rudyesq Opublikowano 18 Listopada 2014 Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Witam, Jakiś czas temu dorobiłem się wirusa PWS:Win32/Zbot.gen!plock i pomimo najszczerszych chęci i zapytań wujka google nie jestem w stanie się drania pozbyć. W temacie prawidłowego podania problemu. 1. Głownie upierdliwość w tym usuwanie ikon z paska powiadomień i killowanie antywira oraz standardowe zagrożenie malwarem. 2. Aby dziada usunąć próbowałem microsoft security essentials, adaware, ccleaner - nie pomogło 3. Nie prosiłem nikogo innego o pomoc więc nic nie było kombinowane. Zamieszczam print screena z antywira oraz jako załączniki wymagane logi. Dzięki serdeczne za pomoc. Shortcut.txt Addition.txt Extras.Txt FRST.txt gmer.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2014 Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Tak, w systemie są czynne infekcje, w tym Sathurbot ładowany metodą ShellIconOverlayIdentifiers. Ponadto są też liczne wpisy odpadkowe adware (m.in. przekierowania istartsurf.com). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll () HKU\S-1-5-21-553344540-897006182-1067068338-1000\...\Run: [iZsoft] => regsvr32.exe C:\Users\Remek\AppData\Local\IZsoft\Acrofx32.dll HKU\S-1-5-21-553344540-897006182-1067068338-1000\...\Run: [iksoft] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Remek\AppData\Local\Ugmedia\Acrofx32.dll HKU\S-1-5-21-553344540-897006182-1067068338-1000\...\Policies\Explorer: [Run] "C:\Users\Remek\AppData\Roaming\Microsoft\Windows\IEUpdate\esentutl.exe" Reg: reg query HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce HKU\S-1-5-18\...\RunOnce: [Application Restart #2] => C:\Windows\SysWOW64\calc.exe [776192 2010-11-20] (Microsoft Corporation) BootExecute: autocheck autochk * lsdelete S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X] S3 KiesAllShare; C:\Program Files (x86)\Samsung\Kies\WiselinkPro\WiselinkPro.exe [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 GPU-Z; \??\C:\Users\Remek\AppData\Local\Temp\GPU-Z.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath Task: {296C04A8-FA06-460F-B2CC-5B0F211837A2} - System32\Tasks\RI => C:\Users\Remek\AppData\Roaming\RI.exe Task: {2D7D7070-A6F2-4A0B-989D-929A5D843999} - \Security Center Update - 3469905027 No Task File Task: {44964D54-A3A5-4B7C-AB80-40A05E58AC04} - System32\Tasks\{0F5489D2-F6D9-40DF-A18E-F15B1A266CE5} => D:\gry\Total War Shogun 2\Shogun2.exe Task: {667C0599-BD1A-413B-A92C-A039A1E01175} - System32\Tasks\{7EAE4927-8A23-423A-B96D-79524BED8A8A} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.1.0.112.259&LastError=0 Task: {C8E21006-6E2E-4EF5-8CAD-EB6E1A9D8712} - System32\Tasks\SELU => C:\Users\Remek\AppData\Roaming\SELU.exe Task: {D418128A-7712-45F1-A1FA-FE8B62F98BEC} - System32\Tasks\ISXX => C:\Users\Remek\AppData\Roaming\ISXX.exe Task: {EEE16566-BFFE-429E-BE04-D8D0126A311F} - System32\Tasks\VIQHFUCG => C:\Users\Remek\AppData\Roaming\VIQHFUCG.exe Task: {EFBB96C5-C6BF-4C1F-994B-043B0553F2A0} - System32\Tasks\NSUROF => C:\Users\Remek\AppData\Roaming\NSUROF.exe Task: {F238DCBF-E828-4C73-9605-8B46CC7036E2} - System32\Tasks\WEMJ => C:\Users\Remek\AppData\Roaming\WEMJ.exe Task: {F2B5BCBC-30E7-416B-89CF-2B853CFB4634} - System32\Tasks\{8F931B67-8B77-405E-8DA2-3AE9B6C6FBF6} => D:\gry\Total War Shogun 2\Shogun2.exe Task: C:\Windows\Tasks\ISXX.job => C:\Users\Remek\AppData\Roaming\ISXX.exe Task: C:\Windows\Tasks\NSUROF.job => C:\Users\Remek\AppData\Roaming\NSUROF.exe Task: C:\Windows\Tasks\RI.job => C:\Users\Remek\AppData\Roaming\RI.exe Task: C:\Windows\Tasks\SELU.job => C:\Users\Remek\AppData\Roaming\SELU.exe Task: C:\Windows\Tasks\VIQHFUCG.job => C:\Users\Remek\AppData\Roaming\VIQHFUCG.exe Task: C:\Windows\Tasks\WEMJ.job => C:\Users\Remek\AppData\Roaming\WEMJ.exe ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> DefaultScope {0D7562AE-8EF6-416d-A838-AB665251703A} URL = http://start.facemoods.com/?a=ostpl&s={searchTerms}&f=4 SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {0D7562AE-8EF6-416d-A838-AB665251703A} URL = http://start.facemoods.com/?a=ostpl&s={searchTerms}&f=4 SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {5F970FDE-702B-4ef9-920C-5F2848A5AF26} URL = http://www.daemon-search.com/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {E8FA2325-7F80-4757-83C1-4DA099082835} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=F9A780BD-8EF8-4ACB-B625-28DB11D43D6E&apn_sauid=FCD22013-E420-4A72-ADE2-B432F89CD7DE BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File Toolbar: HKLM - No Name - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - No File Toolbar: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF HKLM-x32\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\DivXHTML5 FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Remek\AppData\Roaming\Mozilla\Firefox\Profiles\5xlcivj9.default-1341663662249\extensions\faststartff@gmail.com C:\Program Files (x86)\mozilla firefox\browser\searchplugins\istartsurf.xml C:\Program Files (x86)\mozilla firefox\extensions C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files (x86)\hdvidcodec.com C:\ProgramData\*.dll C:\ProgramData\IePluginServices C:\ProgramData\Microsoft\Secure C:\ProgramData\Temp C:\ProgramData\WindowsMangerProtect C:\Users\Remek\AppData\Local\IZsoft C:\Users\Remek\AppData\Local\Mobogenie C:\Users\Remek\AppData\Local\Ugmedia C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\hdvidcodec.com C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Remek\AppData\Roaming\newnext.me C:\Users\Remek\AppData\Roaming\Temp C:\Users\Remek\AppData\Roaming\VOPackage C:\Users\Remek\AppData\Roaming\WebExtend C:\Users\Remek\AppData\Roaming\Zaboti C:\Users\Remek\AppData\Roaming\Microsoft\Windows\IEUpdate C:\Users\serwis\AppData\Roaming\Asus WebStorage C:\Windows\system32\Drivers\etc\hosts.txt Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Remek\AppData\Local CMD: dir /a C:\Users\Remek\AppData\LocalLow CMD: dir /a C:\Users\Remek\AppData\Roaming CMD: dir /a C:\Users\Remek\AppData\Roaming\Microsoft\Windows Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj stare wersje: Acrobat.com, Ad-Aware, Adobe Flash Player 10 ActiveX, Java 7 Update 67. 3. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie potem przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
rudyesq Opublikowano 18 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Witam, zrobiłem wszystko zgodnie z instrukcjami. w załączeniu dodatkowe logi. Pozdrawiam Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2014 Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Wszystko gładko poszło, infekcje nie są już czynne. Jest tu jeszcze jakiś problem z Dziennikiem zdarzeń oraz wymagane inne poprawki: 1. Zapomniałam załączyć do deinstalacji JavaFX 2.1.1 i MyFreeCodec (zbędnik Samsung Kies), więc odinstaluj. 2. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: S0 Lbd; system32\DRIVERS\Lbd.sys [X] Task: {615DE320-375D-4EDB-8DAE-2930E930388F} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File DPF: HKLM-x32 {8AD9C840-044E-11D1-B3E9-00805F499D93} DPF: HKLM-x32 {CAFEEFAC-0017-0000-0067-ABCDEFFEDCBA} DPF: HKLM-x32 {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} C:\aaw7boot.log C:\Program Files\SkanerOnline C:\Program Files (x86)\Astroburn Toolbar C:\Program Files (x86)\FlashGet Network C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Java C:\Program Files (x86)\Lavasoft C:\Program Files (x86)\Opera C:\Program Files (x86)\SupTab C:\Program Files (x86)\Temp C:\Program Files (x86)\v9Soft C:\ProgramData\Ask C:\ProgramData\Astroburn Lite C:\ProgramData\boost_interprocess C:\ProgramData\Lavasoft C:\ProgramData\McAfee C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Oracle C:\ProgramData\Partner C:\ProgramData\Sun C:\ProgramData\{*}.log C:\Users\Remek\AppData\Local\cache C:\Users\Remek\AppData\Local\genienext C:\Users\Remek\AppData\Local\globalUpdate C:\Users\Remek\AppData\Local\Opera Software C:\Users\Remek\AppData\Local\Sunbelt Software C:\Users\Remek\AppData\Local\uninst.tmp C:\Users\Remek\AppData\LocalLow\boost_interprocess C:\Users\Remek\AppData\LocalLow\facemoods.com C:\Users\Remek\AppData\LocalLow\Oracle C:\Users\Remek\AppData\LocalLow\Sun C:\Users\Remek\AppData\LocalLow\Temp C:\Users\Remek\AppData\Roaming\FlashGet C:\Users\Remek\AppData\Roaming\FlashGetBHO C:\Users\Remek\AppData\Roaming\Mozilla\Firefox\Profiles\sd9ervls.default C:\Users\Remek\AppData\Roaming\Opera Software C:\Users\Remek\AppData\Roaming\ISXX C:\Users\Remek\AppData\Roaming\NSUROF C:\Users\Remek\AppData\Roaming\RI C:\Users\Remek\AppData\Roaming\SELU C:\Users\Remek\AppData\Roaming\VIQHFUCG C:\Users\Remek\AppData\Roaming\WEMJ C:\Windows\SysWOW64\rp_rules.dat C:\Windows\SysWOW64\rp_stats.dat CMD: sc config Eventlog start= auto Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie kolejny plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
rudyesq Opublikowano 18 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Ok zrobione zgodnie z instrukcjami, w załączeniu logi. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2014 Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Zadania w większości wykonane, ale nadal jest problem z Dziennikiem zdarzeń. Kolejna porcja czynności. Otwórz Notatnik i wklej w nim: S3 ACDaemon; C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [X] FF Plugin-x32: @java.com/DTPlugin,version=10.5.1 -> C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) C:\Windows\SysWOW64\deployJava1.dll RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\MyFree Codec RemoveDirectory: C:\Users\Remek\Desktop\Stare dane programu Firefox ListPermissions: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Eventlog /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt /s File: C:\Windows\system32\wevtsvc.dll Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
rudyesq Opublikowano 18 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2014 ok, logi w załączeniu Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2014 Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Miałeś pokazać tylko plik fixlog.txt. Nie prosiłam ponownie o nowe raporty FRST i je usuwam, gdyż ilość zmian nieomal nienotowalna. Gdy są potrzebne, wyraźnie to zaznaczam. Dziennik zdarzeń jakoby wygląda poprawnie na poziomie rejestru, może są uszkodzone pliki EVTX Dziennika. Spróbujmy je usunąć: 1. Przenieś FRST z folderu Pobrane do folderu C:\FRST. Otwórz Notatnik i wklej w nim: CMD: del /q C:\Windows\System32\winevt\Logs\*.evtx Plik zapisz pod nazwą fixlist.txt w folderze C:\FRST. 2. Skrypt nie będzie uruchamiany spod Windows. F8 > Napraw komputer > Wiersz polecenia > Uruchom zgodnie z opisem FRST: KLIK. Zamiast komendy X:\FRST64.exe wpisujesz komendę C:\FRST\FRST64.exe i ENTER. Po uruchomieniu FRST klik w Fix. W folderze C:\FRST powstanie świeży plik fixlog.txt. 3. Zastartuj do Windows. Zrób nowy log FRST z opcji Scan zaznaczając pole Addition, ale tylko plik Addition mi zaprezentuj. Dołącz też fixlog.txt. . Odnośnik do komentarza
rudyesq Opublikowano 18 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Ok, logi w załączeniu: Fixlog.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2014 Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Niestety jest bez zmian. 1. Zweryfikuj poprawność plików systemowych: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. 2. Jeszcze podaj mi co się pokazuje podczas próby ręcznego uruchomienia Dziennika: Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj usługę Dziennik zdarzeń > dwuklik i klik w przycisk Uruchom. Podaj jaki błąd występuje. Odnośnik do komentarza
rudyesq Opublikowano 18 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2014 zgodnie z życzeniem screen z próby sfc.txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2014 Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Błąd 4201 usługi Dziennika kręci się wokół WMI. Zauważyłam już wcześniej, że jest coś nie tak z WMI, gdyż skan FRST w pewnych momentach nie mógł pobrać nazw rozszerzeń Firefox (funkcjonalność FRST bazuje na WMI). Sprawdzałam nawet w jednym ze skryptów stan usługi Winmgmt w rejestrze. Poproszę o kolejne dane. Otwórz Notatnik i wklej w nim: ListPermissions: C:\Windows\System32\LogFiles\WMI ListPermissions: C:\Windows\System32\LogFiles\WMI\RtBackup Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
rudyesq Opublikowano 18 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Się robi się Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2014 Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Problem stanowią wadliwe uprawnienia folderu C:\Windows\System32\LogFiles\WMI\RtBackup, brakuje konta SYSTEM, które musi mieć Pełną kontrolę. Akcja naprawcza: 1. Otwórz Notatnik i wklej w nim: CMD: icacls C:\Windows\System32\LogFiles\WMI\RtBackup /grant SYSTEM:F /T Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.System zostanie zresetowany. Powstanie kolejny fixlog.txt. 2. Zrób nowy skan FRST z zaznaczonym polem Addition i tylko ten plik mi dostarcz. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
rudyesq Opublikowano 18 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2014 podsyłam logi Fixlog.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2014 Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Nareszcie, Dziennik zdarzeń naprawiony. Sprawny Dziennik nagrał poniższy błąd - będę to jeszcze diagnozować, a w kwestii reszty to już przechodzimy do cyzelowania. System errors: ============= Error: (11/19/2014 00:13:13 AM) (Source: DCOM) (EventID: 10016) (User: ZARZĄDZANIE NT) Description: właściwe dla aplikacjiLokalnyUruchom{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}ZARZĄDZANIE NTUSŁUGA LOKALNAS-1-5-19LocalHost (użycie LRPC) Error: (11/19/2014 00:13:08 AM) (Source: DCOM) (EventID: 10016) (User: ZARZĄDZANIE NT) Description: właściwe dla aplikacjiLokalnyUruchom{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}ZARZĄDZANIE NTSYSTEMS-1-5-18LocalHost (użycie LRPC) Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: ListPermissions: HKLM\SOFTWARE\Classes\AppID\{344ED43D-D086-4961-86A6-1106F4ACAD9B} ListPermissions: HKLM\SOFTWARE\Classes\CLSID\{C97FCC79-E628-407D-AE68-A06AD6D8B4D1} Reg: reg query HKLM\SOFTWARE\Classes\AppID\{344ED43D-D086-4961-86A6-1106F4ACAD9B} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{C97FCC79-E628-407D-AE68-A06AD6D8B4D1} /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. przedstaw logi utworzone w folderze C:\AdwCleaner. . Odnośnik do komentarza
rudyesq Opublikowano 19 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2014 czynności wykonane, w załączeniu logi. W wyniku naszych działań przestał mi działać Corel. zamieszczam screen. Pozdrawiam Fixlog.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2014 Zgłoś Udostępnij Opublikowano 19 Listopada 2014 W wyniku naszych działań przestał mi działać Corel. AdwCleaner uszkodził instalację kasując ten klucz omyłkowo: Klucz Usunięto : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 Ten problem zgłaszałam autorowi już dawno temu, a bug wraca. W ostatnich tematach ręcznie odtwarzałam tego typu klucze z kopii zapasowej FRST. 1. Na początek pobór danych oraz także operacje na kluczach zgłaszanych w Dzienniku zdarzeń. Otwórz Notatnik i wklej w nim: Reg: reg load HKLM\Temp C:\FRST\Hives\SOFTWARE Reg: reg query HKLM\Temp\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /s Reg: reg unload HKLM\Temp Unlock: HKLM\SOFTWARE\Classes\AppID\{344ED43D-D086-4961-86A6-1106F4ACAD9B} Unlock: HKLM\SOFTWARE\Classes\CLSID\{C97FCC79-E628-407D-AE68-A06AD6D8B4D1} ListPermissions: HKLM\SOFTWARE\Classes\AppID\{344ED43D-D086-4961-86A6-1106F4ACAD9B} ListPermissions: HKLM\SOFTWARE\Classes\CLSID\{C97FCC79-E628-407D-AE68-A06AD6D8B4D1} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. AdwCleaner również skasował z Google Chrome folder rozszerzenia Skype Click to Call. Ustawienia > karta Rozszerzenia > odinstaluj szczątek, o ile nadal widać. 3. Wyczyść Dziennik zdarzeń: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator > w sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. 4. Zresetuj system. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, dostarcz oba logi oraz plik fixlog.txt. . Odnośnik do komentarza
rudyesq Opublikowano 19 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2014 w załączeniu logi, chromem się nie przejmuj usunę całego w wolnej chwili, corel dalej nie działa. Addition.txt FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2014 Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Te błędy DCOM nadal są w Dzienniku nagrywane, nie jest to jednak problem krytyczny i potem będę analizować sprawę. Jeśli chodzi o uszkodzenia wywołane AdwCleaner, otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /f Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v 9A3215C78A0344C498AC8A8CA7F1CC19 /t REG_SZ /d C?\Windows\SysWOW64\msvcr71.dll /f Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v 21F1DBD139DE0C947ACC65BCED841885 /t REG_SZ /d "C:\Program Files (x86)\ASUS\ASUS LifeFrame3\msvcr71.dll" /f Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /s Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Pokaż wynikowy fixlog.txt, a także podaj czy nadal się uruchamia to okno CorelDRAW. Odnośnik do komentarza
rudyesq Opublikowano 19 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Corel dalej dead podsyłam screen oraz log Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2014 Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Klucz został poprawnie odtworzony. Skoro nadal są błędy Corela, to czy na pewno tego nie było wcześniej? I w takiej sytuacji zostaje już reinstalacja programu. Kolejne działania: 1. Reinstalalacja CorelDRAW: W pierwszej kolejności odinstaluj program normalnie poprzez Panel sterowania. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy na liście widać pozycje CorelDRAW, jeśli tak to podświetl i Dalej. Zainstaluj CorelDRAW. 2. W AdwCleaner zastosuj opcję Odinstaluj. 3. Zainstaluj Malwarebytes Anti-Malware (przy instalacji odznacz trial). Wykonaj pełny skan systemu, a jeśli coś zostanie wykryte, dostarcz raport. . Odnośnik do komentarza
rudyesq Opublikowano 19 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Więc tak, stwierdziłem, że przeinstaluje Corela, usunąłem zgodnie ze wskazówkami. Ale z instalacją jest problem, myślałem, że tylko z moją wersją jednak po ściągnięciu ze strony corel.com triala instalator stwierdza, że screeny poniżej. Jak tylko skaner skończy podłączę również raport. Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2014 Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Ale z instalacją jest problem, myślałem, że tylko z moją wersją jednak po ściągnięciu ze strony corel.com triala instalator stwierdza, że screeny poniżej. Sprawdź czy coś pomoże reset ustawień Internet Explorer: Opcje internetowe > Zaawansowane > Resetuj. Jak tylko skaner skończy podłączę również raport. Log z MBAM jest całkowicie pusty. Proszę ponownie zapisz wyniki. Odnośnik do komentarza
rudyesq Opublikowano 19 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2014 loga wyeksportować do txt nie mogę przesyłam screen Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się