higdal Opublikowano 3 Marca 2012 Zgłoś Udostępnij Opublikowano 3 Marca 2012 Witam, Niedawno się tu zarejestrowałam, ponieważ mój komputer stacjonarny został zainfekowany wirusem Internet Security 24.02.2012 - totalnie zablokował wszystko, łącznie z dostępem do internetu. Z drugiego komputera udało mi się połaczyc z internetem i wejśc na forum pclab, na którym filutka 78 doradziła jak sobie radzic z tym problemem: 1)tryb awaryjny; po raportach OTL script wg instrukcji eksperta, potem Ad-Remover i clean, i wyglądało, że jest OK, ale coś zostało w logu; więc następne kroki> 2)skanowanie TDSSkiller 2.7.14.0 - w opcjach services and drivers oraz boot sectors nic nie znalazł, przy dodatkowych opcjach znalazł 3 podejrzane obiekty: AMON, PQNTDrv z unsigned file, z TDSS File System Physical drive:\Device\Harddisk1\DR1 - skopiowałam kwarantanny. Przy tym rozszerzonym skanowaniu odezwał się stary ESED NOD 32-wykrył najpierw WIN32/Olmarik.AD2trojan, następnie odmianaWIN32/Olmarik.AG2trojan; 2)następnie AntiZeroAccess - nie wykrył Rootkita, ale dał przed tą informacją inny komunikat: Warning! One or more errors occured! 3)odinstalowałam C:\Program Files\BabylonToolbar, znów OTL i script. Znalazłam w C:\_OTL\MovedFiles\02252012_233330\C_Documents and Settings\All Users\Dane aplikacji tego drania isecurity:wersja pliku 0.0.0.0, data utworzenia 2012-02-23 21:57, rozmiar 824kB. Włączyłam CClean żeby go usunąc z dysku. Nadal coś zostało, ponieważ po skanowaniu OTL.scr pozostaje komunikat: O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found filutka78 skierowała mnie na to forum. Zanim napisałam ten post trochę poczytałam o warunkach. Tak więc przygotowałam raporty z OTL i GMER - po usunięciu napędów emulującyh za pomocą STPDinst-v180-x86.exe. Wklejam poniżej i proszę o radę i pomoc. Zaznaczam, że jestem laikiem komputerowym, więc proszę o proste komunikaty. Aha, jeszcze przeskanowałam 2-krotnie Malwarebytes Anti-Malware-raz coś znalazł i ma to w kwarantannie, potem już nic - 2 ostanie logi. Internetu jeszcze nie podłączałam do starego komputera. Zainstalowałam avast Free antivirus i Online Armor-wersja darmowa. Ze starego eseta wypadł jakiś AMON-coś chyba skasowałam niechcący, więc nie wiem czy mogę na niego liczyc, ale i tak ma chyba nieaktualną bazę. http://wklej.org/id/700840/ http://wklej.org/id/700842/ http://wklej.org/id/700848/ http://wklej.org/id/700853/ Dzięki za cierpliwośc. Czekam na odpowiedź. higdal Odnośnik do komentarza
picasso Opublikowano 3 Marca 2012 Zgłoś Udostępnij Opublikowano 3 Marca 2012 higdal zasady działu: KLIK. Tu nie wolno się dopisywać do cudzych tematów. Post wydzielony. Poza tym, obowiązkowo podaje się link gdzie przetwarzano temat. A tak to musiałam sama to wyszukać. Tak więc przygotowałam raporty z OTL i GMER - po usunięciu napędów emulującyh za pomocą STPDinst-v180-x86.exe. Ale brak tu GMER ... 1)tryb awaryjny; po raportach OTL script wg instrukcji eksperta, potem Ad-Remover i clean, i wyglądało, że jest OK, ale coś zostało w logu; więc następne kroki> Wtręty sponsoringowe zostały tu niedokładnie wyczyszczone: na liście zainstalowanych figuruje "MyAshampoo Toolbar" (odinstaluj), w OTL widać nadal katalogi Babylon. AD-Remover to narzędzie nieaktualizowane, teraz jest nowsze wydanie AdwCleaner. Poproszę o wykonanie raportu z tego narzędzia z opcji Search. 2)skanowanie TDSSkiller 2.7.14.0 - w opcjach services and drivers oraz boot sectors nic nie znalazł, przy dodatkowych opcjach znalazł 3 podejrzane obiekty: AMON, PQNTDrv z unsigned file, z TDSS File System Physical drive:\Device\Harddisk1\DR1 - skopiowałam kwarantanny. Przy tym rozszerzonym skanowaniu odezwał się stary ESED NOD 32-wykrył najpierw WIN32/Olmarik.AD2trojan, następnie odmianaWIN32/Olmarik.AG2trojan; Z tego zestawu tylko "TDSS File System" wygląda na zagrożenie i to resztkę niedoleczoną kiedyś tam. Poproszę o log z TDSSKiller z tamtego uruchomienia, wyszukaj go na dysku C:\. Znalazłam w C:\_OTL\MovedFiles\02252012_233330\C_Documents and Settings\All Users\Dane aplikacji tego drania isecurity:wersja pliku 0.0.0.0, data utworzenia 2012-02-23 21:57, rozmiar 824kB. Włączyłam CClean żeby go usunąc z dysku. Ale ... to kwarantanna OTL = bez znaczenia, bo to już jest usunięte ... Inna sprawa to czyszczenie kwarantanny OTL, ale to zadaję na samym końcu, gdy już będzie pewne, że narzędzie OTl nie będzie używane. Nadal coś zostało, ponieważ po skanowaniu OTL.scr pozostaje komunikat:O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found Po pierwsze: błędna sugestia jakoby ZeroAccess był czynny, tak wygląda Winsock już po zdjęciu aktywności rootkita. Po drugie: jest tu prawdopodobne, że komenda się nie wykonuje, bo OTL sugeruje modyfikowany XP, nienaturalnie zrobiony (wpisy O4 nlsf), a na takim mogły zostać wycięte komponenty umożliwiający reset metodą wbudowaną w system. Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Co się pokazuje przy jej wykonaniu? . Odnośnik do komentarza
higdal Opublikowano 4 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Marca 2012 Witam ponownie, Przepraszam za zamieszanie. Dziękuję za szybką odpowiedź. Już nadrabiam braki - poniżej log z GMER: http://wklej.org/id/701309/ Tu log z TDSSkiller: 1) starsza wersja 2.6.22.0, http://wklej.org/id/701312/ 2) z wersji 2.7.14.0 http://wklej.org/id/701314/ Tu log z AdwCleaner: http://wklej.org/id/701327/ Jak odinstalowac MyAshampoo Toolbar? Nie reaguje na usuń w oknie dodawanie lub usuwanie programów. W C:\Program Files\MyAshampoo znalazłam aplikację UNWISE otwiera się po kliknięciu, ale nie wiem czy ona służy do odinstalowania MyAshampoo Toolbar czy innego programu? Jest też aplikacja Conduit Engine Uninstall, ale się nie otwiera. Czy po ewentualnym odinstalowaniu MyAshTool program Ashampoo Burning Studio 2010 Advanced będzie działac? Jak usunąc ten Babylon, te resztki, żeby czegoś nie uszkodzic? Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Co się pokazuje przy jej wykonaniu?" Przy wykonaniu tej komendy pojawia się komunikat: "Pomyślnie zresetowano Winsock Catalog. Musisz ponownie uruchomic komputer, aby ukończyc resetowanie." To na razie wszystko. Dobranoc i dziękuję za pomoc. higdal Odnośnik do komentarza
picasso Opublikowano 4 Marca 2012 Zgłoś Udostępnij Opublikowano 4 Marca 2012 Log z GMER był ważny. Tu jest niedoczyszczony obiekt po rootkicie ZeroAccess, czyli zablokowane łącze symboliczne: File C:\WINNT\$NtUninstallKB27689$\1810791276 0 bytesFile C:\WINNT\$NtUninstallKB27689$\2856044050 0 bytesFile C:\WINNT\$NtUninstallKB27689$\2856044050\@ 2048 bytesFile C:\WINNT\$NtUninstallKB27689$\2856044050\cfg.ini 26 bytesFile C:\WINNT\$NtUninstallKB27689$\2856044050\Desktop.ini 4608 bytesFile C:\WINNT\$NtUninstallKB27689$\2856044050\L 0 bytesFile C:\WINNT\$NtUninstallKB27689$\2856044050\L\odryaqad 455680 bytesFile C:\WINNT\$NtUninstallKB27689$\2856044050\U 0 bytes Rootkita czynnego jednak tu nie ma. Jak mówiłam: Winsock tak nie wygląda, gdy działa rootkit, za to wygląd pasuje do stanu po zdjęciu rootkita, ale nie zresetowaniu katalogu Winsock. I log z GMER potwierdza ten fakt, czynności rootkit tu nie ma (co należy odróżnić od odpadków i szkód po rootkicie). Nie wiem kiedy i jak odbywało się czyszczenie tej infekcji, ale najwyraźniej usuwanie było robione niekompletnie. Przy wykonaniu tej komendy pojawia się komunikat: "Pomyślnie zresetowano Winsock Catalog. Musisz ponownie uruchomic komputer, aby ukończyc resetowanie." Zwrot prawidłowy. Czy zastosowałaś się do wskazówki i zresetowałaś system? Tu log z TDSSkiller 17:44:30.0953 3672 Detected object count: 317:44:30.0953 3672 Actual detected object count: 317:44:52.0062 3672 C:\WINNT\system32\drivers\amon.sys - copied to quarantine17:44:52.0156 3672 AMON ( UnsignedFile.Multi.Generic ) - User select action: Quarantine 17:44:52.0250 3672 C:\WINNT\system32\drivers\PQNTDrv.sys - copied to quarantine17:44:52.0281 3672 PQNTDrv ( UnsignedFile.Multi.Generic ) - User select action: Quarantine 17:44:52.0281 3672 \Device\Harddisk1\DR1\TDLFS\cfg.ini - copied to quarantine17:44:52.0296 3672 \Device\Harddisk1\DR1\TDLFS\mbr - copied to quarantine17:44:52.0296 3672 \Device\Harddisk1\DR1\TDLFS\bckfg.tmp - copied to quarantine17:44:52.0343 3672 \Device\Harddisk1\DR1\TDLFS\cmd.dll - copied to quarantine17:44:52.0359 3672 \Device\Harddisk1\DR1\TDLFS\ldr16 - copied to quarantine17:44:52.0359 3672 \Device\Harddisk1\DR1\TDLFS\ldr32 - copied to quarantine17:44:52.0375 3672 \Device\Harddisk1\DR1\TDLFS\ldr64 - copied to quarantine17:44:52.0375 3672 \Device\Harddisk1\DR1\TDLFS\drv64 - copied to quarantine17:44:52.0375 3672 \Device\Harddisk1\DR1\TDLFS\cmd64.dll - copied to quarantine17:44:52.0390 3672 \Device\Harddisk1\DR1\TDLFS\drv32 - copied to quarantine17:44:52.0500 3672 \Device\Harddisk1\DR1 ( TDSS File System ) - User select action: Quarantine Jak mówiłam, tylko wynik z "TDSS File System" jawi mi się jako faktyczna pozostałość po rootkicie TDL. Zaś te wyniki z niesygnowanymi sterownikami nic jeszcze nie oznaczają, to dopiero należało zanalizować a nie usuwać, tym bardziej że amon.sys to sterownik NOD. I teraz jest dla mnie niejasne co się naprawdę stało. O ile nadal widzę w pierwszym tu podanym logu z OTL wpis od PowerQuest: DRV - [2001-08-10 07:00:00 | 000,003,252 | ---- | M] () [Kernel | System | Running] -- C:\WINNT\System32\drivers\PQNTDRV.SYS -- (PQNTDrv) ... to nie ma widocznego sterownika AMON od ESET. OTL chyba nie powinien tego ukrywać na statusie filtrowania ... Hmmm, czy NOD jest na pewno sprawny? Jak odinstalowac MyAshampoo Toolbar? Nie reaguje na usuń w oknie dodawanie lub usuwanie programów. W C:\Program Files\MyAshampoo znalazłam aplikację UNWISE otwiera się po kliknięciu, ale nie wiem czy ona służy do odinstalowania MyAshampoo Toolbar czy innego programu? Jest też aplikacja Conduit Engine Uninstall, ale się nie otwiera. Czy po ewentualnym odinstalowaniu MyAshTool program Ashampoo Burning Studio 2010 Advanced będzie działac? Katalog C:\Program Files\MyAshampoo należy do sponsorowanego paska narzędziowego, program właściwy powinien być w innym katalogu, a usunięcie paska nie powinno mieć związku z funkcjonalnością właściwą programu. A to "Conduit Engine Uninstall" gdzie widzisz, na dysku w owym katalu MyAshampoo? Ja w OTL Extras nie widzę takiego zapisku na liście zainstalowanych. Nie wykrywa tego również AdwCleaner (ma parametry szukania Conduit). Tylko, że mam wątpliwości, czy uruchomienie unwise.exe da temu radę ... To mi wygląda na jakieś mocno zdewastowane odpadki i się nie zdziwię, jeżeli deinstalator nic nie zrobi. Jak usunąc ten Babylon, te resztki, żeby czegoś nie uszkodzic? Tym się zajmie AdwCleaner i zaraz powiem co i jak. Podsumowując akcje do wykonania: 1. Spróbuj operacji z unwise. Jeśli się nie uda, i tak skrypt OTL w punkcie 4 załatwi katalog + wpis na liście zainstalowanych. 2. Uruchom AdwCleaner z opcji Delete. 3. Uruchom GrantPerms i w oknie wklej: C:\WINNT\$NtUninstallKB27689$ Klik w Unlock. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files fsutil reparsepoint delete C:\WINNT\$NtUninstallKB27689$ /C C:\WINNT\$NtUninstallKB27689$ C:\Program files\MyAshampoo :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyAshampoo Toolbar] Klik w Wykonaj skrypt. 5. Przedstawiasz: log z wynikami przetwarzania skryptu z punktu 4 + wykonany na końcu po wszystkim nowy log z OTL z opcji Skanuj + log z Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. . Odnośnik do komentarza
higdal Opublikowano 4 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Marca 2012 "Zwrot prawidłowy. Czy zastosowałaś się do wskazówki i zresetowałaś system?" Tak, zresetowałam. Poniżej wklejam log z AdwCleaner po czynności Delete - jak w p.2: http://wklej.org/id/701822/ P. 3 wykonany. Tu log z wynikami przetwarzania skryptu z p4: http://wklej.org/id/701837/ Tu logi z OTL wykonane na końcu po wszystkim: http://wklej.org/id/701840/ http://wklej.org/id/701843/ Log z FSS: http://wklej.org/id/701844/ Mam pytanie co usunąc po tym czyszczeniu z systemu: STPD, GMER, ADwCleaner, OTL, FSS, jakieś pozostałości po TDSSkiller? Co do Eseta to pisałam w pierwszym poście, że usunęłam mu TDSSKillerem AMON i go okaleczyłam niechcący - "jak dziecko we mgle" . Chyba muszę ten stary Eset odinstalowac. Zainstalowałam avast Free Antivirus, mam Malwarebytes Anti-Malware, ściągnęłam też OnlineArmor - wersję bezpłatną( wyczytałam w jednej z Twoich odpowiedzi w innym temacie, że współdziała z avastem po wyłączeniu pewnych funkcji). No i jeszcze nie podłączałam starego komputera do internetu. Chyba już będę mogła spróbowac? Odnośnik do komentarza
picasso Opublikowano 5 Marca 2012 Zgłoś Udostępnij Opublikowano 5 Marca 2012 Winsock prawidłowo został zresetowany i nie ma już tych wpisów O10 z "not found" widocznych w logu. AdwCleaner wykonał robotę. Zaś skrypt do OTL prawie, padł bowiem na tym: "Folder move failed. C:\WINNT\$NtUninstallKB27689$ scheduled to be moved on reboot.". Tu są zablokowane nadal uprawnienia, dlatego jest błąd. Zaś skaner Farbar notuje skasowaną z systemu usługę Centrum zabezpieczeń: Security Center:============wscsvc Service is not running. Checking service configuration:Checking Start type: Attention! Unable to open wscsvc registry key. The service key does not exist.Checking ImagePath: Attention! Unable to open wscsvc registry key. The service key does not exist.Checking ServiceDll: Attention! Unable to open wscsvc registry key. The service key does not exist.Checking LEGACY_wscsvc: Attention! Unable to open LEGACY_wscsvc\0000 registry key. The key does not exist. Do wykonania następujące kroki: 1. Powtórz operację z GrantPerms wklejając to co poprzednio. Po akcji sprawdź czy możesz ręcznie przez SHIFT+DEL skasować z dysku katalog C:\WINNT\$NtUninstallKB27689$. Jeżeli próba usuwania zwróci błąd w rodzaju "Odmowa dostępu", należy powtórzyć akcję z GrantPerms. Do skutku. 2. Odtworzenie skasowanej usługi Centrum (przy okazji jeszcze usunięcie mikro odpadka po MyAshampoo Toolbar). Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC] "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000] "Service"="wscsvc" "Legacy"=dword:00000001 "ConfigFlags"=dword:00000020 "Class"="LegacyDriver" "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" "DeviceDesc"="Centrum zabezpieczeń" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000\Control] "ActiveService"="wscsvc" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG na dysku C:\ Uruchom regedit na uprawnieniu konta SYSTEM za pomocą Process Hacker: KLIK. Z menu Plik zaimportuj plik C:\FIX.REG. 3. Proponuję odinstalować to dziwadło Przyspiesz Komputer. Ponadto, skoryguj sprawę z oprogramowaniem zabezpieczającym: Chyba muszę ten stary Eset odinstalowac. Zainstalowałam avast Free Antivirus, mam Malwarebytes Anti-Malware, ściągnęłam też OnlineArmor - wersję bezpłatną Dobra decyzja i tak miałam proponować na finale likwidację tego sfatygowanego ESET podejrzanego o zdefektowane komponenty. Ale w tym momencie jest z kolei niezdrowa sytuacja, w systemie działają równolegle Avast + ESET, co stwarza zagrożenie konfliktów i dysfunkcji systemu operacyjnego. Tak być nie może. ESET już wywalaj + popraw z poziomu Trybu awaryjnego narzędziem ESET Uninstaller, zanim przejdziesz do tego: No i jeszcze nie podłączałam starego komputera do internetu. Chyba już będę mogła spróbowac? Tak, możesz. Tu się zajmujemy teraz cyzelowaniem. Mam pytanie co usunąc po tym czyszczeniu z systemu: STPD, GMER, ADwCleaner, OTL, FSS, jakieś pozostałości po TDSSkiller? Sprzątanie zawsze zadaję na samym końcu. Otrzymasz w odpowiednim czasie instrukcje. . Odnośnik do komentarza
higdal Opublikowano 5 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Marca 2012 Witam, Punkt 1 wykonałam. $NtUninstallKB27689$ znajduje się aktualnie w C:\_OTL\MovedFiles\03042012_173606\C_WINNT, rozmiar na dysku 356KB, zawiera 4 pliki, 3 foldery. Czy to jest równoznaczne z usunięciem? Z punktem drugim mam problem . Po uruchomieniu Process Hacker 2.27 wg instrukcji ze strony "nieusuwalne klucze rejestru" wpisałam C:\FIX.REG (zamiast tego co na tej stronie, czyli C:\Windows\regedit.exe), w okno User name NT AUTHORITY\SYSTEM, w okno TYPE: Service, dałam OK i pokazał się komunikat: Unable to start the program: %1 nie jest prawidłową aplikacją systemu Win32. A w informacji "w dymku": The service ProcessHackerQKMZMDAWSUBVVQR (ProcessHackerQKMZMDAWSUBVVQR) has been deleted. Punkt3 - wykonany. ESET odinstalowany w trybie zwykłym i Uninstallerem w trybie awaryjnym. Dziś już nie zdążę sprawdzic co z internetem. Czekam na dalsze instrukcje. Dziękuję za dotychczasową pomoc. Dobranoc Odnośnik do komentarza
picasso Opublikowano 6 Marca 2012 Zgłoś Udostępnij Opublikowano 6 Marca 2012 Punkt 1 wykonałam. $NtUninstallKB27689$ znajduje się aktualnie w C:\_OTL\MovedFiles\03042012_173606\C_WINNT, rozmiar na dysku 356KB, zawiera 4 pliki, 3 foldery. Czy to jest równoznaczne z usunięciem? Nie sądzę. Ty namolnie się interesujesz kwarantanną OTL (C:\_OTL). Kwarantanna nie ma znaczenia, to nie jest właściwa lokalizacja obiektu. Ostatnie zadane instrukcje mówiły o ręcznym skasowaniu katalogu w ścieżce C:\WINNT (a nie C:\_OTL):. Po akcji sprawdź czy możesz ręcznie przez SHIFT+DEL skasować z dysku katalog C:\WINNT\$NtUninstallKB27689$. Jeżeli próba usuwania zwróci błąd w rodzaju "Odmowa dostępu", należy powtórzyć akcję z GrantPerms. Do skutku. Podejrzewam, że katalogu nie widzisz (ma atrybuty ukryte) i stąd to nieporozumienie. Upewnij się, że masz wszystkie opcje widoczności czynne w Mój komputer > Narzędzia > Opcje folderów > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Powtórz zadanie ręczne. Z punktem drugim mam problem . Po uruchomieniu Process Hacker 2.27 wg instrukcji ze strony "nieusuwalne klucze rejestru" wpisałam C:\FIX.REG (zamiast tego co na tej stronie, czyli C:\Windows\regedit.exe), w okno User name NT AUTHORITY\SYSTEM, w okno TYPE: Service, dałam OK i pokazał się komunikat: Unable to start the program: %1 nie jest prawidłową aplikacją systemu Win32. A w informacji "w dymku": The service ProcessHackerQKMZMDAWSUBVVQR (ProcessHackerQKMZMDAWSUBVVQR) has been deleted. Zmiana metody. 1. Pobierz inne narzędzie z artykułu, czyli psexec. Plik skopiuj do katalogu C:\WINNT. Następnie Start > Uruchom > cmd i wpisz komendę: psexec -s -d REG IMPORT C:\FIX.REG 2. Zresetuj system i zrób nowy log z Farbar Service Scanner dla potwierdzenia wykonania zadania. . Odnośnik do komentarza
