Skocz do zawartości
Nadchodzące zmiany w logowaniu

picasso

Administratorzy
 Pokaż profil  Zobacz aktywność

  • Postów

    36 516

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Treść opublikowana przez picasso

  1. picasso
    Fix wykonany. 1. Usuń z Pulpitu folder FRST. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Pozostaje sprawa telefonu - czy sprawdziłeś jak sprawy się tam mają? Jeśli nadal byłby problem, to byłoby konieczne opróżnienie cache DNS urządzenia, co może się sprowadzać do resetu ustawień firmowych.
  2. picasso
    Wszystkie problemy rozwiązane. Kończymy: 1. Usuń FRST z folderu C:\Users\Anna\Downloads\f\Nowy folder. Następnie zastosuj DelFix. 2. Przywróć wybranego antywirusa w najnowszej z dostępnych wersji. Nic szczególnego nie sugeruję, dobierz dowolny z czołówki (darmowy lub komercyjny, byle bez cracków).
  3. picasso
    Nic z tej listy nie wynika, ona wygląda poprawnie. Pętla jest, czyli powrót do tych samych opcji niezależnie od wyboru trybu. Komputer został gwałtownie wyłączony, chkdsk widział jakieś błędy, system jest zablokowany na ładowaniu w kółko opcji naprawczych, a pierwszy log FRST wykazywał niemożność podmontowania rejestru = moim zdaniem to wszystko wygląda na uszkodzenie rejestru (pliki z C:\Windows\system32\config). Poważny problem z kopiami zapasowymi. Brak punktów Przywracania systemu, a kopia zapasowa rejestru zrobiona przez system (C:\Windows\system32\config\RegBack) jest strasznie stara, co ją wyklucza: LastRegBack: 2010-12-07 11:34 Ten odczyt też jest nienormalny, w normalnych okoliczościach częstotliwość RegBack jest inna. W tej sytuacji zostaje reinstalacja systemu...
  4. picasso
    Akcje pomyślnie wykonane. Drobne poprawki. Otwórz Notatnik i wklej: HKLM\...\Run: [avast5] => "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui S3 avast! Mail Scanner; "C:\Program Files\Alwil Software\Avast5\AvastSvc.exe" [X] S3 avast! Web Scanner; "C:\Program Files\Alwil Software\Avast5\AvastSvc.exe" [X] S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] C:\Users\MAREK\Documents\Documents.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\AVAST Software RemoveDirectory: C:\Program Files\BRONTOKRemoval Tool RemoveDirectory: C:\Program Files\brontok .a 10removaltool RemoveDirectory: C:\Users\MAREK\Desktop\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Opisywane problemy mają inną przyczynę niż infekcja. Rzuca się w oczy: 1. Po pierwsze, przyczyna podstawowa zamuły to ilość wolnego miejsca na dysku. Tu tragedia i prawdopodobnie to jest główny powód zdarzeń: Drive c: (eMachines) (Fixed) (Total:135.94 GB) (Free:2.09 GB) NTFS Należy uwolnić więcej miejsca, 10GB wolnego byłoby bardziej odpowiednią skalą... Odinstaluj nieużywane / zbędne programy firmowe eMachines. Zanalizuj dysk za pomocą SpaceSniffer (z prawokliku "Uruchom jako Administrator") co i skąd można jeszcze usunąć. 2. Drugi aspekt już wskazywany przez Ciebie, mało RAM: ==================== Statystyki pamięci =========================== Procesor: Intel® Atom™ CPU N450 @ 1.66GHz Procent pamięci w użyciu: 85% Całkowita pamięć fizyczna: 1013.1 MB Dostępna pamięć fizyczna: 150.79 MB Całkowita pamięć wirtualna: 2037.1 MB Dostępna pamięć wirtualna: 1008.18 MB Przy ograniczonej ilości pamięci i niemożności jej rozszerzenia, nasuwa mi się jedynie zbijanie procesów.
  5. picasso
    1. Usuń skaner Kasperskiego z dysku, następnie przez SHIFT+DEL (omija Kosz) skasuj folder C:\KVRT_Data. 2. Zrób jeszcze skan za pomocą Hitman Pro i dostarcz wyniki.
  6. picasso
    Log z USBFix wykazuje na pendrive jeden widoczny skrót oraz chmarę ukrytych plików z sufiksem *.VIR (co wygląda już na robotę antywirusa) - zakładam, że to wszystko można usunąć. Są też dwa pliki o rozszerzeniu *.PDF i tu nie mając pewności czy to poprawne dane na razie opuszczam. Czy te obiekty "PDF" to znane Ci obiekty? Na razie je odkryję, potwierdź co ma być naprawdę na tym pendrive. | G:\ - Removable drive (FAT) | [16/10/2015 - 11:23:34 | SH | 40 Ko] - G:\XPAND PLUS 16102015 upgreade 10.1.pdf [16/10/2015 - 11:34:54 | SH | 40 Ko] - G:\XPAND PLUS 16102015 upgreade 10.1SP1.pdf [17/10/2015 - 21:39:22 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4.VIR [17/10/2015 - 21:39:22 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0_508.VIR [17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4_1614.VIR [17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0_508_4c4.VIR [17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4_1614_1664.VIR [17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0_508_4c4_123c_12e4.VIR [17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0_508_4c4_123c.VIR [17/10/2015 - 21:39:54 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_1614.VIR [17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4_1614_1664_9f0.VIR [17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4_1614_1664_9f0_6c4.VIR [17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4_1614_1664_9f0_6c4_1614.VIR [17/10/2015 - 21:39:54 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_11f4.VIR [17/10/2015 - 21:39:54 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_1664.VIR [17/10/2015 - 21:39:54 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_18c.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_9f0.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_123c.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_123c.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_12e4.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c.VI0 [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_11f4.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_1664.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_4c4.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_18c.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_4c4.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_11f4.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_123c.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_1614.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_4c4.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_11f4.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_12e4.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4.VI0 [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_508.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1664.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_12e4.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1614.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_1614.VIR [17/10/2015 - 22:05:30 | A | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0_508.lnk [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_4c4.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_9f0.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0_6c4.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4_18c.VIR Natomiast jeśli chodzi o infekcję w starcie, to jest dobrze widoczna. Do przeprowadzenia następujące akcje: 1. Zakładam, że pendrive widać nadal pod literą G:. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\z00269rd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\99_c94.VIR [2015-10-14] () HKU\S-1-5-21-1343024091-1935655697-839522115-42261\...\Run: [99] => wscript.exe //B "C:\Users\z00269rd\AppData\Roaming\99.vbs" CHR HKLM\SOFTWARE\Policies\Google: Restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKU\S-1-5-21-1343024091-1935655697-839522115-42261\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction Task: {BBEF6982-D1C3-4C32-972C-32873DE85E35} - System32\Tasks\{B119E8BE-705F-45E7-8153-13E5DFC38EE6} => pcalua.exe -a "C:\New folder\tblpad.exe" -d "C:\New folder" C:\Program Files (x86)\GUT4A98.tmp C:\Program Files (x86)\GUT5C2E.tmp C:\Users\z00269rd\AppData\Roaming\99.vbs G:\*.lnk G:\*.VIR CMD: attrib /s -s -h G:\*.pdf Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz USBFix z opcji Listing. Dołącz też plik fixlog.txt. Mam też pytanie dodatkowe. System wygląda na firmowy, bądź powiązany z jakąś siecią. Są w raporcie widoczne różne Policies, w tym blokada Windows Update i pokazywania ikony Centrum zabezpieczeń w zasobniku. Czy to są świadome modyfikacje?
  7. picasso
    Google Chrome i Opera korzystają z innych instalacji Adobe Flash. Google Chrome ma trwale zintegrowany we własnych trzewiach (nie korzysta z zewnętrznych instalacji). Opisywany problem wygląda na związany z metodologią uzyskiwania dostępu: KLIK. I jak masz skonfigurowane zezwolenia dostępu w Google Chrome: KLIK?
  8. picasso

    Podwójny conhost.exe...

    picasso odpowiedział(a) na kurde temat w Windows 7

    Obrazek z "Pokaż procesy wszystkich użytkowników" nie był mi potrzebny. Te dane są dla mnie jasne bez ich oglądania. To były objaśnienia dla Ciebie, by wskazać że "Odmowa dostępu" nie była żadnym problemem. I proces conhost.exe wygląda na pochodną aktywności nVidia Geforce Experience. Nie prosiłam Cię też o nowe logi, które notabene nie wykazują żadnych zasadniczych zmian. Te "wirusy" to nie są wirusy tylko detekcja typu "PUP" ("Potentially Unwanted Program" = "Potencjalnie niepożądany program"). Tu detekcja ograniczona do wykrycia na dysku pobranej instalki Free Sound Recorder (po prostu instalator ma zintegrowane śmieci) oraz odpadkowego folderu innego obiektu (dokasuj ręcznie cały folder (C:\Users\user\AppData\Local\Installer). Wykryte obiekty w stanie w jakim je widać mają zerowy wpływ na system. Ich usunięcie nie miało żadnego znaczenia dla wydajności. Porzuć trop infekcji. Nie tu jest problem. Nic nowego nie wymyślę, poza już podanymi tropami. Rozwijając poprzednie punkty: 1. W raportach rzuca się w oczy instalacja nVidia wykonana 13 października. Jeśli od tego momentu występują problemy, to należy przede wszystkim zwrócić uwagę na nVidia. Program pomocniczy NVIDIA GeForce Experience 2.5.14.5 nie jest kluczowym składnikiem i może zostać odinstalowany, co ograniczy liczbę procesów. Sprawdź czy deinstalacja tego coś zmienia, choć mam wątpliwości czy poza ograniczeniem wystąpień conhost.exe i być może lekkim przyśpieszeniem podstawowe bolączki ustąpią. Problem z klatkowaniem obrazu i zacinaniem może sugerować, że problem tkwi w tej poważniejszej część pakietu, czyli sterownikach nVidia per se. Być może należy cofnąć całą aktualizację, czy sprawdzić inną wersję sterowników. ==================== Jeden miesiąc - utworzone pliki i foldery ======== 2015-10-13 16:55 - 2015-10-03 07:06 - 01756424 _____ (NVIDIA Corporation) C:\Windows\system32\nvspbridge64.dll 2015-10-13 16:55 - 2015-10-03 07:06 - 01316000 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvspbridge.dll 2015-10-13 16:54 - 2015-10-03 04:18 - 00102520 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvStreaming.exe 2015-10-13 16:52 - 2015-10-03 07:06 - 42914096 _____ C:\Windows\system32\nvcompiler.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 37882488 _____ C:\Windows\SysWOW64\nvcompiler.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 22306936 _____ (NVIDIA Corporation) C:\Windows\system32\nvoglv64.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 18359928 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvoglv32.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 16541040 _____ (NVIDIA Corporation) C:\Windows\system32\nvopencl.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 14832968 _____ (NVIDIA Corporation) C:\Windows\system32\nvcuda.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 13518496 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvopencl.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 12769408 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvd3dum.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 12032200 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcuda.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 11114616 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvlddmkm.sys 2015-10-13 16:52 - 2015-10-03 07:06 - 02869880 _____ (NVIDIA Corporation) C:\Windows\system32\nvcuvid.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 02489976 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcuvid.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 01905456 _____ (NVIDIA Corporation) C:\Windows\system32\nvdispco6435850.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 01564976 _____ (NVIDIA Corporation) C:\Windows\system32\nvdispgenco6435850.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00877176 _____ (NVIDIA Corporation) C:\Windows\system32\NvFBC64.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00861816 _____ (NVIDIA Corporation) C:\Windows\system32\NvIFR64.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00689456 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\NvFBC.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00673912 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\NvIFR.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00467912 _____ (NVIDIA Corporation) C:\Windows\system32\nvumdshimx.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00388024 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvumdshim.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00177416 _____ (NVIDIA Corporation) C:\Windows\system32\nvinitx.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00155976 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvinit.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00151368 _____ (NVIDIA Corporation) C:\Windows\system32\nvoglshim64.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00128696 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvoglshim32.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00072504 _____ (NVIDIA Corporation) C:\Windows\system32\nvaudcap64v.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00069416 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvaudcap32v.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00050472 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvvad64v.sys 2. Trop podrzędny to Avast. Gdy operacje z nVidia nie wykażą żadnych zmian, można sprawdzić czy jego zachowanie ma coś do rzeczy w kontekście zacinania. Tzn. testowa deinstalacja, by sprawdzić czy w ogóle jest powiązany z objawami zacinania. Nie mam szczególnych typów, czy "polecanych" porogramów. Czy Avast, czy Kaspersky = obie propozycje są OK.
  9. picasso
    Prawie wszystko zrobione. Śmiga nowy Intel Rapid Storage Technology, usterka bazy Usług kryptograficznych w pełni rozwiązana - zniknął masowy odczyt braku podpisu, obiekty zostały poprawnie odczytane. "Prawie", gdyż w punkcie 3 wystąpił drobny problem, FRST padł na ostatniej komendzie EmptyTemp: i log nie wykazuje, by się ona w ogóle wykonała. 1. Drobne poprawki. Zapomniałam zadać do deinstalacji zbędny program HP Deskjet 1050 J410 series Badanie ulepszeń produktu, więc się go pozbądź. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1683496192-1558496612-2049436320-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Anna\AppData\Local\Akamai\netsession_win.exe" FF Plugin: @microsoft.com/Lync,version=15.0 -> C:\Program Files\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [brak pliku] FF Plugin: @java.com/DTPlugin,version=10.17.2 -> C:\Windows\system32\npDeployJava1.dll [2013-04-01] (Oracle Corporation) U5 AppMgmt; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Windows\system32\catroot2.bak Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart. Powstanie kolejny fixlog.txt. Przedstaw ten plik. Nowy skan FRST nie jest mi potrzebny. 2. Wypowiedz się czy poprzednio zgłaszane problemy ustąpiły. W skrypcie FRST był tworzony punkt Przywracania ("Punkt przywracania został pomyślnie utworzony."). By przetestować czy operacja przywracania działa, nie próbuj używać żadnego ze starych punktów, zbyt dużo zmian. Po w/w operacjach wyczyść ręcznie wszystkie poprzednie punkty: KLIK. Następnie zrób ręcznie punkt testowy i do niego wykonaj testowe przywracanie. Czy na pewno "wyczyściło"? Komenda EmptyTemp: (która i tak poległa) zajmuje się usuwaniem Cookies / Ciastek, co oznacza że uprzednio automatycznie logowane serwisy w pierwszym podejściu nie są autologowane i trzeba je ponownie zalogować. Hasła nie są usuwane. Czy formularze pokazują zapamiętane dane? Czy w opcjach przeglądarki widać zapisane dane? Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > Hasła i formularze > Zarządzaj hasłami > Zapisane hasła są?
  10. picasso
    Może to był przejściowy problem. Jeśli dobry stan się utrzyma, nie ma oczywiście sensu deinstalować Bitdefender.
  11. picasso
    Zrób jeszcze raport USBFix z opcji Listing przy podpiętym pendrive.
  12. picasso
    Temat przenoszę do działu Windows. Nic tu nie wskazuje na problem infekcji. Kosmetyczne akcje z pustymi wpisami / odpadkami potem, gdyż na razie nie jest to istotne. Cóż, obawiam się że czynnikiem wpływającym na samopoczucie systemu jest pakiet Bitdefender Internet Security 2015 (z firewallem) per se. Jest to bardzo złożona aplikacja, ładowana przy udziale wielu usług/sterowników, filtrująca wiele sfer i ingerująca w komponenty internetowe. - Wstępnie sprawdź czy wnosi coś do sprawy deaktywacja poszczególnych modułów Bitdefender. Jednak: - By się przekonać na 100% czy wina leży w BitDefender, wykonaj kompletną deinstalację dla testu. Wyłączanie w opcjach nie jest do końca wiarygodne i nie znosi wszystkich czynności.
  13. picasso
    W takim przypadku sądzę, że to była robota Kasperskiego i załapałeś się na moment, gdy partycja była tymczasowo podmontowana, a w późniejszym czasie została ponownie przez narzędzie zwolniona. Nie wiedzę innego wytłumaczenia dla samoistego przestawianie się widoczności.
  14. picasso
    No cóż, nie jestem pewna czy w tej sytuacji jest sens trzymać to oprogramowanie, tzn. czy powyłączeniu usług są dostępne wszystkie funkcje. Czy ten soft jest bardzo potrzebny? I tu jeszcze nie koniec. Działania poprawkowe na śmieci: 1. Otwórz Notatnik i wklej: URLSearchHook: HKU\S-1-5-21-1794262908-2250097603-3940592659-1002 - (Brak nazwy) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - Brak pliku Toolbar: HKU\S-1-5-21-1794262908-2250097603-3940592659-1002 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - Brak pliku Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - Brak pliku S1 avgtp; \??\C:\windows\system32\drivers\avgtpx64.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\InstallMate RemoveDirectory: C:\Users\Emilka\AppData\Roaming\Systweak Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Zaprezentuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz Skanuj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.
  15. picasso
    Na zakończenie posłuż się DelFix, by dokasować fragmenty używanych narzędzi.
  16. picasso
    Pokaż mi obrazek z diskmgmt.msc.
  17. picasso
    Spodziewałam się tych wyników. Malware nabijało pliki w różnych folderach aplikacji, adresowałam i szukałam nazw które były widoczne w raporcie. Byłam jednak przekonana, że jest więcej. Oczywiście wszystko usuń za pomocą programu. Po usunięciu zresetuj system i ponów skan, by się upewnić że nic nowego nie powstało.
  18. picasso
    Ta partycja powinna być ukryta i niedostępna. Zadana operacja ma na celu przywrócić domyślne ustawienie systemu (zresztą widziane tu na początku w temacie). Proszę usuń literę wg wskazówek. Tu nie chodzi o usuwanie partycji tylko jej widoczności w Komputerze.
  19. picasso
    Cały skrypt pomyślnie wykonany, włącznie z usunięciem wartości wskazywanej przez MBAM. Nie było żadnej blokady uprawnień (ani innego typu), wpis został usunięty podstawowym narzędziem Reg wbudowanym w Windows. Nie wiem o co chodzi, że MBAM nie mógł takiej prostej rzeczy usunąć... Zresetuj system, uruchom MBAM i opróżnij poprzednie raporty, ponów skan i powiedz czy ten wpis jest ponownie wykrywany.
  20. picasso
    Ta partycja była już od momentu instalacji Windows 7, tylko nagle się odkryła. Może to Kaspersky ją tymczasowo podmontował do skanu. Początkowo w temacie ta partycja była ukryta - chodzi o tę 100MB: ==================== Dyski ================================ Drive c: () (Fixed) (Total:195.21 GB) (Free:30.64 GB) NTFS Drive d: () (Fixed) (Total:736.2 GB) (Free:222.36 GB) NTFS ==================== MBR & Tablica partycji ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: C3FFC3FF) Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=195.2 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=736.2 GB) - (Type=07 NTFS) Podobny wątek: KLIK. Postąp w identyczny sposób, tzn. usuń literę.
  21. picasso
    Zadane akcje wykonane, drobne poprawki na wpisy puste potem, bo nie jest to istotne. W Dzienniku zdarzeń widzę nowy błąd: Dziennik Aplikacja: ================== Error: (10/17/2015 06:40:23 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Seagate.Dashboard.Uploader.exe, wersja: 4.2.0.0, sygnatura czasowa: 0x55a601d0 Nazwa modułu powodującego błąd: NOSWebDSPlugin.dll, wersja: 11.1.0.45, sygnatura czasowa: 0x556ea661 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x002fb7e7 Identyfikator procesu powodującego błąd: 0xe3c Godzina uruchomienia aplikacji powodującej błąd: 0xSeagate.Dashboard.Uploader.exe0 Ścieżka aplikacji powodującej błąd: Seagate.Dashboard.Uploader.exe1 Ścieżka modułu powodującego błąd: Seagate.Dashboard.Uploader.exe2 Identyfikator raportu: Seagate.Dashboard.Uploader.exe3 Seagate Dashboard to jedna ze świeżych instalacji - wprowadziła dużo wpisów startowych. Sprawdź jak system startuje w tzw. "czystym rozruchu": KLIK.
