ZabojcaKomarow Opublikowano 18 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 Witam, złośliwy Ukash zablokował mi kompletnie windowsa, mam jeszcze ubuntu, więc skorzystałem z tego i wypaliłem płytkę z OTLPE. Proszę o pomoc, niepokoi mnie to, że windows jest na dysku H? OTL.txt Extras.txt Odnośnik do komentarza
picasso Opublikowano 18 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 niepokoi mnie to, że windows jest na dysku H? Mapowanie dysków w środowisku zewnętrznym może być zupełnie rozbieżne od mapowania spod uruchomionego Windows. 1. Z poziomu płyty OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej: :OTL O4 - HKU\A_ON_H..\Run: [4Y3Y0C3A9F7XWW4WUIZPBD] H:\Recycle.Bin\B6232F3A701.exe () O4 - HKU\A_ON_H..\Run: [ulubtvhjuovwcip] H:\Documents and Settings\All Users\Dane aplikacji\ulubtvhj.exe (Hyundai) :Files H:\Documents and Settings\All Users\Dane aplikacji\roujbkvjutcppaa H:\Documents and Settings\All Users\Dane aplikacji\kgwkaztwsgfiivq H:\Documents and Settings\A\0.4601293987932463.exe H:\Recycle.Bin :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. W głównym katalogu dysku, z którego uruchamiano OTL, powinien powstać log z wynikami. 2. Zaloguj się normalnie do Windows. Przez Dodaj / Usuń programy odinstaluj adware Complitly, Freecorder Toolbar. Uruchom Firefox i w Dodatkach powtórz deinstalację tego samego. 3. Uruchom AdwCleaner i zastosuj Delete. 4. Zrób klasyczne logi z OTL. Podaj log z usuwania AdwCleaner pozyskany w punkcie 3. . Odnośnik do komentarza
ZabojcaKomarow Opublikowano 18 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 Zrobiłem wszystko i oto logi. Dziękuję bardzo za szybką pomoc, jestem pełen podziwu dla Ciebie OTL.Txt Extras.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 18 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 Wprawdzie wszystko zrobione (tylko drobne odpadki adware do załatwienia) ... ale ujawniła się kolejna infekcja. OTL wmontowany w OTLPE jest starszą wersją i nie ma określonych procedur wyszukujących. Teraz OTL zrobiony spod Windows ujawnia nowe elementy i wskazuje na obecność rootkita ZeroAccess: [2012-07-28 21:26:05 | 000,020,480 | ---- | C] () -- C:\WINDOWS\Installer\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}\U\800000cb.@[2012-07-28 21:26:04 | 000,013,312 | ---- | C] () -- C:\WINDOWS\Installer\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}\U\80000000.@[2012-07-28 21:26:04 | 000,001,712 | ---- | C] () -- C:\WINDOWS\Installer\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}\U\00000001.@ [2008-04-15 14:00:00 | 000,002,048 | -HS- | C] () -- C:\Documents and Settings\A\Ustawienia lokalne\Dane aplikacji\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}\@ Wymagane dodatkowe skany identyfikujące punkty ładowania oraz uszkodzenia sprowokowane przez tę infekcję: 1. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw raport. 2. również zrób log z Farbar Service Scanner. Wszystkie opcje zaznacz. . Odnośnik do komentarza
ZabojcaKomarow Opublikowano 18 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 Windows mi zamyka notepada, by chronić system? Tzn. wyskakują komunikaty, że dla beczpiec zeństwa trzeba zamknąc, ale to chyba nieistotne, bo nic się nie dzieje. SystemLook 30.07.11 by jpshortstuff Log created at 14:56 on 18/08/2012 by A Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Documents and Settings\A\Ustawienia lokalne\Dane aplikacji\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="\\.\globalroot\systemroot\Installer\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}\n." "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a---- 111104 bytes [14:10 15/02/2012] [11:19 09/02/2009] 8816E60BF654353E8E0D35ED98875445 C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 109056 bytes [06:28 16/02/2012] [12:00 15/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA C:\WINDOWS\system32\services.exe --a---- 111104 bytes [12:00 15/04/2008] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F C:\WINDOWS\system32\dllcache\services.exe --a--c- 111104 bytes [12:00 15/04/2008] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F -= EOF =- FSS.txt Odnośnik do komentarza
picasso Opublikowano 18 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 Windows mi zamyka notepada, by chronić system? Komunikat DEP. Zobaczymy co będzie po usunięciu czynnej infekcji. A log z SystemLook przedstawia wszystkie punkty ładowania i możemy przejść do usuwania. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\WINDOWS\Installer\{d73db79f-93e2-103d-78b6-d4cef00ef0e8} "C:\Documents and Settings\A\Ustawienia lokalne\Dane aplikacji\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}" "C:\Documents and Settings\A\Dane aplikacji\PriceGong" DeleteFile: "C:\Documents and Settings\A\Dane aplikacji\Mozilla\Firefox\Profiles\qxyd4br0.default\searchplugins\conduit.xml" Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 3. Usuwanie resztek adware: - W Firefox wymontuj Freecorder Community Toolbar. Zmień stronę startową. W pasku adresów wklep about:config, wyszukaj frazy browser.search.defaultthis.engineName + browser.search.defaulturl i z prawokliku zresetuj do poziomu domyślnego. - W Google Chrome wymontuj rozszerzenie Complitly. 4. Wklej do posta zawartość raportu BlitzBlank. Zrób nowy log OTL z opcji Skanuj oraz SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s . Odnośnik do komentarza
ZabojcaKomarow Opublikowano 18 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 Zrobiłem wszystko z tym, że nie było już rozszerzenia Freecorder Community Toolbar i Complitly. BlitzBlank 1.0.0.32 File/Registry Modification Engine native application MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}\@", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}\L", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}\n", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}\U", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}\U\00000001.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}\U\80000000.@", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}\U\800000cb.@", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\a\ustawienia lokalne\dane aplikacji\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\a\ustawienia lokalne\dane aplikacji\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}\@", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\a\ustawienia lokalne\dane aplikacji\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}\L", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\a\ustawienia lokalne\dane aplikacji\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}\n", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\a\ustawienia lokalne\dane aplikacji\{d73db79f-93e2-103d-78b6-d4cef00ef0e8}\U", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\a\dane aplikacji\pricegong", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\a\dane aplikacji\pricegong\Data", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\a\dane aplikacji\pricegong\Data\mru.xml", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\a\dane aplikacji\mozilla\firefox\profiles\qxyd4br0.default\searchplugins\conduit.xml", destinationFile = "(null)", replaceWithDummy = 0 LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat" SystemLook 30.07.11 by jpshortstuff Log created at 16:23 on 18/08/2012 by A Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="C:\WINDOWS\system32\wbem\wbemess.dll" "ThreadingModel"="Both" -= EOF =- OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 Trojan pomyślnie usunięty. 1. Mikro poprawka pod kątem adware, bo preferencje Firefox jednak nie zresetowane. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultthis.engineName: "Freecorder Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "Freecorder Customized Web Search" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT1060933&SearchSource=13" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=2&q=" Klik w Wykonaj skrypt. Loga już nie muszę sprawdzać. 2. Zrekonstruuj usługi skasowane przez ZeroAccess (Zapora, Centrum zabezpieczeń, Windows Update). Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS] "Type"=dword:00000020 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Usługa inteligentnego transferu w tle" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Używa przepustowości bezczynnej sieci do transferu danych. Jeżeli BITS zostanie wyłączone, funkcje takie jak Windows Update przestaną działać." "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Enum] "0"="Root\\LEGACY_BITS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Aktualizacje automatyczne" "ObjectName"="LocalSystem" "Description"="Umożliwia pobieranie i instalowanie ważnych aktualizacji systemu Windows. Jeśli ta usługa zostanie wyłączona, komputer nie będzie umożliwiał korzystania z funkcji Automatyczne aktualizacje lub strony Windows Update." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\ 61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum] "0"="Root\\LEGACY_WUAUSERV\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000042e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Adnotacja dla innych czytających: import dopasowany do Windows XP. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Zresetuj system i zrób nowy log z Farbar Service Scanner. . Odnośnik do komentarza
ZabojcaKomarow Opublikowano 18 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 Log: FSS.txt Odnośnik do komentarza
picasso Opublikowano 19 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 19 Sierpnia 2012 Usługi pomyślnie odbudowane. Zmierzamy ku końcówce. I pytanie: czy te komunikaty DEP przy otwieraniu Notatnika nadal mają miejsce? 1. Porządki po narzędziach: w OTL uruchom Sprzątanie oraz Uninstall w AdwCleaner, a BlitzBlanka i inne fiksy ręcznie skasuj. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Gdyby coś znalazł, zaprezentuj raport. . Odnośnik do komentarza
ZabojcaKomarow Opublikowano 19 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 19 Sierpnia 2012 Niestety Windows nie startuje, pokazuje się logo i resetuje się. Nie wprowadzałem żadnych zmian, miałem już tak jak instalowałem Ubuntu i naprawiłem z pomocą forum Ubuntu. Domyślam się że potrzebne będą logi z gmer? Mam bootloader GBUR. EDIT Wyskoczył błąd: STOP:c0000218 {Awaria pliku rejestru} nie jest możliwe załadowanie przez Rejestr gałęzi pliku: /SystemRoot/System32/Config/SOFTWARE lub jego dziennika bądz drugiej kopii. Jest on uszkodzony, brak go lub nie jest do zapisania. EDIT Tym razem się uruchomił Win, zrobiłem porządki, Malwarebytes nic nie znałazł. Dziękuję bardzo za pomoc, buziaczki i kwiatuszki dla Ciebie, picasso Odnośnik do komentarza
picasso Opublikowano 20 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 20 Sierpnia 2012 Na zakończenie: 1. Zaktualizuj Java: KLIK. Ostatni OTL Extras pokazywał w systemie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 2. Prewencyjnie zmień hasła logowania w serwisach. Nie wprowadzałem żadnych zmian, miałem już tak jak instalowałem Ubuntu i naprawiłem z pomocą forum Ubuntu. Co to oznacza "naprawiłem z pomocą forum Ubuntu", jakie operacje, na poziomie boot loadera? Wyskoczył błąd:STOP:c0000218 {Awaria pliku rejestru} nie jest możliwe załadowanie przez Rejestr gałęzi pliku: /SystemRoot/System32/Config/SOFTWARE lub jego dziennika bądz drugiej kopii. Jest on uszkodzony, brak go lub nie jest do zapisania. Czy podejmowałeś ręcznie jakieś działania w tej materii, że Windows się jednak uruchomił? . Odnośnik do komentarza
ZabojcaKomarow Opublikowano 20 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 20 Sierpnia 2012 Java zaaktualizowana. Tzn. pomogli mi rozwiązac problem z Windowsem http://ubuntu.pl/forum/viewtopic.php?f=145&t=158343 Co dziwne, nic nie podejmowałem żadnych działań. Zmiana haseł jest konieczna? Odnośnik do komentarza
picasso Opublikowano 20 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 20 Sierpnia 2012 Na temat tych błędów startu Windows nie mam nic więcej do powiedzenia. Pierwszy rozwiązany. Drugi (uszkodzony rejestr) jakimś cudem sam się skorygował. Zmiana haseł jest konieczna? Na wszelki wypadek zrób to. Lepiej działać nawet na wyrost niż potem być zaskoczonym. . Odnośnik do komentarza
ZabojcaKomarow Opublikowano 21 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 21 Sierpnia 2012 No niestety, znów pojawił się ten błąd z rejestrem. Co należy teraz zrobić? Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2012 (edytowane) W tym przypadku logi z OTL nic nie podsuwają i już je darujmy sobie. Inna grupa zadaniowa. Prędzej do weryfikacji nie sprawdzany tu log z GMER, pod kątem ew. bootkita. Na razie jednak, sądząc po użyciu OTLPE, Windows niedostępny? GMER musi zaczekać. Ogólnie jak odkręcić rejestr za pomocą poprawnej kopii m.in. z poziomu OTLPE: KLIK. Inna sprawa to geneza błędu, całkowicie niejasna. Z tego co rozumiem błąd uszkodzonego rejestru jest ... losowy, nagle pojawia się i samodzielnie znika? Takie regularne psucie jednego z plików w config może sugerować problem z dyskiem. Wstępnie zrób diagnostykę w MHDD i w razie niejasności przedstaw materiały do oceny w dziale Hardware. . Edytowane 25 Września 2012 przez picasso 25.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi