zordrak Opublikowano 21 Lipca 2011 Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Witam, jakiś czas temu po ściągnięciu zainfekowanego patcha (skany online nic nie wykazały) przestała działać zapora systemowa a Google przekierowuje na witrynę goingonearth. Zainstalowany MS Essentials nie uruchamia się. Podjęte próby wyeliminowania infekcji nie przyniosły rezultatu. Próbowałem skanerów on-line (usunięte dwa wirusy z temp), spy-bota (Google już nie przekierowuje) i HijackThis (bez efektów). Logi z tych operacji nie zachowały się. Infekcja dalej występuje - MS Essentials w dalszym ciągu się nie uruchamia. Dodatkowo system nie chce się aktualizować. Ściągnięte aktualizacje po restarcie są wycofywane. Pojawia się też informacja o sterowniku intellipoint NUID filter driver zablokowanym z powodu niezgodności. System operacyjny: Win7, 32-bit + SP1. Prosiłbym o zdiagnozowanie rodzaju infekcji i pomoc w jej wyleczeniu. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2011 Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Prócz podstawowego body infekcji jest tu także odpadek po infekcji Brontok oraz ofensywne rozszerzenie GamePlayLabs wstawione w Firefox. Podjęte próby wyeliminowania infekcji nie przyniosły rezultatu. Próbowałem skanerów on-line (usunięte dwa wirusy z temp), spy-bota (Google już nie przekierowuje) i HijackThis (bez efektów). HijackThis to nie ten zawodnik, nawet nie przedstawia wpisów infekcji, bo tego po prostu nie uwzględnia. Coś mi się nie wydaje, by Spybot podołał / cokolwiek robił, gdyż pliki tej infekcji są w stanie nienaruszonym (zawsze występują dwa). Spybot to także przestarzały program, nie polecany przeze mnie na Windows 7 (słaba kompatybilność), a tu jeszcze zbroił plik HOSTS (nieoptymalne zachowanie) i będę go resetować. Ten program do deinstalacji. Logi z tych operacji nie zachowały się. Ale widzę na dysku ten folder: [2011-07-21 01:45:51 | 000,000,000 | ---D | C] -- C:\Users\Karol\Desktop\backups To folder wytwarzany przy operacji "fiksowania" wpisów w HijackThis. Pokaż mi jego zawartość na zrzucie ekranu. Pojawia się też informacja o sterowniku intellipoint NUID filter driver zablokowanym z powodu niezgodności. Rozwiązywałam to już na forum, sterowniki należy zaktualizować: KLIK. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2011-07-07 14:29:09 | 000,138,240 | RHS- | C] () -- C:\Windows\System32\lsasso.dll [2011-07-07 14:29:09 | 000,000,298 | -HS- | C] () -- C:\Windows\tasks\Ivcejidukk.job [2011-01-16 22:49:44 | 000,012,407 | ---- | C] () -- C:\Users\Karol\AppData\Local\Bron.tok.A10.em.bin FF - prefs.js..browser.search.defaultthis.engineName: "Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT329536&SearchSource=3&q=" FF - prefs.js..extensions.enabledItems: {7a88e876-d715-4503-a7bf-a8eba13ca3f9}:2.5.5 O4 - HKLM..\Run: [] File not found :Commands [resethosts] [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Po restarcie automatycznie powinien się otworzyć log z wynikami usuwania. 2. Włącz wyłączone przez malware funkcje: Centrum zabezpieczeń: Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście dwuklik w Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie) + usługę zastartuj przyciskiem. MSSE: jak wyżej, tylko chodzi o usługę o nazwie Microsoft Antimalware Service, a Typ uruchomienia ma mieć przestawiony na Automatyczny. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". Windows Defender: infekcja też go wyłącza, ale aktywacji nie podaję, bo to koliduje z działaniami MSSE (który zresztą Defendera na własną rękę ogłupia). 3. W związku z obecnością GamePlayLabs w Firefox sprawdź także czy tego aby nie ma w Google Chrome (OTL nie może przedstawiać składników tej przeglądarki ani jej konfigurować). Dla porównania temat: KLIK. 4. Wygeneruj nowy log z OTL z opcji Skanuj. Dołącz także log z wynikami usuwania z punktu 1. . Odnośnik do komentarza
zordrak Opublikowano 21 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Załączyć dodatkowo pliki z C:\Users\Karol\Desktop\backups ? Zawartość loga po restarcie: http://wklej.org/id/564930/ Martwi mnie troche to cofanie aktualizacji przy restarcie zakonczone kolejnym restatem... OTL2.txt Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2011 Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Skrypt wykonany pomyślnie. Czy punkty 2+3 także? No i gdzie jest aktualny log z OTL z opcji Skanuj? Załączyć dodatkowo pliki z C:\Users\Karol\Desktop\backups ? Nie, a zawartość katalogu i tak mi nic nie mówi. Martwi mnie troche to cofanie aktualizacji przy restarcie zakonczone kolejnym restatem... Na razie jesteśmy w fazie usuwania infekcji (która może mieć wpływ na operatywność funkcji systemu). Zadania spoza dopiero, gdy zostanie ukończona sprawa główna. To dopiero wtedy będzie można oceniać co działa a co nie. Ponadto, w zakres zadań "poinfekcyjnych" wchodzi także usunięcie Spybota i aktualizacja sterowników IntelliPoint / IntelliType. EDIT: Log dodany. Nie odpowiedziałeś na wszystkie pytania i też nie wszystko widzę wykonane co miało być zrobione przed nowym logiem OTL opcji Skanuj. 1. Mówiłam, by włączyć usługi, a w logu nadal usługa MSSE "Microsoft Antimalware Service" jest "Disabled": SRV - [2011-04-27 15:39:26 | 000,011,736 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe -- (MsMpSvc) 2. Drobna korekta po resecie pliku HOSTS, OTL ustawił oba protokoły jako czynne: O1 HOSTS File: ([2011-07-21 15:57:56 | 000,000,098 | ---- | M]) - C:\Windows\System32\drivers\etc\HostsO1 - Hosts: 127.0.0.1 localhostO1 - Hosts: ::1 localhost Domyślnie w Windows 7 plik HOSTS ma skomentowane obie linie. Zastartuj Notatnik w trybie Uruchom jako Administrator, otwórz w nim plik C:\Windows\system32\drivers\etc\Hosts i dodaj przy obu liniach na początku znaczki komentarzy #: # 127.0.0.1 localhost # ::1 localhost 3. W OTL uruchom Sprzątanie, co usunie kwarantannę z trojanami oraz sam OTL jako taki. 4. Przeskanuj system przez Malwarebytes' Anti-Malware i zaprezentuj raport wynikowy. . Odnośnik do komentarza
zordrak Opublikowano 21 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2011 spybot usuniety, sterowniki zaktualizowane, security essentials chroni i skanuje... edit: załączam log Malwarebytes' Anti-Malware. edit2: wtyczki nie ma, wszystkie pkt wykonane. mbam-log-2011-07-21 (18-50-35).txt Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2011 Zgłoś Udostępnij Opublikowano 21 Lipca 2011 1. Wyniki MBAM: wszystko z sekcji "Zainfekowanych kluczy rejestru" to są składniki infekcji przeze mnie usuwanej i należy to zlikwidować. Wynik Broken.OpenCommand z scrfile nie oznacza troski, po prostu screensaver jest skojarzony z otwieraniem przez Notatnik, co można za pomocą MBAM zresetować do poziomu domyślnego. Natomiast wyniki z "Zainfekowanymi plikami": pierwszy niejasny, drugi to fałszywy alarm na plikach aplikacji wirtualizowanej metodą Thinstall (tu: Office, zapewne "wersja portable"). 2. I przechodząc do tego: Dodatkowo system nie chce się aktualizować. Ściągnięte aktualizacje po restarcie są wycofywane. Sprawdź czy to nadal ma miejsce. Jeśli tak, zadam kolejną diagnostykę, już specyficzną pod tym kątem. . Odnośnik do komentarza
zordrak Opublikowano 21 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2011 wychodzę do pracy, reszta diagnostyki jak wrócę. Ogromne dzięki za dotychczasową pomoc. Odnośnik do komentarza
zordrak Opublikowano 23 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 23 Lipca 2011 Niestety problem z aktualizacjami dalej występuje. Próbowałem instalować pojedynczo, aby znaleźć winowajcę ale nie zauważyłem reguły. Zastanawiają mnie aktualizacje, które się powiodły i które dalej dostępne są jako dostępne. Odnośnik do komentarza
picasso Opublikowano 23 Lipca 2011 Zgłoś Udostępnij Opublikowano 23 Lipca 2011 Niestety problem z aktualizacjami dalej występuje. Do wykonania: 1. Podstawowy krok z resetem Windows Update: KLIK. Chodzi mi o ustęp "Ręczne wykonanie metody 2" i zerowanie SoftwareDistribution + Catroot. Gdy zawiedzie: 2. Z podanego wyżej linka pobierz i uruchom Narzędzie analizy gotowości aktualizacji systemu i zaprezentuj jego wynikowy log checksur.log. . Odnośnik do komentarza
zordrak Opublikowano 23 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 23 Lipca 2011 reset Windows Update nie powiódł się: C:\Windows\system32>net start bitsWystąpił błąd systemu 5. Odmowa dostępu. C:\Windows\system32>bitsadmin /reset /allusers BITSADMIN version 3.0 [ 7.5.7601 ] BITS administration utility. © Copyright 2000-2006 Microsoft Corp. BITSAdmin is deprecated and is not guaranteed to of Windows. Administrative tools for the BITS service are now dlets. 0 out of 0 jobs canceled. Przy restarcie systemu wymaganym w pkt 1. niepowodzenie akutalizacji i ponowny restart. Mój błąd czy grubsza sprawa? Dalej dostępne te same aktualizacje co wcześniej. Załączam log z pkt 2. CheckSUR.txt Odnośnik do komentarza
Flavius Opublikowano 23 Lipca 2011 Zgłoś Udostępnij Opublikowano 23 Lipca 2011 (f) CSI Payload File Corrupt 0x00000000 poqexec.exe x86_microsoft-windows-servicingstack_31bf3856ad364e35_6.1.7601.17592_none_0b0e4b4025cf4049 Ten plik jest uszkodzony i musisz go podmienić.Ażeby tego dokonać trzeba przyznać swojemu kontu pełną kontrolę do tego folderu 1.Pobierz plik do podmiany KLIK i wypakuj go 2.Odnajdź folder C:\Windows\WinSxS\x86_microsoft-windows-servicingstack_31bf3856ad364e35_6.1.7601.17592_none_0b0e4b4025cf4049 przejmij na własność ten folder i nadaj swemu kontu pełną kontrolę do tego folderu 3.Podmień plik poqexec.exe 4.Przywróć pierwotny układ zabezpieczeń tj. odbierz swojemu kontu uprawnienia do tego folderu i przywróć TrustedInstaller jako właściciela tego folderu Pomocna lektura jak manipulować uprawnieniami do plików i folderów https://www.fixitpc.pl/topic/55-przyznawanie-kontroli-dla-plikow-i-folderow/ Odnośnik do komentarza
zordrak Opublikowano 29 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 29 Lipca 2011 niestety nie pomogło. dodatkowo też zauważyłem, że defender dalej nie daje się włączyć. Znajdzie się jeszcze jakaś rada? Odnośnik do komentarza
picasso Opublikowano 29 Lipca 2011 Zgłoś Udostępnij Opublikowano 29 Lipca 2011 (edytowane) dodatkowo też zauważyłem, że defender dalej nie daje się włączyć. Nie przeczytałeś co mówiłam: 2. Włącz wyłączone przez malware funkcje: Windows Defender: infekcja też go wyłącza, ale aktywacji nie podaję, bo to koliduje z działaniami MSSE (który zresztą Defendera na własną rękę ogłupia). U mnie po instalacji MSSE na Windows 7 i tak Windows Defender się nie uruchamia, gdyż MSSE go nokautuje. Tę akcję przeprowadza chyba większość dzisiejszych AV, by zmniejszyć kolizyjność. Mogę go włączyć tu jednym gestem dla Twojej przyjemności patrzenia, ale nie robię tego celowo, bo Windows Defender to przeżytek i jego działania zastępują nowoczesne antywirusy. By nie zamęczać systemu, Windows Defender powinien być wyłączony. niestety nie pomogło. Wygeneruj nowy Checksur.log do oceny. Dodatkowo, zrób komendę sfc /scannow i przefiltruj log do wystąpień znaczników [sR]: KLIK. . Edytowane 30 Sierpnia 2011 przez picasso 31.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi