picasso

Pokaż mi ten zaległy skan z SystemLook co tam w ogóle aktualnie w Winsock jest. I jak mówię: opcją skanu jest płyta OTLPE.

To nie załatwia sprawy, bo on się skądś uruchamia. Potrzebny jest nowy log. Jeśli nie możesz zrobić OTL spod Windows to zrób spod OTLPE.

Ale ta wtyczka jest dzielona z Operą, która jest u Ciebie uruchomiona.

Tak jak mówiłam, on się zdążył w międzyczasie zregenerować. Mam wrażenie, że się kręcimy w kółko. Próbujmy po raz kolejny: 1. Skrypt do FRST: 0 63e745c0be481c6f; C:\Windows\System32\Drivers\63e745c0be481c6f.sys [74688 2012-12-07] () ATTENTION =====> Rootkit? C:\Windows\System32\Drivers\63e745c0be481c6f.sys CMD: bcdedit /set testsigning off 2. Zrób ogólny log FRST opcją Scan. Zresetuj do Windows i zrób OTL z opcji Skanuj. Poprzednio nie podałeś raportu z OTL. .

No tak, ale czy to nie jest tu normalne? Przecież wstawiłeś plik SOFTWARE z kopii Repair, która nie posiada żadnych wpisów doinstalowanych aplikacji, blank. Po przywróceniu takiego rejestru trzeba zainstalować ponownie: aktualizacje, programy, sterowniki... .

W końcu udało mi się to rozwiązać: KLIK.

Niestety kompletnie nie o to mi chodziło... Brak startu do Windows był po to, by zapobiec regeneracji sterownika dostatecznie wcześnie. W WinRE można uzyskać połączenie sieciowe (przepis w tej demonstracji: KLIK). A log z FRST jest już w tym momencie częściowo niewiarygodny, bo zrestartowałeś do Windows, czyli mógł się utworzyć nowy sterownik rootkit. Ale log ten podaje też nową informację, jest dodatkowa ukryta usługa (w OTL niewidoczna): ==================== Services (Whitelisted) =================== 2 syshost32; "C:\Windows\Installer\{C582D60C-44EB-C52F-C3C0-F961A39258FE}\syshost.exe" /service [59392 2012-12-06] () 1. Skrypt do FRST: 2 syshost32; "C:\Windows\Installer\{C582D60C-44EB-C52F-C3C0-F961A39258FE}\syshost.exe" /service [59392 2012-12-06] () C:\Windows\Installer\{C582D60C-44EB-C52F-C3C0-F961A39258FE} CMD: bcdedit /set testsigning off Uruchamiasz go w taki sam sposób jak poprzednio. 2. Zrób ogólny log FRST opcją Scan. Zresetuj do Windows i zrób OTL z opcji Skanuj. .

Zrób log z poziomu płyty OTLPE.

Hmmm, klucz odtworzony. Sprawdź co się stanie, jeżeli w services.msc zatrzymasz usługę Centrum zabezpieczeń, a następnie ją ponownie uruchomisz. EDIT: Dopisałeś: Czyli naprawa się udała. Tak, u mnie ikona Zasilania jest też zszarzona. .

Podaj skan SystemLook na te same warunki co poprzednio.

Kierowałam wyraźnie do przyklejonego tematu, gdzie są jedyne autoryzowane linki pobierania narzędzia. A Ty pobrałeś z pokątnego serwisu (to nie jest strona domowa): # AdwCleaner v2.011 - Log utworzony 07/12/2012 o 10:46:44 # Ścieżka : C:\Users\Benek\Desktop\AdwCleaner_www.INSTALKI.pl.exe Tu tylko przypadkowo udało Ci się pobrać najnowszą wersję. Instalki jako serwis pośredni nie nadążają z aktualizacjami. Nie tak dawno z tego linka była podstawiana stara wersja i użytkownicy ją używali szkodząc sobie, podczas gdy na stronie domowej programu była najnowsza. Na przyszłość: ten program pobieraj tylko z autoryzowanych linków, bo tylko one gwarantują najnowszą wersję programu na czas. Deinstalacja silnie wskazana. Jak się zachowuje "aktualizacja" Java: nie jest usuwana starsza wersja, tylko pojawia się nowa w systemie, co oznacza rozmnożenie Java, stare pozycje i tak trzeba odinstalować. I na razie co innego do wykonania, czyli poprawki: 1. Nie odinstalowałeś adware ADDICT-THING. Przeprowadź to. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Program Files (x86)\mozilla firefox :Commands [emptytemp] Klik w Wykonaj skrypt. 4. Zrób nowy log z OTL, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. .

Nie jest dobrze, on się regeneruje... Kolejny cyfrowy sterownik w logu. 1. Skrypt do FRST: 0 96cf1894f12fef4c; C:\Windows\System32\drivers\96cf1894f12fef4c.sys [74688 2012-12-07] () C:\Windows\System32\drivers\96cf1894f12fef4c.sys CMD: bcdedit /set testsigning off Uruchamiasz go w taki sam sposób jak poprzednio. 2. Tym razem jednak nie wchodź do Windows, tylko zrób ogólny log FRST opcją Scan. .

To jest wersja ogólna, ja mówię o buildzie szczegółowym. Wg loga masz zainstalowany: FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw_1167637.dll (Adobe Systems, Inc.) Czyli wersję 11.6.7.637. Najnowszy to 11.6.8.638. .

Wyniki Farbar Service Scanner: brak notowalnych uszkodzeń, czyli naprawione to zostało. Wyniki SystemLook: tak, to ten przypadek, klucz {F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} wyrąbany. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Zresetuj system i podaj czy ikona się ujawniła. .

Spróbuj zrobić wszystko w Trybie awaryjnym Windows. Sprawdź też czy da radę w takich kondycjach jednak zrobić log z OTL.

Wiem, że cały, bo to już sprawdziłam. I jak powiedziałam: "Na analizę materiału potrzebuję czasu". Czekaj cierpliwie i nie podejmuj żadnych akcji. EDIT: Sprawdziłam materiały. "Narzędzie analizy gotowości aktualizacji systemu" było uruchamiane dwa razy i w obu podejściach nie wykryło żadnych błędów. Właściwy błąd jest nagrany w głównym CBS.LOG. Procedura deinstalacji sterowników jest wadliwa, błąd Failed uninstalling driver updates [hrESULT = 0x80070490 - ERROR_NOT_FOUND]: Teraz należy wytypować który sterownik jest wybrakowany. Dla porównania ten sam rodzaj przypadków z forum: KLIK / KLIK. Dostarcz mi plik C:\Windows\inf\setupapi.dev.log. .

Operacja pomyślna, ale częściowo. Komponenty Necurs uprzednio widoczne usunięte (ale teraz jest nowy drajwer w logu widzialny), komenda zdejmowania znaku Tryb testu wykonana, wszystkie sterowniki odblokowane (pobór danych pojawił się i opisy typu producent). I tak jak podejrzewałam: to co było w Farbar Service Scanner to skutek uboczny aktywności Necurs (zablokowane sterowniki = Farbar nie mógł pobrać ich rzeczywistych sum kontrolnych), odczyt ten zniknął. Niemniej musimy usunąć nowy sterownik Necurs. Powtórka: 1. Skrypt do FRST: 0 7d0e2f80d76f0635; C:\Windows\System32\drivers\7d0e2f80d76f0635.sys [74688 2012-12-07] () C:\Windows\System32\drivers\7d0e2f80d76f0635.sys CMD: bcdedit /set testsigning off Uruchamiasz go w taki sam sposób jak poprzednio. 2. Restart do Windows i nowy log OTL z opcji Skanuj. Dołącz fixlog.txt. .

Zadanie wykonane. Przejdźmy do finalizacji tematu: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL i jego kwarantannę. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Windows i wyliczone poniżej programy: KLIK. Wg raportu krytyczny poziom aktualizacji XP (brak SP3), Windows także odcięty od aktyualizacji (wsparcie ma tylko XP SP3), oraz zainstalowane wersje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox/Opera) "ENTERPRISE" = Microsoft Office Enterprise 2007 W podsumowania: odinstaluj wszystkie zakreślone pozycje Adobe i Java (szokująco stara i dziurawa), zainstaluj ich najnowsze wersje, zaktualizuj XP (SP3 + reszta łat wydanych po), zainstaluj pakiet SP3 dla Office 2007. .

Coś jednak gdzieś przy którejś instalacji musiało zostać przeoczone, albo może instalator programu był tak bezczelny, że w ogóle takich opcji nie podawał tylko cicha instalacja śmieci z biegu. Na przyszłość: proszę nie oszukuj w taki sposób rozszerzeń i takie pliki umieszczaj raczej na zewnętrznym hostingu, ja celowo blokuję tu na forum w załącznikach ZIP. Co do rozmiarów raportu: zaćmiło mnie i nie ostrzegłam. Skoro OTL ma dostęp do cyklicznego linka to i CMD. Log jest ogromny, bo cmd weszło w pętlę tak jak OTL i przeskanowało całą strukturę zwrotnie siebie samą punktującą. Potrzebuję nieco czasu na przejrzenie tego ogromnego raportu. Zgłoszę się tu z instrukcjami jak skończę. Uprawnienia katalogu Users to co innego niż to o czym mówię. Twoje uprawnienia Users są poprawne (u mnie takie same). Chodzi tu o uprawnienia linków symbolicznych, są to specyficzne obiekty. .

Skrypt wykonany, możemy kończyć wg standardowego schematu: 1. W OTL uruchom Sprzątanie. 2. Zalecenia aktualizacyjne z poprzedniego tematu prawie wykonałeś. Ja nadal widzę tu starszą wersję Adobe Shockwave Player (nie mylić z Adobe Flash Player). 3. Wyczyść foldery Przywracania systemu: KLIK. .

Tym razem log z OTL został nieprawidłowo wykonany. Wszystkie opcje miały być na "Użyj filtrowania", a tu Moduły zostały ustawione na "Wszystko". Zostawmy to już. Infekcja nie do końca usunięta, jeden plik nie poszedł. Przeprowadź następujące działania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Sikora\Menu Start\Programy\Autostart\runctf.lnk Klik w Wykonaj skrypt. Pojawi się log z wynikami usuwania. 2. Do oceny wystarczy tylko ten log, a że krótki = wklej go wprost w poście. Nowy skan OTL nie jest potrzebny. .

Musimy sięgnąć po środowisko zewnętrzne WinRE. 1. Pobierz FRST x64 i umieść na pendrive. 2. Otwórz Notatnik i wklej w nim: 0 e285621e3ce638e1; C:\Windows\System32\drivers\e285621e3ce638e1.sys [74200 2012-12-06] () C:\Windows\System32\drivers\e285621e3ce638e1.sys C:\Windows\System32\drivers\9a49435bf4aa1a0a.sys CMD: bcdedit /set testsigning off Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok FRST. 3. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom FRST i wybierz w nim opcję Fix. Na pendrive powstanie plik fixlog.txt. 4. Restart do Windows. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz fixlog.txt. .

Pobrałam. Na analizę materiału potrzebuję czasu. Katalog CBS jest częścią Windows, w nim jest nagrywany zawsze log główny CBS.LOG. To co pochodzi od "Narzędzia analizy gotowości aktualizacji systemu" to tylko log C:\Windows\Logs\CBS\checksur.log. Poprosiłam o cały CBS, bo potrzebuję wszystkie te dane. .

Nie może załadować sterownika = blokuje go Necurs. Spróbuj trzeciego narzędzia czyli MBAR. Jeśli i ono zawiedzie, usuwanie będzie prowadzone ręcznie z poziomu środowiska zewnętrznego (niezaładowany Windows). .

Owszem, nie jest dobrze i świadczy o tym, że nie ma prawidłowego punktu Przywracania systemu (to może też wyjaśniać poprzednie problemy z uruchomieniem systemu = brak części rejestru) i raczej musisz się pogodzić z kopią z Repair. Jeśli wymienisz tylko część plików z System Volume Information, ale nie SYSTEM (konfig sprzętowy) + SAM (baza kont i haseł), rejestr będzie "mieszany" i rozsynchronizowany. Już lepiej zostawić tak jak było na początku po Twojej operacji = tylko pliki z Repair użyte, a po tym po prostu przeinstalować sterowniki i programy. PS. Temat przenoszę do działu XP. Tu są dywagacje dalekie od infekcji. .