robertbham Opublikowano 18 Września 2012 Zgłoś Udostępnij Opublikowano 18 Września 2012 prosze o pomoc w usunieciu tego pasozyta ukash juz nie daje rady. Results of screen317's Security Check version 0.99.51 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! WMI entry may not exist for antivirus; attempting automatic update. `````````Anti-malware/Other Utilities Check:````````` Toolbar Cleaner 1.0 JavaFX 2.1.0 Java 6 Update 14 Java 7 Update 4 Java version out of Date! Adobe Reader 9 Adobe Reader out of Date! Google Chrome 21.0.1180.83 Google Chrome 21.0.1180.89 ````````Process Check: objlist.exe by Laurent```````` `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2012 Zgłoś Udostępnij Opublikowano 18 Września 2012 Zasady działu: KLIK. Tu jest zakaz dopisywania się do cudzych tematów. Wydzielone w osobny. UKASH to niestety nie jedyna i nie najgorsza tu infekcja. Jest również trojan ZeroAccess. Wymagane dodatkowe skany: 1. Uruchom SystemLook x64 i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s :filefind services.exe :dir C:\Windows\assembly\GAC_32 C:\Windows\assembly\GAC_64 C:\Windows\winsxs\Temp\PendingDeletes Klik w Look. 2. Zrób log z Farbar Service Scanner. . Odnośnik do komentarza
robertbham Opublikowano 18 Września 2012 Autor Zgłoś Udostępnij Opublikowano 18 Września 2012 Farbar Service Scanner Version: 06-08-2012 Ran by Robert (administrator) on 18-09-2012 at 09:33:08 Running from "C:\Users\Robert\AppData\Local\Temp\Temporary Internet Files\Content.IE5\29LUNI71" Microsoft Windows 7 Home Premium Service Pack 1 (X64) Boot Mode: Normal **************************************************************** Internet Services: ============ Connection Status: ============== Localhost is accessible. LAN connected. Google IP is accessible. Google.com is accessible. Yahoo IP is accessible. Yahoo.com is accessible. IE proxy is enabled. Windows Firewall: ============= mpsdrv Service is not running. Checking service configuration: The start type of mpsdrv service is OK. The ImagePath of mpsdrv service is OK. MpsSvc Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist. Firewall Disabled Policy: ================== System Restore: ============ System Restore Disabled Policy: ======================== Action Center: ============ Windows Update: ============ Windows Autoupdate Disabled Policy: ============================ Windows Defender: ============== Other Services: ============== Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist. Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist. Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to retrieve ServiceDll of SharedAccess. The value does not exist. File Check: ======== C:\Windows\System32\nsisvc.dll => MD5 is legit C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit C:\Windows\System32\dhcpcore.dll => MD5 is legit C:\Windows\System32\drivers\afd.sys => MD5 is legit C:\Windows\System32\drivers\tdx.sys => MD5 is legit C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit C:\Windows\System32\dnsrslvr.dll => MD5 is legit C:\Windows\System32\mpssvc.dll => MD5 is legit C:\Windows\System32\bfe.dll => MD5 is legit C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit C:\Windows\System32\SDRSVC.dll => MD5 is legit C:\Windows\System32\vssvc.exe => MD5 is legit C:\Windows\System32\wscsvc.dll => MD5 is legit C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit C:\Windows\System32\wuaueng.dll => MD5 is legit C:\Windows\System32\qmgr.dll => MD5 is legit C:\Windows\System32\es.dll => MD5 is legit C:\Windows\System32\cryptsvc.dll => MD5 is legit C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit C:\Windows\System32\ipnathlp.dll => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\System32\rpcss.dll => MD5 is legit **** End of log **** Odnośnik do komentarza
