Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Cyberprzestępczość - blokada przy połączeniu z internetem

m0Del

Przez m0Del
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

m0Del

m0Del

Opublikowano
Opublikowano (edytowane)

Witam

Problem tak jak w temacie.

Wcześniejsze operacje na komputerze:

1. Czynności opisane w temacie

http://www.fixitpc.p...8961#entry88961

i tu przepraszam za brak kontaku panią, która pomogła wtedy.

2. Następnie w pierwszym tygodniu października brak startu płyty głównej spowodowane zalaniem laptopa w listopadzie 2011r. (laptop po tym wtedy w serwisie - wyszła jakość usług serwisu).

3. Oddanie laptopa do naprawy do znajomego informatyka. Z tego co zauważyłem był używany Combofix oraz program o nazwie OSC-NG-Windows-Agent-Setup-2.0.5(posiadam log z tego programu) oraz zauważyłem obecność aplikacji MpMiniSigStub.exe (widoczne na zalączonych zrzutach)

4. Problem pojawił się wczoraj i dzisiaj podjełem próbę usunięcia tego wg. http://www.cert.pl/news/5707 jak się okazało nieskuteczną.

Co zauważyłem dodatkowo w folderze autostart pojawił się plik ctfmon(zrzut) oraz dysk usb jest raczej też zainfekowany.

Zauważyłem także że zapora systemu została zrekonstruowana (prawdopodobnie przez informatyka) gdyż czasem pojawiają się komunikaty przy uruchomieniu aplikacji.

Menedżer zadań jest zamykany przy próbie wlączenia z paska zadań lub ctrl+alt+delete

A co do pliku kopia_rejestru.bat - ten plik usunę (zrobiłem to bez wystarczającego przygotowania teoretycznego)

OTL.Txt

Extras.Txt

post-7914-0-37089800-1352196645_thumb.jpg

post-7914-0-96372100-1352196652_thumb.jpg

post-7914-0-55986600-1352196663_thumb.jpg

post-7914-0-55948400-1352196668_thumb.jpg

Edytowane przez m0Del
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
zauważyłem obecność aplikacji MpMiniSigStub.exe (widoczne na zalączonych zrzutach)

 

To są aktualizacje wbudowanego w system Windows Defender. Dla porównania temat: KLIK.

 

 

Zauważyłem także że zapora systemu została zrekonstruowana (prawdopodobnie przez informatyka) gdyż czasem pojawiają się komunikaty przy uruchomieniu aplikacji.

 

Skoro uruchamiano tu ComboFix, to on odtworzył usługi.

 

 

Co zauważyłem dodatkowo w folderze autostart pojawił się plik ctfmon(zrzut) oraz dysk usb jest raczej też zainfekowany.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Karolina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\0tbpw.pad 
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, "Cyberprzestępczość" zniknie.

 

2. Z urządzenia przenośnego przez SHIFT+DEL skasuj plik enswbv.cmd oraz wszystkie pliki z ikoną strzałki.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i na wszelki wypadek dodaj Farbar Service Scanner.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Infekcja pomyślnie usunięta, a z usługami wszystko w porządku.

 

Mam jeszcze pytanie jak pozbyc się dodatku ASK do firefox'a ?

 

Widzę w nowym logu, że co dopiero to doinstalowałeś ... Nie było tego w pierwszym raporcie. Raport wskazuje, że nieuważnie instalowałeś program CPUID, Ask był jego sponsorem:

 

[2012-11-06 13:41:21 | 000,000,000 | ---D | C] -- C:\Program Files\CPUID
[2012-11-06 12:50:38 | 000,114,176 | ---- | C] (CPUID) -- C:\Windows\SysWow64\PCWizard.cpl
[2012-11-06 12:50:38 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CPUID
[2012-11-06 12:50:35 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\CPUID
[2012-11-06 12:50:23 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Ask.com

 

Ask jest zainstalowany w Internet Explorer i Firefox.

 

1. Przez Panel sterowania odinstaluj Ask Toolbar + Ask Toolbar Updater.

 

2. Firefox: w Dodatkach odinstaluj Ask Toolbar, następnie menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner i zastosuj Delete. Gdy program ukończy, użyj Uninstall.

 

4. Korekta wyszukiwarek Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

5. W OTL uruchom Sprzątanie, co skasuje OTL wraz z kwarantanną oraz szczątki ComboFix.

 

6. Wyczyść foldery Przywracania systemu: KLIK.

 

7. Aktualizacje programów wyliczonych poniżej: KLIK. Wg raportu masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1033-7B44-A81000000003}" = Adobe Reader 8.1.0
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX (wtyczka dla IE) ----> wersja nieznana
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) ----> już jest najnowsza
"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

Czyli: wszystkie stare Adobe / Java / Silverlight do deinstalacji przed ewentualną instalacją najnowszych wersji, a Firefox do aktualizacji.

 

 

PS. A co do Gadu-Gadu 10 ... Poczytaj o mniej dręczących zasoby alternatywnych programach z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

 

 

.

Odnośnik do komentarza
m0Del

m0Del

Opublikowano
  • Autor
Opublikowano (edytowane)

Wykonałem 2,3,4,5,6

Co do punktu 6 w poradniku chyba jest zła ścieżka "dojścia".

W moim przypadku Win Vista 64bit SP2 wygląda to tak:

Panel sterowania>Centrum kopii zapasowych i przywracania>Utwórz punkt przywracania lub zmień ustawienia> Okno z zakładkami

Co do punktu 7 to narazie nie mam czasu ale wykonam dinstalację javy, silverlight. Adobe do aktualizacju, firefox jest chyba 32 bit więc raczej delete będzie na 64bit lub na Chrome. Jutro rano postaram się to zrobic.

Natomiast mam problem z pakietem MsOffice

Wygląda to tak. Próbuje otworzyc plik MsWord wiec pojawia się Setup Error(zrzut) zatwierdzam OK, następnie pojawia się Instalator Windows (program MsOffice Home and Student 2007) więc anuluje.

Zobacze czy pomoże ponowana instalacja z mojej instalki MsOffice 2007 Enterprise, która działała wcześniej bez zarzutu na innym laptopie. Czy może to byc związane z programem Activation Assistance for the 2007 Microsoft Office sutes ?

Co do GG to nie korzystam z tego programu. Jest bo siostra korzysta.

Ja używam do komunikacji Team Speak 3 Client

 

PS: A co do programów związanych z hardware, które zainstalowałem to założe temat z stosownym dziale gdyż mam problem z PC Wizard 2012 ponieważ nie przeprowadza do konca analizy która pojawia się przy uruchomieniu programu. Ale to do innego działu. Ogólnie podejrzewam uszkodzenie 1 rdzenia w procesorze

post-7914-0-79766600-1352226119_thumb.jpg

Edytowane przez m0Del
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Co do punktu 6 w poradniku chyba jest zła ścieżka "dojścia".

W moim przypadku Win Vista 64bit SP2 wygląda to tak:

Panel sterowania>Centrum kopii zapasowych i przywracania>Utwórz punkt przywracania lub zmień ustawienia> Okno z zakładkami

 

Przedstawione w przyklejonym ścieżki są poprawne. Na pewno to masz (sekcja System), oglądasz co innego (sekcja Centrum kopii zapasowych i przywracania), tam owszem też można wejść do ustawień Przywracania systemu.

 

 

Adobe do aktualizacju, firefox jest chyba 32 bit więc raczej delete będzie na 64bit lub na Chrome.

 

Google Chrome też jest 32-bitowe. Firefox natywnie 64-bitowy tylko w buildach eksperymentalnych. I zważ na to, że przy natywnie 64-bitowej przeglądarce również wszystkie wtyczki / rozszerzenia muszą być 64-bitowe, a to problem (ubogie zasoby).

 

 

Natomiast mam problem z pakietem MsOffice

Wygląda to tak. Próbuje otworzyc plik MsWord wiec pojawia się Setup Error(zrzut) zatwierdzam OK, następnie pojawia się Instalator Windows (program MsOffice Home and Student 2007) więc anuluje.

Zobacze czy pomoże ponowana instalacja z mojej instalki MsOffice 2007 Enterprise, która działała wcześniej bez zarzutu na innym laptopie. Czy może to byc związane z programem Activation Assistance for the 2007 Microsoft Office sutes ?

 

To wygląda na uszkodzone dane instalacyne. Na początek spróbuj naprawy pakietu przez Panel sterowania, Office tworzy na dysku cache instalacyjne MSOCache z którego może się odbudować. Jeśli to nie pomoże, pewnie wymagane przeładowanie Office. Podstawiam stosowne narzędzia pomocnicze do usuwania danych instalacyjnych Office: KLIK / KLIK.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...