wertjacek Opublikowano 20 Listopada 2012 Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Witam prosze o pomoc w uruchomieniu usługi. czytalem troche forumowe pytania i odpowiedzi,dlatego wklejam logi o ktore jak zauwazyłem prosi admin.2 pierwsze to screeny informacji o błędach.Dla jasności. Pozdrawiam windows 7 system 64bit EDIT nie wiem co sie stało,jakos nie moglem pogodzic sie z faktem i jeszcze raz potraktowalem system programem ServiceRepair (wcześniej robilem to manualnie wg rozpiski z forum) i po restarcie mam juz działajacą zaporę.Ale mam w niej 3 zapisy ktore mnie martwią i w google nie znajduje odpowiedzi co to jest.Wyglada to tak jak w załaczniku (to ta 3-cia miniaturka}.Czy to wpisy po na prawie czy jeszcze cos "siedzi" mi w systemie? Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2012 Zgłoś Udostępnij Opublikowano 20 Listopada 2012 W systemie nadal ślady trojana ZeroAccess (to on psuł Zaporę i nie tylko to), czyli katalog w Installer: ========== ZeroAccess Check ========== [2011-11-17 07:41:18 | 000,002,048 | -HS- | M] () -- C:\Windows\Installer\{88d7f0bd-7461-a4d1-abd4-65a2e9d0bab6}\@[2011-11-17 07:41:18 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{88d7f0bd-7461-a4d1-abd4-65a2e9d0bab6}\L[2011-11-17 07:41:18 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{88d7f0bd-7461-a4d1-abd4-65a2e9d0bab6}\U oraz plik: ========== Files Created - No Company Name ========== File not found -- C:\Windows\SysNative\ Ten plik wygląda w taki sposób, jakby był bez nazwy: Wg podanych raportów OTL i SystemLook wynika jednak, że część aktywna infekcji musiała już być usuwana, bo nie widać ani modyfikacji pliku services.exe ani w klasach CLSID. Tu był zapewne wariant services.exe, bo na dysku masz co dopiero odświeżony ten plik: [2012-11-10 17:30:04 | 000,328,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\services.exe Zostało doczyszczanie: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej w oknie tę komendę (uwaga: przed zamknięciem " jest spacja) i ENTER: del "\\?\C:\Windows\System32\ " 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{88d7f0bd-7461-a4d1-abd4-65a2e9d0bab6} :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. Otworzy się log z wynikami usuwania. 3. Do oceny wystarczy tylko: log z wynikami usuwania (nowy skan OTL zbędny) + potwierdzenie, że plik "bez nazwy" zniknął z widoku katalogu C:\Windows\system32. PS. Masz zainstalowany ten ... hmmm ... crack Chew7Hale: O4:64bit: - HKLM..\Run: [Chew7Hale] C:\Windows\SysNative\hale.exe () On ma negatywne skutki dla działania systemu (KLIK). po restarcie mam juz działajacą zaporę.Ale mam w niej 3 zapisy ktore mnie martwią i w google nie znajduje odpowiedzi co to jest. Zapory w ogóle nie było, to są reguły odtworzone na czysto. Biblioteka peerdistsh.dll jest systemowa (Pomoc Netshell dla usługi BranchCache). Proszę, tu z mojego rejestru zestaw domyślnych reguł Zapory: Nieprawidłowość u Ciebie to taka, że zamiast nazw wyświetlanych pojawiają się nazwy systemowe skonfigurowane w rejestrze (co oznacza, że nazwa wyświetlana nie jest pobierana z tej biblioteki DLL = plik uszkodzony lub nie istnieje). To samo co u Ciebie u mnie widać pod nazwami BranchCache. I pewnie to wynik tego, że masz system w edycji Home Premium, a na tej edycji nie istnieje BranchCache, czyli i plik C:\Windows\system32\peerdistsh.dll nieobecny. W związku z tym wyczyścimy reguły Zapory z tych naleciałości, ale to podam po przeprowadzeniu w/w akcji. . Odnośnik do komentarza
wertjacek Opublikowano 21 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2012 mam chew7 chociaz mam legalny system,mam jakis problem z legalizacją systemu.Dokupowałem kiedys dyski i zmienialem kolejnosci w BIOS.Zainstalowalem na jednym z dysków XP-ka tez legalnego na drugim linux a na 3-m win7.Nie pytaj po co mi tyle systemow,mam swoje male fanaberyje Po co mi chew? bo nie moglem i nie moge przejśc aktywacji,wiem ze to brzmi dziwnie,miec legala a leczyc system,ale tak jest. O dzialaniu chew7 nie wiedziałem.Dzieki,pomysle co z tym zrobić. Co do logow,pisze z pracy,popołudniu wkleje co potrzeba. EDIT. zrobiłem te logi,a z powodu tego Chew7 pozwoliłem sobie po wykonaniu własnego skryptu w OTL zrobić jeszcze raz pełny skan z OTL i FSS dla pewności ze ten chew nie siedzi jeszcze. W system32 nie ma pliku bez nazwy. 11212012_152509.log Nie masz uprawnień do wysyłania tego typu plików takie info widzę podczas wysyłania załącznika z OTL z wlasnym skryptem.W takim razie pozwalam sobie na umieszczenie tego: All processes killed ========== FILES ========== C:\Windows\Installer\{88d7f0bd-7461-a4d1-abd4-65a2e9d0bab6}\U folder moved successfully. C:\Windows\Installer\{88d7f0bd-7461-a4d1-abd4-65a2e9d0bab6}\L folder moved successfully. C:\Windows\Installer\{88d7f0bd-7461-a4d1-abd4-65a2e9d0bab6} folder moved successfully. ========== REGISTRY ========== Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 56504 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: edytory ->Temp folder emptied: 36800694 bytes ->Temporary Internet Files folder emptied: 3713982 bytes ->Java cache emptied: 66948 bytes ->FireFox cache emptied: 77592290 bytes ->Flash cache emptied: 1328 bytes User: Public User: TEMP ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 56504 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 5868 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 113,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 11212012_152509 Files\Folders moved on Reboot... C:\Users\edytory\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. PendingFileRenameOperations files... Registry entries deleted on Reboot... Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2012 Zgłoś Udostępnij Opublikowano 21 Listopada 2012 Po co mi chew? bo nie moglem i nie moge przejśc aktywacji,wiem ze to brzmi dziwnie,miec legala a leczyc system,ale tak jest. To nie jest rozwiązanie tylko ukrycie usterki, zamiecenie pod dywan crackiem. Jeśli ma tu być próba diagnostyki problemu, pod tym kątem załóż temat w dziale Windows 7 i: opisz dokładnie objawy i na czym polega defekt z legalizacją (jaki błąd) + na czystym polu (po zdjęciu Chew7Hale) zrób log z MGADiag. A tu oczekuję na dalsze dane, by dokończyć sprawę czyszczenia z ZeroAccess. . Odnośnik do komentarza
wertjacek Opublikowano 21 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2012 picasso moze to byc dalszy ciąg problemów i ewentualne konsekwencje problemu z wirusem blokujacym zaporę,lub tez calkiem co innego.Wtedy zalożę inny temat. Otóż: przy okazji tematu w dzialer windows 7 zainstalowałem teraz Everesta i mam takie cos jak w załaczniku.Zwroc uwagę na ta cyrylicę w slowie Wlaściwości.Ostatnio dorwałem jakiegos plugina niby free,comodo i malware nic nie zakrzyknęły więc uznałem ze jest OK,ale tak myślę czy to mozliwe by Everest nie rozpoznawal polskich znaków? chyba niemozliwe. Patrzyłem na ustawienia jezyka w syetemie i mam polski i klawiature polski programisty,tak jak ma być.Wiec ta cyrylica zastanawia mnie. Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2012 Zgłoś Udostępnij Opublikowano 22 Listopada 2012 Folder ZeroAccess oraz plik "bez nazwy" pomyślnie skasowane, ale przez nieuwagę umknął mi jeszcze jeden element i przez SHIFT+DEL skasuj ten rzekomy plik "Microsoftu": [2010-11-21 04:24:03 | 001,169,224 | ---- | C] (Microsoft Corporation) -- C:\Users\edytory\AppData\Roaming\OXRTN8I1ZJ.exe Wróćmy do sprawy usunięcia z reguł Zapory naleciałości edycji Windows 7 Pro / Ultimate. 1. Za pomocą Process Hacker (wersja x64) uruchom regedit na uprawnieniu konta SYSTEM (to wybieg, by móc edytować ad-hoc bez sztuk z rekonfiguracją uprawnień). Wejdź do kluczy: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Defaults\FirewallPolicy\FirewallRules HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules Wyszukaj w nich poniższe wartości kierujące na peerdistsh.dll i skasuj: Microsoft-Windows-PeerDist-HostedClient-Out Microsoft-Windows-PeerDist-HostedServer-In Microsoft-Windows-PeerDist-HostedServer-Out Microsoft-Windows-PeerDist-HttpTrans-In Microsoft-Windows-PeerDist-HttpTrans-Out Microsoft-Windows-PeerDist-WSD-In Microsoft-Windows-PeerDist-WSD-Out Porównałam reguły domyślne Zapory między edycjami Home Premium i Ultimate, są prawie identyczne, z wyjątkiem właśnie powyższych + sprawdź czy są u Ciebie te, a jeśli są, to również usuń: RemoteDesktop-In-TCP RemoteDesktop-UserMode-In-TCP 2. Zresetuj system. Sprawdź jak się prezentują reguły Zapory z poziomu Panelu sterowania. zrobiłem te logi (...) dla pewności ze ten chew nie siedzi jeszcze. Na podstawie OTL mogę stwierdzić tyle: nie ma już wpisu startowego. Nie wszystkie komponenty tego cracka OTL może przedstawić, ale wierzę, że jego procedura deinstalacji zrobiła co należy. A sprawa rzeczywistej aktywacji systemu to osobny wątek. Wstępne wytyczne już podałam. Crack usunięty. A w Twoim innym temacie MarekB prawi o aktywacji telefonicznej po zmianie sprzętu. przy okazji tematu w dzialer windows 7 zainstalowałem teraz Everesta i mam takie cos jak w załaczniku.Zwroc uwagę na ta cyrylicę w slowie Wlaściwości.Ostatnio dorwałem jakiegos plugina niby free,comodo i malware nic nie zakrzyknęły więc uznałem ze jest OK,ale tak myślę czy to mozliwe by Everest nie rozpoznawal polskich znaków? chyba niemozliwe.Patrzyłem na ustawienia jezyka w syetemie i mam polski i klawiature polski programisty,tak jak ma być.Wiec ta cyrylica zastanawia mnie. To też temat do działu Windows i już o tym dyskutujmy w innym temacie (załóż nowy temat o tym w dziale Windows). Wstępnie mi to wygląda na błędne wartości w kluczu FontSubtitutes. W osobnym temacie będę to diagnozować. Nie masz uprawnień do wysyłania tego typu plików takie info widzę podczas wysyłania załącznika z OTL z wlasnym skryptem Objaśnia to Pomoc forum (link na spodzie strony). Załączniki akceptują tylko rozszerzenie *.TXT, a to *.LOG. Na przyszłość: wystarczy ręczna zmiana nazwy pliku. I proszę nie umieszczaj takich logów w CODE, który to tag unieczytelnia treść przez kolorowanie. . Odnośnik do komentarza
wertjacek Opublikowano 22 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2012 zapisy poznikały,plik z Roaming usuniety>SOLVED??? Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2012 Zgłoś Udostępnij Opublikowano 22 Listopada 2012 Na zakończenie: 1. W OTL uruchom Sprzątanie (skasuje OTL wraz z kwarantanną). 2. W Dzienniku zdarzeń widzę błąd WMI numer 10. Napraw: KB2545227. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Usuń starsze Java i Adobe Reader, zastąp najnowszymi wersjami, zaktualizuj Firefox: KLIK. Wg raportu posiadasz obecnie wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86417007FF}" = Java 7 Update 7 (64-bit)"{64A3A4F4-B792-11D6-A78A-00B0D0170070}" = Java SE Development Kit 7 Update 7 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java 7 Update 5"{3A6829EF-0791-4FDD-9382-C690DD0821B9}" = Adobe Flash Player 10 ActiveX"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish"Gadu-Gadu" = Gadu-Gadu 6.0"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl) Gadu-Gadu 6.0 - to szokująca sprawa na Windows 7 x64. Udzielałeś się w temacie WTW (nawiasem mówiąc: offtopik usunęłam), to już wiesz do czego tu zmierzam widząc takie "produkty". . Odnośnik do komentarza
wertjacek Opublikowano 23 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2012 1.gg mam 6 ale odpalone może z 2 razy,zalatwiałem pilną sprawe ze znajomkiem i instalowałem co tam mialem na dysku.Generalnie nie korzystam z gg tak ze program jest ale nie odpalany. 2.FF to własciwie z sentymentu,używam na codzień SRW Iron (przy okazji,chciałem zainstalować Nightly wg.topicu forumowego na 64bit,odnośniki są albo nieaktywne albo niekompatabilne z wersjami Nightly,jesli to temat przypiety to autor mogłby wprowadzić poprawki,chętnie bym skorzystał) 3.java i reader,OK poleci aktualizacja. 4.Posprzątam po OTL Ps. podstawowym systemem u mnie jest linux,windy mam z racji programów pod tą platformę i to jedyny powód trzymania win7 i xp Odnośnik do komentarza
Rekomendowane odpowiedzi