Wirus weelsof - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html) +--- Wątek: Wirus weelsof (/thread-6928.html) Strony:
1
2
|
Wirus weelsof - wojtas_73 - 22.05.2013 Objawy zainfekowania: Napisz czym objawia się infekcja Wykonywane działania: Opisz czym był skanowany komputer, jakie posiada oprogramowanie ochronne Logi: Tutaj umieść linki do logów z OTL i RSIT Witam. Załapałem jak w temacie, ale wyczyściłem combofixem i wydawało się że jest wszystko ok, ale okazało się że programy pocztowe nie otwierają i nie zapisują załączników dostaję komunikat: wykonanie polecenia nie powiodło się zaznaczam że mam odznaczoną opcję nie " nie zezwalaj za zapisywanie załączników ...", oprócz tego nie mogę pobrać żadnego pliku z netu, wyskakuje komunikat "pik ....... zawierał wirusy i został usunięty" Nie mogę więc zastosować się do regulaminu " Wykonaj skrypty za pomocą programu OTL oraz RSIT:" Bo nawet w trybie awaryjnym jest komunikat że plik zawiera wirusa Przeskanowałem go Tym: Malwarebytes Anti-Malware 1.75.0.1300 [Aby zobaczyć linki, zarejestruj się tutaj] Wersja bazy: v2013.05.21.03 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 wojtek :: WOJTEK-PC [administrator] 2013-05-21 13:03:36 MBAM-log-2013-05-21 (15-15-12).txt Typ skanowania: Pełne skanowanie (C:\|D:\|) Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM Odznaczone opcje skanowania: P2P Przeskanowano obiektów: 640396 Upłynęło: 2 godzin(y), 10 minut(y), 41 sekund(y) Wykrytych procesów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych modułów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych kluczy rejestru: 0 (Nie znaleziono zagrożeń) Wykrytych wartości rejestru: 0 (Nie znaleziono zagrożeń) Wykryte wpisy rejestru systemowego: 0 (Nie znaleziono zagrożeń) wykrytych folderów: 0 (Nie znaleziono zagrożeń) Wykrytych plików: 7 C:\Qoobox\Quarantine\C\Users\wojtek\AppData\Roaming\skype.dat.vir (Trojan.Winlock) -> Nie wykonano akcji. C:\Windows.old.000\Users\wojtek\AppData\Local\Temp\ICReinstall\VideoConverterSetup.exe (Adware.Agent) -> Nie wykonano akcji. D:\użytkowe\wirelesskeyview.zip (PUP.WirelessKeyView) -> Nie wykonano akcji. D:\użytkowe\Ahead.Nero.v7.5.7.0.Multilingual.Incl.Keymaker-EMBRACE\keygen.exe (RiskWare.Tool.HCK) -> Nie wykonano akcji. D:\użytkowe\PROGRAM DO DEFRAGMENTACJI DYSKÓW\oodpe801\keygen.exe (Riskware.Tool.CK) -> Nie wykonano akcji. D:\użytkowe\wirelesskeyview\WirelessKeyView.exe (PUP.WirelessKeyView) -> Nie wykonano akcji. D:\użytkowe\wirelesskeyview\wirelesskeyview\WirelessKeyView.exe (PUP.WirelessKeyView) -> Nie wykonano akcji. (zakończone) korzystam z Avasta, prosze o pomoc Re: Wirus weelsof - anton - 22.05.2013 Na początek looknij w regulamin Combofix to nie zabawka! Re: Wirus weelsof - wojtas_73 - 22.05.2013 Wiem, ale robiłem to przed wejściem na tą stronę, a na innym forum przeczytałem że trzeba to potraktować combofixem Re: Wirus weelsof - tachion - 22.05.2013 Wyłącz na chwile obecną osłony w programie avast i zrób skan programemotlpodając utworzony log. Opcje jakie powinny być zaznaczone w programie: [Aby zobaczyć linki, zarejestruj się tutaj] Utworzone logi takie jak OTL.txti Extraswklejasz na stronę wklej.orgi podajesz tutaj. Re: Wirus weelsof - wojtas_73 - 22.05.2013 [Aby zobaczyć linki, zarejestruj się tutaj] Re: Wirus weelsof - tachion - 22.05.2013 Odinstaluj: Adobe Acrobat 5.0 W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj: Kod: :OTL Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] i uruchom AdwCleanerz opcji Delete .Zainstaluj [Aby zobaczyć linki, zarejestruj się tutaj] do najnowszej wersji,lub ją odinstaluj jeśli nie używasz.Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTLoraz raport z Adwcleaner . Usuń folder Qooboxz partycji c: Re: Wirus weelsof - wojtas_73 - 22.05.2013 [Aby zobaczyć linki, zarejestruj się tutaj] Dodano: 22 maja 2013, 22:03 [Aby zobaczyć linki, zarejestruj się tutaj] Dodano: 22 maja 2013, 22:10 nie mam folderu Qoobox Re: Wirus weelsof - tachion - 22.05.2013 Czyli musiał zostać usunięty wraz z combofixem,to dobrze. Czy nadal występują problemy jakieś ? Re: Wirus weelsof - wojtas_73 - 22.05.2013 dalej to samo: programy pocztowe nie otwierają i nie zapisują załączników dostaję komunikat: wykonanie polecenia nie powiodło się, zaznaczam że mam odznaczoną opcję nie " nie zezwalaj za zapisywanie załączników ...", oprócz tego nie mogę pobrać żadnego pliku z netu, wyskakuje komunikat "pik ....... zawierał wirusy i został usunięty" Dodano: 22 maja 2013, 22:26 myślę ze może to coś z zaporą windows, może to ona wszystko odcina, a jak próbuję wejść w jej ustawienia jest komunikat " z powodu niezidentyfikowanego problemu system windows nie może wyświetlić ustawień zapory" Re: Wirus weelsof - tachion - 22.05.2013 Hmm rozumiem że to komunikat z avasta? Czy z innej przeglądarki też nie idzie pobrać nic i czy przy wyłączonym zabezpieczeniu też nie idzie pobrać. Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj] i wklej w nimKod: :filefind kliknij look,pokaż raport Następnie ściągnij ten program [Aby zobaczyć linki, zarejestruj się tutaj] zaznacz wszystko i pokaż raport.Jeszcze dodatkowo w systemlook wklej: Kod: :reg pokaż raport Re: Wirus weelsof - wojtas_73 - 23.05.2013 Z żadnej przeglądarki nie można pobrać, nawert przy wyłączonym antywirze, a komunikat wygląda na systemowy, czerwona tarzcza z białym krzyżem, zaraz zajmę się tymi programami Dodano: 23 maja 2013, 12:22 SystemLook 30.07.11 by jpshortstuff Log created at 12:17 on 23/05/2013 by wojtek Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\erdnt\cache\services.exe --a---- 279552 bytes [14:48 16/05/2013] [06:27 11/04/2009]D4E6D91C1349B7BFB3599A6ADA56851B C:\Windows\System32\services.exe --a---- 279552 bytes [17:57 21/10/2012] [06:27 11/04/2009]D4E6D91C1349B7BFB3599A6ADA56851B C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008]2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [17:57 21/10/2012] [06:27 11/04/2009]D4E6D91C1349B7BFB3599A6ADA56851B C:\Windows.old.000\Windows\System32\services.exe --a---- 279552 bytes [08:27 19/12/2010] [06:27 11/04/2009]D4E6D91C1349B7BFB3599A6ADA56851B C:\Windows.old.000\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008]2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows.old.000\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [08:27 19/12/2010] [06:27 11/04/2009]D4E6D91C1349B7BFB3599A6ADA56851B -= EOF =- Dodano: 23 maja 2013, 12:23 Farbar Service Scanner Version: 14-04-2013 Ran by wojtek (administrator) on 23-05-2013 at 12:21:39 Running from "D:\użytkowe\antywirus" Windows Vista Home Premium Service Pack 2 (X86) Boot Mode: Normal **************************************************************** Internet Services: ============ Connection Status: ============== Localhost is accessible. LAN connected. Google IP is accessible. Google.com is accessible. Attempt to access Yahoo IP returned error. Yahoo IP is offline Yahoo.com is accessible. Windows Firewall: ============= mpsdrv Service is not running. Checking service configuration: The start type of mpsdrv service is OK. The ImagePath of mpsdrv service is OK. MpsSvc Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist. Checking LEGACY_MpsSvc: ATTENTION!=====> Unable to open LEGACY_MpsSvc\0000 registry key. The key does not exist. bfe Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist. Checking LEGACY_bfe: ATTENTION!=====> Unable to open LEGACY_bfe\0000 registry key. The key does not exist. Firewall Disabled Policy: ================== System Restore: ============ System Restore Disabled Policy: ======================== Security Center: ============ wscsvc Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist. Checking LEGACY_wscsvc: ATTENTION!=====> Unable to open LEGACY_wscsvc\0000 registry key. The key does not exist. Windows Update: ============ Windows Autoupdate Disabled Policy: ============================ Windows Defender: ============== WinDefend Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Other Services: ============== Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist. Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist. Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to open SharedAccess registry key. The service key does not exist. Checking Start type of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist. Checking ImagePath of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist. Checking ServiceDll of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist. File Check: ======== C:\Windows\system32\nsisvc.dll => MD5 is legit C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit C:\Windows\system32\dhcpcsvc.dll => MD5 is legit C:\Windows\system32\Drivers\afd.sys => MD5 is legit C:\Windows\system32\Drivers\tdx.sys => MD5 is legit C:\Windows\system32\Drivers\tcpip.sys [2013-02-13 07:48]- [2013-01-04 13:28]- 0905576 ____A (Microsoft Corporation) 74E2D020C47BB2B2FCCBA29A518A7EB4 C:\Windows\system32\dnsrslvr.dll => MD5 is legit C:\Windows\system32\mpssvc.dll => MD5 is legit C:\Windows\system32\bfe.dll => MD5 is legit C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit C:\Windows\system32\SDRSVC.dll => MD5 is legit C:\Windows\system32\vssvc.exe => MD5 is legit C:\Windows\system32\wscsvc.dll => MD5 is legit C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit C:\Windows\system32\wuaueng.dll => MD5 is legit C:\Windows\system32\qmgr.dll => MD5 is legit C:\Windows\system32\es.dll => MD5 is legit C:\Windows\system32\cryptsvc.dll => MD5 is legit C:\Program Files\Windows Defender\MpSvc.dll [2008-01-21 04:23]- [2008-01-21 04:23]- 0272952 ____A () D41D8CD98F00B204E9800998ECF8427E ATTENTION!=====> C:\Program Files\Windows Defender\MpSvc.dll IS INFECTED AND SHOULD BE REPLACED. C:\Windows\system32\ipnathlp.dll => MD5 is legit C:\Windows\system32\iphlpsvc.dll => MD5 is legit C:\Windows\system32\svchost.exe => MD5 is legit C:\Windows\system32\rpcss.dll => MD5 is legit **** End of log **** Dodano: 23 maja 2013, 12:26 SystemLook 30.07.11 by jpshortstuff Log created at 12:23 on 23/05/2013 by wojtek Administrator - Elevation successful ========== filefind ========== Searching for "services.exe:reg" No files found. Searching for "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters /s" No files found. Searching for "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters /s" No files found. Searching for "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters /s" No files found. -= EOF =- Re: Wirus weelsof - tachion - 23.05.2013 Hmm uszkodzone usługi BFE, MpsSvc, SharedAccess . Wyłącz zabezpieczenia,ściągnij ten program [Aby zobaczyć linki, zarejestruj się tutaj] uruchom,krótka interakcja z dialogami informacyjnym i na koniec uruchom komputer ponownie.Następnie uruchom program Farbar Service Scanner(FSS) zaznacz wszystko kliknij skan pokaż raport. Re: Wirus weelsof - wojtas_73 - 23.05.2013 Farbar Service Scanner Version: 14-04-2013 Ran by wojtek (administrator) on 23-05-2013 at 20:31:55 Running from "D:\użytkowe\antywirus" Windows Vista Home Premium Service Pack 2 (X86) Boot Mode: Normal **************************************************************** Internet Services: ============ Connection Status: ============== Localhost is accessible. LAN connected. Google IP is accessible. Google.com is accessible. Attempt to access Yahoo IP returned error. Yahoo IP is offline Yahoo.com is accessible. Windows Firewall: ============= mpsdrv Service is not running. Checking service configuration: The start type of mpsdrv service is OK. The ImagePath of mpsdrv service is OK. MpsSvc Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist. Checking LEGACY_MpsSvc: ATTENTION!=====> Unable to open LEGACY_MpsSvc\0000 registry key. The key does not exist. bfe Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist. Checking LEGACY_bfe: ATTENTION!=====> Unable to open LEGACY_bfe\0000 registry key. The key does not exist. Firewall Disabled Policy: ================== System Restore: ============ System Restore Disabled Policy: ======================== Security Center: ============ wscsvc Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist. Checking LEGACY_wscsvc: ATTENTION!=====> Unable to open LEGACY_wscsvc\0000 registry key. The key does not exist. Windows Update: ============ Windows Autoupdate Disabled Policy: ============================ Windows Defender: ============== WinDefend Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Other Services: ============== Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist. Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist. Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to open SharedAccess registry key. The service key does not exist. Checking Start type of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist. Checking ImagePath of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist. Checking ServiceDll of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist. File Check: ======== C:\Windows\system32\nsisvc.dll => MD5 is legit C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit C:\Windows\system32\dhcpcsvc.dll => MD5 is legit C:\Windows\system32\Drivers\afd.sys => MD5 is legit C:\Windows\system32\Drivers\tdx.sys => MD5 is legit C:\Windows\system32\Drivers\tcpip.sys [2013-02-13 07:48]- [2013-01-04 13:28]- 0905576 ____A (Microsoft Corporation) 74E2D020C47BB2B2FCCBA29A518A7EB4 C:\Windows\system32\dnsrslvr.dll => MD5 is legit C:\Windows\system32\mpssvc.dll => MD5 is legit C:\Windows\system32\bfe.dll => MD5 is legit C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit C:\Windows\system32\SDRSVC.dll => MD5 is legit C:\Windows\system32\vssvc.exe => MD5 is legit C:\Windows\system32\wscsvc.dll => MD5 is legit C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit C:\Windows\system32\wuaueng.dll => MD5 is legit C:\Windows\system32\qmgr.dll => MD5 is legit C:\Windows\system32\es.dll => MD5 is legit C:\Windows\system32\cryptsvc.dll => MD5 is legit C:\Program Files\Windows Defender\MpSvc.dll [2008-01-21 04:23]- [2008-01-21 04:23]- 0272952 ____A () D41D8CD98F00B204E9800998ECF8427E ATTENTION!=====> C:\Program Files\Windows Defender\MpSvc.dll IS INFECTED AND SHOULD BE REPLACED. C:\Windows\system32\ipnathlp.dll => MD5 is legit C:\Windows\system32\iphlpsvc.dll => MD5 is legit C:\Windows\system32\svchost.exe => MD5 is legit C:\Windows\system32\rpcss.dll => MD5 is legit **** End of log **** Re: Wirus weelsof - tachion - 24.05.2013 Jak został ten ServicesRepairwykonany to powinien być w tej samej lokalizacji z której został uruchomiony folder o nazwie CC Support ,w środku jest folder logs,mógł byś dostarczyć ten log tutaj,bo obecnie nie ma żadnej poprawy,ewentualnie wykonaj to jeszcze raz i wtedy podaj log jak i raport z Farbar Service Scannerz zaznaczonymi wszystkimi opcjami. Re: Wirus weelsof - wojtas_73 - 24.05.2013 nie mam folderu CC Support, wykonałem jeszcze raz i nic Farbar Service Scanner Version: 14-04-2013 Ran by wojtek (administrator) on 24-05-2013 at 21:07:13 Running from "D:\użytkowe\antywirus" Windows Vista Home Premium Service Pack 2 (X86) Boot Mode: Normal **************************************************************** Internet Services: ============ Connection Status: ============== Localhost is accessible. LAN connected. Google IP is accessible. Google.com is accessible. Attempt to access Yahoo IP returned error. Yahoo IP is offline Yahoo.com is accessible. Windows Firewall: ============= mpsdrv Service is not running. Checking service configuration: The start type of mpsdrv service is OK. The ImagePath of mpsdrv service is OK. MpsSvc Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist. Checking LEGACY_MpsSvc: ATTENTION!=====> Unable to open LEGACY_MpsSvc\0000 registry key. The key does not exist. bfe Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist. Checking LEGACY_bfe: ATTENTION!=====> Unable to open LEGACY_bfe\0000 registry key. The key does not exist. Firewall Disabled Policy: ================== System Restore: ============ System Restore Disabled Policy: ======================== Security Center: ============ wscsvc Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist. Checking LEGACY_wscsvc: ATTENTION!=====> Unable to open LEGACY_wscsvc\0000 registry key. The key does not exist. Windows Update: ============ Windows Autoupdate Disabled Policy: ============================ Windows Defender: ============== WinDefend Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Other Services: ============== Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist. Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist. Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to open SharedAccess registry key. The service key does not exist. Checking Start type of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist. Checking ImagePath of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist. Checking ServiceDll of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist. File Check: ======== C:\Windows\system32\nsisvc.dll => MD5 is legit C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit C:\Windows\system32\dhcpcsvc.dll => MD5 is legit C:\Windows\system32\Drivers\afd.sys => MD5 is legit C:\Windows\system32\Drivers\tdx.sys => MD5 is legit C:\Windows\system32\Drivers\tcpip.sys [2013-02-13 07:48]- [2013-01-04 13:28]- 0905576 ____A (Microsoft Corporation) 74E2D020C47BB2B2FCCBA29A518A7EB4 C:\Windows\system32\dnsrslvr.dll => MD5 is legit C:\Windows\system32\mpssvc.dll => MD5 is legit C:\Windows\system32\bfe.dll => MD5 is legit C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit C:\Windows\system32\SDRSVC.dll => MD5 is legit C:\Windows\system32\vssvc.exe => MD5 is legit C:\Windows\system32\wscsvc.dll => MD5 is legit C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit C:\Windows\system32\wuaueng.dll => MD5 is legit C:\Windows\system32\qmgr.dll => MD5 is legit C:\Windows\system32\es.dll => MD5 is legit C:\Windows\system32\cryptsvc.dll => MD5 is legit C:\Program Files\Windows Defender\MpSvc.dll [2008-01-21 04:23]- [2008-01-21 04:23]- 0272952 ____A () D41D8CD98F00B204E9800998ECF8427E ATTENTION!=====> C:\Program Files\Windows Defender\MpSvc.dll IS INFECTED AND SHOULD BE REPLACED. C:\Windows\system32\ipnathlp.dll => MD5 is legit C:\Windows\system32\iphlpsvc.dll => MD5 is legit C:\Windows\system32\svchost.exe => MD5 is legit C:\Windows\system32\rpcss.dll => MD5 is legit **** End of log **** Re: Wirus weelsof - tachion - 24.05.2013 Ściągnij i zapisz na pulpit tą zawartość i wypakuj. Wszystkie wpisy do rejestru scal klikając na nie prawym przyciskiem myszy,zostaną dodane do rejestru. [Aby zobaczyć linki, zarejestruj się tutaj] Po tym wszystkim trzeba zrobić rekonstrukcja uprawnień kluczy: w Menu start>uruchom wpisz>cmd i enter uruchomi się konsola,wpisz do niej taką zawartość "%userprofile%\desktop\psexec" -i -d -s c:\windows\regedit.exe Kliknij enter,otworzy się edytor rejestru. Przejdź do HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ ROOT Kliknij prawym przyciskiem myszy na gałąź Root i wybierz Uprawnienia Kliknij przycisk Zaawansowane. W karcie Właściciel wybierz wpis zaczynający się twoją nazwą użytkownika, na przykład: Farbar (Farbar-PC \ Farbar) Umieść znacznik wyboru Zamień właściciela dla podkontenerów i obiektów i kliknij przycisk Zastosuj i OK. W obszarze zabezpieczenia kliknij na wszyscy i umieść znacznik w opcji zezwalaj Pełna kontrola Kliknij przycisk Zastosuj i OK. Gdy zakończysz zmiana zostanie zaimportowana. Wróć do głównego klucza Root > uprawnieniai odznacz każdy znacznik pełna kontrola Uruchom komputer ponownie i podaj raport ponownie z FSS Jeśli to nie pomoże zastosuj się do tego tematu i wykonaj część tylko z rekonstrukcję uprawnień kluczy : [Aby zobaczyć linki, zarejestruj się tutaj] Re: Wirus weelsof - wojtas_73 - 27.05.2013 wyskakuje komunikat: Psexec v 1,98 - Execute processes remotely Couldnt install psexec service odmowa dostępu Re: Wirus weelsof - tachion - 27.05.2013 Hmm coś pewnie nie tak robisz u mnie to jakoś działa i ogólnie mniejsza o to patrz punkt 2 czyli rekonstrukcję uprawnień kluczy: Otwórz menu start i na dole w wyszukaj program wpisz cmdnastępnie prawym przyciskiem myszy daj uruchom jako administrator i wpisz sfc /verifyonly ,pokaż co ci wyświetliło. Re: Wirus weelsof - wojtas_73 - 28.05.2013 funkcja ochrony zasobów systemu windows odnalazłą naruszenie integralności szczególy znajdują się w pliku CBS.log windir\logs\cbs\cbs.log. na przykład c:\windows\logs\cbs\cbs.log Re: Wirus weelsof - tachion - 28.05.2013 Możesz log zapodać na jakiś serwis np. [Aby zobaczyć linki, zarejestruj się tutaj] i go przesłać ? |