picasso

Na temat używania ComboFix: KLIK. Niepełny log OTL, brak pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania") = pro forma dołącz. W dostarczonych materiałach brak oznak infekcji, a odczyt "unknown MBR code" w GMER nic nie oznacza (jest tu zresztą zainstalowany Acronis, który implementuje się w MBR i odczyt pewnie z tego powodu). Temat przenoszę do działu Sieci, dostosuj się do zasad i podaj inne wymagane raporty: KLIK. Od siebie dodam od razu: 1. Jest tu czynne IPv6: DRV - [2010-02-11 13:01:43 | 000,226,880 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tcpip6.sys -- (Tcpip6) 2. A to zbyt słaby test: Programy zabezpieczające tworzą tego rodzaju ingerencje, że nie jest możliwym zlikwidować to drobnym "wyłączeniem", tylko deinstalacja daje pewność 100%. Drobne komentarze spoza: - Wynik MBAM bez znaczenia (adware), a pochodzi z punktu Przywracania systemu (magazyn izolowany i nie gra roli dopóki nie cofniesz stanu systemu tą funkcją). Wyczyść sobie te foldery i cześć: KLIK. - Działa w tle Spybot - Search & Destroy, sugeruję deinstalację, program słaby. - Doczyść wpisy odpadkowe. Instrukcje w spoilerze. - Fatalny stan aktualizacji systemu: Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) .

Prawie wszystko zrobione, został do upłynnienia link symboliczny ZeroAccess oraz drobne korekty. 1. Uruchom GrantPerms i w oknie wklej: C:\Windows\$NtUninstallKB60528$ Klik w Unlock. 2. Otwórz Notatnik i wklej w nim: fsutil reparsepoint delete C:\Windows\$NtUninstallKB60528$ sc delete VideoAcceleratorService sc delete "Lavasoft Kernexplorer" reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f reg delete HKLM\Software\MozillaPlugins\adobe.com/AdobeAAMDetect /f rd /s /q "C:\Users\user\Desktop\Stare dane programu Firefox" rd /s /q "C:\Users\user\Desktop\Stare dane programu Firefox-1" pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i z menu wybierz opcję Uruchom jako Administrator. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras). .

Poproszę o log dodatkowy zrobiony przy wszystkich podpiętych urządzeniach, czyli USBFix z opcji Listing. .

W raporcie z USBFix nic podejrzanego na pendrive. Skrypt OTL pomyślnie wykonany. W pliku Preferences Google Chrome więcej śmieci: Kolejne czynności: 1. Przesyłam zedytowany plik Preferences: KLIK. Podmień pliki przy zamkniętej przeglądarce (nie może być uruchomiona!). Po tym uruchom Google Chrome, by sprawdzić czy przyjęło edytowany plik i nie wyrzuca błędu podczas uruchomienia. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zrób dla pewności pełny skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. 5. Nałóż zabezpieczenie via Panda USB Vaccine: po stronie systemu (opcja Computer Vaccination) + na obrobionym tu już pendrive (opcja USB Vaccination). .

Dane bezużyteczne. Logi muszą być zrobione z poziomu zalogowanego konta chorego, z poziomu innych kont nie będzie widać infekcji uruchamianej na innym koncie. W dostarczonym logu nic oczywiście nie widać. Przeprowadź co następuje: - Przenieś OTL ze ścieżki indywidualnej danego konta do ścieżki dzielonej między wszystkie konta. Czyli C:\Users\zosia\Desktop\OTL.exe > C:\OTL.exe. - Wyłącz komputer (zasilanie off) i odczekaj kilka minut. To ma w zamiarze "zresetować" pojawianie się menu F8. - Start w Trybie awaryjnym z obsługą Wiersza polecenia, logowanie na właściwe zainfekowane konto, w linii komend uruchom OTL wklepując C:\OTL.exe i ENTER. .

Ale logi z OTL (zresztą źle ustawione: opcja Rejestr ma być równa Użyj filtrowania a nie Wszystko) tu są bezużyteczne i nie widać w nich infekcji, bo zrobione z poziomu wbudowanego Administratora a nie konta użytkownika: Computer Name: W-T108-306 | User Name: Administrator | Logged in as Administrator. Konta mają inne rejestry i foldery, nie widzą między sobą zawartości. Log z OTL musi powstać z poziomu zainfekowanego konta. Zastartuj komputer do Trybu awaryjnego z Wierszem polecenia, zaloguj się na właściwe konto, wklep komendę C:\WINDOWS\dwrcs\Uploads\OTL.exe i ENTER, zrób nowe logi. .

W Autoruns pewnie jej nie widać, bo ciągle zapominam o felerze Autoruns: on pokazuje tylko usługi czynne + uszkodzone ("not found"), ale nie wyłączone. W cmd uruchomionym jako Administrator wklep: sc delete "Acronis Scheduler2 Service" A gdy uporasz się ze wszystkim i zgłosisz z materiałami finałowymi (fixlog.txt + Dzienniki zdarzeń + raport z pracy systemu), dorzuć na wszelki wypadek OTL na ustawieniach: tylko opcję Usługi ustaw na Wszystko, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. .

