Sarastro Opublikowano 23 Lipca 2012 Zgłoś Udostępnij Opublikowano 23 Lipca 2012 Witam, problem wszystkim znany. Przeglądając strony internetowe spotkała mnie niemiła niespodzianka w postaci tego złośliwego "czegoś" Dodatkowo skanowałem komputer Malware Anty-bytes, które wykazało pare infekcji, ale wszystkie usnąłem. Niestety problem nie został zażegnany :[ Posiadam system Windows 7 enterprise 64 bit. Zwracam się o pomoc, jako, że usłyszałem od znajomego, że umiecie pomóc Edit: Wszedlem w autostart i znalazłem program o podejrzanej nazwie skaładający się z ciągu liter. Wyłączyłem go, zlokalizowałem po ścieżce i wywaliłem. Dodatkowo znalazłem folder, który ten śmieć założył z całą "oprawą" komunikatu. Po zrestartowaniu komputera problem już zniknął, ale nadal widnieje w autostarcie(jest wyłączony). Podana jest tam również ścieżka do rejestru, ale nie ma go pod wskazanym adresem(usunąłem go już). W jaki sposób go wywalić z tego autostartu żeby się już na dobre go pozbyć? W załączniku logi z OTL: Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Edit: Wszedlem w autostart i znalazłem program o podejrzanej nazwie skaładający się z ciągu liter. Wyłączyłem go, zlokalizowałem po ścieżce i wywaliłem. Dodatkowo znalazłem folder, który ten śmieć założył z całą "oprawą" komunikatu. Po zrestartowaniu komputera problem już zniknął, ale nadal widnieje w autostarcie(jest wyłączony). Podana jest tam również ścieżka do rejestru, ale nie ma go pod wskazanym adresem(usunąłem go już). W jaki sposób go wywalić z tego autostartu żeby się już na dobre go pozbyć? Logi jak rozumiem nieaktualne, tzn. sprzed tej akcji. Nie sprecyzowałeś w czym "wyłączyłeś", msconfig? Podaj skan dostosowany. Uruchom SystemLook x64 i w oknie wklej: :reg HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig /s Klik w Look i przedstaw raport wynikowy. . Odnośnik do komentarza
Sarastro Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Tak, wyłączyłem opcją ms config w trybie awaryjnym. Po ścieżce odnalazłem gdzie to się kryło i wywaliłem z dysku i z rejestru. Nadal jednak w autostarcie widnieje to coś. Logi: SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Wpis który wyłączyłeś: [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tmpkvprmzorhqtu]"key"="SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run""item"="tmpkvprmzorhqtu""hkey"="HKLM""command"="C:\ProgramData\tmpkvprm.exe""inimapping"="0""YEAR"= 0x00000007dc (2012)"MONTH"= 0x0000000007 (7)"DAY"= 0x0000000018 (24)"HOUR"= 0x0000000001 (1)"MINUTE"= 0x0000000039 (57)"SECOND"= 0x0000000022 (34) Skoro tylko na tym wpisie manipulowałeś, skasowałeś plik infekcji skorelowany z tym wpisem, ale do usuwania jest więcej obiektów na dysku. Akcja: 1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator i skasuj klucz: HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tmpkvprmzorhqtu 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\szjodczuzjggxpp C:\ProgramData\vrfjwhxzvaphwqx :OTL O4:64bit: - HKLM..\Run: [Windows Defender] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 3. Do oceny wystarczy tylko log z wynikami usuwania z punktu 2, nie ma potrzeby tworzyć nowego skanu OTL. I odpowiedz na pytanie czy znasz te pliki, mają dziwne nazwy: [2012-07-12 13:30:12 | 000,063,343 | ---- | M] () -- C:\Users\Hannibal\Documents\hggh.wma[2012-07-12 13:28:48 | 000,063,343 | ---- | M] () -- C:\Users\Hannibal\Documents\ty.wma[2012-07-12 13:26:11 | 000,067,833 | ---- | M] () -- C:\Users\Hannibal\Documents\jkj.wma . Odnośnik do komentarza
Sarastro Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Zrobiłem tak jak kazałeś. Sprawdziłem jak wygląda autostart. Zadanie zniknęło. Te pliki o dziwych nazwach to testy mikrofonu. Zapomniałem ich usunąć Log: Log.txt Odnośnik do komentarza
picasso Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Gwoli formalności, kazałeś = jestem kobietą. Ten skrypt do OTL to chyba puszczałeś dwa razy (co jest bez sensu), gdyż wszystko "not found", a definitywnie było w skanie widzialne wcześniej. Kończymy: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 2. W Dzienniku zdarzeń błąd WMI numer 10. Napraw: KB2545227. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj podstawowe aktualizacje: KLIK. Wyciąg z Twojej listy zainstalowanych co mam na myśli, m.in. przestarzała Java jest przyczyną infekcji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86417001FF}" = Java 7 Update 1 (64-bit)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wtyczka dla 64-bitowego IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla 32-bitowych Firefox/Opera)"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak SP3"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-2891997501-4100057630-4045228151-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome 18.0.1025.142 PS. Uwagi poboczne: - Para Gadu-Gadu 10 + Tlen.pl to wg mnie niefortunna sprawa. Pierwszy jest nie do użytku (żre zasoby i dręczy reklamami). Na drugim firma położyła krzyżyk, nierozwijany. Sugeruję oglądnięcie innych alternatyw z obsługą sieci Gadu: WTW, Miranda, Kadu, AQQ. Wszystko opisane w artykule Darmowe komunikatory. - Sunrise Seven: widzę zainstalowany i przestarzegam przez użyciem opcji czyszczenia ...\DriverStore\FileRepository. To błąd, że aplikacja to udostępnia. Wyczyszczenie repozytorium sterowników ma duże skutki uboczne, takie jak błędy Windows Update i niemożność instalacji sterowników nowo podpinanych urządzeń. . Odnośnik do komentarza
Sarastro Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 2. W Dzienniku zdarzeń błąd WMI numer 10. Napraw: KB2545227. Rozumiem, że mam ściągnąc ten fix ze strony microsoftu i go uruchomić. Skąd mam wiedzieć czy go naprawi jak ja nawet nie mam pojęcia co to za błąd 3. Wyczyść foldery Przywracania systemu: KLIK. Niezbyt mi to idzie. Wyskakuje mi okienko(załącznik) Z tymi aktualizacjami mam pewien problem. Połowa mi się nie chce zainstalować. Jest napisane, że wystąpił problem z instalacją aktualizacji. Gwoli formalności, kazałeś = jestem kobietą. Wybacz. Nick mnie zmylił Odnośnik do komentarza
picasso Opublikowano 25 Lipca 2012 Zgłoś Udostępnij Opublikowano 25 Lipca 2012 Rozumiem, że mam ściągnąc ten fix ze strony microsoftu i go uruchomić. Skąd mam wiedzieć czy go naprawi jak ja nawet nie mam pojęcia co to za błąd Tak, ten automat masz pobrać. Naprawi, gwarantuję. A weryfikację to sobie przeprowadzisz w Dzienniku zdarzeń w gałęzi Aplikacja, od momentu uruchomienia tego narzędzia przestanie się pojawiać błąd WMI numer 10. W logu OTL Extras jest on widzialny jako: [ Application Events ] Error - 2012-07-12 14:12:44 | Computer Name = Hannibal-PC | Source = WinMgmt | ID = 10Description = Niezbyt mi to idzie. Wyskakuje mi okienko(załącznik) Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik na "Dostawca kopiowania w tle oprogramowania firmy Microsoft" i Typ uruchomienia zmień na Ręcznie. Zweryfikuj czy nadal występuje błąd 0x81000203. Z tymi aktualizacjami mam pewien problem. Połowa mi się nie chce zainstalować. Jest napisane, że wystąpił problem z instalacją aktualizacji. Ale coś bliżej, jakie błędy? I nie komentujesz też moich uwag o Sunrise Seven, mam nadzieję, że jednak nie naruszyłeś w nim tego o czym mówiłam, bo to byłoby niestety katastrofalne. . Odnośnik do komentarza
Sarastro Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Tego sunrise 7 nie ruszałem. Kiedyś mi to kolega zainstalował bo on mi wgrywał system. Nawet nie wiedziałem, że coś takiego mam:) Zrobiłem tak jak kazałaś z tymi folderami przywracania. Działa już jak należy Z aktualizacjami zrobiłem temat: https://www.fixitpc.pl/forum/8-windows-7/ Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Tego sunrise 7 nie ruszałem. Kiedyś mi to kolega zainstalował bo on mi wgrywał system. Nawet nie wiedziałem, że coś takiego mam:) Czyli nie wiadomo co zrobił w tym programie. A widać tu w systemie subtelne ślady manipulacji w serwisach. Mógł załatwić określone funkcje. Z aktualizacjami zrobiłem temat Tam więc kontynuacja. A tu temat jest ukończony i zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi