CSRalf Opublikowano 25 Lutego 2014 Zgłoś Udostępnij Opublikowano 25 Lutego 2014 Witam przy starcie systemu wyskakuje mi błąd windows.exe jednak bez treści oraz przy otwieraniu poniektórych pików wyskakuje mi błąd "Obecnie nie masz uprawnień dostępu do tego folderu." Juz była próba naprawy : http://forum.pclab.pl/topic/945801-Windows-8Problem-z-NTKernel/ w linku są wszystkie potrzebne logi Odnośnik do komentarza
picasso Opublikowano 25 Lutego 2014 Zgłoś Udostępnij Opublikowano 25 Lutego 2014 Link do poprzedniego tematu dołączony i OK, bo tego wymagam. Ale wymagam także kompletu bieżących logów zrobionych z chwili obecnej. Proszę stwórz ponownie logi z wszystkich wymaganych tu programów: FRST, OTL i GMER. Raporty dołącz jako załączniki forum a nie na hostingach. Od razu powiem, że zaatakowała Cię paskudna infekcja MSIL/Injector.CPM. Próba dotykania niektórych obiektów (infekcji per se, systemu oraz programów) podczas gdy jest czynna powoduje reset uprawnień obiektu (są całkowicie wymazywane). Stąd trudność w usuwaniu wpisów, blokady dostępu, a nawet w raporty nie można wierzyć do końca (jeśli zostanie wymazany dostęp gdzieś, obiekt może pozornie "zniknąć" z widoku w raporcie). Dodatkowo: infekcja wyłącza Harmonogram zadań Windows (padają wszystkie istotne funkcje egzekwowane Harmonogramem). . Odnośnik do komentarza
CSRalf Opublikowano 25 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 25 Lutego 2014 Wybacz juz dołączam aktualne raporty. logiGMER.txt logiFRST.txt logiOTL.Txt ExtrasOTL.Txt AdditionFRST.txt ShortcutFRST.txt Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2014 Zgłoś Udostępnij Opublikowano 26 Lutego 2014 Wstępna uwaga: kierowałam do przyklejonego tematu z linkiem bezpośrednim GMER z jego strony domowej! Dlaczego GMER został pobrany okrężnie via portal (wygląda na dobreprogramy.pl)? Na dysku jest plik C:\Users\Robert\Downloads\Gmer(13252).exe. To nie jest GMER tylko śmieć "Asystent pobierania" ładujący adware. Na dodatek, adware FindRight zostało przeinstalowane zaraz po pobraniu tego śmiecia, co wskazuje, że załatwiłeś się ponownie tym asystentem. Więcej na temat pobierania z dobrychprogramów i innych: KLIK. Unikać, nie pobierać stamtąd i tyle. Wszystkie poniżej podane programy mają być pobrane z linków, które podaję, a nie z portali. Wracając do infekcji: 1. Podaj mi uprawnienia kluczy, w których była infekcja. Uruchom MiniRegTool x64. Do okna wklej klucze: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Zaznacz List Permissions i klik w Go. Powstanie plik Result.txt. 2. Zgłaszasz problem zablokowanych programów. Uruchom GrantPerms x64 i w oknie wklej wszystkie ścieżki do zablokowanych folderów oraz plików wg modelu: C:\Program Files (x86)\Folder1 C:\Program Files (x86)\Folder2 C:\Program Files (x86)\Folder3\Plik C:\Program Files (x86)\Folder4\Plik etc... Oczywiście pod "FolderX" / "Plik" podstawiasz tam konkretne nazwy. Klik w Unlock. 3. Jest nowa wersja FRST z określonymi poprawkami. Pobierz z przyklejonego tematu. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-781218168-1252475549-3310685138-1002\...\Winlogon: [shell] explorer.exe,"C:\ProgramData\load32.exe" HKLM-x32\...\Runonce: [OTL] - "C:\Users\Robert\Downloads\OTL.exe" [X] HKLM\...\Policies\Explorer: [NoControlPanel] 0 BHO-x32: FindRight - {cf710881-c002-4ea4-860a-b6931b040948} - C:\Program Files (x86)\FindRight\FindRightbho.dll (FindRight) FF Plugin-x32: @perfectworld.com/npArcPlayNowPlugin - d:\Program Files\Perfect World Entertainment\Arc\Plugins\npArcPluginFF.dll No File FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK CHR Extension: (No Name) - C:\Users\Robert\AppData\Local\Google\Chrome\User Data\Default\Extensions\cflheckfmhopnialghigdlggahiomebp [2013-05-18] CHR HKCU\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Robert\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-03-26] CHR HKLM-x32\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Robert\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-03-26] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction S3 ArcService; d:\Program Files\Perfect World Entertainment\Arc\ArcService.exe [X] C:\Users\Robert\AppData\Local\CRE C:\Users\Robert\AppData\Roaming\AVG C:\Users\Robert\Downloads\Gmer(13252).exe C:\Users\Robert\Downloads\NET-Framework(12105).exe Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Schedule Reg: reg query "HKCU\Software\Microsoft\Windows Script" /s Reg: reg query "HKCU\Software\Microsoft\Windows Script Host" /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 4. Przez Panel sterowania odinstaluj adware ContinueToSave, FindRight. 5. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 6. Wyczyść Google Chrome: - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 7. Zrób nowe logi: FRST (bez Addition i Shortcut) + Farbar Service Scanner. Dołącz też pliki fixlog.txt i Result.txt. Wypowiedz się dokładnie czy są przy starcie systemu jakieś błędy, czy gdzieś jeszcze nie masz dostępu. . Odnośnik do komentarza
CSRalf Opublikowano 26 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2014 Przy starcie systemu już nie wyskakuje błąd i wydaje mi się że uzyskałem dostęp do wszystkich folderów i plików. Result.txt FSS.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2014 Zgłoś Udostępnij Opublikowano 26 Lutego 2014 Wszystko wykonane. Poprawki, w tym aktywacja Harmonogramu zadań: 1. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows Script" /f Reg: reg delete "HKCU\Software\Microsoft\Windows Script Host" /f C:\ProgramData\InstallMate Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Zresetuj system. Jest to wymagane, by odpalić Harmonogram zadań na nowo. I jest tu sprawa źródła infekcji: to musiało być w jakieś paczce z crackiem lub patchem. Trudno mi stwierdzić co konkretnie ostatnio odpalałeś i co wprowadziło infekcję. Z widzialnych rzeczy na dysku są różne świeże pobrania Minecraft, Diablo II i Witcher Patch: 2014-02-22 15:28 - 2014-02-22 15:29 - 01276661 _____ () C:\Users\Robert\Downloads\MCInstaller.rar 2014-02-20 22:02 - 2014-02-20 22:02 - 03727418 _____ (Zyczu) C:\Users\Robert\Downloads\MinecraftZyczu.exe 2014-02-15 19:54 - 2014-02-24 22:46 - 00000000 ____D () C:\Users\Robert\AppData\Local\The Witcher 2014-02-15 19:54 - 2014-02-15 23:17 - 00000000 ____D () C:\Users\Robert\Documents\The Witcher 2014-02-15 14:40 - 2014-02-15 19:49 - 00000000 ____D () C:\Users\Public\Documents\The Witcher 2014-02-15 14:02 - 2014-02-15 14:18 - 333817295 _____ () C:\Users\Robert\Downloads\wiedzmin_pl_patch_1.3.0.1198.zip 2014-02-15 14:02 - 2014-02-15 14:12 - 115624442 _____ () C:\Users\Robert\Downloads\wiedzmin_pl_patch_1.2.0.1160.zip 2014-02-15 00:17 - 2014-02-15 00:35 - 953769624 _____ (Macrovision Corporation) C:\Users\Robert\Downloads\TWEE_Upgrade.exe 2014-02-15 00:07 - 2014-02-15 00:14 - 386762750 _____ () C:\Users\Robert\Downloads\wiedzmin_pl_patch_15.zip 2014-02-15 00:06 - 2014-02-15 00:06 - 01415855 _____ () C:\Users\Robert\Downloads\8902-instalator_sciagnij.exe 2014-02-14 14:27 - 2014-02-14 23:30 - 00000000 ____D () C:\Users\Robert\Downloads\Diablo II & Diablo II LoD (Lic) Czy przypadkiem któryś z plików nie przyczynił się do wprowadzenia zarazy? Dla bezpieczeństwa pozbądź się wszystkich paczek ostatnio pobranych, które miały w zadaniu coś patchować / crackować. . Odnośnik do komentarza
CSRalf Opublikowano 26 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2014 Restart poszedł oraz usuąłem wszystkie wymienione patche, cracki i pliki Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 26 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2014 Potwierdzam wykonanie ostatniego skryptu. Upłynęło sporo czasu od poprzedniej odpowiedzi, dostosuj podane instrukcje do stanu bieżącego: 1. Przez SHIFT+DEL skasuj używane narzędzia z folderu C:\Users\Robert\Downloads\FRST. Popraw narzędziem DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Porównaj co obecnie wymaga aktualizacji: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się