spawciu Opublikowano 24 Września 2014 Zgłoś Udostępnij Opublikowano 24 Września 2014 Witam serdecznie Wpadł mi w ręce wyżej wspomniany netbook w celach "poprawy" działania. Ze wstępnego rozeznania wygląda na zainfekowany, przedstawiam obowiązkowe raporty do wglądu. po zalogowaniu w tryb normalny gmer zawiesza się podczas skanowania (wisi cały system), wejście w tryb awaryjny pozwoliło na całkowity skan. Natomiast FRST wywalił kilkanaście błędów, może nawet kilkadziesiąt - wszystkie o jednej treści. Screen poniżej, proszę o ocenę logów. Pozdrawiam. gmer.txt OTL.Txt Extras.Txt FRST.txt Shortcut.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 24 Września 2014 Zgłoś Udostępnij Opublikowano 24 Września 2014 Temat przenoszę do działu Windows. Tu jest dysproporcja tematyczna. W zakresie infekcji nic szczególnego tu nie widzę, jedynie adware, a i to wygląda na szczątki. Czyszczeniem tego zajmę się oczywiście, ale to nie może być przyczyna zamulenia, nie ten poziom ingerencji. Natomiast te błędy "Zły obraz" ujawnione podczas skanu FRST, punktujące systemowy plik C:\Windows\system32\gameux.dll (Eksplorator gier), wskazują na jego uszkodzenie. I tu problemem może być właśnie to: uszkodzenia plików i błędy struktury plików. Wstępnie: 1. Doczyszczanie śmieci: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] HKU\S-1-5-21-2590779885-625705641-3628964617-1000\...\Run: [Galileo] => C:\Users\mops\AppData\Local\Galileo\galileo.exe silent HKU\S-1-5-21-2590779885-625705641-3628964617-1000\...\Run: [ChomikBox] => C:\Program Files\ChomikBox\ChomikBox.exe HKU\S-1-5-21-2590779885-625705641-3628964617-1000\...\CurrentVersion\Windows: [Load] C:\Users\mops\LOCALS~1\Temp\ccvbxqouq.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.webisawsome.info/?pid=1273&r=2014/02/26&hid=2252145619122520103&lg=EN&cc=PL&unqvl=49 SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=282&systemid=406&sr=0&q={searchTerms} SearchScopes: HKLM - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisawsome.info/?l=1&q={searchTerms}&pid=1273&r=2014/02/26&hid=2252145619122520103&lg=EN&cc=PL&unqvl=49 SearchScopes: HKLM - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20111125232045430&tb_oid=25-11-2011&tb_mrud=25-11-2011 SearchScopes: HKCU - DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=282&systemid=406&sr=0&q={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=282&systemid=406&sr=0&q={searchTerms} SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisawsome.info/?l=1&q={searchTerms}&pid=1273&r=2014/02/26&hid=2252145619122520103&lg=EN&cc=PL&unqvl=49 SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20111125232045430&tb_oid=25-11-2011&tb_mrud=25-11-2011 Task: {47907409-5225-4B39-855C-0A4F218356B3} - System32\Tasks\{19EBE01D-2D09-4A78-A06C-D660BC1F9349} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?page=tsProgressBar Task: {C651269F-4441-45F2-BD1C-0AE69D9551C6} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe C:\Program Files\mozilla firefox\plugins C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Users\Public\Desktop\WinRAR.lnk C:\Users\mops\AppData\Roaming\OpenCandy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdUtility DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C670DCAE-E392-AA32-6F42-143C7FC4BDFD} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie plik fixlog.txt. Przedstaw go. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw log z czyszczenia. 2. Sprawdzanie błędów na dysku: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: chkdsk /f /r Zatwierdź uruchomienie przy następnym starcie i resetuj system, by checkdisk wykonał pracę. Wynik zostanie nagrany w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki. 3. Weryfikacja plików systemowych: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. . Odnośnik do komentarza
spawciu Opublikowano 25 Września 2014 Autor Zgłoś Udostępnij Opublikowano 25 Września 2014 Wykonane, logi mam nadzieję całe a przynajmniej sfc - w oknie "cmd" skończyło się skanowanie i zniknęło wszystko. W sumie to nawet nie jestem pewien czy się zakończyło czy tylko zniknęło. Zanim spojrzałem na ekran już była tylko sama konsola i nic więcej, żadnych komunikatów o zakończeniu działania ani temu podobne. Mam nadzieję, że nic poważnego się nie dzieje. Edycja 29.09.2014 0:37 Nie dawał mi spokoju ten log z sfc i to dziwne zakończenie czynności skanowania i wykonałem je powtórnie. Zakończtło się tym razem komunikatem, w którym była informacja o niemożności naprawy niektórych problemów wraz z odesłaniem po informacje do pliku CBS.log. Dołączam nowy log ze skanowania pod nazwą "sfc1" a także wycinek z logu CBS od momentu rozpoczęcia skanowania do jego zakończenia. Dysponuję całym logiem lecz zajmuje bardzo dużo miejsca i dotyczy wcześniejszych dat, w razie potrzeby wrzucę na wklej.org. Edycja 1:05 Zapomniałem dodać - w Process Explorer w wielu procesach po najechaniu myszką wyświetla się okno informacyjne o treści: [Error opening process], poniżej zrzut. Pozdrawiam AdwCleanerR0.txt AdwCleanerS0.txt Fixlog.txt sfc.txt wininit.txt sfc1.txt CBS wycinek.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2014 Zgłoś Udostępnij Opublikowano 1 Października 2014 Zadania czyszczące wykonane. Nie dawał mi spokoju ten log z sfc i to dziwne zakończenie czynności skanowania i wykonałem je powtórnie. Zakończtło się tym razem komunikatem, w którym była informacja o niemożności naprawy niektórych problemów wraz z odesłaniem po informacje do pliku CBS.log. Mimo początkowego komunikatu obie rundy przedstawiają te same wyniki. "Wycinek", czy tym bardziej cały CBS.log nie są mi potrzebne. Tak jak już wskazywał to błąd, plik gameux.dll jest potwierdzony jako uszkodzony i brak alternatywnych kopii w systemie: 2014-09-25 17:37:50, Info CSI 000001cb [sR] Cannot repair member file [l:20{10}]"gameux.dll" of Microsoft-Windows-GameExplorer, Version = 6.1.7601.18020, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-09-25 17:37:51, Info CSI 000001cd [sR] Cannot repair member file [l:20{10}]"gameux.dll" of Microsoft-Windows-GameExplorer, Version = 6.1.7601.18020, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-09-25 17:37:51, Info CSI 000001ce [sR] This component was referenced by [l:150{75}]"Package_1_for_KB2773072~31bf3856ad364e35~x86~~6.1.1.5.2773072-2_neutral_GDR" 2014-09-25 17:37:51, Info CSI 000001d1 [sR] Could not reproject corrupted file [ml:520{260},l:46{23}]"\??\C:\windows\System32"\[l:20{10}]"gameux.dll"; source file in store is also corrupted Podaj spis wystąpień pliku. W FRST w polu szukania wklej gameux.dll, klik w Search Files i dostarcz wynikowy log. Zapomniałem dodać - w Process Explorer w wielu procesach po najechaniu myszką wyświetla się okno informacyjne o treści: [Error opening process], poniżej zrzut. Program startowany via "Uruchom jako Administrator"? . Odnośnik do komentarza
spawciu Opublikowano 1 Października 2014 Autor Zgłoś Udostępnij Opublikowano 1 Października 2014 Dziękuję za wgląd do tematu. Skan wykonany, co do Error opening process - system odpalony z konta użytkownika a nie administratora. Programy zaś odpalam za pomocą "dwuklika" a niektóre odpalają się same gdyż są systemowe. Poniżej zrzut z zaznaczeniem pozycji z w/w błędem. Search.txt Odnośnik do komentarza
picasso Opublikowano 2 Października 2014 Zgłoś Udostępnij Opublikowano 2 Października 2014 Akcja: 1. Pobierz plik: KLIK. Umieść wprost na C:\. Również FRST.exe przenieś z folderu C:\Users\mops\Desktop\Naprawa\FRST\Nowe2 na C:\. 2. Otwórz Notatnik i wklej w nim: CMD: copy /y C:\gameux.dll C:\Windows\System32\gameux.dll CMD: copy /y C:\gameux.dll C:\Windows\winsxs\x86_microsoft-windows-gameexplorer_31bf3856ad364e35_6.1.7601.18020_none_43f8c7a01f8af8f9\gameux.dll Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 3. F8 > Napraw komputer > Wiersz polecenia > uruchom FRST: KLIK. Kliknij w Fix. 4. Zaloguj się z powrotem do Windows i dostarcz wynikowy fixlog.txt. Skan wykonany, co do Error opening process - system odpalony z konta użytkownika a nie administratora. Limitowane uprawnienia uniemożliwiają podgląd pewnych danych. Wymagany tryb "Uruchom jako Administrator". . Odnośnik do komentarza
spawciu Opublikowano 2 Października 2014 Autor Zgłoś Udostępnij Opublikowano 2 Października 2014 Wykonane, troszkę przy tym było zamieszania. W wierszu poleceń dysk C jawił się jako E, wydanie komendy uruchamiającej skrypt powodowało zniknięcie po chwili FSRT. Dysk odnalazł się następnie pod literką C i wykonanie skryptu przebiegło już normalnie. Limitowane uprawnienia uniemożliwiają podgląd pewnych danych. Wymagany tryb "Uruchom jako Administrator". W takim razie mam pytanie dotyczące powyższego: Dlaczego na moim laptopie, który też odpala się nie z wbudowanego konta administratora lecz konta użytkownika - nie mam tam: [Error opening process] w żadnym z procesów? Czy taka sytuacja jest normalna a w zasadzie na którym kompie jest normą? Oba uruchamiają się z konta uzytkowników i obaj są administratorami. Na jednym (siostry) są błędy a na moim nie, co jest nie tak? Może drążę dziurę w całym ale nie miałem jeszcze komputera z takimi wyświetleniami. Nie daje mi to spokoju. Drugą "dziwną" rzeczą jaką zauważyłem to z prawokliku "Nowy" - na dysku C mogę utworzyć tylko "Folder". Brak pozostałych elementów które normalnie są do dyspozycji np: na dysku D czy pulpicie. Zrzut poniżej. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 2 Października 2014 Zgłoś Udostępnij Opublikowano 2 Października 2014 Plik pomyślnie podstawiony. Powiedz mi więc jakie obecnie są problemy w systemie. Drugą "dziwną" rzeczą jaką zauważyłem to z prawokliku "Nowy" - na dysku C mogę utworzyć tylko "Folder". Brak pozostałych elementów które normalnie są do dyspozycji np: na dysku D czy pulpicie. Zrzut poniżej. To normalne przy włączonym UAC, u mnie tak samo jest w systemie. Lokalizacja C jest chroniona. Po wyłączeniu UAC menu kontekstowe się rozszerza. Dlaczego na moim laptopie, który też odpala się nie z wbudowanego konta administratora lecz konta użytkownika Ja w ogóle nie mówię o wbudowanym w system koncie "Administrator" tylko o koncie użytkownika z uprawnieniami administratora. I pytaniem jest właśnie czy na obu komputerach jest identyczne ustawienie UAC. Włączony UAC powoduje, że konto administratorskie pracuje częściowo w środowisku ograniczonym (kontekst grupy Użytkownicy) i nakłada konieczność podnoszenia uprawnień opcją "Uruchom jako Administrator". . Odnośnik do komentarza
spawciu Opublikowano 2 Października 2014 Autor Zgłoś Udostępnij Opublikowano 2 Października 2014 OK, troszkę zamotałem z tym UAC. U mnie od dawna wyłączone stąd i mała konstrnacja z powodu sklerozy . Rzeczywiście - u siostry ustawiony poziom domyślny więc stąd te różnice. Co do systemu - generalnie wszystko pracuje chyba dobrze, póki co nie zaobserwowałem jakiś większych zacięć. Myślę, że siostra będzie zadowolona z lekkiego orzeźwienia systemu. Mam jedno pytanie odnośnie wtyczki w firefoksie GanymedeNet.Detector, przeglądałem troszkę w necie ale jakiegoś rosądnego opisu nie znalazłem. Generalnie - pełno cytowań z logów. Co to i do czego służy? Siostra jakoś nie kojarzy tego. I drugie pytanie: Czy utworzenie osobnej partycji na plik wymiany (ok. 4 GB) usprawniło by znacznie pracę netbooka? A i jeszcze jedno - czy ten plik po podmianie (gameux.dll) trzeba jakoś sprawdzić? Coś uruchomić? W zasadzie można by już kończyć, w razie problemów odezwę się ponownie, a jak trzeba będzie - pokieruję siostrę online. Coś jeszcze na koniec? Edit 9.10.2014 Póki co żadnych sygnałów nie dostałem że coś nie tak. Dziękuję za pomoc. Mam nadzieję, ze wszystko pośmiga jeszcze troszkę. Pozdrawiam i życzę powodzenia. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się