kris1 Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Witam serdecznie. Mam problem dotyczący działania systemu, a mianowicie w trybie awaryjnym system działa normalnie nic się nie dzieje, nie ma restartów, natomiast przy normalnym uruchomieniu system po parunastu parudziesięciu sekundach sam się restartuje, jak mniemam po logach problemem są chyba szkodliwe sterowniki łądujące się wraz ze startem systemu, jeśli to możliwe proszę o sprawdzenie logów oraz o podpowiedź dalszych działań. FRST uruchomiony w trybie awaryjnym. Z góry dziękuję.. Addition.txt bluescreen.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Kolejny przypadek na forum z ogromną ilością sterowników adware (19 sztuk). Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S1 {24616444-765b-4b21-a0d9-3f0c17b29bfe}t; C:\WINDOWS\System32\drivers\{24616444-765b-4b21-a0d9-3f0c17b29bfe}t.sys [55872 2014-11-28] (StdLib) S1 {29b7765c-96a7-42da-b89f-2a7b5f6b5cba}t; C:\WINDOWS\System32\drivers\{29b7765c-96a7-42da-b89f-2a7b5f6b5cba}t.sys [55872 2014-11-30] (StdLib) S1 {397e3208-0393-47ca-9748-370b27e14021}t; C:\WINDOWS\System32\drivers\{397e3208-0393-47ca-9748-370b27e14021}t.sys [55832 2014-10-19] (StdLib) S1 {4059f7a9-d023-4137-a1c8-01f0f6fe6110}t; C:\WINDOWS\System32\drivers\{4059f7a9-d023-4137-a1c8-01f0f6fe6110}t.sys [55832 2014-10-20] (StdLib) S1 {55825785-0831-456c-8958-bd781398505d}t; C:\WINDOWS\System32\drivers\{55825785-0831-456c-8958-bd781398505d}t.sys [55872 2014-11-26] (StdLib) S1 {5eeb83d0-96ea-4249-942c-beead6847053}t; C:\WINDOWS\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}t.sys [55064 2014-09-12] (StdLib) S1 {632916e0-3570-41b8-afb5-b10d86ad94c7}t; C:\WINDOWS\System32\drivers\{632916e0-3570-41b8-afb5-b10d86ad94c7}t.sys [55832 2014-10-21] (StdLib) S1 {71d5e150-c72b-4e5b-a773-e49420251642}t; C:\WINDOWS\System32\drivers\{71d5e150-c72b-4e5b-a773-e49420251642}t.sys [55832 2014-10-22] (StdLib) S1 {8e282837-b584-46f4-a220-bfdd4678d061}t; C:\WINDOWS\System32\drivers\{8e282837-b584-46f4-a220-bfdd4678d061}t.sys [55872 2014-12-01] (StdLib) S1 {98a55059-ac5d-40d9-81ae-6bff294c9b89}t; C:\WINDOWS\System32\drivers\{98a55059-ac5d-40d9-81ae-6bff294c9b89}t.sys [55832 2014-10-19] (StdLib) S1 {c28516e7-f1f3-4437-81ce-ec213355cd9c}t; C:\WINDOWS\System32\drivers\{c28516e7-f1f3-4437-81ce-ec213355cd9c}t.sys [55872 2014-12-01] (StdLib) S1 {c393de5d-8149-4434-ab91-01ec8ea15264}t; C:\WINDOWS\System32\drivers\{c393de5d-8149-4434-ab91-01ec8ea15264}t.sys [55872 2014-11-30] (StdLib) S1 {d0ee745f-6f92-44ac-a7b8-87dfc4a60a3a}t; C:\WINDOWS\System32\drivers\{d0ee745f-6f92-44ac-a7b8-87dfc4a60a3a}t.sys [55872 2014-11-29] (StdLib) S1 {e168bb47-74a7-440b-bf7d-d17153007d6b}t; C:\WINDOWS\System32\drivers\{e168bb47-74a7-440b-bf7d-d17153007d6b}t.sys [55832 2014-10-11] (StdLib) S1 {efa349b9-003c-4506-9e55-957c1cff853c}t; C:\WINDOWS\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}t.sys [55832 2014-10-22] (StdLib) S1 {f06ee1ad-d0c2-4bf7-ada2-fa0fb563c169}t; C:\WINDOWS\System32\drivers\{f06ee1ad-d0c2-4bf7-ada2-fa0fb563c169}t.sys [55832 2014-10-15] (StdLib) S1 {fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}t; C:\WINDOWS\System32\drivers\{fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}t.sys [55832 2014-10-11] (StdLib) S1 {fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}t; C:\WINDOWS\System32\drivers\{fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}t.sys [55832 2014-10-16] (StdLib) S1 {fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}t; C:\WINDOWS\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}t.sys [55832 2014-10-13] (StdLib) S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X] S3 GMSIPCI; \??\F:\INSTALL\GMSIPCI.SYS [X] S3 KUsbGuard; \??\C:\program files\kingsoft\kingsoft antivirus\kusbquery.sys [X] S2 MaintainerSvc7.71.837357; C:\Documents and Settings\All Users\Dane aplikacji\66d59f5c-9429-4c86-9f63-c339daeaabaf\maintainer.exe [123680 2014-12-02] () S2 Util SmarterPower; "C:\Program Files\SmarterPower\bin\utilSmarterPower.exe" [X] HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ProxyEnable: [s-1-5-21-1060284298-796845957-1417001333-1005] => Internet Explorer proxy is enabled. HKU\S-1-5-21-1060284298-796845957-1417001333-1005\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140911 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140911 C:\Documents and Settings\All Users\Dane aplikacji\66d59f5c-9429-4c86-9f63-c339daeaabaf C:\WINDOWS\System32\drivers\{24616444-765b-4b21-a0d9-3f0c17b29bfe}t.sys C:\WINDOWS\System32\drivers\{29b7765c-96a7-42da-b89f-2a7b5f6b5cba}t.sys C:\WINDOWS\System32\drivers\{397e3208-0393-47ca-9748-370b27e14021}t.sys C:\WINDOWS\System32\drivers\{4059f7a9-d023-4137-a1c8-01f0f6fe6110}t.sys C:\WINDOWS\System32\drivers\{55825785-0831-456c-8958-bd781398505d}t.sys C:\WINDOWS\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}t.sys C:\WINDOWS\System32\drivers\{632916e0-3570-41b8-afb5-b10d86ad94c7}t.sys C:\WINDOWS\System32\drivers\{71d5e150-c72b-4e5b-a773-e49420251642}t.sys C:\WINDOWS\System32\drivers\{8e282837-b584-46f4-a220-bfdd4678d061}t.sys C:\WINDOWS\System32\drivers\{98a55059-ac5d-40d9-81ae-6bff294c9b89}t.sys C:\WINDOWS\System32\drivers\{c28516e7-f1f3-4437-81ce-ec213355cd9c}t.sys C:\WINDOWS\System32\drivers\{c393de5d-8149-4434-ab91-01ec8ea15264}t.sys C:\WINDOWS\System32\drivers\{d0ee745f-6f92-44ac-a7b8-87dfc4a60a3a}t.sys C:\WINDOWS\System32\drivers\{e168bb47-74a7-440b-bf7d-d17153007d6b}t.sys C:\WINDOWS\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}t.sys C:\WINDOWS\System32\drivers\{f06ee1ad-d0c2-4bf7-ada2-fa0fb563c169}t.sys C:\WINDOWS\System32\drivers\{fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}t.sys C:\WINDOWS\System32\drivers\{fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}t.sys C:\WINDOWS\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}t.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Folder: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Opera Software\Opera Stable\Extensions CMD: type "C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj starocie Adobe Reader 9.5.0 - Polish, Java 7 Update 17. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
kris1 Opublikowano 4 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Wszystkie działania przeprowadzone proszę oto logi : Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Gładko poszło. Działania poprawkowe: 1. Przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
kris1 Opublikowano 4 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Wszytskie działania przeprowadzone oto log z awdcleaner: Ps. usunąłem resztki Awdcleanerem, wwdc zablokowałem porty , spywareblaster zainstalowany i poblokowane , przeskanowałem malwarebytes brak zagrożeń, zainstalowany webroot, najnowszy flashplayer, adobereader i java . Myślę że wszytko jest w porządku z góry dziękuję za okazaną pomoc.. Jeśli by coś jeszcze trzeba zrobić proszę o info ... AdwCleanerR0.txt Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2014 Zgłoś Udostępnij Opublikowano 5 Grudnia 2014 Następnym razem proszę powstrzymaj się przed działaniami na własną rękę. Rozmyślnie podałam tylko AdwCleaner w trybie Szukaj, ostatnio są fałszywe alarmy i w obawie, by nie poleciało za dużo jestem teraz bardzo ostrożna. No cóż, AdwCleaner wywalił nieszkodliwy wpis związany z rejestracją LiveBox: URLSearchHook: HKU\S-1-5-21-1060284298-796845957-1417001333-1005 - Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Livebox\SearchURLHook\SearchPageURL.dll () W tym przypadku jednak nic się nie stało, nie jest to ważne. Ps. usunąłem resztki Awdcleanerem, wwdc zablokowałem porty , spywareblaster zainstalowany i poblokowane , przeskanowałem malwarebytes brak zagrożeń, zainstalowany webroot, najnowszy flashplayer, adobereader i java . O ile tego nie zrobiłeś, jeszcze DelFix i czyszczenie folderów Przywracania systemu: KLIK. Do instalacji także Internet Explorer 8 - obecnie Microsoft usunął wszystkie instalacje offline, więc uruchom Windows Update i sprawdź czy jest proponowany. . Odnośnik do komentarza
kris1 Opublikowano 5 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 5 Grudnia 2014 Witam dziękuję za informację , co do liveboxa oczywiście przeanalizowałm wcześniej wpisy i jak najbardziej można było to usunąć bo dano już liveboxa nie ma, przywracania systemu tak oczywiście było wyłączone i ponownie włączone, co do hotfixów sam je usunąłem ponieważ miejsca na dysku systemowym było niewiele więc musiałem to uczynić, co do update windowsa oczywiście wszytko co możliwe poinstalowane i zaktualizowane. Jeszcze raz dziękuję za informacje i pomocną dłoń.... Odnośnik do komentarza
Rekomendowane odpowiedzi