Svchost.exe - wykorzystanie CPU na poziomie 75% | ZeroAccess (?)

[Queboocha]

Poniższy problem przedstawiłem na forum searchengines - poradzono mi, bym zwrócił się o pomoc tutaj, gdyż prawdopodobnie przyczyną jest rootkit ZeroAccess. Fajnie znów spotkać (wirtualnie) osoby, które kiedyś pomagały mi uporać się z infekcjami, we wcześniejszych latach funkcjonowania tamtego forum.

 

Od pewnego czasu obserwuję wysokie zużycie procesora przez svchost.exe *32 (w lokalizacji C:\Windows\SysWOW64). Najczęściej ten proces uruchamia się w kilka-kilkanaście minut po odpaleniu systemu i stale zużywa ~75% CPU. Nie udało mi się namierzyć usługi, na rzecz której mógłby być wykorzystywany (żadna z uruchomionych usług nie wskazuje na ten konkretny proces w Menedżerze zadań). Natomiast jedna z usług wskazuje na inny proces o tej samej nazwie - w Menedżerze widnieją dwa procesy svchost.exe z końcówką *32, oba w tej samej lokalizacji na dysku.

 

Próbowałem dowiedzieć się czegoś więcej z pomocą Process Explorera - tu zaniepokoił mnie opis linii polecenia, zawarty wśród informacji nt. wspomnianego procesu, tzn. to great-0portunity.com (widoczny na załączonym screenie). Ponadto dołączam screen, na którym widoczna jest lista wątków "pożerających" wykorzystanie procesora. Dodam, że mogę je wstrzymać, w ten sposób eliminując jedyny objaw wirusa; oczywiście jest to jedynie doraźny sposób odciążenia procesora.

 

Przy okazji przeskanowałem system online scannerem F-Secure: jedno wykrycie, Gen:Variant.Barys, którego usunąłem (na ile skutecznie, i czy to w ogóle nie był false positive - nie wiem). Około tydzień temu również skanowałem F-Securem system (wtedy także występował problem z svchostem), ale żadnej infekcji nie znalazł.

 

 

...wobec ostrzeżenia wirusologa na forum searchengines, że próba poradzenia sobie z tym wirusem potrafi mieć destrukcyjny skutek dla funkcjonowania systemu, trochę obawiam się podjęcia z nim walki teraz, w perspektywie trwającej sesji...

OTL.Txt

Extras.Txt

[picasso]

Istotnie, są tu syndromy ZeroAccess w postaci naruszonego Winsock i załadowanego modułu infekcji:

 

========== Modules (No Company Name) ==========
 
MOD - [2009/07/14 03:15:51 | 000,232,448 | ---- | M] () -- \\.\globalroot\systemroot\syswow64\mswsock.dll
 
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000011 - mmswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found

 

I to nie jest wariant consrv.dll, jak Ci sugerowano, ponieważ OTL o tym wyraźnie mówi w identyfikatorze O38 (czysty odczyt domyślny):

 

O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)

 

Brak również autodetekcji symlinka C:\Windows\system64. To jest albo najnowszy wariant z zainfekowanym services.exe albo wariant operujący przez klasy CLSID.

 

 

---

Podaj skan dodatkowy. Uruchom SystemLook x64, w oknie wklej poniższy tekst, kliknij w Look:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe
*.@

 

 

PS. HiJackThis kompletnie nie nadaje się do diagnostyki na systemie 64-bit. Brak zgodności, widzi tylko fragment 32-bitowy i zwraca idiotyczne rezultaty.

 

 

.

[Queboocha]

Podaję. Co do HiJackThis - wiem, ale przekonałem się o tym po wykonaniu pierwszego skanu

SystemLook.txt

[picasso]

Jak doedytowałam wyżej (gdyż w międzyczasie znalazłam ten temat na SE), to nie jest wariant który Ci sugerowano, tylko wariant CLSID. ZeroAccess utworzył fałszywą klasę, zmodyfikował klasę systemową WBEM oraz wygenerował foldery {GUID} na dysku. Przechodzimy do usuwania:

 

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\wbemess.dll /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v eauntm /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder: 

C:\Windows\Installer\{0470921c-4089-477e-d9fc-9c133856bdfd}
C:\Users\Miłosz\AppData\Local\{0470921c-4089-477e-d9fc-9c133856bdfd}
 
Execute: 
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Reset Winsock: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera.

 

4. Wklej wprost do posta zawartość raportu BlitzBlank. Zrób nowy OTL z opcji Skanuj (już bez Extras) + log z SystemLook na warunki:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
 
:folderfind
{0470921c-4089-477e-d9fc-9c133856bdfd}

 

 

 

.

[Queboocha]

Zrobione, zamieszczam logi. Dodam, że podejrzanej kopii procesu svchost.exe *32 nie ma już wśród aktywnych procesów (tzn. jest już tylko jeden proces o tej nazwie).

 

BlitzBlank

 

 

BlitzBlank 1.0.0.32

 

File/Registry Modification Engine native application

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{0470921c-4089-477e-d9fc-9c133856bdfd}", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{0470921c-4089-477e-d9fc-9c133856bdfd}\@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{0470921c-4089-477e-d9fc-9c133856bdfd}\L", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{0470921c-4089-477e-d9fc-9c133856bdfd}\L\00000004.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{0470921c-4089-477e-d9fc-9c133856bdfd}\L\00000008.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{0470921c-4089-477e-d9fc-9c133856bdfd}\n", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{0470921c-4089-477e-d9fc-9c133856bdfd}\U", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{0470921c-4089-477e-d9fc-9c133856bdfd}\U\00000004.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{0470921c-4089-477e-d9fc-9c133856bdfd}\U\00000008.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{0470921c-4089-477e-d9fc-9c133856bdfd}\U\000000cb.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{0470921c-4089-477e-d9fc-9c133856bdfd}\U\80000000.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{0470921c-4089-477e-d9fc-9c133856bdfd}\U\80000032.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{0470921c-4089-477e-d9fc-9c133856bdfd}\U\80000064.@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\miłosz\appdata\local\{0470921c-4089-477e-d9fc-9c133856bdfd}", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\users\miłosz\appdata\local\{0470921c-4089-477e-d9fc-9c133856bdfd}\@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\miłosz\appdata\local\{0470921c-4089-477e-d9fc-9c133856bdfd}\L", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\users\miłosz\appdata\local\{0470921c-4089-477e-d9fc-9c133856bdfd}\n", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\miłosz\appdata\local\{0470921c-4089-477e-d9fc-9c133856bdfd}\U", destinationDirectory = "(null)", replaceWithDummy = 0

LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat"

OpenDriver: ZwLoadDriver(\Registry\Machine\System\CurrentControlSet\Services\blzblk) failed: status = c0000428

LaunchOnReboot: OpenDriver failed: status = c0000428

 

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 03:36 on 08/06/2012 by Miłosz

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Users\Miłosz\AppData\Local\{0470921c-4089-477e-d9fc-9c133856bdfd}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="\\.\globalroot\systemroot\Installer\{0470921c-4089-477e-d9fc-9c133856bdfd}\n."

"ThreadingModel"="Both"

 

 

========== folderfind ==========

 

Searching for "{0470921c-4089-477e-d9fc-9c133856bdfd}"

No folders found.

 

-= EOF =-

OTL.Txt

[picasso]

W ogóle nie wykonał się FIX.BAT w obszarze wpisów ZeroAccess. Z prawokliku na ten plik wybierz Uruchom jako Administrator. Następnie zresetuj system i podaj nowe szukanie w SystemLook.

[Queboocha]

Ok.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 04:01 on 08/06/2012 by Miłosz

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="C:\WINDOWS\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

========== folderfind ==========

 

Searching for "{0470921c-4089-477e-d9fc-9c133856bdfd}"

No folders found.

 

-= EOF =-

[picasso]

Zrobione, ZeroAccess wyeliminowany z rejestru. Kolejna partia zadań to naprawa szkód zrobionych przez trojana. Twój Dziennik zdarzeń pokazuje, że z rejestru całkowicie skasował układ Zapory systemu Windows (dwie usługi składowe BFE + MpsSvc):

 

Error - 6/7/2012 5:54:00 AM | Computer Name = Samsung_RF511 | Source = Service Control Manager | ID = 7023
Description = Usługa Publikacja zasobów odnajdowania funkcji zakończyła działanie;
 wystąpił następujący błąd:   %%-2147024891
 
Error - 6/7/2012 5:54:02 AM | Computer Name = Samsung_RF511 | Source = Service Control Manager | ID = 7023
Description = Usługa Przeglądarka komputera zakończyła działanie; wystąpił następujący
 błąd:   %%1060
 
Error - 6/7/2012 5:54:02 AM | Computer Name = Samsung_RF511 | Source = Service Control Manager | ID = 7003
Description = Usługa Agent zasad IPsec zależy od następującej usługi: BFE. Ta usługa
 może nie być zainstalowana.
 
Error - 6/7/2012 6:54:05 AM | Computer Name = Samsung_RF511 | Source = Service Control Manager | ID = 7003
Description = Usługa Moduły obsługi kluczy IPsec IKE i AuthIP zależy od następującej
 usługi: BFE. Ta usługa może nie być zainstalowana.

 

I zapewne nie tylko to, trojan bierze też w obroty Centrum zabezpieczeń i Windows Defender.

 

1. Odbuduj skasowane usługi:

• Rekonstrukcja usług Zapory systemu Windows: KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  

2. Zresetuj system i wygeneruj log z Farbar Service Scanner.

 

 

.

 

 

 

[Queboocha]

Niesamowite, bardzo Ci dziękuję za pomoc

 

Później - chciałem powiedzieć jutro - zajmę się naprawą szkód. Wrzucę też oczywiście odpowiedni log.

 

[EDIT:] Wykonałem procedurę naprawczą zgodnie z instrukcjami. Podaję wynik skanowania Farbarem.

FSS.txt

[picasso]

Usługi wróciły na miejsce ale Zapora nie uruchomiła się:

 

Windows Firewall:
=============
MpsSvc Service is not running. Checking service configuration:
The start type of MpsSvc service is OK.
The ImagePath of MpsSvc service is OK.
The ServiceDll of MpsSvc service is OK.

 

Prawdopodobna przyczyna to obecność Norton Internet Security, zapory producentów trzecich deaktywują wbudowaną systemową. Na wszelki wypadek sprawdź w Panelu sterowania jaki komunikat na temat Zapory widnieje + wejdź do services.msc, spróbuj uruchomić usługę Zapora systemu Windows i podaj jaki błąd zwrotny się pojawia.

 

 

---

Finalizacja czyszczenia:

 

1. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj skan w Malwarebytes Anti-Malware. Przedstaw wyniki, o ile coś zostanie znalezione.

 

 

 

.

[Queboocha]

W Panelu sterowania: Zapora systemu Windows nie używa zalecanych ustawień w celu ochrony komputera.

 

Komunikat przy próbie uruchomienia Zapory w services.msc:

 

System Windows nie może uruchomić usługi Zapora systemu Windows na komputerze Komputer lokalny. Aby uzyskać więcej informacji, przejrzyj dziennik zdarzeń systemowych. Jeśli jest to usługa firmy innej niż Microsoft, skontaktuj się z dostawcą usługi i odwołaj się do specyficznego dla usługi kodu błędu 5.

 

Norton to właściwie nieaktualna, nieusuwana do tej pory wersja trialowa dołączona do laptopa.

 

Malwarebytes niczego nie wykrył.

[picasso]

Ten błąd ("Odmowa dostępu") to jednak chyba nie od NIS.

 

1. Odinstaluj NIS z systemu. Z poziomu Trybu awaryjnego popraw przez Norton Removal Tool.

 

2. Załaduj uprawnienia również na klucz SharedAccess: KLIK.

 

3. Zresetuj system. Uruchom cmd jako Administrator i wklep komendę:

 

netsh advfirewall reset

 

 

 

.

[Queboocha]

Problem z Firewallem nie do końca rozwiązany...

 

Przed uruchomieniem Norton Removal Tool w trybie awaryjnym, odinstalowałem z pozycji Panelu sterowania Norton Internet Security. Z tego pakietu nie ruszałem natomiast Norton Online Backup, i - jak rozumiem - Norton Removal Tool go naruszył (brak możliwości wyboru konkretnych komponentów do usunięcia). Stąd, przy każdym starcie systemu otrzymuję komunikat o nieoczekiwanym zakończeniu działania tego narzędzia. Czy w tej sytuacji spróbować usunąć Online Backup (to chyba i tak była wersja testowa) - po czym raz jeszcze uruchomić Removal Tool w trybie awaryjnym?

 

Odtworzenie uprawnień SharedAccess nie poprawiło sytuacji z Zaporą. Skrypt SetACL wykonał się, ale polecenie netsh advfirewall reset zwraca komunikat:

 

Wystąpił błąd podczas próby kontaktowania się z usługą zapory systemu Windows. Upewnij się, że usługa jest uruchomiona, i ponów żądanie.

 

Próba uruchomienia Zapory z services.msc - bez zmian.

[picasso]

Przed uruchomieniem Norton Removal Tool w trybie awaryjnym, odinstalowałem z pozycji Panelu sterowania Norton Internet Security. Z tego pakietu nie ruszałem natomiast Norton Online Backup, i - jak rozumiem - Norton Removal Tool go naruszył (brak możliwości wyboru konkretnych komponentów do usunięcia). Stąd, przy każdym starcie systemu otrzymuję komunikat o nieoczekiwanym zakończeniu działania tego narzędzia. Czy w tej sytuacji spróbować usunąć Online Backup (to chyba i tak była wersja testowa) - po czym raz jeszcze uruchomić Removal Tool w trybie awaryjnym?

 

Odinstaluj co widać w Panelu sterowania a związane z Nortonem.

 

 

Odtworzenie uprawnień SharedAccess nie poprawiło sytuacji z Zaporą. Skrypt SetACL wykonał się, ale polecenie netsh advfirewall reset zwraca komunikat:

 

Wystąpił błąd podczas próby kontaktowania się z usługą zapory systemu Windows. Upewnij się, że usługa jest uruchomiona, i ponów żądanie.

 

Próba uruchomienia Zapory z services.msc - bez zmian.

 

Czy wcześniej poprawnie nałożyły się przez SetACL uprawnienia usług BFE + MpsSvc? Czy teraz skrypt SetACL resetujący SharedAccess na pewno się wykonał w całości? Czy na pewno zresetowałeś system po nałożeniu uprawnień? Mimo wszystko proponuję powtórzyć jeszcze raz nakladanie uprawnień na wszystkie try usługi (BFE + MpsSvc + SharedAccess).

 

 

 

.

[Queboocha]

Faktycznie, wykonanie skryptu dla BFE i MpsSvc przebiegło zdaje się bezproblemowo, natomiast rekonstrukcja uprawnień SharedAccess - już nie tak pomyślnie...

 

Poza czterema liniami:

 

<machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy>

<machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters>

<machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch>

<machine\SYSTEM\CurrentControlSet\Services\SharedAccess>

 

każda pozostała skutkowała błędem: "Nie można odnaleźć określonego pliku". Czy w przypadku SharedAccess poza uprawnieniami nie powinna być wykonana rekonstrukcja samych kluczy, tak jak w przypadku BFE i MpsSvc?

[picasso]

Wnioski: klucz SharedAccess jest poszkodowany, import się wykonuje na nieistniejących obiektach.

 

1. Importuj plik SharedAccess.txt (zawartość fabryczna wyciągnięta z obrazu Windows 7), który dodałam do tutoriala rekonstrukcji Zapory.

 

2. Nałóż uprawnienia SharedAccess przez SetACL.

 

3. Zresetuj system.

 

 

 

.

[Queboocha]

Zapora wstała. To by było chyba na tyle - jeśli tak, jeszcze raz serdeczne dzięki za pomoc.

[picasso]

Na zakończenie:

 

1. Prewencyjna wymiana haseł logowania w serwisach.

 

2. Aktualizacje oprogramowania: KLIK. Brakuje SP1 oraz widać następujące wersje:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java™ 6 Update 30
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish

 

3. W związku z eliminacją triala NIS zainstaluj antywirusa, może skromny darmowy Microsoft Security Essentials?

 

 

 

.