Filip7656 Opublikowano 2 Grudnia 2012 Zgłoś Udostępnij Opublikowano 2 Grudnia 2012 Dzień dobry Mam problem z tym wirusem prosiłbym o jak najszybszą pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2012 Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 System Progressive Protection to nie jedyna infekcja. W systemie działa także bardziej szkodliwy trojan ZeroAccess, który całkowicie usuwa z rejestru określone usługi Windows (Zapora | Centrum zabezpieczeń | Windows Update | Windows Defender). Usuwanie będzie kilkuetapowe: 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera w celu odładowania ZeroAccess z pamięci. 2. Otwórz Notatnik i wklej w nim: TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A /D Y icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-21-523193575-2702218329-1320617340-1000\$ff24043d55f85ce9a20a8337d9b4b888 /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\47F835D4350273EF000047F7EDE17921 C:\Users\Owner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection C:\Users\Owner\Desktop\System Progressive Protection.lnk C:\Program Files\mozilla firefox\components\Scriptff.dll :OTL O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [sonyAgent] C:\Windows\Temp\temp75.exe File not found O4 - HKU\S-1-5-21-523193575-2702218329-1320617340-1000..\RunOnce: [47F835D4350273EF000047F7EDE17921] C:\ProgramData\47F835D4350273EF000047F7EDE17921\47F835D4350273EF000047F7EDE17921.exe () O7 - HKU\S-1-5-21-523193575-2702218329-1320617340-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) IE - HKLM\..\SearchScopes\{7C9B2C5A-9AE0-4DD1-BF28-38E27DA72F33}: "URL" = "http://www.ask.com/web?q={searchterms}&l=dis&o=ushpd" IE - HKU\S-1-5-21-523193575-2702218329-1320617340-1000\..\SearchScopes\{7C9B2C5A-9AE0-4DD1-BF28-38E27DA72F33}: "URL" = "http://www.ask.com/web?q={searchterms}&l=dis&o=ushpd" FF - prefs.js..extensions.enabledItems: {B7082FAA-CB62-4872-9106-E42DD88EDE45}:2.8 FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll () DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM) DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\system32\DRIVERS\IOPORT.SYS -- (IOPort) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Zniknie blokada System Progressive Protection. 4. Przez Panel sterowania odinstaluj Viewpoint Media Player. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Uruchom SystemLook i wklej do okna: :dir C:\$Recycle.Bin /s Klik w Look. . Odnośnik do komentarza
Filip7656 Opublikowano 5 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 Ok,wszystko zrobione oba wirusy usunięte bardzo dziękuję. Logi OTL.Txt FSS.txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2012 Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 Log z Farbar Service Scanner nie wygląda na prawidłowo zrobiony, miały być zaznaczone wszystkie opcje do skanu. Skan z SystemTool-a nie wiem czemu ma aż 48mb i limit nie pozwala na przesłanie. Log jest pewnie ogromny, bo Kosz zaatakowany przez infekcję ZeroAccess wcale nie został wyczyszczony... Coś poszło nie tak podczas usuwania. 1. Powtórka. Otwórz Notatnik i wklej w nim: TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A /D Y icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-21-523193575-2702218329-1320617340-1000\$ff24043d55f85ce9a20a8337d9b4b888 /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. 2. Odbuduj usunięte usługi za pomocą ServicesRepair. 3. Zresetuj system i zrób nowe logi: Farbar Service Scanner (wszystkie opcje zaznaczone) + SystemLook (na ten sam warunek). . Odnośnik do komentarza
Filip7656 Opublikowano 5 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 System repair zastosowany, fss na wszystkie opcje ale systemlook wyszedł bardzo krótki: SystemLook 30.07.11 by jpshortstuff Log created at 19:50 on 05/12/2012 by Owner Administrator - Elevation successful ========== dir ========== C:\$Recycle.Bin - Parameters: "/s" ---Files--- None found. C:\$Recycle.Bin\S-1-5-21-523193575-2702218329-1320617340-1000 d--hs-- [15:40 26/04/2008] desktop.ini --ahs-- 129 bytes [18:47 05/12/2012] [18:47 05/12/2012] C:\$Recycle.Bin\S-1-5-21-523193575-2702218329-1320617340-1000\$ff24043d55f85ce9a20a8337d9b4b888 d--hs-- [12:20 02/12/2012] -= EOF =- FSS.txt Odnośnik do komentarza
picasso Opublikowano 6 Grudnia 2012 Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Log z SystemLook krótki = to dobrze, folder Kosza został wypróżniony (EDIT: jeden element ZeroAccess został). Natomiast mamy problem z tym co opowiada Farbar Service Scanner: żadnych zmian, nadal usunięte przez trojana usługi. Powtarzaj zadanie: 1. Uruchom narzędzie ServicesRepair i zresetuj system. 2. Zrób nowy log z Farbar Service Scanner (wszystkie opcje zaznaczone). . Odnośnik do komentarza
Filip7656 Opublikowano 6 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 ServiceRepair zrobiony Logi: FSS.txt Odnośnik do komentarza
picasso Opublikowano 6 Grudnia 2012 Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Jest zupełnie bez zmian. Co się dzieje podczas uruchamiania tego programu? Powtarzaj ponownie zadanie + restart > nowy log Farbar. Jeśli nie będzie mieć to skutków, niestety trzeba będzie wykonać mozolną rekonstrukcję ręczną... . Odnośnik do komentarza
Filip7656 Opublikowano 6 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Wyświetla się "Multiple Services have been reinstaled. You will need to reboot your system" czyli niby wszystko w porządku FSS.txt Odnośnik do komentarza
picasso Opublikowano 6 Grudnia 2012 Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Niestety nie jest w porządku. Jest bez zmian. Ostatnia próba: wejdź w Tryb awaryjny Windows i ponów akcję z ServicesRepair, a po tym zresetuj do Trybu normalnego i zrób nowy log Farbar. Jeśli i za tym podejściem nici, to podam instrukcje ręczne. . Odnośnik do komentarza
Filip7656 Opublikowano 6 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Zrobione w trybie awaryjnym. FSS.txt Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2012 Zgłoś Udostępnij Opublikowano 7 Grudnia 2012 Żadnych zmian. W związku z tym ręczna rekonstrukcja: 1. Odbudowa usług Zapory: KLIK. Do wykonania Ręczna odbudowa: Cześć I (import plików rejestru BFE, MpsSvc i SharedAccess) + Ręczna odbudowa: Część II (import uprawnień tych usług za pomocą SetACL). 2. Odbudowa usług Centrum zabezpieczeń, Windows Defender i Pomoc IP. ----> Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc] "DisplayName"="@%SystemRoot%\\system32\\iphlpsvc.dll,-500" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4e,00,65,00,74,00,53,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\iphlpsvc.dll,-501" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,53,00,00,00,54,00,64,00,78,00,\ 00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,74,00,63,00,70,00,69,\ 00,70,00,00,00,6e,00,73,00,69,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,4c,00,6f,00,61,00,64,00,44,00,72,00,69,00,76,00,65,00,72,\ 00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\config] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Interfaces] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,68,00,6c,00,70,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,\ 00 "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters\IPHTTPS] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters\Isatap] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters\Teredo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Teredo] "SP1Installed"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Teredo\PreviousState] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv] "Start"=dword:00000002 Adnotacja dla innych czytających: import dopasowany do Windows Vista. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. ----> Otwórz Notatnik i wklej w nim: "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\config",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Interfaces",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\IPHTTPS",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Isatap",4,"O:SYD:AI" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Teredo",4,"O:SYD:AI" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo\PreviousState",4,"O:SYD:AI" Plik zapisz pod nazwą fix.txt i przenieś na C:\. W cmd wklej komendę: SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc" -ot "reg" -actn restore -bckp C:\fix.txt 3. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. . Odnośnik do komentarza
Filip7656 Opublikowano 7 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2012 Mam pytanie: Czym jest plik importujący uprawnienia z punktu drugiego? Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2012 Zgłoś Udostępnij Opublikowano 8 Grudnia 2012 Nie rozumiem... W punkcie dwa ("Odbudowa usług Centrum zabezpieczeń, Windows Defender i Pomoc IP.") jest podana tu w poście instrukcja robienia i importu pliku FIX.REG... Odnośnik do komentarza
Filip7656 Opublikowano 8 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2012 Przepraszam nie dodałem że w II części rekonstrukcju zapory. Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2012 Zgłoś Udostępnij Opublikowano 8 Grudnia 2012 W tamtym punkcie musisz ręcznie stworzyć w Notatniku pliki fix.txt jak podane, by móc je załadować przez SetACL. Odnośnik do komentarza
Filip7656 Opublikowano 8 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2012 Ok, wszystko zrobione i chyba nic nie posułem FSS.txt Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2012 Zgłoś Udostępnij Opublikowano 8 Grudnia 2012 Tak jest, wszystko nareszcie odtworzone. Możemy przejść do wykończeń: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie, a wszystkie inne używane i FIXy ręcznie dokasuj. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj Malwarebytes Anti-Malware (wersję darmową). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
Filip7656 Opublikowano 8 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2012 Wykryto 5 wirusów. Reszta poszła pomyślnie. mbam-log-2012-12-08 (13-25-58).txt Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2012 Zgłoś Udostępnij Opublikowano 8 Grudnia 2012 1. Wyniki MBAM: te usuwane pliki były szkodliwe, jeden z nich to szczątek ZeroAccess, zaaferowana uszkodzonymi usługami coś przeoczyłam go w Koszu. Natomiast PUM.Disabled.SecurityCenter nic groźnego per se = wyłączone powiadomienia Centrum zabezpieczeń. Wykonałeś usuwanie, to powtórz czyszczenie folderów Przywracania systemu. 2. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie posiadasz: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{0D499481-22C6-4B25-8AC2-6D3F6C885FB9}" = OpenOffice.org Installer 1.0"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java 6 Update 2"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java 6 Update 5"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java 6 Update 7"{AC76BA86-7AD7-1033-7B44-A92000000001}" = Adobe Reader 9.2"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"ENTERPRISE" = Microsoft Office Enterprise 2007"HOMESTUDENTR" = Microsoft Office Home and Student 2007"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl) W podsuwaniu: odinstaluj wszystkie zakreślone Adobe Flash / Reader / Java / OpenOffice.org, wymień najnowszymi, zaktualizuj Firefox, zainstaluj pakiet SP3 dla Office 2007. 3. Prewencyjnie zmień hasła logowania w serwisach. . Odnośnik do komentarza
Filip7656 Opublikowano 8 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2012 Wszystko zaktualizowane oprócz pakietu SP3 dla Offica przy połowie instalacji wyskakuje błąd "Instalacja nie powiodła się" Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2012 Zgłoś Udostępnij Opublikowano 8 Grudnia 2012 Dostarcz log z instalacji aktualizacji Office. Logi są przypuszczalnie nagrane w folderze tymczasowym. Klawisz z flagą Windows + R i wklej %temp%. Szukaj raportów pasujących do instalacji tej aktualizacji. Być może to będzie coś w tym stylu: OHotfix(#####).log OHotfix(#####)_Msi.log . Odnośnik do komentarza
Filip7656 Opublikowano 8 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2012 Nie mogę wrzucić pliku wyskakuje "Nie masz uprawnień do wysyłania tego typu plików" Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2012 Zgłoś Udostępnij Opublikowano 9 Grudnia 2012 Tak, bo tu w załącznikach blokuję takie rozszerzenia *.LOG (tylko *.TXT dozwolone). Umięść pliki na jakimś serwisie hostingowym i podaj tu link do paczki. Odnośnik do komentarza
Filip7656 Opublikowano 9 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2012 http://speedy.sh/8U2c2/opatchinstall-4.log Odnośnik do komentarza
Rekomendowane odpowiedzi