set229 Opublikowano 1 Maja 2016 Zgłoś Udostępnij Opublikowano 1 Maja 2016 Witam, Ostatnio walczyłem z chińskim tabletem i nazbierało mi się trochę syfu, który wydaje mi się że spowodował spowolnienie pracy systemu. Uruchamianie i zamykanie zawsze przebiegało płynnie i bezproblemowo natomiast teraz zajmuje to trochę więcej czasu. Przykładowo wczoraj zamykanie systemu trwało ok. 5min Do przeglądarki przyczepiły się jakieś dziwne cuda, ale udało mi się ich pozbyć - przynajmniej tak mi się wydaje. Prosiłbym o sprawdzenie logów, bo nie podoba mi się obecny stan pracy systemu. Z góry dziękuję za pomoc. Logi uzupełnione. Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 1 Maja 2016 Zgłoś Udostępnij Opublikowano 1 Maja 2016 Po inwazji prawie nic widocznego nie zostało, jedno martwe zadanie w Harmonogramie i jeden martwy wpis w folderze Autostart oraz odpadki po tych chińskich softach do ROMów, co nie powinno mieć wpływu na start i zamykanie systemu. O wiele większe podejrzenia budzi matactwo aktywacji i aktywnie ładowane komponenty cracka KMS-R@1n.exe, który startuje z trzech miejsc i wykonuje na dodatek jakieś niesprecyzowane komendy wmi. Crack ten generuje zresztą te błędy w Dzienniku zdarzeń: Dziennik Aplikacja: ================== Error: (05/01/2016 03:52:58 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu: hr=0xC004F074 Argumenty wiersza polecenia: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=73111121-5638-40f6-bc11-f1d7b0d64300;NotificationInterval=1440;Trigger=UserLogon;SessionId=1 Error: (05/01/2016 03:52:50 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu: hr=0xC004F074 Argumenty wiersza polecenia: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=73111121-5638-40f6-bc11-f1d7b0d64300;NotificationInterval=1440;Trigger=NetworkAvailable Czyli tu moim zdaniem trzeba zacząć od zdjęcia tego cracka. Oczywiście te szczątki chińskich softów i inne też zostaną zaadresowane, ale nie wygląda, by one miały jakiś wpływ na stan obecny. Wstępnie: 1. Użyj deinstalator tego cracka, o ile posiadasz go i o ile crack ma taką opcję. Widoczne komponenty i tak zaadresuje poniższy skrypt do FRST. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [26112 2016-03-24] () [brak podpisu cyfrowego] IFEO\OSppSvc.exe: [Debugger] KMS-R@1nhook.exe IFEO\SppExtComObj.exe: [Debugger] KMS-R@1nhook.exe Task: {4DF3E139-6CF9-4742-BC55-8C30534C7E6E} - System32\Tasks\R@1n-KMS\Windows64Enterprise => wmic Task: {AC398040-3632-4C2B-A2F3-F214370E30A5} - System32\Tasks\Holuge System => Rundll32.exe "C:\Program Files (x86)\Holuge\hlgSystem.dll",w DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\R@1n-KMS Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FZOCgcQLiOBfgSCUICF.lnk [2016-02-29] FirewallRules: [{773913B0-C635-4130-B227-040210A35F0B}] => (Allow) C:\Windows\KMS-R@1n.exe FirewallRules: [{DFD26E62-6C08-4E33-ABA6-BD6178C6C10B}] => (Allow) C:\Windows\KMS-R@1n.exe FirewallRules: [{5AE5CF19-21FF-4D25-9136-366400050415}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\131\tencentdl.exe FirewallRules: [{E0426F55-1962-4DD4-80B7-37C6505D2EFC}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\131\bugreport_xf.exe GroupPolicyScripts: Ograniczenia HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1585059127-2730434103-678098393-1002\...