stefel Opublikowano 23 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 23 Kwietnia 2011 Witam. Mam problem z dziwnymi znaczkami w systemie np. log z malwarebytes : Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Wersja bazy: 6423 Windows 6.1.7601 Service Pack 1 Internet Explorer 9.0.8112.16421 2011-04-23 08:09:39 mbam-log-2011-04-23 (08-09-39).txt Typ skanowania: Szybkie skanowanie Przeskanowano obiektуw: 175188 UpÑ–ynкіo: 1 minut(y), 31 sekund(y) Zainfekowanych procesуw w pamiкci: 0 Zainfekowanych moduіуw w pamiкci: 0 Zainfekowanych kluczy rejestru: 0 Zainfekowanych wartoÑšci rejestru: 0 Zainfekowane informacje rejestru systemowego: 0 Zainfekowanych folderуw: 0 Zainfekowanych plikуw: 0 Zainfekowanych procesуw w pamiкci: (Nie znaleziono zagroÑ—eÑ) Zainfekowanych moduіуw w pamiкci: (Nie znaleziono zagroÑ—eÑ) Zainfekowanych kluczy rejestru: (Nie znaleziono zagroÑ—eÑ) Zainfekowanych wartoÑšci rejestru: (Nie znaleziono zagroÑ—eÑ) Zainfekowane informacje rejestru systemowego: (Nie znaleziono zagroÑ—eÑ) Zainfekowanych folderуw: (Nie znaleziono zagroÑ—eÑ) Zainfekowanych plikуw: (Nie znaleziono zagroÑ—eÑ) a tak wygląda okno programu : Bardzo proszę o pomoc Logi OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 23 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 23 Kwietnia 2011 Temat przenoszę. Infekcja wątpliwa, to raczej wygląda na nieprawidłowość cache czcionek, uszkodzenie czcionek lub naruszenie klucza FontSubstitutes. W raporcie widać odświeżenie pliku cache z dziś: [2011-04-23 07:54:12 | 000,337,112 | ---- | M] () -- C:\windows\SysNative\FNTCACHE.DAT 1. Rozpocznij od skasowania pliku cache C:\Windows\system32\FNTCACHE.DAT. Zresetuj system. Plik powinien się zrekonstruować. Jeśli operacja nie pomoże: 2. Start > w polu szukania wklep regedit > wyeksportuj te klucze do porównania: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\FontSubstitutes . Odnośnik do komentarza
stefel Opublikowano 23 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 23 Kwietnia 2011 1. Rozpocznij od skasowania pliku cache C:\Windows\system32\FNTCACHE.DAT. Zresetuj system. Plik powinien się zrekonstruować. Nie pomogło HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes 1.txt HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\FontSubstitutes 2.txt Odnośnik do komentarza
picasso Opublikowano 23 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 23 Kwietnia 2011 Na pewno zresetowałeś system? Pytaniem jest też czy: używałeś intensywnie jakiegoś "cleanera" (są takie w Twoim systemie) oraz co mieszałeś w Sunrise Seven. Porównując klucze z moim 64-bitowym systemem, to są pewne różnice (subtelności w MS Sans Serif i Courier oraz masz więcej zapisów wstawionych). Zrób kopię zapasową obu kluczy (zapis do pliku REG a nie TXT), do Notatnika wklej: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\FontSubstitutes] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes] "Arabic Transparent"="Arial" "Arabic Transparent Bold"="Arial Bold" "Arabic Transparent,0"="Arial,178" "Arabic Transparent Bold,0"="Arial Bold,178" "Helvetica"="Arial" "Arial Baltic,186"="Arial,186" "Arial CE,238"="Arial,238" "Arial CYR,204"="Arial,204" "Arial Greek,161"="Arial,161" "Arial TUR,162"="Arial,162" "Courier New Baltic,186"="Courier New,186" "Courier New CE,238"="Courier New,238" "Courier New CYR,204"="Courier New,204" "Courier New Greek,161"="Courier New,161" "Courier New TUR,162"="Courier New,162" "Times"="Times New Roman" "Times New Roman Baltic,186"="Times New Roman,186" "Times New Roman CE,238"="Times New Roman,238" "Times New Roman CYR,204"="Times New Roman,204" "Times New Roman Greek,161"="Times New Roman,161" "Times New Roman TUR,162"="Times New Roman,162" "MS Shell Dlg 2"="Tahoma" "Tahoma Armenian"="Tahoma" "Helv"="MS Sans Serif" "Tms Rmn"="MS Serif" "David Transparent"="David" "Miriam Transparent"="Miriam" "Fixed Miriam Transparent"="Miriam Fixed" "Rod Transparent"="Rod" "FangSong_GB2312"="FangSong" "KaiTi_GB2312"="KaiTi" "MS Shell Dlg"="Microsoft Sans Serif" "System,0"="System,238" "Fixedsys,0"="Fixedsys,238" "Small Fonts,0"="Small Fonts,238" "MS Serif,0"="MS Serif,238" "MS Sans Serif,0"="MS Sans Serif,238" "Courier,0"="Courier New,238" "Arial CE,0"="Arial,238" "Courier New CE,0"="Courier New,238" "Times New Roman CE,0"="Times New Roman,238" "Helv,0"="MS Sans Serif,238" "Tms Rmn,0"="MS Serif,238" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\FontSubstitutes] "Arabic Transparent"="Arial" "Arabic Transparent Bold"="Arial Bold" "Arabic Transparent,0"="Arial,178" "Arabic Transparent Bold,0"="Arial Bold,178" "Helvetica"="Arial" "Arial Baltic,186"="Arial,186" "Arial CE,238"="Arial,238" "Arial CYR,204"="Arial,204" "Arial Greek,161"="Arial,161" "Arial TUR,162"="Arial,162" "Courier New Baltic,186"="Courier New,186" "Courier New CE,238"="Courier New,238" "Courier New CYR,204"="Courier New,204" "Courier New Greek,161"="Courier New,161" "Courier New TUR,162"="Courier New,162" "Times"="Times New Roman" "Times New Roman Baltic,186"="Times New Roman,186" "Times New Roman CE,238"="Times New Roman,238" "Times New Roman CYR,204"="Times New Roman,204" "Times New Roman Greek,161"="Times New Roman,161" "Times New Roman TUR,162"="Times New Roman,162" "MS Shell Dlg 2"="Tahoma" "Tahoma Armenian"="Tahoma" "Helv"="MS Sans Serif" "Tms Rmn"="MS Serif" "David Transparent"="David" "Miriam Transparent"="Miriam" "Fixed Miriam Transparent"="Miriam Fixed" "Rod Transparent"="Rod" "FangSong_GB2312"="FangSong" "KaiTi_GB2312"="KaiTi" "MS Shell Dlg"="Microsoft Sans Serif" "System,0"="System,238" "Fixedsys,0"="Fixedsys,238" "Small Fonts,0"="Small Fonts,238" "MS Serif,0"="MS Serif,238" "MS Sans Serif,0"="MS Sans Serif,238" "Courier,0"="Courier New,238" "Arial CE,0"="Arial,238" "Courier New CE,0"="Courier New,238" "Times New Roman CE,0"="Times New Roman,238" "Helv,0"="MS Sans Serif,238" "Tms Rmn,0"="MS Serif,238" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > uruchom ten plik Po imporcie zresetuj system. . Odnośnik do komentarza
stefel Opublikowano 23 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 23 Kwietnia 2011 Na pewno zresetowałeś system? Pytaniem jest też czy: używałeś intensywnie jakiegoś "cleanera" (są takie w Twoim systemie) oraz co mieszałeś w Sunrise Seven. Tak zrestartowałem. Tylko ccleanera. Sunrise Seven tylko zainstalowałem nawet jeszcze nie uruchomiłem. To jest nowy komputer. Wczoraj wieczorem wyjęty z pudełka Porównując klucze z moim 64-bitowym systemem, to są pewne różnice (subtelności w MS Sans Serif i Courier oraz masz więcej zapisów wstawionych). Zrób kopię zapasową obu kluczy (zapis do pliku REG a nie TXT), do Notatnika wklej (...) Po imporcie zresetuj system. Niestety dalej to samo. Odnośnik do komentarza
picasso Opublikowano 23 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 23 Kwietnia 2011 1. Pokaż mi jeszcze klucze (eksportuj w formacie REG a nie TXT): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Fonts 2. Podaj wyniki komendy SFC: KLIK. Odnośnik do komentarza
stefel Opublikowano 23 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 23 Kwietnia 2011 1. Pokaż mi jeszcze klucze (eksportuj w formacie REG a nie TXT): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Fonts HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts http://www.sendspace...e396c7e001e7f45 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Fonts http://www.sendspace...548305cfd048a2b 2. Podaj wyniki komendy SFC: KLIK. http://wklej.org/id/542818/txt/ Odnośnik do komentarza
picasso Opublikowano 23 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 23 Kwietnia 2011 (edytowane) stefel, ale nie podałeś wcale eksportu tych kluczy .... Pierwszy link to eksport FontSubstitutes a nie Fonts, a drugi link jest nieczynny. Edytowane 12 Lipca 2011 przez picasso 12.07.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi autora. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi