picasso

Sprawdź czy coś pomoże reset ustawień Internet Explorer: Opcje internetowe > Zaawansowane > Resetuj. Log z MBAM jest całkowicie pusty. Proszę ponownie zapisz wyniki.

GMERa sobie darujmy. Wracając do problemów: Komunikat błędu produkuje szczątkowy wpis adware Interenet Optimizer w AppInit_DLLs. W systemie są też szczątki innych obiektów adware (sweet-page i protektor ustawień). Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware Interenet Optimizer, WindowsMangerProtect20.0.0.1013 oraz zbędny McAfee Security Scan Plus. Ten McAfee to nie jest składnik Twoich głównych instalacji McAfee Internet Security + McAfee SiteAdvisor, lecz aplikacja przeszmuglowana jako sponsor instalacji Adobe Flash: KLIK. W przypadku błędów deinstalacji adware kontynuuj, i tak doczyszczę to poniższymi działaniami. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: AppInit_DLLs: C:\PROGRA~3\INTERE~1\INTERE~2.DLL => C:\PROGRA~3\INTERE~1\INTERE~2.DLL File Not Found Task: {8D4726ED-30CA-4BF3-8B96-9DD9A3BDD55C} - System32\Tasks\Update Service YourFileDownloader => C:\Program Files (x86)\YourFileDownloaderUpdater\YourFileDownloaderUpdater.exe R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [714208 2014-10-29] (Cherished Technololgy LIMITED) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [488960 2014-10-29] (Fuyu LIMITED) [File not signed] S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1414602882&from=cor&uid=ST1000LM014-1EJ164_W380DWM2XXXXW380DWM2&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1414602882&from=cor&uid=ST1000LM014-1EJ164_W380DWM2XXXXW380DWM2&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1414602882&from=cor&uid=ST1000LM014-1EJ164_W380DWM2XXXXW380DWM2&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1414602882&from=cor&uid=ST1000LM014-1EJ164_W380DWM2XXXXW380DWM2&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1414602882&from=cor&uid=ST1000LM014-1EJ164_W380DWM2XXXXW380DWM2 SearchScopes: HKU\S-1-5-21-271407444-1818116929-1288510630-1002 -> {6B1865F2-14B8-4B97-8656-F7533F8989CE} URL = CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hp&ts=1414602882&from=cor&uid=ST1000LM014-1EJ164_W380DWM2XXXXW380DWM2 CHR StartupUrls: Default -> "hxxp://1337.dev1/" CHR DefaultSearchKeyword: Default -> sweet-page C:\ProgramData\374311380 C:\ProgramData\IePluginServices C:\ProgramData\Interenet Optimizer C:\ProgramData\WindowsMangerProtect C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{c632643} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WindowsMangerProtect /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy sweet-page (o ile nadal będzie widoczny). 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Są tu dwa typy infekcji: - Infekcja systemu - nadal czynne procesy adware, a w Google Chrome jest zainstalowane rozszerzenie PodoWeb. - Infekcja routera - poniższy adres wg Whois jest ukraiński: KLIK. Tcpip\Parameters: [DhcpNameServer] 91.207.7.105 8.8.8.8 Przeprowadź następujące działania: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaintainerSvc6.89.573444; C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321\maintainer.exe [123632 2014-11-19] () R1 {9642e31c-2703-4a31-ba45-9e8dfb693e38}Gw64; C:\Windows\System32\drivers\{9642e31c-2703-4a31-ba45-9e8dfb693e38}Gw64.sys [48776 2014-11-15] (StdLib) R3 ALSysIO; \??\C:\Users\luq92\AppData\Local\Temp\ALSysIO64.sys [X] Task: {73FCDE78-655E-4C52-80B0-0982A8AB3877} - System32\Tasks\OZWDNTC => C:\Users\luq92\AppData\Roaming\OZWDNTC.exe Task: {B149163F-07D2-4555-8BD9-71F58B6821E8} - System32\Tasks\ZDBEDRP => C:\Users\luq92\AppData\Roaming\ZDBEDRP.exe [2014-11-15] (Object Browser) Task: C:\Windows\Tasks\OZWDNTC.job => C:\Users\luq92\AppData\Roaming\OZWDNTC.exe Task: C:\Windows\Tasks\ZDBEDRP.job => C:\Users\luq92\AppData\Roaming\ZDBEDRP.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\Program Files (x86)\924d6389-cd3d-47c2-ad41-b00b91c76a09 C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321 C:\ProgramData\APN C:\ProgramData\TEMP C:\Users\luq92\AppData\Local\CrashRpt C:\Users\luq92\AppData\Local\globalUpdate C:\Users\luq92\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\luq92\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\luq92\AppData\Roaming\*.exe C:\Users\luq92\AppData\Roaming\OZWDNTC C:\Users\luq92\AppData\Roaming\ZDBEDRP C:\Windows\System32\drivers\{9642e31c-2703-4a31-ba45-9e8dfb693e38}Gw64.sys CMD: ipconfig /flushdns CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\luq92\AppData\Local CMD: dir /a C:\Users\luq92\AppData\LocalLow CMD: dir /a C:\Users\luq92\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, gdyż COMODO przeszkodzi pracy FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware PodoWeb Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (aktywuj ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Proszę przeczytaj zasady działu w kwestii obowiązujących raportów: KLIK. OTL to przestarzałe narzędzie sprawdzane tylko pobocznie. Dostarcz obowiązkowe logi z FRST i GMER. Był też używany AdwCleaner, więc proszę o logi z folderu C:\AdwCleaner.

Klucz został poprawnie odtworzony. Skoro nadal są błędy Corela, to czy na pewno tego nie było wcześniej? I w takiej sytuacji zostaje już reinstalacja programu. Kolejne działania: 1. Reinstalalacja CorelDRAW: W pierwszej kolejności odinstaluj program normalnie poprzez Panel sterowania. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy na liście widać pozycje CorelDRAW, jeśli tak to podświetl i Dalej. Zainstaluj CorelDRAW. 2. W AdwCleaner zastosuj opcję Odinstaluj. 3. Zainstaluj Malwarebytes Anti-Malware (przy instalacji odznacz trial). Wykonaj pełny skan systemu, a jeśli coś zostanie wykryte, dostarcz raport. .

Te błędy DCOM nadal są w Dzienniku nagrywane, nie jest to jednak problem krytyczny i potem będę analizować sprawę. Jeśli chodzi o uszkodzenia wywołane AdwCleaner, otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /f Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v 9A3215C78A0344C498AC8A8CA7F1CC19 /t REG_SZ /d C?\Windows\SysWOW64\msvcr71.dll /f Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v 21F1DBD139DE0C947ACC65BCED841885 /t REG_SZ /d "C:\Program Files (x86)\ASUS\ASUS LifeFrame3\msvcr71.dll" /f Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /s Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Pokaż wynikowy fixlog.txt, a także podaj czy nadal się uruchamia to okno CorelDRAW.

mispuchatek, proszę przeczytaj zasady działu co tu się podaje i jak się zachowuje: KLIK. Po pierwsze: jeśli nikt nie odpisał, a chcesz uzupełnić post, stosuj opcję Edytuj a nie post pod postem (skleiłam). Po drugie: zestaw obowiązkowych logów jest inny, OTL to przestarzałe narzędzie sprawdzane tylko pobocznie (i za jakiś czas w ogóle na forum już nie będzie analizowany). Dostarcz obowiązkowe raporty z FRST i GMER.

To Ty tego nie zrobiłeś wcześniej? Jeśli nie, to wdróż opcję, ale jeśli było to już wykonywane, powtarzanie jest bez sensu. I pokaż wynikowy plik C:\DelFix.txt.

Tak, zadania miały być podzielone. Skoro pośpieszyłeś się i w DelFix zaznaczyłeś dodatkową opcję, nic się oczywiście nie stało. Na wszelki wypadek sprawdź jednak w oryginalnym interfejsie konfiguracji Przywracania czy program poprawnie usunął punkty.

Spodziewałam się tego. I nie zapomnij dostarczyć raportów ze skanera, by dało się ocenić zakres infekcji. Jeśli chodzi o wyniki skryptu: reset Zapory czyszczący autoryzacje Sality wykonany, większość folderów też usunięta, z wyjątkiem folderu Kosza F:\RECYCLER, co odpowiada komunikatowi ze zrzutu ekranu mówiącego o uszkodzonym Koszu. Pod kątem tego lewego folderu: 1. Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator > wklep komendę sprawdzania dysku: chkdsk F: /f /r 2. Gdy checkdisk ukończy pracę, kolejny skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: F:\RECYCLER Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt oraz nowy log USBFix z opcji Listing. Tak, komenda EmptyTemp: czyści historię i cookies przeglądarki. Na przyszłość (choć mam nadzieję to nigdy nie nastąpi), SalityKiller uruchomiony z linii komend cmd z przełącznikami -v i -l: "ścieżka dostępu do salitykiller.exe" -v -l C:\log.txt Deinstalacja DAEMON Tools oraz Alcohol nie usuwa sterownika SPTD, on musi być potraktowany z osobna narzędziem SPTDinst. W momencie gdy robiłeś skan GMER sterownik SPTD był definitywnie czynny (w logu GMER czynności tego sterownika), notował go także FRST: ==================== Drivers (Whitelisted) ==================== R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-09-24] (Duplex Secure Ltd.) U3 a7yas93o; C:\Windows\System32\Drivers\a7yas93o.sys [0 ] (Advanced Micro Devices) Ale jak mówiłam, to już sobie darujmy. Możesz przywrócić instalację DAEMON. .

Końcowe kroki pod kątem czyszczenia: 1. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Odinstaluj stare wersje Adobe i Java, zastąp najnowszymi, zaktualizuj też Google Chrome: KLIK. Wtyczka Adobe Flash całkowicie zbędna, używasz Google Chrome, które ma wbudowany własny wewnętrzny Flash. ==================== Installed Programs ====================== Adobe Flash Player 10 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 10.0.42.34 - Adobe Systems Incorporated) Adobe Reader X (10.1.12) MUI (HKLM-x32\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.12 - Adobe Systems Incorporated) Google Chrome (HKLM-x32\...\Google Chrome) (Version: 30.0.1599.101 - Google Inc.) Java 7 Update 67 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.670 - Oracle) Skan FRST nie wykazuje żadnych dodatkowych elementów na tej partycji. Są tam tylko serwisowe narzędzia Lenovo i pliki rozruchowe Windows oraz plik pamięci wirtualnej i folder Przywracania systemu (System Volume Information), a 99% elementów jest datowana na rok 2013. vs. Sprawdzenie tej teorii poprzez tymczasową deinstalację programu, proste wyłączanie w opcjach nie znosi określonych aktywności pakietu. Jeśli po deinstalacji nic się nie zmieni, program po prostu przywrócisz. Oraz jeszcze zostaje sprawa tego błędu, który sugeruje aktualizację BIOS i/lub sterowników sprzętowych: System errors: ============= Error: (11/17/2014 01:15:34 AM) (Source: ACPI) (EventID: 13) (User: ) Description: : Kontroler osadzony nie odpowiedział przed upływem limitu czasu. Może to wskazywać, że wystąpił błąd w sprzęcie lub oprogramowaniu układowym kontrolera osadzonego albo że system BIOS uzyskuje dostęp do kontrolera osadzonego w niepoprawny sposób. Należy skontaktować się z producentem komputera w sprawie uaktualnionego systemu BIOS. W niektórych sytuacjach ten błąd może spowodować niepoprawne funkcjonowanie komputera. .

Wszystko wykonane. Kończymy: 1. Usuń ręcznie pobrany GMER oraz folder C:\Users\strona ogolna\Desktop\FRST. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj najnowsze wersje Adobe Flash i Java: KLIK.

Na tamtym forum nawet nie zdefiniowali, że jest to Sality, a było to oczywiste po typie autoryzacji Zapory systemu (charakterystyczne pliki w Temp). GMER robiłeś w niewłaściwych warunkach - przy czynnym sterowniku SPTD. Ale to już pomiń. Dodatkowy aspekt tu się objawił, masz system 64-bit: Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8 Sality nie jest natywnie 64-bitową infekcją i na takim systemie może atakować tylko 32-bitowe pliki, czyli połowa systemu i niektóre programy bezpieczne. Jednakże problem z plikami 32-bit jest tu trudny do odgadnięcia. Wiem tylko tyle, że był uruchamiany SalityKiller i coś robił, ale co i gdzie to nie wiadomo (brak raportu z działań, gdyż SalityKiller był uruchamiany bez parametru nagrywającego log), również nie wiadomo czy na dysku systemowym są nadal jakieś trefne pliki. Z tym, że pliki systemowe i tak będą zamieniane nowszymi wersjami, gdyż system nie posiada żadnych aktualizacji i szykuje się gruba aktualizacja z Windows Update (SP1, IE11 i reszta łat). EDIT: Dostawiłeś OTL Extras i tam nadal widać nie wyczyszczone autoryzacje Zapory wytapetowane Sality. Poza tym nie widać innych oznak Sality, ale stan plików na dysku nie może być tym sposobem sprawdzony. Zalecenia na teraz: 1. Czyszczenie autoryzacji w Zaporze. Dodatkowo jeszcze do wyrzucenia są wielokrotne Kosze z dysków zewnętrznych oraz dorobione sztucznie katalogi autorun.inf (to ma skutki uboczne w postaci blokady etykiet). Zakładam, że mapowanie dysków jest identyczne jak w momencie zrobienia raportu USBFix. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: netsh advfirewall reset Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveDirectory: C:\Autorun.inf RemoveDirectory: D:\Autorun.inf RemoveDirectory: D:\msdownld.tmp RemoveDirectory: F:\Autorun.inf RemoveDirectory: F:\msdownld.tmp RemoveDirectory: F:\$RECYCLE.BIN RemoveDirectory: F:\Recycled RemoveDirectory: F:\RECYCLER RemoveDirectory: I:\Autorun.inf RemoveDirectory: I:\msdownld.tmp RemoveDirectory: I:\$RECYCLE.BIN RemoveDirectory: I:\RECYCLER EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Uruchom Kaspersky Virus Removal Tool - domyślnie program prowadzi skan ekspresowy, należy to zmienić w konfiguracji na pełny skan wszystkich elementów. Za jego pomocą wykonaj po kolei pełny skan każdej partycji z osobna - zadania podziel, najpierw jedna partycja i zapisujesz wyniki, potem następna. Zgłoś się tu z raportami skanu. .

Wszystko zrobione, więc kończymy. Skasuj ręcznie pobrane narzędzia z C:\Users\rambo\Downloads\FIXITPC, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

AdwCleaner uszkodził instalację kasując ten klucz omyłkowo: Klucz Usunięto : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 Ten problem zgłaszałam autorowi już dawno temu, a bug wraca. W ostatnich tematach ręcznie odtwarzałam tego typu klucze z kopii zapasowej FRST. 1. Na początek pobór danych oraz także operacje na kluczach zgłaszanych w Dzienniku zdarzeń. Otwórz Notatnik i wklej w nim: Reg: reg load HKLM\Temp C:\FRST\Hives\SOFTWARE Reg: reg query HKLM\Temp\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /s Reg: reg unload HKLM\Temp Unlock: HKLM\SOFTWARE\Classes\AppID\{344ED43D-D086-4961-86A6-1106F4ACAD9B} Unlock: HKLM\SOFTWARE\Classes\CLSID\{C97FCC79-E628-407D-AE68-A06AD6D8B4D1} ListPermissions: HKLM\SOFTWARE\Classes\AppID\{344ED43D-D086-4961-86A6-1106F4ACAD9B} ListPermissions: HKLM\SOFTWARE\Classes\CLSID\{C97FCC79-E628-407D-AE68-A06AD6D8B4D1} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. AdwCleaner również skasował z Google Chrome folder rozszerzenia Skype Click to Call. Ustawienia > karta Rozszerzenia > odinstaluj szczątek, o ile nadal widać. 3. Wyczyść Dziennik zdarzeń: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator > w sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. 4. Zresetuj system. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, dostarcz oba logi oraz plik fixlog.txt. .

Deinstalacja Returnil nie była potrzebna, program sam w sobie niewinny. Uruchomiłeś coś całkiem innego, objawy wskazują na jedno z dwóch: nieodznaczenie sponsora w którejś instalacji lub użycie portalowego "downloadera" częstującego "bonusami": KLIK. I wg logów czasowo bliżej instalacjom adware do Puran Defrag niż do Returnil, choć to może być mylne wrażenie. Ten Puran owszem od jakiegoś czasu nie ma czystego instalatora i jest wspierany przez adware (należy wszystkiemu "podziękować"). Inne podejrzenie to "Asystent pobierania" dobrychprogramów, widać że conajmniej raz w serwisie byłeś. Albo dałeś mi nieświeże raporty FRST, albo on się zrekonstruował. Wg FRST maintainer.exe hula w procesach: ========================== Services (Whitelisted) ================= R2 MaintainerSvc4.29.2173613; C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe [123632 2014-11-19] () ==================== Loaded Modules (whitelisted) ============= 2014-11-18 14:30 - 2014-11-19 02:49 - 00123632 _____ () C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe I nie tylko to - w systemie działa także aktywny sterownik adware Techgile ({1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw.sys) i to z pewnością on zaburza relacje sieciowe. Poza tym, adware wprowadziło także polityki Google Chrome. Składnik instalacji Kingsoft Antivirus 2012: R2 kisknl; C:\Windows\system32\drivers\kisknl.sys [165176 2014-11-17] (Kingsoft Corporation) Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw; C:\Windows\System32\drivers\{1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw.sys [43152 2014-11-17] (StdLib) R2 MaintainerSvc4.29.2173613; C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe [123632 2014-11-19] () GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction C:\Program Files\Temp C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669 C:\ProgramData\Returnil C:\Users\rambo\AppData\Roaming\Returnil C:\Windows\System32\drivers\{1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Nareszcie, Dziennik zdarzeń naprawiony. Sprawny Dziennik nagrał poniższy błąd - będę to jeszcze diagnozować, a w kwestii reszty to już przechodzimy do cyzelowania. System errors: ============= Error: (11/19/2014 00:13:13 AM) (Source: DCOM) (EventID: 10016) (User: ZARZĄDZANIE NT) Description: właściwe dla aplikacjiLokalnyUruchom{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}ZARZĄDZANIE NTUSŁUGA LOKALNAS-1-5-19LocalHost (użycie LRPC) Error: (11/19/2014 00:13:08 AM) (Source: DCOM) (EventID: 10016) (User: ZARZĄDZANIE NT) Description: właściwe dla aplikacjiLokalnyUruchom{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}ZARZĄDZANIE NTSYSTEMS-1-5-18LocalHost (użycie LRPC) Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: ListPermissions: HKLM\SOFTWARE\Classes\AppID\{344ED43D-D086-4961-86A6-1106F4ACAD9B} ListPermissions: HKLM\SOFTWARE\Classes\CLSID\{C97FCC79-E628-407D-AE68-A06AD6D8B4D1} Reg: reg query HKLM\SOFTWARE\Classes\AppID\{344ED43D-D086-4961-86A6-1106F4ACAD9B} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{C97FCC79-E628-407D-AE68-A06AD6D8B4D1} /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. przedstaw logi utworzone w folderze C:\AdwCleaner. .

Chyba polskie tłumaczenie tu zakłóca odbiór, owo "Usuwanie segmentu rekordów oddzielonego pliku" to po angielsku "Deleting orphan file record segment", czyli osierocony fragment pliku. To są dane już uszkodzone i niedostępne, które należy usunąć, więc przerywanie pracy checkdiska, by tego nie przetworzył, jest nielogiczne. Co do potencjalnej kopii danych kryjących się pod komunikatem "usuwanie segmentu rekordów oddzielonego pliku": kopiowanie danych które są nieczytelne i uszkodzone jest niezasadne, kopia zawierałaby błędy i tak wymagające korekty, taką kopię należało stworzyć o wiele wcześniej, gdy "oddzielony plik" nie był takowym. W sytuacji tzw. "oddzielonego pliku" checkdisk próbuje wyodrębniać utracone uszkodzone dane do nowych plików, które lądują w ukrytych folderach typu X:\FOUND.YYY (gdzie X to litera dysku dla którego zrobiono naprawę, a YYY to numery). Wyekstraktowane do tych folderów dane można odczytać narzędziami typu Chk-Back. Z tym, że kompletność wyodrębniania zależy od tego jak bardzo był uszkodzony materiał wyjściowy, częsta sytuacja to odzyskanie poszatkowanych danych. Po prostu konwersja zepsutego do sprawnego może być awykonalna. Tu przykładowe logi z pracy chkdsk: Oczywiście może się też zdarzyć, iż naprawa checkdisk będzie mieć gorsze rezultaty, np. niestartujący system lub jakieś drastyczniejsze ubytki, wszystko zależy od tego gdzie jest uszkodzenie i jaki ma ono zakres. Jak mówię: przerwałeś brutalnie operację naprawczą, system się po tym nie ładuje, co sugeruje kolejne uszkodzenia prawdopodobnie w strukturze systemu plików, więc zalecam wykonać operację do końca, tzn. sprawdzanie dysku i pozwolić naprawić błędy. Na wszelki wypadek, gdyż: "Narzędzie do naprawy systemu...." i tak egzekwuje chkdsk w trybie cichym. Opis funkcji: KLIK. I mógłbyś dorzuć log z FRST. W środowisku zewnętrznym mapowanie dysków może być inne niż spod Windows, wpływ na to ma m.in. widoczność ukrytych partycji. .

Problem stanowią wadliwe uprawnienia folderu C:\Windows\System32\LogFiles\WMI\RtBackup, brakuje konta SYSTEM, które musi mieć Pełną kontrolę. Akcja naprawcza: 1. Otwórz Notatnik i wklej w nim: CMD: icacls C:\Windows\System32\LogFiles\WMI\RtBackup /grant SYSTEM:F /T Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.System zostanie zresetowany. Powstanie kolejny fixlog.txt. 2. Zrób nowy skan FRST z zaznaczonym polem Addition i tylko ten plik mi dostarcz. Dołącz też plik fixlog.txt. .

Błąd 4201 usługi Dziennika kręci się wokół WMI. Zauważyłam już wcześniej, że jest coś nie tak z WMI, gdyż skan FRST w pewnych momentach nie mógł pobrać nazw rozszerzeń Firefox (funkcjonalność FRST bazuje na WMI). Sprawdzałam nawet w jednym ze skryptów stan usługi Winmgmt w rejestrze. Poproszę o kolejne dane. Otwórz Notatnik i wklej w nim: ListPermissions: C:\Windows\System32\LogFiles\WMI ListPermissions: C:\Windows\System32\LogFiles\WMI\RtBackup Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Mam wątpliwości czy usunięcie tego wpisu pomoże, no ale skoro chcesz to zrobić, to jedziemy. Jak mówiłam, Properties z "Odmową dostępu" jest normalne w kluczu Enum, bardzo wiele elementów posiada ten rodzaj uprawnień. Po prostu Twoje konto nie ma żadnego dostępu, ale Windows owszem ma, gdyż Pełną kontrolę ma konto SYSTEM. Usunięcie tego klucza jest banalnie proste. Wystarczy zmienić kontekst konta dla regedit. Uruchom regedit na uprawnieniu konta SYSTEM za pomocą Process Hacker: KLIK. W tak uruchomionym regedit klucz nie będzie w ogóle zablokowany, możliwy do skasowania od ręki.

Czy problem z procesem iexplore.exe ustąpił? Wszystko zrobione. Poprawki: 1. Otwórz Notatnik i wklej w nim: CustomCLSID: HKU\S-1-5-21-1440103629-4270272420-3639045120-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> C:\Users\strona ogolna\AppData\Roaming\moters\supna.dll No File FF user.js: detected! => C:\Users\strona ogolna\AppData\Roaming\Mozilla\Firefox\Profiles\u0ejhi95.default\user.js C:\Program Files (x86)\PC Tools C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files\HitmanPro C:\ProgramData\PC Tools C:\ProgramData\Spybot - Search & Destroy C:\Users\strona ogolna\AppData\Roaming\TestApp C:\Users\strona ogolna\Downloads\sdsetup.exe C:\Users\strona ogolna\Downloads\spybot-2.4.exe C:\Windows\system32\Drivers\PCTSD64.sys C:\Windows\System32\Tasks\Safer-Networking Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowe raporty z folderu C:\AdwCleaner. .

DelFix wykonał pracę. Możesz usunąć z dysku raport C:\DelFix.txt, a także pobrany GMER (o ile nadal jest na dysku). Temat rozwiązany. Zamykam.

Niestety jest bez zmian. 1. Zweryfikuj poprawność plików systemowych: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. 2. Jeszcze podaj mi co się pokazuje podczas próby ręcznego uruchomienia Dziennika: Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj usługę Dziennik zdarzeń > dwuklik i klik w przycisk Uruchom. Podaj jaki błąd występuje.

Objaśnij dlaczego przerwałeś tę operację, skoro checkdisk wykrył nieczytelne / błędne dane. Moim zdaniem należy w pierwszej kolejności dokończyć przerwany checkdisk, by wyeliminował błędy w systemie plików. Checkdisk wykonać po kolei dla wszystkich dysków. .