Te ustawienia w tweakerach zanalizuję potem. To problemy techniczne po mojej stronie: KLIK. Pytam o dodatkowe ręczne czyszczenie. Oczyszczanie dysku odbyło się na przełomie 20/21 luty. Sekcja Aplikacje ma tylko i wyłącznie błędy z dwóch dni 23/24 luty i żadnych innych typów zdarzeń informacyjnych (co wydało mi się "podejrzane", bo programów dużo i jakieś inne informacje być może powinny być nagrywane), w odróżnieniu od sekcji SYSTEM, która trzyma nagrania od stycznia i różnego typu nagrania (błędy, ostrzeżenie, informacje). Ale nie dywagujmy już nad tym, otrzymam i tak nowe Dzienniki. Szafowanie dyskami mogło coś zmienić, ale błąd był pochodną Acronisa. Tu masz materiały poglądowe: KLIK, KLIK. Pro forma zapytam: czy podczas tego "przepinania" nie uruchamiał się moduł naprawy startu Windows 7, czy w Acronisie na drugim systemie były przestawianie jakieś opcje związane z rozruchem? Wypowiedź nie była dla mnie dostatecznie jasna, ja muszę mieć wyraźnie napisane co już nie zachodzi, bo brak informacji interpretuję jako występowanie problemu. Skoro zniknęły problemy z długą reakcją UAC i Ashampoo oraz przesuwaniem okien = COMODO, bo to jedyna ingerencja tego kalibru tu wykonana. Czyli z tego wynika, że aktualne problemy to "tylko" punkty 1+2 z pierwszego posta, ale czy z punktu 1 także to (?): "Jesli jesteśmy przy rozruchu - to przez pierwsze 15 - 20 minut (licząc od chwili dostania się na pulpit) wszystkie włączane aplikacje uruchamiają się niezwykle i irytująco długo." - Właściwości folderów > Dostosowywanie > Optymalizuj ten folder dla... > czy typ folderu dobrany zgodnie z zawartością + czy jest zaznaczone Zastosuj ten szablon także do wszystkich podfolderów? Miałam jeden folder u siebie z obrazami ustawiony na właściwą matrycę Obrazy, którego otwieranie się jednak "męczyło" i hurgoty w tle wskazujące na jakieś straszliwe myślenie systemu, zaptaszkowałam zastosowanie szablonów do podfolderów i problem ustąpił na tym folderze, tzn. otwiera mi się błyskawicznie i cicho. - Prewencyjnie możesz wyczyścić też cache miniatur, by się zaktualizowało: Start > Wszystkie programy > Akcesoria > Narzędzia systemowe > Oczyszczanie dysku > Miniatury - VMware USB Arbitration Service zostało wyłączone, a po tym VMWare startuje poprawnie, zostaw tę usługę na razie wyłączoną. Ona ma związek z nagrywaniem ostrzeżeń hcmon relatywnych do AMD. Zawsze można będzie ją z powrotem włączyć w dowolnej chwili. - Cała reszta nadal aktualna, komunikat o nośnikach USB ma tylko zazębienie z wyłączeniem usługi VMWare USB Arbitration Service. Reszta błędów VMWare była innego typu (od NAT i liczników wydajności), co należy adresować z osobna. - Widocznie nawet najnowsza wersja VMWare nie supportuje określonych sterowników USB firm trzecich. Ostrzeżenia w Dzienniku na pewno są związane z aktualizacją sterowników chipsetu AMD, w ostrzeżeniu jest nazwa sterownika AMD (usbfilter). Artykuł w bazie wiedzy VMWare (nadal nie możesz go otworzyć? ja bez problemu) dedykuje inny rodzaj błędu, podałam go tylko poglądowo, bo tam jest opis komponentu AMD, który jest oczywiście teraz u Ciebie w systemie. - HOSTS Anti-PUPs to nie malware, ale może być tak interpretowane, we francuskim opisie narzędzia jest to nawet punktowane, że antywirusy będą walić false positivy (pokazane obrazki Avira + MSSE zgłaszające "niepożądane modyfikacje"). Akurat zgłoszenia COMODO na HOSTS Anti-PUPs to norma i pewnie wiele innych antywirusów spoza już tu wylicznych też tak będzie reagować. Moduł ma aktualizować plik HOSTS, a ta akcja jest widziana przez programy zabezpieczające jako próba szkodliwej ingerencji, program nie ocenia rodzaju modyfikacji tylko jej próbę. - COMODO nie ma związku. Napisałam przecież: "Sprawdziłam to dziwo, u mnie to samo, czyli usługa się zawiesza.". W moim systemie usługa nagrywa identyczny błąd w Dzienniku zdarzeń. Skoro błąd = coś nie tak z tą usługą. - Skutki uboczne: nie pisałam o nich. Skutki są takie: duży plik HOSTS przetwarzający kilka-kilkanaście tysięcy wpisów (a do tego zmierzają w tej modyfikacji HOSTS, bo uwzględnić blokowanie domen malware to dziś karkołomne zadanie) wchodzi w kolizję z usługą systemową Klient DNS, co może mieć efekt w spowolnieniu systemu. - O co mi chodzi z "siekierką i kijkiem": niezależnie od tego czym jest robiona modyfikacja tego pliku (ręcznie lub automaty HOSTS Anti-PUPs / AdwCleaner / Spybot i inne) w takim tonie (gruby plik z definicjami adresów), jest to archaiczna metoda prewencji przed malware. Domeny malware powstają jak grzyby po deszczu, nie jest możliwym nadążyć za tym, a plik HOSTS rośnie w zastraszającym tempie, co zmierza do: patrz wyżej na "skutki uboczne". - Na forum stosuję AdwCleaner tylko i wyłącznie na opcjach Szukaj + Usuń + Odinstaluj, ale nie polecam extra bagażnika HOSTS Anti-PUPs, który próbuje się wciskać bodajże przy deinstalacji. Jak mówię: u Ciebie brak widocznej modyfikacji HOSTS, błąd usługi w Dzienniku = aplikacja wylatuje i to bez żalu. W kwestii: Nie wiem o co chodzi. Czy nadal na dysku widzisz folder C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs? Dlatego też została zadana do wyłączenia w services.msc usługa aktualizatora, czyli Internet Manager. RunOuc. Jałowy, bo zbędny, to nie jest krytyczny i niezbędny proces. Im mniej się próbuje uruchamiać, tym lepiej, zwłaszcza na systemie który jest polem minowym software. Procesy aktualizacji sterowników powinny być zresztą kontrolowane i wykonywane ręcznie. A błąd punktowany w Dzienniku widzę stanowczo zbyt często w cudzych raportach, więc zakładam, że to prawdopodobnie urok konkretnej wersji oprogramowania nVidia (źle skonfigurowane konto UpdatusUser wprowadzone przez nVidia). To zrobione w tym: Ta funkcja (Microsoftu) jest domyślnie aktywna już po instalacji Windows, nie pada jawne pytanie czy ma to być aktywne. Jak to? Myślałam, że to załatwione już dawno wedle poleceń w poprzednim temacie (operacja z Autoruns i zalecenie wyłączenia + potem usunięcia obiektów Acronis), a ja w raporcie OTL tutaj dostarczonym nic takiego nie widzę. Usługę całkowicie usuń. Tak, błąd. Masz już C:\Pliki, to zamień innym sposobem: 1. Pobierz narzędzie FRST. 2. Zapisz w Notatniku skrypt dostosowany do formatu FRST: CMD: copy /y C:\Pliki\imkrtip.dll C:\Windows\SysWOW64\IME\imekr8\imkrtip.dll CMD: copy /y C:\Pliki\imkrtip.dll C:\Windows\winsxs\wow64_microsoft-windows-ime-korean-tipprofile_31bf3856ad364e35_6.1.7600.16385_none_f816e85b2c3ef471\imkrtip.dll CMD: copy /y C:\Pliki\ReachFramework.dll "C:\Program Files (x86)\Reference Assemblies\Microsoft\Framework\v3.0\ReachFramework.dll" CMD: copy /y C:\Pliki\ReachFramework.dll C:\Windows\winsxs\x86_wpf-reachframework_31bf3856ad364e35_6.1.7601.17777_none_01f3ba3d87298768\ReachFramework.dll Plik musi mieć nazwę fixlist.txt i leżeć obok narzędzia FRSTx64.exe. 3. F8 > Napraw komputer > Wiersz polecenia > uruchom FRST i klik w Fix > wynikowo powstanie log fixlog.txt. Przedstaw go. .

Uprawnienia klucza poprawne. Tamte wątki zamknięte. Na razie pełna historia Twoich dwóch tematów dysponuje zdiagnozowanymi problemami z winy doinstalowanych aplikacji a nie systemu i z tym to musisz się liczyć mając taki bagażnik oprogramowania. Topik poprzedni: Dyski USB = filtr sprzętowy Returnil na woluminach Martwy link Konfiguruj kopię zapasową = rozszenie Gilisoft Privacy Protector (dla innych czytających: w tamtym temacie w ostatnim poście jest errata) Reszta to skutki uboczne zdewastowanego Acronisa, akcja sprowokowana przez polecenie deinstalacji. Nawiasem mówiąc, dopiero wczoraj wertując ponownie pierwszy temat dopatrzyłam się, że był tam też "MBR Error 3". Nie wiem czy to nadal aktualne, ale wiem skąd ten błąd = Acronis w MBR, strefa została zdefragmentowana czymś (niepożądane w tym przypadku) i rozwaliło układ. Nexus już wtedy upłynnił szuflady, ale tu nie wiadomo dlaczego, bo jak mówiłam nic mi do tego nie pasuje. I jest to problem w aplikacji jako takiej, utracone komponenty niesystemowe. Topik aktualny: Problemy z siecią = COMODO, a przy jego deinstalacji po prostu "wypadek przy pracy" Komunikaty Windows Defender = COMODO, inicjowały się procedury reinstalacji / deinstalacji COMODO, a te jako jedną z czynności mają aktywację systemowego Windows Defender Słownik zgubił plik, to niejasne, ale tu powiem szczerze, że błąd wydaje mi się wątły i nie przywiązuję do niego zbytniej uwagi, no może się zdarzyć. A co z resztą punktów rozpisanych w poście #1? Co do eksplorera, tu może być problem znów w aplikacjach i modyfikacjach. Co odpada: - COMODO - Rozszerzenia niedomyślne powłoki interpretowane przez ShellExView. Test był robiony w innym temacie i nie miał skutków dla omawianych tu efektów. Co nie odpada: - Pozostałe programy zabezpieczające. Pula agresywna. - Wszelkie programy, które mają związek z modyfikacją powłoki, dodają jakieś "przyciski", "kolory", "rozszerzenia", "widoki folderów". Tyle masz programów, że strach się przebić i wyłuskać co tu faktycznie działa. I tu mnie interesuje post numer 5 i jeden z obrazków z błędami, który pokazuje dziwny sztuczny obiekt menu wpuszczony w ramkę stylu, co to tworzy (?): - Rozszerzenia ominięte w teście ShellExView (czyli marki Microsoft) lub nie adresowane programem, czyli moduły ładowane innym sposobem np.: - Ashampoo Snap 6 jako takie (widzę w logu OTL, że wpuszcza do powłoki moduł MouseHook.dll, a wszelkie hooki są podejrzane). Tak, to program może być problemem, a nie co innego wpływać na program. Bierzesz to pod uwagę? - Modyfikacje bezpośrednio w stylu Aero (aka "uszkodzony" aero.msstyles.mui) oraz jakieś podejrzane ustawienia tweakerskie. Tu proszę o dokładny spis co było grzebane: Odpowiadając na zaległe pytanie: deinstalacja Sunrise Seven usuwa program, ale nie jego skutki / edycje. Koncepcji na powyższe mam trochę, na razie jednak halt. Na pierwszy ogień zaległe sprawy, czyli log SystemLook + Dzienniki zdarzeń. Być może część z działań polepszy sytuację. SystemLook (dostarczony na PW, doklejam post wyżej) Pomijam na razie aero.msstyles.mui, który może być potencjalnie modyfikowany celowo (dalej nie wiem co mieszałaś). Reszta plików zgłaszanych jako uszkodzone przez SFC ma następujące różnice (patrz na sumy kontrolne): Przesyłam paczkę firmowych plików: KLIK. Ma być dostępny katalog C:\Pliki z nimi. Uruchom BlitzBlank i w karcie Script wklej: CopyFile: C:\Pliki\imkrtip.dll C:\Windows\SysWOW64\IME\imekr8\imkrtip.dll C:\Pliki\imkrtip.dll C:\Windows\winsxs\wow64_microsoft-windows-ime-korean-tipprofile_31bf3856ad364e35_6.1.7600.16385_none_f816e85b2c3ef471\imkrtip.dll C:\Pliki\ReachFramework.dll "C:\Program Files (x86)\Reference Assemblies\Microsoft\Framework\v3.0\ReachFramework.dll" C:\Pliki\ReachFramework.dll C:\Windows\winsxs\x86_wpf-reachframework_31bf3856ad364e35_6.1.7601.17777_none_01f3ba3d87298768\ReachFramework.dll Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows zgłosi się ekran z operacjami BlitzBlank. Na dysku C zostanie zapisany log, wklej go do posta. Dzienniki zdarzeń (dostarczone w poście #5) Powtarzają się sekwencyjnie następujące grupy błędów: Aplikacje: Dziennik podejrzanie krótki (był czyszczony?), odlicza tylko w zakresie 23 luty do 24 luty. Jedyne rekordy to same błędy od góry do dołu od VMWare. W kółko dręczy to: Zdarzenie 1000, vmauthd2013-02-24T10:35:55.137+01:00| vthread-4| E105: Failed to read registry perf object P\I SYSTEM: Zdarzenie 2, VMnetDHCPCan't open C:\ProgramData\VMware\vmnetdhcp.conf: Nie można odnaleźć określonego pliku. / Unknown error 2 (0x2) Zdarzenie 7024, Service Control Manager Usługa VMware Workstation Server zakończyła działanie; wystąpił specyficzny dla niej błąd %%-1. Zdarzenie 7031, Service Control Manager Usługa VMware NAT Service niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 1000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie. Zdarzenie 7034, Service Control Manager Usługa VMware NAT Service niespodziewanie zakończyła pracę. Wystąpiło to razy: 3. Kolejne liczne błędy VMWare, a w raporcie usługi VMWare ustawione na Auto są w stanie zatrzymanym: SRV - [2012-11-01 02:35:20 | 000,357,016 | ---- | M] (VMware, Inc.) [Auto | Stopped] -- C:\Windows\SysWOW64\vmnetdhcp.exe -- (VMnetDHCP) SRV - [2012-11-01 02:34:52 | 000,435,864 | ---- | M] (VMware, Inc.) [Auto | Stopped] -- C:\Windows\SysWOW64\vmnat.exe -- (VMware NAT Service) Zdarzenie 0, hcmonDetected unrecognized USB driver (\Driver\usbfilter). Te masowe ostrzeżenia generuje VMWare, konkretnie usługa VMware USB Arbitration Service: SRV - [2012-10-11 17:15:30 | 000,918,680 | ---- | M] (VMware, Inc.) [Auto | Running] -- C:\Program Files (x86)\Common Files\VMware\USB\vmware-usbarbitrator64.exe -- (VMUSBArbService) Rekordy zaczęły być nagrywane dnia 12 lutego i ma to silny związek z poprzednim tematem, bo rolę grają sterowniki zainstalowane w systemie. AMD USB Filter + VMWare = nie gra. Artykuł: KLIK. "USBfilter" to obiekt co dopiero w bólach aktualizowanych sterowników chipsetu AMD, rozmyślnie wprowadzony w system. VMWare go nie rozpoznaje, to jest nie do rozwiązania bez uszczerbków. Zdarzenie 7009, Service Control ManagerUpłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą HOSTS Anti-PUPs. Zdarzenie 7000, Service Control Manager Nie można uruchomić usługi HOSTS Anti-PUPs z powodu następującego błędu: Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie. Zawiesza się usługa HOSTS Anti-PUPs: SRV - [2013-02-09 00:52:11 | 000,285,795 | ---- | M] () [Auto | Stopped] -- C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe -- (HOSTS Anti-PUPs) Program zresztą nic u Ciebie nie robi, nie ma tu widocznej realizacji zadania, które ma prowadzić, czyli modyfikacji pliku HOSTS. W logu z OTL plik HOSTS systemu, choć waży dużo, jest w stanie nie pokazującym wpisów, czyli wszystkie linie muszą być w środku skomentowane znakiem # (= nieczynne): O1 HOSTS File: ([2013-02-25 17:44:49 | 000,855,599 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts Sprawdziłam to dziwo, u mnie to samo, czyli usługa się zawiesza. Program u Ciebie bezużyteczny, modyfikacji po prostu nie ma. Poza tym, program został wyparty przez AdwCleaner dysponujący taką funkcją, jest o tym wzmianka w opisie: KLIK. Ale: nie wymieniaj siekierki na kijek. Te modyfikacje pliku HOSTS w dzisiejszych czasach to słabe zabezpieczenie, a wielki plik HOSTS ma skutki uboczne. Zdarzenie 7009, Service Control ManagerUpłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Internet Manager. OUC. Zdarzenie 7000, Service Control Manager Nie można uruchomić usługi Internet Manager. OUC z powodu następującego błędu: Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie. Próbuje się uruchamiać usługa aktualizacyjna T-Mobile: SRV - [2012-12-02 10:55:30 | 000,224,096 | ---- | M] () [Auto | Stopped] -- C:\Program Files (x86)\T-Mobile\InternetManager_H\UpdateDog\ouc.exe -- (Internet Manager. RunOuc) Błąd charakterystyczny. A skutki działania aktualizatora softu m.in. takie (softy pod innymi nazwami, ale usługi oparte o ten sam model): KLIK. Zdarzenie 7000, Service Control ManagerNie można uruchomić usługi NVIDIA Update Service Daemon z powodu następującego błędu: Usługa nie została uruchomiona z powodu nieudanego logowania. Melduje się jałowy aktualizator nVidia: SRV - [2012-10-02 23:21:00 | 001,258,856 | ---- | M] (NVIDIA Corporation) [Auto | Stopped] -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService) To też charakterystyczny i często przeze mnie widziany błąd. Zdarzenie 7001, Service Control ManagerUsługa Adapter odbiornika Net.Tcp zależy od usługi Usługa udostępniania portów Net.Tcp, której nie można uruchomić z powodu następującego błędu: Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia. Zdarzenie 7003, Service Control Manager Usługa Adapter odbiornika Net.Pipe zależy od następującej usługi: was. Ta usługa może nie być zainstalowana. Zdarzenie 7003, Service Control Manager Usługa Adapter odbiornika Net.Msmq zależy od następującej usługi: msmq. Ta usługa może nie być zainstalowana. Grupa błędów związana z próbą uruchamia usług nieistniejących domyślnie w Windows 7 komponentów. Zdarzenie 7026, Service Control ManagerNie można załadować następujących sterowników startu rozruchowego lub systemowego: UimBus Status sterownika wg raportu OTL: DRV:64bit: - [2010-09-03 12:26:24 | 000,050,768 | ---- | M] (Windows ® 2000 DDK provider) [Kernel | System | Stopped] -- C:\Windows\SysNative\drivers\uimx64.sys -- (UimBus) To szczątek po Paragon. Zaplątał się nam... Zdarzenie 7001, WinlogonPowiadomienie podczas logowania się użytkownika dla Programu poprawy jakości obsługi klienta To nie błąd, lecz typ informacyjny, ale cytuję, bo świadczy o uruchamianiu zbędnych zadań. Nawiasem mówiąc, Boże, patrz do spoilera. Do przeprowadzenia działania: 1. VMWare: nie wiem co robić. Chyba się przewrócisz, ale być może dojdzie do deinstalacji VMWare. Błędów różnych bagażnik, program mocno rozgałęziony. Na dodatek nie wiem co się działo wcześniej, bo nadal mi nie odpowiedziałaś na pytanie co to był za komunikat konkretnie oraz czy nadal występuje: Wypowiedz się wyraźnie. Póki co, podaję takie działania wstępne: - Uruchom services.msc jako Administrator i dla testu wyłącz usługę VMware USB Arbitration Service. Skutki uboczne: nośniki USB podpinanie na hoście przestaną być dostępne na gościach. Skutki pozytywne: prawdopodobnie znikną z Dziennika ostrzeżenia hcmon. - Błędy kręcące się wokół NATu, wypróbuj tych tipów: KLIK. Czyli w VMWare Edit > Virtual Network Editor > Restore defaults. - Błąd odczytu obiektu wydajności: zresetuj liczniki. Uruchom cmd jako Administrator i wklep komendy: lodctr /r sc stop VMAuthdService sc start VMAuthdService 2. Usuń szczątki Paragon. Uruchom devmgmt.msc, w menu Widok włącz ukryte urządzenia, w Sterownikach niezgodnych z Plug and Play szukaj UimBus do wywałki. Jeśli nie będzie, przejdź do usuwania usługi. Uruchom cmd jako Administrator i wklep serię: sc delete UimBus del /q C:\Windows\system32\drivers\uimx64.sys 3. Usuń HOSTS Anti-PUPs. Klawisz z flagą Windows + R i wklej komendę "C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe" -uninstall Po tej akcji uruchom services.msc i potwierdź zanik usługi o nazwie HOSTS Anti-PUPs. 4. Wyłącz usługi Adapter odbiornika Net.Msmq, Adapter odbiornika Net.Pipe, Adapter odbiornika Net.Tcp, Internet Manager. OUC, NVIDIA Update Service Daemon. - Uruchom services.msc jako Administrator, dwuklik na wymienione i Typ uruchomienia ustaw na Wyłączony. - Wejdź do modułu "Włącz lub wyłącz funkcje systemu Windows", rozwiń gałąź Microsoft .NET Framework i odznacz "Windows Communication Foundation Non-HTTP Activation" 5. Wyłącz niepotrzebny "Program poprawy jakości obsługi klienta". - Start > w polu szukania wklep Program poprawy jakości obsługi klienta > przestaw opcję na "Nie chcę uczestniczyć w programie". - Uruchom taskschd.msc jako Administrator i wyłącz wszystkie zadania: Microsoft > Windows > Application Experience > ProgramDataUpdater + AitAgent Microsoft > Windows > Customer Experience Improvement Program > wszystkie zadania w środku 6. Po przeprowadzeniu wszystkich działań od BlitzBlank aż tu do punktu 5: - Wyczyść Dzienniki zdarzeń - Zrób reset systemu - Popracuj na systemie - Skopiuj nowy zestaw Dzienników (C:\Windows\system32\winevt\Logs) + zrób podsumowanie czy są jakieś zmiany w pracy systemu, ze zwróceniem uwagi na to: .

Należy wyczyścić system ze szczątków infekcji + śmieci adware. 1. Przez Panel sterowania odinstaluj adware BrowserProtect, Delta Chrome Toolbar, Delta toolbar, Giant Savings, Internet Explorer Toolbar 4.6 by SweetPacks, PriceGong 2.6.6, QuickShare, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, Wajam, V9 Homepage Uninstaller, Yontoo 1.10.03. 2. Otwórz Google Chrome i wejdź do ustawień. W Rozszerzeniach odinstaluj BrowserProtect, Giant Savings, Delta Toolbar, PriceGong, QuickShare Widget, SweetIM for Facebook, Wajam, Yontoo. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.snap.do/?publisher=QuickOB&dpid=QuickOB&co=GB&userid=eed2ff79-5fcf-4d0f-89b5-07da542a89d5&searchtype=ds&q={searchTerms}&installDate=01/01/1970" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.delta-search.com/?q={searchTerms}&affID=121240&babsrc=SP_ss&mntrId=621ff50400000000000000256449a2a4" O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found. O4 - HKCU..\Run: [ODJvPpaotTb.exe] C:\ProgramData\ODJvPpaotTb.exe File not found O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O20 - AppInit_DLLs: (egistry\Machine\Software\Classes\Drive\shellex\FolderExtensions\{fbeb8a05-beee-4442-804e-409d6c4515e9}) - File not found DRV - File not found [Kernel | On_Demand | Running] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) :Files C:\Users\Prz3mek\AppData\Local\4a97b932-1518-4a51-adff-15dba9fce71d.crx C:\ProgramData\-ODJvPpaotTbr C:\ProgramData\-ODJvPpaotTb C:\Program Files\Alwil Software C:\Program Files\Enigma Software Group C:\Program Files\Mozilla Firefox C:\Windows\System32\custmon32i.dll :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

A to ciekawe, log z usuwania wygląda jakby wszystko się przetworzyło i nie widzę gdzie zachodzi błąd, z wyjątkiem linka symbolicznego ZeroAccess. Tym się zajmę, ale na początek: czy wykonałeś punkty 3 do 5 z poprzedniej instrukcji? Jeśli nie, zrób. Jeśli tak, to podaj wynikowe raporty: Pro forma zrób szukanie w SystemLook na ten sam warunek co poprzednio. Jeśli będzie brak wyników, to raportu SystemLook nie musisz przedstawiać. .

Do uzupełniania posta, gdy nikt nie odpisał służy opcja Edytuj. Posty powyżej sklejam. Masz ją odznaczyć, a następnie ręcznie zmienić nazwę pliku do postaci plik.txt a nie plik.txt.log lub plik.log. .

1. Małe poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-1715567821-1383384898-682003330-500..\Run: [] File not found O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Aktualizacja wyliczonych poniżej programów: KLIK. Wg raportu siedzą wersje: Internet Explorer (Version = 7.0.5730.13) ========== HKEY_LOCAL_MACHINE Uninstall aList ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.5) - Polish "Adobe Shockwave Player" = Adobe Shockwave Player 11 "Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl) "Opera 12.12.1707" = Opera 12.12 Komp tak, ale system nie wygląda na firmowy. W raporcie widać kilka specyficznych modyfikacji (polityki nie występujące na czystym systemie / doinstalowane wodotryski) i "podejrzany" stan aktualizacji Internet Explorer (IE7), co sugeruje iż instalowano XP z modyfikowanej pirackiej płyty. Ja tu także podejrzewam koncepcję "usłużnego kolegi". Wyliczasz tylko ten jeden program z podanego zestawu, jakiś konkretny powód? A wyłączanie w msconfig (odptaszenie) lub w lepszym menedżerze startu Autoruns (w odróżnieniu od msconfig umożliwia wyłączenie lub trwałe usunięcie). A czy to aby nie jest jakiś zawias / zbyt duże obciążnie zasobów przez GG10, stąd puste plamy? Poza tym: GG10 jest skończone, firma sama się wycofała z tego badziewia + wyłączono kilka serwisów integrowanych w tym potworze. Podsuń znajomemu myśl o sprawdzeniu nieco lepszej nowej postaci GG11 lub wymianie alternatywą (WTW, AQQ, Kadu, Miranda NG). Wszystkie opisy tu: KLIK. .

Przecież tu w ogóle nie koniec. Nie wykonane zadania, skrypt się wykłada. Na teraz proszę o logi: nowy GMER + log z usuwania OTL wygrzebany z katalogu C:\_OTL .

Na pewno to nie *.TXT, pewnie zrobiłeś podwójne rozszerzenie *.TXT.LOG, tylko tego nie widzisz. W Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. .

Nie wiem. Aczkolwiek ... jeśli reinstalacja programu, która w teorii przecież powinna plik uzupełnić, była prowadzona przy czynnym COMODO, to jego ingerencja to dopuszczalny scenariusz. Program ma predyspozycje, by zablokować określone obszary. Jak mówiłam, SystemLook użyłam z dyrektywą :filefind. Spis komend SystemLook: KLIK. Po zrzucie SetACL na pewno masz 1:1. W oknie głównym są tylko "Uprawnienia specjalne" zaznaczone, a jakież to widać dopiero w Zaawansowanych. EDIT: Posta dokleiłam do poprzedniego, by nam się nie dłużył topik. Na liście brak Administratorów... Zrób co następuje: ręcznie przestaw uprawnienia (Właściciel na Administratorów + dodaj Administratorów z Pełną kontrolą), a po tym nałóż mój plik plik via SetACL). .

Dział Hardware. Nie schodźcie na manowce. Infekcji nie ma co szukać. Do deinstalacji adware BrowseToSave 1.74 / Browse2save, a po tym poprawka AdwCleaner (opcja Usuń). I tyle. Plus system niezaktualizowany. .

Log z GMER zrobiłeś w złych warunkach, nie zdjąłeś sterownika SPTD od emulacji napędów wirtualnych: KLIK. Do powtórki. I podaj mi jeszcze log OTL z przetwarzania skryptu, co tam w ogóle się działo. Log siedzi w katalogu C:\_OTL. Ma rozszerzenie *.LOG, musisz zmienić ręcznie na *.TXT, by można było log doczepić przez załączniki. .

Sprawdzasz nie to miejsce co należy. Ten plik jest lokowany w katalogu systemowym C:\Windows a nie w folderze programu. Proszę, wynik z SystemLook po testowej instalacji słownika: ========== filefind ========== Searching for "wweb32.dll" C:\Windows\wweb32.dll ------- 2216480 bytes [21:32 27/02/2013] [11:27 15/07/2012] 7D624A5C1972FDCDEF75C5C5CB75D21A Przesyłam plik: KLIK. Wklej gdzie należy, reset i zobaczymy. .

Nie wiem co się dzieje. Czyżby ten link symboliczny rootkita ZeroAccess to coś więcej niż "szczątek"? Podaj log z GMER.

Ja tego nie widzę w żadnym z podanych tu logów OTL (taki plik był za to w innych ścieżkach), a usuwanie pomyślne i w raporcie brak już oznak czynnej infekcji. Wnioski: raport OTL nie łapie obecności tego pliku i przez SHIFT+DEL ręcznie go skasuj. 1. Zapomniałam poprzednio dodać: jeszcze nowy log USBFix z opcji Listing. 2. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-796845957-838170752-1417001333-1003..\Run: [luiqii] C:\Documents and Settings\OM\luiqii.scr File not found [2011-09-25 08:52:54 | 000,000,135 | RHS- | C] () -- C:\Documents and Settings\OM\autorun.inf :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Wystarczy do oceny tylko log z wynikami usuwania. 3. W Google Chrome ostała się wtyczka adware: ========== Chrome ========== CHR - plugin: Babylon ToolBar (Enabled) = C:\Documents and Settings\OM\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.7_0\BabylonChromeToolBar.dll Jej wycięcie wymaga bezpośredniej edycji preferencji. Skopiuj na Pulpit ten plik: C:\Documents and Settings\OM\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences Shostuj gdzieś i podaj link. .

To nie powinno się stać. Czy na pewno po pierwszej nieudanej próbie sprawdziłeś ponowny restart systemu? W związku z awarią robotę powtarzasz od początku. Wejdź w Tryb awaryjny Windows i zastosuj ponownie skrypt do OTL.

vs. Obrazka tam właśnie nie ma. Podaj 1:1 jak jest komunikat sformułowany i jaka nazwa biblioteki jest punktowana. .

Uprawnienia specjalne a nie sam Odczyt. Do przywrócenia oryginalnych uprawnień z automatu możesz użyć SetACL, które powinnaś nadal mieć w C:\Windows (w poprzednim temacie polecałam je zostawić). Do Notatnika wklejasz: "machine\SOFTWARE\Microsoft\Windows Defender",4,"O:SYD:PAI(A;;KA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;OICIIO;GA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;;KA;;;S-1-5-80-1913148863-3492339771-4165695881-2087618961-4109116736)(A;OICIIO;GA;;;S-1-5-80-1913148863-3492339771-4165695881-2087618961-4109116736)(A;;KA;;;SY)(A;OICIIO;GA;;;SY)(A;;CCSWRPWPRC;;;BA)(A;OICIIO;GXGR;;;BA)(A;;CCSWRPWPRC;;;WD)(A;OICIIO;GXGR;;;WD)" Zapisujesz pod nazwą fix.txt i umieszczasz wprost na C:\. W cmd uruchomionym jako Administrator egzekwujesz komendę: SetACL -on "HKLM\SOFTWARE\Microsoft\Windows Defender" -ot reg -actn restore -bckp C:\fix.txt Nie wiem co się stało z Nexusem na Grace II. Żadne z przeprowadzonych w obu tematach działań do tego nie pasuje, a jedne co ja mogę ew. typować (i tylko na duszę), to uszkodzenie ze względu na gwałtowne restarty / BSOD, których trochę było w poprzednim temacie.... Zostawiam wątek Nexusa. Odbuduj go sobie ręcznie. Revo działa, utrata pozorowana. Czyli vika6 zostaje nadal odpowiedź na pytania: .

Do uzupełniania posta, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, a nie post pod postem. Trzy posty w serii skleiłam. Na forum był jeden taki przypadek zdiagnozowany pzeze mnie: niemożność generowania miniatur lub ich opóźnione pokazywanie ze względu na aktywność COMODO Internet Security (moduł Defense+). Tu nic nie wiadomo o Twoim systemie. Dodaj poglądowe raporty OTL. .