Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Brak dostępu do konta bankowego

Jubey

Przez Jubey
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Log z GMER zrobiony w nieprawidłowym środowisku, przy czynnym emulatorze SPTD (KLIK). Infekcja jest obecna. Ponadto, masz uszkodzoną usługę Automatycznych aktualizacji:

 

Windows Update:
============
wuauserv Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist.

 

Poziom zabezpieczeń krytyczny: w ogóle nie aktualizowany Windows (brak SP3+IE8 i łat wydanych po) i stary Symantec.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [biupw] E:\Documents and Settings\Krzyś\Dane aplikacji\Myroo\esny.exe ()
[2012-09-13 19:07:36 | 000,000,000 | ---D | C] -- E:\Documents and Settings\Krzyś\Dane aplikacji\Xuinf
[2012-09-13 19:07:36 | 000,000,000 | ---D | C] -- E:\Documents and Settings\Krzyś\Dane aplikacji\Ogku
[2012-09-13 19:07:36 | 000,000,000 | ---D | C] -- E:\Documents and Settings\Krzyś\Dane aplikacji\Myroo
 
:Services
catchme
MBAMSwissArmy
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]


"Type"=dword:00000020


"Start"=dword:00000002


"ErrorControl"=dword:00000001


"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\


  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\


  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\


  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00


"DisplayName"="Aktualizacje automatyczne"


"ObjectName"="LocalSystem"


"Description"="Umożliwia pobieranie i instalowanie ważnych aktualizacji systemu Windows. Jeśli ta usługa zostanie wyłączona, komputer nie będzie umożliwiał korzystania z funkcji Automatyczne aktualizacje lub strony Windows Update."


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]


"ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\


  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\


  61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security]


"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\


  00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\


  00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\


  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\


  20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\


  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00


 


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum]


"0"="Root\\LEGACY_WUAUSERV\\0000"


"Count"=dword:00000001


"NextInstance"=dword:00000001

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Infekcja usunięta, ale tu się ze zmęczenia pomyliłam:

 

SRV - File not found [Auto | Unknown] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv)

 

Jakoś nie zwróciłam uwagi, że masz Windows na E, a import uwzględniał literkę C.

 

1. Popraw sobie w/w ścieżkę. Start > Uruchom > regedit i wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters

 

Dwuklik w wartość ServiceDll i zamień w ścieżce literkę dysku C > E.

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTl wraz z kwarantanną.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

.

Edytowane przez picasso
6.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...