kometax Napisano 17 Sierpnia 2013 Zgłoszenie Udostępnij Napisano 17 Sierpnia 2013 Posiadam ORYGINALNY system Windows Vita Home Premium 32, wgrany na PC w chwili zakupu. Po uruchomieniu przywitał mnie czarny ekran i radosna informacja, że system nie jest oryginalny. Komputer przeszedł infekcję ZeroAcess'em (ten problem został już rozwiązany). Odnośnik do odpowiedzi
diox Napisano 17 Sierpnia 2013 Zgłoszenie Udostępnij Napisano 17 Sierpnia 2013 Gdzie był rozwiązany problem z ZeroAccessem? Podaj link oraz zrób wymagane logi. Odnośnik do odpowiedzi
kometax Napisano 19 Sierpnia 2013 Autor Zgłoszenie Udostępnij Napisano 19 Sierpnia 2013 ZeroAccess: niech nie zwiedzie was nazwa tematu, gdyż ZA został wykryty w trakcie. http://forum.programosy.pl/qov6-pomoc-vt137325.html-sid=c7e2e119f32bd58b38828aebe2ee1f6f GMER: GMER 2.1.19163 - http://www.gmer.net Rootkit quick scan 2013-08-19 18:58:36 Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 ST3500320AS rev.SD15 465,76GB Running: xzpiq6tr.exe; Driver: C:\Users\oem\AppData\Local\Temp\uwldapow.sys ---- System - GMER 2.1 ---- Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0x9235DE00] Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject ---- Devices - GMER 2.1 ---- Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-2 861321F8 Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-2 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort0 861321F8 Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort1 861321F8 Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort2 861321F8 Device \Driver\atapi \Device\Ide\IdePort2 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort3 861321F8 Device \Driver\atapi \Device\Ide\IdePort3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort4 861321F8 Device \Driver\atapi \Device\Ide\IdePort4 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort5 861321F8 Device \Driver\atapi \Device\Ide\IdePort5 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-3 861321F8 Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/AVAST Software) Device \FileSystem\Ntfs \Ntfs 861331F8 AttachedDevice \Driver\tdx \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software) AttachedDevice \Driver\tdx \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software) ---- EOF - GMER 2.1 ---- OTL jest załączony OTL.Txt Extras.Txt Odnośnik do odpowiedzi
diox Napisano 20 Sierpnia 2013 Zgłoszenie Udostępnij Napisano 20 Sierpnia 2013 Poproszę jeszcze log z FRST i MGADiag . Odnośnik do odpowiedzi
kometax Napisano 20 Sierpnia 2013 Autor Zgłoszenie Udostępnij Napisano 20 Sierpnia 2013 MGA Diagnostic Report (1.9.0027.0):-----------------------------------------Windows Validation Data-->Validation Status: Invalid LicenseValidation Code: 50Cached Online Validation Code: 0x0Windows Product Key: *****-*****-QMT7P-R6DCF-9CDCHWindows Product Key Hash: CQYFQFuqDuLPd42JfesBA/ouWEs=Windows Product ID: 89578-OEM-7359864-99678Windows Product ID Type: 3Windows License Type: OEM System BuilderWindows OS version: 6.0.6002.2.00010300.2.0.003ID: {A3E1413E-BA16-41C1-AA66-AFA161606E54}(3)Is Admin: YesTestCab: 0x0LegitcheckControl ActiveX: N/A, hr = 0x80070002Signed By: N/A, hr = 0x80070002Product Name: Windows Vista Home PremiumArchitecture: 0x00000000Build lab: 6002.vistasp2_gdr.130707-1535TTS Error: M:20110629172554837-Validation Diagnostic:Resolution Status: N/AVista WgaER Data-->ThreatID(s): N/A, hr = 0x80070002Version: N/A, hr = 0x80070002Windows XP Notifications Data-->Cached Result: N/A, hr = 0x80070002File Exists: NoVersion: N/A, hr = 0x80070002WgaTray.exe Signed By: N/A, hr = 0x80070002WgaLogon.dll Signed By: N/A, hr = 0x80070002OGA Notifications Data-->Cached Result: N/A, hr = 0x80070002Version: N/A, hr = 0x80070002OGAExec.exe Signed By: N/A, hr = 0x80070002OGAAddin.dll Signed By: N/A, hr = 0x80070002OGA Data-->Office Status: 100 GenuineMicrosoft Office Home and Student 2007 - 100 Genuine2007 Microsoft Office system - 100 GenuineOGA Version: N/A, 0x80070002Signed By: N/A, hr = 0x80070002Office Diagnostics: 025D1FF3-364-80041010_025D1FF3-229-80041010_025D1FF3-230-1_025D1FF3-517-80040154_025D1FF3-237-80040154_025D1FF3-238-2_025D1FF3-244-80070002_025D1FF3-258-3Browser Data-->Proxy settings: N/AUser Agent: Mozilla/4.0 (compatible; MSIE 8.0; Win32)Default Browser: C:\Program Files\Opera\Opera.exeDownload signed ActiveX controls: PromptDownload unsigned ActiveX controls: DisabledRun ActiveX controls and plug-ins: AllowedInitialize and script ActiveX controls not marked as safe: DisabledAllow scripting of Internet Explorer Webbrowser control: DisabledActive scripting: AllowedScript ActiveX controls marked as safe for scripting: AllowedFile Scan Data-->Other data-->Office Details: <GenuineResults><MachineData><UGUID>{A3E1413E-BA16-41C1-AA66-AFA161606E54}</UGUID><Version>1.9.0027.0</Version><OS>6.0.6002.2.00010300.2.0.003</OS><Architecture>x32</Architecture><PKey>*****-*****-*****-*****-9CDCH</PKey><PID>89578-OEM-7359864-99678</PID><PIDType>3</PIDType><SID>S-1-5-21-3459804092-3613601358-3245208384</SID><SYSTEM><Manufacturer>System manufacturer</Manufacturer><Model>P5Q SE</Model></SYSTEM><BIOS><Manufacturer>American Megatrends Inc.</Manufacturer><Version>0502 </Version><SMBIOSVersion major="2" minor="5"/><Date>20080820000000.000000+000</Date></BIOS><HWID>C1320500010000F8</HWID><UserLCID>0415</UserLCID><SystemLCID>0415</SystemLCID><TimeZone>Europa Zachodnia (czas stand.)(GMT+01:00)</TimeZone><iJoin>0</iJoin><SBID><stat>3</stat><msppid></msppid><name></name><model></model></SBID><OEM/><GANotification/></MachineData><Software><Office><Result>100</Result><Products><Product GUID="{91120000-002F-0000-0000-0000000FF1CE}"><LegitResult>100</LegitResult><Name>Microsoft Office Home and Student 2007</Name><Ver>12</Ver><Val>4DB8CDF6BDB9DAE</Val><Hash>C/Mp5MSHeRkdw9ord6AkASFBhLE=</Hash><Pid>81602-OEM-6872732-56232</Pid><PidType>4</PidType></Product><Product GUID="{91120000-0031-0000-0000-0000000FF1CE}"><LegitResult>100</LegitResult><Name>2007 Microsoft Office system</Name><Ver>12</Ver><Val>4F4BA4DB582083A</Val><Hash>ji7nNoCbBzpcDNVA9fVej8AD9I8=</Hash><Pid>89451-OEM-6602966-15899</Pid><PidType>11</PidType></Product></Products><Applications><App Id="15" Version="12" Result="100"/><App Id="16" Version="12" Result="100"/><App Id="18" Version="12" Result="100"/><App Id="19" Version="12" Result="100"/><App Id="1A" Version="12" Result="100"/><App Id="1B" Version="12" Result="100"/><App Id="A1" Version="12" Result="100"/></Applications></Office></Software></GenuineResults>Spsys.log Content: U1BMRwEAAAAAAQAABAAAAGgLAAAAAAAAYWECAATgSIi/xGnWcDbMARhy9171jCizkdIEkQaJZ65J2TcofWQeS5jhM6jXpnj0JDwIczU6uAtE1BDeiPKyBVF0H9Oh+hJEw7XKSAShRbfjbqIVlSbx7SAFSMREbIPN1mjkjzXhcq94m48ceJqGOPu1UvB7bxiIfUEtgIRGphkOSa+EGUYcOX5/UvkAHnVxypUpTYFJ/5Q9EhdGhJKYTJsbJiscvAYWgzyFZ0z79y0OKm53Bw867hHNE43WvZqUI0Rf1MqA3D5sWfEw7WeNfzOQ1ifb1stzrqx+w3WNaAwzkNYn29bLc66sfsN1jWgMM5DWJ9vWy3OurH7DdY1oDDOQ1ifb1stzrqx+w3WNaAw=Licensing Data-->Błąd CScript: Nie można znaleźć aparatu skryptów "VBScript" dla skryptu "C:\Windows\system32\slmgr.vbs".Windows Activation Technologies-->N/AHWID Data-->N/A, hr = 0x8007000dOEM Activation 1.0 Data-->N/AOEM Activation 2.0 Data-->BIOS valid for OA 2.0: yes, but no SLIC tableWindows marker version: N/AOEMID and OEMTableID Consistent: N/ABIOS Information:ACPI Table Name OEMID Value OEMTableID ValueAPIC A_M_I_ OEMAPICFACP A_M_I_ OEMFACPHPET A_M_I_ OEMHPETMCFG A_M_I_ OEMMCFGOEMB A_M_I_ AMI_OEMOSFR A_M_I_ OEMOSFRSSDT DpgPmm CpuPm FRST.txt Addition.txt Odnośnik do odpowiedzi
picasso Napisano 27 Sierpnia 2013 Zgłoszenie Udostępnij Napisano 27 Sierpnia 2013 Poprawki po tym co robili na innym forum: 2. Odinstaluj: Logitech Desktop Messenger (zbędny), OptimizerPro1 (nieprawidłowo usuwanięte adware), Skaner on-line mks_vir (staroć), SpyHunter (wątpliwy skaner). 2. Pobierz najnowszą wersję FRST i zapisz na Pulpicie a nie w katalogu C:\Users\oem\AppData\Local\Opera\Opera\temporary_downloads. Otwórz Notatnik i wklej w nim: Reg: reg delete HKCU\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f HKU\Dracula\...\Run: [HEXelon MAX] - "C:\Users\oem\Desktop\HEXelonMAX6\hexelon.exe" /auto [x] HKU\Dracula\...\Run: [DAEMON Tools Lite] - "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun [x] HKU\Dracula\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] - "C:\Program Files\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe" /PROMPT /CMPID=JUNE2013_TB [x] HKU\Dracula\...\Winlogon: [shell] C:\Users\Dracula\AppData\Roaming\hdddoctor.exe Winlogon\Notify\avldr: ShellExecuteHooks: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - No File [ ] Winsock: Catalog5 01 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 05 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" R2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [301120 2013-08-16] (Wsys Co., Ltd.) Task: {29CB90EB-AEAF-49AD-8EDF-B564CE7D7889} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files\Norton Identity Safe\Engine\2013.3.3.19\SymErr.exe No File Task: {A402836A-8239-4ED1-B52A-9124A5B60BB9} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files\Norton Identity Safe\Engine\2013.3.3.19\SymErr.exe No File SearchScopes: HKCU - {B6009401-8A01-4AB2-B87D-C7C37A093367} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=867034&p={searchTerms} DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab C:\Program Files\Common Files\AVG Secure Search C:\ProgramData\eSafe C:\ProgramData\Premium Folder: C:\Windows\$NtUninstallKB2845142_WM64$ Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. 1. Licensing Data--> Błąd CScript: Nie można znaleźć aparatu skryptów "VBScript" dla skryptu "C:\Windows\system32\slmgr.vbs". Na początek przerejestruj pliki silnika skryptowego narzędziem Fix-it z KB949140 (Metoda 2), po tym zresetuj system i zrób nowy log z MGADiag. 2. Error: (08/20/2013 06:18:16 PM) (Source: Software Licensing Service) (User: ) Description: Nie można zebrać informacji o sprzęcie. hr=0x8007000D Sprawdź czy jesteś w stanie uruchomić Menedżer urządzeń i czy okno nie wyświetla się przypadkiem jako puste. . Odnośnik do odpowiedzi
kometax Napisano 27 Sierpnia 2013 Autor Zgłoszenie Udostępnij Napisano 27 Sierpnia 2013 Menadżer Urządzeń jest pusty. Logi w załączniku Diagnostic Report.txt Fixlog.txt FRST.txt Odnośnik do odpowiedzi
picasso Napisano 28 Sierpnia 2013 Zgłoszenie Udostępnij Napisano 28 Sierpnia 2013 Otwórz plik "Diagnostic report" i zobacz jaka sieczka w środku ... Menadżer Urządzeń jest pusty. Nieaktywną usługę PlugPlay można wykluczyć. Raport OTL pokazuje ją jako czynną: SRV - [2009-04-11 00:28:26 | 000,222,720 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\umpnpmgr.dll -- (PlugPlay) Nasuwa się jedno z tych: brak uprawnień (i to może być konsekwencja infekcji ZA) lub uszkodzone komponenty systemowe. Zrób kopię rejestru za pomocą RegBack. Z kopii wybierz plik SYSTEM, zapakuj do ZIP i shostuj gdzieś podając tu link. . Odnośnik do odpowiedzi
kometax Napisano 28 Sierpnia 2013 Autor Zgłoszenie Udostępnij Napisano 28 Sierpnia 2013 Nie wiem jak to się mogło stać. Gdy otwierałam go na kompie był w porządku. Diagnostic Report (1.9.0027.0): ----------------------------------------- Windows Validation Data--> Validation Status: Invalid License Validation Code: 50 Cached Online Validation Code: 0x0 Windows Product Key: *****-*****-QMT7P-R6DCF-9CDCH Windows Product Key Hash: CQYFQFuqDuLPd42JfesBA/ouWEs= Windows Product ID: 89578-OEM-7359864-99678 Windows Product ID Type: 3 Windows License Type: OEM System Builder Windows OS version: 6.0.6002.2.00010300.2.0.003 ID: {A3E1413E-BA16-41C1-AA66-AFA161606E54}(3) Is Admin: Yes TestCab: 0x0 LegitcheckControl ActiveX: N/A, hr = 0x80070002 Signed By: N/A, hr = 0x80070002 Product Name: Windows Vista Home Premium Architecture: 0x00000000 Build lab: 6002.vistasp2_gdr.130707-1535 TTS Error: M:20110629172554837- Validation Diagnostic: Resolution Status: N/A Vista WgaER Data--> ThreatID(s): N/A, hr = 0x80070002 Version: N/A, hr = 0x80070002 Windows XP Notifications Data--> Cached Result: N/A, hr = 0x80070002 File Exists: No Version: N/A, hr = 0x80070002 WgaTray.exe Signed By: N/A, hr = 0x80070002 WgaLogon.dll Signed By: N/A, hr = 0x80070002 OGA Notifications Data--> Cached Result: N/A, hr = 0x80070002 Version: N/A, hr = 0x80070002 OGAExec.exe Signed By: N/A, hr = 0x80070002 OGAAddin.dll Signed By: N/A, hr = 0x80070002 OGA Data--> Office Status: 100 Genuine Microsoft Office Home and Student 2007 - 100 Genuine 2007 Microsoft Office system - 100 Genuine OGA Version: N/A, 0x80070002 Signed By: N/A, hr = 0x80070002 Office Diagnostics: 025D1FF3-364-80041010_025D1FF3-229-80041010_025D1FF3-230-1_025D1FF3-517-80040154_025D1FF3-237-80040154_025D1FF3-238-2_025D1FF3-244-80070002_025D1FF3-258-3 Browser Data--> Proxy settings: N/A User Agent: Mozilla/4.0 (compatible; MSIE 8.0; Win32) Default Browser: C:\Program Files\Opera\Opera.exe Download signed ActiveX controls: Prompt Download unsigned ActiveX controls: Disabled Run ActiveX controls and plug-ins: Allowed Initialize and script ActiveX controls not marked as safe: Disabled Allow scripting of Internet Explorer Webbrowser control: Disabled Active scripting: Allowed Script ActiveX controls marked as safe for scripting: Allowed File Scan Data--> Other data--> Office Details: <GenuineResults><MachineData><UGUID>{A3E1413E-BA16-41C1-AA66-AFA161606E54}</UGUID><Version>1.9.0027.0</Version><OS>6.0.6002.2.00010300.2.0.003</OS><Architecture>x32</Architecture><PKey>*****-*****-*****-*****-9CDCH</PKey><PID>89578-OEM-7359864-99678</PID><PIDType>3</PIDType><SID>S-1-5-21-3459804092-3613601358-3245208384</SID><SYSTEM><Manufacturer>System manufacturer</Manufacturer><Model>P5Q SE</Model></SYSTEM><BIOS><Manufacturer>American Megatrends Inc.</Manufacturer><Version>0502 </Version><SMBIOSVersion major="2" minor="5"/><Date>20080820000000.000000+000</Date></BIOS><HWID>C1320500010000F8</HWID><UserLCID>0415</UserLCID><SystemLCID>0415</SystemLCID><TimeZone>Europa Zachodnia (czas stand.)(GMT+01:00)</TimeZone><iJoin>0</iJoin><SBID><stat>3</stat><msppid></msppid><name></name><model></model></SBID><OEM/><GANotification/></MachineData><Software><Office><Result>100</Result><Products><Product GUID="{91120000-002F-0000-0000-0000000FF1CE}"><LegitResult>100</LegitResult><Name>Microsoft Office Home and Student 2007</Name><Ver>12</Ver><Val>4DB8CDF6BDB9DAE</Val><Hash>C/Mp5MSHeRkdw9ord6AkASFBhLE=</Hash><Pid>81602-OEM-6872732-56232</Pid><PidType>4</PidType></Product><Product GUID="{91120000-0031-0000-0000-0000000FF1CE}"><LegitResult>100</LegitResult><Name>2007 Microsoft Office system</Name><Ver>12</Ver><Val>4F4BA4DB582083A</Val><Hash>ji7nNoCbBzpcDNVA9fVej8AD9I8=</Hash><Pid>89451-OEM-6602966-15899</Pid><PidType>11</PidType></Product></Products><Applications><App Id="15" Version="12" Result="100"/><App Id="16" Version="12" Result="100"/><App Id="18" Version="12" Result="100"/><App Id="19" Version="12" Result="100"/><App Id="1A" Version="12" Result="100"/><App Id="1B" Version="12" Result="100"/><App Id="A1" Version="12" Result="100"/></Applications></Office></Software></GenuineResults> Spsys.log Content: U1BMRwEAAAAAAQAABAAAAGgLAAAAAAAAYWECAATgSIi/xGnWcDbMARhy9171jCizkdIEkQaJZ65J2TcofWQeS5jhM6jXpnj0JDwIczU6uAtE1BDeiPKyBVF0H9Oh+hJEw7XKSAShRbfjbqIVlSbx7SAFSMREbIPN1mjkjzXhcq94m48ceJqGOPu1UvB7bxiIfUEtgIRGphkOSa+EGUYcOX5/UvkAHnVxypUpTYFJ/5Q9EhdGhJKYTJsbJiscvAYWgzyFZ0z79y0OKm53Bw867hHNE43WvZqUI0Rf1MqA3D5sWfEw7WeNfzOQ1ifb1stzrqx+w3WNaAwzkNYn29bLc66sfsN1jWgMM5DWJ9vWy3OurH7DdY1oDDOQ1ifb1stzrqx+w3WNaAw= Licensing Data--> Błąd CScript: Nie można znaleźć aparatu skryptów "VBScript" dla skryptu "C:\Windows\system32\slmgr.vbs". Windows Activation Technologies--> N/A HWID Data--> N/A, hr = 0x8007000d OEM Activation 1.0 Data--> N/A OEM Activation 2.0 Data--> BIOS valid for OA 2.0: yes, but no SLIC table Windows marker version: N/A OEMID and OEMTableID Consistent: N/A BIOS Information: ACPI Table Name OEMID Value OEMTableID Value APIC A_M_I_ OEMAPIC FACP A_M_I_ OEMFACP HPET A_M_I_ OEMHPET MCFG A_M_I_ OEMMCFG OEMB A_M_I_ AMI_OEM OSFR A_M_I_ OEMOSFR SSDT DpgPmm CpuPm RegBack http://www.sendspace.pl/file/3beabed58daef802f3ad35b Odnośnik do odpowiedzi
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się