jajo100 Opublikowano 30 Listopada 2013 Zgłoś Udostępnij Opublikowano 30 Listopada 2013 Zacznę od tego, że już długi czas program gmer pokazuje mi pozostałości po zmianach poczynionych przez rootkita, ale nie mam możliwości zrobienia pełnego skanu, gdyż wyskakuje blue screen, zarówno w obu trybach (normalnym i awaryjnym). Niebieski ekran śmierci pokazuje problem ze sterownikiem o ścieżce dostępu Driver: C:\Users\JAREKI~1.JAR\AppData\Local\Temp\pgriruoc.sys Podaję zestaw logów oraz to co pokazuje gmer w szybkim scanie. Dodatkowo scan z vba32 antirootkit-niestety nie udało się wysłać. Antyvirusy nie wychwytują żadnych problemów, OTL.Txt Extras.Txt checkup.txt Addition.txt FRST.txt Odnośnik do komentarza
jessica Opublikowano 1 Grudnia 2013 Zgłoś Udostępnij Opublikowano 1 Grudnia 2013 Niebieski ekran śmierci pokazuje problem ze sterownikiem o ścieżce dostępu Driver: C:\Users\JAREKI~1.JAR\AppData\Local\Temp\pgriruoc.sys Dodatkowo scan z vba32 antirootkit-niestety nie udało się wysłać. "pqriuoc.sys" to prawdopodobnie wirtualny obiekt stworzony przez GMER. Skan VBA to plik o rozszerzeniu *.html - Forum nie dopuszcza takich załączników ze względu na to, że infekcja RAMNIT/NIMNUL zaraża wszystkie pliki *.html, co mogłoby zarazić Forum. O4 - Startup: C:\Users\All Users\Adobe [2012-01-15 22:48:35 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Application Data [2006-11-02 13:59:44 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\All Users\ashampoo [2011-03-25 20:23:03 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Atheros [2011-03-25 20:23:03 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\AVG [2013-02-21 16:30:35 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\AVG10 [2011-11-30 18:08:44 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\AVG2012 [2013-08-20 20:49:10 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\AVG2013 [2013-08-20 20:33:25 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\BlackPencil [2011-04-06 18:03:54 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\BlockBreaker [2012-04-08 18:07:39 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Common Files [2010-12-05 17:52:01 | 000,000,000 | -H-D | M] O4 - Startup: C:\Users\All Users\Dane aplikacji [2007-08-06 19:35:27 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\All Users\Desktop [2006-11-02 13:59:44 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\All Users\Documents [2006-11-02 13:59:44 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\All Users\Dokumenty [2007-08-06 19:35:27 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\All Users\ezsid.dat () O4 - Startup: C:\Users\All Users\ezsidmv.dat () O4 - Startup: C:\Users\All Users\Favorites [2006-11-02 13:59:44 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\All Users\Google [2011-03-25 20:25:10 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\HP [2011-11-02 10:08:40 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\HP Product Assistant [2009-10-13 22:06:55 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\HP(737) [2011-03-25 20:26:00 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\HPSSUPPLY [2011-03-25 20:26:00 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\hpzinstall.log () O4 - Startup: C:\Users\All Users\KONAMI [2013-04-01 17:12:28 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Malwarebytes [2011-03-26 11:29:01 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Malwarebytes' Anti-Malware (portable) [2013-11-26 16:11:30 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Malwarebytes(738) [2011-03-25 20:26:00 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Menu Start [2007-08-06 19:35:27 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\All Users\MFAData [2013-11-28 22:30:24 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Microsoft [2011-06-22 21:14:32 | 000,000,000 | --SD | M] O4 - Startup: C:\Users\All Users\Microsoft(739) [2011-03-25 20:27:10 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Mozilla [2013-06-28 10:23:31 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\ntuser.pol () O4 - Startup: C:\Users\All Users\page [2011-03-26 11:29:12 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\page(741) [2011-03-25 20:27:10 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Pulpit [2007-08-06 19:35:27 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\All Users\Real [2013-07-24 14:56:17 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Real(742) [2011-03-25 20:27:18 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\RealNetworks [2013-07-24 14:56:43 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\SecTaskMan [2011-03-26 11:29:13 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\SecTaskMan(743) [2011-03-25 20:27:19 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Skype [2012-09-14 02:04:09 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Skype(744) [2011-03-25 20:27:43 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Start Menu [2006-11-02 13:59:44 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\All Users\STOPzilla! [2013-11-28 22:45:25 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Sun [2012-05-31 11:28:03 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Szablony [2007-08-06 19:35:27 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\All Users\TEMP [2013-09-23 14:55:38 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Templates [2006-11-02 13:59:44 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\All Users\Toshiba [2011-03-25 20:27:44 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\ToshibaEurope [2011-03-25 20:27:44 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Ulead Systems [2009-04-07 23:32:32 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\Ulubione [2007-08-06 19:35:27 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\All Users\Vista64 [2011-03-26 11:29:13 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\VULCAN [2011-06-12 20:28:42 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\WEBREG [2011-03-25 20:27:46 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\WildTangent [2012-04-09 17:19:48 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\WindowsSearch [2011-03-25 20:27:46 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\XP [2011-03-26 11:29:13 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\All Users\{D1D4879F-2279-49C9-AEBF-3B95C84EAA8F} [2013-02-21 16:27:02 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Default\AppData [2011-03-26 11:29:14 | 000,000,000 | -H-D | M] O4 - Startup: C:\Users\Default\AppData(747) [2011-03-25 20:33:27 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\Default\Application Data [2006-11-02 13:59:44 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Default\Dane aplikacji [2007-08-06 19:35:27 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Default\Desktop [2006-11-02 11:23:35 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Default\Documents [2011-03-26 11:29:15 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Default\Documents(748) [2011-03-25 17:29:40 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Default\Downloads [2006-11-02 11:23:35 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Default\Favorites [2006-11-02 11:23:35 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Default\Links [2006-11-02 11:23:35 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Default\Local Settings [2006-11-02 13:59:44 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Default\Menu Start [2007-08-06 19:35:27 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Default\Moje dokumenty [2007-08-06 19:35:27 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Default\Music [2006-11-02 11:23:35 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Default\My Documents [2006-11-02 13:59:44 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Default\NetHood [2006-11-02 13:59:44 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Default\NTUSER.DAT () O4 - Startup: C:\Users\Default\NTUSER.DAT.LOG () O4 - Startup: C:\Users\Default\ntuser.dat.LOG1 () O4 - Startup: C:\Users\Default\ntuser.dat.LOG2 () O4 - Startup: C:\Users\Default\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TM.blf () O4 - Startup: C:\Users\Default\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TMContainer00000000000000000001.regtrans-ms () O4 - Startup: C:\Users\Default\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TMContainer00000000000000000002.regtrans-ms () O4 - Startup: C:\Users\Default\Pictures [2006-11-02 11:23:35 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Default\PrintHood [2006-11-02 13:59:44 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Default\Recent [2006-11-02 13:59:44 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Default\Saved Games [2006-11-02 11:23:35 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\Default\SendTo [2006-11-02 13:59:44 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Default\Start Menu [2006-11-02 13:59:44 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Default\Szablony [2007-08-06 19:35:27 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Default\Templates [2006-11-02 13:59:44 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Default\Ustawienia lokalne [2007-08-06 19:35:27 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Default\Videos [2006-11-02 11:23:35 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Jarek i Ela\AppData [2011-03-25 20:18:39 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\Jarek i Ela\Contacts [2011-03-25 20:18:40 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\Jarek i Ela\Favorites [2011-03-25 20:18:40 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\Jarek i Ela\NTUSER.DAT () O4 - Startup: C:\Users\Jarek i Ela\ntuser.dat.LOG1 () O4 - Startup: C:\Users\Jarek i Ela\ntuser.dat.LOG2 () O4 - Startup: C:\Users\Jarek i Ela\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TM.blf () O4 - Startup: C:\Users\Jarek i Ela\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TMContainer00000000000000000001.regtrans-ms () O4 - Startup: C:\Users\Jarek i Ela\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TMContainer00000000000000000002.regtrans-ms () O4 - Startup: C:\Users\Jarek i Ela\Searches [2011-03-25 20:18:40 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\5. Biblia - czytanie ze zrozumieniem z odpowiedziami.pdf () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\AppData [2007-08-06 19:39:45 | 000,000,000 | -H-D | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Application Data [2012-12-29 13:37:34 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Contacts [2011-05-22 16:53:45 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Cookies [2007-08-06 19:39:36 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Dane aplikacji [2007-08-06 19:39:36 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Desktop [2013-11-28 17:39:06 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Desktopversion.txt () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Documents [2013-09-23 14:59:49 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Documents(783) [2011-12-05 20:31:38 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Downloads [2013-11-04 23:04:17 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Favorites [2013-05-31 08:34:55 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Gadu-Gadu [2011-07-02 07:59:27 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Links [2012-01-20 12:24:07 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Menu Start [2007-08-06 19:39:37 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Moje dokumenty [2007-08-06 19:39:36 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Music [2013-09-23 11:48:16 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\NetHood [2007-08-06 19:39:36 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Nowy folder [2013-11-05 19:36:31 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\ntuser.dat () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\ntuser.dat.LOG1 () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\ntuser.dat.LOG2 () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\ntuser.dat_previous () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\ntuser.dat{0f07cfa5-3091-11e0-9693-0013e821417f}.TMContainer00000000000000000001.regtrans-ms () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\ntuser.dat{0f07cfa5-3091-11e0-9693-0013e821417f}.TMContainer00000000000000000002.regtrans-ms () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\ntuser.dat{6e6cdcdc-d307-11df-b29b-0013e821417f}.TM.blf () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\ntuser.dat{6e6cdcdc-d307-11df-b29b-0013e821417f}.TMContainer00000000000000000001.regtrans-ms () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\ntuser.dat{6e6cdcdc-d307-11df-b29b-0013e821417f}.TMContainer00000000000000000002.regtrans-ms () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\NTUSER.DAT{d8932e6c-6a6f-11db-b6ab-a038f15a5785}.TxR.0 (2).regtrans-ms () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\NTUSER.DAT{d8932e6c-6a6f-11db-b6ab-a038f15a5785}.TxR.1 (2).regtrans-ms () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\NTUSER.DAT{d8932e6c-6a6f-11db-b6ab-a038f15a5785}.TxR.2 (2).regtrans-ms () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TM.blf () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TMContainer00000000000000000001 (2).regtrans-ms () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TMContainer00000000000000000001.regtrans-ms () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TMContainer00000000000000000002 (2).regtrans-ms () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TMContainer00000000000000000002.regtrans-ms () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\ntuser.dat{e994cc5f-5791-11e0-b223-0013e821417f}.TxR.0.regtrans-ms () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\ntuser.dat{e994cc5f-5791-11e0-b223-0013e821417f}.TxR.1.regtrans-ms () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\ntuser.dat{e994cc5f-5791-11e0-b223-0013e821417f}.TxR.2.regtrans-ms () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\ntuser.dat{e994cc5f-5791-11e0-b223-0013e821417f}.TxR.blf () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\ntuser.dat{e994cc60-5791-11e0-b223-0013e821417f}.TM.blf () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\ntuser.dat{e994cc60-5791-11e0-b223-0013e821417f}.TMContainer00000000000000000001.regtrans-ms () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\ntuser.dat{e994cc60-5791-11e0-b223-0013e821417f}.TMContainer00000000000000000002.regtrans-ms () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\ntuser.ini () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\pcmscan.cfg () O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Pictures [2013-11-11 17:55:48 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\PrintHood [2007-08-06 19:39:36 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Recent [2007-08-06 19:39:36 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Saved Games [2011-03-26 11:29:36 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Searches [2013-09-21 14:50:21 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\SendTo [2007-08-06 19:39:36 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Szablony [2007-08-06 19:39:37 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Ustawienia lokalne [2007-08-06 19:39:37 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Jarek i Ela.JarekiEla-PC\Videos [2011-03-31 21:07:33 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Public\Desktop [2013-11-20 13:20:52 | 000,000,000 | RH-D | M] O4 - Startup: C:\Users\Public\Documents [2011-11-22 21:38:26 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Public\Documents(797) [2011-03-25 20:18:46 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\Public\Downloads [2011-03-26 11:29:36 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Public\Favorites [2006-11-02 11:23:35 | 000,000,000 | RH-D | M] O4 - Startup: C:\Users\Public\Music [2011-03-26 11:29:36 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Public\Music(799) [2011-03-26 11:38:06 | 000,000,000 | ---D | M] O4 - Startup: C:\Users\Public\Pictures [2011-03-26 11:29:37 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Public\Videos [2011-03-26 11:29:37 | 000,000,000 | R--D | M] Wszystkie foldery są w Autostarcie! To nie jest normalne. Na rozwiązanie tego problemu musisz poczekać na @Picasso - prawdopodobnie już od poniedziałku zacznie znów pomagać po wyzdrowieniu. Log FRST Addition - jest pusty, brak w nim zawartości (jest tylko nagłówek). jessi Odnośnik do komentarza
jajo100 Opublikowano 1 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 1 Grudnia 2013 Log FRST Addition - jest pusty, brak w nim zawartości (jest tylko nagłówek). jessi Log zrobiony dziś. Addition.txt FRST.txt Odnośnik do komentarza
jajo100 Opublikowano 2 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 2 Grudnia 2013 Odświeżam temat i proszę o rozwiązanie mojego problemu, gmer znajduje 4 procesy w szybkim skanowaniu, antywirusy ich nie widzą, brak możliwości wykonania pełnego skanowania przez gmer, tak jak pisałem wyżej-wyskakuje blue screen. Proszę o sprawdzenie powyższych logów. Odnośnik do komentarza
picasso Opublikowano 3 Grudnia 2013 Zgłoś Udostępnij Opublikowano 3 Grudnia 2013 Infekcji tu nie widać. I drobna uwaga: stosowanie Rootkit Revealer MS nie ma zbyt dużego sensu, to okropnie stary program sprzed 7 lat (!). Natomiast są tu inne dziwne rzeczy w systemie. OTL wskazuje na uszkodzenie "Shell folders" (FRST tego już nie pokazuje, gdyż Farbar ukrył takie wyniki celowo). WMI nie działa poprawnie (może to kwestia niepoprawnych napraw starej infekcji ZeroAccess): ==================== Could not list processes =============== ==================== Restore Points ========================= Could not list Restore Points. Check WMI. ==================== Faulty Device Manager Devices ============= Could not list Devices. Check WMI. Poza tym, klaruje się problem pozainfekcyjny, czyli bad sektory dysku, gdyż Dziennik zdarzeń notuje: System errors: ============= Error: (11/29/2013 08:49:34 PM) (Source: disk) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Temat dysku póździej rozwiniesz w dziale Hardware. Na teraz przeprowadź następujące działania: 1. Odinstaluj skaner STOPZilla. 2. Usuń szczątki Symantec i ESET stosując w Trybie awaryjnym Windows następujące deinstalatory: Norton Removal Tool + ESET Uninstaller 3. Usuń szczątki infekcji ZeroAccess, Firefox, skanerów oraz duplikaty obiektów z numerami w nazwie. Otwórz Notatnik i wklej w nim: HKCU\...0c966feabec1\InprocServer32: [Default-shell32] ATTENTION! ====> ZeroAccess? Task: C:\Windows\Tasks\{DD552472-A185-4a0c-AC58-90AA40E9E26A}.job => C:\Windows\explorer.exe SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = S3 GAPNVWQKS; C:\Users\JAREKI~1.JAR\AppData\Local\Temp\GAPNVWQKS.exe [416640 2013-11-25] (Sysinternals - www.sysinternals.com) S3 MAODQ; C:\Users\JAREKI~1.JAR\AppData\Local\Temp\MAODQ.exe [445312 2013-11-25] (Sysinternals - www.sysinternals.com) S4 AVG Security Toolbar Service; C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe [x] S4 BTOA; C:\Users\JAREKI~1.JAR\AppData\Local\Temp\BTOA.exe [x] R0 DwProt; C:\Windows\System32\drivers\dwprot.sys [135032 2011-01-21] (Doctor Web, Ltd.) R2 sbapifs; C:\Windows\System32\DRIVERS\sbapifs.sys [66344 2013-11-19] (GFI Software) S2 Haspnt; \??\C:\Windows\system32\drivers\Haspnt.sys [x] S3 IntcAzAudAddService; system32\drivers\RTKVHDA.sys [x] S3 MEMSWEEP2; \??\C:\Windows\system32\337E.tmp [x] U4 Messenger; S1 SBRE; \SystemRoot\system32\drivers\SBREDrv.sys [x] S0 szkgfs; system32\drivers\szkgfs.sys [x] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vsmon => ""="Service" C:\Windows\System32\drivers\dwprot.sys C:\Windows\system32\Drivers\sbapifs.sys C:\Windows\system32\Drivers\sbaphd.sys C:\Windows\system32\Drivers\RKREVEAL150.SYS C:\Windows\system32\SBBD.EXE C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Local\Temp\*.exe C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Local\Mozilla C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Roaming\ArcaVirMicroScan C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Roaming\AVG C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Roaming\Azureus(768) C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Roaming\DSite C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Roaming\ExpressFiles C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Roaming\Mozilla C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Roaming\Ulead Systems(780) C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Roaming\UserTile (2).png C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Local\GDIPFONTCACHEV1 (2).DAT C:\Users\All Users\AVG C:\Users\All Users\AVG10 C:\Users\All Users\AVG2012 C:\Users\All Users\HP(737) C:\Users\All Users\Malwarebytes(738) C:\Users\All Users\Microsoft(739) C:\Users\All Users\Mozilla C:\Users\All Users\page C:\Users\All Users\page(741) C:\Users\All Users\Real(742) C:\Users\All Users\SecTaskMan(743) C:\Users\All Users\Skype(744) Folder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup Folder: C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup Reg: reg delete HKCU\Software\Classes\.exe /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /s Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\Winmgmt /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s CMD: winmgmt /verifyrepository Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 4. Zrób nowy skan FRST. Dołącz plik fixlog.txt. Ponadto, sprawdź co powie Kaspersky TDSSKiller. Jeśli coś wykryje, ustaw Skip i przedstaw raport utworzony przez narzędzie. Jeśli nic nie wykryje, log narzędzia zbędny. . Odnośnik do komentarza
jajo100 Opublikowano 3 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 3 Grudnia 2013 Zrobiłem wszystko wg instrukcji. usunąłem antyvirus stopzilla, ale on wiele infekcji wyleczył, które ostatnio mnie dopadły m innymi bonanzadeals i win32safewer czy coś podobnego-AVG jest jakiś mało skuteczny. Log w załączniku FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 3 Grudnia 2013 Zgłoś Udostępnij Opublikowano 3 Grudnia 2013 jajo100, ale popatrz do fixlog.txt, źle wkleiłeś dane w Notatniku. Wszystkie linie sklejone i same błędy wykonawcze. Proszę powtórz zadanie. Mój tekst wklejony do Notatnika musi mieć zachowane wszystkie ENTERy 1:1. Zrób nowy fixlist.txt, jeśli ENTERy nie zachowane to ręcznie popraw, dopiero po tym uruchom Fix w FRST i przedstaw wynikowy fixlog.txt oraz nowy log z FRST. usunąłem antyvirus stopzilla, ale on wiele infekcji wyleczył, które ostatnio mnie dopadły m innymi bonanzadeals i win32safewer czy coś podobnego-AVG jest jakiś mało skuteczny. Nie podany dokładny raport, nie można tego ocenić. Ale BonanzaDeals to nie jest typowa infekcja w rozumieniu "wirusowym" (dlatego nie wszystkie antywirusy to notują) tylko adware i to adware które nie wchodzi z powietrza tylko poprzez instalację użytkownika (jakiś trefny instalator aplikacji lub "asystent pobierania"), który nie jest świadomy, że instalowany program wprowadza sponsorów lub nie zauważa, że musi to odznaczać. Dlaczego poleciłam deinstalację STOPZilla: ten program był w przeszłości produktem mocno dyskusyjnym z wątpliwymi wynikami i jego aktualna dziś postać mnie nie uspakaja, ufam tylko markom nieskażonym żadnymi dziwnymi działaniami. Obecnie integruje po prostu dodatkowy silnik antywirusowy VIPRE (wcześniej to nie był program "antywirusowy"), który nie jest autorską maszyną i jest dostępny w innych produktach. Zainstalujesz jeden z popularnych AV i skaner MBAM, a STOPZilla nie będzie potrzebna... . Odnośnik do komentarza
jajo100 Opublikowano 3 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 3 Grudnia 2013 Nowe logi do sprawdzenia. Tdskiller nic nie wykazał, więc loga nie wrzucam. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 3 Grudnia 2013 Zgłoś Udostępnij Opublikowano 3 Grudnia 2013 Ten odczyt "rootkit" w GMER to prawdopodobnie nie infekcja. Tu już były na forum takie tematy fantomowych rootkitów i zawsze to zjawisko występowało na systemach Vista poniżej SP2. U Ciebie kiepski stan aktualizacji: Windows Vista Home Basic Service Pack 1 (X86) OS Language: Polish Internet Explorer Version 8 Tu powinna być pełna aktualizacja Windows, ale niestety ze względu na błędy bad sektorów na razie pominę te kroki, bo nie jest pewne czy nie skończy się na drastycznych działaniach (wymiana dysku i reinstalacja całego Windows od zera). Na teraz zajmę się tylko szybką naprawą określonych rzeczy: Nie wiem o co chodzi z dysfunkcją WMI, przeskanowane fragmenty zdają się być w porządku. Rozważam czy to przypadkiem również nie ma związku z biedą aktualizacyjną. Natomiast usterka "Shell folders" zdowodowana i załatw to (plus usunięcie drobnych wpisów dodatkowych): 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "Startup"="C:\\Users\\Jarek i Ela.JarekiEla-PC\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "Startup"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,00,52,\ 00,6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,\ 73,00,6f,00,66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,\ 00,53,00,74,00,61,00,72,00,74,00,20,00,4d,00,65,00,6e,00,75,00,5c,00,50,00,\ 72,00,6f,00,67,00,72,00,61,00,6d,00,73,00,5c,00,53,00,74,00,61,00,72,00,74,\ 00,75,00,70,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "Common Startup"="C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Startup" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SBRegRebootCleaner"=- [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DwProt] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. 2. Otwórz Notatnik i wklej w nim: Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
jajo100 Opublikowano 3 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 3 Grudnia 2013 Oto log po restarcie systemu. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2013 Zgłoś Udostępnij Opublikowano 4 Grudnia 2013 Naprawa pomyślna. W tym temacie zostały już tylko końcowe kroki oraz aktualizacja Windows, co jak mówiłam odkładamy. Teraz zajmij się tym: klaruje się problem pozainfekcyjny, czyli bad sektory dysku, gdyż Dziennik zdarzeń notuje: System errors: ============= Error: (11/29/2013 08:49:34 PM) (Source: disk) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Załóż nowy temat w dziale Hardware (dodaj też link do tego tematu, by nikt już nie prosił o raporty OTL/FRST). W temacie wstaw pełną specyfikację sprzętową (KLIK) oraz skan+SMART dysku (KLIK). . Odnośnik do komentarza
jajo100 Opublikowano 5 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 5 Grudnia 2013 Rozumiem, że folder FRST na dysku C jest do usunięcia?, są w nim wszystkie foldery ze skryptu w folderze quarantine. Zaraz założę temat z bad sektorami dysku. Dziękuje i pozdrawiam serdecznie. Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2013 Zgłoś Udostępnij Opublikowano 5 Grudnia 2013 Tak, oczywiście C:\FRST może wylecieć, a po tym miały być zadane te kroki: KLIK. Nie podałam ich z powodu istotniejszego problemu dysku na widoku. Tak więc zakładaj temat w Hardware, a gdy tam padną konkrety, które nie anulują tu podanych akcji końcowych, wrócisz do linka. . Odnośnik do komentarza
jajo100 Opublikowano 8 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2013 Witam, niestety nie mogę usunąć tego folderu, chyba że unlockerem, ale jeszcze nie próbowałem. W załączeniu screen z usuwania. nie mam uprawnień, ponowne próby bez rezultatu. W awaryjnym nie próbowałem, ale sprawdzę. Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2013 Zgłoś Udostępnij Opublikowano 9 Grudnia 2013 Otwórz Notatnik i wklej w nim: DeleteQurantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Następnie przez SHIFT+DEL wykończ resztki folderu C:\FRST. . Odnośnik do komentarza
jajo100 Opublikowano 9 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2013 Podziałało. Dziękuje. Shift+delete usunęło szereg kluczy rejestru tego typu: w załączniku. Uruchomie zaraz system pownownie, zobaczę czy system działa dobrze. PS. Czy mogę wprowadzić ostatnie kroki, czyli czyszczenie i aktualizacje wg posta powyżej?/ Temat z hardware zmierza ku końcowi, ale są problemy, gdyż jestem w tym temacie zupełnym laikiem. https://www.fixitpc.pl/topic/20676-w-urządzeniu-deviceharddisk0dr0-wystapił-zły-blok/ Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2013 Zgłoś Udostępnij Opublikowano 9 Grudnia 2013 Shift+delete usunęło szereg kluczy rejestru tego typu: w załączniku. Uruchomie zaraz system pownownie, zobaczę czy system działa dobrze. Nie ma potrzeby sprawdzać czy "system się uruchomi", gdyż to w ogóle bez związku. Tu nic z rejestru nie było usuwane. To jest folder FRST (utworzony przez FRST a nie system), w którym są tylko obiekty akcji FRST oraz kwarantanna usuwanych obiektów. Cytowane komunikaty stąd, że niektóre obiekty w C:\FRST miały atrybuty HS (ukryty systemowy), a przy kasowaniu takich obiektów system zawsze zadaje pytanie jak z obrazka. Czy mogę wprowadzić ostatnie kroki, czyli czyszczenie i aktualizacje wg posta powyżej? Z aktualizacjami się wstrzymaj, aż do jednoznacznych wypowiedzi w dziale Hardware. . Odnośnik do komentarza
jajo100 Opublikowano 4 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Stycznia 2014 Z aktualizacjami się wstrzymaj, aż do jednoznacznych wypowiedzi w dziale Hardware. Witam. W dziale hardware wg prowadzącego nie jest tak źle z dyskiem,(potwierdzają to rozmowy na pw) więc chciałbym aktualizować system jak wyżej było napisane. Mam kilka problemów związanych z systemem, tzn 1. Okno włącz lub wyłącz funkcje systemu windows jest puste-foto 2. w ukrytych aktualizacjach jak i we wszystkich nie mam aktualizacji sp1, fizycznie jest, bo system pracuje, ale go nie widać w aktualizacjach-foto jeżeli tej pierwszej nie widac w ukrytych aktualizacjach to jak odinstalować sp1?-raczej usuwac jej nie bedę prędzej format zrobię, próbuje jakoś uratować ten system. 3. Nie działają skróty zarówno stron przeglądarki jak i systemowe, oczywiście niektóre-komunikat foto 4. Próby aktualizacji sp2 bez powodzenia, Stosowanie narzedzi gotowości , fixit przerabiane, aktualizacja po prostu się cofa, teraz nie moge nawet ściągnąć tej aktualizacji łącząc się z linkiem microsoftu pobieranie zatrzymuje się, połączenie się urywa, a nigdy windows update nie proponowało jej-foto. Proszę o jakiś bezpieczny link, z którego można pobrać sp2, nawet torrent, bo przeglądarka nie aktualna z wyzej wymienionej przyczyny braku sp2. 5. Harmonogram zadań nie działa, usługa jest włączona 6. Brak możliwości zrobienia kopii zapasowej plików, oraz utworzenia punktu przywracania systemu-foto Proszę o instrukcje. Nieśmiało się przypominam, problem jest nadal nie rozwiązany-czy też mam założyć nowy temat w dziale windows? Pomocniczo dodałem log otl usług w sytemie. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Stycznia 2014 Zgłoś Udostępnij Opublikowano 11 Stycznia 2014 Temat przeniosę do działu Windows, żadna infekcja nie została tu zdowodowana, za to cała pula usterek Windows. W dziale hardware wg prowadzącego nie jest tak źle z dyskiem,(potwierdzają to rozmowy na pw) więc chciałbym aktualizować system jak wyżej było napisane. Mam kilka problemów związanych z systemem Wypowiedź Groszexxx z tematu w Hardware (KLIK): "Dysk nie jest w oplakanym stanie, pracowac na nim sie da tylko komfort moze byc kiepski. Druga sprawa, ze jego stan moze sie pogarszac.". Ryzykowny biznes pracować na takim dysku, nie wiadomo kiedy system odmówi posłuszeństwa i utracisz niespodziewanie dane. Przypominam też, że zostały wykryte złe bloki, konsekwencją może być aktualne poważne uszkodzenie określonych sfer Windows uniemożliwiające przejście dalej. Tu być może klaruje się reinstalacja Vista od zera (o ile to jest wykonalne, nie wiadomo jak się zachowa instalator). Jest conajmniej jeden poważnie uszkodzony obszar Windows i nie wiadomo jak bardzo: 1. Okno włącz lub wyłącz funkcje systemu windows jest puste-foto vs. 4. Próby aktualizacji sp2 bez powodzenia, Stosowanie narzedzi gotowości , fixit przerabiane, aktualizacja po prostu się cofa, teraz nie moge nawet ściągnąć tej aktualizacji łącząc się z linkiem microsoftu pobieranie zatrzymuje się, połączenie się urywa, a nigdy windows update nie proponowało jej-foto. Proszę o jakiś bezpieczny link, z którego można pobrać sp2, nawet torrent, bo przeglądarka nie aktualna z wyzej wymienionej przyczyny braku sp2. Puste okno komponentów to typowy znak uszkodzenia komponentów Windows, a możliwości od groma (uszkodzone lub brakujące pliki, uszkodzone lub zdekompletowane pakiety aktualizacji, wadliwe wpisy rejestru etc). Uszkodzenia komponentów są przyczyną niemożności aktualizacji. Na razie nie wiadomo jak wielkie to uszkodzenia i gdzie. Wstępnie należy ocenić sytuację przy udziale "Narzędzia analizy gotowości aktualizacji systemu", którego pracy nie przedstawiłeś (narzędzie generuje log). I nie szukaj linków do SP2, inne miejsce pobierania niż oficjalne nic nie zmieni, nie spowoduje że SP2 się zainstaluje, a ponadto Twoje kłopoty z łączeniem mogą być znakiem uszkodzeń. Dostarcz następujące materiały: 1. Nie wiem kiedy ostatni raz Narzędzie analizy gotowości aktualizacji systemu zostało użyte, toteż uruchom je ponownie i poczekaj aż ukończy pracę. Opowiadasz o problemach z pobieraniem tego narzędzia: - Skoro było użyte choć raz, to powinieneś mieć je już na dysku. Szukaj pliku o nazwie zawierającej "KB947821". Najnowsza wersja to plik Windows6.0-KB947821-v32-x86.msu. - Jeśli pliku nie ma już na dysku, pobierz narzędzie (tylko z oficjalnego linka, żadnych innych hostingów: KLIK) z poziomu innego komputera i zapisz na pendrive, z którego je uruchomisz na systemie zdefektowanym. 2. Następnie wywołaj sprawdzanie integralności plików Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow 3. Gdy powyższa komenda ukończy działanie, skopiuj na Pulpit cały folder C:\Windows\Logs\CBS (w nim będzie też raport Checksur), spakuj do ZIP, shostuj gdzieś i podaj link do paczki. Są problemy z pobieraniem, z uploadem pewnie też, toteż via pendrive podpięty do dowolnego dostępnego systemu. Nie mogę obiecać szybkiej analizy. Materiały są spore, analiza zaawansowana. W zależności od tego co się ujawni w raportach: albo będzie naprawa, albo zalecenie reinstalacji Windows. 2. w ukrytych aktualizacjach jak i we wszystkich nie mam aktualizacji sp1, fizycznie jest, bo system pracuje, ale go nie widać w aktualizacjach-foto jeżeli tej pierwszej nie widac w ukrytych aktualizacjach to jak odinstalować sp1?-raczej usuwac jej nie bedę prędzej format zrobię, próbuje jakoś uratować ten system. Prawdopodobnie posiadasz gotową edycję Vista SP1, co oznacza, że pakiet jest trwale zintegrowany z systemem i nie ma możliwości jego "deinstalacji". Tu nie ma nic dziwnego. I pakiet SP1 i tak jest wymagany, by móc zainstalować wyższą aktualizację SP2. Dodatki Service Pack dla Vista nie działają wymiennie i nie zastępują się. 3. Nie działają skróty zarówno stron przeglądarki jak i systemowe, oczywiście niektóre-komunikat foto Prawdopodobnie uszkodzony któryś plik. To wykaże zadany skan SFC. 5. Harmonogram zadań nie działa, usługa jest włączona SRV - [2008-01-19 08:36:53 | 001,013,760 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\wevtsvc.dll -- (Eventlog) SRV - [2010-11-06 12:09:57 | 000,603,648 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\schedsvc.dll -- (Schedule) Usługa, jak i jej nadrzędna zależność (Dziennik zdarzeń), owszem czynne. Opisz dokładnie jak objawia się niedziałający Harmonogram, co się pokazuje i gdzie. Na wszelki wypadek sprawdź czy nie jest zdefiniowany w rejestrze klucz "Internet", jego obecność blokuje Harmonogram: KLIK. Nie jest też wykluczone, że uszkodzenia plików tu występują. Na razie oczekuję na materiały SFC / CBS. 6. Brak możliwości zrobienia kopii zapasowej plików, oraz utworzenia punktu przywracania systemu-foto Wszystkie te funkcje (notabene: aktualizacje i masa innych) wymagają Harmonogramu zadań, więc przy jego dysfunkcji nie jest możliwe skorzystanie z zależnych funkcji. . Odnośnik do komentarza
jajo100 Opublikowano 13 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2014 Witam. Oto link do paczki zip: http://przeklej.net/file_details/174744.html Z tym harmonogramem to jest tak, że usługa działa ale nie może się połączyć z komputerem zdalnym w sieci. Jeszcze to opisze w kolejnym poście, gdyz teraz brak mi czasu, dodam foto. Czekam w międzyczase na analizę zip. Pozdrawiam. Edytowane Otóż okazało się, że miałem ten klucz Internet, został usunięty, znalazłem również wwdc, który był w folderze z zablokowanymi portami został wyrzucony: Także harmonogram działa, kopie bezpieczeństwa i punkty przywracania systemu również, nie działa okno włącz i wyłącz funkcje systemu windows, oraz brak możliwości otwierania skrótów np internetowych, np robię skrót strony na pulpit nie otwiera się, w oknie windows anytime upgrade- wchodząc w pomoc, czy ta kopia systemu jest legalna? pojawia się komunikat: Z plikiem tym nie jest skojarzony program umożliwiający wykonanie tej czynności. Skojarz odpowiedni program używając apletu Ustaw skojarzenia w Panelu Sterowania. Jak to naprawić?. Klikając na skrót prawym i ustawiając otwórz za pomocą internetu, nic to nie daje. Odnośnik do komentarza
picasso Opublikowano 30 Stycznia 2014 Zgłoś Udostępnij Opublikowano 30 Stycznia 2014 Niestety muszę Cię prosić o przehostowanie materiałów gdzie indziej: "nie może odnaleźć serwera www.przeklej.net". Otóż okazało się, że miałem ten klucz Internet, został usunięty, znalazłem również wwdc, który był w folderze z zablokowanymi portami został wyrzucony: Także harmonogram działa, kopie bezpieczeństwa i punkty przywracania systemu również Jeden problem owszem z głowy, ale reszta problemów jest związana z omawianymi wcześniej uszkodzeniami, których zakres dopiero muszę ocenić. . Odnośnik do komentarza
jajo100 Opublikowano 30 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 30 Stycznia 2014 Dodam dwa rózne na wszelki wypadek. http://www.supershare.pl/?d=BFD34AD12 http://www.sendspace.pl/file/f0d523f89a9ae9b255e8287 Odnośnik do komentarza
picasso Opublikowano 25 Lutego 2014 Zgłoś Udostępnij Opublikowano 25 Lutego 2014 Temat - jak wzmiankowałam wcześniej - przenoszę do działu Windows, bo tu tematyka daleka od infekcji. Jeśli chodzi o wyniki SFC, to był tylko jeden rekord: 2014-01-04 18:43:53, Info CSI 000001a1 [sR] Repairing corrupted file [ml:520{260},l:82{41}]"\??\C:\Windows\System32\LogFiles\Firewall"\[l:20{10}]"mpssvc.dat" from store Natomiast Twój raport checksur.log wskazuje na uszkodzenia Packages od łaty KB963027, które są nienaprawialne ze względu na braki następujących plików naprawczych: ================================= Checking System Update Readiness. Binary Version 6.0.6002.23186 Package Version 22.0 2014-01-13 16:17 Checking Windows Servicing Packages Checking Package Manifests and Catalogs (f) CBS MUM Corrupt 0x800F080D servicing\Packages\Package_2_for_KB963027~31bf3856ad364e35~x86~~6.0.1.1.mum Line 1: Checking Package Watchlist Checking Component Watchlist Checking Packages Checking Component Store Summary: Seconds executed: 1225 Found 1 errors CBS MUM Corrupt Total count: 1 Unavailable repair files: servicing\packages\Package_2_for_KB963027~31bf3856ad364e35~x86~~6.0.1.1.mum servicing\packages\Package_2_for_KB963027~31bf3856ad364e35~x86~~6.0.1.1.cat Checking CoreOS key for repairing corruptions. Winner version: 6.0.6001.18000. Processor architecture: x86. Check key to be repaired: wcm://Microsoft-Windows-CoreOS?version=6.0.6001.18000&language=neutral&processorArchitecture=x86&publicKeyToken=31bf3856ad364e35&versionScope=nonSxS&scope=allUsers\metadata\elements\ComputerName Recreated value: @_type. Recreated value: @dataOnly. Recreated value: @default. Recreated value: @description. Recreated value: @displayName. Recreated value: @handler. Recreated value: @legacyName. Recreated value: @legacyType. Recreated value: @migrate. Recreated value: @scope. Recreated value: @xsd:type. 1. Wyekstraktowałam 32-bitową łatę KB963027 dla Vista. Przesyłam pliki *.cat + *.mum wymagane do naprawy: KLIK. Wszystkie pliki umieść w katalogu C:\Windows\Temp\CheckSur\Servicing\Packages. 2. Uruchom ponownie "Narzędzie analizy gotowości aktualizacji systemu" i przedstaw wynikowy C:\Windows\Logs\CBS\checksur.log. Zmień ręcznie plikowi rozszerzenie z *.log na *.txt, by wszedł w załączniki forum. . Odnośnik do komentarza
jajo100 Opublikowano 25 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 25 Lutego 2014 Witam. Nie ma u mnie takiej ścieżki C:\Windows\Temp\CheckSur\Servicing\Packages. Jest C:\Windows\temp Czy mam wrzucić te pliki w powyższą ścieżkę?. Punkt 2 nie wykonalny bez 1. Znalazłem servicing\Packages poza tą ścieżką, ale czy to ten, nie wiem. Screen. Odnośnik do komentarza
picasso Opublikowano 25 Lutego 2014 Zgłoś Udostępnij Opublikowano 25 Lutego 2014 C:\Windows\Servicing z obrazka to nie ten. Tu chodzi o katalog tymczasowy C:\Windows\Temp\CheckSur\Servicing od "Narzędzia analizy gotowości aktualizacji systemu" używany do naprawy. Skoro w Temp brak tego folderu, uruchom to narzędzie ponownie, poczekaj aż skończy skan, wyszukaj folder C:\Windows\Temp\CheckSur\Servicing\Packages i wklej w nim przesłane pliki. Następnie ponownie uruchom narzędzie i przedstaw wynikowy log. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się