\Run: [GmailNotifierPro] => C:\Program Files (x86)\Gmail Notifier Pro\GmailNotifierPro.exe /minimized FF DefaultSearchEngine: hohosearch FF SelectedSearchEngine: hohosearch C:\Flashtool C:\Program Files (x86)\Holuge C:\Program Files (x86)\iRoot C:\Program Files (x86)\Kingo ROOT C:\Program Files (x86)\ROMasterLab C:\Program Files (x86)\PdaNet for Android C:\ProgramData\Tencent C:\Users\Arek\.android C:\Users\Arek\.flashTool C:\Users\Arek\.swt C:\Users\Arek\AppData\Local\AWSToolkit C:\Users\Arek\AppData\Local\Kingosoft C:\Users\Arek\AppData\Local\oneClickRoot C:\Users\Arek\AppData\Roaming\FZOCgcQLiOBfgSCUICF.au3 C:\Users\Arek\AppData\Roaming\KLgeFYabEfiGVZUIg C:\Users\Arek\AppData\Roaming\Kingosoft C:\Users\Arek\AppData\Roaming\mgyun C:\Users\Arek\AppData\Roaming\One Click Root C:\Users\Arek\AppData\Roaming\Tencent C:\Users\Arek\AppData\Roaming\zhuodashi C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ˢ»úרĽŇ(׿´óʦ).lnk C:\Users\Arek\Desktop\Vedia x55\*.lnk C:\Users\Arek\Downloads\zds_setup_OPDA.exe C:\Users\Public\Documents\dmp C:\Windows\KMS-R@1n.exe C:\WINDOWS\system32\Drivers\pneteth.sys C:\Windows\System32\Tasks\R@1n-KMS Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "PdaNet Desktop.lnk" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GoogleChromeAutoLaunch_0A01E58E7C4A04A5C96F62A2ABF82ADB /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GmailNotifierPro /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AdobeCEPServiceManager /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy są pozytywne zmiany. Odnośnik do komentarza
set229 Opublikowano 1 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 1 Maja 2016 Dzięki za szybką odpowiedź. Niestety nie znalazłem opcji odinstalowania tego cracka. Jeśli chodzi o czas uruchamiania i zamykania systemu, to jest znacznie lepiej. Przy uruchamianiu trochę jeszcze myśli, ale sprzęt do najmłodszych nie należy i mam już w planach modernizację. Teraz mam przynajmniej pewność, że nic poważniejszego w logach nie widać. Załączam jeszcze logi po wykonaniu skryptu. Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 1 Maja 2016 Zgłoś Udostępnij Opublikowano 1 Maja 2016 Nie wiem jakim cudem może być "znacznie lepiej", skoro skrypt nic nie wykonał i żaden obiekt nie został usunięty. Proszę otwórz plik Fixlog i porównaj z Fixlist zadanym przeze mnie. Nie wiem w jaki sposób przeklejałeś skrypt z posta do Notatnika, ale zniszczyłeś formatowanie skryptu - wyzerowałeś wszystkie znaki specjalne (slesze i dwukropki), w rezultacie żadne z wejść nie zostało przetworzone. Powtarzaj punkty 2 i 3 z poprzedniej instrukcji. Odnośnik do komentarza
set229 Opublikowano 1 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 1 Maja 2016 Rzeczywiście skrypt nie został wykonany. Skoro zauważyłem poprawę, to może dopiero po dłuższej pracy ma problemy z wyłączeniem systemu, bo przy kilku krotnym uruchom ponownie nie było tragicznie. Teraz dopiero skrypt został wykonany i przesyłam jeszcze raz logi po wykonaniu skryptu. Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 1 Maja 2016 Zgłoś Udostępnij Opublikowano 1 Maja 2016 Przepraszam, drobne przeoczenie z mojej strony, rzeczywiście mogło się polepszyć po poprzedniej nieudanej rundzie, bo jedyny wpis który FRST przetworzył to poniższy od cracka: KMS-R@1n => serwis pomyślnie usunięto Tak więc to dowód, że crack mieszał. A w tym podejściu wszystko zrobione. W związku z likwidacją cracka mam pytanie: jak wygląda teraz stan aktywacji systemu? I mini poprawka. Otwórz Notatnik i wklej w nim: S3 pneteth; \SystemRoot\System32\drivers\pneteth.sys [X] RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Odnośnik do komentarza
set229 Opublikowano 2 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 2 Maja 2016 System Windows został aktywowany. Wychodzi na to, że jest dobrze. "mini poprawka" - wykonana Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 2 Maja 2016 Zgłoś Udostępnij Opublikowano 2 Maja 2016 Czyli wszystko w porządku. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
set229 Opublikowano 2 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 2 Maja 2016 Dziękuję bardzo za pomoc i poświęcony czas. Pozdrawiam serdecznie. Odnośnik do komentarza
Rekomendowane odpowiedzi