choco Opublikowano 20 Lutego 2012 Zgłoś Udostępnij Opublikowano 20 Lutego 2012 Witam, mój problem polega na tym, że wszystkie wyniki wyszukiwania w google przekierowują się na stronę abnow com. Przeczytałem po necie, że jest to jakiś wirus, który to powoduje. Ogólnie to nie koniec wszystkich problemów. Centrum akcji w windows 7 (win 72 32bit) - Usługa centrum zabezp. systemu Windows jest wyłączona. Próba włączenia kończy się błędem: Nie można uruchomić usługi. Dodatkowo zepsuł się antywirus ESet smart s. 4.0. Próby przeinstalowania kończą się komunikatem, że nie udało się poprawnie zainstalować programu. Załączam logi z OTL: http://wklejto.pl/117606 http://wklejto.pl/117607 oraz GMER (który dodatkowo pokazał komunikat: Uwaga gmer znalazł modyfikacją systemu wskazującą na obecność rootkit'a): http://wklejto.pl/117608 http://wklejto.pl/117609 oraz po uruchomieniu combofixa: http://wklejto.pl/117711 AntiZeroAccess pokazał, że nie ma zagrożenia. tdskiller: http://wklejto.pl/117715 po wykonaniu tego skryptu w otl: :OTL [2012-02-19 11:45:26 | 000,000,000 | -HSD | C] -- C:\Users\Mariusz\AppData\Local\556fae70 [2012-02-19 16:38:29 | 000,319,840 | ---- | C] () -- C:\Windows\eins1549.dll [2012-01-21 16:35:09 | 000,000,000 | ---D | C] -- C:\Program Files\Ask.com O20 - HKU\S-1-5-21-2175038191-923838448-371509059-1000 Winlogon: Shell - (C:\Users\Mariusz\AppData\Local\556fae70\X) - C:\Users\Mariusz\AppData\Local\556fae70\X () O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab" (Reg Error: Key error.) O3 - HKLM\..\Toolbar: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O2 - BHO: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found IE - HKU\S-1-5-21-2175038191-923838448-371509059-1000\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found :Files netsh winsock reset /C :Commands [emptytemp] http://wklejto.pl/117718 ponownie z otl: http://wklejto.pl/117722 Antizeroaccess http://wklejto.pl/117721 FSS: http://wklejto.pl/117723 Proszę o sprawdzenie czy w systemie coś jeszcze zostało i nie ma jakiegoś spustoszenia. Ogólnie to teraz poprawiła się sytuacja z wyszukiwaniem. Mogę zainstalować i uruchomić antywirusa. Jednak chyba nie chce się pojawić flaga od centrum akcji na pasku zadań. Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2012 Zgłoś Udostępnij Opublikowano 21 Lutego 2012 po wykonaniu tego skryptu w otl: Co to za skrypt i skąd? Usuwanie wpisu O20 nie miało racji bytu, ten wpis usuwa ComboFix, toteż skrypt w OTL w ogóle go nie znalazł. Usuwane dwa wpisy "not found" w MozillaPlugins, które należy zostawić w spokoju, bo to jest pozorne "not found". Na dokładkę na chama usuwanie wpisów paska narzędziowego Ask Toolbar, podczas gdy tu trzeba było zrobić prawidłową jego deinstalację. Wpis był na liście zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar Konsekwencje: pasek jest tylko zlikwidowany z widoku w IE, w rejestrze śmietnik. Przywróć skasowany C:\Program Files\Ask.com na miejsce (siedzi w folderze kwarantanny C:\_OTL) i odinstaluj Ask Toolbar naturalną drogą poprzez Panel sterowania. Jeżeli wpis będzie tam niewidoczny, podam jak go uwidocznić. Proszę o sprawdzenie czy w systemie coś jeszcze zostało i nie ma jakiegoś spustoszenia. Ogólnie to teraz poprawiła się sytuacja z wyszukiwaniem.Mogę zainstalować i uruchomić antywirusa. Jednak chyba nie chce się pojawić flaga od centrum akcji na pasku zadań. Rozumiem, że wykonywałeś rekonstrukcyjne instrukcje tu z forum (?), czyli odtwarzanie usług Zapory (KLIK), gdyż w OTL Extras były błędy skasowanej usługi BFE, ale