SafeGroup

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Proszę o sprawdzenie logów. Brak uprawnień Administratora
Pełna wersja: Proszę o sprawdzenie logów. Brak uprawnień Administratora
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.

RosoMK

15.01.2014, 16:41
Objawy zainfekowania:
Witam, od pewnego czasu mam problem z instalowaniem programów czy też odpalaniem plików (Windows 7). Za każdym razem wyskakuje komunikat:

"System Windows nie może uzyskać dostępu do określonego urządzenia, ścieżki lub pliku. Możesz nie mieć odpowiednich uprawnień, aby uzyskać dostęp do elementu."

Posiadam dwa konta: Konto Administratora oraz Konto osobiste "Daniel" które także jest administratorem.
Sprawdzałem we "Właściwościach" uprawnienia i wszystko jest zaznaczone tak jak należy.
Gdy próbowałem zainstalować program z konta "Administrator", także wyskakuje taki komunikat.
Administrator nie może mieć uprawnień Administratora. Śmiechu warte..
Wnioskuję więc ,że jest to infekcja.

Wykonywane działania:
Posiadam takie programy jak Norton Seciurity z ważną licencją, Malwaresbytes Anti- Malware oraz Comodo Firewall

Logi:

OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]


Extras:

[Aby zobaczyć linki, zarejestruj się tutaj]


Podczas skanowania FRST wyświetlił się komunikat "C:\ nie jest dostępny. Odmowa dostępu."
Po czym nacisnąłem "OK", program dalej zaczął skanować po czym stwierdził ,że utworzył pliki. Spojrzałem na pulpit widoczny jest tylko plik "Addition.txt" z tym ,że jest pusty.


edit: Ponieważ podczas skanowania Malwaresbytes wyświetliło 31 zagrożeń:
Print Screen:

[Aby zobaczyć linki, zarejestruj się tutaj]


Wklejam także Logi z tego programu:

[Aby zobaczyć linki, zarejestruj się tutaj]

Wacław

15.01.2014, 19:25
Spróbuj ponownie ustawić uprawnienia administratora poprzez "Zmianę typu konta".

tachion

15.01.2014, 21:09
Do OTL w okienko własne opcje skanowania skrypt wklej i wykonaj:

Kod:
:OTL
IE - HKU\S-1-5-21-2938448482-2366559754-4116027620-1001\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-2938448482-2366559754-4116027620-1001\..\SearchScopes\{7B23B011-6EC1-4191-9092-7C80AE2019BF}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=375F0E71-FACF-4AC1-9685-8754013D75DC&apn_sauid=F489E4C6-8BDB-49B2-B182-9E32D858A376
O4 - HKU\S-1-5-21-2938448482-2366559754-4116027620-1001..\Run: [NextLive] C:\Users\Daniel\AppData\Roaming\newnext.me\nengine.dll (NewNextDotMe)
O4 - HKU\S-1-5-21-2938448482-2366559754-4116027620-1000..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Files
C:\Windows\tasks\*.*
C:\Users\Daniel\.android
C:\Users\Daniel\AppData\Roaming\newnext.me
C:\Users\Daniel\Documents\Mobogenie
C:\Users\Daniel\AppData\Local\Mobogenie
C:\Users\Daniel\AppData\Local\genienext
C:\Users\Daniel\AppData\Local\cache
C:\Program Files (x86)\Mobogenie
netsh advfirewall reset /C

:Commands
[EMPTYTEMP]


Pokaż raport z tego działania.

W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

W Google Chrome pasku adresu wklep chrome//settingsprzejdź do ustawień, wybierz “Zarządzaj wyszukiwarkami”. Zmień wyszukiwarkę na Google + zarządzaj wyszukiwarkami usuń niepotrzebne pozycje oprócz Google.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaji następnie Usuń
pokaż raport

Odinstaluj:
bi_uninstaller

RosoMK

16.01.2014, 21:47
Wczoraj przed przeczytaniem posta, wszedłem w tryb awaryjny i odpaliłem Malwarebytes, znalazł kilka nowych infekcji po czym je usunął. Uruchomiłem ponownie system i wydaje się ,że wszystko wróciło do normy ponieważ odzyskałem prawa administratora.
W razie czego zastosowałem się do poleceń i wysyłam raporty:
Raport OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]


Raport AdwCleaner:

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

16.01.2014, 22:08
To zapuść teraz FRST z zaznaczonymi opcjami w taki o to sposób:

[Aby zobaczyć linki, zarejestruj się tutaj]

RosoMK

16.01.2014, 22:23
FRST

[Aby zobaczyć linki, zarejestruj się tutaj]


Addition

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

16.01.2014, 22:46
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
HKCU\...\Policies\system: [LogonHoursAction] 2
HKCU\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
HKCU\...\Policies\Explorer: [NoInstrumentation] 1
S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [x]
S3 vm331avs; System32\Drivers\vm331avs.sys [x]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [x]
C:\Users\Administrator\daemonprocess.txt
C:\Users\Daniel\daemonprocess.txt
C:\Users\Daniel\AppData\Local\cache
C:\Users\Daniel\.android
C:\dsafdasfwfwea
C:\adobe
C:\Users\Daniel\Desktop\Thumbs.db
C:\Users\Daniel\AppData\Local\Temp\bi_cleaner.exe
C:\Users\Daniel\AppData\Local\Temp\Quarantine.exe
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Task: {39EDE9B0-3601-4931-B7D6-EFAF01173A16} - System32\Tasks\Updater3915.exe => C:\Users\Daniel\AppData\Local\Updater3915\Updater3915.exe
AlternateDataStreams: C:\ProgramData\TEMP:D1B5B4F1
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"


Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

RosoMK

17.01.2014, 11:44

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

18.01.2014, 21:36
Ponowny skan zrób FRST i OTL.

RosoMK

22.01.2014, 15:01
OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Frst:

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

22.01.2014, 21:13
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [x]
S3 vm331avs; System32\Drivers\vm331avs.sys [x]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [x]
C:\Users\hedev


Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

W adwcleaner klik Odinstaluj.


Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run

Program usunie wszelkie pozostałości po Adw,FRST i OTL.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

RosoMK

28.01.2014, 22:33
Fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]


Delfix:

[Aby zobaczyć linki, zarejestruj się tutaj]


TFC:

[Aby zobaczyć linki, zarejestruj się tutaj]


Security Check "checkup.txt"

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

28.01.2014, 22:38
Ok to wszystko na drugi raz staraj się nie używać combofixa na własną rękę.
SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Proszę o sprawdzenie logów. Brak uprawnień Administratora