Pavlo Opublikowano 3 Września 2012 Zgłoś Udostępnij Opublikowano 3 Września 2012 Witam. Antywirus Eset Smart Security wykrywł mi wirusa-konia trojańskiego. Wyskakuje informacja że jest to w pliku services.exe. Nie mogę tego obiektu usunąć.Czytałem w googlach na ten temat. Dowiedziałem się tylko, że jest to infekcja ZeroAccess i jest to poważny wirus. Nie mam pojęciaj jak go usunąc. Prosiłbym o pomoc. Sytem Windows 7 Ultimate 64bit. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 3 Września 2012 Zgłoś Udostępnij Opublikowano 3 Września 2012 Podaj dodatkowe skany: 1. Uruchom SystemLook x64 i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s :filefind services.exe Klik w Look i pzedstaw wynikowy raport. 2. Zrób log z Farbar Service Scanner. . Odnośnik do komentarza
Pavlo Opublikowano 3 Września 2012 Autor Zgłoś Udostępnij Opublikowano 3 Września 2012 Zrobione SystemLook 30.07.11 by jpshortstuff Log created at 20:39 on 03/09/2012 by User Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}] @="Microsoft WBEM _WbemFetchRefresherMgr Proxy Helper" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32] @="%systemroot%\system32\wbem\fastprox.dll" "ThreadingModel"="Free" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] (Unable to calculate MD5) C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- FSS.txt Odnośnik do komentarza
picasso Opublikowano 3 Września 2012 Zgłoś Udostępnij Opublikowano 3 Września 2012 Plik systemowy jest zablokowany (i zapewne jest zmodyfikowany, choć nie ma przeliczenia MD5): C:\Windows\System32\services.exe --a---- 329216 bytes [23:19 13/07/2009] [01:39 14/07/2009] (Unable to calculate MD5) 1. Przejdź w Tryb awaryjny Windows. Uruchom GrantPerms x64 i w oknie wklej: C:\Windows\System32\services.exe Klik w Unlock. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 3. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę: netsh winsock reset Zresetuj system. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{755c16f7-136e-7278-393c-35c876553532} C:\Users\User\uidsave.dat C:\Users\User\uz.dat C:\Users\User\AppData\Roaming\Babylon C:\Users\User\AppData\Roaming\YourFileDownloader :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. 5. Odinstaluj podejrzany Mega Codec Pack. Co dopiero w innym temacie były jakieś dziwne rzeczy z nim. 6. Zrób nowy nowy log OTL z opcji Skanuj (już bez Extras) oraz log z SystemLook na warunki: :filefind services.exe :dir C:\Windows\assembly\GAC_32 C:\Windows\assembly\GAC_64 C:\Windows\winsxs\Temp\PendingDeletes . Odnośnik do komentarza
Pavlo Opublikowano 3 Września 2012 Autor Zgłoś Udostępnij Opublikowano 3 Września 2012 Mam nadzieje że zrobiłem wszystkie punkty dobrze. Extras wrzuciłem bo też mi się zrobiło. A log z wynikami usuwania na wszelki wypadek. PS.W Eset smart security wyskoczyła mi po pewnym czasie po instalacji kodeków informacja że http://imageshack.us...tkomunikat.jpg/ i wyłączyła się ochrona dostępu do stron internetowych http://imageshack.us/f/443/esetbd.jpg/ . Padła mi również Usługa Centrum Zabezpieczeń Systemu Windows i nie da się jej włączyć- http://imageshack.us...mwindowsbd.jpg/ . Myśle że to też mogła spowodować instalacja tych kodeków. SystemLook.txt OTL.Txt wyniki z usuwania.txt Odnośnik do komentarza
picasso Opublikowano 4 Września 2012 Zgłoś Udostępnij Opublikowano 4 Września 2012 A mówiłam: "bez Extras". Po raz drugi log o tej samej treści niepotrzebny. Odcinam ten załącznik. PS.W Eset smart security wyskoczyła mi po pewnym czasie po instalacji kodeków informacja i wyłączyła się ochrona dostępu do stron internetowych. Padła mi również Usługa Centrum Zabezpieczeń Systemu Windows i nie da się jej włączyć. O tym wszystkim wiem. ZeroAccess kasuje z rejestru usługi Zapory, Centrum, Windows Defender i Windows Update. Po to był właśnie skan Farbar Service Scanner. Zadania w większości wykonane, tzn. wyleczony plik services.exe i zresetowany Winsock. Zostały do kasacji odpadkowe obiekty ZeroAccess oraz odbudowa wszystkich uszkodzeń. Na początek dokasujmy szczątki, w następnym poście zadam rekonstrukcje usług. 1. Uruchom GrantPerms x64 i w oknie wklej: C:\Windows\assembly\GAC_64\Desktop.ini C:\Windows\winsxs\Temp\PendingDeletes C:\Windows\SysWow64\%APPDATA% Klik w Unlock. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\assembly\GAC_64\Desktop.ini C:\Windows\winsxs\Temp\PendingDeletes C:\Windows\SysWow64\%APPDATA% C:\ProgramData\Windows Codecs C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack C:\Users\User\winlogon.exe :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\Windows Codecs] :OTL FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2: H:\bin\plugin2\npjp2.dll File not found O2 - BHO: (Java Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\bin\ssv.dll File not found O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\bin\jp2ssv.dll File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Przedstaw log z wynikami usuwania. . Odnośnik do komentarza
Pavlo Opublikowano 4 Września 2012 Autor Zgłoś Udostępnij Opublikowano 4 Września 2012 Nie mogę dadać pliku "Nie masz uprawnień do wysyłania tego typu plików" więc go tak wkleje. All processes killed ========== FILES ========== C:\Windows\assembly\GAC_64\Desktop.ini moved successfully. C:\Windows\winsxs\Temp\PendingDeletes folder moved successfully. C:\Windows\SysWow64\%APPDATA%\Microsoft\Windows\IETldCache folder moved successfully. C:\Windows\SysWow64\%APPDATA%\Microsoft\Windows folder moved successfully. C:\Windows\SysWow64\%APPDATA%\Microsoft folder moved successfully. C:\Windows\SysWow64\%APPDATA% folder moved successfully. C:\ProgramData\Windows Codecs\Data folder moved successfully. C:\ProgramData\Windows Codecs folder moved successfully. C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack\Filters folder moved successfully. C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack folder moved successfully. C:\Users\User\winlogon.exe moved successfully. ========== REGISTRY ========== Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\Windows Codecs\ deleted successfully. ========== OTL ========== Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DBC80044-A445-435b-BC74-9C25C1C588A9}\ deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: User ->Temp folder emptied: 68950 bytes ->Temporary Internet Files folder emptied: 1345670 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 60169436 bytes ->Flash cache emptied: 992 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 59,00 mb OTL by OldTimer - Version 3.2.59.1 log created on 09042012_142427 Files\Folders moved on Reboot... C:\Users\User\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. C:\Users\User\AppData\Local\Mozilla\Firefox\Profiles\k2twnjoq.default\startupCache\startupCache.4.little moved successfully. C:\Users\User\AppData\Local\Mozilla\Firefox\Profiles\k2twnjoq.default\Cache\_CACHE_001_ moved successfully. C:\Users\User\AppData\Local\Mozilla\Firefox\Profiles\k2twnjoq.default\Cache\_CACHE_002_ moved successfully. C:\Users\User\AppData\Local\Mozilla\Firefox\Profiles\k2twnjoq.default\Cache\_CACHE_003_ moved successfully. C:\Users\User\AppData\Local\Mozilla\Firefox\Profiles\k2twnjoq.default\Cache\_CACHE_MAP_ moved successfully. C:\Users\User\AppData\Local\Mozilla\Firefox\Profiles\k2twnjoq.default\urlclassifier3.sqlite moved successfully. PendingFileRenameOperations files... Registry entries deleted on Reboot... Odnośnik do komentarza
picasso Opublikowano 4 Września 2012 Zgłoś Udostępnij Opublikowano 4 Września 2012 Zadania pomyślnie wykonane. Przechodzimy do naprawy szkód. 1. Rekonstrukcja Zapory systemu Windows (BFE + MpsSvc + SharedAccess i ich uprawnienia): KLIK. 2. Rekonstrukcja Centrum, Windows Defender i Windows Update. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS] "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\ 72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\ 63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance] "Library"="bitsperf.dll" "Open"="PerfMon_Open" "Collect"="PerfMon_Collect" "Close"="PerfMon_Close" "InstallType"=dword:00000001 "PerfIniFile"="bitsctrs.ini" "First Counter"=dword:000007d2 "Last Counter"=dword:000007e2 "First Help"=dword:000007d3 "Last Help"=dword:000007e3 "Object List"="2002" "PerfMMFileName"="Global\\MMF_BITS_s" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\ 00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\ 00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\ 00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\ 00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\ 00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\ 00,20,02,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv] "PreshutdownTimeout"=dword:036ee800 "DisplayName"="Windows Update" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%systemroot%\\system32\\wuaueng.dll,-106" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceMain"="WUServiceMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 Adnotacja dla innych czytających: import dopasowany do Windows 7. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal 3. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. . Odnośnik do komentarza
Pavlo Opublikowano 4 Września 2012 Autor Zgłoś Udostępnij Opublikowano 4 Września 2012 Nie wyszło mi tak jak powinno. Pewnie zrobiłem coś źle bo się troche pogubiłem. Można to od początku zrobić? http://imageshack.us/f/812/bldz.jpg/ Odnośnik do komentarza
picasso Opublikowano 4 Września 2012 Zgłoś Udostępnij Opublikowano 4 Września 2012 Czy zaimportowałeś plik REG rekonstruujący usługę BFE w rejestrze? Bez tego SetACL nie zrobi nic, nie można odtwarzać uprawnień na nieistniejących obiektach. Od początku: importujesz trzy pliki REG (BFE, MpsSvc, SharedAccess), następnie trzykrotnie nakładasz uprawnienia przez SetACL dla wymienionych usług. . Odnośnik do komentarza
Pavlo Opublikowano 4 Września 2012 Autor Zgłoś Udostępnij Opublikowano 4 Września 2012 Czyli jak zamieniłem tylko MpsSvc.txt na MpsSvc.reg to musze to zrobić dla pozostałych 2 plików tak ? Odnośnik do komentarza
picasso Opublikowano 4 Września 2012 Zgłoś Udostępnij Opublikowano 4 Września 2012 Oczywiście. Odnośnik do komentarza
Pavlo Opublikowano 4 Września 2012 Autor Zgłoś Udostępnij Opublikowano 4 Września 2012 To myśle że zrozumiałem. Dobrze wyszło ? http://imageshack.us/f/705/sprawdzenie.jpg/ Odnośnik do komentarza
picasso Opublikowano 4 Września 2012 Zgłoś Udostępnij Opublikowano 4 Września 2012 Zadanie wykonane dla BFE, ale nie zapominaj, że akcję powtarzasz także dla MpsSvc i SharedAccess. Po wszystkich operacjach zresetuj system i podaj nowy log z Farbar Service Scanner. Odnośnik do komentarza
Pavlo Opublikowano 4 Września 2012 Autor Zgłoś Udostępnij Opublikowano 4 Września 2012 Gotowe. W Esecie znikł komunikat i się włączyła zapora FSS.txt Odnośnik do komentarza
picasso Opublikowano 4 Września 2012 Zgłoś Udostępnij Opublikowano 4 Września 2012 Sprawa załatwiona. Przejdź do tej fazy: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL i Farbar. Resztę używanych narzędzi i REG dokasuj ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
Pavlo Opublikowano 5 Września 2012 Autor Zgłoś Udostępnij Opublikowano 5 Września 2012 Wykryło coś. mbam-log-2012-09-05 (16-21-37).txt Odnośnik do komentarza
picasso Opublikowano 5 Września 2012 Zgłoś Udostępnij Opublikowano 5 Września 2012 1. Wyniki MBAM: infekcje, usuń za pomocą programu. 2. Zaktualizuj co należy: KLIK. Z Twojej listy zainstalowanych wykaz braku SP1 dla Windows 7 + wersje: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3 3. Prewencyjnie zmień hasła logowania w serwisach. PS. Gadu-Gadu 10 to zasobożerny powtór. Sugeruję obejrzenie lżejszych programów z obsługą sieci Gadu: WTW (polecany), AQQ, Kadu, Miranda. Opisy: KLIK. . Odnośnik do komentarza
Pavlo Opublikowano 5 Września 2012 Autor Zgłoś Udostępnij Opublikowano 5 Września 2012 ok, a Mogłabyś mi dać jakieś rady aby troche komputer przyspieszyć? bo troche muli a niedawno robiłem formata. Na początku fajnie śmigał a potem coraz gorzej z nim . Edit@ nie moge zrobić uptade bo nie mam miejsca na C potrzeba co najmniej 2GB a ja mam 1GB. Odkąd przeniosłem się na Win7 z XP to mam problemy z miejscem na C dysku. To co nie potrzebne usunąłem a to co mi potrzebne waży nie więcej niż 2GB . Resztę zajmuje Windows i jego programy. To normalne że zajmuje mi 20GB na 25? Odnośnik do komentarza
picasso Opublikowano 5 Września 2012 Zgłoś Udostępnij Opublikowano 5 Września 2012 Edit@ nie moge zrobić uptade bo nie mam miejsca na C potrzeba co najmniej 2GB a ja mam 1GB. Odkąd przeniosłem się na Win7 z XP to mam problemy z miejscem na C dysku. To co nie potrzebne usunąłem a to co mi potrzebne waży nie więcej niż 2GB . Resztę zajmuje Windows i jego programy. To normalne że zajmuje mi 20GB na 25? A tak, nie zwróciłam na to uwagi: Drive C: | 24,41 Gb Total Space | 1,79 Gb Free Space | 7,32% Space Free | Partition Type: NTFSDrive D: | 25,06 Gb Total Space | 3,61 Gb Free Space | 14,42% Space Free | Partition Type: NTFSDrive E: | 25,05 Gb Total Space | 13,52 Gb Free Space | 53,99% Space Free | Partition Type: NTFSDrive G: | 15,74 Gb Total Space | 13,62 Gb Free Space | 86,50% Space Free | Partition Type: NTFSDrive H: | 15,74 Gb Total Space | 2,11 Gb Free Space | 13,39% Space Free | Partition Type: NTFS I to może być też przyczyna mulenia (przykład z forum: KLIK). Masz problemy z miejscem na dysku, bo przyznałeś na system Windows 7 minimum instalacyjne. 25GB to marny zakres miejsca i przy założeniu, że system się nie rozrasta (a to ma miejsce: aktualizacje + cieniowanie woluminów) i mało co instaluje się na C. Podstawowe pytanie: jak tu jest z dyskami fizycznymi, jak partycje od C do H są rozplanowane? Zmierzam do tego, by odciąć wolne miejsce z sąsiadującej partycji z systemową i dokleić do systemowej. Tylko na D też jest tu bieda z miejscem. Pokaż mi zrzut ekranu z diskmgmt.msc. . Odnośnik do komentarza
Pavlo Opublikowano 5 Września 2012 Autor Zgłoś Udostępnij Opublikowano 5 Września 2012 Czyli to jest normalne że tyle zajmuje.Da się jakoś zmienić rozmiar dysków bez robienia formatu? tu zrzut mam nadzieję że o to chodziło http://imageshack.us/f/685/zrzutj.jpg/ Odnośnik do komentarza
picasso Opublikowano 5 Września 2012 Zgłoś Udostępnij Opublikowano 5 Września 2012 Da się jakoś zmienić rozmiar dysków bez robienia formatu? Tak, na dwa sposoby: Przez opcje wbudowane w system: diskmgmt.msc > z prawokliku na X (litera wybranego dysku) opcja Zmniejsz wolumin > utworzy się dodatkowa przestrzeń nieprzydzielona > z prawokliku na C opcja Rozszerz wolumin i dołożenie nieprzydzielonej przestrzeni urwanej z X. Zmiany rozmiaru partycji spod działającego Windows mogą natrafić na trudności, czyli zablokowane nieprzesuwalne pliki. Alternatywnie darmowe programy z taką funkcją (udostępniają też operacje z poziomu płyty startowej): EASEUS Partition Master Home Edition, MiniTool Partition Wizard, Paragon Partition Manager Free Edition, GParted LiveCD W kwestii zrzutu ekranu: możliwością jest tu doklejenie do C miejsca z D (partycje sąsiadują), ale na D jest też bieda (tylko nieco pod 3GB). Jaką zawartością dysponuje D? Czy można coś tam drastycznie pousuwać / poprzenosić na inne dyski? Odnośnik do komentarza
Pavlo Opublikowano 5 Września 2012 Autor Zgłoś Udostępnij Opublikowano 5 Września 2012 Na D brat ma swoje rzeczy przeważają tam gry. Sprawa ma się tak żeby na D było jak najwięcej wolnego miejsca żeby potem móc rozszerzyć dysk C rozumiem. Poprzenoszę pliki z D do dysku E. A potem jeszcze coś postaram się usunąć i wrzuce zrzut z diskmgmt.msc jak to wygląda. Edit@ Na dysku D nie ma nic a zajmuje 5GB z 25GB. Wszystko poprzenosiłem a zajmuje 5GB. po włączeniu opcji pokaż ukryte foldery i pliki wyświetla się folder msdownld.tmp który waży 0 . zrzut - http://imageshack.us/f/341/zrzut2y.jpg/ Odnośnik do komentarza
picasso Opublikowano 6 Września 2012 Zgłoś Udostępnij Opublikowano 6 Września 2012 Edit@ Na dysku D nie ma nic a zajmuje 5GB z 25GB. jak sądzę nie masz włączonych widzialności wszystkich plików (i prawdopodobnie jest tam folder System Volume Information od Przywracania systemu). Opcje są dwie: Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego . Odnośnik do komentarza
Pavlo Opublikowano 6 Września 2012 Autor Zgłoś Udostępnij Opublikowano 6 Września 2012 Nie miałem odptaszkowanego tego. i mam usunąć plik pagefile.sys ? zajmje 4GB Odnośnik do komentarza
Rekomendowane odpowiedzi