Skocz do zawartości
MarcinekNu2

Przekierowania google na hooot.com, wyłączona zapora Windows, Defender itp.

Rekomendowane odpowiedzi

Witam.

Nie chcę zakładać nowego tematu od początku więc dam linka do innego forum.

Dotychczasowe działania nie przyniosły rezultatu, dodatkowo zauważyłem, że nie ma możliwości włączenia Zapory Systemu Windows ani Windows Defendera.

Po użyciu narzędzia Microsoftu do skanowania i usuwania wirusów msert.exe nie ma możliwości uruchomienia systemu, pozostaje opcja przywracania.

 

http://forum.program...e-vp959553.html

 

EDIT:

Ponieważ z niewiadomych przyczyn temat został na tamtym forum usunięty to jutro z rana dam wymagane logi i opiszę co było robione, choć mówiąc szczerze to kalka działań picasso z tego forum (nawet wpisy żywcem kopiowane z tej strony).

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Z Google Cache pobrałam temat > KLIK. Faktycznie kalka moich instrukcji, nieprawidłowa. Powodzenia w resetowaniu Winsock, gdy jest czynny ZeroAccess (błąd "Brak pliku pomocnika wshelper.dll, nie można znaleźć polecenia winsock reset."). Obecność ZeroAccess wnioskuję pośrednio. Logów z wklej.org nie mogę pobrać (ACTA-protest), toteż muszę dedukować.

 

 

Po użyciu narzędzia Microsoftu do skanowania i usuwania wirusów msert.exe nie ma możliwości uruchomienia systemu, pozostaje opcja przywracania.

 

Tu nie jest pewne czy przyczynił się do tego skaner Microsoftu, to mógł załatwić ComboFix, którego Ci podsunięto = ostatnio na forum mam tu przypadki nieprawidłowego usuwania ZeroAccess na systemach 64-bit przez ComboFix. Zapewne skaner usunął plik consrv.dll, a niestety nie został skorygowany rejestr, dlatego system nie może startować. Nie przywracaj systemu, to nie jest potrzebne. Poproszę o log z narzędzia FRST x64. Umieść na pendrive, F8 przy starcie systemu i wejdź do modułu "Napraw komputer" w celu uruchomienia FRST.

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jutro rano będą wszystkie pliki, procedura podana przez Ciebie została wykonana ale infekcja została. Żeby nie być gołosłownym i nie zajmować czasu. ..wszystko będzie rano. Trafiłem na niewłaściwą stronę, bo niestety koleżanka już na searchengines nie działa...a teraz znalazłem to forum.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
rano będą wszystkie pliki, procedura podana przez Ciebie została wykonana ale infekcja została.

 

Jaka procedura? Żadnych instrukcji usuwania nie otrzymałeś. Masz na razie przedstawić log z narzedzia FRST. Dopiero na podstawie tego raportu stworzę skrypt korygujący rejestr i co tam jeszcze wyjdzie w praniu.

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Fix result of Farbar Recovery Tool (FRST written by farbar) Version: 24-01-2012

Ran by SYSTEM at 2012-01-24 15:07:41 R:1

Running from F:\

 

==============================================

 

HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\SubSystems\\Windows Value was restored.

C:\Windows\system32\consrv.dll moved successfully.

C:\Windows\system32\ultra66.dll not found.

C:\Windows\assembly\GAC_64\desktop.ini moved successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs NICSer_WPC300N not found.

 

========= reg delete HKLM\SYSTEM\ControlSet001\Services\NICSer_WPC300N /f =========

 

BŁĄD: System nie znalazł w rejestrze określonego klucza albo wartości.

 

========= End of Reg: =========

 

 

==== End of Fixlog ====

 

 

C:\Windows\system32>cmd

Microsoft Windows [Wersja 6.1.7600]

Copyright © 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone.

 

C:\Windows\system32>netsh winsock reset

Nie można załadować następującego pomocnika DLL: WSHELPER.DLL.

Nie znaleziono następującego polecenia: winsock reset.

 

C:\Windows\system32>

OTL.Txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

No i właśnie: "Fix result of Farbar Recovery Tool". Te skrypty są unikatowe dla danego systemu. Tu nie było ode mnie ani słowa o przejściu do procedur usuwania i to przy wykorzystaniu błędnych skryptów, miałeś tylko i wyłącznie zrobić log z FRST w trybie "tylko do odczytu". Oczywiście, że skrypt nie działa (aka ZeroAccess czynny i uniemożliwia reset Winsock), bo u Ciebie ZeroAccess ma inną postać. Usługa nowej wersji ZeroAccess u każdego jest inna, tu:

 

SRV:64bit: - [2009-07-14 02:39:46 | 000,005,120 | ---- | M] (Iomega) [Auto | Running] -- C:\Windows\SysNative\RDID1027.dll -- (tng-doba)

 

Są też i inne rzeczy do usuwania, które nie są powtarzalne. Użyłeś skrypt nie pod swój przypadek, skrypt zazębił się tylko w 3 wpisach (to stanowczo za mało), a w związku z aktywną usługą ZA nie wiadomo czy skasowane obiekty aby nie wróciły na miejsce. Proszę o skan potwierdzający.

 

1. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne i w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
c:\Windows\system32\consrv.dll /64
C:\Windows\assembly\GAC_64\*.*
C:\Windows\assembly\GAC_32\*.*
dir /s /a C:\Windows\assembly\tmp /C

 

Klik w Skanuj (nie Wykonaj skrypt!).

 

2. Uruchom Farbar Service Scanner, zaznacz wszystkie sekcje do skanowania i klik w Scan.

 

 

PS. Proszę korzystaj z systemu Załączniki, zmieniam. Zasady działu do wglądu. Tagi CODE = nie. Poza tym, to nie jest kompletny OTL, brak Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania").

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Ach, postać tematu w Google Cache jest niekompletna, nie widzę tam bowiem tego wątku. Takich "ekspertów" za włosy. Biorą moje fiksy i nic z tego nie rozumieją. Nic a nic. Okropnie się wkurzam. Danie skryptu z całkiem inną usługą niż w logu jest jednoznaczne z tym, że nie potrafią go czytać. Bez komentarza. Ciekawe też dlaczego temat skasowali.

 

Skrypt wprawdzie usuwał consrv.dll, jednakże to wszystko wróciło na miejsce. Również masz całkowicie skasowaną z rejestru usługę Zapory systemu Windows. Ponadto, plik regedit nie ma sygnatury Microsoftu i nie wiem do czego to podpasować (uszkodzony? zainfekowany?):

 

[2009-07-14 00:27:10 | 000,427,008 | ---- | C] () -- C:\Windows\regedit.exe

 

 

 

1. Montuj skrypt do FRST, czyli fixlist.txt:

 

SubSystems: [Windows] ==> ZeroAccess
NETSVC: tng-doba
2 tng-doba; C:\Windows\System32\RDID1027.dll [5120 2009-07-14] (Iomega)
C:\Windows\System32\RDID1027.dll
C:\Windows\System32\consrv.dll
C:\Windows\assembly\tmp\U
C:\Windows\assembly\tmp\loader.tlb
C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
C:\Users\user\AppData\Local\da66c0bc
C:\Users\user\AppData\Local\Microsoft Help
C:\Users\user\AppData\Roaming\Ukyzr
C:\Users\user\AppData\Roaming\Byxo
C:\Users\user\AppData\Roaming\jumprs
C:\Users\user\AppData\Roaming\38C00
C:\Users\user\AppData\Roaming\48F38
C:\Users\user\AppData\Roaming\6615DE.dat
C:\Users\user\AppData\Roaming\MSWINSCK.OCX
C:\Users\user\AppData\Roaming\1.gif
C:\Users\user\AppData\Roaming\start
C:\Users\user\AppData\Roaming\ct_start
C:\Users\user\AppData\Roaming\xxzic1upujaqmjsvcccrcg1g1xexwdp12
C:\Users\user\AppData\Roaming\xfuxownrijstax1kopspcbnwfbypleia2
C:\Users\user\AppData\Roaming\x1su1ublpqjksu11clzp2ntfcbdjldd32
C:\Users\user\AppData\Roaming\xfk2luzgv2sh23rmp2gueguhqbpdphtp2
C:\ProgramData\k803Rl2.dat
C:\Windows\SysWow64\%APPDATA%

 

2. F8 > Napraw komputer > uruchamiasz FRST i opcja Fix. Restart do Windows.

 

3. Reset Winsock. Akurat kroki są nadal aktualne, tylko teraz właściwa kolejność ich prowadzenia. Potwórz reset Protocol i NameSpace: KLIK (punkty 1+2).

 

4. Wykonaj weryfikację poprawności plików poleceniem sfc /scannow, kolejnym poleceniem przefiltruj CBS.LOG do wystąpień znaczników [sR]: KLIK.

 

5. Poprzez Panel sterowania odinstaluj kwestionowalnego śmiecia ALOT Appbar Helper.

 

6. Do oceny: wyniki przetwarzania skryptu (fixlog.txt), log z filtrowania SFC oraz zrobiony po wszystkim log z OTL opcją Skanuj (o Extras przypominam).

 

 

Cyzelowaniem (drobnostki) i odtwarzaniem Zapory zajmiemy się potem.

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Stop.

Nie mogę wykonać polecenia: netsh winsock reset, dalej ten sam problem co wyżej, brak pomocnika wshelper.dll . Pominąc?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Skrypt w całości wykonany poprawnie. Skoro jest ten błąd, spróbuj jeszcze polecenia netsh z poziomu Trybu awaryjnego Windows. Jeśli to nic nie zdziała, przejdź do dalszych instrukcji (w to wchodzi reset NameSpace), a ja będę diagnozować skąd ten błąd i czy nie ma tu aby złożenia przyczyn.

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Proszę stosuj opcję "Edytuj", gdy nikt jeszcze nie odpisał. Posty łączę.

 

 

Logi, tylko nie mogę wygenerowac extras w OTL. Jak to zrobić?

 

vs.

 

(...) brak Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania").

 

 

Logi już "ładne", najgorsze za nami. Skan SFC wiele wyjaśnia. Oto wyniki:

 

2012-01-25 10:50:59, Info    CSI    000002e5 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"wshelper.dll" from store

2012-01-25 10:50:59, Info CSI 000002e6 [sR] Repairing corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:22{11}]"regedit.exe" from store

 

Uszkodzone zarówno regedit.exe, jak i ów wshelper.dll (czyli delikwent z komunikatu netsh). Tu był podwójny problem z Winsock, załatwiony przez ZeroAccess plus uszkodzony plik relatywny. SFC naprawiło szkody. Teraz komenda powinna zostać wykonana poprawnie.

 

1. Ponów komendę netsh winsock reset i zresetuj system.

 

2. Drobna kosmetyka wpisów-odpadków i czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=48f38c0000000000000000264da5e93c&tlver=1.4.19.19&ss=1&affID=17981"
IE - HKCU\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:64424
[2011-05-14 18:59:36 | 000,002,428 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
 
:Files
rd /s /q C:\FRST /C
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami.

 

3. Do oceny: pełny nowy log z OTL opcją Skanuj (Extras! Extras!) oraz log z wynikami usuwania z punktu 2. Z Extras się m.in. dowiem czy Firefox jest na liście zainstalowanych, bo wg loga to jakby szczątki w rejestrze ....

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Winsock został zresetowany, zniknęły wszystkie odczyty "not found" będące pochodną ZeroAccess.

 

1. Nie wiem skąd w folderze system32 utworzył się i dopiero teraz uwidocznił plik z końcówką *.bak (skasuj go ręcznie):

 

[2012-01-24 16:01:52 | 000,019,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wshelper.dll.bak

 

2. Firefoxa nie widzę na liście zainstalowanych, toteż Start > w polu szukania wpisz regedit > skasuj wszystkie klucze spełniające warunek:

 

HKEY_LOCAL_MACHINE\Software\Mozilla*

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Mozilla*

 

3. Przechodzimy do naprawy usterki w usługach. Wspominasz w tytule tematu coś o "Windows Defender", o co chodzi z nim? Uzupełnij skasowaną usługę Zapora systemu Windows (tylko jednej brakuje + skan SFC omijasz): KLIK. Zresetuj system. Zrób nowy log z Farbar Service Scanner.

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Ten bak pewnie pochodzi z próby podmiany przeze mnie wshelper.dll ,sądzilem, ze uszkodzenie lub brak tego pliku jest przyczyną niemożności wykonania polecenia netsh.

Klucze w rejestrze usunięte.

Odnosnie Windows Defender to przy próbie uruchomienia wyskakuje: Okreslona usługa nie istnieje jako usługa zainstalowana (kod błędu 0x80070424).

Biorę się za zaporę. Próbowałem ja wczesniej zrekonstruowac ale nie dało rady, być może wirus blokował część poczynań.

 

EDIT:

Wszystkie polecenia wykonane, wydaje się, że poprawnie, kończę sfc /scannow i restart

 

EDIT2:

Zapora odbudowana i działa, Windows Defender dalej wyświetla błąd.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Ten bak pewnie pochodzi z próby podmiany przeze mnie wshelper.dll ,sądzilem, ze uszkodzenie lub brak tego pliku jest przyczyną niemożności wykonania polecenia netsh.

 

Głowiłam się skąd tu uszkodzenie pliku, bo ta przypadkowość uszkodzenia akurat pliku związanego z Winsock wydała mi się podejrzana :lol:. Wygląda na to, że sam się do tego przyczyniłeś, wstawiając plik niezgodny z systemem. Jestem przekonana, że plik nie spełniał warunków: 64-bitowy, z Windows 7. Jeśli z Google brałeś, to duże prawdopodobieństwo, że wstawiłeś plik 32-bit, być może nawet pochodzący z obcej platformy.

To polecenie resetu Winsock na początku nie mogło się wykonać, ponieważ był czynny ZeroAccess. Dopóki infekcja jest aktywna, reset jest nie do przeprowadzenia, komenda zwraca błąd który podałeś.

 

 

Wszystkie polecenia wykonane, wydaje się, że poprawnie, kończę sfc /scannow i restart

 

SFC przecież już robiłeś (naprawiał pliki) i to kazałam ominąć. Za to nie podałeś raportu z Farbar Service Scanner, który przedstawi sytuację po odbudowie Zapory.

 

 

Odnosnie Windows Defender to przy próbie uruchomienia wyskakuje: Okreslona usługa nie istnieje jako usługa zainstalowana (kod błędu 0x80070424).

 

Kolejna usługa skasowana z systemu. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
  00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
  65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
  74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
  69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
  00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
  00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\
  72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\
  69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\
  00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
  00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
  20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
  00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]
"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
  05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
  00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
  84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
  05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
  04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

Zresetuj system.

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Ale dopiero jutro jeśli czas mi pozwoli. Póki co bardzo dziękuje i pytam gdzie wysłać kwiaty i bombonierkę?

Edytowane przez picasso
29.02.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...