chicochico Opublikowano 11 Lutego 2015 Zgłoś Udostępnij Opublikowano 11 Lutego 2015 Witam, Nie mogę zamknąć systemu ponieważ tak wygląda sytuacja po ctrl+f4 http://take.ms/Gk5Z3 a tak w pasku windows: http://take.ms/C9ag9 - możliwe do wyboru tylko "zablokuj" albo "wyloguj" Programy dzisiaj w nocy (11.02) zaczęły się dziwnie zachowywać, uruchamiać jakieś funkcje i chciałem zrestartować komputer... po twardym resecie jest oczywiście to samo. W aplikacji do gry na ferex mt4 zaczął uruchamiać jakies alerty. Tyle w sumie pamiętam, proszę o pomoc. Nie wiem czy w pełni poprawnie uruchamiam gmer - wyskakuje: http://take.ms/yDCvVjuż na początku a później przy skanowaniu konkretnych plików: http://take.ms/5RU3G "Proces nie może uzyskać dostępu do pliku ponieważ jest on używany przez inny proces" więc nie wiem czy ten raport który mimo to się wygenerował jest pełny? wprawdzie zaraz wyskakuje skan został zakończony ale cale skanowanie trwa krótko, może ze 2 minuty... --------------------- EDIT: mbam wykrył i zastosowal kwarantannę na dwa wpisy do rejestru - dołączam raport. gmerlog.txt FRST.txt Shortcut.txt Addition.txt mbam.txt Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2015 Zgłoś Udostępnij Opublikowano 11 Lutego 2015 Temat przenoszę do działu Windows. To nie jest problem infekcji. Nie mogę zamknąć systemu ponieważ tak wygląda sytuacja po ctrl+f4 http://take.ms/Gk5Z3 a tak w pasku windows: http://take.ms/C9ag9 - możliwe do wyboru tylko "zablokuj" albo "wyloguj" Wygląda na to, że załatwiłeś się samodzielnie nieumiejętnie stosując program Chris PC-Lock. W raporcie widać startujący Chris PC-Lock oraz relatywne polityki blokujące dostęp do określonych funkcji: HKLM-x32\...\Run: [Chris PC-Lock] => C:\Program Files (x86)\Chris PC-Lock\PCLock.exe [486888 2014-07-07] (Chris P.C. srl) HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableChangePassword] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableLockWorkStation] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [HideFastUserSwitching] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableTaskMgr] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoChangeStartMenu] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoClose] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoLogOff] 1 Polityki oczywiście można usunąć za pomocą skryptu FRST, ale tego na razie nie zadaję, bo polityki wrócą, jeśli dana aplikacja jest skonfigurowana by je wprowadzić. Podstawowe pytanie: co zostało zrobione w Chris PC-Lock i czy jest możliwość odwrócić konfigurację? mbam wykrył i zastosowal kwarantannę na dwa wpisy do rejestru - dołączam raport. MBAM wykrył po prostu kolejne polityki. Jak mówię, to nie jest infekcja. W aplikacji do gry na ferex mt4 zaczął uruchamiać jakies alerty. Jakie? Odnośnik do komentarza
chicochico Opublikowano 11 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2015 Po zainstalowaniu jakiejś aktualizacji, próbowałem zamknąć system (wyloguj i dalej zamknięcie) i po kilku minutach bez migania diody dysku przy "zamykanie systemu" wyskoczył blue screen któego nie zdąrzyłem przeczytać i zresetował się. Ale po tym działaniu mbam, zamknij, przełącz itd w przycisku zasilania powróciły. Wyłączyłem chris pc lock. Kupiłem ten program tylko dlatego, że nie działało mi prawidłowo wylogowywanie - komputer się zawieszał i stosowałem go wyłącznie jako wygaszacz - blokadę ekranu uruchamianą skrótem klawiszowym (win+L czy jak to było bo teraz też nie działa chyba). Dodatkowo w tym programie od czasu jego instalacji nic nie zmieniałem, wydawał się działać prawidłowo. co może blokować działanie skrótu win + L ? - Proszę w takim razie o poradę jak przywrócić działanie skrótu WIN+L Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2015 Zgłoś Udostępnij Opublikowano 11 Lutego 2015 Kupiłem ten program tylko dlatego, że nie działało mi prawidłowo wylogowywanie - komputer się zawieszał i stosowałem go wyłącznie jako wygaszacz - blokadę ekranu uruchamianą skrótem klawiszowym (win+L czy jak to było bo teraz też nie działa chyba). Dodatkowo w tym programie od czasu jego instalacji nic nie zmieniałem, wydawał się działać prawidłowo. Tu należało diagnozować dlaczego system się zawiesza, zamiast stosować obejścia. Np. inwazyjny ESET Smart Security może być przyczyną niemożności poprawnego zamknięcia Windows, ale możliwości jest więcej. Po zainstalowaniu jakiejś aktualizacji, próbowałem zamknąć system (wyloguj i dalej zamknięcie) i po kilku minutach bez migania diody dysku przy "zamykanie systemu" wyskoczył blue screen któego nie zdąrzyłem przeczytać i zresetował się. Diagnostyka BSOD w punkcie 5 ogłoszenia: KLIK. co może blokować działanie skrótu win + L ? Po pierwsze, już cytowałam z raportu FRST polityki, wśród nich jest HideFastUserSwitching - to blokada szybkiego przełączania użytkowników, a wtedy nie działa kombinacja Winkey + L. Po drugie, w skład funkcji Chris PC-Lock wchodzi blokowanie klawisza Windows: "WinKey is also disabled when the lock mode is on." Ale po tym działaniu mbam, zamknij, przełącz itd w przycisku zasilania powróciły. Jak mówię, nic tu nie wskazuje na przyczynę w infekcji, bo polityki to mogą być wprowadzene na tysiąc sposobów. Tu polityki wyglądają na wprowadzone przez Chris PC-Lock. MBAM usuwał tylko dwie polityki: NoClose (usunięcie przycisku Zamknij) + DisableTaskMgr (zablokowanie menedżera zadań), reszta cytowana w raporcie FRST nie była w spisie wykrytych przez program. HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableChangePassword] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableLockWorkStation] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [HideFastUserSwitching] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableTaskMgr] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoChangeStartMenu] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoClose] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoLogOff] 1 Wyłączyłem chris pc lock. Tylko wyłączyłeś, czy także sprawdzałeś konfigurację? Poproszę o nowy log z FRST mający obrazować zmiany. Odnośnik do komentarza
chicochico Opublikowano 11 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2015 Wyłączyłem poprzez exit, wcześniej odznaczając uruchamianie przy starcie windows. Teraz komuter się już zamyka normalnie, jednak nie działa WIN +L.(który nie działa od wielu miesięcy) Jak już pisałem nie działał ten skrót już przed instalacją chris-lock, bo właśnie ten fakt był powodem zakupu i instalacji tego programu. Także dawniej nie działałał menadżer zadań. w tym samym czasie w którym przestał mi działać ten skrót to i przestał działać menadżer (komputer czekał i w końcu zawieszał się przy skrócie ctrl+alt+del) ale było to jakieś 8-9 miesięcy temu. Później jakoś menadżer zaczął działać normalnie. Wtedy też miałem problem, ze nie mogłem uśpić komputera z włączonym skypem bo już się nie wybudzał, potrzebny był twardy reset.. to także jakby "samo" ustąpiło. Pozostał mi do rozwiązania problem tego WIN+L dzięki czemu najlepiej odinstalowałbym chris-locka bo standardowa funkcja jest wystarczająca ale nie umiem usunąć tej polityki. FRST.txt Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2015 Zgłoś Udostępnij Opublikowano 11 Lutego 2015 Chris PC-Lock nadal jest w starcie. Polityki również figurują w stanie niezmienionym. 1. Odinstaluj Chris PC-Lock, a także zbędną staroć getPlus® Download Manager for Corel. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableChangePassword] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableLockWorkStation] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [HideFastUserSwitching] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoChangeStartMenu] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoLogOff] 1 HKLM-x32\...\Run: [] => [X] Winlogon\Notify\VESWinlogon-x32: VESWinlogon.dll [X] HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Run: [AdobeBridge] => [X] Toolbar: HKU\S-1-5-21-406146429-3267792464-4140239600-1001 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File Task: {1852DDFE-3CAD-45A2-89E6-DDA4A95983C6} - System32\Tasks\{611CA834-0816-4283-B7D3-45CF4CDE85C3} => pcalua.exe -a "C:\Program Files (x86)\Sony Corporation\VAIO Partners\uninstall.exe" -c -prepareUninstall Task: {57006081-37F3-4B18-93D2-44CC612CF461} - System32\Tasks\{F650D602-A6DA-4238-B046-720C47200602} => pcalua.exe -a C:\dane\pobrane\DCP-J715W-inst-A2-pl.EXE -d "C:\Program Files (x86)\Mozilla Firefox" S3 DFUBTUSB; System32\Drivers\frmupgr.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\TEMP EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz programy zabezpieczające (ESET + KeyScrambler + SpyShelter), by nie zablokowały FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się co się dzieje. Odnośnik do komentarza
chicochico Opublikowano 11 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2015 Usunięcie na szybko tego getPlus® Download Manager for Corel.nie wyszło, nie reaguje na klikanie, poszukam później może sposobu. FRST wykonał raport ale się nie zrestartował, przestał odpowiadać i uruchomił się ponownie explorer. Komputer zrestartowałem manualnie. Nadal win+ L nie daje żadnego efektu. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2015 Zgłoś Udostępnij Opublikowano 11 Lutego 2015 Usunięcie na szybko tego getPlus® Download Manager for Corel.nie wyszło, nie reaguje na klikanie, poszukam później może sposobu. Nie szukaj na razie "innych sposobów". Ponów próbę, ale po wyłączeniu wszystkich programów zabezpieczających. FRST wykonał raport ale się nie zrestartował, przestał odpowiadać i uruchomił się ponownie explorer. Komputer zrestartowałem manualnie. Nadal win+ L nie daje żadnego efektu. Czy na pewno zrobiłeś to: Wyłącz programy zabezpieczające (ESET + KeyScrambler + SpyShelter), by nie zablokowały FRST. FRST kompletnie nic nie wykonał, nawet nie przeszedł do żadnego usuwania, został zatrzymany na komendzie zabijania procesów i na bank blokują go zabezpieczające aplikacje. Ponowne podejście: Wytnij ze skryptu linię CreateRestorePoint:, bo ona nie działa w innych trybach Windows niż normalny, zapisz plik fixlist.txt. Przejdź w Tryb awaryjny Windows i wykonaj Fix w FRST. Następnie punkt 3 z poprzedniej instrukcji. Odnośnik do komentarza
chicochico Opublikowano 11 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2015 Próbuję to usunąć i nie reaguje na klikanie w żaden sposób. Może źle "wyłączam" te programy zabezpieczające. Spyshelter i Keyscrambler przełączam na off a w ESET wybieram "Tymczasowo wyłącz ochronę" i "Tymczasowo wyłącz zaporę". W awaryjnym chyba się udało bo WIN + L działa już! Trwa egzekucja jakieś 6 sekund, ale po zastanowieniu za każdym razem działa. Efekt działania WIN + L został osiągnięty, dziękuję bardzo! FRST.txt Fixlog.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się