mateusz25 Opublikowano 9 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 9 Kwietnia 2015 Mam windows 7 64 bit, od kilku dni chce naprawic wyjasnic problemy,ktore nie wiem czemu powstaly mianowicie: nie moge przywrocic systemu nie moge otworzyc zadnego pobranego pliku, nie moge stworzyc Logów które są tutaj priorytetem w udzieleniu pomocy, antywirus esenntial nic nie pokazuje, wiem tylko że wpisując wyszukiwarce chrome hasło (shellexecute failed) skopiowałem url po nacisnieciu szukaj i wkleilem w virus total i pokazuje mi to URL: hxxps://www.google.pl/search?lr=lang_pl&tbs=lr%3Alang_1pl&q=shellexecute%20failed&rct=j Współczynnik wykrycia: 0 / 62 Data analizy: 2015-04-09 12:24:39 UTC ( 0 minut temu ) 0 0 Analiza Dodatkowe informacje Komentarze Głosy Web site category Websense ThreatSeekersearch engines and portals Final URL after redirects hxxps://www.google.pl/search?lr=lang_pl&tbs=lr%3Alang_1pl&q=shellexecute%20failed&rct=j IP address resolution 74.125.201.94 HTTP Response code 200 HTTP Response headers Response content SHA256 eb148501f4695ba5a661263b1d1e69d2cec245dfcb4a570acdf9310ad4856c99 Klikając na dole tej strony w link hxxps://www.c-sirt.org/en/incidents-on-domain/www.google.pl pokazało to: Incidents --- - Incident: hxxp://www.google.pl/url?sa=t&rct=j&q=&esrc=s&source=web&cd=10&cad=rja&uact=8&ved=0CG0QFjAJ&url=http:%2F%2Ftorrentz.eu%2Ftho%2Fthomson+reuters+eikon+v+3+5+2+serial+maker+keygen-q&ei=gETTU8fJKceiO82fgLgP&usg=AFQjCNEGspe6tG7c15QjGXqsFW4lxhKkkQ&bvm=bv.71778758,d.bGE Signature: CYSC.BOTNET.FF.TROJANS.3793 Incident-URL: '> hxxps://www.c-sirt.org/en/incident/fb445c4de9055e1b4c35effc577548cac5c1036febff82013b5181213a013933 ... wczoraj to: Incidents --- - Incident: hxxp://www.google.pl/url?sa=t&rct=j&q=&esrc=s&source=web&cd=10&cad=rja&uact=8&ved=0CG0QFjAJ&url=http:%2F%2Ftorrentz.eu%2Ftho%2Fthomson+reuters+eikon+v+3+5+2+serial+maker+keygen-q&ei=gETTU8fJKceiO82fgLgP&usg=AFQjCNEGspe6tG7c15QjGXqsFW4lxhKkkQ&bvm=bv.71778758,d.bGE Signature: CYSC.BOTNET.FF.TROJANS.3793 Incident-URL: '> hxxps://www.c-sirt.org/en/incident/fb445c4de9055e1b4c35effc577548cac5c1036febff82013b5181213a013933 ... wszystko co robie , chyba ktos kontroluje, w wyszukiwarce adresy sa podejrzane ktoś to kontroluje poza mna bo wszedzie są podejrzane certyfikaty z datami np. od 2009-2036. w oknie narzedzia administracyjne nie moge nic kliknac bo odmowa i wszystkie pliki z data modyfikacji na 2009.07.14 a pc kupiłem w grudniu 2013 w panelu sterowania nic nie moge zmienic wszedzie pisze; System windows nie moze uzyskac dostepu do okreslonego urzadzenia, sciezki, lub pliku. Możesz nie miec odpowiednich uprawnien, aby uzyskac dostep do elementu. Moj telefon z androidem musialem caly resetowac bo przez wifi siecią domową tez go zavirusowalo, mam modem 2.0 z neostrady i wyglada jakby ktos kontrolowal moja siec pc i telefon, boję się juz cokolwiek kliknąć żeby nie stracic danych z pc, z telefonu straciem wszystko, proszę o niewyrzucanie mnie za zle dostosowana konfiguracje tematu przepraszam ale jestem zdesperowany, od kilku dni siedze tylko przy tym nie robiąc żadnych kroków kłuce sie tylko przez to z rodzina, nie jem nie spie. Prosze o pomoc i wyjaśnienie. Odnośnik do komentarza
Rucek Opublikowano 9 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 9 Kwietnia 2015 czy dasz radę pobrać GMER i FRST? czy nawet pobrać nie da rady? jeśli masz je pobrane to czy próbowałeś uruchomić kompa w trybie awaryjnym (klawisz F8 przy uruchamianiu) i zrobić logi z jego poziomu? Jak sie nie da pobrać programów - to pobierz na innym kompie, wrzuć na pendrive i wtedy - albo normalnie albo z trybu awaryjnego. Odnośnik do komentarza
mateusz25 Opublikowano 10 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 10 Kwietnia 2015 udalo mi sie w trybie awaryjnym, tylko pliku log nie a sie tutaj zaladowac. GMER proszę tutaj http://wklej.org/hash/101fe2b5e7b/ Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Rucek Opublikowano 10 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 10 Kwietnia 2015 w instrukcji GMERa masz info jak skopiowac log GMER, - tworzysz plik GMER.txt na pulpicie, jak gmer skonczy skanować to w okienku GMERa wciskasz przycisk KOPIUJ - i wklejasz zawartość do pliku tekstowego z pulpitu, ręcznie to robisz i dołączasz plik tak jak te powyzej. Odnośnik do komentarza
picasso Opublikowano 15 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 15 Kwietnia 2015 Temat przeniosę pewnie do działu Windows. Nic tu nie wskazuje na czynną infekcję ani na teorię "kontroli". Są szczątki adware, ale to osobna sprawa. Owe szczątki adware zostaną doczyszczone skryptem FRST, ale to nie ma związku ze zgłaszanymi problemami. Moj telefon z androidem musialem caly resetowac bo przez wifi siecią domową tez go zavirusowalo, mam modem 2.0 z neostrady i wyglada jakby ktos kontrolowal moja siec pc i telefon, boję się juz cokolwiek kliknąć żeby nie stracic danych z pc, z telefonu straciem wszystko Objaśnij to, co się działo w telefonie i jak to się ma do widzianego systemu? w wyszukiwarce adresy sa podejrzane (...) wiem tylko że wpisując wyszukiwarce chrome hasło (shellexecute failed) skopiowałem url po nacisnieciu szukaj i wkleilem w virus total i pokazuje mi to O jakich adresach mówimy? I nie rozumiem tej akcji ani Twoich zamiarów. Adres wyszukiwarki Google z wyszukiwaną frazą, tu ani nie ma czego skanować, ani Virus Total nic nie wykryje: hxxps://www.google.pl/search?lr=lang_pl&tbs=lr%3Alang_1pl&q=shellexecute%20failed&rct=j "Incidents" to referencje do cudzego wyszukiwania na frazy torrentz.eu i keygeny. wszedzie są podejrzane certyfikaty z datami np. od 2009-2036. Certyfikaty są podpisywane z wyprzedzeniem na określony przedział czasu. Przykładowy widok z mojej przystawki certmgr: wszystkie pliki z data modyfikacji na 2009.07.14 a pc kupiłem w grudniu 2013 Wszystko się zgadza. Pliki systemu operacyjnego zawsze mają datę równą dacie gdy Microsoft (lub producent pośredniczący) skompilował obraz i te atrybuty czasowe są zachowywane, mimo że instalacja systemu jest wykonywana w późniejszym czasie. System instalujesz w roku 2015, ale pliki systemu będą miały daty równe dacie kompilacji Windows 7, czyli 2009. Instalacja systemu Windows 7 jest robiona zresztą na zasadzie zrzucania obrazu WIM (lub modyfikacji określonego producenta). Daty w przykładowym obrazie WIM (install.wim na mojej płycie DVD): Daty po zainstalowaniu systemu później niż w 2009 mają daty z obrazu. Późniejsze aktualizacje czy inne czynności w Windows mogą zmienić te znaczniki czasu, ale duża ilość elementów pozostaje z datą 2009. w oknie narzedzia administracyjne nie moge nic kliknac bo odmowa i w panelu sterowania nic nie moge zmienic wszedzie pisze; System windows nie moze uzyskac dostepu do okreslonego urzadzenia, sciezki, lub pliku. Możesz nie miec odpowiednich uprawnien, aby uzyskac dostep do elementu. To jest zasadniczy problem, ale teoria szpiegowstwa to nie tu. Ten brak uprawnień wygląda na jakieś uszkodzenie systemu (lub zdefektowany antywirus MSSE blokuje wszystko), Dziennik zdarzeń notuje następujące błędy: Application errors: ================== Error: (04/10/2015 10:45:09 AM) (Source: MsiInstaller) (EventID: 11921) (User: ZARZĄDZANIE NT) Description: Product: Nero Update -- Error 1921.Service Nero Update (NAUpdate) could not be stopped. Verify that you have sufficient privileges to stop system services. System errors: ============= Error: (04/09/2015 11:29:38 PM) (Source: DCOM) (EventID: 10016) (User: RZYM) Description: domyślne ustawienia komputeraLokalnyAktywacja{9BA05972-F6A8-11CF-A442-00A0C90A8F39}{9BA05972-F6A8-11CF-A442-00A0C90A8F39}RZYMMateuszS-1-5-21-3891459942-242824556-1304610250-1000LocalHost (użycie LRPC) Error: (04/09/2015 10:38:17 PM) (Source: Service Control Manager) (EventID: 7006) (User: ) Description: Wywołanie ScRegSetValueExW dla Start nie powiodło się i wystąpił następujący błąd: %%5. Error: (04/09/2015 10:38:18 PM) (Source: Microsoft Antimalware) (EventID: 3002) (User: ) Description: Funkcja ochrony w czasie rzeczywistym produktu %%860 napotkała błąd i jej uruchomienie nie powiodło się. Funkcja: %%886 Kod błędu: 0x80070005 Opis błędu: Odmowa dostępu. Przyczyna: %%892 Error: (04/09/2015 10:38:02 PM) (Source: Microsoft Antimalware) (EventID: 2004) (User: ) Description: Produkt %60 napotkał błąd podczas próby załadowania podpisów i podejmie próbę powrotu do znanego zestawu dobrych podpisów. Podpisy objęte próbą: %24 Kod błędu: 0x80070002 Opis błędu: Nie można odnaleźć określonego pliku. Wersja podpisu: 0.0.0.0;0.0.0.0 Wersja aparatu: %600 Error: (04/09/2015 10:30:18 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: {ED1D0FDF-4414-470A-A56D-CFB68623FC58} Error: (04/09/2015 10:29:44 PM) (Source: DCOM) (EventID: 10005) (User: ) Description: 1084NVSvc{DCAB0989-1301-4319-BE5F-ADE89F88581C} Error: (04/09/2015 10:27:42 PM) (Source: Microsoft Antimalware) (EventID: 2001) (User: ) Description: Produkt %RZYM60 napotkał błąd podczas próby aktualizacji podpisów. Nowa wersja podpisu: Poprzednia wersja podpisu: 0.0.0.0 Źródło aktualizacji: %RZYM51 Etap aktualizacji: 4.7.0205.00 Ścieżka źródła: 4.7.0205.01 Typ podpisu: %RZYM602 Typ aktualizacji: %RZYM604 Użytkownik: RZYM\Mateusz Bieżąca wersja aparatu: %RZYM605 Poprzednia wersja aparatu: %RZYM606 Kod błędu: %RZYM607 Opis błędu: %RZYM608 udalo mi sie w trybie awaryjnym, tylko pliku log nie a sie tutaj zaladowac. Skoro w Trybie awaryjnym występuje różnica i możesz pobrać pliki, to może zacznij od deinstalacji Microsoft Security Essentials, by sprawdzić czy coś wniesie to do sprawy. Z tym, że deinstalacja może być awykonalna, tak ze względu na "Odmowę dostępu" w Trybie normalnym, jak i fakt że w Trybie awaryjnym nie działa Instalator Windows i nie można przeprowadzić tej czynności. Na razie spróbuję wyłączyć usługi w skrypcie FRST (skrypt ten adresje też owe wspominane szczątki adware i programów, ale to akurat nie ma znaczenia w kontekście sprawy). Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: DisableService: MpFilter DisableService: MsMpSvc DisableService: NisDrv DisableService: NisSrv S3 esgiguard; C:\Users\Mateusz\AppData\Local\Temp\7ZipSfx.000\esgiguard.sys [13904 2011-05-06] () S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] Task: {49EA0260-02FD-406E-9403-4A9A758907F8} - System32\Tasks\{3273CE08-0891-4E86-B07C-B3B0C8E4EE52} => pcalua.exe -a C:\Users\Mateusz\Desktop\Downloads\mp3DC220_www.INSTALKI.pl.exe -d C:\Users\Mateusz\Desktop\Downloads Task: {A5131189-4EBE-4A11-A0CD-EECE3928ACE2} - System32\Tasks\{4C02AA98-03F8-43D7-87B4-9FDFC89761D1} => pcalua.exe -a E:\str\install.exe -d E:\str Task: {BF252A95-564B-49CA-9A2C-271F341F5B58} - System32\Tasks\{AB213289-6E6D-46ED-8747-B28378EF04CD} => pcalua.exe -a "F:\Support\Battlefield Bad Company 2_code.exe" -d F:\Support Task: {C5920D02-3BFB-448F-8024-DEBA6205F5EB} - System32\Tasks\PennyBee => C:\Users\Mateusz\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE Task: {D50CDA1E-1A9B-4BEF-A926-66D40361B0AF} - \Program aktualizacji online firmy Adobe. No Task File Task: {E37417A9-E780-42EC-B067-526ED24A8F51} - System32\Tasks\{3188E444-E0FE-450C-AC33-686BDC369A24} => pcalua.exe -a D:\SETUP.EXE -d D:\ HKLM\...\AppCertDlls: [x64] -> C:\Program Files (x86)\Settings Manager\smdmf\x64\sysapcrt.dll ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File BootExecute: autocheck autochk * sh4native Sh4Removal HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141122 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141122 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1416612491&from=cor&uid=ST1000DM003-1CH162_Z1D7YT86XXXXZ1D7YT86&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1416612491&from=cor&uid=ST1000DM003-1CH162_Z1D7YT86XXXXZ1D7YT86&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File C:\Program Files (x86)\Feedly C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Mozilla Firefox.bak C:\Program Files (x86)\Privacyware C:\Program Files (x86)\Temp C:\Program Files (x86)\UniDeals C:\Program Files (x86)\youtubeadblocker C:\ProgramData\{0939779f-7a0d-61d6-0939-9779f7a0de7d} C:\ProgramData\{80f56db7-201b-891a-80f5-56db7201b6dc} C:\ProgramData\{aff667d6-2d2f-d90e-aff6-667d62d29f58} C:\ProgramData\{de37c5aa-251c-5cd4-de37-7c5aa25116a8} C:\ProgramData\bgdabboghfbepfndkebnifbaieklfhka C:\ProgramData\ejbekgimmllgcbcelglhhnkegcjnkdja C:\ProgramData\ldfldiecnabcpalgbngloneighfnnldc C:\ProgramData\F-Secure C:\ProgramData\Kaspersky Lab C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\Malwarebytes C:\ProgramData\Privacyware C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Zemana AntiLogger Free C:\Users\Mateusz\chrome_installer.log C:\Users\Mateusz\etilqs_zt1cdoOYR48wiv8 C:\Users\Mateusz\etilqs_bJNdyPgTArhrKHl C:\Users\Mateusz\etilqs_43EyDGzfGy1XsAU C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2 C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 3 C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 4 C:\Users\Mateusz\AppData\Local\Mobogenie C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\Mateusz\AppData\Roaming\systweak C:\Windows\SysWOW64\sh4native.exe ListPermissions: C:\Program Files\Microsoft Security Client ListPermissions: C:\ProgramData\Microsoft\Microsoft Antimalware CMD: netsh winsock reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMMON" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMMONSUPPORT" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Settings Manager" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Sprawdź czy po wyłączeniu usług jesteś w stanie odinstalować Microsoft Security Essentials. Akcja musi być podjęta z poziomu Trybu normalnego Windows. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się