Skocz do zawartości


tablety.pl
Zdjęcie

załączniki poczty traktowane jako wirus




  • Zamknięty Temat jest zamknięty
14 odpowiedzi w tym temacie

#1 jendrek007

jendrek007

    First Rank

  • Użytkownicy
  • 18 postów

Napisano 09 09 2013 - 06:41

Witam.

 

Mam problem z pobieraniem załączników z poczty poprzez przeglądarke internetową. Każdy załącznik jest traktowany jako wirus, uruchomiłem windows mail i jest to samo. Zauważyłem ,że wpanelu sterowania brak windows devender (biała ikona) w usługach nie można uruchomić. Combofix nic nie wykrył. System to Windows Vista Buissnes.



#2 XanTyp

XanTyp

    Expert Rank

  • Admins
  • 3887 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Headquarter

Napisano 09 09 2013 - 07:47

Przyklejony jasno określa, jak ma wyglądać treść postu w tym dziale.


Nawet, jeśli nie będę mógł pomóc, to może coś podpowiem:

1. Najpierw sięgnij do źródła, potem dopiero dzwoń po hydraulika.

2. Precyzja odpowiedzi zależy przed wszystkim od precyzji zadanego pytania.
3. Nie czytam w myślach, ale mogę powróżyć na specjalne życzenie (:


#3 jendrek007

jendrek007

    First Rank

  • Użytkownicy
  • 18 postów

Napisano 09 09 2013 - 08:29

ok z jakich programów mają być logi?



#4 XanTyp

XanTyp

    Expert Rank

  • Admins
  • 3887 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Headquarter

Napisano 09 09 2013 - 12:51

Gdybyś przeczytał przyklejonego, nie pytał byś.


Nawet, jeśli nie będę mógł pomóc, to może coś podpowiem:

1. Najpierw sięgnij do źródła, potem dopiero dzwoń po hydraulika.

2. Precyzja odpowiedzi zależy przed wszystkim od precyzji zadanego pytania.
3. Nie czytam w myślach, ale mogę powróżyć na specjalne życzenie (:


#5 jendrek007

jendrek007

    First Rank

  • Użytkownicy
  • 18 postów

Napisano 09 09 2013 - 13:22

przepraszam faktycznie dałem ciała. Przygotuje logi i wstawie



#6 jendrek007

jendrek007

    First Rank

  • Użytkownicy
  • 18 postów

Napisano 09 09 2013 - 21:11

narazie udał się log z OTL,  walczę z gmerem bo mi wywala bluescreen

Załączone pliki

  • Załączony plik  OTL.Txt   100,1 KB   150 Ilość pobrań


#7 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5774 postów
  • Płeć:Mężczyzna

Napisano 11 09 2013 - 15:02

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2011/10/20 03:45:59 | 000,000,000 | ---- | C] () -- C:\Users\Marek\AppData\Roaming\hHLkyDEdH7J1
[2011/10/19 15:39:27 | 000,000,000 | ---- | C] () -- C:\Users\Marek\AppData\Roaming\j7Aj8Lg66f66
SRV - File not found [On_Demand] --  -- (Brother Wireless Info.)
O2 - BHO: (no name) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [NDSTray.exe]  File not found
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SetVisualStyle = %SystemRoot%\Resources\Themes\Luna.theme File not found
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
[2013/09/08 17:07:48 | 000,000,000 | ---D | C] -- C:\Users\Marek\AppData\Roaming\iSafe
[2013/09/08 17:07:48 | 000,000,000 | ---D | C] -- C:\Program Files\iSafe
[2008/07/04 08:50:32 | 000,000,000 | ---- | C] () -- C:\Windows\NDSTray.INI

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

#8 jendrek007

jendrek007

    First Rank

  • Użytkownicy
  • 18 postów

Napisano 13 09 2013 - 21:05

przepraszam za zwłokę ale mam ograniczony czasowo dostęp do komputera

Załączone pliki



#9 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5774 postów
  • Płeć:Mężczyzna

Napisano 13 09 2013 - 21:43

W nowym logu OTL nie widzę już niczego podejrzanego.

Jeśli dalej jest ten sam problem, to użyjesz jeszcze > MBAM
Na końcu klikniesz na Usuń zaznaczone.
Podasz z tego raport.

 

Zauważyłem ,że w panelu sterowania brak windows devender (biała ikona) w usługach nie można uruchomić

 

Zrób log z Farbar Service Scanner >http://download.blee.../farbar/FSS.exe (do skanowania zaznacz wszystko).

.



#10 jendrek007

jendrek007

    First Rank

  • Użytkownicy
  • 18 postów

Napisano 17 09 2013 - 19:48

Po skanowaniu MBAM nie można uruchomić windowsa tzn. ekran startowy "czekaj" i wisi. W trybie awaryjnym jest ok. Przywróciłem rejestr i jestem w punktcie wyjścia.

Załączone pliki



#11 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5774 postów
  • Płeć:Mężczyzna

Napisano 17 09 2013 - 20:03

Security Center Notification Icon =====> Unable to open HKLM\...\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC} key. The key does not exist.

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
"AutoStart"=""

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.

 

Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is set to Demand. The default start type is Auto

Teoretycznie już powinno się dać włączyć.

 

Checking ServiceDll of RemoteAccess: ATTENTION!=====> Unable to open RemoteAccess registry key. The service key does not exist.

Aż tak dobrze to nie znam się na Systemie. Ale pomyślę jeszcze nad tym ...

 

ATTENTION!=====> C:\Program Files\Windows Defender\MpSvc.dll Reparse point on file detected.

A tego w ogóle nie rozumiem.

 

Otwórz Notatnik i wklej w nim:

fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpSvc.dll"
pause

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT
Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator.

 

Szkody są podobne do tych, jakie w Systemie robi ZeroAcces, ale w logach go nie widzę.

Na wszelki wypadek:

Użyj >>RogueKiller (aby pobrać kliknij na obrazek po Lien de téléchargement :)
Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego.

 

Pobierz >>ESET ServicesRepair
Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.

 

EDIT:

Pomyślałem o braku klucza RemoteAcces.

Do Notatnika wklej:

Windows Registry Editor Version 5.00

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess]
"DisplayName"="@%Systemroot%\\system32\\mprdim.dll,-200"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%Systemroot%\\system32\\mprdim.dll,-201"
"ObjectName"="localSystem"
"ErrorControl"=dword:00000001
"Start"=dword:00000004
"Type"=dword:00000020
"DependOnGroup"=hex(7):4e,00,65,00,74,00,42,00,49,00,4f,00,53,00,47,00,72,00,\
  6f,00,75,00,70,00,00,00,00,00
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,53,00,00,00,42,00,66,00,65,00,\
  00,00,52,00,61,00,73,00,4d,00,61,00,6e,00,00,00,48,00,74,00,74,00,70,00,00,\
  00,00,00
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\
  00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
  67,00,65,00,00,00,53,00,65,00,4c,00,6f,00,61,00,64,00,44,00,72,00,69,00,76,\
  00,65,00,72,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,00,74,00,65,\
  00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,\
  41,00,75,00,64,00,69,00,74,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,\
  00,65,00,00,00,00,00
"FailureActions"=hex:84,03,00,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
"ConfigurationFlags"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Accounting]
"AccountSessionIdStart"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Accounting\Providers]
"ActiveProvider"="{1AA7F846-C7F5-11D0-A376-00C04FC9DA04}"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Accounting\Providers\{1AA7F840-C7F5-11D0-A376-00C04FC9DA04}]
"ConfigClsid"="{1AA7F840-C7F5-11D0-A376-00C04FC9DA04}"
"DisplayName"="@%Systemroot%\\system32\\mprddm.dll,-202"
"VendorName"="Microsoft"
"ProviderTypeGUID"="{76560D00-2BFD-11d2-9539-3078302C2030}"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Accounting\Providers\{1AA7F846-C7F5-11D0-A376-00C04FC9DA04}]
"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,\
  70,00,72,00,64,00,64,00,6d,00,2e,00,64,00,6c,00,6c,00,00,00
"ConfigClsid"=""
"DisplayName"="@%Systemroot%\\system32\\mprddm.dll,-203"
"ProviderTypeGUID"="{76560D81-2BFD-11d2-9539-3078302C2030}"
"VendorName"="Microsoft"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Authentication]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Authentication\Providers]
"ActiveProvider"="{1AA7F841-C7F5-11D0-A376-00C04FC9DA04}"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Authentication\Providers\{1AA7F83F-C7F5-11D0-A376-00C04FC9DA04}]
"ConfigClsid"="{1AA7F83F-C7F5-11D0-A376-00C04FC9DA04}"
"DisplayName"="@%Systemroot%\\system32\\mprddm.dll,-201"
"VendorName"="Microsoft"
"ProviderTypeGUID"="{76560D00-2BFD-11d2-9539-3078302C2030}"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Authentication\Providers\{1AA7F841-C7F5-11D0-A376-00C04FC9DA04}]
"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,\
  70,00,72,00,64,00,64,00,6d,00,2e,00,64,00,6c,00,6c,00,00,00
"ConfigClsid"=""
"DisplayName"="@%Systemroot%\\system32\\mprddm.dll,-200"
"VendorName"="Microsoft"
"ProviderTypeGUID"="{76560D01-2BFD-11d2-9539-3078302C2030}"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\DemandDialManager]
"DllPath"="%SystemRoot%\\System32\\mprddm.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Interfaces]
"Stamp"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Interfaces\0]
"InterfaceName"="Sprzężenie zwrotne"
"Type"=dword:00000005
"Enabled"=dword:00000001
"Stamp"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Interfaces\0\Ip]
"ProtocolId"=dword:00000021
"InterfaceInfo"=hex:01,00,00,00,68,00,00,00,03,00,00,00,05,00,ff,ff,48,00,00,\
  00,00,00,00,00,40,00,00,00,04,00,ff,ff,04,00,00,00,01,00,00,00,40,00,00,00,\
  07,00,ff,ff,10,00,00,00,01,00,00,00,48,00,00,00,00,00,00,00,01,00,00,00,00,\
  00,00,00,58,02,c2,01,08,07,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Interfaces\0\Ipv6]
"ProtocolId"=dword:00000057
"InterfaceInfo"=hex:01,00,00,00,68,00,00,00,03,00,00,00,05,00,ff,ff,48,00,00,\
  00,00,00,00,00,40,00,00,00,04,00,ff,ff,04,00,00,00,01,00,00,00,40,00,00,00,\
  07,00,ff,ff,10,00,00,00,01,00,00,00,48,00,00,00,00,00,00,00,01,00,00,00,00,\
  00,00,00,58,02,c2,01,08,07,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Interfaces\1]
"InterfaceName"="Wewnętrzne"
"Type"=dword:00000004
"Enabled"=dword:00000001
"Stamp"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Interfaces\1\Ip]
"ProtocolId"=dword:00000021
"InterfaceInfo"=hex:01,00,00,00,68,00,00,00,03,00,00,00,05,00,ff,ff,48,00,00,\
  00,00,00,00,00,40,00,00,00,04,00,ff,ff,04,00,00,00,01,00,00,00,40,00,00,00,\
  07,00,ff,ff,10,00,00,00,01,00,00,00,48,00,00,00,00,00,00,00,01,00,00,00,00,\
  00,00,00,58,02,c2,01,08,07,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Interfaces\1\Ipv6]
"ProtocolId"=dword:00000057
"InterfaceInfo"=hex:01,00,00,00,68,00,00,00,03,00,00,00,05,00,ff,ff,48,00,00,\
  00,00,00,00,00,40,00,00,00,04,00,ff,ff,04,00,00,00,01,00,00,00,40,00,00,00,\
  07,00,ff,ff,10,00,00,00,01,00,00,00,48,00,00,00,00,00,00,00,01,00,00,00,00,\
  00,00,00,58,02,c2,01,08,07,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Interfaces\2]
"InterfaceName"="{C0A4069B-7A4C-43F2-906A-4D4C1541A615}"
"Type"=dword:00000003
"Enabled"=dword:00000001
"Stamp"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Interfaces\2\Ip]
"ProtocolId"=dword:00000021
"InterfaceInfo"=hex:01,00,00,00,68,00,00,00,03,00,00,00,05,00,ff,ff,48,00,00,\
  00,00,00,00,00,40,00,00,00,04,00,ff,ff,04,00,00,00,01,00,00,00,40,00,00,00,\
  07,00,ff,ff,10,00,00,00,01,00,00,00,48,00,00,00,00,00,00,00,01,00,00,00,00,\
  00,00,00,58,02,c2,01,08,07,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Interfaces\2\Ipv6]
"ProtocolId"=dword:00000057
"InterfaceInfo"=hex:01,00,00,00,68,00,00,00,03,00,00,00,05,00,ff,ff,48,00,00,\
  00,00,00,00,00,40,00,00,00,04,00,ff,ff,04,00,00,00,01,00,00,00,40,00,00,00,\
  07,00,ff,ff,10,00,00,00,01,00,00,00,48,00,00,00,00,00,00,00,01,00,00,00,00,\
  00,00,00,58,02,c2,01,08,07,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Parameters]
"ServiceDLL"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  6d,00,70,00,72,00,64,00,69,00,6d,00,2e,00,64,00,6c,00,6c,00,00,00
"QuarantineInstalled"=dword:00000001
"LoggingFlags"=dword:00000002
"ServerFlags"=dword:00802602
"ServiceDllUnloadOnStop"=dword:00000001
"Stamp"=dword:00000000
"UsersConfigured"=dword:00000000
"RouterType"=dword:00000007

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Parameters\AccountLockout]
"MaxDenials"=dword:00000000
"ResetTime (mins)"=dword:00000b40

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Parameters\IKEV2]
"idleTimeout"=dword:0000012c
"networkBlackoutTime"=dword:00000708
"saLifeTime"=dword:00007080
"saDataSize"=dword:00019000
"ConfigOptions"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Parameters\Ip]
"AllowClientIpAddresses"=dword:00000000
"AllowNetworkAccess"=dword:00000001
"EnableIn"=dword:00000001
"EnableRoute"=dword:00000001
"IpAddress"="0.0.0.0"
"IpMask"="0.0.0.0"
"UseDhcpAddressing"=dword:00000001
"EnableNetbtBcastFwd"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Parameters\Ipv6]
"AdvertiseDefaultRoute"=dword:00000001
"AllowNetworkAccess"=dword:00000001
"EnableIn"=dword:00000000
"EnableRoute"=dword:00000001
"UseDhcpAddressing"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Parameters\Nbf]
"AllowNetworkAccess"=dword:00000001
"EnableIn"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Performance]
"Library"="rasctrs.dll"
"Open"="OpenRasPerformanceData"
"Close"="CloseRasPerformanceData"
"Collect"="CollectRasPerformanceData"
"InstallType"=dword:00000001
"PerfIniFile"="rasctrs.ini"
"First Counter"=dword:000007fe
"Last Counter"=dword:00000824
"First Help"=dword:000007ff
"Last Help"=dword:00000825

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy]
"Allow LM Authentication"=dword:00000000
"ProductDir"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  49,00,41,00,53,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\01]
@="IAS.ProxyPolicyEnforcer"
"Requests"="0 1 2"
"Responses"="0 1 2 3 4"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\02]
@="IAS.Realm"
"Providers"="1"
"Requests"="0 1"
"Responses"="0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\03]
@="IAS.Realm"
"Requests"="0 1"
"Responses"="0"
"Providers"="0 2"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\04]
@="IAS.NTSamNames"
"Providers"="1"
"Responses"="0"
"Requests"="0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\05]
@="IAS.CRPBasedEAP"
"Providers"="1"
"Requests"="0 2"
"Responses"="0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\06]
@="IAS.Realm"
"Providers"="1"
"Requests"="0"
"Responses"="0"
"Replays"="0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\07]
@="IAS.NTSamNames"
"Providers"="1"
"Requests"="0"
"Responses"="0"
"Replays"="0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\08]
@="IAS.MachineNameMapper"
"Providers"="1"
"Requests"="0"
"Responses"="0"
"Replays"="0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\09]
@="IAS.BaseCampHost"
"Replays"="0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\10]
@="IAS.RadiusProxy"
"Providers"="2"
"Responses"="0"
"Replays"="0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\11]
@="IAS.ExternalAuthNames"
"Providers"="2"
"Requests"="0"
"Responses"="1"
"Replays"="0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\12]
@="IAS.NTSamAuthentication"
"Requests"="0"
"Responses"="0 1 2"
"Providers"="1"
"Replays"="0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\13]
@="IAS.UserAccountValidation"
"Providers"="1 3"
"Requests"="0"
"Replays"="0"
"Responses"="0 1"
"Reasons"="33"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\14]
@="IAS.MachineAccountValidation"
"Providers"="1"
"Requests"="0"
"Responses"="0 1"
"Replays"="0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\15]
@="IAS.EAPIdentity"
"Providers"="1"
"Requests"="0"
"Replays"="0"
"Responses"="0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\16]
@="IAS.QuarantineEvaluator"
"Providers"="1"
"Requests"="0"
"Replays"="0"
"Responses"="0 1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\17]
@="IAS.PolicyEnforcer"
"Providers"="1 3"
"Requests"="0"
"Replays"="0"
"Responses"="0 1"
"Reasons"="33"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\18]
@="IAS.NTSamPerUser"
"Providers"="1 3"
"Requests"="0"
"Replays"="0"
"Responses"="0 1"
"Reasons"="33"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\19]
@="IAS.URHandler"
"Providers"="1 3"
"Requests"="0"
"Replays"="0"
"Responses"="0 1"
"Reasons"="33"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\20]
@="IAS.RAPBasedEAP"
"Providers"="1"
"Requests"="0 2"
"Replays"="0"
"Responses"="0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\21]
@="IAS.PostEapRestrictions"
"Providers"="0 1 3"
"Requests"="0"
"Replays"="0"
"Responses"="0 1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\22]
@="IAS.PostQuarantineEvaluator"
"Providers"="1"
"Requests"="0"
"Replays"="0"
"Responses"="1 2 5"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\23]
@="IAS.ChangePassword"
"Providers"="1"
"Requests"="0"
"Replays"="0"
"Responses"="1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\24]
@="IAS.AuthorizationHost"
"Replays"="0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\25]
@="IAS.EAPTerminator"
"Providers"="0 1"
"Requests"="0 2"
"Replays"="0"
"Responses"="1 2 3 5"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\26]
@="IAS.DatabaseAccounting"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\27]
@="IAS.Accounting"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Policy\Pipeline\28]
@="IAS.MSChapErrorReporter"
"Providers"="0 1 3"
"Requests"="0"
"Replays"="0"
"Responses"="2"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\RouterManagers]
"Stamp"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\RouterManagers\Ip]
"ProtocolId"=dword:00000021
"GlobalInfo"=hex:01,00,00,00,78,00,00,00,02,00,00,00,03,00,ff,ff,08,00,00,00,\
  01,00,00,00,30,00,00,00,06,00,ff,ff,34,00,00,00,01,00,00,00,38,00,00,00,00,\
  00,00,00,00,00,00,00,01,00,00,00,06,00,00,00,02,00,00,00,01,00,00,00,03,00,\
  00,00,0a,00,00,00,16,27,00,00,03,00,00,00,17,27,00,00,05,00,00,00,12,27,00,\
  00,07,00,00,00,08,00,00,00,78,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"DLLPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,69,\
  00,70,00,72,00,74,00,72,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\RouterManagers\Ipv6]
"ProtocolId"=dword:00000057
"GlobalInfo"=hex:01,00,00,00,78,00,00,00,02,00,00,00,0f,00,ff,ff,08,00,00,00,\
  01,00,00,00,30,00,00,00,06,00,ff,ff,34,00,00,00,01,00,00,00,38,00,00,00,00,\
  00,00,00,00,00,00,00,01,00,00,00,06,00,00,00,02,00,00,00,01,00,00,00,16,27,\
  00,00,03,00,00,00,17,27,00,00,05,00,00,00,12,27,00,00,07,00,00,00,03,00,00,\
  00,0a,00,00,00,08,00,00,00,78,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"DLLPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,69,\
  00,70,00,72,00,74,00,72,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\RoutingTableManager]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\RoutingTableManager\Instance 00000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\RoutingTableManager\Instance 00000\AddressFamily 00002]
"AddressSize"=dword:00000004
"MaxChangeNotifyRegistrations"=dword:00000010
"MaxHandlesReturnedInEnum"=dword:00000019
"MaxNextHopsInRoute"=dword:00000003
"MaxOpaqueInfoPointers"=dword:00000005
"ViewsSupported"=dword:00000003

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\RoutingTableManager\Instance 00000\AddressFamily 00023]
"AddressSize"=dword:00000010
"MaxChangeNotifyRegistrations"=dword:00000010
"MaxHandlesReturnedInEnum"=dword:00000019
"MaxNextHopsInRoute"=dword:00000003
"MaxOpaqueInfoPointers"=dword:00000005
"ViewsSupported"=dword:00000003

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteAccess\Security]
"Security"=hex:01,00,04,80,5c,00,00,00,68,00,00,00,00,00,00,00,14,00,00,00,02,\
  00,48,00,03,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,\
  00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,\
  00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,01,01,00,00,\
  00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.

 

Zrób nowy log z FSS.

.

.



#12 jendrek007

jendrek007

    First Rank

  • Użytkownicy
  • 18 postów

Napisano 20 09 2013 - 16:48

Wszystko jest OK!!! po skanowaniu RogueKiller

Dziękuje bardzo!

Załączone pliki



#13 jendrek007

jendrek007

    First Rank

  • Użytkownicy
  • 18 postów

Napisano 20 09 2013 - 16:52

Ale zauważyłem, że jest problem z uruchomieniem Defendera błąd 0x800106ba



#14 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5774 postów
  • Płeć:Mężczyzna

Napisano 20 09 2013 - 18:36

RogueKiller wcale nie wykrył ZeroAcces'a, choć wykrył łącza do niego.

A skoro nie ma infekcji, to sprawa nie dla mnie.

 

 

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

FSS - usuń ręcznie.

ESET Service Repair - usuń ręcznie.

RogueKiller - usuń ręcznie.

 

jest problem z uruchomieniem Defendera błąd 0x800106ba

 

To już problem dla znawców Systemu.

http://support.micro...om/kb/931849/pl

 

Zgłosiłem już Moderatorom, by pomyśleli o przesunięciu tego tematu do jakiegoś innego, bardziej odpowiedniego działu Forum.

.



#15 jendrek007

jendrek007

    First Rank

  • Użytkownicy
  • 18 postów

Napisano 27 09 2013 - 17:43

Uruchomiłem defendera ręcznie i działa. Dziękuje bardzo za pomoc temat uważam za zamknięty.






Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych