kasownik Opublikowano 11 Stycznia 2013 Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 Witam! Komputer z Win XP HE. Nie otwiera sie strona WU, strony microsoft i np. ESET. Wylaczaja sie uslugi "automatyczna aktualizacja" i "usluga aktualizacji w tle" Cos siedzi w systemie ale arcavir tego nie znajduje OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2013 Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 I owszem, infekcja. Siedzą ukryte wpisy, widać je w GMER oraz OTL. 1. Przejdź w Tryb awaryjny Windows. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - [2013-01-09 10:25:43 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\Documents and Settings\NetworkService\Dane aplikacji\cjuhh.dll -- (yodky) SRV - [2013-01-07 10:21:59 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\Program Files\Movie Maker\cjuhh.dll -- (weqbn) SRV - [2008-04-14 22:50:36 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cjuhh.dll -- (mkgnqesox) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\INSTALL\GMSIPCI.SYS -- (GMSIPCI) NetSvcs: yodky - File not found NetSvcs: weqbn - File not found NetSvcs: mkgnqesox- File not found :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "2597:TCP"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny. 2. Zrób nowy log GMER oraz OTL na warunku dostosowanym: w sekcji Własne opcje skanowania / skrypt wklej słowo netsvcs i klik w Skanuj (a nie Wykonaj skrypt!). Dołącz log z usuwania OTL z punktu 1. . Odnośnik do komentarza
kasownik Opublikowano 14 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 14 Stycznia 2013 Skrypt wykonany, komputer sie zrestartowal. Windows nie wstal w trybie normalny i awaryjnym. Podniosl sie dopiero po wybraniu ostatniej dobrej konfiguracji. W otoczeniu sieciowym nie widac rozniez karty sieciowej, chociaz w menadzerze urzadzen jest widoczna, zainstalowana i uruchomiona. Nie mozna tez recznie uruchomic uslug np. transfer w tle lub automatyczne aktualizacje (wyskakuje blad,ze nie odpowiadaja na sygnal sterujacy), ktore przed wykonaniem skryptu recznie startowaly. W zalacznikach log z wykonania skryptu i zamowione. Gmer napisal, ze nic nie znalazl i nie stworzyla logu. Extras.Txt OTL.Txt 01142013_082942.log.txt Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Log z OTL nie został zrobiony na ustawieniu o którym mówiłam. Nie wszystko usunięte, użycie Ostatniej poprawej konfiguracji odwróciło określone zmiany. Poprawki: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\NetworkService\Dane aplikacji\cjuhh.dll -- (yodky) SRV - File not found [Auto | Stopped] -- C:\Program Files\Movie Maker\cjuhh.dll -- (weqbn) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\cjuhh.dll -- (mkgnqesox) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\INSTALL\GMSIPCI.SYS -- (GMSIPCI) :Commands [emptytemp] Klik w Wykonaj skrypt. 2. Zrób nowy log OTL na warunku o jakim mówiłam: OTL na warunku dostosowanym: w sekcji Własne opcje skanowania / skrypt wklej słowo netsvcs i klik w Skanuj (a nie Wykonaj skrypt!). . Odnośnik do komentarza
kasownik Opublikowano 17 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 Instrukcje wykonane, skanowanie z podana komenda wykonane. Logi w zalaczniku. OTL.Txt 01172013_122819.log.txt Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2013 Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 Ten skrypt był na pewno uruchamiany tylko raz? W logu OTL były obiekty zadane do usuwania, a skrypt nic z tego nie zobaczył, wszystko "not found", obiektów w nowym skanie OTL rzeczywiście już nie ma. Nowy log OTL konsekwentnie nie ma skanowania niedomyślnego na frazę netsvcs, nie ma takich odczytów logu. Jak Ty ten skan robisz? . Odnośnik do komentarza
kasownik Opublikowano 17 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 Tak, skrypt byl wykonywany tylko raz, za pierwszym razem o ile pamietam bylo podobnie . Wydawalo mi sie, ze w napisach listowanych podczas skanowania bylo od czasu do czasu "not found" Skanowanie robie nastepujaco. W pole "Wlasne opcje skanowania/skrypt" wklejam z maila fraze netsvcs. Klikam skanuj, czekam na log. Cos robie nie tak W trakcie skanowania netsvcs z okienka, w pewnym momencie znika. Odnośnik do komentarza
picasso Opublikowano 19 Stycznia 2013 Zgłoś Udostępnij Opublikowano 19 Stycznia 2013 Podaj zamiennie inny skan. Uruchom SystemLook i w oknie wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost /s Klik w Look. . Odnośnik do komentarza
kasownik Opublikowano 7 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2013 Przepraszam, za tak dlugi brak odzewu, ale przyplatala mi sie grypka SystemLook 30.07.11 by jpshortstuff Log created at 16:16 on 07/02/2013 by Admin Administrator - Elevation successful ========== reg ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost] "HTTPFilter"="HTTPFilter" "LocalService"="Alerter WebClient LmHosts RemoteRegistry upnphost SSDPSRV" "NetworkService"="DnsCache" "DcomLaunch"="DcomLaunch TermService" "rpcss"="RpcSs" "imgsvc"="StiSvc" "termsvcs"="TermService" "eapsvcs"="eaphost" "dot3svc"="dot3svc" "HPZ12"="Pml Driver HPZ12 Net Driver HPZ12" "hpdevmgmt"="hpqcxs08" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\DComLaunch] "CoInitializeSecurityParam"= 0x0000000001 (1) "DefaultRpcStackSize"= 0x0000000008 (8) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\dot3svc] "AuthenticationCapabilities"= 0x0000003020 (12320) "CoInitializeSecurityParam"= 0x0000000001 (1) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\eapsvcs] "AuthenticationCapabilities"= 0x0000003020 (12320) "CoInitializeSecurityParam"= 0x0000000001 (1) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\HTTPFilter] "CoInitializeSecurityParam"= 0x0000000001 (1) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\LocalService] "CoInitializeSecurityParam"= 0x0000000001 (1) "AuthenticationCapabilities"= 0x0000002000 (8192) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs] "CoInitializeSecurityParam"= 0x0000000001 (1) "AuthenticationCapabilities"= 0x0000003020 (12320) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\PCHealth] "CoInitializeSecurityParam"= 0x0000000002 (2) "AuthenticationCapabilities"= 0x0000000040 (64) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\termsvcs] "CoInitializeSecurityParam"= 0x0000000001 (1) "DefaultRpcStackSize"= 0x0000000008 (8) -= EOF =- Odnośnik do komentarza
picasso Opublikowano 8 Lutego 2013 Zgłoś Udostępnij Opublikowano 8 Lutego 2013 Sprawa wyjaśniona. Twój system ma uszkodzenie, czyli zupełny brak wartości netsvcs, dlatego skan OTL nie może pobrać tych danych. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\ 6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\ 00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\ 53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\ 00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\ 76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\ 49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\ 00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\ 76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\ 00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\ 73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\ 00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\ 00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\ 00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\ 74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\ 00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\ 63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\ 00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\ 4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\ 00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\ 00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\ 00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\ 32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\ 00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\ 00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\ 00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,6e,00,\ 61,00,70,00,61,00,67,00,65,00,6e,00,74,00,00,00,68,00,6b,00,6d,00,73,00,76,\ 00,63,00,00,00,42,00,49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,00,\ 65,00,72,00,76,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,\ 00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,00,\ 73,00,76,00,63,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,\ 00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Zresetuj system. 2. Zrób nowy log SystemLook na warunek: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost . Odnośnik do komentarza
kasownik Opublikowano 8 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 8 Lutego 2013 Zastosowane. System po restarcie odpalil sie szybciej, pojawila sie karta sieciowa w "Wyswietl polaczenia sieciowe". Windows Update, rowniez sie otwiera. Mam uznac, ze wszystko jest ok, czy cos mam jeszcze zrobic? Odnośnik do komentarza
picasso Opublikowano 8 Lutego 2013 Zgłoś Udostępnij Opublikowano 8 Lutego 2013 To kończymy: 1. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Sprawdź czy Google Chrome oraz Adobe Flash Player dla Internet Explorer masz najnowsze: KLIK. 4. Na dalszą metę zastanowiłabym się czy ArcaVir to dobry pomysł. . Odnośnik do komentarza
kasownik Opublikowano 8 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 8 Lutego 2013 1. zrobione 2. zrobione 3. flash w IE zaktualizowany, w chrome starsza wersja. 4. komp nalezy do szkoly, firma arcabit oferuje dla szkół pakiet za pare zlotych na wszystkie komputery i serwery w szkole, mało ktora jest sie w stanie oprzec, czasami nauczone doswiadczeniem daja sie namowic na ESET'a. dziekuje bardzo za pomoc i pozdrawiam serdecznie Odnośnik do komentarza
Rekomendowane odpowiedzi