saracen32 Opublikowano 7 Września 2013 Zgłoś Udostępnij Opublikowano 7 Września 2013 Witam, zwracam sie z prosba o pomoc. Przepraszam za brak polskich znakow. W ostatnim czasie odnotowalem na laptopie kilka powaznych problemow, mianowicie; 1. Brak dostepu do Microsoft Security Essentials, przy prubie uruchomienia pojawia sie komunikat "Windows cannot access the specifited device, path, or file. You may not have the appropriate permissions to access the item." Wczesniej wykryl kilka wirusow, miedzy innymi rotkity (nazw nie pamietam, program zglaszal usuniecie problemu wiec nie przywiazywalem do tego wiekrzej uwagi). 2. Malwerebytes Anti-Malware zglasza wykrycie Trojan.Zaccess HKLM\SYSTEM\CurrentControlSet\Services\gupdate - nie usuniety. Niestety baza wirosow nieaktualna, wersja trial programu. 3. Brak mozliwosci sciagania plikow, pojawia sie komunikat "...contained a virus and was deleted" Zalaczam logi, niestety log z Security check nie wyglada tak jak w instrukcji. Z gory dziekuje za poswiecony czas oraz pomoc. saracen32 checkup.txt Extras.Txt gmer.txt MBAM-log-2013-09-07 (16-05-43).txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 9 Września 2013 Zgłoś Udostępnij Opublikowano 9 Września 2013 To najnowsza wersja rootkita ZeroAccess, która stosuje sztuczki Unicode i RTL. Z MBAM: HKLM\SYSTEM\CurrentControlSet\Services\etadpug (Trojan.Zaccess) -> Nie wykonano akcji. Jak widać, log wszystko ma na opak, tekst jest pokazany odwrotnie. Usługa wyświetla się jako "gupdate" (symulacja usługi Google), ale nazwa właściwa to edatpug. Obowiązkowe logi w tym dziale to także FRST. Proszę je dodać, FRST ma detekcję tego wariantu ZeroAccess. . Odnośnik do komentarza
saracen32 Opublikowano 10 Września 2013 Autor Zgłoś Udostępnij Opublikowano 10 Września 2013 Witam Dziękuje za odpowiedź. W załączniku przesylam logi. Pozdrawiam saracen32 Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 10 Września 2013 Zgłoś Udostępnij Opublikowano 10 Września 2013 Przechodzimy do usuwania: 1. Otwórz Notatnik i wklej w nim: HKCU\...\Run: [Google Update*] - [x] U2 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{3727a244-36ea-3993-9945-46cb2618ed21}\ \...\???\{3727a244-36ea-3993-9945-46cb2618ed21}\GoogleUpdate.exe" S2 BrowserDefendert; C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe [x] Task: {463A6406-2D83-4D81-ADD1-63AF1081AF53} - System32\Tasks\BrowserDefendert => Sc.exe start BrowserDefendert Task: {CC3EBC27-CDFE-49B1-B01D-6B93FCF05D0A} - System32\Tasks\EPUpdater => C:\Users\EWAMAR~1\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe HKLM\...\Policies\Explorer: [NoActiveDesktop] 1 HKLM\...\Policies\Explorer: [NoActiveDesktopChanges] 1 HKLM\...\Policies\Explorer: [NoControlPanel] 0 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = DeleteJunctionsIndirectory: C:\Program Files\Windows Defender DeleteJunctionsIndirectory: C:\Program Files\Microsoft Security Client C:\Users\EWAMAR~1\AppData\Local\Google C:\Program Files (x86)\Google C:\ProgramData\BDQ8yN3Dy.dat C:\ProgramData\WoUFM7V7.exe_.b C:\ProgramData\WoUFM7V7.exe.b C:\ProgramData\BrowserDefender C:\Users\ewamarcin\AppData\Roaming\Aqlo C:\Users\ewamarcin\AppData\Roaming\Bakua C:\Users\ewamarcin\AppData\Roaming\Fighters C:\Users\ewamarcin\AppData\Roaming\Ixaf C:\Users\ewamarcin\AppData\Roaming\OpenCandy C:\Users\ewamarcin\AppData\Roaming\PerformerSoft C:\Users\ewamarcin\AppData\Roaming\Screensaver C:\Users\ewamarcin\AppData\Roaming\Mozilla C:\Program Files (x86)\Mozilla Firefox Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Następnie odinstaluj adware Qtrax Player (i eBay Worldwide, jeśli nie było to celowe) oraz nadmiar antywirusów: obecnie w systemie działa kombinacja mocarna McAfee Internet Security Suite + MSSE. Jeden z nich do deinstalacji. 3. Zrób nowy skan FRST (bez Addition) + Farbar Service Scanner. Dołącz plik fixlog.txt. . Odnośnik do komentarza
saracen32 Opublikowano 10 Września 2013 Autor Zgłoś Udostępnij Opublikowano 10 Września 2013 Witam Dziękuje za blyskawiczna odpowiedz. MSSE juz dziala, narazie nie aktualizowany, pliki tez juz mozna pobierac, wskazane programy rowniez odinstalowane. W załączniku przesylam logi. Pozdrawiam saracen32 Przepraszam ze na raty ale mam problem z zalaczaniem plikow. FRST.txt Fixlog.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 11 Września 2013 Zgłoś Udostępnij Opublikowano 11 Września 2013 Przepraszam ze na raty ale mam problem z zalaczaniem plikow. Posty połączyłam. Jaki błąd widziałeś? Zadania wykonane pomyślnie. Kolejne czynności do wykonania: 1. Rekonstrukcja usuniętych przez ZeroAccess usług. Uruchom ServicesRepair i zresetuj system. Po restarcie zrób nowy log z Farbar Service Scanner. 2. Usunięcie szczątków McAfee i kluczy nieistniejących produktów Mozilla (odtworzą się częściowo przez ogólne zainstalowane programy, ale extra śmieci stamtąd zejdą). Otwórz Notatnik i wklej w nim: BHO: No Name - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - No File BHO-x32: No Name - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - No File 2013-09-10 19:51 - 2012-03-26 07:46 - 00000000 ____D C:\ProgramData\McAfee 2013-09-10 19:51 - 2012-03-26 07:46 - 00000000 ____D C:\Program Files (x86)\McAfee Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
saracen32 Opublikowano 11 Września 2013 Autor Zgłoś Udostępnij Opublikowano 11 Września 2013 Witam Dziękuje za odpowiedz. Wszystkie zadania wykonane. W załączniku przesylam logi (niestety na raty), oraz printscren z zalaczania plikow (nieaktywny "dodaj pliki"). I jeszcze pytanie, czy w miedzy czasie moge podejmowac jakie kolwiek inne dzialania, np. aktualizacja antywirusa oraz skanowanie/usuwanie ewentualnych zagrozen, czy przeinstalowanie przegladarki, wystepuja z nia pewne problemy. Pozdrawiam saracen32 FSS.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 11 Września 2013 Zgłoś Udostępnij Opublikowano 11 Września 2013 Żadnych pozytywnych zmian w logu z Farbar Service Scanner, nadal notowane brakujące usługi, czyli ServicesRepair nic nie wykonał. Powtórz zadanie: z prawokliku na ServicesRepair uruchom go jako Administrator, potwierdź komunikaty i zresetuj system. Podaj nowy log z Farbar Service Scanner. Jeśli w logu nie będzie zmian, otrzymasz mozolne instrukcje ręcznej rekonstrukcji usług. I jeszcze pytanie, czy w miedzy czasie moge podejmowac jakie kolwiek inne dzialania, np. aktualizacja antywirusa oraz skanowanie/usuwanie ewentualnych zagrozen, czy przeinstalowanie przegladarki, wystepuja z nia pewne problemy. Na razie się powstrzymaj z działaniami. Musimy skończyć operacje. Bieżący stan z rozwalonymi usługami Windows ma negatywny wpływ na operacje sieciowe i nie tylko. Jakie problemy notujesz w przeglądarce? W załączniku przesylam logi (niestety na raty), oraz printscren z zalaczania plikow (nieaktywny "dodaj pliki"). Czy stosowałeś opcję "Spróbuj przełączyć na standardowe wysyłanie plików"? . Odnośnik do komentarza
saracen32 Opublikowano 11 Września 2013 Autor Zgłoś Udostępnij Opublikowano 11 Września 2013 Dziękuje za odpowiedz. Wszystkie zadania wykonane. Przegladarka ma problem podczas logowania do poczty, przesylam printscren, czy korzystania z youtube, nie odtwaza niczego, wiecej rzeczy nie sprawdzalem jeszcze. W załączniku przesylam logi, (standardowe wysylanie plikow nie zmienia niczego) Pozdrawiam saracen32 FSS.txt Odnośnik do komentarza
picasso Opublikowano 11 Września 2013 Zgłoś Udostępnij Opublikowano 11 Września 2013 Na razie nie zwracaj uwagi na to co się dzieje z przeglądarką. Usługi są nadal rozwalone, dopóki ich nie naprawimy, nie można oceniać stanu aplikacji związanych z siecią. Niestety trzeba wszystko odtworzyć ręcznie. Akcja: 1. Rekonstrukcja usług Zapory systemu Windows: KLIK. Tym razem masz wykonać ręczną rekonstrukcję usług BFE, MpsSvc, SharedAccess (import plików REG + uprawnień przez SetACL). 2. Rekonstrukcja usług Centrum zabezpieczeń, Pomoc IP, Windows Update, Windows Defender. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc] "DisplayName"="@%SystemRoot%\\system32\\iphlpsvc.dll,-500" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4e,00,65,00,74,00,53,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\iphlpsvc.dll,-501" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,53,00,00,00,54,00,64,00,78,00,\ 00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,74,00,63,00,70,00,69,\ 00,70,00,00,00,6e,00,73,00,69,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,4c,00,6f,00,61,00,64,00,44,00,72,00,69,00,76,00,65,00,72,\ 00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\config] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Interfaces] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,68,00,6c,00,70,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,\ 00 "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters\IPHTTPS] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters\Isatap] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters\Teredo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Teredo] "SP1Installed"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Teredo\PreviousState] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000003 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv] "PreshutdownTimeout"=dword:036ee800 "DisplayName"="Windows Update" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%systemroot%\\system32\\wuaueng.dll,-106" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceMain"="WUServiceMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 Adnotacja dla innych czytających: import dopasowany do Windows 7. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal Dodatkowo, usługa Pomoc IP wymaga nałożenia specjalnych uprawnień. Po punkcie 1 będziesz już mieć SetACL, toteż podaję tu zestaw do tego programu, który masz załadować. Ootwórz Notatnik i wklej w nim: "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc",4,"O:BAD:AI" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\config",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Interfaces",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\IPHTTPS",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Isatap",4,"O:SYD:AI" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Teredo",4,"O:SYD:AI" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)" "machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo\PreviousState",4,"O:SYD:AI" Plik zapisz pod nazwą fix.txt i przenieś na C:\. W cmd wklej komendę: SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc" -ot "reg" -actn restore -bckp C:\fix.txt 3. Po wszystkim zresetuj system i wygeneruj nowy log z Farbar Service Scanner. . Odnośnik do komentarza
saracen32 Opublikowano 11 Września 2013 Autor Zgłoś Udostępnij Opublikowano 11 Września 2013 Dziękuje za odpowiedz. Wszystkie zadania wykonane. W załączniku przesylam log z FSS. Pozdrawiam saracen32 FSS.txt Odnośnik do komentarza
picasso Opublikowano 11 Września 2013 Zgłoś Udostępnij Opublikowano 11 Września 2013 Wszystko poprawnie zrobione. Wykonaj kolejne operacje: 1. Skasuj kwarantannę FRST zablokowaną obiektami ZeroAccess. Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom TFC - Temp Cleaner. Po wykonaniu obu punktów sprawdź co się dzieje z przeglądarką. . Odnośnik do komentarza
saracen32 Opublikowano 11 Września 2013 Autor Zgłoś Udostępnij Opublikowano 11 Września 2013 Dziękuje za odpowiedz. Wszystkie zadania wykonane. Przegladarka bez zmian. W załączniku przesylam fixlog. Pozdrawiam saracen32 Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 11 Września 2013 Zgłoś Udostępnij Opublikowano 11 Września 2013 Przegladarka bez zmian. W takim układzie wykonaj pełną przebudowę katalogu sieciowego Winsock: KLIK. Czyli: - reset części Protocol poprzez komendę netsh winsock reset - reset części NameSpace przez import pliku WinsockNSP_WIN7_Vista_64bit.reg (należy zmienić pobranemu plikowi rozszerzenie z TXT na REG) Zresetuj komputer i sprawdź co się dzieje z przeglądarką. Dodatkowo, czy obrazki PNG (np. na tym forum) wyświetlają się w Internet Explorer? . Odnośnik do komentarza
saracen32 Opublikowano 11 Września 2013 Autor Zgłoś Udostępnij Opublikowano 11 Września 2013 Dziękuje za odpowiedz. Wszystkie zadania wykonane. Przegladarka bez zmian. Brak obrazkow PNG. Pozdrawiam saracen32 Odnośnik do komentarza
picasso Opublikowano 11 Września 2013 Zgłoś Udostępnij Opublikowano 11 Września 2013 Skoro nie ma obrazków PNG, to poproszę o nowy skan. Otwórz Notatnik i wklej w nim: Reg: reg query HKCU\Software\Classes\CLSID\{A3CCEDF7-2DE2-11D0-86F4-00A0C913F750} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{A3CCEDF7-2DE2-11D0-86F4-00A0C913F750} /s Reg: reg query "HKLM\SOFTWARE\Classes\MIME\Database\Content Type\image/png" /s Reg: reg query HKLM\SOFTWARE\Classes\PNGFilter.CoPNGFilter /s Reg: reg query HKLM\SOFTWARE\Classes\PNGFilter.CoPNGFilter.1 /s Reg: reg query HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{A3CCEDF7-2DE2-11D0-86F4-00A0C913F750} /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
saracen32 Opublikowano 12 Września 2013 Autor Zgłoś Udostępnij Opublikowano 12 Września 2013 Dziękuje za odpowiedz. Zalaczam fixlog Pozdrawiam saracen32 Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 12 Września 2013 Zgłoś Udostępnij Opublikowano 12 Września 2013 Skan nie wykazuje naruszenia PNG. Czy na pewno mówimy o PNG na wszystkich stronach, czy tylko na tych które już były raportowane jako wadliwe? Przegladarka ma problem podczas logowania do poczty, przesylam printscren, czy korzystania z youtube, nie odtwaza niczego, wiecej rzeczy nie sprawdzalem jeszcze. Proponuję kroki podstawowe: - Czyszczenie cache i Cookies: Opcje internetowe > Ogólne > Historia przeglądania > Usuń > zaznacz prawie wszystko (z wyjątkiem haseł i Ulubionych) i Usuń - Reinstalacja Adobe Flash: Odinstaluj aktualnie posiadaną wtyczkę, następnie zastosuj czyściciel poprawkowy i zainstaluj najnowszą wersję: KLIK - Na zdefektowanych stronach kombinacja CTRL+F5 (pobiera stronę wprost z serwera z ominięciem cache). . Odnośnik do komentarza
saracen32 Opublikowano 12 Września 2013 Autor Zgłoś Udostępnij Opublikowano 12 Września 2013 Dziękuje za odpowiedz. Nie widac obrazkow png na rowniez na innych stronach. Wszystkie kroki wykonane, brak poprawy, CTRL+F5 nie pomaga, nie dziala rowniez okno logowania w Skype, otwiera sie pusta chmurka. Pozdrawiam saracen32 Odnośnik do komentarza
picasso Opublikowano 13 Września 2013 Zgłoś Udostępnij Opublikowano 13 Września 2013 Skoro okno Skype też zdefektowane (pusta chmura), to się nasuwa problem z bibliotekami silnika skryptowego. Rozpocznij od przerejestrowania podstawowych plików silnika Windows Script: 1. Otwórz Notatnik i wklej w nim: CMD: regsvr32 /s jscript.dll CMD: regsvr32 /s jscript9.dll CMD: regsvr32 /s vbscript.dll CMD: C:\Windows\SysWOW64\regsvr32.exe /s C:\Windows\SysWOW64\jscript.dll CMD: C:\Windows\SysWOW64\regsvr32.exe /s C:\Windows\SysWOW64\jscript9.dll CMD: C:\Windows\SysWOW64\regsvr32.exe /s C:\Windows\SysWOW64\vbscript.dll Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj system. Podaj fixlog oraz wypowiedz się czy jest jakaś zmiana. . Odnośnik do komentarza
saracen32 Opublikowano 13 Września 2013 Autor Zgłoś Udostępnij Opublikowano 13 Września 2013 Dziękuje za odpowiedz. Niestety bez zmian, Zalaczam fixlog Pozdrawiam saracen32 Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2013 Zgłoś Udostępnij Opublikowano 13 Września 2013 Prześlij mi do analizy cały rejestr (to potrwa). Kopię rejestru utworzył FRST podczas pierwszego startu, ale w związku z licznymi zmianami proszę o świeżą kopię zrobioną teraz. Utwórz na Pulpicie nowy folder, uruchom RegBack, wskaż jako miejsce docelowe kopii rejestru ów folder na Pulpicie, następnie cały folder spakuj do ZIP, shostuj gdzieś i na PW prześlij link. . Odnośnik do komentarza
saracen32 Opublikowano 13 Września 2013 Autor Zgłoś Udostępnij Opublikowano 13 Września 2013 Dziękuje za odpowiedz. http://sendfile.pl/57483/New_folder.zip Pozdrawiam saracen32 Odnośnik do komentarza
picasso Opublikowano 13 Września 2013 Zgłoś Udostępnij Opublikowano 13 Września 2013 Wszystko jasne. To się stało po usunięciu McAfee, prawda? Ten problem występował tu na forum multum razy. McAfee filtruje silnik skryptowy Windows poprzez własne moduły. Jego deinstalacja niestety ma jakąś wadę, tzn. McAfee nie ściąga się poprawnie z tych miejsc, w konsekwencji silnik skryptów działa poprzez nieistniejące już pliki McAfee. Skutki uboczne: pad funkcji korzystających z silnika skryptowego (m.in. puste gadżety na Pulpicie, puste okna różnych aplikacji / funkcji, problem z ładowaniem elementów JavaScript na stronach www). U Ciebie są resztki McAfee w następujących miejscach: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32] @="C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20120326001119.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32] @="C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20120326001119.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32] @="C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20120326001119.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32] @="C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20120326001119.dll" Należy klucze z powrotem przekierować na pliki skryptowe Windows. Akcja: 1. Otwórz Notatnik i wklej w nim: Unlock: HKLM\SOFTWARE\Classes\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755} Unlock: HKLM\SOFTWARE\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8} Unlock: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755} Unlock: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8} Reg: reg add HKLM\SOFTWARE\Classes\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\jscript9.dll /f Reg: reg add HKLM\SOFTWARE\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\vbscript.dll /f Reg: reg add HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\SysWOW64\jscript9.dll /f Reg: reg add HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\SysWOW64\vbscript.dll /f Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32 Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 Reg: reg query HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32 Reg: reg query HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj system. Podaj plik fixlog.txt. . Odnośnik do komentarza
saracen32 Opublikowano 14 Września 2013 Autor Zgłoś Udostępnij Opublikowano 14 Września 2013 Dziękuje za odpowiedz. Na pierwszy rzut oka dziala wszystko co wczesniej udalo mi sie wylapac jako wadliwe, postaram sie jeszcze powlaczac wszystko co tylko przyjdzie mi do glowy w poszukiwaniu kolejnych dysfunkcji, o wynikach powiadomie w temacie. Serdecznie dziekuje za udzielona pomoc I okazana cierpliwosc, zwracam sie jeszcze z jedna prosba, prosze o udzielenie wskazówek jak zabezpieczyc komputer na przyszlosc poza oczywiscie aktualizacja antywirusa. Zalaczam fixlog Pozdrawiam saracen32 Fixlog.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się