sugar Opublikowano 23 Czerwca 2012 Zgłoś Udostępnij Opublikowano 23 Czerwca 2012 Witam, Jakiś czas temu z moim komputerem zaczęły się dziać dziwne rzeczy, mianowicie po włączeniu zostawała jedynie goła tapeta i kursor, brak paska startu i jakichkolwiek ikon. Przed inwazją odinstalowałem Eset Smart Security i chciałem zainstalować nową wersję, ale za każdym razem następowało cofanie instalacji. Prawidłowe działanie Explorera uzyskałem po użyciu HitmanPro, wydawało mi się, że problem został zażegnany. Po jakimś czasie ponownie zabrałem sie za instalowanie Eseta, jednak problem nadal występował. Szukając rozwiązania znalazłem w końcu radę o użyciu deinstalatora Eseta, jednak ten zwracał mi takie oto błędy: ERROR! NODv2 unregister from Windows Security Center failed! 0x80004005 Unistallation NODv2 failed. ERROR! ESS/EAC (WMI) unregister from Windows Security Center failed! 0x80004005 Unistallation ESS/EAV/EMSX failed. Rozwiązanie tego problemu znalazłem tutaj: http://www.fixitpc.p...-centrum-akcji/ Zgodnie z poradami odpaliłem wbemtest.exe, w przestrzeni nazw wpisałem root/SecurityCenter2 (windows 7, 64bit), jednak próba połączenia zwróciła mi następujący błąd: Numer: 0x8007007e Funkcja: Win32 Opis: Nie można odnaleźć określonego modułu. Udałem się wtedy do ustwień zapory, gdzie czekała mnie kolejna niespodzianka a mianowicie błąd: ''Błąd 0x80070424''. Ściągnąłem stąd pliki: http://www.fixitpc.p...ystemu-windows/ i scaliłem je z rejestrem. Po tej czynności błąd ''0x80070424" już nie występuje, zastąpił go "0x8007042c". Na ten numer znalazłem rozwiązanie na http://support.micro...0126/en-us?fr=1, jednak żadna z podanych tutaj metod nie przyniosła oczekiwanego efektu. Za to druga metoda odkryła kolejną niepokojącą kwestię - za jej pośrednictwem nie mogłem uruchomić ani zapory, ani aparatu filtrowania. Gdy chciałem sprawdzić Zależności obu pozycji, system zwracał mi błąd: Win32: nie można odnaleźć określonego modułu. Także metody rozwiązania na włąsną ręke zakończone fiaskiem, oraz informacje na tym forum dotyczące indywidualności każdej infekcji zmusiły mnie do założenia tego tematu i prośbę o pomoc specjalistów. OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 23 Czerwca 2012 Zgłoś Udostępnij Opublikowano 23 Czerwca 2012 Logi wskazują, że ZeroAccess jest tutaj nadal aktywny wobec tego jakiekolwiek naprawy np. zapory nie mają sensu przy aktywnej infekcji. Najpierw trzeba ją usunąć a potem brać się za naprawianie innych szkód. Wykonaj log dodatkowy - uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport. Odnośnik do komentarza
sugar Opublikowano 23 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Czerwca 2012 Log z SystemLook SystemLook 30.07.11 by jpshortstuff Log created at 15:09 on 23/06/2012 by Maciek Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Maciek\AppData\Local\{dfdb2c78-fd13-f35b-7e47-7bca4d7ed0d7}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="\\.\globalroot\systemroot\Installer\{dfdb2c78-fd13-f35b-7e47-7bca4d7ed0d7}\n." "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 23 Czerwca 2012 Zgłoś Udostępnij Opublikowano 23 Czerwca 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\Installer\{dfdb2c78-fd13-f35b-7e47-7bca4d7ed0d7} C:\Users\Maciek\AppData\Local\{dfdb2c78-fd13-f35b-7e47-7bca4d7ed0d7} reg delete hkcu\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f /C :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] ""="C:\WINDOWS\system32\wbem\wbemess.dll" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj. 3. Pokazujesz log z usuwania w punkcie 2, nowy log z OTL ze skanowania (bez ekstras), nowy z SystemLook (na tym samym warunku co poprzednio) oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
sugar Opublikowano 23 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Czerwca 2012 Kolejny zestaw logów. SystemLook 30.07.11 by jpshortstuff Log created at 15:49 on 23/06/2012 by Maciek Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Maciek\AppData\Local\{dfdb2c78-fd13-f35b-7e47-7bca4d7ed0d7}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="\\.\globalroot\systemroot\Installer\{dfdb2c78-fd13-f35b-7e47-7bca4d7ed0d7}\n." "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- 06232012_153715.txt OTL.Txt FSS.txt Odnośnik do komentarza
Landuss Opublikowano 23 Czerwca 2012 Zgłoś Udostępnij Opublikowano 23 Czerwca 2012 OTL nie do końca sobie poradził tzn. usunął foldery infekcji ale tylko upozorował naprawę rejestru. Trzeba to poprawić inną metodą. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i przeklej kolejno te polecenia zatwierdzając Enterem: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%systemroot^%\system32\wbem\wbemess.dll /f Patrz czy nie ma błędów w wykonaniu. 2. Naprawy wymagają tutaj dwie usługi systemowe (omiń polecenie sfc): Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 3. Pokazujesz nowy log z SystemLook i z FSS. Odnośnik do komentarza
sugar Opublikowano 23 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Czerwca 2012 Usuwanie przez konsole zakończyło się sukcesem, wykonałem także kroki rekonstrukcji, przesyłam wymagane logi. SystemLook 30.07.11 by jpshortstuff Log created at 16:38 on 23/06/2012 by Maciek Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- FSS.txt Odnośnik do komentarza
Landuss Opublikowano 23 Czerwca 2012 Zgłoś Udostępnij Opublikowano 23 Czerwca 2012 Teraz wszystko poprawnie wykonane. Pozostaje więc pytanie czy problem nadal występuje? Jeśli nie, przejdziemy do finalizacji. Odnośnik do komentarza
sugar Opublikowano 23 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Czerwca 2012 Zapora nadal zwraca błąd: Zapora systemu Windows nie może zmienić niektórych ustawień.Kod błędu: 0x8007042c Przy próbie jej ręcznego uruchomienia otrzymałem komunikat: System Windows nie może uruchomić usługi Zapora systemu Windows na komputerze Komputer lokalny. Błąd 1068: Uruchomienie usługi zależności lub grupy nie powiodło się. Zaś przy próbie uruchomienia Podstawowego aparatu filtrowania: System Windows nie może uruchomić usługi Podstawowy aparat filtrowania na komputerze Komputer lokalny. Błąd 5: Odmowa dostępu. Jest jednak progres, mianowicie działa zakładka Zależności. Odnośnik do komentarza
Landuss Opublikowano 23 Czerwca 2012 Zgłoś Udostępnij Opublikowano 23 Czerwca 2012 Proponuję teraz wykonać ponownie naprawę usług według tematu z forum. Wcześniej próbowałeś to robić przy aktywnej infekcji. Odnośnik do komentarza
sugar Opublikowano 23 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Czerwca 2012 Czy chodzi o temat "Rekonstrukcja Zapory systemu Windows" ? Wolę spytać dla pewności.. Odnośnik do komentarza
Landuss Opublikowano 23 Czerwca 2012 Zgłoś Udostępnij Opublikowano 23 Czerwca 2012 Dokładnie tak o ten temat chodzi. Odnośnik do komentarza
sugar Opublikowano 23 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Czerwca 2012 Działa!! Stokrotne dzięki za pomoc Odnośnik do komentarza
Landuss Opublikowano 23 Czerwca 2012 Zgłoś Udostępnij Opublikowano 23 Czerwca 2012 To jeszcze zrób kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zmień hasła logowania do serwisów w sieci. Temat jako rozwiązany zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi