wookash Opublikowano 17 Października 2011 Zgłoś Udostępnij Opublikowano 17 Października 2011 Witam, Od jakiegos czasu (ok 1 mc) mam problem - Windows 7 nie zamyka systemu. Musze wciskac z palca przycisk On/Off. Co ciekawe, w trybie awaryjnym nie mam problemu z zamykaniem/restartem Windowsa. Probowalem przeinstalowywac programy/sterowniki, wlaczac/wylaczac uslugi itd. Z roznym skutkiem, tzn. czasem Windows zamyka sie/restartuje, potem znow problem pojawia sie. Az doszedlem do odinstalowania NOD32. Teraz nie moge go zainstalowac, otrzymuje komunikat: "Instalator nie ma wystarczajacych uprawnien, aby zmodyfikowac plik: C:\program files\eset\eset nod32 Antivirus\mfc80u.dll. Na innym watku zostalem nastraszony powazna infekcja przy podobnym komunikacie. Prosze o sprawdzenie logow. Z gory dziekuje i pozdawiam, wookash [edit] AHa, zapomnialem sie przyznac, ze zanim tu trafilem, odpalilem ComboFix, ale w pliku ComboFix.txt, po przeskanowaniu bylo tylko to: ComboFix 11-10-17.02 - wookash 2011-10-17 19:20:34.1.4 - x64 Microsoft Windows 7 Ultimate 6.1.7600.0.1250.48.1045.18.4094.3004 [GMT 2:00] Uruchomiony z: d:\Users\wookash\Desktop\ComboFix.exe AV: ESET NOD32 Antivirus 4.0 *Disabled/Updated* {CB0F8167-5331-BA19-698E-64816B6801A5} SP: ESET NOD32 Antivirus 4.0 *Disabled/Updated* {706E6083-750B-B597-533E-5FF310EF4B18} SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} [edit 1] ok. uzylem Eset Uninstaller i pozbylem sie resztek NOD32. Zainstalowalem nowa wersje NOD32 i poki co dziala. System zamyka sie/restartuje bez problemu poki co. Prosze jednak o sprawdzenie logow, bo cos tam moze jednak byc. [endnote] OK. Cos jest nadal nie tak. System w dalszym ciagu nie chce sie zamknac. Po wlaczeniu w trybie awaryjnym uruchamiam system normalnie, zamyka sie. Po ponownym uruchomieniu, znow wisi przy zamykaniu (tzn. nie chce sie zamknac). OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 18 Października 2011 Zgłoś Udostępnij Opublikowano 18 Października 2011 W OTL widać dwa szkodliwe ukryte zadania utworzone w Harmonogramie: [2011-10-17 19:31:43 | 000,000,294 | -H-- | M] () -- C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job[2011-10-17 19:30:43 | 000,000,294 | -H-- | M] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job Ponadto, system jest zaśmiecony wtrętami adware. Zainstalowałeś śmieci vShare, które są odpowiedzialne za rekonfigurację przeglądarek na startsear.ch. Udaję, że nie widzę cracka Office. 1. Przejdź do Panelu sterowania i odinstaluj vShare Plugin, vShare.tv plugin 1.3, uTorrentBar Toolbar, Ask Toolbar. 2. Rekonfiguracja przeglądarek: Internet Explorer: przestaw stronę startową ze startsear.ch na pustą. Firefox: zmiana strony startowej, w zarządzaniu wyszukiwarkami skasuj startsear.ch i ustaw jako domyślną inną wybraną przez siebie, w menedżerze rozszerzeń tnij wszystko co podane wyżej (Ask Toolbar występuje pod nazwą "PandoraTV Toolbar"). Google Chrome: z rozszerzenień usuń vshare. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Powinien otworzyć się log z wynikami usuwania. 4. Zrób nowe logi z OTL z opcji Skanuj + AD-Remover z trybu Scan. Dołącz też log z wynikami usuwania z punktu 3. AHa, zapomnialem sie przyznac, ze zanim tu trafilem, odpalilem ComboFix, ale w pliku ComboFix.txt, po przeskanowaniu bylo tylko to Error - 2011-10-17 13:26:01 | Computer Name = wookash-pc | Source = Application Popup | ID = 1060Description = Ładowanie sterownika \??\C:\ComboFix\catchme.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Zapewne przeczytałeś już dlaczego ComboFix nie uruchamia się na wariata. Teraz go w prawidłowy sposób odinstaluj. Z klawiatury kombinacja klawisz z flagą Windows + R i wklej komendę: D:\Users\wookash\Desktop\ComboFix.exe /uninstall Az doszedlem do odinstalowania NOD32. Teraz nie moge go zainstalowac, otrzymuje komunikat: "Instalator nie ma wystarczajacych uprawnien, aby zmodyfikowac plik: C:\program files\eset\eset nod32 Antivirus\mfc80u.dll. Na innym watku zostalem nastraszony powazna infekcja przy podobnym komunikacie. + ok. uzylem Eset Uninstaller i pozbylem sie resztek NOD32. Zainstalowalem nowa wersje NOD32 i poki co dziala. System zamyka sie/restartuje bez problemu poki co. Taki komunikat nie jest ekskluzywny dla infekcji. Wygląda na to, że ESET nie został poprawnie odinstalowany w pierwszym podejściu i dopiero czyszczenie firmowym ESET Uninstaller zakończyło wątek, tzn. umożliwiło ponowną instalację. OK. Cos jest nadal nie tak. System w dalszym ciagu nie chce sie zamknac. Po wlaczeniu w trybie awaryjnym uruchamiam system normalnie, zamyka sie. Po ponownym uruchomieniu, znow wisi przy zamykaniu (tzn. nie chce sie zamknac). Czy bierzesz pod uwagę, że to może być właśnie z winy ESET jako takiego i może tu nie mieć znaczenia jego reinstalacja (jeśli w kółko instalujesz tę samą wersję)? W logu z OTL wprawdzie nie widać ESET w pełnej krasie, ale ostały się pokazowe szczątki prezentujące datowanie komponentów, a poświadczające że antywirus nie jest najnowszy: SRV:64bit: - [2009-11-16 10:04:30 | 000,735,960 | ---- | M] (ESET) [Disabled | Stopped] -- C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe -- (ekrn)DRV:64bit: - [2009-11-16 10:03:42 | 000,136,584 | ---- | M] (ESET) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\ehdrv.sys -- (ehdrv)DRV:64bit: - [2009-11-16 09:56:16 | 000,145,336 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\eamon.sys -- (eamon) Przy okazji: odinstaluj archaiczny Spybot Search & Destroy. Aplikacja bazuje na przestarzałym modelu, w bieżących warunkach zbędna (robotę na spyware odwalają nowoczesne antywirusy), niedopasowana do platformy (Windows x64). Zostaw sobie tylko Malwarebytes' Anti-Malware, którym i tak będzie tu wykonywany skan pod kątem innych fragmentów należnych do tych szkodliwych zadań *.job. . Odnośnik do komentarza
wookash Opublikowano 18 Października 2011 Autor Zgłoś Udostępnij Opublikowano 18 Października 2011 Witam, Dziekuje za szybka reakcje. Akcje wykonane. W zalaczeniu pliki z logami. Pozdrawiam, wookash OTL po skrypcie.txt OTL nowy skan.Txt Ad-Report-SCAN1.txt Odnośnik do komentarza
picasso Opublikowano 18 Października 2011 Zgłoś Udostępnij Opublikowano 18 Października 2011 Skrypt prawidłowo przetworzony, ale nie wszystkie zadania wykonane, gdyż startsear.ch nadal siedzi w przeglądarkach IE / Firefox / Google Chrome, a uTorrentBar Toolbar nie wygląda na odinstalowany (były błędy?). Poprawki: 1. Uruchom Google Chrome i w Opcjach zmień stronę startową. 2. Zamknij Firefox, gdyż jego plik prefs.js będzie przetwarzany. Uruchom AD-Remover w trybie Clean. To wstępnie wyczyści to co narzędzie wykryło (vShare / Conduit / Ask Toolbar). 3. Poprawka adresująca wpisy, którym AD-Remover nie ruszy. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files d:\Users\wookash\AppData\Roaming\Mozilla\Firefox\Profiles\rjn369qw.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} d:\Users\wookash\AppData\Roaming\Mozilla\Firefox\Profiles\rjn369qw.default\searchplugins\startsear.xml C:\Program Files (x86)\uTorrentBar :OTL FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "http://startsear.ch/?q=" FF - prefs.js..keyword.URL: "http://www.google.com/search?q=" :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\edcbaedcbaedcbaedcbaedcbaedcbajk] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar Toolbar] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\86e4bcbb-4776-48df-9f49-7a5e5507a6c1] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1D91CD3B-48D5-4D79-BD1A-A41CDD0D41E7}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{80BEAB18-D27A-474A-9CEB-7A1C2477D024}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\URLSearchHooks] "{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar] "{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}"=- "{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{043C5167-00BB-4324-AF7E-62013FAEDACF}"=- "{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}"=- [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{043C5167-00BB-4324-AF7E-62013FAEDACF}"=- "{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}"=- Klik w Wykonaj skrypt. 4. Przedstaw log z wynikami przetwarzania skryptu (nie potrzebuję już nowego OTL) oraz nowy log z AD-Remover z opcji Scan. . Odnośnik do komentarza
wookash Opublikowano 19 Października 2011 Autor Zgłoś Udostępnij Opublikowano 19 Października 2011 Czesc, uTorrent toolbar odinstalowany (umknal mojej uwadze). Pozostale akcje wykonane. Logi w zalaczniku. Co do pierwotnego problemu - okazalo sie, ze chodzi o sterowniki ATI, ktore mialem w wersji Beta. Wrocilem do poprzedniej wersji produkcyjnej i poki co jest ok. Daj znac, czy teraz jest juz u mnie czysto i moge spac spokojnie Pozdrawiam, wookash OTL po skrypcie-2.txt Ad-Report-SCAN2.txt Odnośnik do komentarza
picasso Opublikowano 19 Października 2011 Zgłoś Udostępnij Opublikowano 19 Października 2011 Wszystko zostało poprawnie wykonane. Przeglądarki zostały wyczyszczone z tego śmietnika. Wykonaj następujące kroki: 1. Uporządkuj po używanych narzędziach: odinstaluj AD-Remover + wykonaj Sprzątanie w OTL. 2. Ze względu na obecność ukrytych zadań *.job wykonaj pełny skan posiadanym Malwarebytes' Anti-Malware i przedstaw raport (o ile niepusty). . Odnośnik do komentarza
wookash Opublikowano 19 Października 2011 Autor Zgłoś Udostępnij Opublikowano 19 Października 2011 Czysto. Dziekuje za pomoc. Temat do zamkniecia. Odnośnik do komentarza
picasso Opublikowano 19 Października 2011 Zgłoś Udostępnij Opublikowano 19 Października 2011 Dlaczego usunąłeś Załączniki? Takich rzeczy się nie robi, to jest świństwo. Temat zepsuty, cytaty z powietrza. Założyłeś też, że to koniec zadań. Otóż należy jeszcze wyczyścić foldery Przywracania systemu i wykonać aktualizacje oprogramowania (KLIK). Usunąłeś OTL Extras, to i nie mogę spojrzeć w listę software. EDIT: Załączniki przywrócone. Temat zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi