Liczba postów: 22
Liczba wątków: 3
Dołączył: 17.10.2013
Reputacja:
0
Objawy zainfekowania:Przy uruchamianiu pojawia się komunikat - "Nie można nawiązać połączenia w usługą systemu Windows"
Po pewnym czasie od uruchomienia komputer "zacina" się - jakby się zawiesza, następuje b. duże zużycie procesora a myszka "kręci" kółeczko i niestety trzeba komputer uruchomić ponownie aby coś na nim zrobić.
Wykonywane działania: Przeskanowany Eset Smart Security, MalwareBytes Anty-Malware, Hitman pro - niby czysty
naprawialem - jak w linkach ponizej i nic:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Logi:
OTL
logfile - [Aby zobaczyć linki, zarejestruj się tutaj]
extras - [Aby zobaczyć linki, zarejestruj się tutaj]
i FRST -
[Aby zobaczyć linki, zarejestruj się tutaj]
addition - [Aby zobaczyć linki, zarejestruj się tutaj]
Proszę o pomoc
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Sam sobie mogłeś zaszkodzić ponieważ użyłeś combofixa.
Do notatnika wklej i zapisz jako fixlist.txt
Kod: HKLM-x32\...\Winlogon: [Shell] explorer.exe [0 2011-02-25] ()
HKCU\...\Policies\Explorer: [NoInstrumentation] 1
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Biblia.lnk
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x2000DB209BF1CE01
SearchScopes: HKLM - DefaultScope value is missing.
FF HKCU\...\Firefox\Extensions: [[email protected]] - C:\Users\user\AppData\Roaming\IDM\idmmzcc5
FF Extension: IDM CC - C:\Users\user\AppData\Roaming\IDM\idmmzcc5
FF HKCU\...\SeaMonkey\Extensions: [[email protected]] - C:\Users\user\AppData\Roaming\IDM\idmmzcc5
FF Extension: IDM CC - C:\Users\user\AppData\Roaming\IDM\idmmzcc5
CHR HKLM-x32\...\Chrome\Extension: [jeaohhlajejodfjadcponpnjgkiikocn] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
S3 cleanhlp; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\cleanhlp64.sys [x]
S3 RTHDMIAzAudService; system32\drivers\RtHDMIVX.sys [x]
C:\Program Files (x86)\IObit
C:\Users\user\AppData\Roaming\IObit
C:\ProgramData\IObit
C:\Users\Default\AppData\Roaming\IObit
C:\Users\Default User\AppData\Roaming\IObit
C:\Users\user\Desktop\~WRL3132.tmp
C:\Users\user\AppData\Roaming\Alawar
C:\Program Files (x86)\CasualGameBox
C:\Windows\erdnt
C:\Program Files\trend micro
C:\ComboFix
C:\Windows\PEV.exe
C:\Windows\MBR.exe
C:\Windows\NIRCMD.exe
C:\Windows\SWREG.exe
C:\Windows\SWSC.exe
C:\Windows\sed.exe
C:\Windows\grep.exe
C:\Windows\zip.exe
C:\Qoobox
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.
Liczba postów: 22
Liczba wątków: 3
Dołączył: 17.10.2013
Reputacja:
0
oto log
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Odinstaluj teraz Internet Download Manager
zrób ponowne skany OTL i FRST
Liczba postów: 22
Liczba wątków: 3
Dołączył: 17.10.2013
Reputacja:
0
tyle czasu zajęło mi odinstalowywanie IDM - komp. się zawieszał, spowalniał itd
OTL
1. [Aby zobaczyć linki, zarejestruj się tutaj]
2. [Aby zobaczyć linki, zarejestruj się tutaj]
FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
W uruchom wpisz cmd i uruchom jako administrator.
wklej tą zawartość i naciśnij enter
Kod: sfc /scanfile=C:\Windows\SysWOW64\explorer.exe
Liczba postów: 22
Liczba wątków: 3
Dołączył: 17.10.2013
Reputacja:
0
log CBS - [Aby zobaczyć linki, zarejestruj się tutaj]
chyba czeka mnie reinstalacja win? - czy da się coś zrobić, aby to naprawić?
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
No ale to jest z wczoraj !
Co wyświetliło się w okienku z konsoli jak wkleiłeś komendę.
wklej poprawnie strony które dałeś
Ściągnij SystemLook [Aby zobaczyć linki, zarejestruj się tutaj]
i w okienku wklej komende:
:filefind
explorer.exe
Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] kliknij skanuj i przedstaw raport z niego.
Ściągnij Malwarebytes : Free Anti-Malware [Aby zobaczyć linki, zarejestruj się tutaj] zainstaluj,uruchom poczekaj aż zostanie zaktualizowany i następnie klik skanuj.
Dodano: 28 gru 2013, 19:11
I jeszcze skan tym programem [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 22
Liczba wątków: 3
Dołączył: 17.10.2013
Reputacja:
0
log CBS - [Aby zobaczyć linki, zarejestruj się tutaj]
SystemLook - [Aby zobaczyć linki, zarejestruj się tutaj]
tdsskiller - [Aby zobaczyć linki, zarejestruj się tutaj]
malwarebytes anty-malware - [Aby zobaczyć linki, zarejestruj się tutaj]
mbar - [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
wejdź w tą lokalizacje C:\Windows\SysWOW64 i napisz mi jaką wielkość ma explorer.exe
z raportu wynika że jest zerowy
Liczba postów: 22
Liczba wątków: 3
Dołączył: 17.10.2013
Reputacja:
0
tez to zauważyłem -
jest "0"
co dziwne plik jest bez modyfikacji - 2011-02-25
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Ściągnij GrantPerms [Aby zobaczyć linki, zarejestruj się tutaj]
uruchom jako administrator i wklej:
Kod: C:\Windows\SysWOW64\explorer.exe
i kliknij Unlock,następnie z prawokliku usuń go z tej lokalizacji.
Ściągnij explorer.exe [Aby zobaczyć linki, zarejestruj się tutaj] wypakuj na pulpit i skopiuj w tamtą lokalizację,sprawdź czy wkleiło jeśli jest to uruchom komputer ponownie.
w SystemLook wklej:
:filefind
explorer.exe
Liczba postów: 22
Liczba wątków: 3
Dołączył: 17.10.2013
Reputacja:
0
log - [Aby zobaczyć linki, zarejestruj się tutaj]
jest "0" - ale w innej lokalizacji
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
W tej C:\Windows\SysWOW64\explorer.exe--a---- 0 bytes [07:42 01/02/2012] [05:30 25/02/2011]D41D8CD98F00B204E9800998ECF8427E
i teraz wygląda że jest ok
Są jakieś widoczne zmiany w działaniu ?
Liczba postów: 22
Liczba wątków: 3
Dołączył: 17.10.2013
Reputacja:
0
uruchomie ponownie i odpisze
Dodano: 28 gru 2013, 21:43
zamknął się szybko.
uruchomił się też ok! - nie było jakiegoś jednolitego niebieskiego czy też czarnego ekranu (poprzednio takie ekrany sie pojaiwały i były ok 5 sek)
przy uruchamianiu pozostała jeszcze chmurka - "Nie można nawiązać połączenia w usługą systemu Windows"
Może trzeba zrobić to:
Uruchomić komputer w trybie awaryjnym
start -> cmd i uruchom go jako administrator - i w trybie poleceń wpisać -> netsh winsock reset
Przy pisaniu tej informacji - nie zatrzymywał się/zawieszał kursor na jakiś czas.
O rezultacie - napisze jeszcze jutro gdy trochę posiedzę przy nim i coś porobię.
Dzięki.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Tak więc daj logi jeszcze raz z FRST i OTL
Liczba postów: 22
Liczba wątków: 3
Dołączył: 17.10.2013
Reputacja:
0
frst - [Aby zobaczyć linki, zarejestruj się tutaj]
otl
1. [Aby zobaczyć linki, zarejestruj się tutaj]
2. [Aby zobaczyć linki, zarejestruj się tutaj]
Wszystko chodzi szybciej - jakby normalnie
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Ok nie notuje nawet problemów z explorerem w FRST
Do notatnika wklej i zapisz jako fixlist.txt
Kod: SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
C:\Users\user\Downloads\Compressed
C:\ProgramData\IDM
C:\Users\user\AppData\Local\Temp\Bit1248.tmp.exe
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.
Liczba postów: 22
Liczba wątków: 3
Dołączył: 17.10.2013
Reputacja:
0
frst - [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj] i kliknij Start.
Następnie usuń folder FRST z tej lokalizacji: C:\FRST
Wklej na stronę raport z SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
|