januszjmp Opublikowano 1 Grudnia 2012 Zgłoś Udostępnij Opublikowano 1 Grudnia 2012 Zamieszczam ten temat w dziale "Pomocy doraźnej" bo właściwie dotyczy on działań wykonywanych po zawirusowaniu trojanem "ZeroAccess" i paroma innymi. Mam z pełnym opisem pewien dylemat bo problem dotyczy laptopa małżonki syna. Wirusy usuwał syn samodzielnie, a będąc uparciuchem nie chciał żadnej pomocy. Rzeczywiście wygląda na to, że w zasadzie sobie poradził. Będąc u nich, po namowach w końcu raczył mi w skrócie opowiedzieć co mniej więcej robił i pozwolił "rzucić okiem" na komputer (laptop K73SV z Win7HPx64Sp1) aby ocenić efekty. Praktycznie system wydaje się pracować poprawnie ale parę rzeczy mnie zaniepokoiło bo nie działają jak należy. W związku z tym bez jego wiedzy, acz w jego imieniu pozwoliłem sobie jednak zgłosić te usterki tu na forum. Z tego co się dowiedziałem do napraw używał między innymi zainstalowanego Kasperskiego KAV2013, który wykrył ZeroAccess oraz 5 innych (nie wiem jakich bo wykasowano logi w KAV'ie), Rkill, GrandPerms, SystemLook, Eset Security Scanner Online, ServicesRepair, AdwCleaner. Ja dodatkowo już po tych wszystkich operacjach przy sprawdzaniu użyłem TdssKiller (tylko z 3 opcjami default'owymi), który stwierdził, że wszystko "ok". Komenda "Sfc /scannnow" też nie stwierdza naruszeń. Teraz przechodząc do konkretów jakie mianowicie zauważyłem bieżące usterki: 1. Nie pojawia się na pasku zadań chorągiewka "Centrum Akcji". Pozostałe 4 ikony systemowe w obszarze powiadomień są włączone, natomiast ikonka "CA" jest wyszarzona i nie sposób jej uaktywnić. Oczywiście z panelu sterowania można się dostać do "Centrum Akcji", "Centrum Zabezpieczeń" i "Windows Update" i tam wygląda, że wszystko ustawione poprawnie. Sprawdziłem też tematy dotyczące "System icons enable/disable" i nie widzę aby w rejestrze był jakiś klucz typu "HideScaHealth". 2. Przeglądając "podgląd zdarzeń" w dzienniku i wybierając np. z gałęzi "błąd" info o zdarzeniu mamy tam również możliwość wyboru "pomoc online dziennika" i tu po wybraniu następuje błąd "Nie można znaleźć określonego modułu... itd\ścieżka do np. \tmp2F32.vbs, kod 80004005" z czego wynikałoby, że nie jest tworzony odpowiedni skrypt .vbs. Przeglądając log Otl'a - Extras.txt zauważyłem, że w sekcji "File Associations" w kluczach rejestru HKLM\Sofware\Classes\<extensions> brak rozszerzeń dla .js, .jse, .vbs, .vbe, .wsf i ich odniesień do "C:\Windows\SysWow64\CScript.exe" tak jakby je wycięto. Również w sekcji "Shell Spawning" brak vbefile, vbsfile i wsffile i odniesień do Cscript jak wyżej. Dotyczy to zarówno kluczy 64bit jak i 32bit. Podejrzewam, że mógł to zrobić AdwCleaner (akurat jest log z niego co usuwał, ale to jedyny log jaki się zachował). 3. Wybierając "Windows Update" i przeglądając "historię aktualizacji", a następnie zaznaczając konkretną aktualizację/wyświetl szczegóły pojawia się okno "windows update" z linkami o więcej informacji lub pomocy technicznej do SupportMicrosoft. Te linki się nie wywołują, po naciśnieciu na nie nic się nie dzieje. 4. Jeszcze zauważyłem, że aktualizacja "Definition Update for Windows Defender" zaznaczana jest jako niepowodzenie (błąd 0x80070643), choć Windows Defender tak naprawdę zostaje zaktualizowany nową definicją. Inne aktualizacje kończą się jako "powodzenie". Niestety dostęp do tego komputera mam dość sporadyczny i ograniczony, a jednocześnie nie chciałbym wyrządzić jakiejś "niedźwiedziej przysługi" poprzez nieodpowiednie działania, tak że zwracam się do profesjonalistów w tej dziedzinie z prośbą o rady, które mógłbym przekazać dalej. To tematu dołączam logi: Otl.txt, Extras.txt, oraz logi z AdwCleaner. OTL.Txt Extras.Txt AdwCleanerS1.txt AdwCleanerR2.txt Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2012 Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 Wg OTL nie ma tu już infekcji, ale wymagane korekty. To jest nieprawidłowo naprawiony klucz ZeroAccess: [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64"ThreadingModel" = Both"" = C:\Windows\SysNative\shell32.dll -- [2012-06-09 06:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation) Zedytowano go, a należy całkowicie usunąć, bo to fałszywa klasa dodana przez ZeroAccess. Poza tym, użycie AdwCleaner oznacza wyzerowanie domyślnych wyszukiwarek Internet Explorer i po nim należy wykonać rekonfigurację. Poprawki na obie wymienione sprawy. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Nodee\Microsoft\Internet Explorer\Search] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 1. Nie pojawia się na pasku zadań chorągiewka "Centrum Akcji". Pozostałe 4 ikony systemowe w obszarze powiadomień są włączone, natomiast ikonka "CA" jest wyszarzona i nie sposób jej uaktywnić. Oczywiście z panelu sterowania można się dostać do "Centrum Akcji", "Centrum Zabezpieczeń" i "Windows Update" i tam wygląda, że wszystko ustawione poprawnie. Sprawdziłem też tematy dotyczące "System icons enable/disable" i nie widzę aby w rejestrze był jakiś klucz typu "HideScaHealth". Poproszę wstępnie o log z Farbar Service Scanner. 2. Przeglądając "podgląd zdarzeń" w dzienniku i wybierając np. z gałęzi "błąd" info o zdarzeniu mamy tam również możliwość wyboru "pomoc online dziennika" i tu po wybraniu następuje błąd "Nie można znaleźć określonego modułu... itd\ścieżka do np. \tmp2F32.vbs, kod 80004005" z czego wynikałoby, że nie jest tworzony odpowiedni skrypt .vbs. Poproszę o szukanie w rejestrze na nazwę tego skryptu. Uruchom SystemLook x64 i w oknie wklej: :regfind tmp2F32.vbs Klik w Look. Przeglądając log Otl'a - Extras.txt zauważyłem, że w sekcji "File Associations" w kluczach rejestru HKLM\Sofware\Classes\ brak rozszerzeń dla .js, .jse, .vbs, .vbe, .wsf i ich odniesień do "C:\Windows\SysWow64\CScript.exe" tak jakby je wycięto. Również w sekcji "Shell Spawning" brak vbefile, vbsfile i wsffile i odniesień do Cscript jak wyżej. Dotyczy to zarówno kluczy 64bit jak i 32bit. Podejrzewam, że mógł to zrobić AdwCleaner (akurat jest log z niego co usuwał, ale to jedyny log jaki się zachował). Nie, te odczyty w OTL Extras są w pełni prawidłowe, a AdwCleaner nie ma nic do rzeczy. Proszę, oto log z fabrycznie nowej wirtualnej maszyny Windows 7 x64: ========== File Associations ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\] .url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\] .cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation) [HKEY_CURRENT_USER\SOFTWARE\Classes\] .html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. htmlfile [edit] -- Reg Error: Key error. htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1" inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation) InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [explore] -- Reg Error: Value error. Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation) exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. htmlfile [edit] -- Reg Error: Key error. htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1" inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [explore] -- Reg Error: Value error. Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) 3. Wybierając "Windows Update" i przeglądając "historię aktualizacji", a następnie zaznaczając konkretną aktualizację/wyświetl szczegóły pojawia się okno "windows update" z linkami o więcej informacji lub pomocy technicznej do SupportMicrosoft. Te linki się nie wywołują, po naciśnieciu na nie nic się nie dzieje. Zobaczymy co poda skan w SystemLook, to może być powiązane. . Odnośnik do komentarza
januszjmp Opublikowano 6 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Dziękuję za udzielaną pomoc i pozdrawiam. Dopiero teraz odwiedziłem syna i mogę przekazać odpowiedź. Zacznę od końca, od informacji, którą zamieściłem w moim pierwszym poście w punkcie (4), gdyż samioistnie uległa ona zmianie. Aktualizacja "Definition Update for Windows Defender" nie jest już zaznaczana jako "niepowodzenie", a jako "Powodzenie" Odbyło się to bez jakiejkolwiek mojej czy syna ingerencji, po prostu od 4.12.2012 status "stan" i dla tej aktualizacji jest już prawidłowy. ----------------------------------------------------------------------------------------------------------------------- A) Zalecone poprawki zostały wprowadzone do rejestru (import zakończony sukcesem). ----------------------------------------------------------------------------------------------------------------------- - Poniżej log z FSS: Farbar Service Scanner Version: 04-12-2012 Ran by Alicja (administrator) on 06-12-2012 at 13:29:47 Running from "D:\Program Files (x86)\Farbar_Service_Scanner" Windows 7 Home Premium Service Pack 1 (X64) Boot Mode: Normal **************************************************************** Internet Services: ============ Connection Status: ============== Localhost is accessible. LAN connected. Google IP is accessible. Google.com is accessible. Yahoo IP is accessible. Yahoo.com is accessible.   Windows Firewall: ============= Firewall Disabled Policy: ================== System Restore: ============ System Restore Disabled Policy: ======================== Action Center: ============ Windows Update: ============ Windows Autoupdate Disabled Policy: ============================ Windows Defender: ============== Other Services: ============== File Check: ======== C:\Windows\System32\nsisvc.dll => MD5 is legit C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit C:\Windows\System32\dhcpcore.dll => MD5 is legit C:\Windows\System32\drivers\afd.sys => MD5 is legit C:\Windows\System32\drivers\tdx.sys => MD5 is legit C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit C:\Windows\System32\dnsrslvr.dll => MD5 is legit C:\Windows\System32\mpssvc.dll => MD5 is legit C:\Windows\System32\bfe.dll => MD5 is legit C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit C:\Windows\System32\SDRSVC.dll => MD5 is legit C:\Windows\System32\vssvc.exe => MD5 is legit C:\Windows\System32\wscsvc.dll => MD5 is legit C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit C:\Windows\System32\wuaueng.dll => MD5 is legit C:\Windows\System32\qmgr.dll => MD5 is legit C:\Windows\System32\es.dll => MD5 is legit C:\Windows\System32\cryptsvc.dll => MD5 is legit C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit C:\Windows\System32\ipnathlp.dll => MD5 is legit C:\Windows\System32\iphlpsvc.dll => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\System32\rpcss.dll => MD5 is legit **** End of log **** ------------------------------------------------------------------------------------------------------------------- C) W punkcie 2 postu lekko wprowadziłem w błąd, gdyż plik nazywa się "tmp3F32.vbs", (a nie tmp2F32.vbs). Przepraszam, skorygowałem nazwę i poniżej log z "SystemLook": SystemLook 30.07.11 by jpshortstuff Log created at 13:39 on 06/12/2012 by Alicja Administrator - Elevation successful ========== regfind ========== Searching for "tmp3F32.vbs" No data found. -= EOF =- --------------- Teraz kontynuując, w punkcie "C" powinienem chyba rozszerzyć informacje na temat tych "tempów". Tak jak pisałem w poście1, punkcie 2 wybierając tam "pomoc dziennika online" (dla konkretnego zdarzenia) w rezultacie pojawia się błąd w okienku o nazwie "Windows Script Host" z zawartością np.: < Skrypt: C:\Users\Alicja\AppData\Local\Temp\tmp3F32.vbs Wiersz: 2 Znak:1 Błąd: Nieokreślony błąd Kod: 80004005 Żródło: (null) > Teraz jak wyglądają te tempy (tzn. ich zawartość): "tmp3F32.vbs" : Set shell = createobject("wscript.shell") Shell.run """C:\Users\Alicja\AppData\Local\Temp\tmp3F31.url""" "tmp3F31.url": [internetShortcut] URL=http://go.microsoft.com/fwlink/events.asp?ProdName=Microsoft%c2%ae+Windows%c2%ae+Operating+System&ProdVer=7.6.7600.256&EvtID=20&EvtSrc=Microsoft-Windows-WindowsUpdateClient&LCID=1045 Trochę dziwne bo te teksty wyglądają poprawnie. Na moim osobistym laptopie też się tworzą podobne i pod względem treści są praktycznie identyczne (oczywiście różne nazwy tempów). -------------------------------------------------------------------------------------------------------------------- PS. Przepraszam, ale coś mi zmienia czcionkę w edytorze i nie mogę dobrać całościowo właściwej. Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2012 Zgłoś Udostępnij Opublikowano 7 Grudnia 2012 Nie pojawia się na pasku zadań chorągiewka "Centrum Akcji". Pozostałe 4 ikony systemowe w obszarze powiadomień są włączone, natomiast ikonka "CA" jest wyszarzona i nie sposób jej uaktywnić. Udało mi się zreprodukować efekt: KLIK. Podaj ten sam skan w SystemLook, o który prosiłam tamtego użytkownika. Teraz kontynuując, w punkcie "C" powinienem chyba rozszerzyć informacje na temat tych "tempów". Tak jak pisałem w poście1, punkcie 2 wybierając tam "pomoc dziennika online" (dla konkretnego zdarzenia) w rezultacie pojawia się błąd w okienku o nazwie "Windows Script Host" z zawartością np.: Tego nie przemyślałam jeszcze. . Odnośnik do komentarza
januszjmp Opublikowano 7 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2012 Witam 1. Podaję log z SystemLook na podany warunek jak w temacie "Centrum akcji - nie mogę włączyć ikony systemowej" (nazwa pliku: SystemLook_before_change). Ponieważ zaleciłaś tam odpowiedni wpis w rejestrze, a u mnie go też brakuje, to również go wprowadziłem i po restarcie ikona "Centrum Akcji" pojawiła się na pasku zadań! Po tym zrobiłem ponowny SystemLook_after_change. Teraz jedna uwaga gdyż porównując System Look'i kolegi i mój zauważyłem, że u mnie nie ma jeszcze wpisu: "[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{C51F0A6B-2A63-4cf4-8938-24404EAEF422}] "AutoStart"="", który jest u kolegi, pozostałe wpisy identyczne. Nie wiem czy należy go też wprowadzić i do czego on służy? 2. Tak że główna usterka dotycząca "Centrum akcji" usunięta. Pozostały na razie te opisane w poście #1, punkt 2 i 3. SystemLook_before_change.txt SystemLook_after_change.txt Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2012 Zgłoś Udostępnij Opublikowano 7 Grudnia 2012 Teraz jedna uwaga gdyż porównując System Look'i kolegi i mój zauważyłem, że u mnie nie ma jeszcze wpisu: "[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{C51F0A6B-2A63-4cf4-8938-24404EAEF422}]"AutoStart"="", który jest u kolegi, pozostałe wpisy identyczne. Nie wiem czy należy go też wprowadzić i do czego on służy? Klasa {C51F0A6B-2A63-4cf4-8938-24404EAEF422} należy do biblioteki cscui.dll (Interfejs użytkownika buforowania ze strony klienta), czyli funkcji Pliki Offline. Posiadasz system Windows 7 Home Premium a tamten użytkownik Windows 7 Ultimate, stąd różnica. Ten komponent nie jest obecny na edycji Home: KLIK. 2. Tak że główna usterka dotycząca "Centrum akcji" usunięta. Pozostały na razie te opisane w poście #1, punkt 2 i 3. To muszę przemyśleć. . Odnośnik do komentarza
januszjmp Opublikowano 9 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2012 1. Widzę, że powinienem przekazać jeszcze nowe informacje na temat tych punktów 2 i 3 z mojego postu #1 bo coś wygląda, że mogą one mieć wspólny mianownik. Niestety ze względu na to, że jestem sporadycznie u "dzieci" i tylko wyrywkowo mogę sprawdzić ich laptopa to mam kłopot ze skompletowaniem pełnych info na bieżąco. Odnośnie tego zauważyłem jeszcze, że również nie wywołują się linki z dowolnych programów, tzn. przykładowo otwierając Total Commandera, wybierając "Pomoc/Odwiedź stronę total commandera" nic się nie dzieje i strona się nie otwiera i tak samo w innych programach w których są wewnętrzne linki do stron. Dotyczy to też np. próby otwarcia w "Konserwacji" podtematu "Zasady ochrony prywatności", z tym że wówczas pojawia się okienko "htt..://go.microsoft.com/fwlink/?linkid= .....,itd" z następującym komunikatem < Z plikiem tym nie jest skojarzony program lub jeśli jest już zainstalowany, utwórz skojarzenie używając apletu "programy domyślne" w panelu sterowania > . Tyle że akurat w tym wypadku nie wiem co z czym kojarzyć, jaki typ pliku z jakim programem. Rzeczywiście któryś z grasujących wirusów mógł wyciąć odpowiednie skojarzenia rozszerzeń, bo wątpię aby to syn podczas usuwania wirusów naruszył tę strefę. 2. Ni stąd ni zowąd wyszła jeszcze i inna sprawa. Należało szybko dokonać aktualizcji "staroci" Javy i Acrobat Readera. Po aktualizacji, dokonałem KAV'em_2013 wykrywania luk i stwierdziłem, że dużo wcześniej syn też tego dokonywał i jednocześnie zaznaczył ich naprawienie. Postanowiłem cofnąć te naprawy, bo wyglądało mi na to, że nie wszystkie naprawy są potrzebne (luki ze statusem że "nie muszą być naprawiane") i czy czasem to nie wpłynęło na zablokowanie linków. Toteż cofnąłem i opuściłem KAV'a. Wszedłem do "Centrum Akcji", a tu niespodzianka; sygnał ostrzeżenia dotyczący "Windows Update" < Windows Update jest ustawione tak aby konsultować się z użytkownikiem przed pobraniem i zainstalowaniem aktualizacji. Tymi ustawieniami zarządza administrator systemu >. A po wybraniu "Zmień ustawienia" na ekranie "Wybierz sposób instalacji aktualizacji w systemie Windows" dla opcji "Aktualizacje ważne" wyszarzona możliwość zmiany. Ustawione jest "Wyszukaj aktualizacje ale pozwól mi wybrać czy je pobrać i zainstalować", a nie jak było dotychczas - "Zainstaluj aktualizacje automatycznie". I nie da się tego zmienić. Teraz nie wiem bo podczas instalacji Acrobat Readera XI akurat podobna opcja (tzn. powiadom mnie ale pozwól mi wybrać....,itd) była ustawiona dla niego, ale nie wierzę aby to wpłynęło na ustawienia w "Windows Update", bo na moim osobistym laptopie tak mam ustawione w Acrobat, a w Windows Update na aktualizacje automatyczną i mogę wybierać . Może to cofnięcie napraw luk mogło coś zamącić. To były cztery następujące luki dotyczące Microsoft Internet Explorer: - wyczyść historię wprowadzanych adresów URL - wyłącz buforowanie danych pobranych przy użyciu chronionego kanału - wyłącz wysyłanie raportów o błędach - zresetuj adres strony startowej Ponownie dałem ich naprawę, ale to nic nie zmieniło. Sprawa zadziwiająca aby bez specjalnej przyczyny nagle została zablokowana możliwość zmiany sposobu aktualizacji dla "aktualizacji ważnych" uniemożliwiając wybór. Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2012 Zgłoś Udostępnij Opublikowano 13 Grudnia 2012 2. Przeglądając "podgląd zdarzeń" w dzienniku i wybierając np. z gałęzi "błąd" info o zdarzeniu mamy tam również możliwość wyboru "pomoc online dziennika" i tu po wybraniu następuje błąd "Nie można znaleźć określonego modułu... itd\ścieżka do np. \tmp2F32.vbs, kod 80004005" z czego wynikałoby, że nie jest tworzony odpowiedni skrypt .vbs. (...) Odnośnie tego zauważyłem jeszcze, że również nie wywołują się linki z dowolnych programów, tzn. przykładowo otwierając Total Commandera, wybierając "Pomoc/Odwiedź stronę total commandera" nic się nie dzieje i strona się nie otwiera i tak samo w innych programach w których są wewnętrzne linki do stron. Dotyczy to też np. próby otwarcia w "Konserwacji" podtematu "Zasady ochrony prywatności", z tym że wówczas pojawia się okienko "htt..://go.microsoft.com/fwlink/?linkid= .....,itd" z następującym komunikatem Na początek spróbuj przerejestrować pliki silnika skryptowego tym narzędziem Fix-it (Method 2): KLIK. Zresetuj system. Wszedłem do "Centrum Akcji", a tu niespodzianka; sygnał ostrzeżenia dotyczący "Windows Update" . A po wybraniu "Zmień ustawienia" na ekranie "Wybierz sposób instalacji aktualizacji w systemie Windows" dla opcji "Aktualizacje ważne" wyszarzona możliwość zmiany. Ustawione jest "Wyszukaj aktualizacje ale pozwól mi wybrać czy je pobrać i zainstalować", a nie jak było dotychczas - "Zainstaluj aktualizacje automatycznie". I nie da się tego zmienić. W sprawdzanym raporcie OTL nie było żadnych polityk relatywnych do tego. Czyli albo nowa polisa wskoczyła, albo polisa jest poza widocznością skanu OTL. Sądzę, że to ten drugi wariant wydarzeń. Spróbuj zaimportować to + restart systemu: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] Wyjaśniając dokładniej, w gpedit.msc (niedostępne na edycji Windows 7 Home) jest do tego opcja: Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Usługa Windows Update > Zezwalaj na natychmiastową instalację aktualizacji automatycznych. Włączenie tej polityki tworzy klucz HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU z wartością AutoInstallMinorUpdates. . Odnośnik do komentarza
januszjmp Opublikowano 17 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Zacznę od drugiej sprawy (naprawionej) czyli "wyszarzonej" opcji w wyborze sposobu instalacji aktualizacji ważnych w WindowsUpdate. Usunięcie w rejestrze podanego przez Ciebie klucza natychmiast odblokowało możliwość dokonywania wyboru. Dzięki. Przyznam się szczerze, że wcześniej poszperałem w sieci znajdując parę rozwiązań na temat "important updates greyed out" ale wolałem poczekać na info od Ciebie (zresztą i tak dopiero teraz mogłem to sprawdzić). Zagadką pozostaje tylko fakt co dokonało tej blokującej modyfikacji. Natomiast jeśli chodzi o podany FixIt przerejestrowujący odpowiednie pliki to niestety nie usunął on pierwszego problemu. Zarówno skrypt wywoływany nawet ręcznie z wiersza poleceń np. w postaci komendy "Cscript.exe C:\Users\Alicja\AppData\Local\Temp\tmp3F32.vbs" (też błąd Kod: 80004005) jak i opisane wcześniej linki nie działają. Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2012 Zgłoś Udostępnij Opublikowano 18 Grudnia 2012 Natomiast jeśli chodzi o podany FixIt przerejestrowujący odpowiednie pliki to niestety nie usunął on pierwszego problemu. Sprawdź co się stanie / co się pokazuje przy ręcznym rejestrowaniu plików. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > po kolei wdrażaj: Rejestracja plików 64-bit: regsvr32 vbscript.dll regsvr32 jscript.dll regsvr32 jscript9.dll Rejestracja plików 32-bit: C:\Windows\SysWOW64\regsvr32.exe C:\Windows\SysWow64\vbscript.dll C:\Windows\SysWOW64\regsvr32.exe C:\Windows\SysWow64\jscript.dll C:\Windows\SysWOW64\regsvr32.exe C:\Windows\SysWow64\jscript9.dll . Odnośnik do komentarza
januszjmp Opublikowano 19 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 Każda z rejestracji zakończona powodzeniem ale bez wpływu na problem. Czyli sytuacja bez zmiany. Odnośnik do komentarza
picasso Opublikowano 2 Lutego 2013 Zgłoś Udostępnij Opublikowano 2 Lutego 2013 Jeszcze jedna myśl: jest tu zainstalowany Kaspersky Anti-Virus 2013. Antywirus przejmuje kontrolę nad skryptami Windows. Dla porównania temat: KLIK. Zdejmij osłonę skryptową Kasperskiego za pomocą jego opcji. Nie mam pod ręką KIS 2013. Tu podaję jak to wygląda w KIS 2011 (Settings > Web Anti-Virus > Settings > odznacz Block dangerous scripts in Microsoft Internet Explorer): . Odnośnik do komentarza
januszjmp Opublikowano 4 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lutego 2013 Niestety bez efektów. Zarówno "odptaszkowanie" podanej opcji jak i wyłączenie KAV2013 oraz dodatkowo i wyłączenie Zapory Windows bez wpływu na problem, choć przypuszczenia pani dotyczące blokady przez jakiś "silny aplet" wydawałyby się całkiem słuszne. Jeszcze większe moje zdziwienie niż błąd w wykonaniu skryptów (przynajmniej kończą się błędem próbując się wykonać) budzi to, że w programach nie działa np. w opcji "Pomoc" podopcja (wewnętrzny link) zwrotu do "rodzinnej" strony internetowej programu - bo tu brak żadnej reakcji ze strony systemu, jakby wywołania wogóle nie było. Odnośnik do komentarza
picasso Opublikowano 5 Lutego 2013 Zgłoś Udostępnij Opublikowano 5 Lutego 2013 Podaj skan na moduły skryptowe w rejestrze. Uruchom SystemLook x64 i w oknie wklej: :reg HKEY_CLASSES_ROOT\.js /s HKEY_CLASSES_ROOT\.vbs /s HKEY_CLASSES_ROOT\ECMAScript /s HKEY_CLASSES_ROOT\ECMAScript Author /s HKEY_CLASSES_ROOT\LiveScript /s HKEY_CLASSES_ROOT\LiveScript Author /s HKEY_CLASSES_ROOT\JavaScript /s HKEY_CLASSES_ROOT\JavaScript Author /s HKEY_CLASSES_ROOT\JavaScript1.1 /s HKEY_CLASSES_ROOT\JavaScript1.1 Author /s HKEY_CLASSES_ROOT\JavaScript1.2 /s HKEY_CLASSES_ROOT\JavaScript1.2 Author /s HKEY_CLASSES_ROOT\JavaScript1.3 /s HKEY_CLASSES_ROOT\JavaScript1.3 Author /s HKEY_CLASSES_ROOT\JScript /s HKEY_CLASSES_ROOT\JScript Author /s HKEY_CLASSES_ROOT\JScript.Compact /s HKEY_CLASSES_ROOT\JScript.Compact Author /s HKEY_CLASSES_ROOT\JScript.Encode /s HKEY_CLASSES_ROOT\JSEFile /s HKEY_CLASSES_ROOT\JSFile /s HKEY_CLASSES_ROOT\JSFile.HostEncode /s HKEY_CLASSES_ROOT\VBEFile /s HKEY_CLASSES_ROOT\VBS /s HKEY_CLASSES_ROOT\VBS Author /s HKEY_CLASSES_ROOT\VBScript /s HKEY_CLASSES_ROOT\VBScript Author /s HKEY_CLASSES_ROOT\VBScript.Encode /s HKEY_CLASSES_ROOT\VBScript.RegExp /s HKEY_CLASSES_ROOT\VBSFile /s HKEY_CLASSES_ROOT\VBSFile.HostEncode /s HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755} /s HKEY_CLASSES_ROOT\CLSID\{34a13fc7-86ab-42e6-a32c-b50666f04ff9} /s HKEY_CLASSES_ROOT\CLSID\{3F4DACA4-160D-11D2-A8E9-00104B365C9F} /s HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8} /s HKEY_CLASSES_ROOT\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8} /s HKEY_CLASSES_ROOT\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8} /s HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed} /s HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58} /s HKEY_CLASSES_ROOT\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58} /s HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{3F4DACA7-160D-11D2-A8E9-00104B365C9F} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{3F4DACA7-160D-11D2-A8E9-00104B365C9F} /s HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755} /s HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{34a13fc7-86ab-42e6-a32c-b50666f04ff9} /s HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{3F4DACA4-160D-11D2-A8E9-00104B365C9F} /s HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8} /s HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8} /s HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8} /s HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed} /s HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58} /s HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58} /s HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{3F4DACA7-160D-11D2-A8E9-00104B365C9F} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{3F4DACA7-160D-11D2-A8E9-00104B365C9F} /s HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host /s HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows Script Host /s Klik w Look. . Odnośnik do komentarza
januszjmp Opublikowano 6 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2013 Rezultat skanu SystemLook: www.wklej.org/id/949077/ SystemLook.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się