Skocz do zawartości

Windows 7 64bit aero uszkodzone czyszczeniem TDSSKiller 2.9.2.0


techniacz97

Rekomendowane odpowiedzi

Witam,

 

Tak jak w temacie. Końcówka loga TDSSKiller :  Detected object count: 1

 

   Actual detected object count: 1

 

C:\Windows\system32\themeservice.dll - copied to quarantine

 

HKLM\SYSTEM\ControlSet001\services\Themes - will be deleted on reboot

 

HKLM\SYSTEM\ControlSet002\services\Themes - will be deleted on reboot

 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost:netsvcs - will be cured on reboot

 

C:\Windows\system32\themeservice.dll - will be deleted on reboot

 

Themes ( UnsignedFile.Multi.Generic ) - User select action: Delete

 

Oraz do tego od niedawna dziwne miejsca zapisu plików, mimo wyboru innych scieżek m.in pliki z bittorrent, pobrane magnet linkiem zapisuja sie w ukrytym folderze " C:\ VTRoot  oczywiście po wskazaniu innej scieżki zapisu. Równierz dziwne zapisywane sa pliki pobierane z przeglądarki ( FireFox 23.0.1 )  mimo wskazania miejsca zapisu w  " C:\Users\Desktop "  plik " FRST64 " nie jest widoczny na pulpicie, ani w domyślnym folderze " User\Deskop "  tylko i wyłącznie do podglądu z FireFoxa z miejsca pobranych plików.

 

I jeszcze trzecia, ostatnia pierdoła jaką tu truje d... :D   Otóż za każdym razem kiedy jest otwarte jedno, "Pierwsze" pełne lub nie okno np. Przeglądarki, Skype albo po prostu okno w eksploratorze windows, i gdy na to okno wyświetli się inne, mniejsze lub okno np. z otwarciem notatnika, jakiejś aplikacji, informacji o aktualizacji jakiegoś programu, itd. No po prostu wszystko co wyświetli się "NA" pierwszym otworzonym oknie, " Znika" w mgnieniu oka minimalizuje się, lub chowając się " ZA " pierwsza kartą  GDY TYLKO KURSOR MYSZY OPUŚCI PASEK ZADAŃ :/  jest to już uciążliwe, czatowanie i błyskawiczne operacje myszą, aby tylko " kliknąć " na denerwujące okno żeby się nie schowało.

 

Z góry dziękuje za uwagę, oraz za poświęcony czas :)

 

TDSSKiller.2.9.2.0_22.08.2013_00.24.03_log.txt

Addition2.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Themes zostało wykryte jako "Unsigned", co sugeruje, że prawdopodobnie mataczono z wprowadzeniem obsługi niedomyślnych tematów (spoza puli MS). Takich wyników "Unsigned" nie rusza się w TDSSKiller, nie na darmo domyślna akcja to Skip. Rekonstrukcja uszkodzonej usługi Themes:

 

1. Uzupełnij brakujący plik. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER:

 

sfc /scannow

 

Gdy komenda ukończy działanie, w cmd wklej kolejną:

 

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

 

Wynikowy log dołącz tutaj.

 

2. Uzupełnij skasowaną usługę. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Themes]
"Start"=dword:00000002
"DisplayName"="@%SystemRoot%\\System32\\themeservice.dll,-8192"
"ErrorControl"=dword:00000001
"Group"="ProfSvc_Group"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Type"=dword:00000020
"Description"="@%SystemRoot%\\System32\\themeservice.dll,-8193"
"ObjectName"="LocalSystem"
"RequiredPrivileges"=hex(7):53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,\
00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,\
72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\
00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,00,74,\
00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Themes\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceMain"="ThemeServiceMain"
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
74,00,68,00,65,00,6d,00,65,00,73,00,65,00,72,00,76,00,69,00,63,00,65,00,2e,\
00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
"netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\
63,00,00,00,43,00,65,00,72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,\
00,00,00,53,00,43,00,50,00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,\
00,00,6c,00,61,00,6e,00,6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,\
00,00,00,67,00,70,00,73,00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,\
54,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,\
00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
00,69,00,74,00,79,00,00,00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,\
6e,00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,\
00,00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,\
69,00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,\
00,74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,\
73,00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,\
00,63,00,65,00,73,00,73,00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,\
61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,\
00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,\
73,00,72,00,76,00,00,00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,\
00,6d,00,53,00,70,00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,\
69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\
00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,\
44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,\
00,6f,00,6e,00,48,00,6f,00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,\
64,00,69,00,74,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,\
00,70,00,6c,00,6f,00,61,00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,\
6c,00,70,00,73,00,76,00,63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,\
00,6e,00,00,00,41,00,70,00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,\
69,00,73,00,63,00,73,00,69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,77,\
00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,00,72,00,74,00,\
00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,50,00,72,00,6f,00,66,\
00,53,00,76,00,63,00,00,00,73,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,00,\
00,00,68,00,6b,00,6d,00,73,00,76,00,63,00,00,00,53,00,65,00,73,00,73,00,69,\
00,6f,00,6e,00,45,00,6e,00,76,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,\
74,00,00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,54,00,68,00,65,\
00,6d,00,65,00,73,00,00,00,42,00,44,00,45,00,53,00,56,00,43,00,00,00,41,00,\
70,00,70,00,4d,00,67,00,6d,00,74,00,00,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Zresetuj system.

 

 

Oraz do tego od niedawna dziwne miejsca zapisu plików, mimo wyboru innych scieżek m.in pliki z bittorrent, pobrane magnet linkiem zapisuja sie w ukrytym folderze " C:\ VTRoot oczywiście po wskazaniu innej scieżki zapisu.

Folder C:\VTRoot to sandbox COMODO. Czyli do wglądu konfiguracja programu.

 

 

I jeszcze trzecia, ostatnia pierdoła jaką tu truje d...

Został podany tylko log Addition, brak głównego raportu FRST.

 

 

 

.

Odnośnik do komentarza

Po zastosowaniu się do powyższych zaleceń, aero odzyskało sprawność :D.

 

Z ciekawości postanowiłem przeskanować system, tym razem COMODO Cleaning Essentials i po raz drugi moim oczom ukazało się "dziwne?" zagrożenie: TrojWare.Win32.Qhost.~14S9@116242354, oraz najdziwniejsza ścieżka: 0.0.0.0 . :huh:  Nie mogłem nigdzie znaleźć opisu tego cuda, więc publikuje go tutaj.

 

Jeszcze raz sto krotne dzięki za pomoc ( Nie po raz pierwszy zresztą ) Pozdrawiam

sfc.txt

FRST.txt

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...