main Opublikowano 1 Października 2013 Zgłoś Udostępnij Opublikowano 1 Października 2013 Kaspersky wykrywa mi trojany w Program Files:Poddano kwarantannie Koń trojański HEUR:Trojan.Win32.Generic (modyfikacja) C:\Program Files\Google\Desktop\Install\{eda4f6ba-c30f-8a8c-06a4-0fe0b62d0259}\ \ \"®ďŻąŕą›\{eda4f6ba-c30f-8a8c-06a4-0fe0b62d0259}\U\80000032.@ 2013-10-01 11:04:52 dodatkowo w autostarcie mam jakieś Google Update, którego nie mogę usunąć;Google Update c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\google\desktop\install\{eda4f6ba-c30f-8a8c-06a4-0fe0b62d0259}\❤≸⋙\Ⱒ☠⍨\๛\{eda4f6ba-c30f-8a8c-06a4-0fe0b62d0259}\googleupdate.exe 2013-09-30 01:22 napisałem, nie wiem czemu pojawiła się dziwna czcionka, że FRST generuje mi błąd; proszę o sprawdzenie screena; gmer.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2013 Zgłoś Udostępnij Opublikowano 1 Października 2013 Nowe zasady działu, obowiązkowe są raporty z FRST. Proszę dodaj, zwłaszcza, że FRST ma specjalizację w prawidłowej detekcji i gładkim usuwaniu tego trojana ZeroAccess (to jego najnowsza wersja imitująca "Google Update" i stosująca sztuczki Unicode + RTL). . Odnośnik do komentarza
main Opublikowano 1 Października 2013 Autor Zgłoś Udostępnij Opublikowano 1 Października 2013 zedytowałem pierwszy post, w którym nie wiem czemu pojawiły się jakieś krzaczki; FRST generuje mi błąd, screen w załączniku Odnośnik do komentarza
picasso Opublikowano 1 Października 2013 Zgłoś Udostępnij Opublikowano 1 Października 2013 Te "krzaki" to jest konwersja z Unicode, jak mówiłam, ten wariant ZeroAccess używa w nazwach znaków Unicode. W kwestii FRST: hmmm, może to kwestia wersji Twojego systemu (Windows Server 2003 Enterprise Edition). Spróbuj jeszcze: zmienić lokalizację pobierania FRST i ponowić próbę skanu z poziomu Trybu awaryjnego Windows. . Odnośnik do komentarza
main Opublikowano 1 Października 2013 Autor Zgłoś Udostępnij Opublikowano 1 Października 2013 niestety nic to nie pomogło, nadal dostaję błąd FRST Odnośnik do komentarza
Naathim Opublikowano 1 Października 2013 Zgłoś Udostępnij Opublikowano 1 Października 2013 FRST nie wspiera tego systemu i nie pójdzie na nim. Jest to oficjalne info od Farbara. Ale można chyba spróbować odpalić FRST ze środowiska zewnętrznego. Ta procedura działa na systemie XP. Odnośnik do komentarza
main Opublikowano 1 Października 2013 Autor Zgłoś Udostępnij Opublikowano 1 Października 2013 jeśli dobrze rozumiem, nie mam takiej możliwości, mam 1 system i 1 komputer; czy nie da się tego usunąć w inny sposób? prosiłbym o informację, czy obecni na forum są w stanie mi pomóc? dziękuję Odnośnik do komentarza
picasso Opublikowano 2 Października 2013 Zgłoś Udostępnij Opublikowano 2 Października 2013 main, proszę bez przypominających postów (połączyłam). Odpowiadam gdy jestem i mogę. jeśli dobrze rozumiem, nie mam takiej możliwości, mam 1 system i 1 komputer Jest taka możliwość przez zbootowanie płyty ze środowiskiem Live i z tego poziomu uruchomienie FRST, ale podaję inną instrukcję: Twój system operacyjny wyklucza użycie także kilku innych narzędzi z automatu usuwających ten wariant. Jako że przy usuwaniu ręcznym tego wariantu trzeba obchodzić skomasowanie problemów i sztuczek (Unicode, RTL oraz uprawnienia Windows), proponuję od razu skorzystać z płyty opartej na silniku Linuksowym (to pozwoli ominąć conajmniej problem uprawnień). 1. Zbootuj Kaspersky Rescue Disk. Zamknij skaner, który się automatycznie uruchomi, i przeprowadź następujące akcje ręczne: - Uruchom z Desktopu File manager, wyszukaj dysk C i przez SHIFT+DEL skasuj następujące katalogi (nie ma tu nic od Google zainstalowanego, więc tniesz od samej góry): C:\Program Files\Google C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google - Uruchom z Desktopu Kaspersky Registry Editor, rozwiń gałąź "Windows Server 2003 Enterprise Edition" i wykonaj usuwanie w tych miejscach: Usuń klucz: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Services\etadpug (gdzie X = numery, sprawdź wszystkie wystąpienia) (może być wyświetlony "na odwrót" [RTL] jako gupdate, ale poznasz go po tym, że gupdate będzie poza kolejnością alfabetyczną gdzieś koło litery "e") W kluczu: HKEY_USERS\Administrator\Software\Microsoft\Windows\CurrentVersion\Run Skasuj wartość Google Update. 2. Po wykonaniu wymienionych akcji zastartuj do Windows. Zrób nowy log z OTL (bez Extras). . Odnośnik do komentarza
main Opublikowano 2 Października 2013 Autor Zgłoś Udostępnij Opublikowano 2 Października 2013 przepraszam, jeśli brzmiało jak ponaglenie i dziękuję za nowe wskazówki; zrobiłem wg wskazówek i udało sie wszystko, oprócz zlikwidowania Google Update z autostartu; dostawałem informację o niemożności usunięcia klucza, więc zmodyfikowałem jego wartość na pustą - efekt jest taki, że w regedit po wejściu do tego klucza dostaję następujące info: "Nie można wyświetlić Google Update: błąd przy czytaniu zawartości klucza", ale po kliknięciu OK mogę normalnie edytować tą gałąź, choć wpisu Google Update na niej nie widzę; załączam nowy log z OTL; OTL.Txt Odnośnik do komentarza
picasso Opublikowano 2 Października 2013 Zgłoś Udostępnij Opublikowano 2 Października 2013 zrobiłem wg wskazówek i udało sie wszystko, oprócz zlikwidowania Google Update z autostartu; dostawałem informację o niemożności usunięcia klucza, więc zmodyfikowałem jego wartość na pustą - efekt jest taki, że w regedit po wejściu do tego klucza dostaję następujące info: "Nie można wyświetlić Google Update: błąd przy czytaniu zawartości klucza", ale po kliknięciu OK mogę normalnie edytować tą gałąź, choć wpisu Google Update na niej nie widzę; Wynika z tego, że edytor rejestru w Kasperskym nie podołał znakom zerowym / null. I mam pytanie dla własnej ciekawości: edytor Kasperskiego widział nazwę etadpug czy gupdate? Zostały następujące rzeczy do zrobienia: usunięcie owego wpisu "Google update", reset Winsock przekierowanego przez rootkita oraz sprawdzenie ile usług Windows trojan skasował z systemu. Akcja: 1. Przeczytaj ustęp o usuwaniu wpisów ze znakami zerowych null: KLIK. Proponuję skorzystać z NtRegEdit, by usunąć wpis "Google Update". 2. Zresetuj Winsock: Start > Uruchom > cmd, wpisz komendę netsh winsock reset i zresetuj system. 3. Zrób nowy log z OTL (bez Extras) oraz Farbar Service Scanner. Ten skaner Farbar powinien się uruchomić (na forum już były logi z systemu 2003), choć detekcje nie będą wierne (skaner nie uwzględnia domyślnych ustawień 2003). . Odnośnik do komentarza
main Opublikowano 2 Października 2013 Autor Zgłoś Udostępnij Opublikowano 2 Października 2013 edytor Kasperskiego widział gupdate; niestety mam problem z uruchomieniem NtRegEdit, nie wiem który plik uruchomić; próbowałem użyc narzędzia RegDelNull, ale nic nie znalazło; Odnośnik do komentarza
picasso Opublikowano 2 Października 2013 Zgłoś Udostępnij Opublikowano 2 Października 2013 niestety mam problem z uruchomieniem NtRegEdit, nie wiem który plik uruchomić Należy wybrać "Download all demos (VC++ 6, 7.1, 8) - 394 Kb", po rozpakowaniu zaś uruchomić z folderu ...\NtRegEdit80\NtRegEdit\Release plik NtRegedit.exe. . Odnośnik do komentarza
main Opublikowano 2 Października 2013 Autor Zgłoś Udostępnij Opublikowano 2 Października 2013 niestety nie mogę usunąć tego wpisu za pomocą NtRegEdit; edit: dobra, poradziłem sobie usuwając całą gałąź Run i odtwarzając poprawne wpisy; załączam logi; FSS.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Października 2013 Zgłoś Udostępnij Opublikowano 3 Października 2013 edit: dobra, poradziłem sobie usuwając całą gałąź Run i odtwarzając poprawne wpisy; Hmmm, a jaki był tam błąd? Zgodnie z przewidywaniami Farbar Service Scanner zgłasza "mieszane" wyniki nie związane z Twoją platformą (KLIK), ale po odrzuceniu niepoprawnych danych wynika, iż ZeroAccess skasował usługi: BITS, SharedAccess, PolicyAgent, RemoteAccess, wuauserv. I do przeprowadzenia następujące akcje: 1. Drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [] File not found O16 - DPF: {414FB93D-DEDD-4FEF-AD7F-167992EBDB52} https://77.79.241.141/CSHELL/extender.cab (Reg Error: Key error.) [2013-10-01 13:17:36 | 000,005,632 | -HS- | M] () -- C:\WINDOWS\assembly\GAC\Desktop.ini :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu G:\_OTL powstanie log z wynikami usuwania. Przedstaw go. 2. Rekonstrukcja skasowanych usług Windows 2003. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS] "Type"=dword:00000020 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Usługa inteligentnego transferu w tle" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Używa przepustowości bezczynnej sieci do transferu danych. Jeżeli BITS zostanie wyłączone, funkcje takie jak Windows Update przestaną działać." "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters] "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,71,00,6d,00,\ 67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security] "Security"=hex:01,00,14,80,b8,00,00,00,c4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,88,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,\ 00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,\ 01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6c,\ 00,73,00,61,00,73,00,73,00,2e,00,65,00,78,00,65,00,00,00 "DisplayName"="Usługi IPSEC" "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,54,00,63,00,70,00,\ 69,00,70,00,00,00,49,00,50,00,53,00,65,00,63,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zarządza zasadami zabezpieczeń IP i uruchamia sterownik ISAKMP/Oakley (IKE) i sterownik zabezpieczeń IP." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley] "NLBSFlags"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\ 02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Enum] "0"="Root\\LEGACY_POLICYAGENT\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess] "Type"=dword:00000020 "Start"=dword:00000004 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Routing i dostęp zdalny" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,53,00,00,00,00,00 "DependOnGroup"=hex(7):4e,00,65,00,74,00,42,00,49,00,4f,00,53,00,47,00,72,00,\ 6f,00,75,00,70,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Oferuje usługi routingu firmom w środowiskach sieci lokalnych i rozległych." @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Accounting] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Accounting\Providers] "ActiveProvider"="{1AA7F846-C7F5-11D0-A376-00C04FC9DA04}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Accounting\Providers\{1AA7F840-C7F5-11D0-A376-00C04FC9DA04}] "ConfigClsid"="{1AA7F840-C7F5-11D0-A376-00C04FC9DA04}" "DisplayName"="Księgowanie usługi RADIUS" "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\ 61,00,73,00,72,00,61,00,64,00,2e,00,64,00,6c,00,6c,00,00,00 "ProviderTypeGUID"="{76560D80-2BFD-11d2-9539-3078302C2030}" "VendorName"="Microsoft" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Accounting\Providers\{1AA7F846-C7F5-11D0-A376-00C04FC9DA04}] "ConfigClsid"="" "DisplayName"="Księgowanie systemu Windows" "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,\ 70,00,72,00,64,00,64,00,6d,00,2e,00,64,00,6c,00,6c,00,00,00 "ProviderTypeGUID"="{76560D81-2BFD-11d2-9539-3078302C2030}" "VendorName"="Microsoft" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Authentication] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Authentication\Providers] "ActiveProvider"="{1AA7F841-C7F5-11D0-A376-00C04FC9DA04}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Authentication\Providers\{1AA7F83F-C7F5-11D0-A376-00C04FC9DA04}] "ConfigClsid"="{1AA7F83F-C7F5-11D0-A376-00C04FC9DA04}" "DisplayName"="Uwierzytelnianie usługi RADIUS" "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\ 61,00,73,00,72,00,61,00,64,00,2e,00,64,00,6c,00,6c,00,00,00 "VendorName"="Microsoft" "ProviderTypeGUID"="{76560D00-2BFD-11d2-9539-3078302C2030}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Authentication\Providers\{1AA7F841-C7F5-11D0-A376-00C04FC9DA04}] "ConfigClsid"="" "DisplayName"="Uwierzytelnianie systemu Windows" "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,\ 70,00,72,00,64,00,64,00,6d,00,2e,00,64,00,6c,00,6c,00,00,00 "VendorName"="Microsoft" "ProviderTypeGUID"="{76560D01-2BFD-11d2-9539-3078302C2030}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\DemandDialManager] "DllPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,\ 00,70,00,72,00,64,00,64,00,6d,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces] "Stamp"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\0] "InterfaceName"="Loopback" "Type"=dword:00000005 "Enabled"=dword:00000001 "Stamp"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\0\Ip] "ProtocolId"=dword:00000021 "InterfaceInfo"=hex:01,00,00,00,68,00,00,00,03,00,00,00,05,00,ff,ff,38,00,00,\ 00,00,00,00,00,40,00,00,00,04,00,ff,ff,04,00,00,00,01,00,00,00,40,00,00,00,\ 07,00,ff,ff,10,00,00,00,01,00,00,00,48,00,00,00,00,00,00,00,01,00,00,00,00,\ 00,00,00,58,02,c2,01,08,07,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\1] "InterfaceName"="Internal" "Type"=dword:00000004 "Enabled"=dword:00000001 "Stamp"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\1\Ip] "ProtocolId"=dword:00000021 "InterfaceInfo"=hex:01,00,00,00,68,00,00,00,03,00,00,00,05,00,ff,ff,38,00,00,\ 00,00,00,00,00,40,00,00,00,04,00,ff,ff,04,00,00,00,01,00,00,00,40,00,00,00,\ 07,00,ff,ff,10,00,00,00,01,00,00,00,48,00,00,00,00,00,00,00,01,00,00,00,00,\ 00,00,00,58,02,c2,01,08,07,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\2] "InterfaceName"="{D7DAE09C-CA67-4CAA-9F59-D3F168525428}" "Type"=dword:00000003 "Enabled"=dword:00000001 "Stamp"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\2\Ip] "ProtocolId"=dword:00000021 "InterfaceInfo"=hex:01,00,00,00,68,00,00,00,03,00,00,00,05,00,ff,ff,38,00,00,\ 00,00,00,00,00,40,00,00,00,04,00,ff,ff,04,00,00,00,01,00,00,00,40,00,00,00,\ 07,00,ff,ff,10,00,00,00,01,00,00,00,48,00,00,00,00,00,00,00,01,00,00,00,00,\ 00,00,00,58,02,c2,01,08,07,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters] "RouterType"=dword:00000001 "ServerFlags"=dword:00002702 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 6d,00,70,00,72,00,64,00,69,00,6d,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AppleTalk] "EnableIn"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ip] "AllowClientIpAddresses"=dword:00000000 "AllowNetworkAccess"=dword:00000001 "EnableIn"=dword:00000001 "IpAddress"="0.0.0.0" "IpMask"="0.0.0.0" "UseDhcpAddressing"=dword:00000001 "EnableRoute"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ipx] "EnableIn"=dword:00000001 "AcceptRemoteNodeNumber"=dword:00000001 "AllowNetworkAccess"=dword:00000001 "AutoWanNetAllocation"=dword:00000001 "FirstWanNet"=dword:00000000 "GlobalWanNet"=dword:00000001 "LastWanNet"=dword:00000000 "EnableRoute"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Nbf] "EnableIn"=dword:00000001 "AllowNetworkAccess"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Performance] "Open"="OpenRasPerformanceData" "Close"="CloseRasPerformanceData" "Collect"="CollectRasPerformanceData" "Library"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,\ 00,61,00,73,00,63,00,74,00,72,00,73,00,2e,00,64,00,6c,00,6c,00,00,00 "PerfIniFile"="rasctrs.ini" "Last Counter"=dword:000007ba "Last Help"=dword:000007bb "First Counter"=dword:00000794 "First Help"=dword:00000795 "WbemAdapFileSignature"=hex:01,13,71,89,3b,fc,7c,9d,d0,3f,3a,03,28,4d,6d,06 "WbemAdapFileTime"=hex:00,fb,8c,09,3f,52,c7,01 "WbemAdapFileSize"=dword:00003600 "WbemAdapStatus"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy] "LicenseType"=dword:00000002 "ProductDir"="C:\\WINDOWS\\system32\\IAS" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\01] @="IAS.ProxyPolicyEnforcer" "Requests"="0 1 2" "Responses"="0 1 2 3 4" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\02] @="IAS.PEAPUpfront" "Providers"="1" "Requests"="0 2" "Responses"="0" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\03] @="IAS.Realm" "Providers"="1" "Requests"="0 1" "Replays"="0" "Responses"="0 1 2 4" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\04] @="IAS.Realm" "Providers"="0 2" "Requests"="0 1 2" "Replays"="0" "Responses"="0 1 2 3 4" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\05] @="IAS.NTSamNames" "Providers"="1" "Requests"="0" "Replays"="0" "Responses"="0 1" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\06] @="IAS.BaseCampHost" "Replays"="0" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\07] @="IAS.RadiusProxy" "Providers"="2" "Replays"="0" "Responses"="0" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\08] @="IAS.ExternalAuthNames" "Providers"="2" "Requests"="0" "Replays"="0" "Responses"="1" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\09] @="IAS.NTSamAuthentication" "Providers"="1" "Requests"="0" "Replays"="0" "Responses"="0" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\10] @="IAS.AccountValidation" "Providers"="1 3" "Requests"="0" "Replays"="0" "Responses"="0 1" "Reasons"="33" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\11] @="IAS.PolicyEnforcer" "Providers"="1 3" "Requests"="0" "Replays"="0" "Responses"="0 1" "Reasons"="33" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\12] @="IAS.NTSamPerUser" "Providers"="1 3" "Requests"="0" "Replays"="0" "Responses"="0 1" "Reasons"="33" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\13] @="IAS.URHandler" "Providers"="0 1 3" "Requests"="0" "Replays"="0" "Responses"="0 1" "Reasons"="33" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\14] @="IAS.EAP" "Providers"="1" "Requests"="0 2" "Replays"="0" "Responses"="0" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\15] @="IAS.PostEapRestrictions" "Providers"="0 1 3" "Requests"="0 2" "Replays"="0" "Responses"="0 1" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\16] @="IAS.ChangePassword" "Providers"="1" "Requests"="0" "Replays"="0" "Responses"="0 1" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\17] @="IAS.AuthorizationHost" "Replays"="0" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\18] @="IAS.EAPTLV" "Providers"="1" "Requests"="0 2" "Replays"="0" "Responses"="0 1 2 3 5" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\19] @="IAS.Accounting" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\20] @="IAS.DatabaseAccounting" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\21] @="IAS.MSChapErrorReporter" "Providers"="0 1 3" "Requests"="0" "Replays"="0" "Responses"="2" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers] "Stamp"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip] "ProtocolId"=dword:00000021 "GlobalInfo"=hex:01,00,00,00,80,00,00,00,02,00,00,00,03,00,ff,ff,08,00,00,00,\ 01,00,00,00,30,00,00,00,06,00,ff,ff,3c,00,00,00,01,00,00,00,38,00,00,00,00,\ 00,00,00,00,00,00,00,01,00,00,00,07,00,00,00,02,00,00,00,01,00,00,00,03,00,\ 00,00,0a,00,00,00,16,27,00,00,03,00,00,00,17,27,00,00,05,00,00,00,12,27,00,\ 00,07,00,00,00,0d,00,00,00,6e,00,00,00,08,00,00,00,78,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00 "DLLPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,69,\ 00,70,00,72,00,74,00,72,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Security] "Security"=hex:01,00,14,80,b8,00,00,00,c4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,88,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,\ 00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,\ 01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "DependOnGroup"=hex(7):00,00,00,00 "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego (ICS)" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "ObjectName"="LocalSystem" "Type"=dword:00000020 "Start"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Aktualizacje automatyczne" "ObjectName"="LocalSystem" "Description"="Umożliwia pobieranie i instalowanie ważnych aktualizacji systemu Windows. Jeśli ta usługa zostanie wyłączona, komputer nie będzie umożliwiał korzystania z funkcji Automatyczne aktualizacje lub strony Windows Update." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\ 61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security] "Security"=hex:01,00,14,80,b8,00,00,00,c4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,88,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,\ 00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,\ 01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum] "0"="Root\\LEGACY_WUAUSERV\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Adnotacja dla innych czytających: import dopasowany do Windows 2003. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Uruchom ten plik i potwierdź import do rejestru. Zresetuj system. . Odnośnik do komentarza
main Opublikowano 3 Października 2013 Autor Zgłoś Udostępnij Opublikowano 3 Października 2013 jest pewien problem: po dodaniu tych rzeczy do rejestru mój system nie może otrzymać adresu IP ani bramy domyślnej, przez co nie mogę się podłączyć z siecią, próbowałem po wifi i przez internet mobilny - piszę to z pożyczonego komputera; wyszukiwanie sieci działa, po prostu nie mogą one przydzielić mi IP; Odnośnik do komentarza
picasso Opublikowano 3 Października 2013 Zgłoś Udostępnij Opublikowano 3 Października 2013 Importowałam wpisy domyślne wyeksportowane z systemu Windows 2003. Skoro import spowodował brak sieci, to nasuwa się, iż problem stanowi usługa SharedAccess (Zapora systemu Windows/Udostępnianie połączenia internetowego). Sprawdź co się stanie, jeśli w services.msc wyłączysz tę usługę (Typ uruchomienia ustaw na Wyłączony) i zresetujesz system. . Odnośnik do komentarza
main Opublikowano 3 Października 2013 Autor Zgłoś Udostępnij Opublikowano 3 Października 2013 niestety nadal jest źle; ponadto, przy wejściu w ustawienia tej usługi, stan miała nie włączony, ale tryb uruchomienia Automatyczny, a co więcej otrzymałem informację: "menedżer konfiguracji: podane dojście wystąpienia urządzenia nie odpowiada obecnemu urządzeniu"; to samo dla Aktualizacjach automatycznych; po kliknięciu OK mogę edytować ustawienia; Odnośnik do komentarza
picasso Opublikowano 3 Października 2013 Zgłoś Udostępnij Opublikowano 3 Października 2013 "menedżer konfiguracji: podane dojście wystąpienia urządzenia nie odpowiada obecnemu urządzeniu"; Start > Uruchom > regedit i skasuj klucze: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Enum HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum Zresetuj system. . Odnośnik do komentarza
main Opublikowano 3 Października 2013 Autor Zgłoś Udostępnij Opublikowano 3 Października 2013 wchodzenie w te usługi nie generuje już błędów, ale nadal nie mogę uzyskać IP; znalazłem jeszcze jeden błąd: nie działa Usługa IPSEC; dostaję błąd 1168: nie można odnaleźć elementu Odnośnik do komentarza
picasso Opublikowano 3 Października 2013 Zgłoś Udostępnij Opublikowano 3 Października 2013 Spróbuj zresetować ustawienia tej Zapory, czyli włącz w services.msc usługę ponownie, następnie Start > Uruchom > cmd, wklep netsh firewall reset i zresetuj system. . Odnośnik do komentarza
main Opublikowano 3 Października 2013 Autor Zgłoś Udostępnij Opublikowano 3 Października 2013 przy próbie uruchomienia Zapory: Nie można uruchomić usługi Zapora (...); błąd 10047: użyto adresu niezgodnego z żądanym protokołem zauważyłem też, że nie udaje się uruchomić usługi Menadżer połączeń usługi dostęp zdalny; dostaję błąd 1068: uruchomienie usługi lub zależności nie powiodło się; Odnośnik do komentarza
main Opublikowano 3 Października 2013 Autor Zgłoś Udostępnij Opublikowano 3 Października 2013 restartując różne usługi udało mi się w końcu połączyć z siecią; załączam wynik skryptu z OTL; najważniejsze pytanie: jak się zabezpieczyć przed złapaniem tego syfu? bo wygląda na to, że zwykły antywirus tu nie pomaga; Odnośnik do komentarza
picasso Opublikowano 3 Października 2013 Zgłoś Udostępnij Opublikowano 3 Października 2013 Nie widzę tu żadnego raportu z wynikami OTL... najważniejsze pytanie: jak się zabezpieczyć przed złapaniem tego syfu? bo wygląda na to, że zwykły antywirus tu nie pomaga; To omówimy na końcu, bo jeszcze nie zostały skończone operacje z czyszczeniem. . Odnośnik do komentarza
main Opublikowano 3 Października 2013 Autor Zgłoś Udostępnij Opublikowano 3 Października 2013 przepraszam, faktycznie; 10032013_082808.txt Odnośnik do komentarza
picasso Opublikowano 3 Października 2013 Zgłoś Udostępnij Opublikowano 3 Października 2013 Wszystko zdaje się być wykonane. Przechodzimy dalej: 1. W OTL uruchom Sprzątanie, a resztę narzędzi usuń ręcznie. 2. W raporcie OTL widziałam skaner MBAM. Upewnij się, że ma zaktualizowane definicje. Wykonaj nim pełny (nie ekspresowy) skan dla pewności. Jeśli coś zostanie wykryte, przedstawraport. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się