higdal Opublikowano 6 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Marca 2012 Dobry wieczór, Chyba w końcu udało mi się usunąc ten katalog po dokładnym wykonaniu Twoich instrukcji. Dotychczas nie "grzebałam" w ukrytych plikach systemowych z obawy, żeby czegoś nie uszkodzic. Stąd moja niewiedza. Ale teraz chyba się w końcu udało. Ad. Zmiana metody - poniżej log z FSS: http://wklej.org/id/703742/ Mam nadzieję, że wszystko poszło dobrze. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 Ad. Zmiana metody - poniżej log z FSS Niestety ale log nie wykazuje żadnej zmiany: Security Center:============wscsvc Service is not running. Checking service configuration:Checking Start type: Attention! Unable to open wscsvc registry key. The service key does not exist.Checking ImagePath: Attention! Unable to open wscsvc registry key. The service key does not exist.Checking ServiceDll: Attention! Unable to open wscsvc registry key. The service key does not exist.Checking LEGACY_wscsvc: Attention! Unable to open LEGACY_wscsvc\0000 registry key. The key does not exist. Czy na pewno nie było żadnego błędu przy wykonywaniu komendy? Pokaż mi zrzut ekranu z wpisywanej komendy i jej efektów, co w oknie linii komend widać. . Odnośnik do komentarza
higdal Opublikowano 7 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Marca 2012 Witam, Powtórzyłam jeszcze raz Start > Uruchom > cmd i wpisz komendę: psexec -s -d REG IMPORT C:\FIX.REG Dokładnie, ze spacjami. Pojawiał się komunikat w osobnym oknie o zgodzie na licencję itp. itd. Początkowo nie kliknęłam na "agree" i może stąd nie zadziałało. Teraz z "agree", potem reset i FSS. Poniżej log: http://wklej.org/id/704463/ Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 Też sądzę, że "Agree" było kluczem. I teraz jest OK, zadanie wykonane i usługa Centrum zabezpieczeń nie jest już wykrywana jako poszkodowana. Możemy przejść do czynności końcowych: 1. Porządki po narzędziach: odinstaluj Ad-Remover i Process Hacker, w AdwCleaner uruchom Uninstall (skasuje narzędzie i jego logi), w OTL uruchom Sprzątanie (skasuje z dysku OTL i jego kwarantannę), resztę pousuwaj sobie ręcznie (GrantPerms | Farbar | psexec i katalog C:\TDSSKiller_Quarantine oraz logi). 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj następujące aplikacje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"KLiteCodecPack_is1" = K-Lite Codec Pack 4.1.4 (Full) Szczegóły aktualizacyjne: KLIK. . Odnośnik do komentarza
higdal Opublikowano 10 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2012 Witam, Nareszcie wszystko "posprzątałam", wyczyściłam (p.2) i zaktualizowałam. Mam jeszcze pytanie jak usunąć resztki po Spybocie z laptopa: SDWinSec - aplikacja i advcheck.dll-rozszerzenie aplikacji. Wciąż się pokazuje okienko z komunikatem, że gdzieś one są w użyciu, a nie udaje mi się ani ich zamnknąc, ani znaleźc. Jak pisałam wcześniej zainstalowałam avast Free Antivirus, mam też zainstalowany Malwarebytes Anti-Malware, ściągnęłam OnlineArmor - wersję bezpłatną; wyczytałam w jednej z Twoich odpowiedzi w innym temacie, że współdziała z avastem po wyłączeniu pewnych funkcji, tylko nie wiem jak je znaleźć i wyłączyć, żeby sobie te programy nie wchodziły w drogę. Czy ten OnlineArmor wystarczy za Firewalla? Czy powinnam jeszcze mieć program TFC do przeczyszczenia plików tymczasowych? Pytam, bo jak avast zrobił skan poinstalacyjny to wykrył jakieś trojany w plikach tymczasowych - dałam do kwarantanny. Anti-Malware nic nie znalazł podczas ostatniego skanowania. Na razie dziękuję za dotychczasową pomoc. Pozdrawiam higdal Odnośnik do komentarza
picasso Opublikowano 12 Marca 2012 Zgłoś Udostępnij Opublikowano 12 Marca 2012 Jak pisałam wcześniej zainstalowałam avast Free Antivirus, mam też zainstalowany Malwarebytes Anti-Malware, ściągnęłam OnlineArmor - wersję bezpłatną; wyczytałam w jednej z Twoich odpowiedzi w innym temacie, że współdziała z avastem po wyłączeniu pewnych funkcji, tylko nie wiem jak je znaleźć i wyłączyć, żeby sobie te programy nie wchodziły w drogę. Akcja na poziomie Avast, jedno z dwóch do wyboru: albo w opcjach Avast deaktywujesz osłonę sieciową oraz monitor zachowań, albo uruchamiasz deinstalator Avast i wybierasz modyfikację komponentów w celu odinstalowania tych dwóch składników. Mam jeszcze pytanie jak usunąć resztki po Spybocie z laptopa: SDWinSec - aplikacja i advcheck.dll-rozszerzenie aplikacji. Wciąż się pokazuje okienko z komunikatem, że gdzieś one są w użyciu, a nie udaje mi się ani ich zamnknąc, ani znaleźc. W logu z OTL nie widziałam nic czynnego od Spybota, żadnego elementu startowego, tylko te katalogi na dysku: [2012-04-29 00:01:46 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy[2012-04-29 00:01:46 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy Przejdź w Tryb awaryjny Windows i ręcznie to wykończ. Czy powinnam jeszcze mieć program TFC do przeczyszczenia plików tymczasowych? Pytam, bo jak avast zrobił skan poinstalacyjny to wykrył jakieś trojany w plikach tymczasowych - dałam do kwarantanny. Program możesz zachować i używać od czasu do czasu do sprzątania tych sfer. . Odnośnik do komentarza
higdal Opublikowano 13 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2012 Witam, Zmodyfikowałam komponenty avast zgodnie z instrukcją. Czy OnlineArmor jest czymś w rodzaju Firewalla? Mam problem z usunięciem pozostałości po Spybocie z laptopa - infekcję IS miałam na starym stacjonarnym komputerze. Pozostał folder zawierający plik SDWinSec - komunikat przy próbie usunięcia: plik w użyciu.Nie można ukończyć akcji, ponieważ plik jest otwarty w programie SBSD Security Center Service, advcheck.dll -rozszerzenie aplikacji - komunikat jak wyżej, ale plik otwarty w programie System settings protector. Zrobiłam przywracanie systemu przed datą instalacji Spybota, ale nic to nie dało. Nie wiem jak to wyczyścić z trybu awaryjnego w Windows 7 Home Premium. Wracając do stacjonarnego komputera, to już chyba koniec z "cyzelowaniem"? Odnośnik do komentarza
picasso Opublikowano 14 Marca 2012 Zgłoś Udostępnij Opublikowano 14 Marca 2012 Wracając do stacjonarnego komputera, to już chyba koniec z "cyzelowaniem"? Koniec. Czy OnlineArmor jest czymś w rodzaju Firewalla? Tak, to jest firewall. Mam problem z usunięciem pozostałości po Spybocie z laptopa - infekcję IS miałam na starym stacjonarnym komputerze. Skoro to inny system, to należy pokazać logi OTL z niego. Nie było tu wyraźnie mowy o tym, że sprawa tyczy innego komputera. . Odnośnik do komentarza
higdal Opublikowano 14 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Marca 2012 Witam, Poniżej logi z OTL: http://wklej.org/id/709580/ http://wklej.org/id/709584/ Odnośnik do komentarza
picasso Opublikowano 15 Marca 2012 Zgłoś Udostępnij Opublikowano 15 Marca 2012 1. Po pierwsze: jest tu niekorzystna sytuacja w oprogramowaniu zabezpieczających, połączone równolegle aplikacje Avast + Norton Internet Security. Jeden z nich musi opuścić gniazdo dla dobra kondycji systemu. 2. Po drugie: katalog Spybota nie chce puścić, bo działają procesy Spybota. ========== Processes (SafeList) ========== PRC - [2009/01/26 15:31:16 | 002,144,088 | RHS- | M] (Safer Networking Limited) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exePRC - [2009/01/26 15:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) -- C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe SRV - [2009/01/26 15:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) [Auto | Running] -- C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe -- (SBSDWSCService)O4 - HKU\S-1-5-21-3953819830-622224066-1830746929-1000..\Run: [spybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited) Poza tym, Spybot jest na liście jako zainstalowany: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy Program jest tylko minimalnie wyszczerbiony w obszarze integracji z przeglądarką Internet Explorer: O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll File not foundO9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll File not found Wejdź do Panelu sterowania do modułu deinstalacji programów i odinstaluj tę aplikację. Zresetuj system. Następnie wygeneruj nowy log z OTL z opcji Skanuj, który przedstawi ile elementów zostało zdegradowanych tym procesem. . Odnośnik do komentarza
higdal Opublikowano 15 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2012 Ad.1 Nortona odinstalowałam. Ad.2 Poniżej logi po odinstalowaniu Spybota wg zaleceń: http://wklej.org/id/710437/ http://wklej.org/id/710438/ Odnośnik do komentarza
picasso Opublikowano 16 Marca 2012 Zgłoś Udostępnij Opublikowano 16 Marca 2012 Rzeczywiście, Spybot udaje, wszystkie wymienione składniki nadal widoczne, mimo rzekomej "deinstalacji". Brutalna metoda usuwania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :OTL SRV - [2009/01/26 15:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) [Auto | Running] -- C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe -- (SBSDWSCService) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll File not found O3 - HKU\S-1-5-21-3953819830-622224066-1830746929-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKU\S-1-5-21-3953819830-622224066-1830746929-1000..\Run: [spybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited) O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll File not found [2012/02/25 13:20:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy [2012/02/25 13:20:42 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy [2012/02/25 13:20:42 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Przedstaw tylko log z wynikami usuwania z punktu 1. . Odnośnik do komentarza
higdal Opublikowano 16 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Marca 2012 Tu jest log z wynikami usuwania: http://wklej.org/id/711029/ A to okno otworzyło się po restarcie komputera, po wykonaniu skryptu: desktop.ini-Notatnik [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769 IconResource=%SystemRoot%\system32\imageres.dll,-183 Odnośnik do komentarza
picasso Opublikowano 17 Marca 2012 Zgłoś Udostępnij Opublikowano 17 Marca 2012 1. Skrypt wygląda na wykonany, tzn. składniki Spybota wyleciały zgodnie z planem. Możesz zastosować Sprzątanie. 2. Ten efekt otwierania Notatnika z zawartością pliku desktop.ini się pojawia, gdy plik jakimś cudem utraci atrybuty HS (ukryty systemowy). Start > w polu szukania wpisz cmd > z prawokliku "Uruchom jako Administrator" i do okna wklej komendę: ATTRIB +H +S "C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini" Zresetuj system i potwierdź, że nie otwiera się już to okna Notatnika. . Odnośnik do komentarza
higdal Opublikowano 17 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Marca 2012 Witam, Wszystko zrobione. Po uruchomieniu sprzątania w OTL i zresetowaniu okno Notatnika z desktop.ini się nie pojawiło, ale i tak wykonałam jeszcze punkt 2. Ciekawa jestem, dlaczego był problem z usunięciem składników Spybota, czy go źle odinstalowywałam, a może tak jest zawsze? Po infekcji IS zainstalowałam Spyboota, ponieważ dawniej miałam go w starym komputerze, jeszcze zanim "siadł" w nim procesor; wydawał się dośc użyteczny. Potem na forum przeczytałam, że świetnośc ma za sobą i postanowiłam go więc odinstalowac i powstał problem... W każdym razie serdecznie dziękuję za udzieloną pomoc, rady i naukę. " Leczenie" przebiegło pomyślnie, nawet bezboleśnie, "pacjent" ma się dobrze. Jeszcze raz dziękuję. Na pewno będę tu wracac, aby pogłębiac swoją wiedzę nt. komputera i internetu. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 19 Marca 2012 Zgłoś Udostępnij Opublikowano 19 Marca 2012 Ciekawa jestem, dlaczego był problem z usunięciem składników Spybota, czy go źle odinstalowywałam, a może tak jest zawsze? Nie wiem dlaczego deinstalator robił usuwanie pozorowane, ale prędzej tutaj kluje się wina Spybota. Temat rozwiązany, zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi