Nie można uruchomić zapory ani Windows Defender

walus002 · 21 Grudnia 2011

Witam!

Mam duży problem jestem po infekcji Zero Acces'a

Ale do rzeczy

1. Nie można uruchomić zapory ani widnows defender

2. dr.web i avast instalują się bez problemu natomiast Eset smart security nie da się zainstalować wywala błąd przy końcu instalacji

3. Przysłała mnie tu osoba o nicku "filutka78"

Więcej szczegółów w tym temacie:

http://forum.pclab.pl/topic/752118-OTLlogi/

mam nadzieje że nie zostanie to potraktowane jako reklama innego forum...

picasso · 21 Grudnia 2011

Cytat

mam nadzieje że nie zostanie to potraktowane jako reklama innego forum...

Skoro wyrażasz taką wątpliwość = nie przeczytałeś zasad mojego działu Malware. W owych zasadach podanie linka do obcego forum, gdzie rozwiązywano infekcję, jest obowiązkowe.

Zastrzeżenia do prowadzonej pomocy:

- Został podany niepoprawny import do rejestru pod kątem Winsock. Tu jest system 64-bit. Wyzerowano Ci cały klucz katalogu NameSpace Winsock (to znaczy usunięte wszystko) i zaimportowano tylko połowę struktury (Catalog_Entries a gdzie Catalog_Entries64?) i to niekonsekwentnie (licznik Num_Catalog_Entries64 był wprowadzany).

- Security Restore nie powinno się stosować na Windows 7. Ten program to nakładka na secedit, a MS poprawił swój artykuł na ten temat: KLIK.

- Ten wpis FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found nie wygląda na rzeczywiste "not found" (obserwuję go na wielu systemach 64-bit przy zainstalowanym Flash x64 w wersji dla Firefox), to raczej przekłamanie OTL na temat wpisu w gałęzi 64-bit = OTL jako program 32-bit na systemie 64-bit stosuje sztuczkę, by dorwać się do natywnej części, tzn. idzie przez alias Sysnative (to jest wg niego system32).

1. Proszę ładuj poprawkę na uszkodzony Winsock obszaru NameSpace + rekonstrukcja skasowanej usługi Windows Defender. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
"Num_Catalog_Entries"=dword:00000006
"Serial_Access_Num"=dword:00000020
"Num_Catalog_Entries64"=dword:00000006
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001]
"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"
"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"
"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83
"SupportedNameSpace"=dword:0000000f
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103"
"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003]
"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"
"DisplayString"="NTDS"
"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac
"SupportedNameSpace"=dword:00000020
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004]
"LibraryPath"="%SystemRoot%\\system32\\napinsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000"
"ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae
"SupportedNameSpace"=dword:00000025
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"
"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000027
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"
"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000026
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001]
"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"
"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"
"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83
"SupportedNameSpace"=dword:0000000f
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103"
"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003]
"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"
"DisplayString"="NTDS"
"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac
"SupportedNameSpace"=dword:00000020
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004]
"LibraryPath"="%SystemRoot%\\system32\\napinsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000"
"ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae
"SupportedNameSpace"=dword:00000025
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"
"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000027
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"
"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000026
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
  00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
  65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
  74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
  69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
  00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
  00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\
  72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\
  69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\
  00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
  00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
  20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
  00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]
"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
  05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
  00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
  84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
  05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
  04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik zaimportuj FIX.REG. Zresetuj system.

2. Zresetuj zaporę: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz komendę:

netsh advfirewall reset

3. Po tym restart i proszę zrobić logi z OTL z teraz. Cały. Tzn, także log Extras (opcja "Rejestr - skan dodatkowy" ustawiona na "Użyj filtrowania").

PS. Na systemie 64-bit ZeroAccess nie operuje techniką rootkita kernel tylko user mode, dlatego Kaspersky TDSSKiller nie w tym przypadku.

walus002 · 21 Grudnia 2011

1) ZROBIONE

2) Wywala błąd:

http://z1.przeklej.pl/prze1325/15a9b18c002d01324ef1b8dd/dsaasd.png

3)http://wklej.org/id/652067/ oraz http://wklej.org/id/652068/

Wszystko robiłem po kolei.

picasso · 21 Grudnia 2011

Windows Defender wrócił na miejsce, usługa jest już uruchomiona:

SRV:64bit: - [2009-07-14 02:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)

Na temat błędu zapory, powód znany. OTL Extras przedstawia sajgon, tzn. wyrżnięta z systemu usługa Podstawowy aparat filtrowania (BFE), która jest nadrzędną zależnością dla zapory. Skrót błędów z Dziennika zdarzeń:

[ System Events ]
Error - 2011-12-21 05:47:12 | Computer Name = Patryk-Komputer | Source = Service Control Manager | ID = 7003
Description = Usługa Moduły obsługi kluczy IPsec IKE i AuthIP zależy od następującej
usługi: BFE. Ta usługa może nie być zainstalowana.

Error - 2011-12-21 05:47:13 | Computer Name = Patryk-Komputer | Source = Service Control Manager | ID = 7023
Description = Usługa Przeglądarka komputera zakończyła działanie; wystąpił następujący
błąd: %%1060

Error - 2011-12-21 05:47:16 | Computer Name = Patryk-Komputer | Source = Service Control Manager | ID = 7003
Description = Usługa Agent zasad IPsec zależy od następującej usługi: BFE. Ta usługa
może nie być zainstalowana.

Error - 2011-12-21 05:47:16 | Computer Name = Patryk-Komputer | Source = Service Control Manager | ID = 7003
Description = Usługa Udostępnianie połączenia internetowego (ICS) zależy od następującej
usługi: BFE. Ta usługa może nie być zainstalowana.

walus002 · 21 Grudnia 2011

1) zrobione

2) przy wpisywaniu komendy

"SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\BFE" -ot reg -actn restore -bckp C:\backup.txt" wywala taki błąd:

http://z1.przeklej.pl/prze1791/79a281aa0005c4fe4ef1d0da/error.png

3) ponownie ten sam błąd co wcześniej...

picasso · 21 Grudnia 2011

Nic dziwnego, że error "A registry path is incorrect". Błędnie przepisałeś ścieżkę. HKML zamiast HKLM. By uniknąć błędów przepisywania, po prostu skopiuj komendę z mojego posta i w cmd z prawokliku opcja wklejania (to zresztą było podsunięte w instrukcji pod hasłem "wklej komendę")..... Czyli powtarzasz punkt 2 oraz punkt 3 z poprzedniej instrukcji.

walus002 · 21 Grudnia 2011

2) http://z1.przeklej.pl/prze2166/323c1f57001caf064ef1d5d5/asdfghj.png

3) Tu dalej błąd (ciągle ten sam)

picasso · 21 Grudnia 2011

Skoro punkt 1 + 2 pomyślnie wykonane, czyli usługa BFE w pełni odtworzona, to nasuwa się dodatkowa usterka, czyli wada usługi zapory jako takiej = całkiem prawdopodobne, że skoro nadrzędne BFE zostało skasowane, to ten sam los spotkał podrzędną usługę zapory MpsSvc. Kolejna seria, tym razem rekonstrukcja usługi firewall:

1. Import prawidłowego klucza zapory. Montuj FIX.REG o zawartości:

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc]
"DisplayName"="@%SystemRoot%\\system32\\FirewallAPI.dll,-23090"
"Group"="NetworkProvider"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
  00,65,00,4e,00,6f,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,00,00
"Description"="@%SystemRoot%\\system32\\FirewallAPI.dll,-23091"
"ObjectName"="NT Authority\\LocalService"
"ErrorControl"=dword:00000001
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):6d,00,70,00,73,00,64,00,72,00,76,00,00,00,62,00,66,00,\
  65,00,00,00,00,00
"ServiceSidType"=dword:00000003
"RequiredPrivileges"=hex(7):53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,\
  00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,\
  72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,75,\
  00,64,00,69,00,74,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,00,6f,00,74,00,69,\
  00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,\
  00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,\
  65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,00,74,00,65,00,50,\
  00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,\
  6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,\
  00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  6d,00,70,00,73,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords\DHCP]
"Collection"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords\IPTLSIn]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords\IPTLSOut]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords\RPC-EPMap]
"Collection"=hex:87,00,01,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords\Teredo]
"Collection"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Security]
"Security"=hex:01,00,14,80,b4,00,00,00,c0,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,84,00,05,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\
  00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,28,00,15,00,\
  00,00,01,06,00,00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,\
  0e,a7,8b,eb,ca,7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,\
  00,00,00,05,12,00,00,00

2. Import prawidłowych uprawnień klucza zapory. Nowy backup.txt o zawartości:

"machine\SYSTEM\CurrentControlSet\Services\MpsSvc",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\DHCP",4,"O:BAD:PAI(A;CI;CCDC;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)(A;CI;CCDC;;;S-1-5-80-3526382388-830156861-4107432654-3665941875-1028450966)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn",4,"O:BAD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut",4,"O:BAD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap",4,"O:BAD:PAI(A;CI;CCDC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo",4,"O:BAD:PAI(A;CI;CCDC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)(A;CI;CCRP;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OI;CCRP;;;SY)(A;OI;CCRP;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\MpsSvc\Security",4,"O:BAD:AI"

Komenda do załadowania:

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc" -ot reg -actn restore -bckp C:\backup.txt

3. Restart komputera. Próbuj komendę resetu zapory.

walus002 · 21 Grudnia 2011

Wiiii

Zapora działa jescze tylko próba zainstalowania Eset smart security 5 ...

picasso · 21 Grudnia 2011

Tu jeszcze nie ukończona sprawa ze sprzątaniem ... Teraz mogę przejść do reszty.

1. Odinstaluj następującą serię aplikacji:

========== HKEY_LOCAL_MACHINE Uninstall List ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Akamai" = Akamai NetSession Interface Service
"SocialRibbons" = SocialRibbons
"Pivot Stickfigure Toolbar" = Pivot Stickfigure Toolbar
"vShare.tv plugin" = vShare.tv plugin 1.3

- Jak mówiłam, ów wpis Adobe Flash x64 wcale nie był "not found". Adobe Flash w wersji x64 jest tu zainstalowany. W związku z tym, że Ci go uszkodzono, to odinstaluj. Poza tym = wcale nie potrzebujesz wersji 64-bit. Nie masz ani jednej przeglądarki, która do tego pasuje (czyli: alternatywnej przeglądarki natywnie 64-bitowej, bo do 64-bitowej wersji IE jest inny wariant Flash tzw. ActiveX). Ty masz zainstalowany zwykły 32-bitowy Firefox i do takiego pasuje Flash 32-bit. O Flashach w przyklejonym temacie: KLIK.

- Akamai to zbędnik (KLIK), vShare.tv plugin to wtyczka wątpliwej reputacji (KLIK), zaś SocialRibbons (KLIK) + Pivot Stickfigure Toolbar to sponsoringowe śmieci. Zresztą ów pasek Pivota i tak został zmasakrowany, przez ComboFix:

(((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\Pivot Stickfigure Toolbar\tbHElper.dll

Prócz tego, że powyższe deinstalacje pojadą przez systemowy Panel sterowania, należy także wykonać dodatkowy demontaż śmieci wprost w przeglądarkach tzn:

Firefox: w menedżerze rozszerzeń odinstaluj A Free Ride Games Bar Community Toolbar + Pivot Stickfigure Toolbar.

Google Chrome: w menedżerze rozszerzeń usunięcie vShare + w menedżerze wtyczek wyłączenie obu wystąpień vShare.

2. Nie został tu sprawdzony katalog C:\Windows\assembly\tmp, w którym infekcja ZeroAccess gromadzi loader, a na dodatek jest notowalne jakieś rozszczepienie, tzn. ComboFix kasował inne assembly\tmp w miejscu w którym nie powinno być nic takiego, ale katalog assembly nadal jest na dysku:

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Patryk\AppData\Local\assembly\tmp

[2011-12-01 20:28:04 | 000,000,000 | ---D | C] -- C:\Users\Patryk\AppData\Local\assembly

Po wykonaniu zaleceń w punkcie 1 zrób nowy log z OTL, ale na warunku dostosowanym, tzn. w sekcji Własne opcje skanowania / skrypt wklej:

dir /a /s C:\Windows\assembly\tmp /C
dir /s /a C:\Users\Patryk\AppData\Local\assembly /C

Klik w Skanuj (a nie Wykonaj skrypt!). Dorzuć także log z AD-Remover z opcji Scan.

walus002 · 21 Grudnia 2011

ad-remover -> http://wklej.org/id/652163/

Extras ->http://wklej.org/id/652164/

otl -> i tu niespodzianka mam tylko Extras na pulpicie ?...

@edit na C:\. pojawił sie folder "ProgramData" nie przypominam sobie abym miał coś takiego wcześniej...

picasso · 21 Grudnia 2011

Cytat

otl -> i tu niespodzianka mam tylko Extras na pulpicie ?...

Poszukaj dobrze, bo sam Extras mi na nic. Jesteś pewien, że plik nie leży poza krawędzią widoczności Pulpitu? Tzn. zamiast oglądać Pulpit jak "na ekranie", wejdź wprost do folderu Pulpitu C:\Users\Twoje konto\Pulpit i tam sprawdź. Jeśli rzeczywiście loga brak, zrób po raz drugi skan na warunkach podanych przeze mnie wcześniej.

Cytat

@edit na C:\. pojawił sie folder "ProgramData" nie przypominam sobie abym miał coś takiego wcześniej...

Ten folder jest częścia Windows 7 i był od zawsze. Widzisz go teraz, bo uległy rekonfiguracji opcje widoku. Widocznością steruje się przy udziale dwóch opcji w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Pokaż ukryte pliki i foldery + Ukryj chronione pliki systemu operacyjnego.

walus002 · 21 Grudnia 2011

http://wklej.org/id/652203/ -< jest otl był po za pulpitem ...

picasso · 21 Grudnia 2011

Ten katalog C:\Users\Patryk\AppData\Local\assembly ma zawartość wyglądającą na pochodną .NET i nie będę go ruszać. A teraz już ostatnia korekta (odpadki po śmieciach, szczątki rozszerzeń Avast w przeglądarkach i resztki po używanych narzędziach diagnostycznych).

1. Uruchom AD-Remover w trybie Clean, co zlikwiduje wykryte przez program śmieci. Firefox musi być zamknięty podczas tej operacji, ponieważ program będzie przetwarzał prefs.js z konfiguracją przeglądarki.

2. Następnie poprawka na resztę. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKCU\..\URLSearchHook:  - No CLSID value found
FF - prefs.js..browser.search.defaultthis.engineName: "A Free Ride Games Bar Customized Web Search"
FF - prefs.js..browser.search.selectedEngine: "Search the Web"
FF - prefs.js..keyword.URL: "http://serp.freecause.com/?ourmark=3&sid=100293&q="
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\fmfkdppbeibencghjjfbhicibcnnhhhg]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions]
"wrc@avast.com"=-
 
:Files
del /q "C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\nu48dumn.default\searchplugins\search-the-web.xml" /C
del /q C:\Windows\SetACL.exe /C
rd /s /q C:\Windows\ERDNT /C
rd /s /q C:\Users\Patryk\DoctorWeb /C

Klik w Wykonaj skrypt.

3. Pozostałości wtyczek vShare w Google Chrome wymagają specjalnej troski, tzn. ręcznej edycji pliku konfiguracyjnego Google Chrome. W pasku adresów Windows Eksplorer wklej %localappdata%\Google\Chrome\User Data\Default i ENTER. W folderze tym otwórz w Notatniku plik o nazwie Preferences, w nim wyszukaj ustęp "plugins": i wytnij te partie (uważaj na zaknięcia {}, musisz zachować formułę listowania wtyczek wynikającą z ciągłości):

{
"enabled": true,
"name": "vShare.tv plug-in",
"path": "D:\FireFox\plugins\npvsharetvplg.dll",
"version": "1.3.0.1"
},

+

{
"enabled": true,
"name": "vShare.tv plug-in"
},

Zapisz zmiany w pliku.

4. Po wykonaniu wszystkiego wystarczy, że podasz: log z wynikami usuwania uzyskany w punkcie 2 oraz zrobiony po wszystkim log z AD-Remover z opcji Scan.

walus002 · 21 Grudnia 2011

1. zrobione

2. http://wklej.org/id/652261/

3. zrobione

4. ad-remover - http://wklej.org/id/652264/

picasso · 21 Grudnia 2011

Z vShare kantujesz mnie = nadal to widzę w Google Chrome. AD-Remover zaś nie przetworzył wpisów w prefs.js - czy na pewno Firefox był zamknięty?

1. Poprawka na Firefox: Firefox musi być zamknięty (i jego proces nie może wisieć), otwierasz w Notatniku plik C:\Users\Patryk\AppData\Roaming\Mozilla\FireFox\Profiles\nu48dumn.default\Prefs.js, w nim wycinasz wszystkie linie spełniające warunek CommunityToolbar.* + CT1320680.SearchFromAddressBarUrl i zapisujesz zmiany w pliku.

2. Porządki po narzędziach: odinstaluj AD-Remover + użyj Sprzątanie w OTL. Notabene: ComboFix tu nie był prawidłowo deinstalowany, załatwiony przez wcześniejsze Sprzątanie, co nie jest tym samym co deinstalacja.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Upewnij się, że wszystko masz aktualne (już do linka kierowałam).

Sprawdź dokładnie czy wszystko działa i podsumuj kondycję systemu.

walus002 · 22 Grudnia 2011

Wszystko działa jak należy pc się nie zawiesza.

Zaloguj się

Nie można uruchomić zapory ani Windows Defender

Rekomendowane odpowiedzi

walus002

Odnośnik do komentarza

picasso

Odnośnik do komentarza

walus002

Odnośnik do komentarza

picasso

Odnośnik do komentarza

walus002

Odnośnik do komentarza

picasso

Odnośnik do komentarza

walus002

Odnośnik do komentarza

picasso

Odnośnik do komentarza

walus002

Odnośnik do komentarza

picasso

Odnośnik do komentarza

walus002

Odnośnik do komentarza

picasso

Odnośnik do komentarza

walus002

Odnośnik do komentarza

picasso

Odnośnik do komentarza

walus002

Odnośnik do komentarza

picasso

Odnośnik do komentarza

walus002

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność