Driver Pro i błędy ERR_PROXY_CONNECTION_FAILED

[pap]

Witam,

 

Użyłem Malwarebytes w celu posprzątania zainfekowanego komputera i niestety miedzyinnymi usunąłem C:\System Volume Information folder. 

 

Czy jest możliwość przywrócenia tego folderu?

 

Muszę dodać, że nie mogę skorzystać z funkcji przywracania systemu ponieważ zastosowałem się do kroków finalizujących podanych na forum i wyczyściłem folder przywracania systemu.

 

 

Pozdrawiam,

pap 

[picasso]

W jaki sposób byłeś zdolny skasować ten folder, skoro jest on w normalnych okoliczościach zablokowany przez uprawnienia i trzeba się mocno nagimnastykować, by go ruszyć. Może go nie widzisz po prostu? Czy w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > opcja Ukryj chronione pliki systemu operacyjnego jest zaznaczona?

[pap]

Dziękuje za podpowiedź, tak jak napisałaś po prostu go nie widziałem. 

 

Problem musi tkwić gdzieś indziej, ponieważ komputer wolno chodzi, wiatrak się załącza nawet jak nic nie robie. Ponadto mam adware, którego nie potrafie usunąć - Driver Pro, kilka razy go usuwałem ale jak widać bezskutecznie. Prawdopodobnie odtwarza się z rejestru. Często tracę połączenie z internetem wyskakuje Error 130 (net::ERR_PROXY_CONNECTION_FAILED).

 

Wygenerowałem logi, czy mogłabyś sprawdzić co jest nie tak?

 

Pozdrawiam,

pap

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

gmer.txt

[picasso]

Skoro podajesz logi z FRST, to zabrakło trzeciego FRST Shortcut. I temat zostaje przeniesiony do działu diagnostyki infekcji....

 

 

komputer wolno chodzi, wiatrak się załącza nawet jak nic nie robie.

Póki co, widzę tu podejrzane zadania w Harmonogramie zadań, m.in. "diagnostyk Microsoftu", tylko że takie zadanie domyślnie nie występuje w systemie, a sam plik nie ma sygnatury MS:

 

Task: {A99455B1-188B-4BD6-B907-7787C10EA73A} - System32\Tasks\Microsoft\windows\DiskDiagnostic\DiskDiagnostic => C:\Program Files\DiskDiagnostic\DiskDiagnostic.exe [2014-10-03] ()

 

 

często tracę połączenie z internetem wyskakuje Error 130 (net::ERR_PROXY_CONNECTION_FAILED).

Jest tu ustawione proxy Internet Explorer (działa także w Google Chrome), a w Harmonogramie zadań uruchamia się LocaProxy - jak rozumiem była to nieświadoma instalacja.

 

==================== Processes (Whitelisted) =================
 

() C:\Program Files\Loca\bin\LocaProxy.exe

() C:\Program Files\Loca\bin\LocaProxyTracker.exe
 

Task: {CED5A85F-E68F-4DA0-B5B3-501DE0AFEF1F} - System32\Tasks\Loca\Loca\Loca => C:\Program Files\Loca\bin\LocaProxy.exe [2014-10-20] ()

 

 

Wstępnie usuń omawiane elementy oraz szczątki Bitdefender:

 

1. Poprzez Panel sterowania odinstaluj niepożądany program EZ YouTube Video Downloader.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Task: {11F34C68-E5FD-4B80-92A6-0E2B1010B8CE} - System32\Tasks\Opera scheduled Autoupdate 1412344377 => C:\Program Files\Opera\launcher.exe
Task: {A99455B1-188B-4BD6-B907-7787C10EA73A} - System32\Tasks\Microsoft\windows\DiskDiagnostic\DiskDiagnostic => C:\Program Files\DiskDiagnostic\DiskDiagnostic.exe [2014-10-03] ()
Task: {B4F2DD13-905A-480E-8A3B-D9166ADE882D} - \Driver Pro Schedule No Task File 
Task: {CED5A85F-E68F-4DA0-B5B3-501DE0AFEF1F} - System32\Tasks\Loca\Loca\Loca => C:\Program Files\Loca\bin\LocaProxy.exe [2014-10-20] ()
Task: {DA9A1342-205E-4025-9E96-201EA968CD43} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-HashDiagnostic No Task File 
HKU\S-1-5-21-4144906793-159945770-2030462716-1000\...\MountPoints2: {fe7d3415-4df2-11e4-976e-b870f448ed3f} - F:\Startme.exe
HKU\S-1-5-18\...\Run: [bitdefender Wallet Agent] => "C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe"
HKU\S-1-5-18\...\Run: [bitdefender Wallet] => "C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe" --hidden --nowizard
HKU\S-1-5-18\...\Run: [bitdefender Wallet Application Agent] => "C:\Program Files\Bitdefender\Bitdefender\bdapppassmgr.exe"
S1 BdfNdisf; \??\c:\program files\common files\bitdefender\bitdefender firewall\bdfndisf6.sys [X]
ProxyEnable: Internet Explorer proxy is enabled.
ProxyServer: http=127.0.0.1:8080;https=127.0.0.1:8080
Folder: C:\Program Files\DiskDiagnostic
C:\Program Files\Common Files\Bitdefender
C:\Program Files\DiskDiagnostic
C:\Program Files\Loca
C:\ProgramData\cryptoDrvUpdate.exe
C:\ProgramData\*.bdinstall.bin
C:\Users\Lenovo\AppData\Temp
C:\Users\Lenovo\AppData\Roaming\driver
C:\Users\Lenovo\AppData\Roaming\Mozilla
C:\Users\Lenovo\AppData\Roaming\QuickScan
C:\Windows\system32\sqlite3.dll
C:\Windows\system32\Tasks\Loca
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Driver Pro" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\InstallerLauncher" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition + Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt oraz zaległe logi z prowadzonych wcześniej kasacji (z folderu C:\AdwCleaner oraz log z poprzedniego usuwania MBAM). Wypowiedz się czy po usuwaniu są jakieś zmiany w systemie.

 

 

 

.

[pap]

Jest tu ustawione proxy Internet Explorer (działa także w Google Chrome), a w Harmonogramie zadań uruchamia się LocaProxy - jak rozumiem była to nieświadoma instalacja.

 

Zgadza się, ja w każdym razie świadomie nic nie instalowałem.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition + Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt oraz zaległe logi z prowadzonych wcześniej kasacji (z folderu C:\AdwCleaner oraz log z poprzedniego usuwania MBAM). Wypowiedz się czy po usuwaniu są jakieś zmiany w systemie.

 

Załączam wymagane logi. Nie mogę niestety załączyć loga z poprzedniego usuwania MBAM, ponieważ go usunąłem

 

Wypowiedz się czy po usuwaniu są jakieś zmiany w systemie.

 

Tak zmiany są i to ogromne. System jest znacznie szybszy i wiatrak się nie załącza. Ponadto jak dotąd error 130 nie wystąpił.

 

Dziękuję za pomoc, jutro zrobię dotacje.

Addition.txt

Adwcleaner.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[picasso]

Tytuł tematu dostosowuję do zasadniczej tematyki. Wszystko wygląda na przetworzone pomyślnie, aczkolwiek ... częściowo te zadania Harmonogramu tak jakby wróciły i to pod zmienionymi identyfikatorami, choć zadania są martwe. Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {1322EAF6-C7CA-4241-8856-79E7A0A18593} - \Driver Pro Schedule No Task File 
Task: {4C505164-BB6B-44C6-A363-CFF0F990281A} - \Loca\Loca\Loca No Task File 
Task: {FC621049-7093-4465-8779-68003AB4A164} - \Microsoft\windows\DiskDiagnostic\DiskDiagnostic No Task File 
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Loca
DeleteQuarantine:
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition i tylko ten log mi dostarcz. Dołącz też fixlog.txt oraz pozostałe raporty AdwCleaner:

 

Driver Pro, kilka razy go usuwałem ale jak widać bezskutecznie. Prawdopodobnie odtwarza się z rejestru. Załączam log.

On się raczej odtwarzał przy udziale jednego z owych zadań Harmonogramu i czynnego proxy. AdwCleaner uruchamiałeś wiele razy i pokazałeś tylko ostatni z serii, poproszę o wcześniejsze logi S0 do S5:

 

AdwCleaner[s0].txt - [4121 octets] - [02/10/2014 20:25:43]

AdwCleaner[s1].txt - [1600 octets] - [04/10/2014 16:05:44]

AdwCleaner[s2].txt - [1306 octets] - [05/10/2014 19:55:26]

AdwCleaner[s3].txt - [3932 octets] - [25/10/2014 22:31:13]

AdwCleaner[s4].txt - [1531 octets] - [26/10/2014 17:38:44]

AdwCleaner[s5].txt - [2025 octets] - [28/10/2014 19:48:14]

AdwCleaner[s6].txt - [1616 octets] - [28/10/2014 20:26:39]

[pap]

Zrób nowy log FRST z opcji Scan, zaznacz pole Addition i tylko ten log mi dostarcz. Dołącz też fixlog.txt oraz pozostałe raporty AdwCleaner:

 

Załączam wymagane logi.

 

 

On się raczej odtwarzał przy udziale jednego z owych zadań Harmonogramu i czynnego proxy. AdwCleaner uruchamiałeś wiele razy i pokazałeś tylko ostatni z serii, poproszę o wcześniejsze logi S0 do S5:

 

Załączam dodatkowo na wszelki wypadek logi z seri R, które wygenerowałem przed serią S, wtedy gdy zaczeły dziać się dziwne rzeczy.

Troche tego dużo 

 

Pozdrawiam serdecznie,

pap

Fixlog.txt

Addition.txt

AdwCleanerS0.txt

AdwCleanerS1.txt

AdwCleanerS2.txt

AdwCleanerS3.txt

AdwCleanerS4.txt

AdwCleanerS5.txt

[picasso]

Te logi AdwCleaner z oznaczeniem "R" usuwam, nie są mi potrzebne, to wyniki z opcji "Szukaj". Prosiłam tylko o raporty z oznaczeniem "S", czyli z opcji "Usuń". Log AdwCleanerS6.txt już wcześniej podałeś, więc też likwiduję.

 

 

Fix wykonany. Jeszcze na wszelki wypadek podaj mi skan na jeden z kluczy jakoby nie usuniętych (choć w nowym logu brak śladów). Otwórz Notatnik i wklej w nim:

 

Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\windows\DiskDiagnostic\DiskDiagnostic" /s
RemoveDirectory: C:\AdwCleaner

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

 

.

[pap]

Proszę bardzo.

Fixlog.txt

[picasso]

OK, klucza rzeczywiście nie ma. Wszystko zrobione, kończymy:

 

1. Usuń używane narzędzia za pomocą DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

I przeczytaj na co uważać, skąd nie pobierać: KLIK.

 

 

 

.

[pap]

Stokrotne dzięki.

 

Serdecznie pozdrawiam,

pap