UKASH raz jeszcze ...

[b00n]

Załączam logi z OTL i bardzo proszę o pomoc.

 

Ogólnie dość mocno dbam o system, więc zdziwiło mnie nieco złapanie tego trojana. Być może pochodzi on z dysku, który dostałem od szefa, żeby zgrać na niego pracę - czy istnieje taka możliwość ? Stało się to dopiero dzisiaj, właśnie kilka godzin po podłączeniu owego dysku. Nie wiem, czy ma to znaczenie, ale podłączyłem go właśnie i raz jeszcze przeskanowałem komputer OTL'em - załączam nowe logi.

Extras.Txt

OTL.Txt

Edytowane 6 Lipca 2012 przez picasso
Posty łączę, nadwyżkę logów usuwam. //picasso

[picasso]

Być może pochodzi on z dysku, który dostałem od szefa, żeby zgrać na niego pracę - czy istnieje taka możliwość ? Stało się to dopiero dzisiaj, właśnie kilka godzin po podłączeniu owego dysku. Nie wiem, czy ma to znaczenie, ale podłączyłem go właśnie i raz jeszcze przeskanowałem komputer OTL'em - załączam nowe logi.

 

OTL skanuje tylko dysk systemowy. Ponownie zrobione logi nic nie wnoszą do sprawy i odcinam je. A w kwestii nabycia infekcji, to wątpliwe by to przeszło z cudzego dysku. Dyskusja o źródłach infekcji: KLIK. Źródłem jest URL.

 

 

---

Przechodząc do usuwania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4:64bit: - HKLM..\Run: [wincredprovider] C:\Users\bieniu\AppData\Local\Microsoft\Windows\2029\wincredprovider.exe ()
 
:Files
C:\Users\bieniu\AppData\Local\Microsoft\Windows\2029
C:\Users\bieniu\AppData\Roaming\hellomoto
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, a Windows zostanie odblokowany. W katalogu D:\_OTL pojawi się log z wynikami usuwania.

 

2. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania wygenerowany automatycznie w punkcie 1.

 

 

 

.

[b00n]

Windows został odblokowany - dziękuję.

 

Załączam też wymagane pliki.

07062012_024110.txt

OTL.Txt

[picasso]

Wszystko wykonane. Czynności końcowe:

 

1. W OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj weryfikację / aktualizację określonych programów: KLIK. Z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

 

4. Jeszcze mnie zastanawiają te błędy w Dzienniku zdarzeń:

 

 

 

Error - 2012-07-05 07:35:06 | Computer Name = bieniu-PC | Source = Application Error | ID = 1000
Description = Faulting application name: svchost.exe_MpsSvc, version: 6.1.7600.16385,
 time stamp: 0x4a5bc3c1  Faulting module name: ntdll.dll, version: 6.1.7601.17725,
 time stamp: 0x4ec4aa8e  Exception code: 0xc0000006  Fault offset: 0x000000000002b1ed
Faulting
 process id: 0x670  Faulting application start time: 0x01cd5aa2378ba273  Faulting application
 path: C:\Windows\system32\svchost.exe  Faulting module path: C:\Windows\SYSTEM32\ntdll.dll
Report
 Id: 775485b1-c695-11e1-a8d3-c86000bd4c76
 
Error - 2012-07-05 07:35:06 | Computer Name = bieniu-PC | Source = Application Error | ID = 1000
Description = Faulting application name: Dwm.exe, version: 6.1.7600.16385, time 
stamp: 0x4a5bc541  Faulting module name: dwmcore.dll, version: 6.1.7601.17514, time
 stamp: 0x4ce7c62d  Exception code: 0xc0000006  Fault offset: 0x0000000000013dd0  Faulting
 process id: 0x7dc  Faulting application start time: 0x01cd5aa2379ead75  Faulting application
 path: C:\Windows\system32\Dwm.exe  Faulting module path: C:\Windows\system32\dwmcore.dll
Report
 Id: 7754acc1-c695-11e1-a8d3-c86000bd4c76
 
Error - 2012-07-05 07:35:06 | Computer Name = bieniu-PC | Source = Application Error | ID = 1005
Description = Windows cannot access the file C:\Windows\System32\en-US\FirewallAPI.dll.mui
 for one of the following reasons:  there is a problem with the network connection,
 the disk that the file is stored on, or the storage  drivers installed on this computer;
 or the disk is missing.  Windows closed the program Host Process for Windows Services
 because of this error.    Program: Host Process for Windows Services  File: C:\Windows\System32\en-US\FirewallAPI.dll.mui
 
The
 error value is listed in the Additional Data section.  User Action  1. Open the file
 again.  This situation might be a temporary problem that corrects itself when the
 program runs again.  2.  If the file still cannot be accessed and   - It is on the network,
your
 network administrator should verify that there is not a problem with the network
 and that the server can be contacted.   - It is on a removable disk, for example, 
a floppy disk or CD-ROM, verify that the disk is fully inserted into the computer.
3.
 Check and repair the file system by running CHKDSK. To run CHKDSK, click Start,
 click Run, type CMD, and then click OK. At the command prompt, type CHKDSK /F, 
and then press ENTER.  4. If the problem persists, restore the file from a backup 
copy.  5. Determine whether other files on the same disk can be opened. If not, the
 disk might be damaged. If it is a hard disk, contact your administrator or computer
 hardware vendor for  further assistance.    Additional Data  Error value: C0000185  Disk 
type: 3
 
Error - 2012-07-05 07:35:06 | Computer Name = bieniu-PC | Source = Application Error | ID = 1005
Description = Windows cannot access the file C:\Windows\System32\dwmcore.dll for
 one of the following reasons:  there is a problem with the network connection, the
 disk that the file is stored on, or the storage  drivers installed on this computer;
 or the disk is missing.  Windows closed the program Desktop Window Manager because
 of this error.    Program: Desktop Window Manager  File: C:\Windows\System32\dwmcore.dll
 
The
 error value is listed in the Additional Data section.  User Action  1. Open the file
 again.  This situation might be a temporary problem that corrects itself when the
 program runs again.  2.  If the file still cannot be accessed and   - It is on the network,
your
 network administrator should verify that there is not a problem with the network
 and that the server can be contacted.   - It is on a removable disk, for example, 
a floppy disk or CD-ROM, verify that the disk is fully inserted into the computer.
3.
 Check and repair the file system by running CHKDSK. To run CHKDSK, click Start,
 click Run, type CMD, and then click OK. At the command prompt, type CHKDSK /F, 
and then press ENTER.  4. If the problem persists, restore the file from a backup 
copy.  5. Determine whether other files on the same disk can be opened. If not, the
 disk might be damaged. If it is a hard disk, contact your administrator or computer
 hardware vendor for  further assistance.    Additional Data  Error value: C0000185  Disk 
type: 3

 

 

 

Czy systemowa Zapora i interfejs Aero działają poprawnie?

 

 

PS. Apropos Tlen.pl: aplikacja nierozwijana i porzucona przez firmę (tak, chodzi o wersję 7). Zainteresuj się alternatywami, a propozycją jest WTW (obsługa obu sieci: GG + Tlen.pl). Opis w artykule Darmowe komunikatory.

 

 

.

[b00n]

Sprzątanie - wykonane; foldery przywracania systemu - wyczyszczone; podane aplikacje - zaktualizowane. Zastanawiam się jeszcze nad Tlenem, ponieważ korzystam z wersji 6 i jestem do niej bardzo przyzwyczajony. Jeżeli nie jest to niebezpieczne, to wolałbym pozostać przy tym komunikatorze. W przeciwnym wypadku zainstaluję WTW.

 

Jeżeli chodzi o firewall, to wszystko wydaje się działać w porządku, natomiast faktycznie występują problemy z Areo i ma to miejsce w dwóch przypadkach. Pierwszy występuje podczas korzystania z aplikacji EDIUS - po jej uruchomieniu Aero się wyłącza, ale jest to normalne i ma miejsce od wczesnych wersji tego programu. Drugi przypadek może być nieco bardziej niepokojący i zarazem irytujący. Akurat pech chciał, że wystąpił dziś rano, tuż po włączeniu komputera. Po uruchomieniu systemu, Aero jest automatycznie wyłączone i pokazuje się następujący błąd:

 

Problem signature:
 Problem Event Name: InPageCoFire
 Error Status Code: c0000185
 Faulting Media Type: 00000003
 Damaged file name: dxgi.dll
 OS Version: 6.1.7601.2.1.0.256.48
 Locale ID: 1045
 Additional Information 1: ff91
 Additional Information 2: ff91c2b9864a6c81f96a7ab71a902f64
 Additional Information 3: 3d18
 Additional Information 4: 3d18d0c376678274f7906b51387dbc60

 

Po małym "riserczu" w internecie, zorientowałem się, że sporo osób boryka się z tym problemem. Wystarczy wtedy ręcznie zatrzymać proces "Desktop Windows Manager" i uruchomić go ponownie, żeby Aero zaczęło działać. Tak czy siak - nie wiem, co jest przyczyną tego problemu. Zaczął on występować po zmianie platformy na nową.

[picasso]

Drugi przypadek może być nieco bardziej niepokojący i zarazem irytujący. Akurat pech chciał, że wystąpił dziś rano, tuż po włączeniu komputera. Po uruchomieniu systemu, Aero jest automatycznie wyłączone i pokazuje się następujący błąd

 

Nasuwają mi się następujące kroki:

 

1. Diagnostyk Aero: KLIK.

 

2. Weryfikacja sfc /scannow, przefiltruj log do wystąpień znaczników [sR]: KLIK.

 

3. Aktualizacja sterowników grafiki.

 

 

Zastanawiam się jeszcze nad Tlenem, ponieważ korzystam z wersji 6 i jestem do niej bardzo przyzwyczajony. Jeżeli nie jest to niebezpieczne, to wolałbym pozostać przy tym komunikatorze. W przeciwnym wypadku zainstaluję WTW.

 

Tlen 6 to jeszcze gorzej niż Tlen 7. Jest to po prostu stara aplikacja (nie wspominając o braku natywnej wersji x64), obsługa sieci kiepska, luki też możliwe (nikt tego nie aktualizuje). Namawiam Cię jednak do równoległej instalacji WTW, pooglądaj go, posmakuj. To nic nie przeszkadza, że będzie równolegle z Tlenem siedział, aż zdecydujesz który z nich zostaje.

 

 

 

.

[b00n]

1. Diagnostyk Areo stwierdził, że moja obecna karta graficzna nie może wyświetlać efektów Areo - mimo, że w tej chwili wszystko działa tak, jak należy.

2. Nie znaleziono żadnych błedów/problemów.

3. Obecnie posiadam sterowniki Catalyst 12.4. Niedawno wyszła wersja 12.6 (nie było wersji 12.5), ale sporo osób narzeka, że sprawia ona problemy, więc poczekam jednak na bardziej dopracowane i stabilniejsze wydanie.

 

Tak czy siak - dziękuję bardzo za rozwiązanie największego problemu, czyli kwestii UKASH'a.