Wirus weelsof

[wojtas_73]

Objawy zainfekowania:
Napisz czym objawia się infekcja

Wykonywane działania:
Opisz czym był skanowany komputer, jakie posiada oprogramowanie ochronne

Logi:
Tutaj umieść linki do logów z OTL i RSIT

Witam. Załapałem jak w temacie, ale wyczyściłem combofixem i wydawało się że jest wszystko ok, ale okazało się że programy pocztowe nie otwierają i nie zapisują załączników dostaję komunikat: wykonanie polecenia nie powiodło się zaznaczam że mam odznaczoną opcję nie " nie zezwalaj za zapisywanie załączników ...", oprócz tego nie mogę pobrać żadnego pliku z netu, wyskakuje komunikat "pik ....... zawierał wirusy i został usunięty"
Nie mogę więc zastosować się do regulaminu " Wykonaj skrypty za pomocą programu OTL oraz RSIT:"
Bo nawet w trybie awaryjnym jest komunikat że plik zawiera wirusa
Przeskanowałem go Tym:

Malwarebytes Anti-Malware 1.75.0.1300

[Aby zobaczyć linki, zarejestruj się tutaj]

Wersja bazy: v2013.05.21.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
wojtek :: WOJTEK-PC [administrator]

2013-05-21 13:03:36
MBAM-log-2013-05-21 (15-15-12).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|)
Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM
Odznaczone opcje skanowania: P2P
Przeskanowano obiektów: 640396
Upłynęło: 2 godzin(y), 10 minut(y), 41 sekund(y)

Wykrytych procesów w pamięci: 0
(Nie znaleziono zagrożeń)

Wykrytych modułów w pamięci: 0
(Nie znaleziono zagrożeń)

Wykrytych kluczy rejestru: 0
(Nie znaleziono zagrożeń)

Wykrytych wartości rejestru: 0
(Nie znaleziono zagrożeń)

Wykryte wpisy rejestru systemowego: 0
(Nie znaleziono zagrożeń)

wykrytych folderów: 0
(Nie znaleziono zagrożeń)

Wykrytych plików: 7
C:\Qoobox\Quarantine\C\Users\wojtek\AppData\Roaming\skype.dat.vir (Trojan.Winlock) -> Nie wykonano akcji.
C:\Windows.old.000\Users\wojtek\AppData\Local\Temp\ICReinstall\VideoConverterSetup.exe (Adware.Agent) -> Nie wykonano akcji.
D:\użytkowe\wirelesskeyview.zip (PUP.WirelessKeyView) -> Nie wykonano akcji.
D:\użytkowe\Ahead.Nero.v7.5.7.0.Multilingual.Incl.Keymaker-EMBRACE\keygen.exe (RiskWare.Tool.HCK) -> Nie wykonano akcji.
D:\użytkowe\PROGRAM DO DEFRAGMENTACJI DYSKÓW\oodpe801\keygen.exe (Riskware.Tool.CK) -> Nie wykonano akcji.
D:\użytkowe\wirelesskeyview\WirelessKeyView.exe (PUP.WirelessKeyView) -> Nie wykonano akcji.
D:\użytkowe\wirelesskeyview\wirelesskeyview\WirelessKeyView.exe (PUP.WirelessKeyView) -> Nie wykonano akcji.

(zakończone)
korzystam z Avasta, prosze o pomoc

[anton]

Na początek looknij w regulamin Combofix to nie zabawka!

[wojtas_73]

Wiem, ale robiłem to przed wejściem na tą stronę, a na innym forum przeczytałem że trzeba to potraktować combofixem

[tachion]

Wyłącz na chwile obecną osłony w programie avast i zrób skan programemotlpodając utworzony log.

Opcje jakie powinny być zaznaczone w programie:

[Aby zobaczyć linki, zarejestruj się tutaj]

Utworzone logi takie jak OTL.txti Extraswklejasz na stronę wklej.orgi podajesz tutaj.

[wojtas_73]

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Odinstaluj:

Adobe Acrobat 5.0

W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:

Kod:

:OTL
PRC - [2012-11-05 12:57:12 | 003,055,976 | ---- | M] () -- C:\Users\wojtek\AppData\Local\tuto4pc_pl_1\supt4pc_pl_1.exe
MOD - [2001-03-02 13:02:04 | 000,037,808 | ---- | M] () -- C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
SRV - [2012-11-05 12:57:12 | 003,055,976 | ---- | M] () [Auto | Running] -- C:\Users\wojtek\AppData\Local\tuto4pc_pl_1\supt4pc_pl_1.exe -- (supt4pc_pl_1)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Unknown] ---- (ach0eotd)
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0C0FtD0DtCyEyDzzyE0FtDtAyDtN0D0Tzu0CtAtCzztN1L2XzutBtFtBtFtDtFtAyEyE&cr=1974018920
IE - HKLM\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^HJ^xdm073^YY^pl&si=pconverter&ptb=9F1CB231-ED36-4933-8EC0-C451E48919CB&ind=2013031714&n=77fc6d22&psa=&st=sb&searchfor={searchTerms}
IE - HKCU\..\SearchScopes\{1E1CC6C7-8C56-4B7C-B0C9-1DEF2DFEB08A}: "URL" = http://www.mysearchresults.com/search?c=3519&t=01&q={searchTerms}
IE - HKCU\..\SearchScopes\{46C700F7-6FB0-475D-AB61-68DAC64E44E1}: "URL" = http://tuvaro.com/ws/?source=39e8ec03&tbp=rbox&toolbarid=base&u=d8e8f03500000000000000ffc3ee51f2&q={searchTerms}
IE - HKCU\..\SearchScopes\{9A418709-FAFE-46E6-BBD1-EAE39D9771FD}: "URL" = http://t1.search.com/search?q={searchTerms}
IE - HKCU\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^HJ^xdm073^YY^pl&si=pconverter&ptb=9F1CB231-ED36-4933-8EC0-C451E48919CB&ind=2013031714&n=77fc6d22&psa=&st=sb&searchfor={searchTerms}
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx ()
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
@Alternate Data Stream - 881 bytes -> C:\Users\wojtek\Documents\Re_ Raport pozycji + informacja.eml:OECustomProperty

:Files
C:\Users\wojtek\Documents\bookmark.htm

:Commands
[EMPTYTEMP]

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

i uruchom AdwCleanerz opcji Delete .

Zainstaluj

[Aby zobaczyć linki, zarejestruj się tutaj]

do najnowszej wersji,lub ją odinstaluj jeśli nie używasz.

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTLoraz raport z Adwcleaner .

Usuń folder Qooboxz partycji c:

[wojtas_73]

[Aby zobaczyć linki, zarejestruj się tutaj]

---

Dodano: 22 maja 2013, 22:03

[Aby zobaczyć linki, zarejestruj się tutaj]

---

Dodano: 22 maja 2013, 22:10

nie mam folderu Qoobox

[tachion]

Czyli musiał zostać usunięty wraz z combofixem,to dobrze.
Czy nadal występują problemy jakieś ?

[wojtas_73]

dalej to samo:
programy pocztowe nie otwierają i nie zapisują załączników dostaję komunikat: wykonanie polecenia nie powiodło się, zaznaczam że mam odznaczoną opcję nie " nie zezwalaj za zapisywanie załączników ...", oprócz tego nie mogę pobrać żadnego pliku z netu, wyskakuje komunikat "pik ....... zawierał wirusy i został usunięty"

---

Dodano: 22 maja 2013, 22:26

myślę ze może to coś z zaporą windows, może to ona wszystko odcina, a jak próbuję wejść w jej ustawienia jest komunikat "
z powodu niezidentyfikowanego problemu system windows nie może wyświetlić ustawień zapory"

[tachion]

Hmm rozumiem że to komunikat z avasta?
Czy z innej przeglądarki też nie idzie pobrać nic i czy przy wyłączonym zabezpieczeniu też nie idzie pobrać.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i wklej w nim

Kod:

:filefind
services.exe

kliknij look,pokaż raport

Następnie ściągnij ten program

[Aby zobaczyć linki, zarejestruj się tutaj]

zaznacz wszystko i pokaż raport.

Jeszcze dodatkowo w systemlook wklej:

Kod:

:reg

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters /s

pokaż raport

[wojtas_73]

Z żadnej przeglądarki nie można pobrać, nawert przy wyłączonym antywirze, a komunikat wygląda na systemowy, czerwona tarzcza z białym krzyżem, zaraz zajmę się tymi programami

---

Dodano: 23 maja 2013, 12:22

SystemLook 30.07.11 by jpshortstuff
Log created at 12:17 on 23/05/2013 by wojtek
Administrator - Elevation successful

========== filefind ==========

Searching for "services.exe"
C:\Windows\erdnt\cache\services.exe --a---- 279552 bytes [14:48 16/05/2013] [06:27 11/04/2009]D4E6D91C1349B7BFB3599A6ADA56851B
C:\Windows\System32\services.exe --a---- 279552 bytes [17:57 21/10/2012] [06:27 11/04/2009]D4E6D91C1349B7BFB3599A6ADA56851B
C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008]2B336AB6286D6C81FA02CBAB914E3C6C
C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [17:57 21/10/2012] [06:27 11/04/2009]D4E6D91C1349B7BFB3599A6ADA56851B
C:\Windows.old.000\Windows\System32\services.exe --a---- 279552 bytes [08:27 19/12/2010] [06:27 11/04/2009]D4E6D91C1349B7BFB3599A6ADA56851B
C:\Windows.old.000\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008]2B336AB6286D6C81FA02CBAB914E3C6C
C:\Windows.old.000\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [08:27 19/12/2010] [06:27 11/04/2009]D4E6D91C1349B7BFB3599A6ADA56851B

-= EOF =-

---

Dodano: 23 maja 2013, 12:23

Farbar Service Scanner Version: 14-04-2013
Ran by wojtek (administrator) on 23-05-2013 at 12:21:39
Running from "D:\użytkowe\antywirus"
Windows Vista ™ Home Premium Service Pack 2 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Attempt to access Yahoo IP returned error. Yahoo IP is offline
Yahoo.com is accessible.


Windows Firewall:
=============
mpsdrv Service is not running. Checking service configuration:
The start type of mpsdrv service is OK.
The ImagePath of mpsdrv service is OK.

MpsSvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking LEGACY_MpsSvc: ATTENTION!=====> Unable to open LEGACY_MpsSvc\0000 registry key. The key does not exist.

bfe Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking LEGACY_bfe: ATTENTION!=====> Unable to open LEGACY_bfe\0000 registry key. The key does not exist.


Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Security Center:
============
wscsvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking LEGACY_wscsvc: ATTENTION!=====> Unable to open LEGACY_wscsvc\0000 registry key. The key does not exist.


Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.


Other Services:
==============
Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist.
Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist.
Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to open SharedAccess registry key. The service key does not exist.
Checking Start type of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.
Checking ImagePath of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.
Checking ServiceDll of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.


File Check:
========
C:\Windows\system32\nsisvc.dll => MD5 is legit
C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit
C:\Windows\system32\dhcpcsvc.dll => MD5 is legit
C:\Windows\system32\Drivers\afd.sys => MD5 is legit
C:\Windows\system32\Drivers\tdx.sys => MD5 is legit
C:\Windows\system32\Drivers\tcpip.sys
[2013-02-13 07:48]- [2013-01-04 13:28]- 0905576 ____A (Microsoft Corporation) 74E2D020C47BB2B2FCCBA29A518A7EB4

C:\Windows\system32\dnsrslvr.dll => MD5 is legit
C:\Windows\system32\mpssvc.dll => MD5 is legit
C:\Windows\system32\bfe.dll => MD5 is legit
C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\Windows\system32\SDRSVC.dll => MD5 is legit
C:\Windows\system32\vssvc.exe => MD5 is legit
C:\Windows\system32\wscsvc.dll => MD5 is legit
C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\system32\wuaueng.dll => MD5 is legit
C:\Windows\system32\qmgr.dll => MD5 is legit
C:\Windows\system32\es.dll => MD5 is legit
C:\Windows\system32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll
[2008-01-21 04:23]- [2008-01-21 04:23]- 0272952 ____A () D41D8CD98F00B204E9800998ECF8427E

ATTENTION!=====> C:\Program Files\Windows Defender\MpSvc.dll IS INFECTED AND SHOULD BE REPLACED.

C:\Windows\system32\ipnathlp.dll => MD5 is legit
C:\Windows\system32\iphlpsvc.dll => MD5 is legit
C:\Windows\system32\svchost.exe => MD5 is legit
C:\Windows\system32\rpcss.dll => MD5 is legit


**** End of log ****

---

Dodano: 23 maja 2013, 12:26

SystemLook 30.07.11 by jpshortstuff
Log created at 12:23 on 23/05/2013 by wojtek
Administrator - Elevation successful

========== filefind ==========

Searching for "services.exe:reg"
No files found.

Searching for "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters /s"
No files found.

Searching for "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters /s"
No files found.

Searching for "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters /s"
No files found.

-= EOF =-

[tachion]

Hmm uszkodzone usługi BFE, MpsSvc, SharedAccess .

Wyłącz zabezpieczenia,ściągnij ten program

[Aby zobaczyć linki, zarejestruj się tutaj]

uruchom,krótka interakcja z dialogami informacyjnym i na koniec uruchom komputer ponownie.

Następnie uruchom program Farbar Service Scanner(FSS) zaznacz wszystko kliknij skan pokaż raport.

[wojtas_73]

Farbar Service Scanner Version: 14-04-2013
Ran by wojtek (administrator) on 23-05-2013 at 20:31:55
Running from "D:\użytkowe\antywirus"
Windows Vista ™ Home Premium Service Pack 2 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Attempt to access Yahoo IP returned error. Yahoo IP is offline
Yahoo.com is accessible.


Windows Firewall:
=============
mpsdrv Service is not running. Checking service configuration:
The start type of mpsdrv service is OK.
The ImagePath of mpsdrv service is OK.

MpsSvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking LEGACY_MpsSvc: ATTENTION!=====> Unable to open LEGACY_MpsSvc\0000 registry key. The key does not exist.

bfe Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking LEGACY_bfe: ATTENTION!=====> Unable to open LEGACY_bfe\0000 registry key. The key does not exist.


Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Security Center:
============
wscsvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking LEGACY_wscsvc: ATTENTION!=====> Unable to open LEGACY_wscsvc\0000 registry key. The key does not exist.


Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.


Other Services:
==============
Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist.
Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist.
Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to open SharedAccess registry key. The service key does not exist.
Checking Start type of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.
Checking ImagePath of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.
Checking ServiceDll of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.


File Check:
========
C:\Windows\system32\nsisvc.dll => MD5 is legit
C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit
C:\Windows\system32\dhcpcsvc.dll => MD5 is legit
C:\Windows\system32\Drivers\afd.sys => MD5 is legit
C:\Windows\system32\Drivers\tdx.sys => MD5 is legit
C:\Windows\system32\Drivers\tcpip.sys
[2013-02-13 07:48]- [2013-01-04 13:28]- 0905576 ____A (Microsoft Corporation) 74E2D020C47BB2B2FCCBA29A518A7EB4

C:\Windows\system32\dnsrslvr.dll => MD5 is legit
C:\Windows\system32\mpssvc.dll => MD5 is legit
C:\Windows\system32\bfe.dll => MD5 is legit
C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\Windows\system32\SDRSVC.dll => MD5 is legit
C:\Windows\system32\vssvc.exe => MD5 is legit
C:\Windows\system32\wscsvc.dll => MD5 is legit
C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\system32\wuaueng.dll => MD5 is legit
C:\Windows\system32\qmgr.dll => MD5 is legit
C:\Windows\system32\es.dll => MD5 is legit
C:\Windows\system32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll
[2008-01-21 04:23]- [2008-01-21 04:23]- 0272952 ____A () D41D8CD98F00B204E9800998ECF8427E

ATTENTION!=====> C:\Program Files\Windows Defender\MpSvc.dll IS INFECTED AND SHOULD BE REPLACED.

C:\Windows\system32\ipnathlp.dll => MD5 is legit
C:\Windows\system32\iphlpsvc.dll => MD5 is legit
C:\Windows\system32\svchost.exe => MD5 is legit
C:\Windows\system32\rpcss.dll => MD5 is legit


**** End of log ****

[tachion]

Jak został ten ServicesRepairwykonany to powinien być w tej samej lokalizacji z której został uruchomiony folder o nazwie CC Support ,w środku jest folder logs,mógł byś dostarczyć ten log tutaj,bo obecnie nie ma żadnej poprawy,ewentualnie wykonaj to jeszcze raz i wtedy podaj log jak i raport z Farbar Service Scannerz zaznaczonymi wszystkimi opcjami.

[wojtas_73]

nie mam folderu CC Support, wykonałem jeszcze raz i nic


Farbar Service Scanner Version: 14-04-2013
Ran by wojtek (administrator) on 24-05-2013 at 21:07:13
Running from "D:\użytkowe\antywirus"
Windows Vista ™ Home Premium Service Pack 2 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Attempt to access Yahoo IP returned error. Yahoo IP is offline
Yahoo.com is accessible.


Windows Firewall:
=============
mpsdrv Service is not running. Checking service configuration:
The start type of mpsdrv service is OK.
The ImagePath of mpsdrv service is OK.

MpsSvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking LEGACY_MpsSvc: ATTENTION!=====> Unable to open LEGACY_MpsSvc\0000 registry key. The key does not exist.

bfe Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking LEGACY_bfe: ATTENTION!=====> Unable to open LEGACY_bfe\0000 registry key. The key does not exist.


Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Security Center:
============
wscsvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking LEGACY_wscsvc: ATTENTION!=====> Unable to open LEGACY_wscsvc\0000 registry key. The key does not exist.


Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.


Other Services:
==============
Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist.
Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist.
Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to open SharedAccess registry key. The service key does not exist.
Checking Start type of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.
Checking ImagePath of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.
Checking ServiceDll of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.


File Check:
========
C:\Windows\system32\nsisvc.dll => MD5 is legit
C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit
C:\Windows\system32\dhcpcsvc.dll => MD5 is legit
C:\Windows\system32\Drivers\afd.sys => MD5 is legit
C:\Windows\system32\Drivers\tdx.sys => MD5 is legit
C:\Windows\system32\Drivers\tcpip.sys
[2013-02-13 07:48]- [2013-01-04 13:28]- 0905576 ____A (Microsoft Corporation) 74E2D020C47BB2B2FCCBA29A518A7EB4

C:\Windows\system32\dnsrslvr.dll => MD5 is legit
C:\Windows\system32\mpssvc.dll => MD5 is legit
C:\Windows\system32\bfe.dll => MD5 is legit
C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\Windows\system32\SDRSVC.dll => MD5 is legit
C:\Windows\system32\vssvc.exe => MD5 is legit
C:\Windows\system32\wscsvc.dll => MD5 is legit
C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\system32\wuaueng.dll => MD5 is legit
C:\Windows\system32\qmgr.dll => MD5 is legit
C:\Windows\system32\es.dll => MD5 is legit
C:\Windows\system32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll
[2008-01-21 04:23]- [2008-01-21 04:23]- 0272952 ____A () D41D8CD98F00B204E9800998ECF8427E

ATTENTION!=====> C:\Program Files\Windows Defender\MpSvc.dll IS INFECTED AND SHOULD BE REPLACED.

C:\Windows\system32\ipnathlp.dll => MD5 is legit
C:\Windows\system32\iphlpsvc.dll => MD5 is legit
C:\Windows\system32\svchost.exe => MD5 is legit
C:\Windows\system32\rpcss.dll => MD5 is legit


**** End of log ****

[tachion]

Ściągnij i zapisz na pulpit tą zawartość i wypakuj.

Wszystkie wpisy do rejestru scal klikając na nie prawym przyciskiem myszy,zostaną dodane do rejestru.

[Aby zobaczyć linki, zarejestruj się tutaj]

Po tym wszystkim trzeba zrobić rekonstrukcja uprawnień kluczy:

w Menu start>uruchom wpisz>cmd i enter uruchomi się konsola,wpisz do niej taką zawartość

"%userprofile%\desktop\psexec" -i -d -s c:\windows\regedit.exe

Kliknij enter,otworzy się edytor rejestru.

Przejdź do HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ ROOT
Kliknij prawym przyciskiem myszy na gałąź Root i wybierz Uprawnienia
Kliknij przycisk Zaawansowane.
W karcie Właściciel wybierz wpis zaczynający się twoją nazwą użytkownika, na przykład: Farbar (Farbar-PC \ Farbar)
Umieść znacznik wyboru Zamień właściciela dla podkontenerów i obiektów i kliknij przycisk Zastosuj i OK.
W obszarze zabezpieczenia kliknij na wszyscy i umieść znacznik w opcji zezwalaj Pełna kontrola
Kliknij przycisk Zastosuj i OK.
Gdy zakończysz zmiana zostanie zaimportowana.
Wróć do głównego klucza Root > uprawnieniai odznacz każdy znacznik pełna kontrola

Uruchom komputer ponownie i podaj raport ponownie z FSS

Jeśli to nie pomoże zastosuj się do tego tematu i wykonaj część tylko z rekonstrukcję uprawnień kluczy :

[Aby zobaczyć linki, zarejestruj się tutaj]

[wojtas_73]

wyskakuje komunikat:
Psexec v 1,98 - Execute processes remotely
Couldnt install psexec service
odmowa dostępu

[tachion]

Hmm coś pewnie nie tak robisz u mnie to jakoś działa i ogólnie mniejsza o to patrz punkt 2 czyli rekonstrukcję uprawnień kluczy:

Otwórz menu start i na dole w wyszukaj program wpisz cmdnastępnie prawym przyciskiem myszy daj uruchom jako administrator i wpisz sfc /verifyonly ,pokaż co ci wyświetliło.

[wojtas_73]

funkcja ochrony zasobów systemu windows odnalazłą naruszenie integralności
szczególy znajdują się w pliku CBS.log windir\logs\cbs\cbs.log.
na przykład c:\windows\logs\cbs\cbs.log

[tachion]

Możesz log zapodać na jakiś serwis np.

[Aby zobaczyć linki, zarejestruj się tutaj]

i go przesłać ?