aktualny log z Farbar Service Scanner nie wykazuje naruszeń, ani usług Zapory, ani usługi Centrum. Mówisz o "fladze na pasku", dokładnie zweryfikuj czy usterka ma miejsce, bo nie ma tu już znaków defektu na poziomie serwisów. Ikona Centrum na pasku a działanie Centrum to dwie różne rzeczy. Czy w Panelu sterowania Centrum akcji zgłasza jakieś problemy? Co do resztek infekcji po wszystkich działaniach: 1. Skasuj jeszcze z dysku ten ukryty folder: [2012-02-19 11:49:48 | 000,000,000 | -HSD | C] -- C:\Windows\System32\%APPDATA% 2. Pozostał odnośnik do usługi ZeroAccess w wartości NetSvcs. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. Wejdź do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost Dwuklik na netsvcs i z listy tam widzianej usuń wpis wlidsvc. Nie narusz innych wpisów. . Odnośnik do komentarza
choco Opublikowano 21 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Skrypt podrzucony z innego forum. 1) Co do ask.com przywróciłem pliki, ale nie mam opcji w usuń programy, proszę o instrukcję jak usunąć. 2) Nic nie robiłem z rekonstrukcji. Tylko to co podałem w pierwszym poście i po tym zapora oraz centrum akcji działają. Problem z centrum akcji jest taki, że ikona nie pokazuje się na pasku zadań (wcześniej po 1-2 minutach od włączenia komputera się tam znajdowała). Teraz nie pojawia się nigdy. Jednak centrum akcji samo w sobie wygląda, że działa ok. Także w panelu sterowania centrum nic nie zgłasza, ale nie mam ikony (flagi) na pasku. 3) katalog %appdata% skasowany. 4) Wpis wlidsvc usunięty. Także to co zostało to ask.com (odinstalowanie) oraz ikona centrum akcji. Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2012 Zgłoś Udostępnij Opublikowano 21 Lutego 2012 1) Co do ask.com przywróciłem pliki, ale nie mam opcji w usuń programy, proszę o instrukcję jak usunąć. Wyeksportuj klucz do wglądu. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, za to w sekcji Własne opcje skanowania / skrypt wklej: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE} /S Klik w Skanuj. Przedstaw wynikowy log. Problem z centrum akcji jest taki, że ikona nie pokazuje się na pasku zadań (wcześniej po 1-2 minutach od włączenia komputera się tam znajdowała). Teraz nie pojawia się nigdy. Jednak centrum akcji samo w sobie wygląda, że działa ok. Także w panelu sterowania centrum nic nie zgłasza, ale nie mam ikony (flagi) na pasku. Ja rozumiem co mówisz, insynuuję tu niedopatrzenie w opcjach. Prawoklik na pasek zadań > Właściwości > w sekcji "Obszar powiadomień" Dostosuj > Włączanie i wyłączanie ikon systemowych > jaki status ma Centrum akcji. . Odnośnik do komentarza
choco Opublikowano 21 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2012 1) log z otl "wszystkie opcje ustaw na Brak + Żadne, za to w sekcji Własne opcje skanowania / skrypt " http://wklejto.pl/117840 2) we właściwościach paska 'centrum akcji' ma status: WYŁĄCZONE. Dropdown jest nieaktywny. Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2012 Zgłoś Udostępnij Opublikowano 21 Lutego 2012 1) log z otl 1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. Wejdź do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE} Dwuklik na NoRepair i zamień aktualne 1 na 0. Sprawdź czy wpis Ask Toolbar uwidocznił się na liście deinstalacji. 2. Jeżeli wpis się nie uwidoczni, spróbuj klawisz z flagą Windows + R i w Uruchom wklej komendę: MsiExec.exe /I{86D4B82A-ABED-442A-BE86-96357B70F4FE} 2) we właściwościach paska 'centrum akcji' ma status: WYŁĄCZONE. Dropdown jest nieaktywny. Zastosuj ten oto automat Fix-it: KB945011. Narzędzie zresetuje Obszar powiadomień. . Odnośnik do komentarza
choco Opublikowano 21 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2012 1. klucz zmieniłem. W liście usuń programy nadal go nie było, również po resecie kompa. Msiexec również nie pomógł 'Instalacja paska została anulowana, w systemie wykryto zainstalowany pasek pobrany z ask.com', niezależnie jaką opcję (modyfikuj, napraw) wybiorę. W tym miejscu mam pytanie, bo używam windows 7 manager smart uninstaller i jest tam możliwość usuniecia tych plików z dysku oraz wpisów z rejestru, zrobić to czy to nic nie da? screen tak wygląda: 2. fix-it nic nie pomógł, nadal opcja wyłączone jest nieaktywna, ikona się nie pojawia. Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2012 Zgłoś Udostępnij Opublikowano 21 Lutego 2012 W tym miejscu mam pytanie, bo używam windows 7 manager smart uninstaller i jest tam możliwość usuniecia tych plików z dysku oraz wpisów z rejestru, zrobić to czy to nic nie da? To posłuż się Smart Uninstaller. Widzi Ask Toolbar jako zainstalowany i z tego co prezentuje ekran wygląda to na prawidłową detekcję składników. Jak widać po fragmentach rejestru, procedura obszerniejsza niż wywalanie na łebka dwóch wpisów Ask z IE. 2. fix-it nic nie pomógł, nadal opcja wyłączone jest nieaktywna, ikona się nie pojawia. Przeprowadź proces ręcznie. 1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > w kluczu: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify Skasuj wartości IconStreams + PastIconsStream. 2. Przeładuj explorer.exe w menedżerze zadań. . Odnośnik do komentarza
choco Opublikowano 22 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2012 ask się pozbyłem, dzięki a co do drugiego, to usunąć mam tylko zawartość wpisów iconstreams i pasticonstream czy całe te wpisy? próbowałem i tak i tak, ale efekt nadal ten sam, że we właściwościach ikona centrum akcji jest nieaktywna, no i ogólnie sie nie pojawia. Potem odpaliłem jeszcze raz fix-it, ale też bez efektu. Próbowałem z resetem explorer.exe oraz ponownym uruchomieniem komputera. Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 a co do drugiego, to usunąć mam tylko zawartość wpisów iconstreams i pasticonstream czy całe te wpisy? Całe wartości jako takie, bez edycji punktowej. efekt nadal ten sam, że we właściwościach ikona centrum akcji jest nieaktywna, no i ogólnie sie nie pojawia. Wprawdzie log z OTL dostarczony w poście nr 1 żadnych relatywnych polis (HideSCAHealth) nie pokazuje, ale zrób skan rejestru pod tym kątem. Uruchom OTL, wszystko ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej co poniżej i klik w Skanuj. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /S HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /S . Odnośnik do komentarza
choco Opublikowano 22 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2012 otl dla powyższego skryptu: http://wklejto.pl/117956 Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2012 Zgłoś Udostępnij Opublikowano 23 Lutego 2012 Zgodnie z tym co mówił wcześniej log z OTL, nie ma blokad tego rodzaju. Coś mi się tu nie zgadza. Kolejne próby: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wpisz komendę korekty Repozytorium: winmgmt /salvagerepository Zresetuj system. Przy braku skutków: 2. Pokaż skan na klucze Centrum jako takiego. Uruchom OTL, wszystko ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej co poniżej i klik w Skanuj. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc /S HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Action Center /S . Odnośnik do komentarza