picasso Opublikowano 18 Września 2012 Zgłoś Udostępnij Opublikowano 18 Września 2012 A gdzie raport z SystemLook? Odnośnik do komentarza
robertbham Opublikowano 18 Września 2012 Autor Zgłoś Udostępnij Opublikowano 18 Września 2012 Log created at 18:22 on 18/09/2012 by Robert Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="%SystemRoot%\system32\shell32.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 014A9CB92514E27C0107614DF764BC06 C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB ========== dir ========== C:\Windows\assembly\GAC_32 - Parameters: "(none)" ---Files--- None found. ---Folders--- BDATunePIA d------ [07:46 14/07/2009] CustomMarshalers d------ [03:20 14/07/2009] ehexthost32 d------ [07:46 14/07/2009] ISymWrapper d------ [03:20 14/07/2009] mcstoredb d------ [07:46 14/07/2009] Microsoft.Ink d------ [05:32 14/07/2009] Microsoft.Interop.Security.AzRoles d------ [03:20 14/07/2009] Microsoft.Office.Access.BusinessDataCatalog d------ [21:53 09/07/2012] Microsoft.Office.BusinessData d------ [07:02 11/07/2012] Microsoft.Office.InfoPath.Client.Internal.Host.Interop d------ [21:53 09/07/2012] Microsoft.SharePoint.BusinessData.Administration.Client d------ [07:02 11/07/2012] Microsoft.Transactions.Bridge.Dtc d------ [05:32 14/07/2009] Microsoft.VisualStudio.Tools.Applications.InteropAdapter d------ [21:53 09/07/2012] Microsoft.Windows.Diagnosis.SDEngine d------ [05:32 14/07/2009] MSBuild d------ [05:32 14/07/2009] mscorlib d------ [03:20 14/07/2009] napcrypt d------ [03:20 14/07/2009] naphlpr d------ [03:20 14/07/2009] Policy.1.0.Microsoft.Ink d------ [05:32 14/07/2009] Policy.1.0.Microsoft.Interop.Security.AzRoles d------ [03:20 14/07/2009] Policy.1.2.Microsoft.Interop.Security.AzRoles d------ [03:20 14/07/2009] Policy.1.7.Microsoft.Ink d------ [05:32 14/07/2009] Policy.6.0.Microsoft.Ink d------ [05:32 14/07/2009] PresentationCore d------ [05:32 14/07/2009] System.Data d------ [03:20 14/07/2009] System.Data.OracleClient d------ [03:20 14/07/2009] System.EnterpriseServices d------ [03:20 14/07/2009] System.Printing d------ [05:32 14/07/2009] System.Transactions d------ [03:20 14/07/2009] System.Web d------ [03:20 14/07/2009] C:\Windows\assembly\GAC_64 - Parameters: "(none)" ---Files--- None found. ---Folders--- BDATunePIA d------ [07:46 14/07/2009] CustomMarshalers d------ [03:20 14/07/2009] ISymWrapper d------ [03:20 14/07/2009] mcstoredb d------ [07:46 14/07/2009] mcupdate d------ [07:46 14/07/2009] Mcx2Dvcs d------ [07:46 14/07/2009] Microsoft-Windows-HomeGroupDiagnostic.NetListMgr.Interop d------ [05:32 14/07/2009] Microsoft.Ink d------ [05:32 14/07/2009] Microsoft.Interop.Security.AzRoles d------ [03:20 14/07/2009] Microsoft.MediaCenter.Interop d------ [07:46 14/07/2009] Microsoft.MediaCenter.iTV.Media d------ [07:46 14/07/2009] Microsoft.MediaCenter.Mheg d------ [07:46 14/07/2009] Microsoft.MediaCenter.Playback d------ [07:46 14/07/2009] Microsoft.MediaCenter.TV.Tuners.Interop d------ [07:46 14/07/2009] Microsoft.Transactions.Bridge.Dtc d------ [05:32 14/07/2009] Microsoft.Windows.Diagnosis.SDEngine d------ [05:32 14/07/2009] MSBuild d------ [05:32 14/07/2009] mscorlib d------ [03:20 14/07/2009] napcrypt d------ [03:20 14/07/2009] naphlpr d------ [03:20 14/07/2009] Policy.1.0.Microsoft.Interop.Security.AzRoles d------ [03:20 14/07/2009] Policy.1.2.Microsoft.Interop.Security.AzRoles d------ [03:20 14/07/2009] Policy.6.0.Microsoft.Ink d------ [05:32 14/07/2009] PresentationCore d------ [05:32 14/07/2009] System.Data d------ [03:20 14/07/2009] System.Data.OracleClient d------ [03:20 14/07/2009] System.EnterpriseServices d------ [03:20 14/07/2009] System.Printing d------ [05:32 14/07/2009] System.Transactions d------ [03:20 14/07/2009] System.Web d------ [03:20 14/07/2009] C:\Windows\winsxs\Temp\PendingDeletes - Parameters: "(none)" ---Files--- $$DeleteMe.sortkey.nlp.01cc2f5d6b0b50f7.00f0 --a---- 262148 bytes [20:37 13/07/2009] [20:40 10/06/2009] $$DeleteMe.sortkey.nlp.01cc36028be2898f.0003 --a---- 262148 bytes [20:37 13/07/2009] [20:40 10/06/2009] $$DeleteMe.sorttbls.nlp.01cc2f5d6b042cd6.00ef --a---- 20320 bytes [20:37 13/07/2009] [20:40 10/06/2009] $$DeleteMe.sorttbls.nlp.01cc36028bd6a2ad.0002 --a---- 20320 bytes [20:37 13/07/2009] [20:40 10/06/2009] ---Folders--- None found. -= EOF =- Odnośnik do komentarza
picasso Opublikowano 18 Września 2012 Zgłoś Udostępnij Opublikowano 18 Września 2012 Masz zainfekowany systemowy plik services.exe. Przy okazji, system jest zaśmiecony porażającą ilością pasków adware. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Uruchom GrantPerms x64 i w oknie wklej: C:\Windows\system32\%APPDATA% Klik w Unlock. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=390&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7d7178bc-88be-11e1-96f9-a4badb9b125f&q={searchTerms}" IE - HKLM\..\SearchScopes\{5903A2A2-872C-4FE1-AAEC-69324A987DCB}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=7d7178bc-88be-11e1-96f9-a4badb9b125f&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=390&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={5ADDEBCE-3BAC-49A5-9867-F465D1668BD9}" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7d7178bc-88be-11e1-96f9-a4badb9b125f&q={searchTerms}" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=bf2&s={searchTerms}&f=4" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=GLSV5&o=10168&src=kw&q={searchTerms}&locale=en_UK&apn_ptnrs=GL&apn_dtid=YYYYYYYYGB&apn_uid=42D0576C-75DA-4CF6-A877-1083D689B90A&apn_sauid=00A0AFDD-862C-4E2A-8C67-0CD32F244876" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{5903A2A2-872C-4FE1-AAEC-69324A987DCB}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=7d7178bc-88be-11e1-96f9-a4badb9b125f&q={searchTerms}" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{925ACB3B-B312-44DC-B16F-E244BDB0F82D}: "URL" = "http://search.igeared.com/dispatcher.aspx?i=63&tp=chrome&q={searchTerms}" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=390&systemid=406&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{B87233A2-5593-42FF-8E2C-E8B2BD386941}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{B9C7CE32-DA91-43C2-B7E9-0E9AAFC675CD}: "URL" = "http://eu.ask.com/web?l=dis&o=APN10383&gct=sb&qsrc=2869&apn_dtid=^YYYYYY^YY^GB&apn_ptnrs=^ABI&apn_uid=3942031720714343&p2=^ABI^YYYYYY^YY^GB&q={searchTerms}" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={5ADDEBCE-3BAC-49A5-9867-F465D1668BD9}" O2 - BHO: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found. O2 - BHO: (no name) - {37B85A21-692B-4205-9CAD-2626E4993404} - No CLSID value found. O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (no name) - {E4E6BF2A-1667-11DF-A01F-1F9655D89593} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKU\S-1-5-21-628717615-3471028248-1964116091-1000..\Run: [sysFxUI] C:\Users\Robert\AppData\Local\Microsoft\Windows\1067\SysFxUI.exe () O20:64bit: - Winlogon\Notify\GoToAssist: DllName - (C:\Program Files (x86)\Citrix\GoToAssist\514\G2AWinLogon_x64.dll) - File not found :Files C:\Windows\SysNative\%APPDATA% C:\Windows\Installer\{6f17c38f-690a-058e-09e0-3cc98c00d8ff} C:\Users\Robert\AppData\Local\{6f17c38f-690a-058e-09e0-3cc98c00d8ff} C:\Users\Robert\AppData\Local\Microsoft\Windows\1067 C:\Users\Robert\AppData\Roaming\hellomoto C:\Users\Robert\AppData\Roaming\OpenCandy C:\Users\Robert\AppData\Roaming\ClickPotatoLite C:\Users\Robert\AppData\Local\Temp*.html C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f /C :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions] "ClickPotatoLite@ClickPotatoLite.com"=- [HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions] "{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zdjęta i działasz już w Trybie normalnym: 4. Odinstaluj adware: - Otwórz Google Chrome i w rozszerzeniach odinstaluj Facemoods, SweetIM for Facebook, LiveVDO plugin, vshare plugin - Przez Panel sterowania odinstaluj: Ask Toolbar, blinkx beat, BS_Player Toolbar, Conduit Engine, DAEMON Tools Toolbar, Facemoods Toolbar, iLivid, Internet Explorer Toolbar 4.6 by SweetPacks, MediaBar (dwie pozycje), InstallIQ Updater, LiveVDO plugin 1.3, My Global Search Bar, PriceGong 2.2.0, SearchCore for Browsers, Windows iLivid Toolbar, Searchqu Toolbar, ShopperReports, Simppull Toolbar, Softonic-Polska Toolbar, SpeedUp Toolbar 2.010.019.002, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.0, vShare Plugin, vShare.tv plugin 1.3. Odinstaluj też: Toolbar Cleaner 1.0 (ta aplikacja zdaje się ma ... adware w instalatorze) oraz te bardziej normalne paski Bing Bar, Google Toolbar, Yahoo! Toolbar (jeśli nie instalowałeś ich celowo). 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Dołącz log z usuwania AdwCleaner z punktu 5. Logi wstaw jako załączniki. . Odnośnik do komentarza
robertbham Opublikowano 18 Września 2012 Autor Zgłoś Udostępnij Opublikowano 18 Września 2012 mam nadzieje tylko ze bedzie wszystko dzialac i nie zostalo juz duzo do zrobienia! SystemLook 30.07.11 by jpshortstuff Log created at 22:02 on 18/09/2012 by Robert Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="%SystemRoot%\system32\shell32.dll" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 19 Września 2012 Zgłoś Udostępnij Opublikowano 19 Września 2012 Infekcje pomyślnie usunięte, ale jeszcze będzie tu trochę do zrobienia, tzn. usuwanie odpadków (po infekcji / adware / Firefox) oraz naprawa szkód wyrządzonych przez ZeroAccess. Czyli na teraz: 1. W międzyczasie został doinstalowany AVG Secure Search. Odinstaluj. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (Ask Toolbar) - {6687d232-24bc-4ba0-b7cc-26b878bd4c11} - C:\Program Files (x86)\asktoolbar2\asktoolbar2X.dll File not found O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll File not found O2 - BHO: (Updater For Simppull Toolbar) - {C4B8BAB4-1667-11DF-A242-BA9455D89593} - C:\Program Files (x86)\simppulltoolbar\auxi\simppulltoolbAu.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - !{005B8FC3-0F7E-45DD-8A2F-E352D67EDBFC} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{6687d232-24bc-4ba0-b7cc-26b878bd4c11} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{005B8FC3-0F7E-45DD-8A2F-E352D67EDBFC} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{6687d232-24bc-4ba0-b7cc-26b878bd4c11} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found. O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll File not found O3 - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files (x86)\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found O4 - HKLM..\Run: [vProt] "C:\Program Files (x86)\AVG Secure Search\vprot.exe" File not found O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\datamngr.dll) - File not found O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\IEBHO.dll) - File not found O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\datamngr.dll) - File not found O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\IEBHO.dll) - File not found :Files C:\Users\Robert\AppData\Roaming\Mozilla C:\Program Files (x86)\mozilla firefox :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System będzie restartował. 3. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu kontekstowego wybierz opcję Scal. Zatwierdź import do rejestru. 4. Wykonaj rekonstrukcja usług Zapory systemu Windows (MpsSvc + SharedAcccess oraz ich uprawnień): KLIK. Omiń sfc /scannow, nie jest potrzebne. 5. Zresetuj system i zrób nowe logi: OTL z opcji Skanuj (bez Extras) oraz Farbar Service Scanner. . Odnośnik do komentarza
robertbham Opublikowano 20 Września 2012 Autor Zgłoś Udostępnij Opublikowano 20 Września 2012 cos nie udaje mi sie ta rekonstrukcja usług Zapory systemu Windows a dokladnie z tym SetACL.exe, probuje sie rozpakowac ale nie moge nigdzie tego nawet zapisac. Po wpisaniu komendy SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\BFE" -ot reg -actn restore -bckp C:\fix.txt wyskakuje: Set ACL is not recognized as an internal or external command, czyli jakby go w ogole nie bylo dolaczam logi ale nie wiem czy one w tym wypadku maja sens OTL.Txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 20 Września 2012 Zgłoś Udostępnij Opublikowano 20 Września 2012 Oczywiście, że jest błąd nierozpoznanej komendy, przecież: "SetACL.exe, probuje sie rozpakowac ale nie moge nigdzie tego nawet zapisac". SetACL nie jest w ogóle wstawione gdzie należy (do katalogu C:\Windows), to i komendy nie zadziałają. W logu z OTL jest to: [2012/09/20 22:12:17 | 000,000,000 | ---D | C] -- C:\Users\Robert\AppData\Roaming\Helge Klein[2012/09/20 22:03:25 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Helge Klein[2012/09/20 22:03:23 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Helge Klein Ty pobrałęś i na dodatek zainstalowałeś złą wersję SetACL Studio (całkiem inny program), a masz pobrać bezinstalacyjny konsolowy SetACL jak napisane w moim tutorialu: Pobierz narzędzie SetACL (na stronie w ustępie "Administrators: Download the EXE version of SetACL for 32-bit and 64-bit Windows."): Czyli odinstaluj SetACL Studio, pobierz odpowiednią wersję programu i skopiuj ze środka SetACL.exe do katalogu C:\Windows. Ponów działania naprawy uprawnień. . Odnośnik do komentarza
robertbham Opublikowano 21 Września 2012 Autor Zgłoś Udostępnij Opublikowano 21 Września 2012 no nie idzie cos, probuje go wstawic w c:\Windows ale nie chce sie wypakowac, jutro sprobuje. Odnośnik do komentarza
picasso Opublikowano 21 Września 2012 Zgłoś Udostępnij Opublikowano 21 Września 2012 Log z OTL wskazuje, że złą wersję pobierasz, bo są widoczne elementy zupełnie innego programu. Po kolei: pobierasz ten plik KLIK i zapisujesz na Pulpit. Jest to ZIP i rozpakowujesz również na Pulpit. Z wypakowanego folderu kopiujesz plik SetACL.exe do C:\Windows. Odnośnik do komentarza
robertbham Opublikowano 23 Września 2012 Autor Zgłoś Udostępnij Opublikowano 23 Września 2012 jak chce zapisac ten plik fix.txt na C to pisze ze nie mam dostepu a i zapisuje w moich dokumentach i potem w cmd pisze ze setacl skonczone z bledami i backup/restore nie moze otworzyc. nie dam rady nie wiem czemu mam taki problem z tym setacl musze odpuscic i wrocic za jakis czas chyba. Odnośnik do komentarza
picasso Opublikowano 24 Września 2012 Zgłoś Udostępnij Opublikowano 24 Września 2012 Plik fix.txt masz zapisać najpierw na Pulpicie, a po tym go skopiować na C = wtedy otrzymasz pytanie o podniesienie uprawnień. Dopiero gdy plik będzie na C, możesz wzdrożyć komendy SetACL. zakładam, że SetACL prawidłowo umieściłeś w katalogu C:\Windows. Odnośnik do komentarza
robertbham Opublikowano 24 Września 2012 Autor Zgłoś Udostępnij Opublikowano 24 Września 2012 wszystko zrobilem wydaje mi sie jak nalezy, skopiowalem wszystko i dalej w cmd mam ta sama komende Odnośnik do komentarza
picasso Opublikowano 24 Września 2012 Zgłoś Udostępnij Opublikowano 24 Września 2012 Zrób plik fix.txt całkowicie od nowa: otwórz Notatnik, wklej w nim co należy, ustaw kodowanie Unicode, zapisz plik na Pulpicie, plik skopiuj na C:\. Odnośnik do komentarza
robertbham Opublikowano 24 Września 2012 Autor Zgłoś Udostępnij Opublikowano 24 Września 2012 cos musi byc nie tak wciaz to samo niestety! a jest mozliwy jakis inny wczesniejszy blad albo cos bo juz naprawde nie wiem Odnośnik do komentarza
picasso Opublikowano 24 Września 2012 Zgłoś Udostępnij Opublikowano 24 Września 2012 Pokaż mi na obrazku: gdzie jest plik SetACL.exe, gdzie jest plik fix.txt, jaka jest zawartość pliku fix.txt i co widać w linii komend. Odnośnik do komentarza
robertbham Opublikowano 24 Września 2012 Autor Zgłoś Udostępnij Opublikowano 24 Września 2012 nareszcie po wielu probach i niestety moim bledzie bo wciaz przez pomylke fix.txt zapisywal mi sie tez w c windows ale sie udalo przesylam logi OTL.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 24 Września 2012 Zgłoś Udostępnij Opublikowano 24 Września 2012 Nareszcie zrobione. Możemy przejść do czynności wykończeniowych: 1. Nadal nie odinstalowałeś AVG Secure Search. Masz również aktualnie zainstalowane dwa antywirusy Panda Cloud Antivirus + Microsoft Security Essentias i proponuję jednak jeden z nich odinstalować. 2. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, a SystemLook / SetACL i ręcznie robione fiksy spokojnie możesz skasować ręcznie. Po SetACL Studio (odinstalowany jak sądzę) pozostał jeszcze ten folder i przez SHIFT+DEL go skasuj C:\Users\Robert\AppData\Roaming\Helge Klein. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Masz zainstalowany Malwarebytes Anti-Malware. Zaktualizuj w nim bazy i zrób pełny skan dla pewności. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
robertbham Opublikowano 25 Września 2012 Autor Zgłoś Udostępnij Opublikowano 25 Września 2012 zobilem skan w Malwarebytes Anti-Malware i nie znaleziono zadnych bledów. Odnośnik do komentarza
picasso Opublikowano 26 Września 2012 Zgłoś Udostępnij Opublikowano 26 Września 2012 Na zakończenie: 1. Zaktualizuj wymienione poniżej aplikacje: KLIK. Aktualnie w systemie widać wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java 6 Update 14 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 14"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4"{3248F0A8-6813-11D6-A77B-00B0D0150080}" = J2SE Runtime Environment 5.0 Update 8"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.7 - Polish"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Google Chrome" = Google Chrome Te wszystkie stare Java odinstaluj, po tym zainstaluj najnowszą wersję. 2. Prewencyjnie zmień hasła logowania w serwisie. PS. Gadu-Gadu 10 = sugeruję obejrzenie lżejszych dla systemu alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
robertbham Opublikowano 29 Września 2012 Autor Zgłoś Udostępnij Opublikowano 29 Września 2012 odinstalowane i wgrane na nowo. Wielkie dzieki za pomoc, a latwo nie bylo! Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi