jarring Opublikowano 20 Lutego 2013 Zgłoś Udostępnij Opublikowano 20 Lutego 2013 Witam, długo szukałam pomocy dla mojego problemu, przez przypadek wpadłam na Wasze forum, które w sposób profesjonalny pomagało technicznym laikom. Nie ukrywam, że to chyba ostatnia deska ratunku przed wizytą w serwisie, ponieważ jestem z tych "zielonych", dlatego też zwracam się o pomoc. Mój problem był już wcześniej opisywany na forum, mianowice: Vaio Care wykrył błąd, który mówi o niemożności uruchomienia centrum zabezpieczenia Windows. Cóż w takim wypadku powinnam zrobić, jakie pliki załączyć i skąd je wziąć by móc rozwiązać mój problem? Aleksandra Oczywiście poniżej załączam logi: Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2013 Zgłoś Udostępnij Opublikowano 21 Lutego 2013 Co to za "FIX.REG" był tu stosowany? Mój problem był już wcześniej opisywany na forum, mianowice: Vaio Care wykrył błąd, który mówi o niemożności uruchomienia centrum zabezpieczenia Windows. W systemie działa infekcja, która powoduje wyłączenie Centrum: [2013-01-22 20:31:15 | 000,118,784 | RHS- | C] () -- C:\Windows\SysWow64\clipk.dll[2013-01-22 20:31:15 | 000,000,316 | ---- | C] () -- C:\Windows\tasks\Hreuidfcns.job Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, BabylonObjectInstaller, Browser Manager. I za dużo antywirusów, działa wspólnie Avast + FileMedic. Odinstaluj FileMedic, wiary w nim pokładać nie można. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\tasks\Hreuidfcns.job C:\Windows\SysWow64\clipk.dll C:\Users\Aleksandra\AppData\Roaming\OpenCandy :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=0&systemid=2&apn_dtid=IME002&apn_ptnrs=AG2&o=APN10641&apn_uid=9621822162464408&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=0&systemid=2&apn_dtid=IME002&apn_ptnrs=AG2&o=APN10641&apn_uid=9621822162464408&q={searchTerms}" IE - HKU\S-1-5-21-746655809-3196509524-1674948232-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110823&tt=120912_cpc_3912_6&babsrc=SP_ss&mntrId=246c58f300000000000084a6c809c5d2" IE - HKU\S-1-5-21-746655809-3196509524-1674948232-1000\..\SearchScopes\{79F994C6-82B9-4459-BAD9-CB12F55470A5}: "URL" = "http://search.aol.pl/aol/search?s_it=tb50winamp&q={searchTerms}" IE - HKU\S-1-5-21-746655809-3196509524-1674948232-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=0&systemid=2&apn_dtid=IME002&apn_ptnrs=AG2&o=APN10641&apn_uid=9621822162464408&q={searchTerms}" FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll File not found FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{58bd07eb-0ee0-4df0-8121-dc9b693373df}: C:\ProgramData\Browser Manager\2.6.1123.78\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension [2013-01-31 21:08:47 | 000,000,000 | ---D | M] O2:64bit: - BHO: (no name) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - No CLSID value found. O2 - BHO: (no name) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKU\S-1-5-21-746655809-3196509524-1674948232-1000..\Run: [AdobeBridge] File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "BrowserMngr Start Page"=- "Secondary Start Pages"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- "BrowserMngrDefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom Autoruns i w karcie Scheduled Tasks usuń zadanie o nazwie Hreuidfcns. Sprawdź też czy nie ma zadań związanych z OpenCandy. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Włącz funkcje zdeaktywowane przez malware: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Windows Defender nie będzie tu włączany celowo = przy antywirusach jest zbędny. Ochrona systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików" 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Wypowiedz się co zrobiono w Autoruns. . Odnośnik do komentarza
jarring Opublikowano 21 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2013 Witam ponownie, a zatem - odinstalowałam następujące adware: Babylon toolbar on IE, BabylonObjectInstaller, Browser Manager. Mam problem z FileMedic, po trzecim podejściu przełożyłam skasowanie programu "na potem", ze względu na brak reakcji w ciągu 15 minut na pasku deinstalacji. Skrypt wykonany, restart zatwierdzony. W Autoruns znalazlam Hreuidfcns - usnęłam. Nie zauważyłam żadnych zadań związanych z OpenCandy. Tryb uruchamiania w "Centrum zabezpieczeń" + "Przywrócenie systemu (...)" również wykonane. Poniżej otrzymane logi: Dodam tylko, że po restarcie, otrzymałam na pulpicie błąd - dołączam w załączniku. Aleksandra AdwCleanerS2.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2013 Zgłoś Udostępnij Opublikowano 22 Lutego 2013 Zadania pomyślnie wykonane. Zostały do wykonania poprawki: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google] [-HKEY_CURRENT_USER\Software\Google] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Aleksandra\AppData\Local\Google C:\Users\Aleksandra\AppData\Roaming\mozilla C:\Windows\DeleteOnReboot.bat Klik w Wykonaj skrypt. 3. Deinstalacja FileMedic. Spróbuj jeszcze raz. 4. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dodam tylko, że po restarcie, otrzymałam na pulpicie błąd - dołączam w załączniku. Sprawa nie związana z prowadzonymi tu działaniami. Ten błąd oznacza wyrejestrowane biblioteki skryptowe Windows. Widzę w systemie zainstalowany McAfee Online Backup. Czy przypadkiem nie było tu również wcześniej i antywirusa tej firmy? Dodaj skan pod kątem bibliotek Windows. Uruchom SystemLook x64 i w oknie wklej: :reg HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{34a13fc7-86ab-42e6-a32c-b50666f04ff9}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{34a13fc7-86ab-42e6-a32c-b50666f04ff9}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32 Klik w Look. . Odnośnik do komentarza
jarring Opublikowano 22 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2013 Witaj, zastosowałam wszystkie kroki i udało się - FIleMedic odpalił bez problemu i deinstalacja została zakończona pomyślnie. Przyznaję, że jest możliwe, że antywirus McAfee był zainstalowany. Informacje w załącznikach. Aleksandra Chyba dzięki temu możemy zauważyć, że to pewne.. SystemLook.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2013 Zgłoś Udostępnij Opublikowano 22 Lutego 2013 jarring, do uzupełniania posta, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty powyżej skleiłam razem.Zadania wykonane, przez nieuwagę ominęłam ten folder i przez SHIFT+DEL go dokasuj: C:\Program Files (x86)\mozilla firefox. Przejdźmy do sprawy z aparatem skryptów. Wg raportu z SystemLook są dwa programy filtrujące aparat skryptów: Avast oraz niewątpliwie odpadki po McAfee. Te wpisy stanowią podstawowy problem: [HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32](Unable to open key - key not found)[HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32]@="C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20120924173812.dll""ThreadingModel"="Both"[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32]@="C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20120924173812.dll""ThreadingModel"="Both" Wykonaj następujące działania:1. Korekta kluczy {B54F3741-5B07-11cf-A4B0-00AA004A55E8}: 1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. Wyszukaj klucze:HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}Z prawokliku pobierz Uprawnienia. Jako Właściciela przestaw z TrustedInstaller na Administratorów, następnie na liście zaznacz Administratorów i przyznaj im Pełną kontrolę. Porównawczo materiał: KLIK.2. Wejdź do podklucza:HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32Dwuklik na wartość (Domyślną) i zamień ścieżkę na C:\Windows\system32\vbscript.dll.Wejdź do klucza:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32Dwuklik na wartość (Domyślną) i zamień ścieżkę na C:\Windows\SysWOW64\vbscript.dll. 2. Korekta klucza {16d51579-a30b-4c8b-a276-0ff4dc41e755}. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wklej komendę:regsvr32 jscript9.dll3. Zresetuj system i zrób nowy log SystemLook na warunki::regHKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32. Odnośnik do komentarza
jarring Opublikowano 22 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2013 Mam problem już z pierwszym krokiem, mianowicie przy korekcie kluczy przeszkoda: Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2013 Zgłoś Udostępnij Opublikowano 22 Lutego 2013 Czy Właściciel został przestawiony na Administratorów? I należy przetworzyć klucz rekursywnie, tzn. Zaawansowane > Uprawnienia > zaznaczone "Zastąp wszystkie uprawnienia obiektów podrzędnych..." . Odnośnik do komentarza
jarring Opublikowano 22 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2013 Przy zrestartowaniu komputera nie pojawił się ani problem pierwotny, ani ten, który wystąpił podczas procesu naprawy. Poniżej Log: SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2013 Zgłoś Udostępnij Opublikowano 22 Lutego 2013 Źle zedytowałaś oba klucze, wstawiłaś kropki na końcu ścieżki: C:\Windows\system32\vbscript.dll. C:\Windows\SysWOW64\vbscript.dll. Kropka to był koniec zdania a nie część nazwy. Poprawiaj w obu kluczach {B54F3741-5B07-11cf-A4B0-00AA004A55E8} i podaj nowy log z SystemLook na warunek: :reg HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32 . Odnośnik do komentarza
jarring Opublikowano 22 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2013 Spokojnie, zdaję sobie przecież z tego sprawę, po prostu zapędziłam się z kopiowaniem. Kropki usunęłam, poniżej log: SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2013 Zgłoś Udostępnij Opublikowano 22 Lutego 2013 Wszystko poprawnie. Kończymy: 1. Przywróć uprawnienia pierwotne obu kluczy. Dodatkowo, asekuracyjnie jeszcze przerejestruj całą bibliotekę vbscript.dll. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wklej komendy: regsvr32 vbscript.dll C:\Windows\SysWOW64\regsvr32.exe C:\Windows\SysWOW64\vbscript.dll 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, Autoruns do Twojej decyzji zostawiam (może Ci się przydać do zarządzania startem). 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj wszystkie Java i wtyczki Adobe, zastąp najnowszymi: KLIK. Wg raportu obecnie masz zainstalowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86417001FF}" = Java 7 Update 1 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217001FF}" = Java 7 Update 1"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera) Adobe Flash w wersji 11.5.502.149 . Odnośnik do komentarza
jarring Opublikowano 22 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2013 Jestem ogromnie wdzięczna, zaiste.. profesjonalna pomoc w każdym calu. Będę polecać wszystkim znajomym. Dziękuję i do usłyszenia. Odnośnik do komentarza
Rekomendowane odpowiedzi