b00n Opublikowano 5 Lipca 2012 Zgłoś Udostępnij Opublikowano 5 Lipca 2012 (edytowane) Załączam logi z OTL i bardzo proszę o pomoc. Ogólnie dość mocno dbam o system, więc zdziwiło mnie nieco złapanie tego trojana. Być może pochodzi on z dysku, który dostałem od szefa, żeby zgrać na niego pracę - czy istnieje taka możliwość ? Stało się to dopiero dzisiaj, właśnie kilka godzin po podłączeniu owego dysku. Nie wiem, czy ma to znaczenie, ale podłączyłem go właśnie i raz jeszcze przeskanowałem komputer OTL'em - załączam nowe logi. Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Edytowane 6 Lipca 2012 przez picasso Posty łączę, nadwyżkę logów usuwam. //picasso Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2012 Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Cytat Być może pochodzi on z dysku, który dostałem od szefa, żeby zgrać na niego pracę - czy istnieje taka możliwość ? Stało się to dopiero dzisiaj, właśnie kilka godzin po podłączeniu owego dysku. Nie wiem, czy ma to znaczenie, ale podłączyłem go właśnie i raz jeszcze przeskanowałem komputer OTL'em - załączam nowe logi. OTL skanuje tylko dysk systemowy. Ponownie zrobione logi nic nie wnoszą do sprawy i odcinam je. A w kwestii nabycia infekcji, to wątpliwe by to przeszło z cudzego dysku. Dyskusja o źródłach infekcji: KLIK. Źródłem jest URL. Przechodząc do usuwania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4:64bit: - HKLM..\Run: [wincredprovider] C:\Users\bieniu\AppData\Local\Microsoft\Windows\2029\wincredprovider.exe () :Files C:\Users\bieniu\AppData\Local\Microsoft\Windows\2029 C:\Users\bieniu\AppData\Roaming\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, a Windows zostanie odblokowany. W katalogu D:\_OTL pojawi się log z wynikami usuwania. 2. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania wygenerowany automatycznie w punkcie 1. . Odnośnik do komentarza
b00n Opublikowano 6 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Windows został odblokowany - dziękuję. Załączam też wymagane pliki. 07062012_024110.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Wszystko wykonane. Czynności końcowe: 1. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj weryfikację / aktualizację określonych programów: KLIK. Z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 4. Jeszcze mnie zastanawiają te błędy w Dzienniku zdarzeń: Pokaż ukrytą zawartość Error - 2012-07-05 07:35:06 | Computer Name = bieniu-PC | Source = Application Error | ID = 1000Description = Faulting application name: svchost.exe_MpsSvc, version: 6.1.7600.16385, time stamp: 0x4a5bc3c1 Faulting module name: ntdll.dll, version: 6.1.7601.17725, time stamp: 0x4ec4aa8e Exception code: 0xc0000006 Fault offset: 0x000000000002b1edFaulting process id: 0x670 Faulting application start time: 0x01cd5aa2378ba273 Faulting application path: C:\Windows\system32\svchost.exe Faulting module path: C:\Windows\SYSTEM32\ntdll.dllReport Id: 775485b1-c695-11e1-a8d3-c86000bd4c76 Error - 2012-07-05 07:35:06 | Computer Name = bieniu-PC | Source = Application Error | ID = 1000Description = Faulting application name: Dwm.exe, version: 6.1.7600.16385, time stamp: 0x4a5bc541 Faulting module name: dwmcore.dll, version: 6.1.7601.17514, time stamp: 0x4ce7c62d Exception code: 0xc0000006 Fault offset: 0x0000000000013dd0 Faulting process id: 0x7dc Faulting application start time: 0x01cd5aa2379ead75 Faulting application path: C:\Windows\system32\Dwm.exe Faulting module path: C:\Windows\system32\dwmcore.dllReport Id: 7754acc1-c695-11e1-a8d3-c86000bd4c76 Error - 2012-07-05 07:35:06 | Computer Name = bieniu-PC | Source = Application Error | ID = 1005Description = Windows cannot access the file C:\Windows\System32\en-US\FirewallAPI.dll.mui for one of the following reasons: there is a problem with the network connection, the disk that the file is stored on, or the storage drivers installed on this computer; or the disk is missing. Windows closed the program Host Process for Windows Services because of this error. Program: Host Process for Windows Services File: C:\Windows\System32\en-US\FirewallAPI.dll.mui The error value is listed in the Additional Data section. User Action 1. Open the file again. This situation might be a temporary problem that corrects itself when the program runs again. 2. If the file still cannot be accessed and - It is on the network,your network administrator should verify that there is not a problem with the network and that the server can be contacted. - It is on a removable disk, for example, a floppy disk or CD-ROM, verify that the disk is fully inserted into the computer.3. Check and repair the file system by running CHKDSK. To run CHKDSK, click Start, click Run, type CMD, and then click OK. At the command prompt, type CHKDSK /F, and then press ENTER. 4. If the problem persists, restore the file from a backup copy. 5. Determine whether other files on the same disk can be opened. If not, the disk might be damaged. If it is a hard disk, contact your administrator or computer hardware vendor for further assistance. Additional Data Error value: C0000185 Disk type: 3 Error - 2012-07-05 07:35:06 | Computer Name = bieniu-PC | Source = Application Error | ID = 1005Description = Windows cannot access the file C:\Windows\System32\dwmcore.dll for one of the following reasons: there is a problem with the network connection, the disk that the file is stored on, or the storage drivers installed on this computer; or the disk is missing. Windows closed the program Desktop Window Manager because of this error. Program: Desktop Window Manager File: C:\Windows\System32\dwmcore.dll The error value is listed in the Additional Data section. User Action 1. Open the file again. This situation might be a temporary problem that corrects itself when the program runs again. 2. If the file still cannot be accessed and - It is on the network,your network administrator should verify that there is not a problem with the network and that the server can be contacted. - It is on a removable disk, for example, a floppy disk or CD-ROM, verify that the disk is fully inserted into the computer.3. Check and repair the file system by running CHKDSK. To run CHKDSK, click Start, click Run, type CMD, and then click OK. At the command prompt, type CHKDSK /F, and then press ENTER. 4. If the problem persists, restore the file from a backup copy. 5. Determine whether other files on the same disk can be opened. If not, the disk might be damaged. If it is a hard disk, contact your administrator or computer hardware vendor for further assistance. Additional Data Error value: C0000185 Disk type: 3 Czy systemowa Zapora i interfejs Aero działają poprawnie? PS. Apropos Tlen.pl: aplikacja nierozwijana i porzucona przez firmę (tak, chodzi o wersję 7). Zainteresuj się alternatywami, a propozycją jest WTW (obsługa obu sieci: GG + Tlen.pl). Opis w artykule Darmowe komunikatory. . Odnośnik do komentarza
b00n Opublikowano 6 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Sprzątanie - wykonane; foldery przywracania systemu - wyczyszczone; podane aplikacje - zaktualizowane. Zastanawiam się jeszcze nad Tlenem, ponieważ korzystam z wersji 6 i jestem do niej bardzo przyzwyczajony. Jeżeli nie jest to niebezpieczne, to wolałbym pozostać przy tym komunikatorze. W przeciwnym wypadku zainstaluję WTW. Jeżeli chodzi o firewall, to wszystko wydaje się działać w porządku, natomiast faktycznie występują problemy z Areo i ma to miejsce w dwóch przypadkach. Pierwszy występuje podczas korzystania z aplikacji EDIUS - po jej uruchomieniu Aero się wyłącza, ale jest to normalne i ma miejsce od wczesnych wersji tego programu. Drugi przypadek może być nieco bardziej niepokojący i zarazem irytujący. Akurat pech chciał, że wystąpił dziś rano, tuż po włączeniu komputera. Po uruchomieniu systemu, Aero jest automatycznie wyłączone i pokazuje się następujący błąd: Problem signature: Problem Event Name: InPageCoFire Error Status Code: c0000185 Faulting Media Type: 00000003 Damaged file name: dxgi.dll OS Version: 6.1.7601.2.1.0.256.48 Locale ID: 1045 Additional Information 1: ff91 Additional Information 2: ff91c2b9864a6c81f96a7ab71a902f64 Additional Information 3: 3d18 Additional Information 4: 3d18d0c376678274f7906b51387dbc60 Po małym "riserczu" w internecie, zorientowałem się, że sporo osób boryka się z tym problemem. Wystarczy wtedy ręcznie zatrzymać proces "Desktop Windows Manager" i uruchomić go ponownie, żeby Aero zaczęło działać. Tak czy siak - nie wiem, co jest przyczyną tego problemu. Zaczął on występować po zmianie platformy na nową. Odnośnik do komentarza
picasso Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Cytat Drugi przypadek może być nieco bardziej niepokojący i zarazem irytujący. Akurat pech chciał, że wystąpił dziś rano, tuż po włączeniu komputera. Po uruchomieniu systemu, Aero jest automatycznie wyłączone i pokazuje się następujący błąd Nasuwają mi się następujące kroki: 1. Diagnostyk Aero: KLIK. 2. Weryfikacja sfc /scannow, przefiltruj log do wystąpień znaczników [sR]: KLIK. 3. Aktualizacja sterowników grafiki. Cytat Zastanawiam się jeszcze nad Tlenem, ponieważ korzystam z wersji 6 i jestem do niej bardzo przyzwyczajony. Jeżeli nie jest to niebezpieczne, to wolałbym pozostać przy tym komunikatorze. W przeciwnym wypadku zainstaluję WTW. Tlen 6 to jeszcze gorzej niż Tlen 7. Jest to po prostu stara aplikacja (nie wspominając o braku natywnej wersji x64), obsługa sieci kiepska, luki też możliwe (nikt tego nie aktualizuje). Namawiam Cię jednak do równoległej instalacji WTW, pooglądaj go, posmakuj. To nic nie przeszkadza, że będzie równolegle z Tlenem siedział, aż zdecydujesz który z nich zostaje. . Odnośnik do komentarza
b00n Opublikowano 6 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2012 1. Diagnostyk Areo stwierdził, że moja obecna karta graficzna nie może wyświetlać efektów Areo - mimo, że w tej chwili wszystko działa tak, jak należy. 2. Nie znaleziono żadnych błedów/problemów. 3. Obecnie posiadam sterowniki Catalyst 12.4. Niedawno wyszła wersja 12.6 (nie było wersji 12.5), ale sporo osób narzeka, że sprawia ona problemy, więc poczekam jednak na bardziej dopracowane i stabilniejsze wydanie. Tak czy siak - dziękuję bardzo za rozwiązanie największego problemu, czyli kwestii UKASH'a. Odnośnik do komentarza
Rekomendowane odpowiedzi