Leel00 Opublikowano 28 Lutego 2012 Zgłoś Udostępnij Opublikowano 28 Lutego 2012 Witam serdecznie Problem następujący: Netbook trafil do mnie w stanie agonalnym. Brak klawiatury/touchpada, ciagłe odwolania do losowych nazw plików, brak dostepu do sieci WiFi(nie widzi AP) Wlaściciel ponoć walczył dzielnie łącznie z odpaleniem combofix (bo to ponoć remedium). W tej chwili to co zostało do zrobienia to brak sieci WiFi. Podejrzewam, ze jakis syf nadal tam siedzi. Pewnym utrudnieniem jest brak fizycznego dostępu do DC/DVD (brak w netbooku, brak zewnętrznego napędu) Podejrzewam, ze cos sie jeszcze ukrywa w katalogu fixow windows ("poprawka" KB22601). Pacjent: Netbook Eeepc, WIN XP SP3 Załączam raporty z: OTL OTL: http://wklej.org/id/698321/ Extras: http://wklej.org/id/698323/ GMER http://wklej.org/id/698325/ COMBOFIX http://wklej.org/id/698326/ Dziekuje i pozdraiwam Odnośnik do komentarza
picasso Opublikowano 28 Lutego 2012 Zgłoś Udostępnij Opublikowano 28 Lutego 2012 "Po"? Pobożne życzenie. Usuwanie kompletnie nieskuteczne, rootkit jest czynny i wszystkie jego elementy obecne. GMER pokazuje infekcję sterownika sieciowego ipsec.sys, czynny moduł i łącze symboliczne C:\WINDOWS\$NtUninstallKB22610$. W OTL widać dodatkową usługę opisaną jako "Oak Technology Inc." i przekierowany Winsock. Notowane dziwności: 1. Jest tu jakiś nowy dla mnie dysonans, otóż widzę powójną usługę (typ usługa programowa + typ sterownik) z tym samym oznaczeniem producenta "Oak Technology Inc.": SRV - [2008-04-15 13:00:00 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto | Stopped] -- C:\WINDOWS\system32\intelide.dll -- (MTC0001_ESB) DRV - [2008-04-15 13:00:00 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\intelide.dll -- (IntelIde) Pierwsza jest od rootkita, druga powinna być systemowa, ale obie kierują do ... tego samego pliku, a ta DRV w oryginale powinna kierować na C:\Windows\system32\drivers\intelide.sys. Na razie DRV zostawiam w spokoju i tak jest Disabled. 2. Poza tym, czy ktoś tu ręcznie kombinował ze sterownikiem i8042prt.sys? Widzę kopię tego pliku w złym miejscu, czyli w system32: 2012-02-28 15:23 . 2008-04-14 20:41 53248 ----a-w- c:\windows\system32\i8042prt.sys2012-02-28 05:56 . 2012-02-28 17:39 53248 ----a-w- c:\windows\system32\drivers\i8042prt.sys 1. Przygotuj materiały: ----> Pobierz płytę OTLPE oraz plik ipsec.sys (KLIK). ----> Przygotuj w Notatniku plik tekstowy z treścią skryptu: :Files C:\Windows\system32\fsutil.exe reparsepoint delete C:\WINDOWS\$NtUninstallKB22610$ /C :OTL SRV - [2008-04-15 13:00:00 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto] -- C:\WINDOWS\system32\intelide.dll -- (MTC0001_ESB) NetSvcs: MTC0001_ESB - C:\WINDOWS\system32\intelide.dll (Oak Technology Inc.) NetSvcs: CTEDSPIO.DLL [2012-02-06 16:41:52 | 000,000,000 | -HS- | C] () -- C:\WINDOWS\System32\dds_trash_log.cmd :Commands [emptytemp] Plik ipsec.sys + plik skryptu należy umieścić na pendrive, który będzie obecny w trakcie startu z OTLPE. 2. Startujesz z OTLPE i wykonujesz z jego poziomu następujące akcje: - uruchamiasz "My computer" i ręcznie przekopiowujesz z pendrive plik ipsec.sys, zamieniając aktualny naruszony C:\WINDOWS\system32\drivers\ipsec.sys - uruchamiasz OTL, do okna Custom Scans/Fixes przeklejasz treść skryptu zapisaną w Notatniku na pendrive i klik w Run Fix. Z tego działania powstanie log, który będziesz prezentować. 3. Restart do Windows. 4. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 5. Logi do oceny: OTL zrobiony na warunku dostosowanym (patrz dalej) + GMER + log z wynikami przetwarzania skryptu z punktu 2. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: netsvcs C:\Windows\*. /RP /s C:\Windows|$NtUninstallKB22610$;true;true;false /FP Klik w Skanuj. . Odnośnik do komentarza
Bonifacy Opublikowano 28 Lutego 2012 Zgłoś Udostępnij Opublikowano 28 Lutego 2012 Pewnym utrudnieniem jest brak fizycznego dostępu do DC/DVD (brak w netbooku, brak zewnętrznego napędu) np. instalacja OTLPE na a Flashdrive - http://forums.majorgeeks.com/showthread.php?t=216844 Odnośnik do komentarza
Leel00 Opublikowano 28 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2012 Troche to potrwa, bo musze przerobić OTLPE na wersje uruchamiana z pendrive... np. instalacja OTLPE na a Flashdrive - http://forums.majorg...ad.php?t=216844 Wygrzebałem to jakiś czas temu i tak właśnie robię, ale dziekuje za pomoc Nie wiem co robie nie tak, ale nie jestem w stanie uruchomić OTLPE z flasha Czy jest możliwość zrobienia tego pod np.linuxem? Np z płyty ratunkowej Kasperskiego? Odnośnik do komentarza
picasso Opublikowano 28 Lutego 2012 Zgłoś Udostępnij Opublikowano 28 Lutego 2012 Nie wiem co robie nie tak, ale nie jestem w stanie uruchomić OTLPE z flasha Jaki błąd? Czy w BIOS jest ustawione bootowanie z USB? Zakładając, że to materiał na USB jest wadliwy: Przypominam sobie, że ja też kiedyś miałam problem z tymi instrukcjami, PeToUSB nie zdał rezultatu i notebook nie chciał zbootować USB z tego materiału. Do dziś nie wiem dlaczego. Płytę przerobiłam wtedy na USB za pomocą innego narzędzia i tu cytuję z innego tematu: 1. Pobrany na samym początku OTLPE w postaci EXE rozbij za pomocą 7-zip, tak by pozyskać ze środka plik ISO. Plik ten przemianuj na pebuilder.iso. Zmiana nazwy ma służyć oszukaniu kreatora.2. Pobierz kreator SARDU (interfejs narzędzia wygląda teraz ciut inaczej niż w opisie, nie miałam czasu dostosować). 3. Podstaw SARDU prawidłowo plik ISO. Program powinien wykryć i automatycznie zaznaczyć projekt. I wybierasz jako formę docelową bootowalny USB. 4. W BIOS upewnij się, że USB może bootować i jest pierwszym urządzeniem w kolejce i wio.... . Odnośnik do komentarza
Leel00 Opublikowano 28 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2012 Udało się. OTLPE odpalony i mieli już dłuższy czas. Czoś mi się widzi, ze reszta logów powstanie jutro. Po wygenerowaniu logu z OTLPE zamknę system i resztę dokończe jutro... Odnośnik do komentarza
Leel00 Opublikowano 29 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 29 Lutego 2012 OTLPE odpalony, plik podmieniony, jednak sam OTL zawisa na przetwarzaniu: NetSvcs: CTEDSPIO.DLL [2012-02-06 16:41:52 | 000,000,000 | -HS- | C] () -- C:\WINDOWS\System32\dds_trash_log.cmd i tak 2 godziny... Odnośnik do komentarza
picasso Opublikowano 29 Lutego 2012 Zgłoś Udostępnij Opublikowano 29 Lutego 2012 Rozumiem, że początek skryptu już przetworzony. Przerwij wykonanie. Załaduj w OTL tylko tę końcówkę, której nie przetworzył OTL, czyli: :Files C:\WINDOWS\System32\dds_trash_log.cmd :Commands [emptytemp] . Odnośnik do komentarza
Leel00 Opublikowano 29 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 29 Lutego 2012 OTL wisi zupełnie. Musiałem zrestartowac system. Teraz LIVE sie uruchamia, ale tuz przed pokazaniem pulpitu wysypuje blad stop0x71. Jak to teraz ugryźć? Odnośnik do komentarza
picasso Opublikowano 29 Lutego 2012 Zgłoś Udostępnij Opublikowano 29 Lutego 2012 Wywaliło się na tej mniej istotnej końcówce skryptu, którą można zrepetować potem. Najważniejsza część zdaje się być wykonana. Resetuj do Windows i wykonaj pozostałe nakreślone w scenariuszu akcje. Odnośnik do komentarza
Leel00 Opublikowano 29 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 29 Lutego 2012 polecenie netsh... dało : "nie znaleziono punktu wejscia procedury MigrateWinsockConfiguration w bibliotece MSWINSOCK.dll" "nie mozna zaladowac pomocnika IFMON.dll" "nie znaleziononastepujacego polecenia: winsock reset" Odnośnik do komentarza
picasso Opublikowano 29 Lutego 2012 Zgłoś Udostępnij Opublikowano 29 Lutego 2012 Niedobrze. Ten błąd oznacza, że działa rootkit, komenda się odwołuje nie do tego pliku. Od początku robota, czyli nowe logi z GMER i OTL. OTL zrób na warunku dostosowanym: w sekcji Własne opcje skanowania / skrypt wklej słowo netsvcs i klik w Skanuj. . Odnośnik do komentarza
Leel00 Opublikowano 29 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 29 Lutego 2012 Nowe logi: OTL http://wklej.org/id/698636/ http://wklej.org/id/698638/ Gmer http://wklej.org/id/698639/ Odnośnik do komentarza
picasso Opublikowano 29 Lutego 2012 Zgłoś Udostępnij Opublikowano 29 Lutego 2012 Infekcja się przerzuciła. Aktualnie jest zainfekowany afd.sys. Powtarzamy kroki z poziomu OTLPE, tylko martwi mnie, że OTLPE odmówiło posłuszeństwa przy starcie.... 1. Czysta kopia afd.sys: KLIK. Zamieniasz oczywiście C:\WINDOWS\system32\drivers\afd.sys. 2. Nowy skrypt do OTL: :Files C:\Windows\system32\fsutil.exe reparsepoint delete C:\WINDOWS\$NtUninstallKB22610$ /C C:\WINDOWS\System32\dds_trash_log.cmd :OTL SRV - File not found [Auto] -- -- (MTC0001_ESB) NetSvcs: CTEDSPIO.DLL - File not found NetSvcs: MTC0001_ESB - File not found 3. Powtarzasz kroki 4 do 5 ze starej instrukcji. . Odnośnik do komentarza
Leel00 Opublikowano 29 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 29 Lutego 2012 Niestety OTPL odmowił wspolpracy. Zrobilem obraz jeszcze raz, ale niestety... Odnośnik do komentarza
picasso Opublikowano 29 Lutego 2012 Zgłoś Udostępnij Opublikowano 29 Lutego 2012 Przerabiaj na USB płytę Kaspersky Rescue Disk. ISO + kreator USB wprost od producenta: KLIK. Oczywiście usuwanie już całkiem inne będzie. Czyli w partii, gdzie skrypt OTL miał iść, rozbicie na ręczną edycję rejestru + ręczne usuwanie plików. W pierwszej kolejności zrób jednak USB i sprawdź czy w ogóle zbootuje i czy da się wejść w tryb graficzny interfejsu .... . Odnośnik do komentarza
Leel00 Opublikowano 29 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 29 Lutego 2012 Kasperski chodzi i ma sie dobrze Odnośnik do komentarza
picasso Opublikowano 29 Lutego 2012 Zgłoś Udostępnij Opublikowano 29 Lutego 2012 W Kasperskym trzy akcje: 1. Ręczna podmiana sterownika. W "File manager" przekopiowujesz między dyskami afd.sys tam gdzie powiedziałam, kasujesz plik C:\WINDOWS\System32\dds_trash_log.cmd. 2. Ręczne usunięcie z rejestru odnośników do usług. W "Kaspersky Registry Editor": ---- Kasujesz klucz: Nazwa systemu\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MTC0001_ESB ---- W kluczu: Nazwa systemu\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost Dwuklik na wartość o nazwie Netsvcs i w oknie wymazujesz CTEDSPIO.DLL + MTC0001_ESB. Innych nie ruszaj. 3. Automatyczny skan antywirusowy. Skaner od razu się otwiera automatycznie, ale zrób go na końcu po w/w operacjach. Zapisz log ze skanu na dysku C. Gdy to się uda, restart do Windows i nadal aktualne punkty 4 do 5 ze starej instrukcji, tylko dorzucasz jeszcze log ze skanu Kasperskym. . Odnośnik do komentarza
Leel00 Opublikowano 29 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 29 Lutego 2012 A co z C:\WINDOWS\$NtUninstallKB22610$ ? klucza MTC0001_ESB nie ma w ControlSet001. Jest w ControlSet002 oraz są odwolania w innych miejscach rejestru Zrobiłem nowy log LOG z Kaspersky'ego: http://wklej.org/id/698911/ Na razie nie przechodziłem do dalszych punktów programu, bo zauważyłem, ze kasperski znalazł, zle nie usunął kilku plików: C:/System Volume Information/_restore{6FC3D5B7-8721-4D68-8EEF-95D6B9BCB7C7}/RP1/A0000002.sys C:/WINDOWS/system32/drivers/mrxsmb.sys C:/WINDOWS/system32/drivers/afd.sys Co z tym zrobić? Podmienić? Ręcznie wykasować? Odnośnik do komentarza
picasso Opublikowano 29 Lutego 2012 Zgłoś Udostępnij Opublikowano 29 Lutego 2012 A co zC:\WINDOWS\$NtUninstallKB22610$ ? Skoro nie podaję tu instrukcji to znaczy, że usuwanie jest zostawione na potem. Płyta Kasperskiego nie jest na silniku Windows, nie można tu zastosować fsutil. A to nie jest katalog, to link symboliczny, który musi być w pierwszej kolejności rozlinkowany. Na razie nie przechodziłem do dalszych punktów programu, bo zauważyłem, ze kasperski znalazł, zle nie usunął kilku plików:C:/System Volume Information/_restore{6FC3D5B7-8721-4D68-8EEF-95D6B9BCB7C7}/RP1/A0000002.sys C:/WINDOWS/system32/drivers/mrxsmb.sys C:/WINDOWS/system32/drivers/afd.sys Co z tym zrobić? Podmienić? Ręcznie wykasować? Pierwszy nie ma znaczenia (wynik z Przywracania systemu), dwa pozostałe niech ręka broni usuwać, te pliki muszą być wymienione czystymi kopiami i musi to się stać przed startem do Windows. Poza tym ... jakim sposobem Kaspersky widzi zainfekowany afd.sys, skoro go miałeś właśnie podmienić moją czystą kopią przed wykonaniem skanu? Następnie, widzę że zostało przetworzone to: 2/27/12 10:42 PM Deleted: Virus.Win32.ZAccess.c HKLM\System\ControlSet002\Services\MRxSmb/MRxSmb 2/27/12 10:41 PM Deleted: Virus.Win32.ZAccess.c HKLM\System\ControlSet001\Services\MRxSmb/MRxSmb 2/29/12 2:12 PM Deleted: Virus.Win32.ZAccess.c HKLM\System\ControlSet001\Services\AFD/AFD 2/29/12 2:13 PM Deleted: Virus.Win32.ZAccess.c HKLM\System\ControlSet002\Control\Safeboot\Network/AFD Kaspersky skasował z rejestru prawidłowe usługi sterowników Windows. Trzeba to będzie potem zrekonstruować ręcznie, bo przy takim stanie sieć nie będzie działać... Na razie tym się nie zajmuj. Import do rejestru to bułka z masłem. . Odnośnik do komentarza
Leel00 Opublikowano 29 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 29 Lutego 2012 Przyznam bez bicia, że mrxsmb.sys afd.sys Podmieniłem w kasperskim na poprawne wersje... A oto dalsze logi: OTL http://wklej.org/id/699123/ GMER http://wklej.org/id/699127/ Odnośnik do komentarza
picasso Opublikowano 29 Lutego 2012 Zgłoś Udostępnij Opublikowano 29 Lutego 2012 Wyniki GMER zdają się być obiecujące, nie widzę czynności rootkita. Został tylko link symboliczny, ale to było oczywiste. Ta operacja w "Kaspersky Registry Editor" była coś niedokładna, nadal widać to: SRV - File not found [Auto | Stopped] -- -- (MTC0001_ESB) Idziemy dalej: 1. Import do rejestru korygujący wartość Netsvcs i przywracający skasowane usługi (plus drobne usuwanie z ustawień kont usługowych). Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\ 6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\ 00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\ 53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\ 00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\ 76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\ 49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\ 00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\ 76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\ 00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\ 73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\ 00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\ 00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\ 00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\ 74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\ 00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\ 63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\ 00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\ 4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\ 00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\ 00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\ 00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\ 32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\ 00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\ 00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\ 00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,6e,00,\ 61,00,70,00,61,00,67,00,65,00,6e,00,74,00,00,00,68,00,6b,00,6d,00,73,00,76,\ 00,63,00,00,00,42,00,49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,00,\ 65,00,72,00,76,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,\ 00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,00,\ 73,00,76,00,63,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,\ 00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD] "DisplayName"="AFD" "Description"="Środowisko obsługi sieci AFD" "Group"="TDI" "ImagePath"="\\SystemRoot\\System32\\drivers\\afd.sys" "Start"=dword:00000001 "Type"=dword:00000001 "ErrorControl"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Enum] "0"="Root\\LEGACY_AFD\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxSmb] "Type"=dword:00000002 "Start"=dword:00000001 "ErrorControl"=dword:00000001 "Tag"=dword:00000005 "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,6d,00,72,00,78,00,73,00,6d,00,62,\ 00,2e,00,73,00,79,00,73,00,00,00 "DisplayName"="MRXSMB" "Group"="Network" "Description"="MRXSMB" "LastLoadStatus"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxSmb\Parameters] "CscEnabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxSmb\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxSmb\Enum] "0"="Root\\LEGACY_MRXSMB\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyEnable"=- "ProxyServer"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyEnable"=- "ProxyServer"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Odblokowanie łącza symbolicznego. Uruchom GrantPerms, w oknie wklej: C:\WINDOWS\$NtUninstallKB22610$ Klik w Unlock. 3. Dalsze sprzątanie. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Services MTC0001_ESB :Files fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB22610$ /C C:\WINDOWS\$NtUninstallKB22610$ C:\WINDOWS\.directory C:\WINDOWS\System32\.directory C:\Documents and Settings\All Users\Dane aplikacji\BN4VIG4.dat C:\Documents and Settings\Piotr\Dane aplikacji\6CD0E C:\Documents and Settings\Piotr\Dane aplikacji\Mozilla\Firefox\Profiles\uslpzx97.default\searchplugins\askcom.xml C:\WINDOWS\System32\drivers\etc\hosts.bak C:\WINDOWS\System32\i8042prt.sys :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..network.proxy.http: "127.0.0.1" FF - prefs.js..network.proxy.http_port: 49273 FF - prefs.js..network.proxy.type: 0 O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O3 - HKU\S-1-5-21-132674786-3975374793-3637586266-1006\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany. 4. Wykonaj nowe logi z OTL + GMER + AdwCleaner z opcji Search. Przedstaw i log z wynikami usuwania z punktu 3. . Odnośnik do komentarza
Leel00 Opublikowano 29 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 29 Lutego 2012 OTL http://wklej.org/id/699204/ OTL po restarcie http://wklej.org/id/699205/ GMER http://wklej.org/id/699203/ ADWCleaner http://wklej.org/id/699202/ Odnośnik do komentarza
picasso Opublikowano 29 Lutego 2012 Zgłoś Udostępnij Opublikowano 29 Lutego 2012 Prawie wszystko usunięte, z wyjątkiem wpisów proxy oraz delikwenta: ========== FILES ==========C:\WINDOWS\$NtUninstallKB22610$\2428553362\U folder moved successfully.C:\WINDOWS\$NtUninstallKB22610$\2428553362\L folder moved successfully.C:\WINDOWS\$NtUninstallKB22610$\2428553362 folder moved successfully.Folder move failed. C:\WINDOWS\$NtUninstallKB22610$ scheduled to be moved on reboot. 1. Powtórz operację w GrantPerms: C:\WINDOWS\$NtUninstallKB22610$ 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\$NtUninstallKB22610$ :OTL IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:51414 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:51414 :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] Klik w Wykonaj skrypt. Tym razem pojedzie bez restartu. Wystarczy do oceny tylko log z wynikami usuwania. I jasno się wypowiedz czy działa sieć i nie widać jakiś mocniejszych szkód. . Odnośnik do komentarza
Leel00 Opublikowano 1 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 1 Marca 2012 (edytowane) Witam serdecznie. Skrypt wykonany, jednak restart był OTL po skrypcie: http://wklej.org/id/699301/ pełny OTL: http://wklej.org/id/699305/ Teraz szczegóły: Po restarcie - ładuje się normalnie pulpit, programy w tray, ale na dostep do dyskow (Moj komputer) trzeba poczekac jeszcze jakies 2 minuty. Potem jest OK Widzi sieci WiFi, loguje sie do AP, jednak brak WWW Edytowane 1 Marca 2012 przez Leel00 Odnośnik do komentarza
Rekomendowane odpowiedzi