Unisales

[mxjedi]

Witam, mam podobny problem. Jednak już przy tworzeniu się FRST.txt i Addition.txt są problemy. Logi się tworzą, ale nie mogę ich znaleźć na komputerze, choć powinny być obok FRST.exe. Proszę o pomoc

[picasso]

Zasady działu: KLIK. Tu jest zakaz podpinania się, wydzielone.

 

Jednak już przy tworzeniu się FRST.txt i Addition.txt są problemy. Logi się tworzą, ale nie mogę ich znaleźć na komputerze, choć powinny być obok FRST.exe.

Przypominam, że FRST ma utworzć trzy a nie dwa raporty (jeszcze Shortcut). Skąd jest uruchamiany FRST, z jakiej ścieżki dostępu?

[mxjedi]

Początkowo FRST był na pulipcie, ale po skanowaniu nie było widać raportów. Utworzyłem na pulpicie folder o nazwie help. Znów łączyłem skanowanie, zaznaczyłem co trzeba, tworzą mi się 3 raporty (Addition.txt, FRST.txt oraz Shortcut.txt.), otwierają mi się tekst w notatniku i komunikat, że są zapisane w tym samym folderze co FRST, ale gdy otwieram folder, nic nie widzę.

[picasso]

Skoro logi się otwierają, to są na 100% zapisane na dysku. Skoro mowa o Pulpicie, to jest możliwe że raporty są poza krawędzią widoczności ekranu. Otwórz eksplorator Windows, przejdź do folderu C:\Users\Konto\Desktop (Windows Vista i nowsze) lub C:\Documents and Settings\Konto\Pulpit (XP) i sprawdź czy logi są tam widoczne. Dodatkowo, możesz zastosować wyszukiwarkę systemową dla nazw raportów.

[mxjedi]

Wiem, że to dziwnie wygląda, ale logów nie ma. (Tak jakby jakiś program od razu usuwał albo ukrywał - czasem COMODO antywirus tak robi, ale sprawdzałem w kwarantannie - nic nie ma). Skopiowałem tekst z notatnika do worda i zapisałem jako txt. To na razie jedyne rozwiązanie jakie znalazłem ale nie wiem czy tak może być. Co ciekawe pobrałem przykładowe raporty innych użytkowników i są widoczne.

Shortcut.txt

Addition.txt

FRST.txt

[picasso]

W tym samym czasie są zalogowane liczne konta:

 

Running from C:\Users\Marek\Desktop\help

Loaded Profiles: Marek & Administrator & Gość (Available profiles: Marek & Administrator & Gość)

 

Proszę wyloguj się ze wszystkich, tzn. wykonaj pełny restart komputera i zaloguj się na główne konto Marek. Usuń z Pulpitu folder "help", pobierz FRST ponownie na Pulpit i zrób nowe logi. Na czas robienia raportów kompletnie zdeaktywuj COMODO.

[mxjedi]

Bardzo dziękuję za cierpliwość i pomoc.

 

Sytuacja wygląda tak: zamknąłem komputer. Po włączeniu zalogowałem się na konto Marek (administrator) [nie wiem jak to działa, nie mam innych kont użytkowników na komputerze, wiem, że na C:\Users jest Administrator, Gość i Marek, ale oprócz tego ostatniego pozostałe są niewykorzystywane i prawie nic na nich nie ma; przepraszam, ale niezbyt się orientuję w tych zagadnieniach).

 

Ponadto zresetowałem ustawienia google chrome i złośliwe wtyczki się nie włączają, co wcale nie znaczy, że wszystko jest dobrze, mam obawy, że jednak coś zostało na komputerze.

 

problem ze znikającymi rejestrami jest nadal.

 

 

Będę wdzięczny za każdą pomoc

Shortcut.txt

Addition.txt

FRST.txt

[picasso]

Proszę nie pisz posta pod postem (sklejam), odpowiadam gdy mogę.

 

1. Nie wiem o co chodzi, ale nadal widać zalogowane trzy profile, mimo że konta są oznaczone jako "wyłączone":

 

Loaded Profiles: Marek & Administrator & Gość (Available profiles: Marek & Administrator & Gość)
 

========================= Accounts: ==========================
 

Administrator (S-1-5-21-3384552037-1150880392-2470578842-500 - Administrator - Disabled) => C:\Users\Administrator

Gość (S-1-5-21-3384552037-1150880392-2470578842-501 - Limited - Disabled) => C:\Users\Gość

 

2. Co masz na myśli mówiąc "problem ze znikającymi rejestrami jest nadal" - jakimi rejestrami, czy chodzi o logi FRST? W obecnej sytuacji nie wykluczam tu problemu tworzonego przez COMODO Internet Security. Przykładowy temat z forum pokazujący COMODO blokującego zapis plików: KLIK. Prócz problemu z zapisem plików jeszcze widzę następujące błędy w Addition:

 

==================== Restore Points =========================
 

Could not list restore points.

Check "winmgmt" service or repair WMI.
 

==================== Event log errors: =========================
 

Could not start eventlog service, could not read events.
 

Wystąpił błąd systemu 123.
 

Nazwa pliku, nazwa katalogu lub składnia etykiety woluminu jest niepoprawna.

 

Te błędy prawdopodobnie oznaczają utracone uprawnienia do katalogu C:\Windows\System32\LogFiles\WMI\RtBackup, jak w tym temacie: KLIK. Z tym że ponownie: to COMODO Internet Security może tworzyć problem i blokować dostęp.

 

3. Jeśli chodzi o problem z Google Chrome, to reset przeglądarki niestety nie wystarczy. Adware przekonwertowało całą przeglądarkę z wersji stabilnej do developerskiej i jest konieczna kompleksowa reinstalacja od zera, gdyż obecnie masz wersję która przepuszcza adware (brak limitacji charakterystycznych dla wersji stabilnej). Na dysku są też nadal foldery adware.

 

 

---

Działania wstępne:

 

1. Na początek deinstalacje:

 

- Przez Panel sterowania odinstaluj poszkodowaną przeglądarkę, stare wersje i śmieci: Acrobat.com, Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader X (10.1.3), Adobe Shockwave Player 11.5, Google Chrome, Java 7 Update 55, Mozilla Firefox 7.0.1 (x86 pl), OpenOffice.org 3.2, Qtrax Player. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, wybierz podobną opcję przy usuwaniu Firefox, a resztę składników przeglądarek dokasuje mój skrypt poniżej.

 

- Jest tu też zainstalowany i uruchamiany wątpliwy program z czarnej listy SpyHunter. Deinstalator jest z kolei w Menu Start:

 

ShortcutWithArgument: C:\Users\Marek\Start Menu\Programs\SpyHunter\Uninstall.lnk -> C:\Users\Marek\AppData\Roaming\Enigma Software Group\sh_installer.exe (Enigma Software Group USA, LLC.) -> -r sh

 

2. Podczas tej operacji COMODO musi być wyłączony, gdyż przeszkodzi FRST. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [DivXMediaServer] => C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe
HKLM\...\Run: [PrivDogService] => "C:\Program Files\AdTrustMedia\PrivDog\2.2.0.14\trustedadssvc.exe"
HKLM\...\Run: [ComodoFSChrome] => "C:\Program Files\AdTrustMedia\PrivDog\FinalizeSetup.exe" /c
HKU\S-1-5-19\...\Run: [WindowsWelcomeCenter] => rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-20\...\Run: [WindowsWelcomeCenter] => rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-21-3384552037-1150880392-2470578842-1000\...\Run: [] => [X]
HKU\S-1-5-21-3384552037-1150880392-2470578842-1000\...\Run: [Tohehx] => C:\Users\Marek\AppData\Roaming\Tohehx.exe
HKU\S-1-5-21-3384552037-1150880392-2470578842-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-3384552037-1150880392-2470578842-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Marek\AppData\Local\Akamai\netsession_win.exe"
HKU\S-1-5-21-3384552037-1150880392-2470578842-1000\...\RunOnce: [Report] => C:\AdwCleaner\AdwCleaner[s2].txt [13120 2014-12-12] ()
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000 -> {A4FEDA48-202C-4982-83BA-F01E749AC1B7} URL =
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.99\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.25.5\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{218D2740-5A50-42A8-AB9F-62FF1B168782}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.69\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.2.183.23\goopdate.dll No File
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.79\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.23.9\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.24.15\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.149\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.115\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.22.5\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\Marek\Desktop\GRAPH\BigTitsAtSchool 14 02 17 Anissa Kate French Exam XXX REPACK 1080p MP4-K (the data entry has 14 more characters).
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.111\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.24.7\psuser.dll No File
Task: {B1E55DFD-CC82-47CD-AF2E-E95A4F5742F6} - System32\Tasks\{19D56749-BA68-4D9A-B467-A09D43AACDA3} => pcalua.exe -a C:\Users\Marek\AppData\Roaming\BabSolution\Shared\GUninstaller.exe -c -key "Delta Chrome Toolbar" -rmkey -rmbus "Delta Chrome Toolbar" -ask
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\06173350.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\06173350.sys => ""="Driver"
U3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
U0 sr; No ImagePath
U3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X]
C:\Program Files\Google
C:\ProgramData\bkoajonbmaikoaihmbpmffamkhhonjbg
C:\ProgramData\oeddbicmfjcimgjjmffjbcgeahippekc
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced PDF Password Recovery
C:\Users\Marek\AppData\Local\cache
C:\Users\Marek\AppData\Local\Google
C:\Users\Marek\AppData\Local\Mozilla
C:\Users\Marek\AppData\Roaming\*.exe
C:\Users\Marek\AppData\Roaming\Mozilla
C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BigTitsAtSchool 14 02 17 Anissa Kate French Exam XXX REPACK 1080p MP4-KTR.lnk
C:\Users\Marek\Desktop\BigTitsAtSchool 14 02 17 Anissa Kate French Exam XXX REPACK 1080p MP4-KTR.lnk
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies /f
Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies /f
Reg: reg delete HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies /f
Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
ListPermissions: C:\Windows\System32\LogFiles\WMI\RtBackup
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Napraw uszkodzony skrót Internet Explorer:

 

Shortcut: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.