Noosfe Opublikowano 8 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 8 Kwietnia 2016 Witam, nie mogę się go pozbyć win 10 i raport z defendera: Kategoria: Koń trojański Opis: Ten program jest niebezpieczny i wykonuje polecenia osoby atakującej. Zalecana akcja: Usuń niezwłocznie to oprogramowanie. Elementy: file:C:\Users\MSI\AppData\Roaming\25067.exe regkey:HKCU@S-1-5-21-777929965-1544455550-2214287231-1004\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\WerFault runkey:HKCU@S-1-5-21-777929965-1544455550-2214287231-1004\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\WerFault Podczas próby usunięcia go defenderem wyskakuje komunikat: Wystąpił następujący błąd: Kod błędu: 0x80070422. Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia. W załączeniu przesyłam logi Addition.txt FRST.txt gmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 8 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 8 Kwietnia 2016 Trojany to skutki próby crackowania Office. Wygląda na to, że te detekcje BitDefender są pokłosiem zastosowania poniższego cracka, gdyż w raporcie pliki są listowane w tej samej linii czasowej. 2016-04-07 20:52 - 2016-04-07 20:52 - 00012032 _____ C:\Users\MSI\Downloads\[Electro-Torrent.pl] Microsoft Office Professional Plus 2016 PL v16.0.4266.1003 RTM [x86-x64] [iSO] + Aktywator v1.3.8.torrent Widać też ślady innych cracków i podejrzane obiekty, np. to: KLIK. W Dzienniku zdarzeń masz podobne błędy aktywacji: Dziennik Aplikacja: ================== Error: (04/08/2016 08:02:33 AM) (Source: Software Protection Platform Service) (EventID: 1062) (User: ) Description: Przenoszenie identyfikatora potwierdzenia nie powiodło się. 0xC004F02F Identyfikator jednostki magazynowej = de52bd50-9564-4adc-8fcb-a345c17f84f9 Error: (04/08/2016 08:00:13 AM) (Source: Software Protection Platform Service) (EventID: 1014) (User: ) Description: Pozyskanie licencji użytkowania nie powiodło się. hr=0x80072EE7 Identyfikator SKU=de52bd50-9564-4adc-8fcb-a345c17f84f9 Error: (04/08/2016 08:00:13 AM) (Source: Software Protection Platform Service) (EventID: 8200) (User: ) Description: Szczegóły błędu pozyskiwania licencji. hr=0x80072EE7 Wszystko zostanie zlikwidowane. Działania do przeprowadzenia: 1. Usuń wszystkie pobrane cracki. W miarę możliwości postaraj się odwrócić ich działanie, o ile dostarczają mechanizm odwracania. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [22528 2016-04-07] () [brak podpisu cyfrowego] HKU\S-1-5-21-777929965-1544455550-2214287231-1004\...\Run: [WerFault] => C:\Users\MSI\AppData\Roaming\25067.exe [902144 2016-04-08] () IFEO\OSppSvc.exe: [Debugger] R@1n-Hook.exe S3 ptun0901; C:\Windows\System32\drivers\ptun0901.sys [27136 2014-08-08] (The OpenVPN Project) Task: {8F7775F2-65C7-40FF-BA36-E7F0A85E8652} - System32\Tasks\{6357AF70-4EBE-482A-97E5-D1A00B99FB4F} => pcalua.exe -a "C:\Program Files (x86)\The Elder Scrolls V Skyrim\TESV.exe" -d "C:\Program Files (x86)\The Elder Scrolls V Skyrim" Task: {E7B75E83-7EBF-4E52-914E-E2E08863F08E} - System32\Tasks\R@1n-KMS\KMS-Restart => start KMS-R@1n Task: {F02D46B2-385B-4014-B522-275FFC3F794C} - System32\Tasks\{CA0C064E-2BB3-4818-BCEC-B8769A35787F} => pcalua.exe -a "D:\Gry\Ryse Son of Rome\Bin64\Ryse.exe" -d "D:\Gry\Ryse Son of Rome\Bin64" Task: {FCEAFFF1-8302-4495-87AD-CCD4AD6B092A} - System32\Tasks\{BBCA40AC-428E-47FE-B1B4-D275C2DF1AE9} => pcalua.exe -a "D:\Gry\Insane 2\i2.exe" -d "D:\Gry\Insane 2" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\KMSAuto C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Elder Scrolls V Skyrim C:\Users\MSI\AppData\Local\Mozilla C:\Users\MSI\AppData\Local\MSfree Inc C:\Users\MSI\AppData\Roaming\*.exe C:\Users\MSI\AppData\Roaming\Mozilla C:\WINDOWS\KMS-R@1n.exe C:\WINDOWS\QAD-Hook.dll C:\WINDOWS\R@1n-Hook.exe C:\WINDOWS\system32\SppExtComObjHook.dll C:\WINDOWS\system32\SppExtComObjPatcher.exe C:\Windows\System32\drivers\ptun0901.sys Folder: C:\Users\MSI\AppData\Local\mpress Folder: C:\Users\MSI\AppData\Roaming\Xerox CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się jak wygląda sprawa aktywacji systemu. Odnośnik do komentarza
Noosfe Opublikowano 8 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 8 Kwietnia 2016 było tak jak napisałaś jeśli chodzi o office wczoraj dwie jakieś badziewne wersje z aktywatorami ściągnąłem, ale suma sumarum i tak żadnej aktywować się nie dało, dziś ściągnąłem trzecią z jakimś "webactem" i już działa jak należy, ale syf po wczorajszych eksperymentach został, heh. Jeśli chodzi o aktywacje systemu to jest on nie aktywowany a był. Mam klucz w domu wiec jeśli wpisze go ponownie to chyba będzie ok? W załączniku pliki o które prosiłaś Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 8 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 8 Kwietnia 2016 Jeśli chodzi o aktywacje systemu to jest on nie aktywowany a był. Mam klucz w domu wiec jeśli wpisze go ponownie to chyba będzie ok? To odpowiada błędom z Dziennika zdarzeń. Jak wskazywałam, w systemie był także crack, który manipuluje z aktywacją Windows (a nie Office). Po czyszczeniu spróbujesz aktywować system przy udziale poprawnego klucza. Jeśli chodzi o usuwanie, wszystko zniknęło. Jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\MSI\AppData\Local\mpress RemoveDirectory: C:\WINDOWS\System32\Tasks\R@1n-KMS CMD: del /q "C:\Users\MSI\Downloads\[Electro-Torrent.pl] Microsoft Office Professional Plus 2016 PL v16.0.4266.1003 RTM [x86-x64] [iSO] + Aktywator v1.3.8.torrent" CMD: del /q "C:\Users\MSI\Downloads\Microsoft Office 2016 PRO Plus [PL] x32 x64 Klucz instrukcja aktywacji[Torrenty.org].torrent" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Zaprezentuj wynikowy fixlog.txt. Odnośnik do komentarza
Noosfe Opublikowano 8 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 8 Kwietnia 2016 czyli miałem też nielegalnego windowsa? hmmm... kupiłem używanego 3 miesięcznego laptopa i sprzedający twierdził że jest oryginalny... ciekawe czy ten kod który mi dał będzie działał z tym windowsem W sumie dobrze że to wyszło na jaw wiem przynajmniej teraz na czym stoję. Dziękuję ślicznie za udzieloną mi pomoc jak zwykle bez Ciebie nie dał bym sobie rady Pozdrawiam serdecznie sprawdziłem teraz we właściwościach komputera aktywacje windowsa i... teraz identyfikator produktu już jest !! Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 8 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 8 Kwietnia 2016 czyli miałem też nielegalnego windowsa? hmmm... kupiłem używanego 3 miesięcznego laptopa i sprzedający twierdził że jest oryginalny... Ale ten crack aktywacji załadowałeś Ty, właśnie przy kombinacjach z Office. Te manipulacje po prostu uszkodziły aktywację Windows. Fix pomyślnie wykonany. Teraz jeszcze na wszelki wypadek zrób kompleksowy skan za pomocą ESET Online Scanner. Dostarcz wyniki. Odnośnik do komentarza
Noosfe Opublikowano 9 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 9 Kwietnia 2016 faktycznie kliknąłem na początku w tym aktywatorze na ikonkę windowsa... pewnie wtedy. Rejestr w załączniku eset.txt Odnośnik do komentarza
picasso Opublikowano 9 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 9 Kwietnia 2016 W wynikach skanu C:\Windows\update.exe to składnik infekcji (innej niż usuwana), reszta wyników związana z pobranymi plikami sponsorowanymi oraz różnymi crackami do gier. Część z tych cracków mogła być nieszkodliwa. Na koniec zastosuj DelFix, a także zaktualizuj poniżej zakreślone wersje Adobe: KLIK. ==================== Zainstalowane programy ====================== Adobe Flash Player 20 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 20.0.0.306 - Adobe Systems Incorporated) Adobe Reader XI (11.0.14) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.14 - Adobe Systems Incorporated) Odnośnik do komentarza
Noosfe Opublikowano 10 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 chodź tu to Cie wyściskam dziękuje jeszcze raz Odnośnik do komentarza
Rekomendowane odpowiedzi