Weelsof "policyjna" blokada - raport ComboFix

Supermen · 27 Grudnia 2012

Witam. Widzę po tematach że problem szeroko rozpowszechniony ostatnio. Paskudny weelsof zaatakował i mnie.

Po uruchomieniu systemu nie dało się wejść w menadżer zadań, internet explorer automatycznie chciał coś włączyć. AVG boot disc zacinał się na dysku systemowym (pewnie weel go blokował). Dopiero ComboFix zlokalizował problem i niby usunął.

Niby wszystko ok a wyskoczyło okno że nie może odnaleść czegoś związanego z plikiem 'wgsdgsdgdsgsd'. Czyli coś go jeszcze boli. No i aktualizacji np. mozilli i Comodo Internet Security nie chce przeprowadzić.

Poniżej log z ComboFixa.

Liczę na pomoc i ocenę sytuacji.

Pozdrawiam

ComboFix.txt

Anonim8 · 27 Grudnia 2012

Supermen zrób logi z OTL https://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/#1

Supermen · 28 Grudnia 2012

W załączeniu pliki z OTL. Mam nadzieje że pomogą w rozwiązaniu problemu

Przy skanowaniu OTLem antywir Comodo zasygnalizował mi jakieś zagrożenia w folderze system32. Poddałem kwarantannie bo szczerze nie wiem co to jest.

Tak na marginesie OTL stworzył plik Thumbs.db. Mogę go usunąć?

Wyskakuje mi przy starcie systemu taki komunikat (załączam jpg).

Extras.Txt

OTL.Txt

Conor29134 · 28 Grudnia 2012

Start>uruchom>msconfig>przestaw tryb uruchamiania na normalne

picasso · 26 Stycznia 2013

Temat oczyszczam z herezji (usuwanie usługi Winmgmt). Na dalszą metę zacznę po prostu wyciągać konsekwencje z łamania zasad działu.

Supermen

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
 
:OTL
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{1DA0528B-1DD8-4167-BFAF-E0EF94939F93}: C:\Program Files\Comodo\HopSurfToolbar\hopsurfext_ff3_5 [2011-02-03 22:17:12 | 000,000,000 | ---D | M]
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\rt73.sys -- (RT73)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KATARZ~1\USTAWI~1\Temp\catchme.sys -- (catchme)
[2012-12-26 11:20:21 | 000,003,022 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

2. Przez Panel sterowania odinstaluj adware Comodo HopSurf. Wyczyść też Firefox ze starych naleciałości po upgradach: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Na dysku jest masa strumieni KAVICHS po odinstalowanym starym Kasperskym:

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\wiaservc.log:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\wshnetbs.dll:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\wpa.dbl:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\wfwnet.drv:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\vga.drv:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\vga.dll:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\utildll.dll:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\unicode.nls:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\traffic.dll:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\timer.drv:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\system.drv:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\sound.drv:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\sortkey.nls:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\riched32.dll:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\olethk32.dll:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\olesvr32.dll:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\oleaccrc.dll:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\ntsdexts.dll:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\nscompat.tlb:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\netmsg.dll:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\netevent.dll:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\NeroCo.dll:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\mouse.drv:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\mmsystem.dll:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\mfc42loc.dll:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\mcicda.dll:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\mcd32.dll:KAVICHS

@Alternate Data Stream - 68 bytes -> C:\WINDOWS\System32\mapi32.dll:KAVICHS

etc.

Usuń wszystkie strumienie KAVICHS posługując się jednym z tych narzędzi: KLIK.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

Przy skanowaniu OTLem antywir Comodo zasygnalizował mi jakieś zagrożenia w folderze system32. Poddałem kwarantannie bo szczerze nie wiem co to jest.

Nie podałeś pełnej ścieżki dostępu oraz nazwy zagrożenia. Nic nie można na ten temat powiedzieć.

Tak na marginesie OTL stworzył plik Thumbs.db. Mogę go usunąć?

OTL nic nie utworzył, ten plik był od nie wiadomo jak długiego czasu. Skan OTL przestawia widoczność plików, co jest równoważne z konfiguracją w Mój komputer > Narzędzia > Opcje folderów > Widok: zaznaczone Pokaż ukryte pliki i foldery + odznaczone Ukryj chronione pliki systemu operacyjnego. To ta druga opcja uwidacznia pliku thumbs.db. Cytuję też co to są pliki thumbs.db:

Pliki Thumbs.db to bufory miniaturek, ukryte pliki generowane przez Windows wszędzie tam gdzie są pliki graficzne podglądnięte opcją widoku "Miniatury". Plik jest na Pulpicie, gdyż zapewne był tam jakiś obrazek i otwierałeś w eksploratorze folder Pulpitu w trybie widoku miniatury. Proszę, tu z mojego systemu symulacja tego zachowania, natychmiast po otworzeniu folderu Pulpitu (zawierającego obrazek) w eksploratorze na Pulpicie pojawia się ten ukryty plik:

Pliki domyślnie są ukryte i ich nie widać, ich widocznością steruje Mój komputer > Narzędzia > Opcje folderów > Widok > Ukryj chronione pliki systemu operacyjnego. Natomiast opcja, która powoduje, że pliki thumbs.db są tworzone to Mój komputer > Narzędzia > Opcje folderów > Widok > Nie buforuj miniatur. Po zaznaczeniu tej opcji można pliki ręcznie skasować z dysku i już nie będą ponownie generowane. Informacyjnie: zawartość plików można podejrzeć za pomocą darmowego programiku Thumbnail Database Viewer.

.

Supermen · 28 Stycznia 2013

Bardzo dziękuję za pomoc. Postąpiłem wg instrukcji. Zamieszczam log z OTL i czekam na ewentualne dalsze wskazówki.

OTL.Txt

picasso · 28 Stycznia 2013

Zadania wykonane, ale pojawił się znów na dysku skrót infekcji runctf.lnk. Czyli poprawka:

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Documents and Settings\Katarzyna\Menu Start\Programy\Autostart\runctf.lnk

Klik w Wykonaj skrypt.

2. Do oceny wystarczy tylko log z wynikami usuwania OTL, nowy skan zbędny. Log będzie krótki, więc wklej wprost w poście.

.

Supermen · 29 Stycznia 2013

Jeszcze raz ogromne dzięki za pomoc. Komunikat już nie wyskakuje po tym skrypcie.

A to wynik:

========== FILES ==========
C:\Documents and Settings\Katarzyna\Menu Start\Programy\Autostart\runctf.lnk moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 01292013_112640

picasso · 29 Stycznia 2013

Finalizacja tematu:

1. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w OTL uruchom Sprzątanie.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Odinstaluj wszystkie stare wersje Adobe / Java / Silverlight, zaktualizuj Firefox, Skype i Office 2007 (instalacja SP3): KLIK. Wg raportu aktualnie masz zainstalowane wersje:

========== HKEY_LOCAL_MACHINE Uninstall List ========== 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}" = Skype™ 4.0
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 26
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1033-7B44-A00000000001}" = Adobe Reader 6.0.1.4)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)
"ENTERPRISE" = Microsoft Office Enterprise 2007
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

4. Posiadasz niejako "duplikat", czyli COMODO Internet Security + Norton Internet Security. Czy to są instalacje z powójną zaporą? Jeśli tak, to "zbyt bogato". Poza tym ten COMODO nie jest zbyt świeży.

Uwaga poboczna na koniec na temat zainstalowanej pary: Gadu-Gadu 7.7 (stare, niepełnosprawne, słabo zabezpieczone) + Gadu-Gadu 10 (też już starawe, pamięciożerne, więcej reklam niż funkcji). Po co się tak męczyć. Oglądnij alternatywne lżejsze dla systemu komunikatory z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Wszystkie opisy tu: KLIK.

.

Supermen · 29 Stycznia 2013

Prawie wszystkie w/w zalecenia wykonane. Comodo nie chce mi pobrać aktualizacji. Pokazuje proces pobierania, przekracza 100% aż osiągnie 120-130 i stwierdza że nie może pobrać. Będę musiał chyba pobrać bezpośrednio z ich strony ale chciałem się poradzić czy zostać przy nim.

picasso · 29 Stycznia 2013

Nie odpowiedziałeś na pytanie jak tu jest zrobiony układ z Nortonem i które funkcje w obu pakietach są aktywne. Zainstalowane dwie wersje IS, więc pytam czy pełne spektrum możliwości. Jeśli tak, dwa pakiety wykluczone i albo Norton, albo COMODO.

.

Supermen · 29 Stycznia 2013

Norton wisiał z mojego niedopatrzenia. Skończyła się subskrypcja a program został. COMODO miał być docelowym antywirusem przez fakt iż jest darmowy.

picasso · 29 Stycznia 2013

A to w porządku. Norton jak rozumiem odinstalowany. Jeszcze w Trybie awaryjnym popraw specjalistą Norton Removal Tool. Po tym pobierz pełny instalator COMODO IS wprost ze strony, a nie systemem aktualizacji, starszy COMODO odinstaluj przed instalacją najnowszego.

.

Supermen · 1 Lutego 2013

Jeszcze raz dziękuję za pomoc. Wszystkie wskazówki zrobione no może poza uprzątnięciem gg ale jakoś nie korzystam często więc odejdzie na dalszy plan.

Pozostaje przeszukać forum i usprawnić szybkość działania bo czasami wydaje mi się że za wolno się włącza i przytnie podczas pracy. No i posiłkując się forum postawię na nogi starego IBM do diagnozy samochodu.

Szkoda że szybciej nie natrafiłem na to forum.

Pozdrawiam!

picasso · 1 Lutego 2013

Pozostaje przeszukać forum i usprawnić szybkość działania bo czasami wydaje mi się że za wolno się włącza i przytnie podczas pracy.

Do wglądu te tematy:

Optymalizacja i odchudzanie Windows XP

Optymalizacja usług w Windows XP

.

Zaloguj się

Weelsof "policyjna" blokada - raport ComboFix

Rekomendowane odpowiedzi

Supermen

Odnośnik do komentarza

Anonim8

Odnośnik do komentarza

Supermen

Odnośnik do komentarza

Conor29134

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Supermen

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Supermen

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Supermen

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Supermen

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Supermen

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność