picasso

To skomentowałam w poprzednim temacie, który zamknę. Wygląda na to, że BitDefender wpływał na tę usterkę. To proxy nie było czynne, więc prędzej Bidefender. Pytałam tylko czy jest używane przed zadaniem kolejnego Fixa do FRST usuwającego te wtręty. Na wszelki wypadek zrób jeszcze nowy log FRST (bez Addition i Shortcut). Problem z "lekkością" polega na tym, że obecnie antywirusy z pełną pulą opcji są oparte na rozbudowanych układach usług / sterowników. Trudno doprawdy przewidzieć co się stanie na danej konfiguracji, dopóki dany program nie zostanie namacalnie sprawdzony.

MBAM znalazł drobnostki, wszystko do wyrzucenia. Co z ostatnim Fixem FRST - kwarantanna nadal oporna? W której przeglądarce i jaki rodzaj problemu (jakiś błąd, brak detekcji Java)?

Zdefiniuj o którym svchost.exe mowa. W menedżerze zadań prawoklik na to wystąpienie > Przejdź do usług > Wpisz jakie się podświetliły. Jeszcze drobne poprawki w spoilerze: Należy jednak zwrócić uwagę, że te Fixy FRST nie są powiązane z problemem zasadniczym. To tylko "kosmetyka" i nic poza tym.

Tak, GMER (zrobiony później niż FRST) wykazuje, że ten proces nadal aktywnie działa w tle jako ukryty. Dzieje się tak dlatego, gdyż proces startuje poprzez Harmonogram zadań: ---- Processes - GMER 2.1 ---- Process C:\Users\User\AppData\Local\Temp\hglomif.exe (*** suspicious ***) @ C:\Users\User\AppData\Local\Temp\hglomif.exe [2220](2015-02-04 17:05:10) 0000000000400000 ==================== Scheduled Tasks (whitelisted) ============= Task: {A6CC8B56-B41C-4228-96A1-10D34946E422} - System32\Tasks\juixzej => C:\Users\User\AppData\Local\Temp\hglomif.exe [2015-02-04] () Tapeta na pewno się utrzymała? FRST wysyła sprzeczny komunikat. Niby tapeta przywrócona, a równocześnie komunikat o braku tej wartości: ==================== Other Registry Areas ===================== HKU\S-1-5-21-3639878282-2317462388-1843896377-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\User\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg ATTENTION: Missing Desktop Wallpaper Registry entry. Zostały też do wyrzucenia pliki pomocnicze infekcji oraz zaszyfrowane pliki z dysku C (te w folderach aplikacji można wyrzucić). [hr] Wstępna akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {A6CC8B56-B41C-4228-96A1-10D34946E422} - System32\Tasks\juixzej => C:\Users\User\AppData\Local\Temp\hglomif.exe [2015-02-04] () C:\ProgramData\oiukxod.html C:\Users\User\Documents\!Decrypt-All-Files-pogkqql.bmp C:\Users\User\Documents\!Decrypt-All-Files-pogkqql.txt Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: sc config "PLAY ONLINE. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. 3. Uruchom FRST ponownie, w polu Search wklej: *pogkqql*;*decrypt* Klik w Search Files i dostarcz wynikowy log. Może być ogromny. Jeśli nie wejdzie w załącznik, to spakuj do ZIP i shostuj gdzieś podając link.

luq92 Proszę pokaż nowe raporty FRST po deinstalacji COMODO (włącznie z Addition). Poprzednio w Addition był notowany błąd dostępu do WMI (przypuszczalnie blokada folderu C:\Windows\System32\LogFiles\WMI\RtBackup): ==================== Restore Points ========================= Could not list restore points. Check "winmgmt" service or repair WMI. ==================== Faulty Device Manager Devices ============= Could not list Devices. Check "winmgmt" service or repair WMI. ==================== Event log errors: ========================= Could not start eventlog service, could not read events. Wystąpił błąd systemu 123. Nazwa pliku, nazwa katalogu lub składnia etykiety woluminu jest niepoprawna. To mogą lecz nie muszą być błędy prowokowane przez COMODO. Zappa $CmdZnID to strumienie COMODO. Przed jakimkolwiek Fix wypada sprawdzić stan po deinstalacji programu, czy ADS zostało usunięte przez instalator programu. Dane z pierwszych raportów FRST mogą być nieaktualne.

Skasuj plik C:\Delfix.txt z dysku. To wszystko. Temat zamykam.

1. Jeśli chodzi o niemożność usunięcia kwarantanny, to wejdź w Tryb awaryjny i zapuść ponownie fixlist.txt o postaci: CloseProcesses: RemoveDirectory: C:\FRST\Quarantine 2. Jeśli chodzi o instalator MBAM, to czy przypadkiem nie blokuje akcji po prostu McAfee?

Odpowiadam tutaj cytując wątek z alternatywnego tematu: Nie, to nie ma nic wspólnego. To było tylko pobieranie danych w trybie "tylko do odczytu", żadnych manipulacji / modyfikacji. A pobrana lista wpisów "Credential Providers" w stanie domyślnym, identyczne wpisy u mnie. Jeśli nagle po działaniach z poprzedniego tematu ustąpił efekt, to wygląda na to, że problemem była instalacja BitDefender, bo to jedyny obiekt który się aktywnie zazębiał z ekranem logowania. Fix FRST nic nie grzebał w tych obszarach.

Czy był jakiś problem z deinstalacjami, tzn. czy któreś z wejść było np. niewidoczne? A Fix wykonany pomyślnie. Kolejne poprawki: 1. Pobrany YAC (Yet Another Cleaner) usuń ręcznie, bo jest poza zakresem czasowym raportów. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (jeszcze nie używaj Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fix jest jednorazowy i nie wolno go powtarzać. Akcja była bez sensu. Podany Fixlog nie jest właściwym, pokazuje już to drugie wadliwe podejście (brak wykonanych operacji). Ale zostaw to już. Pierwsze podejście usunęło co należy. Poprawki: AKCJE Z POZIOMU KONTA Administracja: 1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres istart.webssearches.com, przestaw na "Otwórz stronę nowej karty". 2. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKU\S-1-5-21-1031725685-881205413-3405888468-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Administracja\AppData\Local\Akamai\netsession_win.exe" BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Na razie wybierz tylko Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Router został zmieniony, więc problem zasadniczy rozwiązany. Drobne akcje na kompie numer dwa pomyślnie wykonane. Na tym systemie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Fix FRST nie podołał usuwaniu własnej kwarantanny. Co do błędu MBAM, to spróbujmy usunąć cały katalog Temp przy udziale komendy obchodzącej problem uprawnień. Otwórz Notatnik i wklej w nim: CloseProcesses: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\rwi\AppData\Local\Temp Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, ma nastąpić restart. Pokaż wynikowy fixlog.txt.

Skoro jest problem z zacięciami checkdisk, to może tu być problem sprzętowy z dyskiem. Ten temat wybiegł już daleko poza infekcje, więc przenoszę go do Windows. Natomiast pod kątem diagnostyki sprzętowej załóż nowy temat w dziale Hardware dostarczając dane wymagane działem: KLIK. Zlinkuj też ten temat, by było wiadome co było robione na poziomie softu.

Przestarzały OTL nie jest tu już brany pod uwagę. Proszę dostosuj się do zasad działu i dostarcz obowiązujące tu logi FRST i GMER: KLIK. Logi proszę dostarcz jako oryginalne pliki w postaci załączników forum a nie na serwisach zewnętrznych.

anuska19871, na przyszłość zasady działu, każdy ma mieć swój osobisty temat, niezależnie od tego czy problem jest identyczny: KLIK. Z tego co rozumiem dane masz bezpieczne w innym miejscu, więc spokojnie można sformatować dysk z Windows i zainstalować nowy system.

Czy były stosowane specjalne narzędzia AVG Remover i Norton Removal Tool? I zrób nowy log FRST (z Addition) z poziomu konta Sol.

Na szybko odpowiedź w jednej z kwestii, bo zaraz wychodzę. Nic nie zostało usunięte. To jest wynik tej akcji: W składzie rozszerzeń było to kontekstowe które wspominasz. Na razie zostaw jednak stan testowy, bo chodzi mi o zdefiniowanie czy błędy explorer.exe w ogóle pochodzą z tej strefy. Potem będziemy partiami przywracać / włączać rozszerzenia.

Delfix wykonaj zadanie. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Temat przenoszę do działu Windows. Nie jest to problem infekcji (skąd takie podejrzenia?). W spoilerze tylko drobnostki, tzn. usunięcie szczątkowych przekierowań adware trovi.com i wpisów pustych. To nie ma związku z problemami. 1. Pierwsze delikwent do sprawdzenia to Bitdefender Antivirus Free Edition, gdyż zazębia się ze wszystkimi opisywanymi sferami. Testowa deinstalacja. W Dzienniku zdarzeń jest też błąd: System errors: ============= Error: (02/04/2015 03:23:41 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi gzserv. To usługa BitDefender: R2 gzserv; C:\Program Files\Bitdefender\Antivirus Free Edition\gzserv.exe [69368 2013-10-23] (Bitdefender) 2. W Dzienniku zdarzeń jest również zestaw następujących błędów: System errors: ============= Error: (02/04/2015 05:53:11 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Audio Service z powodu następującego błędu: %%1053 Error: (02/04/2015 05:53:11 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Audio Service. Nie wiem o którą usługę chodzi (systemowa ma inną nazwę wyświetlaną: "Windows Audio"). Uruchom services.msc i sprawdź czy widzisz taką usługę, a jeśli to podaj "Nazwę usługi" (nie tę wyświetlaną) oraz ścieżkę do pliku. Mam pytanie też, co to za Holenderski autokonfig proxy - celowa modyfikacja? AutoConfigURL: [s-1-5-21-764258043-3443933537-1065429426-1000] => file://C:/Windows/System32/drivers/etc/proxy.pac FF NetworkProxy: "autoconfig_url", "file:///C:/Windows/System32/drivers/etc/proxy.pac" FF NetworkProxy: "backup.ftp", "94.75.251.129 " FF NetworkProxy: "backup.ftp_port", 0 FF NetworkProxy: "backup.socks", "94.75.251.129 " FF NetworkProxy: "backup.socks_port", 0 FF NetworkProxy: "backup.ssl", "94.75.251.129 " FF NetworkProxy: "backup.ssl_port", 0 FF NetworkProxy: "ftp", "94.75.251.129 " FF NetworkProxy: "http", "94.75.251.129 " FF NetworkProxy: "share_proxy_settings", true FF NetworkProxy: "socks", "94.75.251.129 " FF NetworkProxy: "ssl", "94.75.251.129 " FF NetworkProxy: "type", 0 Z poprzedniego tematu nic nie wynika. W skrypcie ze spoilera dodałam sprawdzanie jeszcze dwóch kluczy: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters" /s

Jeszcze w logu widziałam dziwne foldery o nazwach jak zmienne: 2015-02-01 14:56 - 2015-02-01 14:56 - 00000000 __SHD () C:\Windows\system32\%USERPROFILE% 2015-02-01 14:56 - 2015-02-01 14:56 - 00000000 __SHD () C:\Windows\system32\%APPDATA% Na wszelki wypadek podaj mi listę określonych kluczy. Zrób nowy fixlist.txt o treści: Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /s Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Uruchom FRST i kliknij w Fix. Zaprezentuj fixlog.txt. Po prostu dokasuj z dysku te elementy: C:\Users\Roman\AppData\Roaming\PCFixKit C:\Users\Roman\Downloads\PCFixKit_Setup.exe Fixlist niepotrzebny, usuwam, Fixlog zawsze zawiera oryginalny Fixlist. Drobne uwagi co do Twojego skryptu:

1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj opcje Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\kamila\Downloads\q524071z.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Czy są jeszcze jakieś problemy?

Temat przenoszę, na razie do Windows ale może i do Hardware pójdzie. Założyłeś temat w dziale diagnostyki infekcji (nie podając nawet raportów), a sam sugerujesz że problem występuje od: Żadnych danych tu nie ma, ani nowych raportów FRST obrazujących co ew. się zmieniło, ani innych np. sprzętowych (KLIK), by móc cokolwiek powiedzieć. PS. Tylko przypominam z poprzedniego tematu, by się upewnić że jednak problem nie jest prokurowany przez:

Na początek uwaga, system został załatwiony za pomocą "Asystenta pobierania" komputerświat, w logu widać nie budzący wątpliwości plik i następstwa jego uruchomienia. Do czytania: KLIK. 2015-01-26 17:48 - 2015-01-26 17:48 - 00682248 _____ (komputerswiat.pl) C:\Users\Lenovo\Downloads\Winamp wizualizacje 5.56.exe W celu rozwiązania problemu przymierzałeś się też do uruchomienia (już pobrany) wątpliwego skanera z czarnej listy, tzn. SpyHunter. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj stare wersje Adobe Shockwave Player 11.6, Java 7 Update 45. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64; C:\Windows\System32\drivers\{1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64.sys [48792 2015-01-26] (StdLib) R1 {2635ac50-5488-40bf-9bfd-accb158f8f3f}w64; C:\Windows\System32\drivers\{2635ac50-5488-40bf-9bfd-accb158f8f3f}w64.sys [61120 2014-04-24] (StdLib) R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [464384 2015-01-26] (SysTool PasSame LIMITED) [File not signed] U3 BcmSqlStartupSvc; No ImagePath U2 IAStorDataMgrSvc; No ImagePath U2 IviRegMgr; No ImagePath U2 RichVideo; No ImagePath U3 SQLWriter; No ImagePath HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422290996&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422290996&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422290996&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422290996&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms} HKU\S-1-5-21-2998680915-4221821129-92501040-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J HKU\S-1-5-21-2998680915-4221821129-92501040-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms} HKU\S-1-5-21-2998680915-4221821129-92501040-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J HKU\S-1-5-21-2998680915-4221821129-92501040-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms} SearchScopes: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms} SearchScopes: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&ts=1422291063&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> {18AA1513-B377-48F1-88D4-50DD0399B873} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&ts=1422291063&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&ts=1422291063&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms} SearchScopes: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&ts=1422291063&type=default&q={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) Toolbar: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Task: {0281C558-1927-4F45-BCAF-D899D5AE1561} - System32\Tasks\{1E8D7D7A-7A17-4BF4-8B10-531BA0E2EA3F} => pcalua.exe -a C:\Users\Lenovo\Desktop\winamp\CLIMAX\CLIMAX11.exe -d C:\Users\Lenovo\Desktop\winamp\CLIMAX Task: {150B0A05-FCDD-4DC5-91B0-A11C4AB554AE} - \Digital Sites No Task File Task: {47530DD9-4393-434C-A4DE-B62A42EC4A88} - System32\Tasks\{BD41EE31-7CF5-4A82-9585-FD2D8DDEC283} => pcalua.exe -a "C:\Users\Lenovo\Desktop\Metal Gear Solid 2 - Substance PC + Crack.Fix\DirectX81\dxsetup.exe" -d "C:\Users\Lenovo\Desktop\Metal Gear Solid 2 - Substance PC + Crack.Fix\DirectX81" Task: {59C7DA98-F539-4B33-AD1A-44F6192D2F0C} - \Dealply No Task File Task: {5CB3B361-A15D-461E-B51E-CF9DF8279FA8} - \BitGuard No Task File Task: {65CF9611-1861-443F-91F7-8FC220C280A7} - System32\Tasks\{91A6DF79-6377-41DE-A89B-2B82C02DD0DB} => pcalua.exe -a C:\Users\Lenovo\Desktop\winamp\Geiss\geiss_423.exe -d C:\Users\Lenovo\Desktop\winamp\Geiss Task: {927FADB0-170F-4247-B6AE-B617872943BF} - \DigitalSite No Task File Task: {A9586169-E49B-48BC-B1A0-3759FAAD0D4D} - \EPUpdater No Task File Task: {B4CB07FE-3982-49D5-802B-698B6E572F2F} - System32\Tasks\{DCD2DAFD-EA69-47FB-9537-6C7DAF4D6B2D} => pcalua.exe -a "C:\Users\Lenovo\Desktop\winamp\Winamp 3DGL\wa3dgl150b.exe" -d "C:\Users\Lenovo\Desktop\winamp\Winamp 3DGL" Task: {BD784FCF-106B-4F32-9723-00256C1D5F3F} - System32\Tasks\{698395FE-8F0C-44AE-B291-C4ED64006490} => pcalua.exe -a "C:\Program Files (x86)\AbiWord\UninstallAbiWord2.exe" Task: {E44CCEEA-B715-4338-9DE4-8BDBCBE847EC} - System32\Tasks\{BDEF2D4B-06C6-4639-8758-C024651FC44D} => pcalua.exe -a C:\Users\Lenovo\Desktop\winamp\Tonic\Tonic_v_02_-_Made_In_Bulgaria.exe -d C:\Users\Lenovo\Desktop\winamp\Tonic Task: {ED5E912F-25DA-4B7D-ADF5-57965AC78F36} - System32\Tasks\{3F8DE417-CEA8-4C16-ABB2-1B98D70A5DBB} => pcalua.exe -a C:\Users\Lenovo\Desktop\winamp\Space\Space_v09b.exe -d C:\Users\Lenovo\Desktop\winamp\Space Task: {F4A33AA5-47B0-4BA1-9297-410D989B56F9} - System32\Tasks\{BDF9C1BA-5F85-49AC-8C4F-EF9BDF327647} => pcalua.exe -a C:\Users\Lenovo\Desktop\winamp\Jet\Jet.exe -d C:\Users\Lenovo\Desktop\winamp\Jet C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Solution Real C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AbiWord Word Processor C:\Users\Lenovo\AppData\Local\Gameo C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Lenovo\AppData\Roaming\GoldenGate C:\Users\Lenovo\AppData\Roaming\omiga-plus C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Lenovo\Downloads\sh-remover.exe C:\Users\Lenovo\Downloads\Winamp wizualizacje 5.56.exe C:\Windows\System32\drivers\{1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64.sys C:\Windows\System32\drivers\{2635ac50-5488-40bf-9bfd-accb158f8f3f}w64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw niepoprawnie wyleczony specjalny skrót Internet Explorer. W pasku adresu eksploratora wklej ścieżkę i ENTER: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

GMER zrobiony w złych warunkach - przy czynnym emulatorze SPTD. Temat przenoszę do działu Windows. Zgłoszone problemy nie są wynikiem infekcji. A te detekcje skanów bez znaczenia w kontekście problemów. Usuń tylko dziwny strumień ADS doklejony do katalogu system32 oraz wpisy puste - instrukcje w spoilerze. Proszę o przedstawienie owego "Fixa" FRST, czyli pliku zarchiwizowanego jako C:\FRST\Logs\fixlog.data_czas.txt (data przeprowadzenia operacji). Swoją drogą, widzę programy do czyszczenia rejestru, jakieś dziwaki PCFixKit i RegCleaner. Odradzam takie operacje, potem trudno dojść co się stało, jeśli wystąpi usterka po "czyszczeniu rejestru"... Application errors: ================== Error: (02/03/2015 11:22:23 PM) (Source: Windows Backup) (EventID: 4104) (User: ) Description: Wykonywanie kopii zapasowej plików nie powiodło się. Błąd: Nie można odnaleźć określonego pliku. (0x80070002). Jakie pozycje Microsoftu sprawdzałeś - czy chodzi o artykuł KB979281? Jeśli chodzi o ten problem, to na razie zwraca tu uwagę instalacja Acronis True Image Home - Acronis zastępuje moduł Kopii zapasowej Windows swoją i mogą pojawiać się kłopoty. Przykładowy temat: KLIK. Punkty Przywracania systemu są magazynowane niepermanentnie, gdyż magazyn kopii cieniowych jest limitowany, i po pewnym okresie czasu i tak system usuwa starsze punkty, by zrobić miejsce na nowe. Tu log sugeruje, że jak najbardziej miało prawo to wystąpić patrząc na to z jaką częstotliwością są robione punkty i jak długa lista już tu jest: Błąd w Dzienniku enigmatyczny: Application errors: ================== Error: (02/03/2015 11:38:28 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd Explorer.EXE, wersja 6.0.6002.18005, sygnatura czasowa 0x49e02a1e, moduł powodujący błąd SHELL32.dll, wersja 6.0.6002.19070, sygnatura czasowa 0x5331af2e, kod wyjątku 0xc0000005, przesunięcie błędu 0x0000000000009de5, identyfikator procesu 0xd98, godzina rozpoczęcia aplikacji 0xExplorer.EXE0. Zwykle to jednak oznacza problem z jakimś rozszerzeniem eksploratora wprowadzonym przez dany program. Jest tu mnóstwo różnych programów, w tym starych. Do wykonania test wstępny. Uruchom ShellExView x64 - ułóż wszystkie wejścia wg producenta poprzez klik w belkę Company, następnie z wciśniętym CTRL zaznacz wszystkie na różowym tle (wpisy nie-Microsoftu) i zdeaktywuj. Zresetuj system, podaj czy nadal występują błędy powłoki explorer.exe. Przestarzały Spybot do deinstalacji. Archaiczna konstrukcja, słaba skuteczność. Na dodatek niepożądana modyfikacja pliku HOSTS (archaiczna metoda zabezpieczania), który przetwarza tysiące wpisów. To jest niezdrowe i obciąża usługę Klient DNS. W krytycznym przypadku mogą się dziać takie oto kwiatki: KLIK. Odwróć tę modyfikację.

Temat przenoszę do działu Windows, teoria "wirusów" do kosza. Był tu używany ComboFix (wyniki nie podane), a cały czas mówię, by go nie używać bez potrzeby nie wiedząc jaki typ usterki występuje. Objaśnij o co chodzi z "dostęp do partycji D jest niemożliwy" - na czym to polega? A uszkodzony Kosz z dysku D łatwo usunąć, ale nie zabieram się za to nie wiedząc na czym polega brak dostępu do partycji D, gdyż problem Kosza może być tylko jednym z objawów ogólniejszej usterki (np. uszkodzona struktura plików). PS. W spoilerze drobna kosmetyka na szczątki adware i wpisy puste, nie ma to żadnego związku z objawami i jest tylko pobocznym zagadnieniem.