  22. picasso
    Tak, tym razem zadanie pomyślnie wykonane. Wygląda na to, że kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Jeśli po użyciu DelFix nie zniknie folder Kasperskiego C:\KVRT_Data, dokasuj ręcznie. 2. Na wszelki wypadek zmień hasła logowania w serwisach online: bank, poczta, serwisy społecznościowe, etc.
  23. picasso
    To nieczynny mikro odpadek. Być może to problem uprawnień i przed usunięciem sprawdzę to. W raporcie FRST jest także powiązany wpis rejestru (ta sama klasa) nie wykrywany przez MBAM: ShellIconOverlayIdentifiers: [Fatlfn] -> {646BAAE7-7538-4866-8EEE-974C0AA910AB} => Brak pliku Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [Fatlfn] -> {646BAAE7-7538-4866-8EEE-974C0AA910AB} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-4233494923-3357577127-3169329625-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Task: {191916DE-3933-4DF3-A2E0-1224263222C1} - System32\Tasks\{0E79ECFF-168E-4833-A84A-FE4179123D5E} => Chrome.exe hxxp://ui.skype.com/ui/0/7.8.73.102.456/pl/abandoninstall?page=tsProgressBar Task: {4072AF2B-C61A-4C47-9823-7C313F3F63A0} - \amiupdaterExd -> Brak pliku Task: {4EA44B8D-E314-4227-A4D3-160BCC970E78} - \SPBIW_UpdateTask_Time_323937353732303339342d2d37505a2a6c55326c342341 -> Brak pliku Task: {55D1A40F-548E-442F-98D1-F00D5FD906EA} - \SPDriver -> Brak pliku Task: {7EFFA523-C9C0-4768-81A2-F24C3B3FF6AD} - System32\Tasks\{C0C7D700-506B-4FC2-8ABD-4BD77E0642E0} => Chrome.exe hxxp://ui.skype.com/ui/0/6.18.73.106.456/pl/abandoninstall?page=tsMain Task: {A249BD24-E084-4DC2-BC99-5F2E8A5F6D54} - \Inst_Rep -> Brak pliku Task: {ACEF77F9-767F-48E2-BA96-C766B2552696} - \amiupdaterExi -> Brak pliku Task: {B904259A-D061-42C4-BB45-4E88A76DBEDB} - \ShopperProJSUpd -> Brak pliku Task: {ED2273FF-449E-4404-A4E0-AE3A41378913} - System32\Tasks\{FA3A1D46-51DD-41DD-9E5C-5D92C9B64D49} => Chrome.exe hxxp://ui.skype.com/ui/0/7.8.73.102.456/pl/abandoninstall?page=tsWLM Task: {FD1F9DCC-82D2-4386-9508-87200208C020} - \ShopperPro -> Brak pliku C:\ProgramData\inf.dat C:\Users\Przemek\AppData\Local\CrashRpt C:\Users\Public\QiYi ListPermissions: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved" /v {646BAAE7-7538-4866-8EEE-974C0AA910AB} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f nointegritychecks: ==> "IntegrityChecks" - funkcja wyłączona. EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz ten plik. Nowy skan FRST nie jest mi potrzebny.
  24. picasso
    Plik fixlog.txt jest całkowicie pusty - nic nie zapisałeś w Notatniku... Powtarzaj zadanie podane wcześniej w punkcie 1.
  25. picasso
    Na zakończenie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zainstaluj IE11: KLIK.
×
×
  • Dodaj nową pozycję...