rafdoom34 Opublikowano 4 Stycznia 2015 Zgłoś Udostępnij Opublikowano 4 Stycznia 2015 Witam,Bardzo bym prosił o sprawdzenie moich logów. Tydzień temu padł komp. OTL Extras http://www.wklej.org/id/1583974/ OTL: http://www.wklej.org/id/1584015/ Symptomy (Windows Vista): - po zalogowaniu biały eran ok 2-3 min a póżniej po częściowo prawidłowym załadowaniu ikon nie uruchamiała się większość programów: - Defender wyłączony z brakiem możliwości włączenia, - całkowity brak dostępu do sieci WiFi – „stan połaczenia nieznany. Żadnych dostępnych sieci bezprzewodowych” - Brak możliwości odczytu danych z USB - Brak możliwości aktywacji prawokliku na myszy. - mój oryginalny antywirus Bitdefender nie wykrywał niczego - komputer zawieszał się średnio po 5-10 minutach - brak możliwości instalacji nowych programów - nie mogę zrobić naprawy systemu bo nie mam płyty instalacyjnej do win (Vista jest oryginalna od nowości) Uruchomiłem system z poziomu awaryjnego (wszystkie poniższe czynności wykonywane z poziomu trybu awaryjnego). Odpaliłem TDSS rootkit removing tool i znalazłem ZeroAccess rootkit. Usunąłem go ale nic się po odpaleniu w Win w trybie normalnym nie zmieniło. Odpaliłem Malwarebytes Antymalware – nic nie znalazł Odpaliłem ComboFix – brak poprawy Odpaliłem HitmanPro – nie działał bp chce się połączyć z netem Odpaliłem RogueKiller zatrzymał jedną usługę i usunąłem pozostałości które znalazł ale system nadal dead. Zrobiłem z poziomu awaryjnego ręczną odbudowę rejestru - rekonstrukcję Zapory Systemu Windows – https://www.fixitpc.pl/topic/6855-rekonstrukcja-zapory-systemu-windows/ - nic nie pomogło Próbowałem: https://www.fixitpc.pl/topic/1236-weryfikacja-integralnosci-plikow-via-narzedzie-sfc/ Przy wymianie plików metodą SFC po komendzie scannow otrzymałem komunikat: "Funkcja Ochrona zasobów systemu Windows odnalazła uszkodzone plikii naprawiła je pomyślnie. Szczegóły znajdują się w pliku CBS.Logwindir\Logs\CBS\CBS.log. Na przykład C:\Windows\Logs\CBS\CBS.log" plik CBS.txt ale waży 45MB wiec nie mam jak go pokazac Po 2 godzinach zawieszonego systemu uruchomił się w trybie normalnym prawoklik i jakoś szczęśliwym trafem zgrałem logi z OTL Będę bardzo wdzięczny za pomoc.Pozdrawiam,Rafał i Magda Odnośnik do komentarza
picasso Opublikowano 4 Stycznia 2015 Zgłoś Udostępnij Opublikowano 4 Stycznia 2015 Proszę dostosuj się do zasad działu w kwestii obowiązkowych raportów: KLIK. OTL to przestarzałe narzędzie sprawdzane tylko pobocznie, obowiązkowe są raporty z FRST i GMER. Dodatkowo: dostarcz logi utworzone wcześniej przez TDSSKiller i ComboFix (chodzi o już obecne a nie ponowne uruchomienie narzędzi) oraz Farbar Service Scanner. Odnośnik do komentarza
rafdoom34 Opublikowano 5 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 Przepraszam nie doczytałem. Zrobie logi zgodnie z poleceniem. Mam jeszcze jedno pytanie, czy mogę logi zrobić z poziomu awaryjnego? Odnośnik do komentarza
jessica Opublikowano 5 Stycznia 2015 Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 Na @Picasso będziesz pewnie dość długo czekał, więc na razie zrób logi w Trybie Awaryjnym, a jeśli okaże się , że konieczne są w Trybie Normalnym, to dopiero wtedy je zrobisz - przecież i tak czekasz na odpowiedź. Log z GMER na pewno może być robiony w Trybie Awaryjnym. jessi Odnośnik do komentarza
rafdoom34 Opublikowano 5 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 Witam Logi w zał. FRST - skan w trybie normalnym OTL - skan w trybie normalnym GMER - niestety z trakcie szukania w trybie normalnym wysypał się (niebieskie tło i restart). Spróbowałem z trybu awaryjnego i również się wysypał. W zał to co udało mi sie zapisać pliki "GMER....txt" Security Check - skan w trybie awaryjnym FSS - skan w trybie normalnym Proszę o wsparcie R. Results of screen317's Security Check version 0.99.93 Windows Vista Service Pack 2 x86 (UAC is disabled!) Internet Explorer 9 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! WMI entry may not exist for antivirus; attempting automatic update. `````````Anti-malware/Other Utilities Check:````````` CCleaner Java 7 Update 51 Java 8 Update 5 Java 6 Update 7 Java SE Development Kit 8 Update 5 Java version 32-bit out of Date! Adobe Flash Player 15.0.0.152 Flash Player out of Date! Adobe Reader 10.1.12 Adobe Reader out of Date! Mozilla Firefox 32.0.3 Firefox out of Date! ````````Process Check: objlist.exe by Laurent```````` `````````````````System Health check````````````````` Total Fragmentation on Drive C: % ````````````````````End of Log`````````````````````` Addition.txt FRST.txt Shortcut.txt Extras.Txt OTL.Txt GMER program przestal dzialac.txt GMER rootkit quick scan.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 5 Stycznia 2015 Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 Proszę używaj opcji Edycja, jeśli chcesz uzupełnić post, a nikt jeszcze nie odpisał. Posty skleiłam. Nadal brakuje: Dodatkowo: dostarcz logi utworzone wcześniej przez TDSSKiller i ComboFix (chodzi o już obecne a nie ponowne uruchomienie narzędzi) Te logi są konieczne, by było wiadome co usuwałeś tymi narzędziami. Prawdopodobnie któreś z nich posunęło się za daleko. "Funkcja Ochrona zasobów systemu Windows odnalazła uszkodzone pliki i naprawiła je pomyślnie. Szczegóły znajdują się w pliku CBS.Log windir\Logs\CBS\CBS.log. Na przykład C:\Windows\Logs\CBS\CBS.log" plik CBS.txt ale waży 45MB wiec nie mam jak go pokazac Tak duży plik to raczej cały CBS.LOG a nie raport wynikowy komendy filtrującej. infekcja nadal ogranicza działanie Vista, brak dostępu do sieci i Defendera Brak oznak czynnej infekcji. System ma zdewastowany układ Winsock. Została usunięta usługa AFD, która jest konieczna do obsługi sieci. Usługi nie usunęła infekcja, musiał to zrobić któryś skaner. afd Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open afd registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open afd registry key. The service key does not exist. Dodatkowo, jest tu uszkodzenie łańcucha Winsock (część NameSpace) również uniemożliwiające operacje sieciowe: Winsock: Missing Catalog5 entry, broken internet access. Natomiast nie ma tu żadnych śladów uszkodzeń Windows Defender. On zresztą powinien zostać i tak zdeaktywowany przez instalację BitDefender. - Brak możliwości odczytu danych z USB Czy to nadal występuje? Póki co, tu tu prędzej widzę niezdolność odczytu CD/DVD, gdyż w raporcie stoi poniższa wybrakowana usługa po niekompletnej deinstalacji iTunes - powiązany sterownik filtruje urządzenia CD/DVD. S3 GEARAspiWDM; system32\DRIVERS\GEARAspiWDM.sys [X] [hr] Działania wstępne: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 14 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader X (10.1.12), Java 7 Update 51, Java 8 Update 5, Java SE Development Kit 8 Update 5, Java 6 Update 7, OpenOffice.org 3.0 (ten ostatni nie potrafi korzystać z najnowszej Java). 2. Otwórz Notatnik i wklej wnim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD] "DisplayName"="Ancilliary Function Driver for Winsock" "Group"="PNP_TDI" "ImagePath"=hex(2):5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,00,72,\ 00,69,00,76,00,65,00,72,00,73,00,5c,00,61,00,66,00,64,00,2e,00,73,00,79,00,\ 73,00,00,00 "Description"="Ancilliary Function Driver for Winsock" "ErrorControl"=dword:00000001 "Start"=dword:00000001 "Type"=dword:00000001 "BootFlags"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Enum] "0"="Root\\LEGACY_AFD\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Winsock: Missing Catalog5 entry, broken internet access. DisableService: sptd S2 Apple Mobile Device; "C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe" [X] U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation) S3 BBSvc; "C:\Program Files\Microsoft\BingBar\BBSvc.EXE" [X] S2 Bonjour Service; "C:\Program Files\Bonjour\mDNSResponder.exe" [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 GEARAspiWDM; system32\DRIVERS\GEARAspiWDM.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S4 HWDeviceService.exe; "C:\ProgramData\DatacardService\HWDeviceService.exe" -/service [X] S3 iPod Service; "C:\Program Files\iPod\bin\iPodService.exe" [X] S3 Netaapl; system32\DRIVERS\netaapl.sys [X] S3 RTL8192su; system32\DRIVERS\RTL8192su.sys [X] S2 SeaPort; "C:\Program Files\Microsoft\BingBar\SeaPort.EXE" [X] S3 USBAAPL; System32\Drivers\usbaapl.sys [X] S3 WDC_SAM; system32\DRIVERS\wdcsam.sys [X] CustomCLSID: HKU\S-1-5-21-894316807-4337371-2112429552-1000_Classes\CLSID\{1FD1FE74-9E3C-4C1C-AEEB-AAB592AD770F}\localserver32 -> C:\Users\Madga\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.) CustomCLSID: HKU\S-1-5-21-894316807-4337371-2112429552-1000_Classes\CLSID\{5E71E4F3-E8C7-4906-9626-973E418762B6}\InprocServer32 -> C:\Users\Madga\AppData\Local\Facebook\Update\1.2.205.0\goopdate.dll (Facebook Inc.) Task: {0732E201-86F3-4AEB-96A6-71EB9D5EA9A5} - System32\Tasks\{F4EC99DB-D9B7-434A-9F2A-7A8EB84A3511} => pcalua.exe -a "E:\Partition Magic Pro 7.0-FULL.exe" -d E:\ Task: {1CEDB299-F1EE-4CFA-8DC2-3F8AF1413BA4} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-894316807-4337371-2112429552-1000UA => C:\Users\Madga\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-09-17] (Facebook Inc.) Task: {26B43CAC-A86E-40A7-B1C7-F2C3D3D160E6} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-894316807-4337371-2112429552-1000Core => C:\Users\Madga\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-09-17] (Facebook Inc.) Task: {D3054C28-44F5-4681-A7F1-1A6DB24A7FB3} - System32\Tasks\DriverToolkit Autorun => C:\Program Files\DriverToolkit\DriverToolkit.exe Task: {D5606B37-8164-4A28-A59D-AAEAE0D7C445} - System32\Tasks\{02795DB0-172F-4869-AFBB-6FEFE8537B9A} => pcalua.exe -a "C:\Program Files\PLAY ONLINE\Driver\devsetup2k.exe" -d "C:\Program Files\PLAY ONLINE\Driver" Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-894316807-4337371-2112429552-1000Core.job => C:\Users\Madga\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-894316807-4337371-2112429552-1000UA.job => C:\Users\Madga\AppData\Local\Facebook\Update\FacebookUpdate.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-894316807-4337371-2112429552-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKLM -> DefaultScope value is missing. SearchScopes: HKLM -> {6A780C7A-0F2C-4D40-A032-BAEF07C1C686} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl SearchScopes: HKU\S-1-5-21-894316807-4337371-2112429552-1000 -> DefaultScope {6A780C7A-0F2C-4D40-A032-BAEF07C1C686} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl SearchScopes: HKU\S-1-5-21-894316807-4337371-2112429552-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-894316807-4337371-2112429552-1000 -> {6A780C7A-0F2C-4D40-A032-BAEF07C1C686} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Program Files\Mozilla Firefox\plugins C:\ProgramData\Temp C:\Users\Madga\AppData\Local\1cf6efbe C:\Users\Madga\AppData\Local\tmp*.* C:\Users\Madga\AppData\Local\Facebook C:\Users\Madga\AppData\Local\Google\Chrome C:\Users\Madga\AppData\Roaming\medsn C:\Users\Madga\AppData\Temp Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowe logi: FRST z opcji Scan (zaznacz pole Addition, Shortcut jednak zbędny) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Opisz jakie są problemy bieżące. Odnośnik do komentarza
rafdoom34 Opublikowano 5 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 Przepraszam, pierwszy raz korzystam z pomocy online, co do sprawy edycji też za późno się zorientowałem. zapamiętam. logi z TDSSKiller niestety nie mam (przynajmniej nie udało mi się ich znaleźć) logi z pierwszego skanu ComboFix w załączeniu. Podpiłem jeszcze SharedAccess może na coś się Tobie przyda. CBS.log - masz racje to nie wynik komendy filtrującej z poziomu pulpitu i ikon (Komputer) nie moge otwierać folderów zeby dostac sie do napędów - wiesza się. Udało mi sie przez Start i Obrazy. Tak wiec mam dostep do USB. Z CD racja - była niesprawna jeszcze przed wirusem. Stwierdziliśmy z Magdą że padła ale widać dzięki Tobie iskierkę nadziei że ruszy. Jak wykonam działania wstepne przesle logi i opisze problemy jezeli na takowe napotkam. Dziękuję jeszcze za mega szybką odpowiedz! Odnośnik do komentarza
picasso Opublikowano 5 Stycznia 2015 Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 ogi z TDSSKiller niestety nie mam (przynajmniej nie udało mi się ich znaleźć) logi z pierwszego skanu ComboFix w załączeniu. Podpiłem jeszcze SharedAccess może na coś się Tobie przyda. Oba załączniki usuwam. Podałeś mi log z OTL a nie ComboFix, a zawartość SharedAccess nie jest mi potrzebna (mam już dostateczny wgląd do sprawy na ten temat). Oba logi powinny być wprost na dysku C:\. Jeśli ich nie ma, to niestety to efekt zastosowania DelFix (na dysku widać log C:\DelFix.txt) - to nie jest narzędzie usuwania infekcji tylko używanych określonych skanerów i ich logów. Tak więc nie dowiem się już tu chyba co robiły te skanery. CBS.log - masz racje to nie wynik komendy filtrującej To załączyłam już w skrypcie FRST - wydrukuje mi wyniki. Z CD racja - była niesprawna jeszcze przed wirusem. Stwierdziliśmy z Magdą że padła ale widać dzięki Tobie iskierkę nadziei że ruszy. Dane o filtrach napędów CD/DVD również pobieram w skrypcie FRST i jeśli modyfikacja zostanie wykryta, podam stosowny fix. z poziomu pulpitu i ikon (Komputer) nie moge otwierać folderów zeby dostac sie do napędów - wiesza się. Udało mi sie przez Start i Obrazy. Tak wiec mam dostep do USB. To może być efekt zupełnie innego czynnika, np. BitDefender. Pomijając że jest to bardzo rozbudowany / inwazyjny program, używa on poniższej modyfikacji wprowadzającej ikony nakładkowe w eksploratorze, a ten rodzaj modyfikacji w niektórych przypadkach prowadzi do dziwnych zachowań eksploratora. ShellIconOverlayIdentifiers: [__SafeBox1] -> {152C96EB-288E-4EDC-B7C6-D21F8250ADF3} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) ShellIconOverlayIdentifiers: [__SafeBox2] -> {342DAA0B-D796-460D-8566-901E08A1CCAD} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) ShellIconOverlayIdentifiers: [__SafeBox3] -> {57595DAE-1AE1-4D97-A49E-67CBB53B52DF} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) ShellIconOverlayIdentifiers: [__SafeBox4] -> {33816773-98AE-4723-ADE0-EBE54C8B5A67} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) Ten aspekt będziemy analizować potem, po naprawie podstawowych usterek już tu zdiagnozowanych. Odnośnik do komentarza
rafdoom34 Opublikowano 5 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 picasso, niestety nie udało mi się odinstalować żadnego z poniższych. W trybie normalnym uruchomienie panel sterowania trwa 20 min a po uruchomieniu "programy i funkcje" i po "Odinstaluj" Adobe AIR zawiesza kompa Adobe AIR - komunikat w trybie awaryjnym: "Podczas odinstalowania środowiska Adobe AIR wystąpił błąd. Być może administrator nie zezwolił na odinstalowanie. Skontaktuj się z administratorem. Adobe Reader X (10.1.12) - komunikat w trybie awaryjnym: "Nie można uzyskać dostępu do Instalator Windows. Może mieć to miejsce jeśli Instalator Windows jest niepoprawnie zainstalowany. Skontaktuj się z działem Pomocy technicznej aby uzyskać pomoc." dla wszystkich poniższych Java 7 Update 5, Java 8 Update 5, Java SE Development Kit 8 Update 5, Java™ 6 Update 7, OpenOffice.org 3.0 - komunikat w trybie awaryjnym: "Nie można uzyskać dostępu do Instalator Windows. Może mieć to miejsce jeśli Instalator Windows jest niepoprawnie zainstalowany. Skontaktuj się z działem Pomocy technicznej aby uzyskać pomoc." nie uruchamiałem skryptu. Podeślij pls dalsze wskazówki aby odinstalować powyższe. Thx Znalazłem na c:/ logi z TDSSKiller i DelFix. Przed Twoim forum (którego jeszcze nie znałem) przeprowadziłem serie skanów zgodnie z : http://malwaretips.com/blogs/remove-zeroaccess-rootkit/ niestety to był chyba błąd... DelFix.txt TDSSKiller.3.0.0.42_03.01.2015_22.16.21_log.txt Odnośnik do komentarza
picasso Opublikowano 5 Stycznia 2015 Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 niestety nie udało mi się odinstalować żadnego z poniższych Deinstalacje nie miały być wykonane w Trybie awaryjnym tylko normalnym, gdyż w awaryjnym nie działa usługa Instalator Windows. 1. Skoro jest problem z mniejszymi deinstalacjami i bardzo powolnym inicjowaniem Panelu sterowania, to zacznij jednak od deinstalacji Bitdefender Total Security. Musisz zacząć od próby deinstalacji w Trybie normalnym, nawet jeśli będzie to trwało bardzo długo. 2. Przy niepowodzeniu w Trybie normalnym, przejdź w Tryb awaryjny i zastosuj narzędzie BitDefender Uninstall Tool (Consumer) (wybierz stosowną edycję, która była w komputerze). 3. Jeśli się uda pozbyć BitDefender, przejdź ponownie do wykonania zaległych punktów. Znalazłem na c:/ logi z TDSSKiller i DelFix. To nie jest log TDSSKiller z właściwego usuwania. Niestety wszystko skasował DelFix i już tych danych brak. Nie zajmuj się już tym. Odnośnik do komentarza
rafdoom34 Opublikowano 5 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 ok próbuję Podczas deinstalacji wywalił komunikat "Program Proces hosta systemu Windows (Rundll32) przestał działać. wyszukaj rozwiązanie onaline lub zamknij program." Co mam wybrać? Zamknij program? Odnośnik do komentarza
picasso Opublikowano 5 Stycznia 2015 Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 Wybierz "Zamknij program" (i tak proces "przestał działać") i kontynuuj deinstalację Bitdefender (o ile to nadal możliwe po błędzie). Niezależnie od tego czy się uda odinstalować Bitdefender w Trybie normalnym i tak w Trybie awaryjnym do zastosowania ten specjalny usuwacz firmowy. Odnośnik do komentarza
rafdoom34 Opublikowano 5 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 odmulił się Bitdefender odinstalowany. Adobe AIR odinstalowany. Adobe Reader X (10.1.12), Java 7 Update 51, Java 8 Update 5, Java SE Development Kit 8 Update 5, Java™ 6 Update 7, OpenOffice.org 3.0 - odinstalowane wszystkie skrypty poszły bez problemów. logi w załączeniu. Vista odpala się w miarę szybko. Jest dostęp do ikon pulpitu. Programy odpalają sie normalnie. WiFi wróciło, net działa!!! Thx!!! Pytanie czy mam ponownie zainstalować Defendera (mam oryginalnego trocha szkoda mi zmarnować wydanej kasy)? Przy ikonie power pojawiła się ikona "Instaluje aktualizacje a nastepnie wyłącza komputer" - kliknąć, zainstalować i właczyć jeszcze raz? co dalej? Addition.txt Fixlog.txt FRST.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 5 Stycznia 2015 Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 Winsock naprawiony, toteż pojawił się dostęp do internetu. Pytanie czy mam ponownie zainstalować Defendera (mam oryginalnego trocha szkoda mi zmarnować wydanej kasy)?Przy ikonie power pojawiła się ikona "Instaluje aktualizacje a nastepnie wyłącza komputer" - kliknąć, zainstalować i właczyć jeszcze raz? Na razie wstrzymaj się z aktualizacjami Windows, a tym bardziej ponowną instalacją Bitdefender. Musimy dokończyć czyszczenie. Nie jest też wiadome czy ten Bitdefender w ogóle tu gra z systemem, może po jego powrocie znów zamuli wszystko. O tym się przekonasz potem. "Funkcja Ochrona zasobów systemu Windows odnalazła uszkodzone plikii naprawiła je pomyślnie. Szczegóły znajdują się w pliku CBS.Logwindir\Logs\CBS\CBS.log. Na przykład C:\Windows\Logs\CBS\CBS.log" W tym przypadku wyniki SFC nie mają znaczenia, nie są to rzeczywiste błędy (system je zresztą naprawia "w kółko"). Ten "defekt" opisany jest w tym artykule Microsoftu: KB947595. 2015-01-03 18:29:45, Info CSI 0000021a [sR] Cannot repair member file [l:24{12}]"settings.ini" of Microsoft-Windows-Sidebar, Version = 6.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2015-01-03 18:29:45, Info CSI 0000021c [sR] Cannot repair member file [l:24{12}]"settings.ini" of Microsoft-Windows-Sidebar, Version = 6.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2015-01-03 18:29:45, Info CSI 0000021d [sR] This component was referenced by [l:158{79}]"Package_16_for_KB948465~31bf3856ad364e35~x86~~6.0.1.18005.948465-49_neutral_GDR" Z CD racja - była niesprawna jeszcze przed wirusem. Stwierdziliśmy z Magdą że padła ale widać dzięki Tobie iskierkę nadziei że ruszy. Skan FRST nie wykazuje, by były jakiekolwiek fitry na urządzeniach CD/DVD. Natomiast po naprawie Winsock było możliwe podejrzenie Dziennika zdarzeń i w nim stał poniższy błąd sterownika SPTD (od emulacji napędów wirtualnych), który to sterownik może negatywnie wpływać na funkcjonowanie urządzeń. Sterownik ten już wyłączyłam i w kolejnym podejściu będzie usuwany na dobre. Tak więc czy w chwili obecnej na pewno są nadal problemy z napędem CD/DVD? System errors:=============Error: (01/05/2015 08:24:12 PM) (Source: sptd) (EventID: 4) (User: )Description: Sterownik wykrył błąd wewnętrzny w swoich strukturach danych dla . Kolejna porcja działań poprawkowych:1. Przegapiłam deinstalację starej wersji Adobe Shockwave Player.2. Otwórz Notatnik i wklej w nim:strComputer = "."Set objWMIService = GetObject("winmgmts:" _& "{impersonationLevel=impersonate}!\\" _& strComputer & "\root\subscription")Set obj1 = objWMIService.Get("__EventFilter.Name='BVTFilter'")set obj2set = obj1.Associators_("__FilterToConsumerBinding")set obj3set = obj1.References_("__FilterToConsumerBinding")For each obj2 in obj2set WScript.echo "Deleting the object" WScript.echo obj2.GetObjectText_ obj2.Delete_nextFor each obj3 in obj3set WScript.echo "Deleting the object" WScript.echo obj3.GetObjectText_ obj3.Delete_nextWScript.echo "Deleting the object"WScript.echo obj1.GetObjectText_obj1.Delete_Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.VBSPlik umieść na Pulpicie.3. Otwórz Notatnik i wklej w nim:R2 ezSharedSvc; C:\Windows\System32\ezsvc7.dll [129992 2008-02-03] (EasyBits Sofware AS) [File not signed]S4 sptd; C:\Windows\System32\Drivers\sptd.sys [320120 2015-01-05] (Duplex Secure Ltd.)HKLM\...\Run: [installerLauncher] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-4159-A75F-CFD0C7EA4FBF}\setuplauncher.exe" /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-41 (the data entry has 36 more characters).HKU\S-1-5-18\...\Run: [Agent Portfela Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe"HKU\S-1-5-18\...\Run: [Portfel Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe" --hidden --nowizardHKU\S-1-5-18\...\Run: [Agent aplikacji Portfel Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender\bdapppassmgr.exe"Task: {60075B96-E3CE-4E0A-ADE9-650778797E24} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exeBHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.6.0_07\bin\jp2ssv.dll No FileFF Plugin: @java.com/DTPlugin,version=11.5.2 -> C:\Program Files\Java\jre8\bin\dtplugin\npDeployJava1.dll No FileAlternateDataStreams: C:\Users\Madga\Downloads\bitdefender_ts.exe:BDUAlternateDataStreams: C:\Users\Madga\Downloads\Firefox Setup Stub 30.0.exe:BDUAlternateDataStreams: C:\Users\Madga\Downloads\iTunesSetup(2).exe:BDUAlternateDataStreams: C:\Users\Madga\Downloads\jdk-8u5-windows-i586.exe:BDUAlternateDataStreams: C:\Users\Madga\Downloads\MicrosoftFixit.dvd.Run.exe:BDUAlternateDataStreams: C:\Users\Madga\Downloads\sp41377.exe:BDUC:\Program Files\AdobeC:\Program Files\BitdefenderC:\Program Files\Common Files\AdobeC:\Program Files\Common Files\BitdefenderC:\Program Files\ESETC:\Program Files\JavaC:\Program Files\OpenOffice.org 3C:\ProgramData\*.bdinstall.binC:\ProgramData\AdobeC:\ProgramData\BitdefenderC:\ProgramData\HitmanProC:\ProgramData\MalwarebytesC:\ProgramData\RogueKillerC:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 3.0C:\Users\Madga\AppData\Local\AdobeC:\Users\Madga\AppData\Roaming\BitdefenderC:\Users\Madga\AppData\Roaming\MalwarebytesC:\Users\Madga\AppData\Roaming\QuickScanC:\Windows\System32\ezsvc7.dllC:\Windows\system32\Drivers\hitmanpro37.sysC:\Windows\system32\Drivers\iavtnu.sysC:\Windows\System32\Drivers\sptd.sysC:\Windows\system32\Drivers\TrueSight.sysC:\Windows\system32\AdobeC:\Windows\system32\Macromed\FlashReg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate" /fReg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem" /fReg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gusvc" /fReg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\HWDeviceService.exe" /fCMD: C:\Users\Madga\Desktop\FIX.VBSEmptyTemp:Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt.4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
rafdoom34 Opublikowano 5 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 Picasso, niestety komp sam sie zrestartował i zostały zainstalowane aktualizacje windows. zaktualizowałem firefoxa i zablokowałem jave. usunalem tez pozostale pliki javy ze startu. logi w zał. czy mam kontynuwa Twoje skrypty? nic jeszcze nie robiłem Odnośnik do komentarza
picasso Opublikowano 5 Stycznia 2015 Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 Wszystko nadal aktualne. Logi powyżej usuwam (nie wnoszą nic do sprawy), kompletny obraz uzyskam po przeprowadzeniu podanych akcji. Odnośnik do komentarza
rafdoom34 Opublikowano 5 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 zrobione FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 5 Stycznia 2015 Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 Wszystko zrobione. Nie odpowiedziałeś mi na pytanie: Natomiast po naprawie Winsock było możliwe podejrzenie Dziennika zdarzeń i w nim stał poniższy błąd sterownika SPTD (od emulacji napędów wirtualnych), który to sterownik może negatywnie wpływać na funkcjonowanie urządzeń. Sterownik ten już wyłączyłam i w kolejnym podejściu będzie usuwany na dobre. Tak więc czy w chwili obecnej na pewno są nadal problemy z napędem CD/DVD? Odnośnik do komentarza
rafdoom34 Opublikowano 6 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2015 Picasso CD/DVD wydaje sie ze działa poprawnie. Odpaliłem CD z muzyką i jest ok. Jaka jest Twoja rekomendacja co do programu antywirusowego, instalowac bitdefendera? Odnośnik do komentarza
picasso Opublikowano 6 Stycznia 2015 Zgłoś Udostępnij Opublikowano 6 Stycznia 2015 Kolejna porcja czynności: 1. Drobne poprawki. Otwórz Notatnik i wklej w nim: U2 ezSharedSvc; No ImagePath FF Plugin: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Windows\erdnt CMD: del /q C:\ESETSirefefCleaner*.log CMD: del /q C:\fix.txt CMD: del /q C:\sfc.txt CMD: del /q C:\SetACL.exe CMD: del /q C:\Users\Madga\Desktop\fix.vbs CMD: del /q "C:\Users\Madga\Documents\SetACL — skrót.lnk" CMD: del /q C:\Windows\SetACL.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt zanim przejdziesz do punktu numer 2. 2. Usuń folder G:\1Służbowe\1FRST. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Uruchom ponownie Windows Update i sprawdź czy kolejne wyszukiwanie zwraca coś do instalacji. Jeśli tak, zaktualizuj wszystko. 4. Zainstaluj Bitdefendera i zdaj sprawozdanie, czy nastąpiło zamulenie lub inne negatywne zdarzenia. Odnośnik do komentarza
rafdoom34 Opublikowano 6 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2015 logi ps folder g:/.. to mój zewnerzny USB z którego uruchamiałem wszystkie podane przez Ciebie programy. rozumiezm ze jak dasz mi zielone swiatlo i przejde do kolejnych czynnosci to mam go usunac z portu? Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 6 Stycznia 2015 Zgłoś Udostępnij Opublikowano 6 Stycznia 2015 Tak, ja wiem czym jest G, mam to przecież w Addition: ==================== Drives ================================ Drive c: () (Fixed) (Total:145.44 GB) (Free:33.22 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: (Nowy) (Fixed) (Total:87.44 GB) (Free:79.38 GB) NTFS Drive g: () (Removable) (Total:1.87 GB) (Free:0.58 GB) FAT Tu chodzi o to, że DelFix nie skasuje z takiej lokalizacji FRST, dlatego podałam ręczne kasowanie. Fix wykonany. Przejdź do dalszych czynności. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się