m0Del Opublikowano 29 Września 2012 Zgłoś Udostępnij Opublikowano 29 Września 2012 Na początek przydatne informacje: Laptop Hp dv5 Windows Vista Home Premium 64 bit OTL 3.2.69.0 Historia walki z wirusami Ze względu na błąd w instalacji testowej wersji programu EsetNod32 z instalki która działa na Win7 HP instalacja MA-M. Skanowanie Malwarebytes Anti-Malware (usuniencie kilku trojanów) przez około 2 miesiące używanie tylko MA-M. Następnie wczorajsze złapanie infekcji Wellsof (ukash). Użycie metody nr 1 z http://www.cert.pl/news/5707 i ustalenie (według mnie), że za "komunikat" odpowiada aktywny WPDShServiceObj.exe. Następnie dezaktywowanie (nie skasowanie) go. Odinstalowanie programem Revo Uninstaler Pro - MA-M oraz jak się okazało McAfee które było nieaktywne i nie zauważyłem go. Instalacja Norton AntiVirus - pełne skanowanie (pierwsze 5 zrzutów). Następnie pobranie oraz skanowanie OTL (załączone logi) Następnie instalacja MA-M i pełne skanowanie (załączony zrzut) i usunięcie 4 z 5 zagrożeń (widoczne na zrzucie) i załączenie loga. Restart systemu któty jednak uruchomił system z czarny obrazem i kursorem. Wyłączenie i ponowne włączenie uruchomiły system. Z tego co pamiętam około 3 tyg. wstecz wykonywane było skanowanie skanerem drweb-cureit lecz nie wykazało nic. Moje podejrzenie na Sality wynika z tego gdyż około 3 tyg temu podłączając pendrive do laptopa gdzie był zainstalowany EsetNod32, po skanowaniu wykrył mi 2 zagrożenia Win.Sality (nie pamiętam dokładnie nazwy). Pendrive był używany głównie do kopiowania plików z tego laptopa. W załącznikach jest zrzut tego pendrive z ukrytymi plikami które mnie zdziwiły gdyż powinno znajdowac sie na nim tylko instalka Nortona i plik .pdf W tej chwili nie mam możliwości przeskanowac danych z tego laptopa na drugim laptopie z zainstalowanym Esetem. Postaram się to wykonac jutro jeżeli czas pozwoli. Proszę o opinię czy jest zarażony Sality lub czymś równie poważny lub jakie jest prawdopodobienstwo tego. Oraz jakie pliki w takim przypadku mogą byc kopiowane z dysku ze 100 procentową pewnością że nie są zarażone przez wirus. Przepraszam za chaos ale w krótki czasie w moim domu zostały uszkodzone 3 komputery (2 laptopy i 1 PC). W dodatku mam zamiar dokonac wymiany past termoprzewodzących w laptopach ( co w przypadku HP dv5 i Dell XPS L502x wiąże się z rozkręceniem praktycznie na części pierwsze) oraz byc może rekatywacja PC na którym na pewno był Sality gdyż menedżer zadań był zablokowany. Przepraszam za literówki i ć OTL.Txt Extras.Txt mbam-log-2012-09-29 (01-34-09).txt Odnośnik do komentarza
picasso Opublikowano 29 Września 2012 Zgłoś Udostępnij Opublikowano 29 Września 2012 - Wyniki MBAM: należy także przez skasować cały nadrzędny folder infekcji (C:\Users\Karolina\AppData\Local\Microsoft\Windows\3115) i zajmuję się tym poniżej. - Logi z OTL: zła kolejność ich tworzenia, skoro skanowanie MBAM zostało przeprowadzone po (w logu nadal widoczny folder hellomoto infekcji, którym zajmował się MBAM). Poza tym faktem, jest w systemie inna czynna infekcja (skaner z obrazka usuwał to tylko w sposób pozorowany...) = trojan ZeroAccess. Konsekwencje tej infekcji: powinieneś mieć problem z przestawianiem ikon na Pulpicie (niemożność zapamiętania pozycji), uszkodzony Microsoft Security Essentials i kompletnie skasowane z rejestru usługi Zapora systemu Windows + Centrum zabezpieczeń + Windows Update + Windows Defender. W systemie jest i adware, ale to już niegodne uwagi przy ZeroAccess... Moje podejrzenie na Sality wynika z tego gdyż około 3 tyg temu podłączając pendrive do laptopa gdzie był zainstalowany EsetNod32, po skanowaniu wykrył mi 2 zagrożenia Win.Sality (nie pamiętam dokładnie nazwy). Pendrive był używany głównie do kopiowania plików z tego laptopa.W załącznikach jest zrzut tego pendrive z ukrytymi plikami które mnie zdziwiły gdyż powinno znajdowac sie na nim tylko instalka Nortona i plik .pdf Twój system jest 64-bitowy, co oznacza że co najwyżej infekcja mogłaby zaatakować tylko 32-bitowe pliki, jeżeli wślizgnęłaby się w system. Czy pliki 32-bit są zarażone Sality, to już tylko skaner antywirusowy jest w stanie powiedzieć. Pendrive owszem zainfekowany. Odinstalowanie programem Revo Uninstaler Pro - MA-M oraz jak się okazało McAfee które było nieaktywne i nie zauważyłem go. McAfee zapewne było nieaktywne, bo ZeroAccess usuwa z rejestru całą Zaporę systemu Windows, w tym sterownik nadrzędny BFE (Podstawowy aparat filtrowania), od którego zależy McAfee. Na przyszłość: do usuwania antywirusów nie używa się aplikacji typu Revo tylko firmowe usuwacze producenta: KLIK. W kolejności: prawidłowa deinstalacja aplikacji normalną drogą przez Panel sterowania + po tym poprawka firmowym usuwaczem. Przeprowadź następujące działania: 1. Start > w polu szukania wpisz regedit > z prawokliku skasuj ten klucz: HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1} Zresetuj system, by odładować ZeroAccess z pamięci. 2. Pendrive ma być podpięty podczas tego punktu (zakładam, że nadal będzie pod G). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Karolina\AppData\Local\Microsoft\Windows\3115 C:\WINDOWS\Installer\{3a9d7f22-40d2-ceff-c49a-433cd6a0f4dc} C:\Users\Karolina\AppData\Local\{3a9d7f22-40d2-ceff-c49a-433cd6a0f4dc} C:\Users\Karolina\AppData\Roaming\mozilla\Firefox\Profiles\o1m5resm.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} C:\Users\Karolina\AppData\Roaming\mozilla\firefox\profiles\o1m5resm.default\searchplugins\askcom.xml C:\Users\Karolina\AppData\Roaming\mozilla\firefox\profiles\o1m5resm.default\searchplugins\sweetim.xml C:\ProgramData\Ask G:\*.lnk G:\jvoyly.exe G:\tflivm.exe G:\faxyes G:\point G:\reborne G:\RECYCLER :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={49C977B6-99C5-45CC-8069-E981A36DA382}" IE - HKU\S-1-5-21-319113110-1489519459-4207392579-1000\..\SearchScopes\{286FA13C-0CE7-4B99-AEC8-75DEFE3CAE13}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=F9509D96-F670-4E5E-A01E-F48584FFAC20&apn_sauid=205CC6FE-BA52-4DC0-8325-CBDD1488C15B" IE - HKU\S-1-5-21-319113110-1489519459-4207392579-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.google.com/search?q={sear" IE - HKU\S-1-5-21-319113110-1489519459-4207392579-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={49C977B6-99C5-45CC-8069-E981A36DA382}" IE - HKU\S-1-5-21-319113110-1489519459-4207392579-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - No CLSID value found IE - HKU\S-1-5-21-319113110-1489519459-4207392579-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O3 - HKU\S-1-5-21-319113110-1489519459-4207392579-1000\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O4 - HKLM..\Run: [] File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Odinstaluj Microsoft Security Essentials. Po pierwsze: nie działa prawidłowo, po drugie kolizja z doinstalowanym Symantec. Odinstaluj adware Internet Explorer Toolbar 4.6 by SweetPacks. 4. Zresetuj plik preferencji Firefox, zabrudzony adware. Zamknij przeglądarkę (nie może być uruchomiona) i przenieś na Pulpit poniższy plik (potem go skasujesz): C:\Users\Karolina\AppData\Roaming\mozilla\Firefox\Profiles\o1m5resm.default\prefs.js 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 7. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log z usuwania AdwCleaner z punktu 5. . Odnośnik do komentarza
m0Del Opublikowano 29 Września 2012 Autor Zgłoś Udostępnij Opublikowano 29 Września 2012 Więc tak wykonałem pierwsze 3 kroki natomiast nie wiem jak wykonac 4 ponieważ nie ma takiej ścieżki na tym komouterze (nie widzę takiej). Czy mam wykonac teraz krok 5 czy może przy pomocy AdwCleaner'a wykonac puknt 4? (oczywiście jak będe miał czas). Zapisałem na dysku log z OTL Załączam zrzuty z mojego dysku C W przypadku ikon na pulpicie jest dokładnie tak jak mówisz. Ale występowało to już przed infekcją wellsof ( czy wellsof to TrojaZeroaccess ?) Niestety dosłownie za 15 min musze wyjśc i będe prawdopodobnie dopiero jutro. Jeszcze takie pytanie czy przy pomocy SysInternals Autoruns usunąc WPDShServiceObj.exe w Logon ? PS: Odinstalowanie MS Esential przez Revo według mnie równa się ręcznej deinstalacji no i dodatkowo usuwanięte zostały foldery. Ale wykonałem wg. instrukcji i Revo tylko sprawdziłem. Odnośnik do komentarza
picasso Opublikowano 29 Września 2012 Zgłoś Udostępnij Opublikowano 29 Września 2012 Więc tak wykonałem pierwsze 3 kroki natomiast nie wiem jak wykonac 4 ponieważ nie ma takiej ścieżki na tym komouterze (nie widzę takiej). AppData to folder ukryty. Nie masz włączonej widoczności wszystkich plików: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Czy mam wykonac teraz krok 5 czy może przy pomocy AdwCleaner'a wykonac puknt 4? (oczywiście jak będe miał czas). Nie, AdwCleaner dopiero po wykonaniu punktu 4. Jego użycie nie jest równoważne z punktem 4, nie resetuje pliku prefs.js w taki sposób. Zapisałem na dysku log z OTL A log z OTL ma być zrobiony na samiutkim końcu po wykonaniu wszystkich kroków, by zmiany były uwidocznione. Jeszcze takie pytanie czy przy pomocy SysInternals Autoruns usunąc WPDShServiceObj.exe w Logon ? Wpis wyłączyłeś, możesz usunąć całkowicie. . Odnośnik do komentarza
m0Del Opublikowano 2 Października 2012 Autor Zgłoś Udostępnij Opublikowano 2 Października 2012 Dalej mam problem bo nie wiem jak zrobic reset preferencji firefox. Przepraszam że nie napisałem tego w poprzednim poście Odnośnik do komentarza
picasso Opublikowano 2 Października 2012 Zgłoś Udostępnij Opublikowano 2 Października 2012 Nie rozumiem. Masz włączyć widoczność wszystkich ukrytych: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Następnie: Zamknij przeglądarkę (nie może być uruchomiona) i przenieś na Pulpit poniższy plik (potem go skasujesz): C:\Users\Karolina\AppData\Roaming\mozilla\Firefox\Profiles\o1m5resm.default\prefs.js . Odnośnik do komentarza
m0Del Opublikowano 3 Października 2012 Autor Zgłoś Udostępnij Opublikowano 3 Października 2012 Więc tak wykonałem już wszystkie punkty przy czym usunięcie pliku prefs.js dokonałem dwukrotnie i podmieniłem na pulpicie. Skanowanie adwcleaner'em wykonałem także dwukrotnie i dołączam dwa logi z tego skanowania Ps: mam jeszcze plik o rozszerzeniu .log który powstał po wykonaniu punktu nr 2 AdwCleanerS2.txt AdwCleanerS3.txt FSS.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Października 2012 Zgłoś Udostępnij Opublikowano 3 Października 2012 Czy na pewno plik prefs.js był przenoszony na Pulpit podczas zamkniętego Firefox lub czy kolejność stosowania AdwCleaner nie została przestawiona (uruchomiony przed usuwaniem prefs.js)? AdwCleaner kasował z tego pliku wpisy adware, a to nie powinno mieć miejsca po zresetowaniu pliku... Firefox po usunięciu tego pliku (tu równe asekuracyjnemu przeniesieniu na Pulpit) podczas uruchomienia odtwarza go na czysto, czyli adware tam nie powinno być. To już dywagacje poboczne, bo tak czy owak adware usunięte. Wszystkie zadania wykonane. Czas na przejście do naprawy szkód wyrządzonych przez ZeroAccess. 1. W międzyczasie zaginął plik HOSTS: Hosts file not found Utwórz właściwy plik. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: 127.0.0.1 localhost ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. 2. Rekonstrukcja usług Zapory systemu Windows (BFE + MpsSvc + SharedAccess oraz ich uprawnień via SetACL): KLIK. W instrukcjach opuść sfc /scannow, nie jest potrzebne. 3. Rekonstrukcja usług Centrum zabezpieczeń, Windows Defender i Windows Update. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS] "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\ 72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\ 63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance] "Library"="bitsperf.dll" "Open"="PerfMon_Open" "Collect"="PerfMon_Collect" "Close"="PerfMon_Close" "InstallType"=dword:00000001 "PerfIniFile"="bitsctrs.ini" "First Counter"=dword:000007d2 "Last Counter"=dword:000007e2 "First Help"=dword:000007d3 "Last Help"=dword:000007e3 "Object List"="2002" "PerfMMFileName"="Global\\MMF_BITS_s" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\ 00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\ 00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\ 00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\ 00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\ 00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\ 00,20,02,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv] "PreshutdownTimeout"=dword:036ee800 "DisplayName"="Windows Update" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%systemroot%\\system32\\wuaueng.dll,-106" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceMain"="WUServiceMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 Adnotacja dla innych czytających: import dopasowany do Windows Vista. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal 4. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. . Odnośnik do komentarza
m0Del Opublikowano 3 Października 2012 Autor Zgłoś Udostępnij Opublikowano 3 Października 2012 Więc tak wykonałem punkt pierwszy (zrzut w załącznikach) Jeżeli chodzi o plik prefs to za pierwszym rrazem wyciełem go przy włączonym firefox'ie i zróbiłem czyszczenie adwcleane'rem po czym przypomniałem sobie o tym więc wyrzuciłem plik jeszcze raz tym razem przy wyłączonym firefoxie i znów czyszczenie - stąd dwa logi. Niestety nie mam czas u na wykonywanie kolejnych króków/punków. Jeszcze mam pytanie do czego służy ten plik hosts ? Kolejne kroki postaram się wykonać jutro lub w poniedziałek ze względu na to że wyjeżdżam Odnośnik do komentarza
picasso Opublikowano 3 Października 2012 Zgłoś Udostępnij Opublikowano 3 Października 2012 (edytowane) Jeszcze mam pytanie do czego służy ten plik hosts ? Tutorial na forum: KLIK. Edytowane 3 Listopada 2012 przez picasso 3.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi