luksa85 Opublikowano 2 Czerwca 2011 Zgłoś Udostępnij Opublikowano 2 Czerwca 2011 Jakiś czas temu wyskoczył mi alert o trojanie i Kaspersky Internet Security 2011 usunął go. Po czym zresetował się, kazał przeskanować cały dysk i przywrócić system po infekcji. Zrobiłem tak jak chciał, ale od tamtego czasu po włączaniu kompa, albo resecie ciągle się pluje o sprawdzanie dysku i przywracanie systemu. Zamieszczam logi z OTL: http://wklej.org/id/537099/ i extras.txt: http://wklej.org/id/537101/ Oprócz tego jak chcę wyłączyć ochronę sytemu i przeprowadzić czyszczenie folderów przywracania systemu jak pod tym adresem: https://www.fixitpc.pl/topic/5-dezynfekcja-metody-usuwania-czesc-1/#1 to wyskakuje okienko: Proszę o jakąś pomoc Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2011 Zgłoś Udostępnij Opublikowano 2 Czerwca 2011 Brak znaków infekcji. Tylko drobnostki do wykonania: 1. Do deinstalacji wątpliwej reputacji wtyczka vShare Plugin (KLIK). Deinstalację prowadź w dwóch miejscach: aplet usuwania programów oraz menedżer rozszerzeń Firefox. 2. Wyczyść preferencje Firefox ze śmieci. W pasku adresów wklep about:config, wyszukaj podane tu niżej wartości i z prawokliku zresetuj do poziomu domyślnego. FF - prefs.js..browser.search.defaultthis.engineName: "Avanquest App'-Anwendungsleiste Customized Web Search"FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2529008&SearchSource=3&q={searchTerms}"FF - prefs.js..keyword.URL: "http://search.freecause.com/search?fr=freecause&ourmark=3&type=62781&p=" 3. Naprawa określonych błędów z Dziennika: Error - 2010-11-06 17:11:06 | Computer Name = Lukasz-Komputer | Source = Microsoft-Windows-CAPI2 | ID = 4107Description = Nie można wyodrębnić listy głównej innych firm z pliku cab automatycznej aktualizacji z: , wystąpił błąd: Wymagany certyfikat jest poza okresem ważności, co wynika z weryfikacji bieżącego zegara systemowego lub sygnatury czasowej. Ten drobny błąd naprawisz narzędziem Fix-it z artykułu KB2328240. Error - 2011-05-29 06:15:01 | Computer Name = Lukasz-Komputer | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi atksgt z powodu następującego błędu: %%577 Error - 2011-05-29 06:15:05 | Computer Name = Lukasz-Komputer | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi lirsgt z powodu następującego błędu: %%577 Jest notowany problem ze startem sterowników Tages: DRV:64bit: - [2011-03-18 15:22:49 | 000,303,616 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Windows\SysNative\drivers\atksgt.sys -- (atksgt)DRV:64bit: - [2011-03-18 15:22:39 | 000,035,328 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Windows\SysNative\drivers\lirsgt.sys -- (lirsgt) Pobierz paczkę Tagès drivers, ona działa także jako deinstalator i usuń te sterowniki. Error - 2011-05-29 06:14:13 | Computer Name = Lukasz-Komputer | Source = Application Popup | ID = 1060Description = Ładowanie sterownika \SystemRoot\SysWow64\Drivers\StarOpen.SYS zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Error - 2011-05-29 06:14:13 | Computer Name = Lukasz-Komputer | Source = Application Popup | ID = 1060Description = Ładowanie sterownika \SystemRoot\SysWow64\Drivers\VD_FileDisk.SYS zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Error - 2011-05-29 06:16:38 | Computer Name = Lukasz-Komputer | Source = Service Control Manager | ID = 7026Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: SAVRKBootTasks StarOpen VD_FileDisk Error - 2011-05-29 06:15:04 | Computer Name = Lukasz-Komputer | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi iolo FileInfoList Service z powodu następującego błędu: %%2 Error - 2011-05-29 06:15:04 | Computer Name = Lukasz-Komputer | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi iolo System Service z powodu następującego błędu: %%2 W programie Autoruns: ----> W karcie Services wyszukaj szczątki iolo, czyli ioloFileInfoList + ioloSystemService, skasuj. ----> W karcie Drivers skasuj sterownik pozostawiony po Sophos Antirootkit: DRV:64bit: - File not found [Kernel | System | Stopped] -- C:\Windows\SysNative\SAVRKBootTasks.sys -- (SAVRKBootTasks)DRV - [2010-05-26 11:45:04 | 000,018,816 | ---- | M] (Sophos Plc) [Kernel | System | Stopped] -- C:\Windows\SysWOW64\SAVRKBootTasks.sys -- (SAVRKBootTasks) ... oraz odptaszkuj z uruchamiania te starocie blokowane z powodu braku zgodności: DRV - [2006-07-24 16:05:00 | 000,005,632 | ---- | M] () [File_System | System | Stopped] -- C:\Windows\SysWow64\drivers\StarOpen.sys -- (StarOpen)DRV - [2006-01-13 15:00:52 | 000,015,872 | ---- | M] (Flint Incorporation) [Kernel | System | Stopped] -- C:\Windows\SysWow64\drivers\vd_filedisk.sys -- (VD_FileDisk) Jakiś czas temu wyskoczył mi alert o trojanie i Kaspersky Internet Security 2011 usunął go. Co to konkretnie za trojan był? Wyciągnij te dane z dziennika Kasperskiego i tu zaprezentuj. Zrobiłem tak jak chciał, ale od tamtego czasu po włączaniu kompa, albo resecie ciągle się pluje o sprawdzanie dysku i przywracanie systemu. Przepisz dokładnie jak są sformułowane te komunikaty. Oprócz tego jak chcę wyłączyć ochronę sytemu i przeprowadzić czyszczenie folderów przywracania systemu (...) to wyskakuje okienko Start > w polu szukania wklep regedit > z prawokliku Uruchom jako Administrator i sprawdź czy masz taki klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet Jeśli jest ów "Internet", skasuj z prawokliku i zresetuj komputer. . Odnośnik do komentarza
luksa85 Opublikowano 2 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2011 (edytowane) Przepisz dokładnie jak są sformułowane te komunikaty. 1.Istnieje ryzyko infekcji komputera Wymagane jest pełne skanowanie i można kliknąć napraw teraz Dokładnie posile się obrazkiem: http://img21.otofotki.pl/obrazki/bc715_kas.jpg Co to konkretnie za trojan był? Wyciągnij te dane z dziennika Kasperskiego i tu zaprezentuj. wydaje mi się że to było to: Start > w polu szukania wklep regedit > z prawokliku Uruchom jako Administrator i sprawdź czy masz taki klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet sprawdzałem i nie ma takiego klucza 2. Wyczyść preferencje Firefox ze śmieci. W pasku adresów wklep about:config, wyszukaj podane tu niżej wartości i z prawokliku zresetuj do poziomu domyślnego. jedyne opcje z prefs jakie znalazłem w firefoxie to takie i nie wiem o które chodzi dokładnie http://img21.otofotki.pl/kk57_pref.jpg.html nie umiałem znaleźć tych rzeczy z about:config, oprócz tego z artykułu fix-it nie mogę odszukać tych rzeczy LocalSystem: %windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content %windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData Co do Taged driver takiego folderu jak C:\Windows\SysNative brakuje Oto nowe logi http://wklej.org/id/540198/ Extras http://wklej.org/id/540189/ Edytowane 3 Czerwca 2011 przez picasso Posty połączone. //picasso Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2011 Zgłoś Udostępnij Opublikowano 3 Czerwca 2011 Proszę stosuj opcję Edytuj zamiast tworzyć nowe posty, jeśli nikt jeszcze nie odpisał. A tak napisałeś trzy posty pod sobą. Wszystko łączę. 1.Istnieje ryzyko infekcji komputeraWymagane jest pełne skanowanie i można kliknąć napraw teraz Teraz mam lepszy obraz. Dla porównania: KLIK. Mówiłeś: kazał przeskanować cały dysk i przywrócić system po infekcji. Zrobiłem tak jak chciał, ale od tamtego czasu po włączaniu kompa, albo resecie ciągle się pluje o sprawdzanie dysku i przywracanie systemu. Czy na pewno "wykryte zagrożenia" zostały definitywnie usunięte i nie pozostają jako "wykryte" bez akcji? I czy na pewno wykonałeś te kroki: KLIK? Co do Taged drivertakiego folderu jak C:\Windows\SysNative brakuje Nie rozumiem. Dostałeś link do automatycznej paczki, która działa równocześnie jako instalator + deinstalator. Widzę, że pobrałeś C:\Users\Lukasz\Desktop\TagesSetup_x64.exe, rozumiem także że uruchomiłeś z trybem deinstalacji, gdyż oba sterowniki nie są już wyświetlane w OTL. Czego więc Ty szukasz w katalogu systemowym? Zaś C:\Windows\SysNative = C:\Windows\system32. OTL jest narzędziem 32-bit i pobiera 64-bitowe dane przez alias Sysnative. To Cię nie interesuje tutaj wcale, nie dostałeś zadania ręcznego. oprócz tego z artykułu fix-it nie mogę odszukać tych rzeczy LocalSystem: %windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content %windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData Znów jakieś nieporozumienie .... Ty nie masz nic wykonywać ręcznie. Masz pobrać automatyczne narzędzie Fix-it z artykułu i je uruchomić. Ono samo naprawi błąd .... nie umiałem znaleźć tych rzeczy z about:config Wklepujesz about:config, w wyszukiwarce wklepujesz po kolei wartości browser.search.defaultthis.engineName, browser.search.defaulturl, keyword.URL. sprawdzałem i nie ma takiego klucza Start > w polu szukania wklep services.msc > na liście sprawdź czy usługi Dziennik zdarzeń i Harmonogram zadań mają typ uruchomienia Automatyczny i czy są uruchomione. . Odnośnik do komentarza
luksa85 Opublikowano 3 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2011 Start > w polu szukania wklep services.msc > na liście sprawdź czy usługi Dziennik zdarzeń i Harmonogram zadań mają typ uruchomienia Automatyczny i czy są uruchomione. dziennik zadań jest uruchomiony, natomiast harmonogram nie. Jak daję go do uruchomienia to wypisuje: "Usługa Harmonogram zadań na Komputer lokalny uruchomiła się, a następnie zatrzymała. Niektóre usługi zatrzymują się automatycznie, jeśli nie są używane przez inne usługi lub programy. A za ten bajzel przepraszam Czy na pewno "wykryte zagrożenia" zostały definitywnie usunięte i nie pozostają jako "wykryte" bez akcji? I czy na pewno wykonałeś te kroki: KLIK? jest tak zrobione jak na stronie sekcje about:config już też przeprowadziłem po 3 godzinach pełnego skanowania komputera KIS nie znalazł żadnego wirusa, ani trojana Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2011 Zgłoś Udostępnij Opublikowano 3 Czerwca 2011 jest tak zrobione jak na stronie Czyli pełny skan zrobiony (i nic nie wykryte) oraz przeprowadzona procedura z System Restore Wizard. Na tym pierwszym obrazku w karcie "Wykryte zagrożenia" = czy tam można podjąć jakieś dodatkowe akcje na już wykrytym zagrożeniu z obrazka dwa? natomiast harmonogram nie. Jak daję go do uruchomienia to wypisuje: "Usługa Harmonogram zadań na Komputer lokalny uruchomiła się, a następnie zatrzymała. Niektóre usługi zatrzymują się automatycznie, jeśli nie są używane przez inne usługi lub programy. Zapakuj mi rejestr do analizy ręcznej. Wytwórz kopię rejestru: KLIK. Z wytworzonej kopii rejestru wyekstraktuj pliki o nazwie SOFTWARE + SYSTEM, zapakuj do ZIP, shostuj gdzieś i podaj mi tu link. . Odnośnik do komentarza
luksa85 Opublikowano 3 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2011 Tak pełen skan zrobiony procedura przeprowadzona. czy tam można podjąć jakieś dodatkowe akcje na już wykrytym zagrożeniu z obrazka dwa? Tak na usuniętym zagrożeniu można po kliknięciu prawym myszki wybrać usuń z listy, albo otwórz folder w którym znajdowało się zagrożenie. Właśnie przez przypadek usunąłem całą historię (Brawo!!!!) Którego programu użyć do zrobienia tej kopii, czy to może obojętne Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2011 Zgłoś Udostępnij Opublikowano 3 Czerwca 2011 Tak na usuniętym zagrożeniu można po kliknięciu prawym myszki wybrać usuń z listy, albo otwórz folder w którym znajdowało się zagrożenie.Właśnie przez przypadek usunąłem całą historię (Brawo!!!!) Czy mam rozumieć, że opróżnienie historii zlikwidowało alerty? Którego programu użyć do zrobienia tej kopii, czy to może obojętne Przy aplikacjach są wypisane wymagania systemowe. Np. wybierz RegBack. . Odnośnik do komentarza
luksa85 Opublikowano 3 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2011 Czy mam rozumieć, że opróżnienie historii zlikwidowało alerty? jak na razie ich nie ma(tzn wszystkie raporty mi się ununeły), ciekawe co będzie po resecie kompa. Najpierw jeszcze ten rejestr zrobię oto rejestr (mam nadzieje że o to chodziło): http://www.filesonic.pl/file/1118695484 no i po resecie dalej to samo z KIS 2011 Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2011 Zgłoś Udostępnij Opublikowano 3 Czerwca 2011 no i po resecie dalej to samo z KIS 2011 Dziennik zdarzeń jest pusty? Czy kwarantannę opróżniłeś? oto rejestr (mam nadzieje że o to chodziło): Spróbuj tej procedury: 1. Skasuj zawartość folderu C:\Windows\system32\tasks\microsoft\windows\SystemRestore. Folderu nie usuwaj, tylko to co jest w środku. 2. Start > w polu szukania wklep regedit > z prawokliku wyeksportuj poniższe klucze do kopii zapasowej *.REG i je skasuj: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{994C86AD-A929-4B2C-88A0-4E25A107A029} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\SystemRestore\SR 3. Reset systemu i sprawdź czy usługa Harmonogramu startuje + Ochrona systemu da się w(y)łączać. . Odnośnik do komentarza
luksa85 Opublikowano 3 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2011 Dziennik zdarzeń jest pusty? Czy kwarantannę opróżniłeś? dziennik zdarzeń po resecie harmonogram dalej zimny i ochrona systemu też bez zmian Chyba mój komputer całkowicie się uparł i nie chce współpracować Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2011 Zgłoś Udostępnij Opublikowano 3 Czerwca 2011 dziennik zdarzeń Ale pytam się czy w Kasperskym wyczyściłeś wszystko (cały dziennik zdarzeń + całą kwarantannę)? Moim zdaniem to jest tylko kwestia opróżnienia jakiś danych w samym Kasperskym, bo problemu infekcji ja tu nie widzę. Nie mogę pomóc w bardziej precyzyjny sposób, bo nie mam KIS pod ręką i nie pamiętam opcji. po resecie harmonogram dalej zimny i ochrona systemu też bez zmian Spróbujmy jeszcze usunąć wszystkie zadania niedomyślne. W programie Autoruns wejdź do karty Scheduled Tasks i usuń wszystkie zadania nie pochodzące od Microsoftu. Po usunięciu zadań zresetuj komputer i sprawdź co się dzieje. . Odnośnik do komentarza
luksa85 Opublikowano 3 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2011 Ok precyzuje swoją wypowiedź: Ale pytam się czy w Kasperskym wyczyściłeś wszystko (cały dziennik zdarzeń + całą kwarantannę)? Moim zdaniem to jest tylko kwestia opróżnienia jakiś danych w samym Kasperskym, bo problemu infekcji ja tu nie widzę. Nie mogę pomóc w bardziej precyzyjny sposób, bo nie mam KIS pod ręką i nie pamiętam opcji. domyślam się że gdyby to była jakaś poważna infekcja to gadżet świeciłby się na czerwono a nie żółto. Tak jak jest na obrazku druga zakładka "wykryte zagrożenia" (tam miałem zaznaczone wszystkie, więc kwarantanna też) kliknąłem prawym przyciskiem myszki i zamiast sprawdzić miejsce w którym zagrożenie się znajdywało kliknąłem wyczyszczenie raportu i teraz tam kompletnie nic nie ma. W karcie Seluded Task jest kompletnie pusto, może mam to w jakimś trybie zgodności uruchomić lub do katalogu windows skopiować i dopiero uruchomić Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2011 Zgłoś Udostępnij Opublikowano 3 Czerwca 2011 Tak jak jest na obrazku druga zakładka "wykryte zagrożenia" (tam miałem zaznaczone wszystkie, więc kwarantanna też) kliknąłem prawym przyciskiem myszki i zamiast sprawdzić miejsce w którym zagrożenie się znajdywało kliknąłem wyczyszczenie raportu i teraz tam kompletnie nic nie ma. Wejdź do kwarantanny Kasperskiego i ją całkowicie opróżnij, o ile jest co opróżniać. Natomiast miejsce, gdzie znajdowało się zagrożenie, masz przecież pokazane na obrazku numer dwa: folder C:\Users\lukasz\appdata\local\r19zw8zku37a. Na wszelki wypadek pokaż mi co jest w folderze Local. Uruchom OTL i wszystkie opcje ustaw na Brak + Żadne, a w polu Własne opcje skanowania / skrypt wklej: DIR /A C:\Users\lukasz\appdata\local /C Klik w Skanuj. W karcie Seluded Task jest kompletnie pusto Autoruns musi być zastartowany w trybie Uruchom jako Administrator. . Odnośnik do komentarza
luksa85 Opublikowano 3 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2011 to jest local http://wklej.org/id/540437/ autoruns mam ustawione jako admin i dalej nic nie pokazuje w scheluded task http://www.otofotki.pl/img22/lh1954_auto.jpg.html w tej ścieżce nic nie ma, oprócz pustego katalogu Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2011 Zgłoś Udostępnij Opublikowano 3 Czerwca 2011 Odnośnik do komentarza
luksa85 Opublikowano 3 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2011 Zrobiłem zresetowałem kompa, a po nim dalej harmonogramu włączyć nie można co sprowadza się do stwierdzenia że nadal nic nie działa Odnośnik do komentarza
picasso Opublikowano 4 Czerwca 2011 Zgłoś Udostępnij Opublikowano 4 Czerwca 2011 Za pomocą RegBack zrób nową kopię rejestru i prześlij mi aktualną postać pliku SOFTWARE do oceny. Odnośnik do komentarza
luksa85 Opublikowano 4 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 4 Czerwca 2011 Za pomocą RegBack zrób nową kopię rejestru i prześlij mi aktualną postać pliku SOFTWARE do oceny. http://www.filesonic.com/file/1128987734/SOFTWARE.zip Odnośnik do komentarza
picasso Opublikowano 7 Czerwca 2011 Zgłoś Udostępnij Opublikowano 7 Czerwca 2011 No cóż, nie widzę przyczyny ... Może jeszcze: 1. Doczyść w rejestrze inne fragmenty po już usuniętych zadaniach. Wątpię czy to coś pomoże, ale .... Zmajstruj FIX.REG o zawartości podanej niżej i zaimportuj w taki sam sposób jak poprzednio: cmd Uruchomione jako Administrator i komenda psexec -s -d REG IMPORT C:\FIX.REG. Restart systemu. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures] "GoogleUpdateTaskUserS-1-5-21-4162628400-1900528479-3526456126-1000Core.job"=- "GoogleUpdateTaskUserS-1-5-21-4162628400-1900528479-3526456126-1000Core.job.fp"=- "GoogleUpdateTaskUserS-1-5-21-4162628400-1900528479-3526456126-1000UA.job"=- "GoogleUpdateTaskUserS-1-5-21-4162628400-1900528479-3526456126-1000UA.job.fp"=- "{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job"=- "{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job.fp"=- "{22116563-108C-42c0-A7CE-60161B75E508}.job"=- "{22116563-108C-42c0-A7CE-60161B75E508}.job.fp"=- "SLOW-PCfighter.job"=- "SLOW-PCfighter.job.fp"=- [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{994E3B02-603D-4EA5-A982-9A598EA8F177}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0CCC169F-BE0A-425C-BFFD-894475E2C7D8}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{196F2C77-1E1A-4EFD-B3F8-30CA6D98D082}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{33C6E2AF-DECA-4B7F-911F-EA1CF02CB6D9}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B40068B6-D730-4E75-8330-D2B79ED37407}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{4D50D101-6D8D-47D1-A926-8FCADFF33630}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6AC5435F-4C22-455F-AB00-41F774FF645C}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C59C8A51-3327-4806-B639-347A3DD5D502}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{7A1835DD-7B72-4AC9-95FF-6449405E632C}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{82D86623-C05F-46F8-A957-AC9D1505487A}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{BCF49F01-7ACE-4E7C-9FE6-8140CBFF2468}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{D31FCC95-D0D5-481A-9503-B9CDACB38C07}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6DDAA8A5-FD0E-4C17-AC80-479F8B27EE2C}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{510203ED-E3F5-4AFB-B3F8-8D6E6F073FFF}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{8BAB59F7-23EB-49D3-AD13-B9F39C2C624C}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{ED8FE078-5F7E-49A8-BE56-DEC922FF4059}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{94CCEA90-C1EE-45B2-AF4B-FC4009202358}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{BE0D6815-D771-400B-8016-3CD8C043CFF2}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{2808D971-9F14-402E-9085-678A9E1652C3}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F36AA317-6070-4A79-8023-1659EC8D72E7}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{65C728F4-BC3F-476D-AD99-E29C7ECC97AA}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{AB4813E5-C5D8-41F6-B023-307B6C6B0FBA}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C8AB5149-0449-4DD3-8A9E-592A111FCBC1}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{624315C9-E1BF-4A61-9B54-BD64BC54D68B}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{8A884200-E980-40E0-B4F1-976F1BD8C6F1}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{FECC7A90-4139-4997-AB0D-2BC99656EE6D}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{38C8CE17-1D38-46E7-8027-E8538DDDD60C}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{164224A9-152A-4E97-BBF3-CFAEB63369C9}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E60685F0-0391-48B5-BC7F-F82ED3FF0AAE}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F2686ACF-ADAD-4A8C-963C-B99F32CCC876}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{9DECCF18-FC97-4B59-BAA4-8A37E1B46A86}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{745B2D24-DF94-4798-B2B5-DB0D2AC79655}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{799D9121-E7E4-4EA7-9865-608E202E3522}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C7A1E029-B643-4A48-8545-C2FB131277DE}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{19E7427D-9C3E-486A-9FE4-BE7B253DBAC7}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C509AC02-39EA-4374-A9DA-06C2B2417F93}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{63D990C3-6769-4D5A-B9C3-CE76ECC2B9FB}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A547D3F7-6E12-4B20-9ADB-B1048E3F78BC}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{FA2DE236-FB20-4D23-ABA0-8D14E4C6B58B}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EAB8F984-B8E5-4CD2-9238-24BB78ABDE3B}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{79323DC6-AFA5-496D-8BB1-64ADE905CAF7}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A7676337-C8B6-47C9-933D-C1674BD7641C}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{FB9E4954-542F-4BF7-96CE-C63BE5C9ED39}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{15DA98F9-D1A9-4A81-A4D7-15F8874D07E6}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EC0E4410-757B-40F3-A67D-1306D22155B2}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{3E730E75-8EFD-41EB-AA81-6C315DBC5F6A}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{5CBD9D83-56D5-4E95-A489-6CFB272C9C6C}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{10034147-D01F-405E-80A8-C04AFE0DFDF8}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F4F31C57-66A6-41E8-8CAF-CF641DC15B81}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{7F79546A-7814-46FE-B708-2DC8872FFD7A}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{2416F471-9F79-4179-9472-3AD59D84200F}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C9EE8B5B-8D5D-41B8-86A0-3D7054D53064}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1F4B7E89-73C1-4DC8-8531-63943FB3A31C}] 2. Sprawdź czy konfiguracja procesów gra rolę dla możności startu usługi Harmonogramu. Wypróbuj czy jesteś w stanie ręcznie uruchomić usługę w services.msc w takich układach: Przy wyłączonych wszystkich osłonach Kasperskiego W stanie tzw. "czystego rozruchu: KB929135 3. Rozważam też testową kompletną deinstalację Kasperskiego, gdyż wyłączenie osłon niestety nie wstrzymuje całości na tyle, by mieć wiarygodne wyniki czy KIS coś miesza. Testowa = oznaczałoby "tymczasowa", by uzyskać pewność i nie próbować naprawiać czegoś co być może nie działa z winy tej aplikacji. 4. Wreszcie, przy braku wyników z powyższymi, dostarcz pełne Dzienniki zdarzeń do analizy: KLIK. . Odnośnik do komentarza
luksa85 Opublikowano 7 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 7 Czerwca 2011 No cóż, nie widzę przyczyny ... Może jeszcze: 1. Doczyść w rejestrze inne fragmenty po już usuniętych zadaniach. Wątpię czy to coś pomoże, ale .... (...) 2. Sprawdź czy konfiguracja procesów gra rolę dla możności startu usługi Harmonogramu. (...) Te punkty przeprowadziłem i dalej nie można uruchomić harmonogramu. Biorę się za pozostałe Nie przeprowadziłem jeszcze kolejnych punktów.Mam jeszcze dodatkowe pytanie, dopiero teraz doczytałem "dokładnie" że przed założeniem tematu trzeba też odinstalować Alcohol 120%. Niestety tego nie zrobiłem, usunąć i zrobić nowy LOG, czy dokończyć poprzednie punkty? Odnośnik do komentarza
picasso Opublikowano 9 Czerwca 2011 Zgłoś Udostępnij Opublikowano 9 Czerwca 2011 Mam jeszcze dodatkowe pytanie, dopiero teraz doczytałem "dokładnie" że przed założeniem tematu trzeba też odinstalować Alcohol 120%. Niestety tego nie zrobiłem, usunąć i zrobić nowy LOG, czy dokończyć poprzednie punkty? Ale ja wiem od pierwszego posta , że masz zainstalowany i działający emulator. Przecież w raportach wszystko mam na dłoni: SRV - [2007-05-28 18:57:54 | 000,275,968 | ---- | M] (Rocket Division Software) [Auto | Stopped] -- C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)DRV:64bit: - [2010-02-18 23:28:09 | 000,871,408 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd) O4 - HKU\S-1-5-21-4162628400-1900528479-3526456126-1000..\Run: [AlcoholAutomount] C:\Program Files (x86)\Alcohol Soft\Alcohol 120\axcmd.exe (Alcohol Soft Development Team) W Twoim przypadku (64-bitowy system + brak zagadnienia infekcji TDL4) obecność emulacji nie ma znaczenia dla analizy którą prowadzę. Dlatego się na ten temat nic nie odzywam. Fakt, ten Alcohol jest nieco zdezelowany i warto byłoby zrobić i tak jego aktualizację, ale to poboczne zagadnienie. Przejdź do dalszych punktów, które zadałam. . Odnośnik do komentarza
luksa85 Opublikowano 9 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2011 Po odinstalowaniu Kasperskiego dalej nie można było uruchomić harmonogramu zadań, więc ponownie zainstalowałem antywirusa. Po instalacji okazało się że znalazł wirusa i go wyczyścił. Raport z Kaspersky (Wyczyszczony (3) 2011-06-09 16:36:25 Wyczyszczony wirus Type_Win32 C:\Program Files (x86)\TuneUp Utilities 2011\APPINITIALIZATION.BPL Wysoki 2011-06-09 16:36:25 Wyczyszczony wirus Type_Win32 C:\Program Files (x86)\TuneUp Utilities 2011\APPINITIALIZATION.BPL//P.... Wysoki 2011-06-09 16:36:25 Wyczyszczony wirus Type_Win32 C:\Program Files (x86)\TuneUp Utilities 2011\APPINITIALIZATION.BPL//P.... Wysoki ). Postanowiłem od razu wywalić cały TuneUp. Sam Kaspersky nie stwarza już problemu, tzn. po resecie nie żąda skanowania i przywracania systemu sprzed infekcji. Natomiast harmonogramu włączyć dalej nie idzie. Wyskakuje dokładni ten sam komunikat co wcześniej. Umieszczam też plik z punktu 4 (dzienniki zdarzeń) http://www.speedyshare.com/files/28888235/dziennik.zip Da się coś z tym jeszcze zrobić? Nie wiem czemu, ale komputer długo się zaczyna ładować. Wcześniej tego nie było. A jeszcze jedno czy istnieje taka możliwość aby aktualizacja IE blokowała mi dostęp do harmonogramu zadań? Odnośnik do komentarza
picasso Opublikowano 14 Czerwca 2011 Zgłoś Udostępnij Opublikowano 14 Czerwca 2011 Natomiast harmonogramu włączyć dalej nie idzie. Wyskakuje dokładni ten sam komunikat co wcześniej. Dziennik zdarzeń niestety nie ma konkretów. Brakuje mi już na to pomysłów, choć nie mogę wykluczyć, że problem stanowi któreś zadanie Microsoftu (były tu likwidowane wszystkie zadania niedomyślne) w TaskCache, ale które ewentualnie, to zagadka. 1. Pokaż mi jeszcze jaka jest zawartość katalogów na dysku. Uruchom SystemLook x64 i do skanu wklej warunek: :dir C:\Windows\system32\Tasks /s C:\Windows\SysWOW64\Tasks /s 2. Sprawdź czy nie ma jakiś naruszeń w plikach, czyli komenda sfc /scannow i przefiltruj wyniki do wglądu: KLIK. 3. Pytanie: co to za Windows, tzn. jakie jest jego pochodzenie (oryginał / wręcz przeciwnie?) i czy Harmonogram kiedykolwiek tu działał / potrafisz zdefiniować od kiedy to występuje? 4. Od tego Kasperskiego nie mogę się nieco odczepić, konkretnie mam na myśli reguły blokowania portów. Moim pytaniem jest, czy w regułach KIS nie ma przypadkiem czegoś związanego z blokowaniem ruchu svchost.exe (na którym działa Harmonogram). Mówiłeś wprawdzie, że KIS był deinstalowany i nie było ulgi, ale zastanawiam się, czy na pewno deinstalacja była na tyle kompletna, by było to wiarygodne. Tak szybko go ponownie wtedy zainstalowałeś, że nie było nawet weryfikacji czy to była poprawna deinstalacja, ani nie użyto tu narzędzia Kaspersky Remover dającego większe gwarancje. 5. KIS w tle powinien wykluczyć aktywność systemowego firewalla, nie mam podstaw by przypuszczać, że problem stanowi zapora systemu, ale ostatecznie możesz i ją na próbę zresetować: uruchom cmd jako Administrator i wklep netsh advfirewall reset. A jeszcze jedno czy istnieje taka możliwość aby aktualizacja IE blokowała mi dostęp do harmonogramu zadań? Wątpię. Co masz na myśli? Nie wiem czemu, ale komputer długo się zaczyna ładować. Wcześniej tego nie było. Wszystkie moje zmiany dążyły do ograniczenia ilości ładowanych elementów (patrz na mój pierwszy post). Ostatnia znacząca zmiana tu zanotowana to reinstalacja KIS, więc może dłuższy start jest z tym związany .... Zaprezentuj nowe logi z OTL do weryfikacji. . Odnośnik do komentarza
luksa85 Opublikowano 14 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 14 Czerwca 2011 1. Pokaż mi jeszcze jaka jest zawartość katalogów na dysku. oto zawartość katalogów http://wklej.org/id/546719/ pkt 2. co dokładnie mam przefiltrować Jeśli chodzi o aktualizacje IE, kiedyś jak pobrałem ową aktualizację, przestały działać gadżety windowsa i pojawiło się jakieś L w Zones. Dlatego taki pomysł, że znów coś się zawiesiło przy tym. odp na 3 punkt to wersja oryginalna, mogę powiedzieć tyle że jak z tym IE walczyłem to wtedy mogłem bez niczego wejść do ochrony systemu i zmieniać usuwać punkty przywracania bez problemów. Chyba od czasu tamtego wirusa to się zablokowało punkt 4 gdzie dokładnie sprawdzić te reguły. Mogę na nowo odinstalować KIS jak sprawdzę kolejne punkty to napiszę Nowe logi otl: http://wklej.org/id/546744/ extras: http://wklej.org/id/546745/ Odnośnik do komentarza
Rekomendowane odpowiedzi