Skocz do zawartości

Thinkpoint vantage security


Rekomendowane odpowiedzi

Witam dostałem kompter do naprawy i znajdował się na nim taki skaner jak w temacie. Nie można było zalogować się do systemu ponieważ wszystkie procesy blokował i nie można było nic zrobić. Usunąłem go ręcznie z trybu awaryjnego z wierszem poleceń. Jego nazwa to było Hotfix.exe a znajdował się w folderze Documents and settings

Zrobiłem skan MBAM'em i usunąłem infekcje które wykrył następnie przeskanowałem cureit i też usunąłem infekcje które znalazł

Chcę jeszcze sprawdzić czy pokazał coś OTL i GMER Załączam logi

OTL.Txt

Extras.Txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Pozostałością infekcji jest ten zapis:

 

O29 - HKLM SecurityProviders - (digiwet.dll) -  File not found

 

Startuje tu także to dziwo i nawet jeśli to jakiś "zalegalizowany" patch, to bym usuwała, bo cracki w Autostarcie to bardzo dziwna metoda omijania:

 

O4 - HKLM..\RunServices: [Office XP hack] c:\office_patch.exe (Omega)

 

 

1. Miniaturowa akcja w OTL. Uruchom OTL i w polu Własne opcje skanowania / skrypt wklej:

 

:OTL
O29 - HKLM SecurityProviders - (digiwet.dll) -  File not found
O4 - HKLM..\RunServices: [Office XP hack] c:\office_patch.exe (Omega)
DRV - [2009-11-30 23:01:35 | 000,000,000 | ---- | M] () [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\1473afde.sys -- (1473afde)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\PCAMPR5.SYS -- (PCAMPR5)
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom przez Wykonaj skrypt. Będzie restart. Po ukończeniu pracy wystarczy pokazać tylko log z usuwania.

 

2. Druga sprawa. PC Tools z jednej strony wygląda na w pełni zainstalowany (wpis w Dodaj / Usuń + dużo elementów), z drugiej ma dwa zapisy oznaczone jako "not found" (a w Dzienniku zdarzeń jest od tego zażalenie). Czy on działa jak należy? Wejście jest w Dodaj / Usuń, to i program powinien dać się odinstalować.

 

SRV - File not found [Auto | Stopped] -- C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe -- (PCTAVSvc)

O4 - HKLM..\Run: [PCTAVApp] C:\Program Files\PC Tools AntiVirus\PCTAV.exe File not found

Error - 2010-11-26 04:58:11 | Computer Name = F-BE1E26B3168C4 | Source = Service Control Manager | ID = 7000

Description = Nie można uruchomić usługi PC Tools AntiVirus Engine z powodu następującego

błędu: %%3

 

3. Nie startują usługi Windows:

 

Error - 2010-11-26 04:58:11 | Computer Name = F-BE1E26B3168C4 | Source = Service Control Manager | ID = 7000

Description = Nie można uruchomić usługi Usługa inteligentnego transferu w tle z

powodu następującego błędu: %%2

 

Error - 2010-11-26 04:58:11 | Computer Name = F-BE1E26B3168C4 | Source = Service Control Manager | ID = 7000

Description = Nie można uruchomić usługi Aktualizacje automatyczne z powodu następującego

błędu: %%2

Wejdź w Dziennik zdarzeń i przeklej z Właściwości błędów ich dokładną formułę.

 

4. Zaktualizuj Internet Explorer i Java: INSTRUKCJE.

 

5. Na koniec, gdy już wszystko będzie usunięte i naprawione, wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

 

 

.

Odnośnik do komentarza

Odnośnie błędów w dzienniku zdarzeń

 

jeden ma taki opis:

 

Nie można uruchomić usługi Usługa inteligentnego transferu w tle z powodu następującego błędu:

 

Nie można odnaleźć określonego pliku.

 

Aby znaleźć więcej informacji, zobacz http://go.microsoft....link/events.asp w Centrum pomocy i obsługi technicznej.

 

a drugi

 

Nie można uruchomić usługi Aktualizacje automatyczne z powodu następującego błędu:

 

Nie można odnaleźć określonego pliku.

 

Aby znaleźć więcej informacji, zobacz http://go.microsoft....link/events.asp w Centrum pomocy i obsługi technicznej.

 

Aktualizacje są włączone

 

Log z OTL po wykonaniu skryptu

 

zaktualizowałwem IE oraz Javę, Użyłem również wcześniej Windows worms door cleaner, a zapomniałem o tym napisać pozamykałem porty.

 

Dziękuję za pomoc

 

EDIT:

PC antywirus nie działa ale jest wykrywany przez windows

Użyłem teraz jeszcze ccleaner i usunąłem to co zbędne czyli jakieś błędy w rejestrze odniesienia do deinstalatorów itp.

OTL po wykonaniu skryptu.txt

Odnośnik do komentarza

1. OTL wykonany. Możesz wywołać w nim funkcję Sprzątanie.

 

2. W kwestii błędów usług "Nie można odnaleźć określonego pliku", o tyle jest tu dziwnie, że OTL nie notuje w spisie usług wady (a przy naruszeniu usług Windows powinno się to pokazać jako "niedomyślny" wpis). Na początek sprawdź czy są na dysku następujące pliki:

 

C:\WINDOWS\system32\qmgr.dll

C:\WINDOWS\system32\wuauserv.dll

 

Jeśli one jednak są, poproszę o eksport rejestru wyglądu usług.

 

3. W kwestii:

 

PC antywirus nie działa ale jest wykrywany przez windows

Użyłem teraz jeszcze ccleaner i usunąłem to co zbędne czyli jakieś błędy w rejestrze odniesienia do deinstalatorów itp.

 

Czyli na czym tu stoisz? Czy program został odinstalowany przez Dodaj / Usuń? Jeśli nie (tylko czyszczenie rejestru CCleaner) to nie jest dobry sposób usuwania tego typu oprogramowania.

 

 

.

Odnośnik do komentarza
Program odinstalowałem przez dodaj/usuń programy, ale wydawało mi się, że coś za szybko poszło ponieważ nie było deinstalatora a ikona zniknęła po chwili jak kliknąłem usuń. To było przed tym zanim użyłem cleanera.

 

Wprawdzie już dałam opcję Sprzątanie (co usuwa OTL), ale coś tu mi się nie podoba ten proces. Pobierz OTL raz jeszcze i pokaż log.

 

co do usług podaję plik

 

Nie o taki wyciąg mi chodziło z usług. Ja czekałam aż powiesz wyraźnie, że pliki są, by dopiero podać instrukcje co eksportować.

 

Start > Uruchom > regedit i z prawokliku wyeksportuj te dwie gałęzie:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bits

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv

 

Format eksportu: nie REG tylko przestaw na TXT, by ścieżki nie były zakodowane w hex (co gorzej mi się czyta).

 

 

 

.

Odnośnik do komentarza

Mamy przyczynę, infekcja przekonfigurowała jedną literę w nazwie zmiennej %fystemRoot% > %SystemRoot%

 

Nazwa klucza:      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS

Wartość 3

Nazwa: ImagePath

Typ: REG_EXPAND_SZ

Dane: %fystemRoot%\system32\svchost.exe -k netsvcs

 

Nazwa klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv

 

Wartość 3

Nazwa: ImagePath

Typ: REG_EXPAND_SZ

Dane: %fystemroot%\system32\svchost.exe -k netsvcs

 

Po kolei wejdź do tych kluczy, dwuklik w wartość ImagePath i popraw tę jedną literkę.

 

****************************************************

 

Dodany log z OTL: tak jak przypuszczałam, PC Tools siedzi w postaci nienaruszonej, wszystkie sterowniki działają i jest w Winsock wpięty plik.

 

SRV - File not found [Auto | Stopped] -- C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe -- (PCTAVSvc)

DRV - [2009-04-03 11:18:26 | 000,130,936 | ---- | M] (PC Tools) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\PCTCore.sys -- (PCTCore)

DRV - [2009-02-10 10:13:18 | 000,021,904 | ---- | M] (PC Tools Research Pty Ltd ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AVRec.sys -- (AVRec)

DRV - [2009-02-10 10:13:16 | 000,028,560 | ---- | M] (PC Tools Research Pty Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AVHook.sys -- (AVHook)

DRV - [2009-02-10 10:13:16 | 000,021,904 | ---- | M] (PC Tools Research Pty Ltd) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\AVFilter.sys -- (AVFilter)

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)

O10 - Protocol_Catalog9\Catalog_Entries\000000000029 - C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)

 

1. Zresetuj Winsock Start > Uruchom > cmd i wpisz polecenie netsh winsock reset

 

2. Usługi tu widoczne można usuwać via OTL. W sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe -- (PCTAVSvc)
DRV - [2009-04-03 11:18:26 | 000,130,936 | ---- | M] (PC Tools) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\PCTCore.sys -- (PCTCore)
DRV - [2009-02-10 10:13:18 | 000,021,904 | ---- | M] (PC Tools Research Pty Ltd ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AVRec.sys -- (AVRec)
DRV - [2009-02-10 10:13:16 | 000,028,560 | ---- | M] (PC Tools Research Pty Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AVHook.sys -- (AVHook)
DRV - [2009-02-10 10:13:16 | 000,021,904 | ---- | M] (PC Tools Research Pty Ltd) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\AVFilter.sys -- (AVFilter)
 
:Files
C:\Program Files\Common Files\PC Tools
C:\WINDOWS\System32\drivers\PCTAppEvent.sys

 

Klik w Wykonaj skrypt. Po usuwaniu pokaż nowy log z OTL, dla potwierdzenia stanu.

 

 

 

 

.

Odnośnik do komentarza

Wyedytuję ten post, wcześniej nie miałem czasu napisać odpowiedzi, a zamknęli mi firmę i nie zdążyłem zrobić wszystkiego tego o co prosiłaś zrobię to dzisiaj zaraz po tym jak wrócę na swoje stanowisko pracy.

 

Zresetowałem tylko winsock.

 

Pozdrawiam i dziękuję serdecznie za pomoc.

 

Jeszcze co do Image path nie wiem czy to jest normalnie ustawione, ale musiałem sobie nadać prawa "pełna kontrola" ponieważ nie chciało mi wcześniej zapisać zmian z "f" na "s"

 

***********************************************************************************************************************************

EDIT

 

OTL.Txt

Odnośnik do komentarza

1. O ile Winsock się ładnie zresetował, to sterowniki PC Tools nie puściły:

 

DRV - [2009-04-03 11:18:26 | 000,130,936 | ---- | M] (PC Tools) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\PCTCore.sys -- (PCTCore)

DRV - [2009-02-10 10:13:18 | 000,021,904 | ---- | M] (PC Tools Research Pty Ltd ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AVRec.sys -- (AVRec)

DRV - [2009-02-10 10:13:16 | 000,028,560 | ---- | M] (PC Tools Research Pty Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AVHook.sys -- (AVHook)

DRV - [2009-02-10 10:13:16 | 000,021,904 | ---- | M] (PC Tools Research Pty Ltd) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\AVFilter.sys -- (AVFilter)

Przy okazji, pojawiły się nowe "not found" (wygląda, że uruchomiłeś deinstalację sterowników Nokii):

 

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\usbser_lowerfltj.sys -- (UsbserFilt)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys -- (upperdev)

Spróbujmy inaczej: w Autoruns w karcie Drivers odptaszkuj wszystkie te pozycje (co wyłącza sterownik z rozruchu) i zresetuj system (już się nie uruchomią), zaś po restarcie wejdź ponownie w Autoruns i skasuj je (powiązane pliki już trzeba ręcznie usuwać z dysku).

 

 

2. Jeśli to się uda, możesz w OTL wywołać Sprzątanie oraz zresetować stan folderów Przywracania systemu.

 

Jeszcze co do Image path nie wiem czy to jest normalnie ustawione, ale musiałem sobie nadać prawa "pełna kontrola" ponieważ nie chciało mi wcześniej zapisać zmian z "f" na "s"

 

W naturalnych okolicznościach klucz nie jest zablokowany, ma od razu Pełną kontrolę dla Administratorów. Jeśli tu układ uprawnień był inny, rekonfigurację wykonał ten sam obiekt, który "edytował" ImagePath.

 

 

 

.

Odnośnik do komentarza

Z tą nokią to było tak że się aktualizowało oprogramowanie i wyskoczył później jakiś błąd.

 

Z tym ImagePath tak myślałem, że to mógł zmienić ten robaczek co tam siedział.

W poniedziałek się odezwę ponieważ nie mam dostępu do tego komputera.

Dziękuję serdecznie za poświęcenie Twojego czasu co do mojego problemu. Pozdrawiam.

*****************************************************************************************

EDIT:

Troszeczkę mi zeszło z tym wszystkim po usunięciu tych plików z autoruns komputer się nie uruchamiał tak więc straciłem resztę cierpliwości i zrobiłem format i na nowo windowsa wgrałem. Dziękuję picasso za pomoc

 

PS. Ty powinnaś pracować dla Microsoftu taka wiedza jaką Ty posiadasz to aż brakuje słów.

 

Dziękuję i pozdrawiam.

Edytowane przez Rychwal
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...