Skocz do zawartości

PWS:Win32/Zbot.gen!plock


Rekomendowane odpowiedzi

Możesz wyeksportować do XML, ale w sumie nie jest to potrzebne, na zrzucie wszystko widać. Usuń wszystkie znaleziska. I prawdopodobnie się wyjaśniło dlaczego masz puste okna. Ten ostatni wpis Hijack.Zones pokazuje trefny klucz infekcji wykorzystujący znak Unicode podobny do "L" - ów klucz blokuje wyświetlanie określonych elementów. Omawiałam go np. w tym temacie: KLIK.

 

Po usunięciu wykrytych infekcji za pomocą MBAM zresetuj system i ponów instalację Corel.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Pokaż mi uprawnienia klucza, który jest zgłaszany na komunikacie błędu. Otwórz Notatnik i wklej w nim:

 

ListPermissions: HKLM\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0
ListPermissions: HKLM\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0\Suffixes

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.

Odnośnik do komentarza

Nie wiem co się nie podoba instalacji Silverlight w tym kluczu, u mnie zresztą jest identyczny układ uprawnień. Jedyne co mi przychodzi na myśl to fakt, że Właścicielem klucza jest SYSTEM, co w przypadku kontekstu konta użytkownika / administratora może być problemem w określonych okolicznościach. Spróbujmy przestawić Właściciela i zobaczymy jakie skutki tej akcji się pojawią. Otwórz Notatnik i wklej w nim:

 

Unlock: HKLM\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0
Unlock: HKLM\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0\Suffixes

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. Ponów reinstalację Silverlight.

Odnośnik do komentarza

Klucz został poprawnie usunięty. Błąd przy reinstalacji Silverlight nadal wylicza ten sam klucz? I co to właściwie oznacza, że "Silverlight przestał działać" - w której przeglądarce i jak to się objawia?

Spróbuj zastosować narzędzie Fix-it czyszczące uszkodzone instalacje Silverlight: KLIK. Po tym spróbuj ponowić instalację najnowszej wersji.


 

Odnośnik do komentarza

Nagraj mi log czasu rzeczywistego co się dzieje podczas tej instalacji. Uruchom Process Monitor, a następnie uruchom instalację Silverlight i dojdź do wyplucia błędu, w tym momencie zatrzymaj nagrywanie w Process Monitor klikając na ikonkę lupki na pasku narzędzi. Z menu File zapisz plik PML, plik spakuj do ZIP, shostuj gdzieś i podaj do tego link.

Odnośnik do komentarza

Witam Pani Picasso - od wczoraj obserwuje, jak probuje Pani rozwiazac ten problem z Sillverlight (wiele tu od Pani sie nauczylem i wiele dzieki Pani ludziom pomoglem - zreszta non stop obserwuje niesamowita Pani prace i wiedze i caly czas sie ucze od Pani) i nie wiem, czy Pani widziala ten artykul (moze pomoze - wczoraj w nocy to znalalem) - https://social.msdn.microsoft.com/Forums/silverlight/en-US/cdd2a8e1-2f41-4d51-990e-5d68283162a8/install-fails-error-code-1603-omg-dont-tell-me-the-same-crp-again-pleeeze-?forum=silverlightinstall. Nikt po za Szefowa, niech nic z tego artykulu nie probuje sam naprawiac! Z powazaniem Jac@L71

Odnośnik do komentarza
  • 2 tygodnie później...

rudyesq, nie przejrzałam dokładnie raportu z Process Monitor, bo nawet nie doszłam do tego Silverlight. Od razu mnie zatrzymała widoczna tam lista procesów i aktywni delikwenci:

 

Description: IePlugin Service

Company: Cherished Technololgy LIMITED

Name: PluginService.exe

Version: 13.27.0.746

Path: C:\ProgramData\IePluginServices\PluginService.exe

Command Line: C:\ProgramData\IePluginServices\PluginService.exe -service

PID: 1604

Parent PID: 736

Session ID: 0

User: ZARZĄDZANIE NT\SYSTEM

Auth ID: 00000000:000003e7

Architecture: 32-bit

Virtualized: False

Integrity: Etykieta obowiązkowości\Poziom obowiązkowości — system

Started: 2014-11-25 18:08:16

Ended: (Running)

Modules:

PluginService.exe 0xc40000 0xb2000 C:\ProgramData\IePluginServices\PluginService.exe Cherished Technololgy LIMITED 13.27.0.746

 

Description: WindowsProtectManger Service

Company: Fuyu LIMITED

Name: ProtectWindowsManager.exe

Version: 20.0.0.1270

Path: C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe

Command Line: C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service

PID: 1680

Parent PID: 736

Session ID: 0

User: ZARZĄDZANIE NT\SYSTEM

Auth ID: 00000000:000003e7

Architecture: 32-bit

Virtualized: False

Integrity: Etykieta obowiązkowości\Poziom obowiązkowości — system

Started: 2014-11-25 18:08:18

Ended: (Running)

Modules:

ProtectWindowsManager.exe 0x820000 0x7b000 C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe Fuyu LIMITED 20.0.0.1270 2014-11-12 07:38:46

 

System znów został zainfekowany adware. Proszę o nowy komplet wszystkich logów FRST (z najnowszej wersji).

Odnośnik do komentarza

Niestety system znów porządnie zaśmiecony. Metody nabycia adware: KLIK. Powtórka z rozrywki:

 

1. Otwórz Notatnik i wklej w nim:

 

(Cherished Technololgy LIMITED) C:\ProgramData\IePluginServices\PluginService.exe
(Fuyu LIMITED) C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe
(Taiwan Shui Mu Chih Ching Technology Limited.) C:\Program Files (x86)\WinZipper\winzipersvc.exe
R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [714208 2014-11-21] (Cherished Technololgy LIMITED)
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-10] (Fuyu LIMITED) [File not signed]
R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [425136 2014-11-26] (Taiwan Shui Mu Chih Ching Technology Limited.)
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK
ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK
ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK
ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK
ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK
ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1416559280&from=smt&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1416559280&from=smt&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1416559280&from=smt&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1416559280&from=smt&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms}
HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK
HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms}
HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK
HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1416559280&from=smt&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK
SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms}
SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms}
SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE
SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> {5F970FDE-702B-4ef9-920C-5F2848A5AF26} URL = http://www.daemon-search.com/search/web?q={searchTerms}
SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE
SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms}
SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> {E8FA2325-7F80-4757-83C1-4DA099082835} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=F9A780BD-8EF8-4ACB-B625-28DB11D43D6E&apn_sauid=FCD22013-E420-4A72-ADE2-B432F89CD7DE
Toolbar: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\Remek\AppData\Roaming\Mozilla\Firefox\Profiles\rytgjno9.default-1416334012505\extensions\detgdp@gmail.com
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\delta-homes.xml
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK
Unlock: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
C:\Users\Remek\Downloads\*(*)-dp*.exe
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
Reg: reg delete HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKU\S-1-5-21-553344540-897006182-1067068338-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart systemu. Powstanie fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware KMPlayer Toolbar Updater, WindowsMangerProtect20.0.0.1270, WinZipper oraz zbędnik MyFreeCodec Samsunga.

 

3. W systemie są dwa konta:

 

========================= Accounts: ==========================

 

Remek (S-1-5-21-553344540-897006182-1067068338-1000 - Administrator - Enabled) => C:\Users\Remek

serwis (S-1-5-21-553344540-897006182-1067068338-1005 - Administrator - Enabled) => C:\Users\serwis

 

Zaloguj się a każde po kolei poprzed pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika) i na każdym zrób nowe logi FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały po dwa logi. Dołącz też plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...