choco Opublikowano 23 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2012 1. Wynik: rejestr jest spójny. Po resecie nadal ten sam efekt. Ikona centrum ma status nieaktywny. 2. http://www.wklejto.pl/118033 Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2012 Zgłoś Udostępnij Opublikowano 24 Lutego 2012 1. Anomalia, którą widzę, to brak podklucza Security usługi Centrum. Zaimportuj brakujący wpis. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal Zresetuj system. 2. Przy braku skutków w/w akcji, spróbujmy z innej strony, czyli wymuszenie obecności ikony przez politykę: Start > w polu szukania wpisz gpedit.msc > z prawokliku Uruchom jako Administrator. Przejdź do: Konfiguracja użytkownika > Szablony administracyjne > Menu Start i pasek zadań > dwuklik na opcję "Usuń ikonę Centrum akcji" i zaznacz "Wyłączone". Po zatwierdzeniu zmian zresetuj system. . Odnośnik do komentarza
choco Opublikowano 24 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2012 1. Wykonane, po resecie brak efektu. 2. Zmieniłem na Wyłączone, po resecie dropdown od ikony centrum akcji nadal nieaktywnych w ustawieniach ikon systemowych. Ikona nie pojawia się. Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2012 Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Szczerze mówiąc nie widzę powodu dla którego ikona jest nieaktywna: Centrum działa, usługa skorygowana, brak polis HideSCAHealth, zresetowany obszar TrayNotify na bazie dwóch sposobów, repozytorium jakoby spójne. Wygeneruj kopię rejestru za pomocą RegBak, wszystko zapakuj do ZIP, shostuj gdzieś i podeślij tu link. Przejrzenie tego będzie czasochłonne i nie za szybko to zrobię. . Odnośnik do komentarza
choco Opublikowano 25 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 25 Lutego 2012 Ok. Podrzucam link ze skanu RegBak link. Czy brak tej ikony wpływa jakoś na działanie Centrum akcji, czy wszelkie zachowania są normalne jak do tej pory? Ok, rozumiem, że to może być czasochłonne. W wolnej chwili proszę zerknij. Dziękuję! Odnośnik do komentarza
choco Opublikowano 28 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Marca 2012 witam, i jak tam, miałaś okazję zaglądnąć na ten mój nieszczęsny rejestr? Odnośnik do komentarza
picasso Opublikowano 28 Marca 2012 Zgłoś Udostępnij Opublikowano 28 Marca 2012 Już dawno przejrzałam, ale nic z tego dla mnie nie wynika. Na chwilę obecną nie znam przyczyny zaniku ikony. Jeszcze na wszelki wypadek zapytam ... czy w services.msc ręczne wstrzymanie pracy usługi, a następnie jej wznowienie nic nie daje? Odnośnik do komentarza
choco Opublikowano 31 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Marca 2012 Nie mogę znaleźć 'centrum akcji' na liście. Jedynie centrum zabezpieczeń. Przejrzałem całą listę i nie widzę nic co by przypominało centrum akcji. Odnośnik do komentarza
picasso Opublikowano 31 Marca 2012 Zgłoś Udostępnij Opublikowano 31 Marca 2012 Centrum zabezpieczeń w services.msc = Centrum akcji w Panelu sterowania. Odnośnik do komentarza
choco Opublikowano 31 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Marca 2012 Nie pomogło. Jakbyś jeszcze miała jakiś pomysł to daj znać dzięki. Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2012 Zgłoś Udostępnij Opublikowano 7 Grudnia 2012 W końcu udało mi się to rozwiązać: KLIK. Odnośnik do komentarza
choco Opublikowano 12 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Import do rejestru z tego posta: klik pomógł. Ikona wróciła na swoje miejsce. Dzięki za pamięć i pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi