, zaznaczasz Zastąp wszystkie uprawnienia obiektów podrzędnych... i dla grupy Administratorzy dajesz Pełną kontrolę. Powtarzasz to tyle razy dla kolejnych podkluczy SharedAccess, aż da się skasować cały SharedAccess. 2. Powtarzasz akcję z importem pliku REG + zrzucaniem uprawnień SharedAccess przez SetACL. 3. Restart systemu. .

No to spróbujmy bardziej radykalnie. 1. Skasuj cały klucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess On poprzednio wcale nie był usunięty w całości. Skaner Farbar twierdził, że braki były fragmentaryczne: Other Services:============== Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist. Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist. Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to retrieve ServiceDll of SharedAccess. The value does not exist. 2. Następnie zaimportuj plik REG z wpisami SharedAccess oraz przywróć uprawnienia oryginalne klucza SharedAccess za pomocą SetACL: KLIK. 3. Zresetuj system. Podaj co się dzieje. .

Ale to są złe logi. Zrobiłeś 5 identycznych raportów z opcji Scan, a miałeś w oknie wpisać warunki do szukania i kliknąć w Search File(s). Na razie z tych 5 logów to mam potwierdzenie modyfikacji tych plików KnownDLLs: ==================== Known DLLs (Whitelisted) ================= [2012-12-13 18:32] - [2012-11-14 06:55] - 2144768 ____A () C:\Windows\System32\IERTUTIL.dll [2012-12-13 18:32] - [2012-11-14 02:46] - 1793024 ____A () C:\Windows\SysWOW64\IERTUTIL.dll [2012-12-13 18:32] - [2012-11-14 07:04] - 1346048 ____A () C:\Windows\System32\URLMON.dll [2012-12-13 18:32] - [2012-11-14 02:57] - 1103872 ____A () C:\Windows\SysWOW64\URLMON.dll [2012-12-13 18:32] - [2012-11-14 07:04] - 1392128 ____A () C:\Windows\System32\WININET.dll [2012-12-13 18:32] - [2012-11-14 02:57] - 1129472 ____A () C:\Windows\SysWOW64\WININET.dll Oraz, że jest większa ilość plików świeżo utworzonych bez sygnatury MS: ==================== One Month Created Files and Folders ======== 2012-12-13 18:32 - 2012-11-14 07:04 - 01392128 ____A C:\Windows\System32\wininet.dll 2012-12-13 18:32 - 2012-11-14 07:04 - 01346048 ____A C:\Windows\System32\urlmon.dll 2012-12-13 18:32 - 2012-11-14 06:59 - 00085504 ____A C:\Windows\System32\jsproxy.dll 2012-12-13 18:32 - 2012-11-14 06:55 - 02144768 ____A C:\Windows\System32\iertutil.dll 2012-12-13 18:32 - 2012-11-14 02:58 - 01427968 ____A C:\Windows\SysWOW64\inetcpl.cpl 2012-12-13 18:32 - 2012-11-14 02:57 - 01129472 ____A C:\Windows\SysWOW64\wininet.dll 2012-12-13 18:32 - 2012-11-14 02:57 - 01103872 ____A C:\Windows\SysWOW64\urlmon.dll 2012-12-13 18:32 - 2012-11-14 02:55 - 00231936 ____A C:\Windows\SysWOW64\url.dll 2012-12-13 18:32 - 2012-11-14 02:51 - 00065024 ____A C:\Windows\SysWOW64\jsproxy.dll 2012-12-13 18:32 - 2012-11-14 02:46 - 01793024 ____A C:\Windows\SysWOW64\iertutil.dll .

Pokaż mi wygląd tego klucza FirewallPolicy. Uruchom SystemLook x64 i w oknie wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy /s .

Wstępne akcje: 1. Na początek pozbądź się Bitdefendera, bo jego przemigrowanie może stanowić problem. 2. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. Wejdź do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion Dwuklik w wartość ProgramFilesDir i zastąp ścieżkę J:\Program Files ścieżką C:\Program Files 3. Restart systemu do Trybu awaryjnego i przenieś katalogi programów z J:\Program Files do C:\Program Files. 4. Ponownie uruchom regedit i zrób szukanie w rejestrze na frazy J:\Program Files + J:\PROGRA~1, a te znalezione pozastępuj przez odpowiedniki C:\Program Files + C:\PROGRA~1. 5. Restart systemu do Trybu normalnego i sprawdzaj co działa a co nie. .

keramti nie widzę za bardzo celu w tym. Jak się dobrze rozejrzysz po raportach użytkowników, to wyjdzie, że bardzo różne antywirusy w zestawie a infekcja się wślizgnęła.

To teraz próbuj tego: 1. Wyzeruj aktualne reguły. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. Wejdź do klucza:: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy Skasuj ze środka wszystko (wartości na głównym widoku + wszystkie podklucze), ale nie ruszaj samego klucza FirewallPolicy. Klucz ma zostać, tylko pusty. 2. Następnie uruchom usługę Zapory i wykonaj reset reguł do poziomu domyślnego. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendy: sc start MpsSvc netsh advfirewall reset .

Sterownik grafiki to ów dostosowany przez Toshibę Intelowski Display Driver, wersja 8.15.10.2281 z 2011. Natomiast ten ogólny Intel® HD Graphics Driver 15.28.8.64.2875 zawiera jeszcze nowsze sterowniki 9.17.10.2875 z 2012. Ale: Te paczki mają jednak różne identyfikatory sprzętowe PCI\VEN_8086&DEV_XXXX w pliku instalacyjnym *.INF. I skoro Intel Driver Update Utility ma zastrzeżenia kierując na wersję OEM, to zainstaluj Display Driver ze strony Toshiba. On jest nowszy niż to co posiadasz i wg oznaczeń wersji jest poza zakresem wadliwych sterowników blokujących SP1 na Windows Update. .

Wykonaj ponownie operację z ServicesRepair. Usługi muszą zostać przywrócone. Po ich odtworzeniu dopiero się okaże czy jest jakiś dodatkowy problem i ten będzie analizowany.

Ten raport z ComboFix nie wykazuje żadnych usunięć infekcji policyjnej. Wg OTL logi powstały z poziomu konta MDK: Computer Name: MDK-88CF132EB8E | User Name: MDK | Logged in as Administrator. Ścieżki na dysku też pokazują MDK. Od infekcji widać na dysku tylko poboczny folder hellomoto oraz coś jakby odpadek po Live Security Platinum: [2012-07-09 12:37:27 | 000,000,000 | ---D | C] -- C:\Documents and Settings\MDK\Dane aplikacji\hellomoto[2012-06-16 17:15:30 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\529C53690000222C5EB2A6AE0CDF108C Nie ma natomiast nic w starcie. Czy problem z wyskakującą planszą policji na pewno nadal występuje? .

Brak oznak infekcji, czyli temat przenoszę do działu Windows 7. Komentarze do raportów: 1. Firefox zaśmiecony adware. Wykonaj czyszczenie poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Dostęp do Windows Update zablokowany: O7 - HKU\S-1-5-21-323084793-1337322300-555158430-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWindowsUpdate = 1 Czy to celowe działania? 3. Usługa Centrum zabezpieczeń ma błędny Typ startu: Action Center:============ wscsvc Service is not running. Checking service configuration: The start type of wscsvc service is set to System. The default start type is Auto. The ImagePath of wscsvc service is OK. The ServiceDll of wscsvc service is OK. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > wejdź do klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Dwuklik w wartość Start i zamień liczbę 1 na 2. 4. Wracając do nieszczęsnej Zapory. Jak mówiłam, stan bezusługowy nie może pozostać. Mówiłeś poprzednio o: Jaką metodą to robiłeś? Wg OTL była to chyba ręczna rekonstrukcja przez SetACL. Zastosuj narzędzie automatyczne ServicesRepair i zresetuj system. Zrób nowy log z Farbar Service Scanner. .

Był tu używany ComboFix i na ten temat: KLIK. W logu z OTL nie ma w starcie oznak infekcji "policją", jest tylko adware do czyszczenia. W związku z tym: albo ComboFix to usunął, albo log jest z innego konta niż to na którym działa infekcja. Dostarcz log C:\ComboFix.txt (nie uruchamiaj narzędzia ponownie!) + wypowiedz się wyraźnie czy konto MDK to właściwe konto. .

Tak jak przypuszczałam. Katalogi są tam gdzie należy, ale rejestr jest skonfigurowany, by szukać na dysku J. Coś na pewno było robione, katalog Program files jest przemieszczony. Nie wiem jak dużo w rejestrze zedytowano i gdzie pozastępowano ścieżki do Program Files. Może na początek zróbmy podstawowe przekonfigurowanie na C:\Program Files i zobaczymy ile jeszcze trzeba zmienić, choć robota wydaje mi się koszmarna, bo w rejestrze wpisów Program files jest potężna ilość. Wstępnie daj mi skan rozpoznawczy. Uruchom SystemLook i w oknie wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion Klik w Look i podaj wynikowy log. .

To co znalazł ESET to jedynie adware, w 99% nawet nie zainstalowane, bo wykryte pobrane instalatory na dysk (a nie obiekty z nich już zainstalowane). Jedyny wyjątek to FoxTabPDFReader. W logu z OTL brak oznak infekcji, jedynie mikro szczątki adware. Widzę, że używałeś AdwCleaner i po nim trzeba skorygować status domyślnych wyszukiwarek IE. Czyli ogólnie tylko drobne poprawki do wykonania: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{D351FC41-AE3B-4945-9031-FA36603996AB}] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\FoxTab PDF Reader] [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Przez SHIFT+DEL skasuj folder: C:\Users\michal\AppData\Roaming\mozilla 3. Możesz też odinstalować zbędny Akamai NetSession Interface. A to dziwne, bo usuwane obiekty to bardzo drobne rzeczy i jak mówię to w większości nawet nie było zainstalowane... Moim zdaniem przypadek lub wykonywałeś coś jeszcze o czym tu nie jest napisane. Co usuwał AdwCleaner? Pokaż log, który utworzył na dysku. .

Zasadnicze elementy infekcji oraz adware to te dwa i do usunięcia: C:\Users\Jabaloboz\AppData\Local\Temp\Vid-Saver-rs.exe (Adware.GamePlayLabs) -> Nie wykonano akcji.C:\Windows\winsxs\Temp\PendingDeletes\$$DeleteMe.services.exe.01cddd661220d7b5.0000 (Rootkit.0Access) -> Nie wykonano akcji. A reszta to cracki / patchery do programów... .

SosTheKing, założyłeś temat w dziale diagnostyki infekcji, a więc zasady: KLIK. Podaj obowiązujące raporty z OTL, a w związku z problemem usług także i Farbar Service Scanner. Czy ja dobrze czytam, teraz w ogóle jest skasowane to wszystko z rejestru? Tak nie może pozostać, jest to poważne uszkodzenie, a brak BFE uniemożliwia m.in. poprawną pracę programów antywirusowych, które wymagają tego sterownika. .

To podziel skan na części, tyle ile się zmieści maksymalnie za każdym podejściem. FRST nadpisze logi, więc po każdym skanie kopiuj raport w inne miejsce. .

To podaj skan SystemLook na warunki: :filefind Wdf01000Uninstall.mof Wdf01000.mof .

Niestety z rejestru nic nie wynika. Podaj spis wystąpień plików specyfikowanych w kluczu KnownDLLs, jakie mają sumy kontrolne. Uruchom z poziomu WinRE FRST x64. W linii Search wpisz tę długą listę (pliki rozdziela średnik i nie ma spacji nigdzie): clbcatq.dll;ole32.dll;advapi32.dll;COMDLG32.dll;gdi32.dll;IERTUTIL.dll;IMAGEHLP.dll;IMM32.dll;kernel32.dll;LPK.dll;MSCTF.dll;MSVCRT.dll;NORMALIZ.dll;NSI.dll;OLEAUT32.dll;PSAPI.DLL;rpcrt4.dll;sechost.dll;Setupapi.dll;SHELL32.dll;SHLWAPI.dll;URLMON.dll;user32.dll;USP10.dll;WININET.dll;WLDAP32.dll;WS2_32.dll;difxapi.dll Klik w Search File(s). Przedstaw wynikowy log Search.txt utworzony w tym samym katalogu z którego uruchamiano FRST. Drobna uwaga: FRST tymczasowo przemapowuje litery i Windows poprzednio na D będzie widziany na C. Ale to tylko tymczasowe. Reset kompa i już wszystko wróci do stanu początkowego. .

Co miało być zrobione = zostało. Niestety, ale z nowego raportu nic nie wynika. I nie wiem co było usuwane przed usterką, tego się nie dowiem już z logów. Proponuję: z poziomu OTLPE skopiować osobiste ważne dane na inny nośnik, a po tym zrobić format dysku. .

No cóż, ja konsekwentnie nic więcej nie widzę niż to co już było tu typowane... Nie wiem skąd to wraca, w jaki sposób ładuje się w odstępach czasu ta sama infekcja i skąd. Czy zmieniłeś wtedy hasła Skype jak mówiłam? 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found O4 - HKU\S-1-5-21-4064131316-3916356126-2976088500-1000..\Run: [WINSXS32] C:\Users\Arinori\AppData\Roaming\E438.exe () O4 - HKU\S-1-5-21-4064131316-3916356126-2976088500-1000..\Run: [Ysiwiu] C:\Users\Arinori\AppData\Roaming\Ysiwiu.exe (Skype Technologies S.A.) :Files C:\Users\Arinori\AppData\Roaming\*.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dodatkowo, w SystemLook x64 podaj szukanie w na warunki: :regfind Ysiwiu WINSXS32 E438.exe 1322.exe D4AB.exe .

Wszystko pomyślnie wykonane. Infekcja usunięta, szkody po niej naprawione. Przechodzimy do wykończeń: 1. Korekta domyślnych wyszukiwarek Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie próbną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. .

AniaR, przecież Ci podałam link: W temacie są spisy najważniejszych programów, w tym Adobe Reader. Opisane jaka wersja jest najnowsza i link do strony domowej: .

Podaj mi link do strony ze sterownikami z Twoim modelem.