Blanka Opublikowano 15 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 15 Sierpnia 2012 Witam, Proszę o pomoc w usunięciu tego wirusa. Komputer zainfekowany dwa dni temu i od tamtego czasu nie mogę otworzyć żadnego programu z rozszerzeniem exe, blokuje również strony internetowe czyli generalnie na komputerze nie mogę zrobić nic. W załączeniu kody z OTL wygenerowane z trybu awaryjnego (w normalnym skanowanie było blokowane). Z góry dziękuję za pomoc. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 16 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-2680034485-2851725379-1578462284-1001\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7: O3 - HKU\S-1-5-21-2680034485-2851725379-1578462284-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2680034485-2851725379-1578462284-1001..\RunOnce: [0C1D14C00000DD190043E809F875F002] C:\ProgramData\0C1D14C00000DD190043E809F875F002\0C1D14C00000DD190043E809F875F002.exe () O7 - HKU\S-1-5-21-2680034485-2851725379-1578462284-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\ProgramData\0C1D14C00000DD190043E809F875F002 rd /s /q "C:\ProgramData\Kaspersky Lab Setup Files" /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj adware SweetIM for Messenger 3.6, SweetPacks Toolbar for Internet Explorer 4.6, Update Manager for SweetPacks 1.0. 3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner (wszystkie opcje zaznaczone). . Odnośnik do komentarza
Blanka Opublikowano 16 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Wszystko wykonane zgodnie z instrukcją.W załączeniu nowe logi: FSS.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 17 Sierpnia 2012 Zadania pomyślnie wykonane. Przejdź do: 1. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługi Centrum zabezpieczeń + Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Windows Defender też jest wyłączony, ale go pomijam (potem należy doinstalować antywirusa, który w pełni zastąpi ten niepełnosprawny program). 2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
Blanka Opublikowano 17 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Sierpnia 2012 Zrobione, niestety skanowanie wykryło jeszcze coś. mbam-log-2012-08-17 (12-02-34).txt Odnośnik do komentarza
picasso Opublikowano 17 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 17 Sierpnia 2012 1. Wyniki: nie budzą troski. Zagrożenia o nazwie kodowej PUM.Disabled.SecurityCenter to jedynie adnotacje, że powiadomienia Centrum zabezpieczeń są wyłączone. MBAm to notuje, nawet jeżeli tę konfigurację przeprowadził celowo sam użytkownik. 2. Wykonaj podstawowe aktualizacje: KLIK. Tu konkretnie chodzi o Java i Adobe, które są u Ciebie w następujących wersjach: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416015FF}" = Java 6 Update 15 (64-bit)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wersja dla Internet Explorer) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 23"{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish"{D8DFA46A-39F7-4368-810D-18AFCFDDAEAF}" = Adobe Shockwave Player"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wersja dla Firefix/Opera) Wszystko jest stare, odinstaluj, po tym zamontuj najnowsze wersje. PS. Gadu-Gadu 10 = duża konsumpcja zasobów. Sugeruję oglądnięcie alternatyw (WTW, Kadu, AQQ, Miranda). Opisy w artykule Darmowe komunikatory. . Odnośnik do komentarza
Blanka Opublikowano 17 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Sierpnia 2012 Kończe aktualizacje, system działa, bardzo dziękuję za szybką i profesjonalną pomoc. Jestem pod wrażeniem Waszej działalności Nie wiem czy mogę w tym temacie zamieścić jeszcze jeden problem jaki pojawił mi się jakiś czas temu, chodzi o wyświetlany komunikat "Ta kopia systemu Windows nie jest oryginalna". Kompilacja 7601 System zakupiłam razem z laptopem, a przy którejść aktualizacji - wystąpił powyższy problem. Mogę liczyć na pomoc? Odnośnik do komentarza
picasso Opublikowano 17 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 17 Sierpnia 2012 Nie wiem czy mogę w tym temacie zamieścić jeszcze jeden problem jaki pojawił mi się jakiś czas temu, chodzi o wyświetlany komunikat "Ta kopia systemu Windows nie jest oryginalna". Kompilacja 7601 Zrób log narzędziem MGADiag i wklej wprost do posta wyniki. . Odnośnik do komentarza
Blanka Opublikowano 17 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Sierpnia 2012 Diagnostic Report (1.9.0019.0): ----------------------------------------- WGA Data--> Validation Status: Invalid License Validation Code: 50 Cached Validation Code: 0x0 Windows Product Key: *****-*****-73CQT-WMF7J-3Q6C9 Windows Product Key Hash: KaFG+RmurcM3ZxzWyfEP9WtPUJw= Windows Product ID: 00359-OEM-8992687-00010 Windows Product ID Type: 2 Windows License Type: OEM SLP Windows OS version: 6.1.7601.2.00010300.1.0.003 ID: {CD2C736F-5A27-4E96-87E7-E0CAF3E0D8D9}(1) Is Admin: Yes TestCab: 0x0 WGA Version: N/A, hr = 0x80070002 Signed By: N/A, hr = 0x80070002 Product Name: Windows 7 Home Premium Architecture: 0x00000009 Build lab: 7601.win7sp1_gdr.120503-2030 TTS Error: Validation Diagnostic: Resolution Status: N/A WgaER Data--> ThreatID(s): N/A, hr = 0x80070002 Version: N/A, hr = 0x80070002 WGA Notifications Data--> Cached Result: N/A, hr = 0x80070002 File Exists: No Version: N/A, hr = 0x80070002 WgaTray.exe Signed By: N/A, hr = 0x80070002 WgaLogon.dll Signed By: N/A, hr = 0x80070002 OGA Notifications Data--> Cached Result: N/A, hr = 0x80070002 Version: N/A, hr = 0x80070002 OGAExec.exe Signed By: N/A, hr = 0x80070002 OGAAddin.dll Signed By: N/A, hr = 0x80070002 OGA Data--> Office Status: 109 N/A OGA Version: N/A, 0x80070002 Signed By: N/A, hr = 0x80070002 Office Diagnostics: B4D0AA8B-604-645_025D1FF3-364-80041010_025D1FF3-229-80041010_025D1FF3-230-1_025D1FF3-517-80040154_025D1FF3-237-80040154_025D1FF3-238-2_025D1FF3-244-80070002_025D1FF3-258-3 Browser Data--> Proxy settings: N/A User Agent: Mozilla/4.0 (compatible; MSIE 8.0; Win32) Default Browser: C:\Program Files (x86)\Internet Explorer\iexplore.exe Download signed ActiveX controls: Prompt Download unsigned ActiveX controls: Disabled Run ActiveX controls and plug-ins: Allowed Initialize and script ActiveX controls not marked as safe: Disabled Allow scripting of Internet Explorer Webbrowser control: Disabled Active scripting: Allowed Script ActiveX controls marked as safe for scripting: Allowed File Scan Data--> File Mismatch: C:\Windows\system32\en-us\user32.dll.mui[hr = 0x80070002] Other data--> Office Details: <GenuineResults><MachineData><UGUID>{CD2C736F-5A27-4E96-87E7-E0CAF3E0D8D9}</UGUID><Version>1.9.0019.0</Version><OS>6.1.7601.2.00010300.1.0.003</OS><Architecture>x64</Architecture><PKey>*****-*****-*****-*****-3Q6C9</PKey><PID>00359-OEM-8992687-00010</PID><PIDType>2</PIDType><SID>S-1-5-21-2680034485-2851725379-1578462284</SID><SYSTEM><Manufacturer>Hewlett-Packard</Manufacturer><Model>HP Pavilion dm3 Notebook PC </Model></SYSTEM><BIOS><Manufacturer>Insyde Corp.</Manufacturer><Version>F.27</Version><SMBIOSVersion major="2" minor="6"/><Date>20100113000000.000000+000</Date></BIOS><HWID>A0E80B00018400F8</HWID><UserLCID>0415</UserLCID><SystemLCID>0415</SystemLCID><TimeZone>Środkowoeuropejski czas stand.(GMT+01:00)</TimeZone><iJoin>0</iJoin><SBID><stat>3</stat><msppid></msppid><name></name><model></model></SBID><OEM><OEMID>HPQOEM</OEMID><OEMTableID>SLIC-MPC</OEMTableID></OEM><GANotification/></MachineData><Software><Office><Result>109</Result><Products/><Applications/></Office></Software></GenuineResults> Spsys.log Content: 0x80070002 Licensing Data--> Wersja usługi licencjonowania oprogramowania: 6.1.7601.17514 Nazwa: Windows® 7, HomePremium edition Opis: Windows Operating System - Windows® 7, OEM_SLP channel Identyfikator aktywacji: d2c04e90-c3dd-4260-b0f3-f845f5d27d64 Identyfikator aplikacji: 55c92734-d682-4d71-983e-d6ec3f16059f Rozszerzony identyfikator PID: 00359-00178-926-800010-02-1045-7601.0000-1032012 Identyfikator instalacji: 008333987581868172116896882501436644414634297032054653 Adres URL certyfikatu procesora: http://go.microsoft.com/fwlink/?LinkID=88338 Adres URL certyfikatu komputera: http://go.microsoft.com/fwlink/?LinkID=88339 Adres URL licencji użytkowania: http://go.microsoft.com/fwlink/?LinkID=88341 Adres URL certyfikatu klucza produktu: http://go.microsoft.com/fwlink/?LinkID=88340 Częściowy klucz produktu: 3Q6C9 Stan licencji: powiadamianie Przyczyna powiadomienia: 0xC004F063. Licznik pozostałych operacji przywrócenia pierwotnego stanu licencjonowania systemu Windows: 2 Godzina zaufana: 2012-08-17 15:08:50 Windows Activation Technologies--> HrOffline: 0x00000000 HrOnline: 0xC004C533 HealthStatus: PASS Event Time Stamp: 8:6:2012 08:47 WAT Activex: Registered WAT Admin Service: Registered HWID Data--> HWID Hash Current: NgAAAAAAAgABAAIAAAACAAAABQABAAEA6GEUqqKqVPlKuArmMNaaiBAa4AcZSKw3AHLO18j0 OEM Activation 1.0 Data--> N/A OEM Activation 2.0 Data--> BIOS valid for OA 2.0: yes Windows marker version: 0x20001 OEMID and OEMTableID Consistent: yes BIOS Information: ACPI Table Name OEMID Value OEMTableID Value APIC HPQOEM SLIC-MPC FACP HP SLIC-MPC HPET HPQOEM SLIC-MPC BOOT HPQOEM SLIC-MPC MCFG HPQOEM SLIC-MPC SLIC HPQOEM SLIC-MPC SSDT AMD PowerNow Odnośnik do komentarza
picasso Opublikowano 17 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 17 Sierpnia 2012 W raporcie stoi taki odczyt: File Scan Data-->File Mismatch: C:\Windows\system32\en-us\user32.dll.mui[hr = 0x80070002] Sprawdź poprawność plików systemowych za pomocą komendy sfc /scannow. Jeśli zwrot będzie równy "znaleziono naruszenia ...", za pomocą kolejnej komendy zrób log filtrowany do wystąpień znaczników [sR] i przedstaw go. Wszystkie instrukcje tu: KLIK. . Odnośnik do komentarza
Blanka Opublikowano 17 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Sierpnia 2012 Po sprawdzdeniu poprawności plików systemowych (sfc /scannow), wyświetlił się komunikat: Funkcja Ochrona zasobów systemu Windows nie znalazła naruszeń integralności. Odnośnik do komentarza
picasso Opublikowano 18 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 Myślę, że log zwraca ten komunikat ze względu na całkowity brak anglojęzycznego pliku user32.dll.mui w systemie. Tak może być, jeżeli system Windows 7 był instalowany z obrazu, z którego usunięto pakiet EN i jest tylko polski. Na wszelki wypadek sprawdź czy w systemie jest katalog C:\Windows\system32\en-us. System zakupiłam razem z laptopem, a przy którejść aktualizacji - wystąpił powyższy problem. Może sprawdźmy podstawowy aspekt, czyli status usługi związanej z tym systemem weryfikacji. Start > w polu szukania services.msc > jaki status ma usługa Ochrona oprogramowania? Usługa ta musi mieć Typ uruchomienia "Automatycznie (opóźnione uruchomienie)". . Odnośnik do komentarza
Blanka Opublikowano 18 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 Jest katolog en-US i Ochrona oprogramowania również jest ustawiona na Automatycznie (opóźnione uruchomienie). Odnośnik do komentarza
picasso Opublikowano 19 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 19 Sierpnia 2012 Na wszelki wypadek podaj mi skan na zawartość tego katalogu oraz ustawienia językowe MUI. Uruchom SystemLook x64 i w oknie wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MUI /s :dir C:\Windows\System32\en-US Klik w Look. Przedstaw raport. . Odnośnik do komentarza
Blanka Opublikowano 19 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 19 Sierpnia 2012 W załączeniu log: SystemLook.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się