picasso

To samo problematyczne miejsce. Zmiana metody: 1. Uruchom AdwCleaner ponownie, ale tym razem zastosuj sekwencję opcji Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\torch RemoveDirectory: C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\Comodo RemoveDirectory: C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\Google\Chrome SxS RemoveDirectory: C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji\torch RemoveDirectory: C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji\Comodo RemoveDirectory: C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji\Google RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Kończymy: 1. Mini skrypt końcowy. Otwórez Notatnik i wklej: S2 SSPORT; \??\C:\WINDOWS\system32\Drivers\SSPORT.sys [X] RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS CMD: del /q C:\Users\Karol\Downloads\uvvrvjk5.exe CMD: del /q C:\Users\Karol\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe CMD: del /q C:\WINDOWS\Minidump\*.dmp Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Materiał edukacyjny na co uważać, by ograniczyć podobne problemy w przyszłości: KLIK.

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

vs. Podświetlić konto user i opcja Detach, nawet jeśli w oknie widnieje połączenie z C:\Users\user. Następnie połączyć to konto z katalogiem C:\Users\user.

Wyraźnie mówiłam, że teraz ma być uruchomiony skrypt FRST w Trybie awaryjnym. Zapisujesz plik fixlist.txt > wchodzisz w Tryb awaryjny > uruchamiasz FRST i opcja Napraw.

Jaki problem z instalacją, co się pokazało? Skoro jak rozumiem już został zainstalowany, bo go próbujesz uruchamiać, to sprawdź czy da się go uruchomić z poziomu Trybu awaryjnego Windows.

Zamiennie sprawdź co powie Kaspersky TDSSKiller. Jeśli nic nie wykryje, log z niego zbędny. I jakoś szczerze wątpię, by tu był rootkit...

Kończymy: 1. Zastosj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania na co uważać: KLIK.

Wszeystko zrobione. Kończymy: 1. Ostatni fiks. Otwórz Notatnik i wklej w nim: Task: {FBEA54EC-F34D-4090-9BE5-E623CC794566} - System32\Tasks\SpyHunter3 => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter3.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Enigma Software Group RemoveDirectory: C:\Users\Przemek\Desktop\Stare dane programu Firefox RemoveDirectory: C:\zoek_backup CMD: del /q "C:\Users\Przemek\Downloads\SpyHunter Security Suite v3.12.31 [ENG] [Crack].rar" CMD: del /q C:\WINDOWS\System32\Tasks\SpyHunter3 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Zrobione. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) usuń pobrane skanery i ich logi z folderu C:\Moje pliki + C:\Moje pliki\Program do przegladarki. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania czego unikać: KLIK.

Chodzi o Tryb awaryjny Windows: KLIK. A AVG wykrył kopię szkodnika w folderze Przywracania systemu (System Volume Information). Tym się na razie w ogóle nie zajmuj. Zawsze na końcu tematu podaję czyszczenie tych folderów wykonane najbardziej poprawną metodą (czyszczenie tam antywirusem to nie jest dobry pomysł).

Nie podałeś mi w jakiej ścieżce AVG wykrył "MalSign.Installcore.A51". A z raportu AdwCleaner widać gdzie zastopowało skrypt FRST. Zrób w Notatniku nowy skrypt fixlist.txt o takiej treści: DeleteKey: HKU\S-1-5-19\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B} DeleteKey: HKU\S-1-5-20\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B} DeleteKey: HKU\S-1-5-21-682003330-1383384898-2147005927-1005\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B} RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\apn RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0215tb RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0814av RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_1214tb RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_1215tb RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\d92f42d7691ad949 RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\SuperbApp RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\safeewebu RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\YoutubeAdblocker RemoveDirectory: C:\Documents and Settings\Mariush\Dane aplikacji\istartsurf RemoveDirectory: C:\Documents and Settings\Mariush\Moje dokumenty\Optimizer Pro RemoveDirectory: C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\AVG Secure Search RemoveDirectory: C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\torch RemoveDirectory: C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\Comodo RemoveDirectory: C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\Google\Chrome SxS RemoveDirectory: C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji\torch RemoveDirectory: C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji\Comodo RemoveDirectory: C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji\Google RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\safeewebu RemoveDirectory: C:\Program Files\YoutubeAdblocker RemoveDirectory: C:\Program Files\safeewebu RemoveDirectory: C:\Program Files\YoutubeAdblocker RemoveDirectory: C:\Program Files\Optimizer Pro CMD: del /q C:\END Uruchom z poziomu Trybu awaryjnego Windows i dostarcz wynikowy fixlog.txt.

Sprawdź czy GMER wykona się z poziomu Trybu awaryjnego Windows. A Fix FRST pomyślnie wdrożony.

Shortcut.txt owszem brakuje, ale on tu nie wniesie nic do sprawy. Temat przenoszę do działu Windows. To nie jest problem infekcji. Tytułowy rpcnet.exe to jest część LoJack (systemu namierzania i odzyskiwania skradzionego laptopa): 2015-12-12 17:55 - 2015-12-12 17:55 - 00017408 _____ C:\WINDOWS\SysWOW64\rpcnetp.dll 2015-12-12 17:54 - 2015-12-12 17:54 - 00017408 ____N C:\WINDOWS\SysWOW64\rpcnetp.exe Library C:\WINDOWS\SysWOW64\rpcnet.exe (*** suspicious ***) @ C:\WINDOWS\SysWOW64\rpcnet.exe [6100] 00000000011d0000 Library C:\WINDOWS\SYSTEM32\rpcnet.dll (*** suspicious ***) @ C:\WINDOWS\SysWOW64\rpcnet.exe [6100] 000000006d260000 Library C:\WINDOWS\SYSTEM32\rpcnet.dll (*** suspicious ***) @ C:\WINDOWS\SysWOW64\svchost.exe [5852] 000000006d260000 Library C:\WINDOWS\SYSTEM32\rpcnet.dll (*** suspicious ***) @ C:\WINDOWS\SysWOW64\OpenWith.exe [2652] 000000006d260000 A z raportów nic nie wynika pod kątem problemu zasadniczego. Patrząc na ostatnie błędy z Dziennika zdarzeń: Dziennik Aplikacja: ================== Error: (12/12/2015 05:56:04 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: ZeroConfigService.exe, wersja: 16.1.0.0, sygnatura czasowa: 0x521e80f5 Nazwa modułu powodującego błąd: MurocApi.dll, wersja: 16.1.0.0, sygnatura czasowa: 0x521e7ff7 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0000000000026570 Identyfikator procesu powodującego błąd: 0xa84 Godzina uruchomienia aplikacji powodującej błąd: 0xZeroConfigService.exe0 Ścieżka aplikacji powodującej błąd: ZeroConfigService.exe1 Ścieżka modułu powodującego błąd: ZeroConfigService.exe2 Identyfikator raportu: ZeroConfigService.exe3 Pełna nazwa pakietu powodującego błąd: ZeroConfigService.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: ZeroConfigService.exe5 Error: (12/12/2015 05:46:13 PM) (Source: ATIeRecord) (EventID: 16391) (User: ) Description: ATI EEU maximum number of session has been surpassed Error: (12/12/2015 05:45:19 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program explorer.exe w wersji 6.3.9600.17667 przestał współpracować z systemem Windows i został zamknięty. Aby sprawdzić, czy jest dostępnych więcej informacji na temat tego problemu, sprawdź historię problemu w aplecie Centrum akcji w Panelu sterowania. Identyfikator procesu: c04 Godzina rozpoczęcia: 01d134fb8aca9cde Godzina zakończenia: 0 Ścieżka aplikacji: C:\Windows\explorer.exe Identyfikator raportu: b9587f39-a0ef-11e5-bec3-6817297a4490 Pełna nazwa pakietu powodującego błąd: Identyfikator aplikacji względem pakietu powodującego błąd: Dziennik System: ============= Error: (12/12/2015 05:59:56 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa HP Network Devices Support zawiesiła się podczas uruchamiania. Error: (12/12/2015 05:56:10 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa Intel® PROSet/Wireless Zero Configuration Service niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Sugestie: 1. Błędy "ATI EEU maximum number of session has been surpassed": Tu klaruje się główny problem ze sterownikami i/lub urządzeniem grafiki, co wyjaśniałoby te freezy. Zacząć od próby aktualizacji sterowników. 2. Błędy explorer.exe: przetestuj czy mają wpływ niedomyślne rozszerzenia powłoki. Uruchom ShellExView x64. W programie przez klik w kolumnę Company posortuj wszystkie niedomyślne wpisy (wyróżnione na różowym tle), by ułożyły się w jednym bloku. Z wciśniętym CTRL zaznacz wszystkie różowe > z prawokliku wyłącz wszystkie > restart systemu. 3. Wieszająca się usługa HP Network Devices Support: po prostu wyłącz w przystawce services.msc. PS. Do czyszczenia są także drobne puste wpisy (np. po odinstalowanym McAfee), ale nie mają żadnego znaczenia i na razie się tym nie zajmuję.

Niestety bardziej potrzebny jest plik z pierwszego podejścia, by się upewnić gdzie przerwało. W związku z tym zrób ponownie log AdwCleaner z opcji Skanuj. On potwierdzi ile się wykonało.

Nie wiem o co chodzi z tymi błędami ładowania plików - na pewno rozpakowałeś archiwa? W związku z tym wykonaj tę zaległą część:

Wprawdzie skrypt miał być uruchomiony z poziomu RE a nie trybu normalnego, ale zadanie wykonane. Teraz: 1. Usuń używane narzędzia za pomocą DelFix. 2. Na wszelki wypadek zrób jeszcze skan za pomocą Hitman Pro. Nic nie usuwaj, tylko podaj wyniki. By plik wszedł w załącznik, musi mieć rozszerzenie *.txt (po prostu zapisz ponownie do nowego pliku).

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Zastosuj ten skrypt w zamian: Replace: C:\Pliki\MpSvc.dll C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.1.7600.16385_none_579306edb982ae36\MpSvc.dll Replace: C:\Pliki\MpSvc.dll C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.1.7601.17514_none_59c41ab5b67131d0\MpSvc.dll Replace: C:\Pliki\MpSvc.dll C:\Program Files\Windows Defender\MpSvc.dll Przedstaw wynikowy Fixlog.txt.

Wszystko wykonane. Poproszę jeszcze o: Uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Tym razem poszło. Wszystko wykonane. Teraz jeszcze: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wyraźnie jest powiedziane w zasadach, by nie ponawiać skryptu na własną rękę, o ile nie zostaniesz poinstruowany, by tak zrobić. Skrypt leci ekspresem, zwłaszcza taki jak powyżej. 2 godziny to na pewno to nie jest poprawny czas wykonania. Przerwij działanie i dostarcz plik fixlog.txt - jest niekompletny, ale powinien mieć nagraną choć część zadań do momentu wystąpienia błędu. Nie wiadomo w jakiej ścieżce. Podaj dokładny wyciąg z dziennika AVG.

Wszystko zrobione. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Materiał edukacyjny, by uniknąć podobnych problemów w przyszłości: KLIK.

Wszystko zrobione. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Materiał edukacyjny, by uniknąć podobnych problemów w przyszłości: KLIK.

Obecnie konto nie ma w ogóle dostępu do własnych danych, uruchamia się z C:\Users\TEMP (zawartość goła i wesoła), więc już w tym momencie jest "brak danych". Dane konta są w katalogu C:\Users\user i to co próbuję tu zrobić, to właśnie przekierować katalogi. Ta operacja tylko linkuje katalog i nic z niego nie usuwa. Natmiast czy to się uda, to już inna sprawa. Jeśli się nie uda, konto jest dokumentnie uszkodzone. Na razie proszę wykonaj tylko to o czym mówię (Reprofiler + nowe logi FRST z poziomu konta Rodzice).