winter0 Opublikowano 5 Października 2012 Zgłoś Udostępnij Opublikowano 5 Października 2012 czesc, próbowałem z pomocą z innego forum usunąć Trojana Win32/Spy.Zbot.ZR - explorer.exe z pomocą OTL w pewnym momencie nie mogłem wejść do windowsa: "wystąpił problem, który uniemożliwił systemowi windows dokładne sprawdzenie stanu licencji dla tego komputera 0x80070005" sprawdzałem i wszystkie 3 pliki secupd.dat, oembios.dat i oembios.bin były w system32 w rejestrze nie było klucza ...cryptograpy.... za radą cd z instalacją windowsa i konsola naprawcza - nic nadinstalowanie systemu - teraz windows ani w trybie normalnym ani waryjnym sie nie uruchamia tylko ciągle restartuje w trybie awaryjnym widze w rogach napisy "tryb awaryjny" i restart w trybie awaryjnym po komunikacie "trwa ponowne uruchamianie systemu" widze czarny ekran, strzałkę od myszy, którą mogę poruszać i restart zaznaczenie "nie uruchamiaj ponownie po awarii systemu" nie działa - restart próbowałem fixmbr, fixboot, chkdsk, skopiowałem z płyty userinit i nic... da się coś z tym zrobić czy przegrać dane i format? pozdrawiam Artur Odnośnik do komentarza
Anonim8 Opublikowano 5 Października 2012 Zgłoś Udostępnij Opublikowano 5 Października 2012 próbowałem z pomocą z innego forum usunąć Trojana Win32/Spy.Zbot.ZR - explorer.exez pomocą OTL Podaj link do tematu. Odnośnik do komentarza
winter0 Opublikowano 5 Października 2012 Autor Zgłoś Udostępnij Opublikowano 5 Października 2012 link podłączyłem dysk z innym systemem, działa więc zgrywam dane... Odnośnik do komentarza
Anonim8 Opublikowano 5 Października 2012 Zgłoś Udostępnij Opublikowano 5 Października 2012 Z poprzedniego tematu wynika że nie masz plyty z systemem. W tym linku jest obraz samej konsoli odzyskiwania: Pobierz go nagraj na CD i wystartuj z niej na system z konsoli wykonaj polecenie chkdsk c: /p /r Odnośnik do komentarza
winter0 Opublikowano 5 Października 2012 Autor Zgłoś Udostępnij Opublikowano 5 Października 2012 już mam płytę, próbowałem chdsk i nic, konsoli naprawczej, nadinstalowania systemu i nic czy można w jakiś sposób zdiagnozować system, który nie jest na dysku startowym? tzn uruchomiłem system z innego hdd i chciałbym sprawdzić co stało się z tym uszkodzonym Odnośnik do komentarza
Anonim8 Opublikowano 5 Października 2012 Zgłoś Udostępnij Opublikowano 5 Października 2012 Cytat próbowałem chdsk i nic Co to znaczy? Jaki problem występuje? Jaki jest komunikat? Cytat czy można w jakiś sposób zdiagnozować system, który nie jest na dysku startowym? Mozna zdiagnozować nawet jeśli jest na dysku startowym. Z pozomu płyty OTLPE. Tu masz instrukcje: Odnośnik do komentarza
winter0 Opublikowano 5 Października 2012 Autor Zgłoś Udostępnij Opublikowano 5 Października 2012 nie pamiętam dokładnie treści komunikatu coś takiego: chkdsk znalazł i naprawił co njmniej jeden błąd na tym wolumenie ściągam OTLPE i jak skończe zgrywać dane zaprezentuje log na forum Odnośnik do komentarza
Anonim8 Opublikowano 5 Października 2012 Zgłoś Udostępnij Opublikowano 5 Października 2012 Cytat ściągam OTLPE i jak skończe zgrywać dane zaprezentuje log na forum Słusznie. Możesz od razu zrobic skan dysku programem MHDD: Odnośnik do komentarza
winter0 Opublikowano 5 Października 2012 Autor Zgłoś Udostępnij Opublikowano 5 Października 2012 ok, najpierw OTL OTL tyle, że nie pytał mnie się o lokalizację systemu i okienko z logiem samo się otworzyło MHDD: Odnośnik do komentarza
Anonim8 Opublikowano 5 Października 2012 Zgłoś Udostępnij Opublikowano 5 Października 2012 Jak sam się domyslasz z dyskiem nie jest dobrze. Wykonaj zerowanie komendą ERASE a potem remap. mam nadzieję że skopiowałeś dane bo komenda Erase usunie kompletnie wszystko z dysku? Odnośnik do komentarza
winter0 Opublikowano 5 Października 2012 Autor Zgłoś Udostępnij Opublikowano 5 Października 2012 (edytowane) mówiąc wprost nic się nie da zrobić w kwestii naprawy systemu? czy nie ma sensu bo i tak zaraz może paść? sprzątanie w OTL rozwaliło ostatnio parę systemów mgrzeg sprawdza to, może się wstrzymać z ostatecznością? erase wyczyści cały fizyczny dysk, czy tylko partycję? pewnie cały dysk.... ehh, pomerdały mi się dyski, sprawdzam jeszcze raz Edytowane 5 Października 2012 przez winter0 Odnośnik do komentarza
Anonim8 Opublikowano 5 Października 2012 Zgłoś Udostępnij Opublikowano 5 Października 2012 mówiąc wprost nic się nie da zrobić w kwestii naprawy systemu? Możesz czekać na analizę loga z OTL przez moderatorów. Dysk jest w kiepskim stanie i to jest powodem tego że system nie startuje. Pisałeś że robisz kopie danych, dlatego zaleciłem zerowanie (usuwa wszystko z dysku) wygląda jak po zakupie. Ale możesz strzelić od razu remapowanie bez zerowania. Miałem kilka przypadków, że sytem wstał po samym remapie. Odnośnik do komentarza
winter0 Opublikowano 5 Października 2012 Autor Zgłoś Udostępnij Opublikowano 5 Października 2012 tak wygląda dysk z partycją systemową: Odnośnik do komentarza
picasso Opublikowano 5 Października 2012 Zgłoś Udostępnij Opublikowano 5 Października 2012 Cytat próbowałem z pomocą z innego forum usunąć Trojana Win32/Spy.Zbot.ZR - explorer.exe z pomocą OTL w pewnym momencie nie mogłem wejść do windowsa (...) sprzątanie w OTL rozwaliło ostatnio parę systemów mgrzeg sprawdza to, może się wstrzymać z ostatecznością? Ostatnią rzeczą użytą przed wystąpieniem problemu było niestety Sprzątanie w OTL (post #6 na tamtym forum zaleca je, w poście #7 już nie możesz się zalogować) Z poziomu OTLPE skopiuj cały katalog rejestru C:\Windows\system32\config, spakuj do ZIP, shostuj gdzieś i na PW prześlij mi link do tego. Odnośnik do komentarza
winter0 Opublikowano 5 Października 2012 Autor Zgłoś Udostępnij Opublikowano 5 Października 2012 ręcznie przed chwilą podmieniłem komponenty rejestru z połowy zeszłego miesiąca i system wstał bez problemu.... Odnośnik do komentarza
picasso Opublikowano 5 Października 2012 Zgłoś Udostępnij Opublikowano 5 Października 2012 Miałeś mi przesłać do analizy kopię rejestru ... Czy zachowałeś tę uszkodzoną kopię? Odnośnik do komentarza
winter0 Opublikowano 5 Października 2012 Autor Zgłoś Udostępnij Opublikowano 5 Października 2012 tak, mam ją i właśnie pakuje, gdzieś wrzucę i Ci prześlę na pw link Odnośnik do komentarza
winter0 Opublikowano 5 Października 2012 Autor Zgłoś Udostępnij Opublikowano 5 Października 2012 Wysłałem na PW jest tam rejestr działający i ten przy którym były problemy byłbym wdzięczny za info co tam jest nie tak... pozdrawiam wszystkich Artur Odnośnik do komentarza
Anonim8 Opublikowano 6 Października 2012 Zgłoś Udostępnij Opublikowano 6 Października 2012 Dysk Seagate jest do zerowania i remapu. Natomiast systemowy Samsung, (mam nadzieje, że to ten na którym stoi Windows co niechciał startować jest OK) Odnośnik do komentarza
picasso Opublikowano 8 Października 2012 Zgłoś Udostępnij Opublikowano 8 Października 2012 winter0 1. Twój rejestr przedstawia to co napisałam w temacie usterki OTL: Problem zdaje się być relatywny do uprawnień (wykonany przez OTL reset ACL na SOFTWARE). Twój plik SOFTWARE ma wyzerowane uprawnienia od góry do dołu, odebrany dostęp do wszystkich kluczy. Typowy widok klucza + liczne błędy "Odmowa dostępu" do podkluczy: Teoretyczna metoda precyzyjnej naprawy: nałożenie domyślnego układu uprawnień na SOFTWARE i wszystkie jego podzespoły. W praktyce: moim zdaniem naprawa tego nieopłacalna. Posiadasz już działający rejestr, który sobie podstawiłeś (ma poprawne uprawnienia). Tak więc ja uznaję sprawę uszkodzonego systemu po sprzątaniu OTL za rozwiązaną. 2. Natomiast, na tym innym forum to czyścili system z trojana ZeroAccess na odwal się (lub nie rozumieją infekcji). Patrzyli na ten fragment skanu i zero właściwej reakcji: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="\\.\globalroot\systemroot\Installer\{d9c9f1e4-4a7a-5131-8b3c-32937b03859d}\n." "ThreadingModel"="Both" Klucz WBEM jest zmodyfikowany przez trojana, a konsekwencja jego obecności to ta kolekcja błędów z Dziennika zdarzeń: Error - 04-10-2012 05:39:52 | Computer Name = RYSZARD | Source = WinMgmt | ID = 28 Description = Moduł WinMgmt nie może zainicjować części podstawowych. Powodem mogą być: źle zainstalowana wersja modułu WinMgmt, awaria uaktualnienia repozytorium modułu WinMgmt, za mało miejsca na dysku lub za mało pamięci. Error - 04-10-2012 05:45:36 | Computer Name = RYSZARD | Source = WinMgmt | ID = 28 Description = Moduł WinMgmt nie może zainicjować części podstawowych. Powodem mogą być: źle zainstalowana wersja modułu WinMgmt, awaria uaktualnienia repozytorium modułu WinMgmt, za mało miejsca na dysku lub za mało pamięci. Error - 04-10-2012 05:45:36 | Computer Name = RYSZARD | Source = Userenv | ID = 1090 Description = System Windows nie może zarejestrować stanu sesji RSoP (Resultant Set of Policies - wynikowego zestawu zasad). Próba połączenia z WMI nie powiodła się. Dlatego żadne następne rejestrowanie zasad RSoP dla tej aplikacji nie zostanie wykonane. Error - 04-10-2012 07:16:37 | Computer Name = RYSZARD | Source = Userenv | ID = 1090 Description = System Windows nie może zarejestrować stanu sesji RSoP (Resultant Set of Policies - wynikowego zestawu zasad). Próba połączenia z WMI nie powiodła się. Dlatego żadne następne rejestrowanie zasad RSoP dla tej aplikacji nie zostanie wykonane. Twoja podstawiona kopia rejestru nadal posiada tę modyfikację zrobioną przez infekcję. I nie tylko to, ten trojan wywalił z rejestru usługi Centrum zabezpieczeń + Windows Update (brakuje BITS + wuauserv) + Zapora systemu Windows (klucz SharedAccess kompletnie przetrzebiony). Poza tym: również adware w systemie (w tym w konfiguracji Firefox). Doczyść infekcję i odbuduj usunięte usługi: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="C:\\WINDOWS\\system32\\wbem\\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS] "Type"=dword:00000020 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Usługa inteligentnego transferu w tle" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Używa przepustowości bezczynnej sieci do transferu danych. Jeżeli BITS zostanie wyłączone, funkcje takie jak Windows Update przestaną działać." "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Enum] "0"="Root\\LEGACY_BITS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Aktualizacje automatyczne" "ObjectName"="LocalSystem" "Description"="Umożliwia pobieranie i instalowanie ważnych aktualizacji systemu Windows. Jeśli ta usługa zostanie wyłączona, komputer nie będzie umożliwiał korzystania z funkcji Automatyczne aktualizacje lub strony Windows Update." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\ 61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum] "0"="Root\\LEGACY_WUAUSERV\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000042e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Babylon] [-HKEY_LOCAL_MACHINE\SOFTWARE\BabylonToolbar] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Zresetuj system. 2. Zresetuj plik preferencji Firefox. Zamknij przeglądarkę (nie może być uruchomiona), na Pulpit przenieś poniższy plik: C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\evmse9te.default\prefs.js Ponownie uruchomiony Firefox zregeneruje czysty plik. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Pobierz nowy OTL (już jest w linku wersja bez usterki) i zrób nowe logi do oceny. Dołącz log z AdwCleaner. Odnośnik do komentarza
winter0 Opublikowano 8 Października 2012 Autor Zgłoś Udostępnij Opublikowano 8 Października 2012 ok, nie bez obaw, ale: pierwsze co zobaczyłem po restarcie to - "czy chcesz nadal blokować akamai netsession client" i nie wiem czy chcę... AdwCleaner OTL Extras Odnośnik do komentarza
picasso Opublikowano 9 Października 2012 Zgłoś Udostępnij Opublikowano 9 Października 2012 Cytat pierwsze co zobaczyłem po restarcie to - "czy chcesz nadal blokować akamai netsession client" i nie wiem czy chcę... Komunikat się pojawił, gdyż zaktywowała się Zapora systemu Windows, wcześniej kompletnie u Ciebie uszkodzona i martwa, po moim imporcie rejestru odtworzona. Akamai już zostało w niej autoryzowane: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 "1037:TCP" = 1037:TCP:*:Enabled:Akamai NetSession Interface "5000:UDP" = 5000:UDP:*:Enabled:Akamai NetSession Interface Akamai NetSession Interface to nic szkodliwego: KLIK. Jednakże jest to zbędne, może mieć skutki uboczne (KLIK) i możesz to całkowicie odinstalować. Akcje wykonane. Raport OTL poświadcza prawidłową modyfikację w kluczu WBEM: ========== ZeroAccess Check ========== [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008-04-14 19:20:57 | 000,273,920 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both Błędy WMI powinny ustąpić. Mamy jeszcze do usunięcia wpisy "not found", które jak sądzę się skomasowały po cofnięciu rejestru, a jeden ze skutków to błędy martwych szczątkowych usług w Dzienniku zdarzeń: Error - 08-10-2012 18:35:10 | Computer Name = RYSZARD | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi Usługa Google Update (gupdate) z powodu następującego błędu: %%3 Error - 08-10-2012 18:43:38 | Computer Name = RYSZARD | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi Protokół IrDA z powodu następującego błędu: %%2 Error - 08-10-2012 18:43:38 | Computer Name = RYSZARD | Source = Service Control Manager | ID = 7001 Description = Usługa Monitor podczerwieni zależy od usługi Protokół IrDA, której nie można uruchomić z powodu następującego błędu: %%2 1. Skrypt do OTL usuwający odpadki: Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [File_System | On_Demand | Stopped] -- -- (StarOpen) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ScreamingBAudio.sys -- (SCREAMINGBDRIVER) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\rasirda.sys -- (Rasirda) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\irsir.sys -- (irsir) DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\irda.sys -- (irda) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt -- (EverestDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NSDriver.sys -- (Ad-Watch Connect Filter) SRV - File not found [Auto | Stopped] -- %SystemRoot%\System32\irmon.dll -- (Irmon) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe /medsvc -- (gupdatem) SRV - File not found [Auto | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe /svc -- (gupdate) FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: File not found FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: File not found O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll File not found O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll File not found O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll File not found O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll File not found O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll File not found O4 - HKLM..\Run: [] File not found O8 - Extra context menu item: Append Link Target to Existing PDF - Reg Error: Key error. File not found O8 - Extra context menu item: Append to Existing PDF - Reg Error: Key error. File not found O8 - Extra context menu item: Convert Link Target to Adobe PDF - Reg Error: Key error. File not found O8 - Extra context menu item: Convert to Adobe PDF - Reg Error: Key error. File not found [2011-12-03 14:25:43 | 000,000,158 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search the web.src [2012-07-06 01:49:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\arpzvcrkescnljx [2012-10-04 22:10:53 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\%programfiles% [2012-10-04 22:10:53 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\%commonprogramfiles% [2012-09-17 07:16:41 | 000,000,000 | -HSD | C] -- C:\found.000 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Rekonstrukcja dostawców wyszukiwania w Internet Explorer (AdwCleaner usunął niestety domyślny Bing). Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Live Search" "DisplayName"="@ieframe.dll,-12512" "URL"="http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "DownloadRetries"=dword:00000000 "DownloadUpdates"=dword:00000001 "Version"=dword:00000002 "UpgradeTime"=hex:a0,07,fa,8f,d5,96,cd,01 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] "SuggestionsURLFallback"="http://api.bing.com/qsml.aspx?query={searchTerms}&maxwidth={ie:maxWidth}&rowheight={ie:rowHeight}§ionHeight={ie:sectionHeight}&FORM=IE8SSC&market={language}" "FaviconURLFallback"="http://www.bing.com/favicon.ico" "URL"="http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC" "FaviconPath"="C:\\Documents and Settings\\Administrator\\Ustawienia lokalne\\Dane aplikacji\\Microsoft\\Internet Explorer\\Services\\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico" "DisplayName"="Bing" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 3. Odinstaluj wszystkie zakreślone poniżej wystąpienia Adobe. Adobe Flash + Adobe Shockwave są stare, zaś Adobe Acrobat X Pro został uszkodzony. Nie wiem co to miało na celu, ale skrypt w poście #4 na tamtym forum ruszał prawidłowe wpisy Adobe PDF (od Twojej instalacji Adobe Acrobat X Pro) i pliki zostały usunięte z dysku. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{BB65C393-C76E-4F06-9B0C-2124AA8AF97B}" = Adobe Flash Player 9 ActiveX "{AC76BA86-1033-F400-7760-000000000005}" = Adobe Acrobat X Pro - English, Français, Deutsch "Adobe AIR" = Adobe AIR "Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "Adobe Shockwave Player" = Adobe Shockwave Player Po deinstalacji zastosuj specjalizowany remover: KLIK. Następnie przez SHIFT+DEL skasuj z dysku cały folder C:\Windows\system32\Macromed. 4. Odinstaluj wszystkie przestarzałe Java, masz całą kolekcję: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216016F0}" = Java™ 6 Update 16 "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 22 "{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2 "{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3 "{3248F0A8-6813-11D6-A77B-00B0D0160040}" = Java™ 6 Update 4 Po deinstalacji popraw narzędziem JavaRa (opcja Remove JRE). 5. W systemie są zainstalowane także stare wersje Ad-aware i ESET. Wszystko do deinstalacji. Następnie w Trybie awaryjnym popraw specjalizowanym usuwaczem: ESET Uninstaller. 6. Na koniec zrób nowy log z OTL. Odnośnik do komentarza
winter0 Opublikowano 9 Października 2012 Autor Zgłoś Udostępnij Opublikowano 9 Października 2012 Niestety przy modyikacji rejestru (pkt 2) - komunikat "(...) niektóre klucze są otwarte przez system lub inne procesy", w trybie awaryjnym to samo Odnośnik do komentarza
picasso Opublikowano 9 Października 2012 Zgłoś Udostępnij Opublikowano 9 Października 2012 Nie szkodzi, leć dalej. Odnośnik do komentarza
winter0 Opublikowano 9 Października 2012 Autor Zgłoś Udostępnij Opublikowano 9 Października 2012 ok, nie odinstalowałem adobe acrobata, jest mi dość mocno potrzebny, a działa w porządku mam problem z odinstalowaniem Lavasotu, w żaden konwencjonalny sposób nie mogę tego zrobić na razie zostanę przy starym nodzie OTL Extras Odnośnik do komentarza
Rekomendowane odpowiedzi