Bonus od T-Mobile - system nie odpala

[jknuk]

Witam,

 

mam taki problem: otóż rodzina otworzyła załącznik od oszustów podających się za T-Mobile, system spowolnił itp. Dostałem "tipy" z innego portalu aby użyć AdwCleaner, co też uczyniłem... niestety po restarcie jaki wymusił program system się nie uruchamia, jest tylko aktyrny kursor myszki, którym mogę poruszać, ale tło jest czarne nic się nie dzieje... tryb awaryjny to samo. Bardzo proszę o pomoc, wszystkie dane są na partcji C, był to komputer tzw. prezent, działał ponad 5lat, system oryginalny ale nie posiadam płytki. Nie wiem co mam robić. Pomocy

 

 

[picasso]

Dostarcz raporty FRST zrobione z poziomu środowiska zewnętrznego: KLIK.

[jknuk]

Mam problem z bootowaniem plytki Vista RE, wypalilem ja na plycie i podczas odpalenia systemu z CD jest tylko ekran: Windows is loading files, po czym pojawia sie kursor na tym tle windwosowym (takim niebieskim) i dalej nic..

 

 

EDIT: ok poszło, trzeba było poczekac

 

Ok, wykonany log:

FRST.txt

[picasso]

Logi proszę umieszczaj w postaci oryginalnej jako załączniki posta. Wstawiłam raport jak należy.

 

Widzę różne modyfikacje, w tym niejaki delikwent WinMediaManager00. Działania wstępne:

 

1. W Notatniku przygotuj plik o treści:

 

HKLM\...\Run: [*WinMediaManager00] => C:\ProgramData\WinMediaManager00\unsecapp.exe [150456 2009-04-10] (Stoically6)
HKU\Właściciel\...\Winlogon: [shell] explorer.exe, 
IFEO\MPLog-11022006-050241.log: [Debugger] wuauclt.exe
IFEO\Scans: [Debugger] wuauclt.exe
IFEO\Support: [Debugger] wuauclt.exe
GroupPolicyUsers\S-1-5-21-671787287-3483274435-3103815376-1004\User: Group Policy restriction detected 
S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X]
S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X]
C:\ProgramData\WinMediaManager00
C:\ProgramData\Winrar_Update
C:\Users\Wlasciciel\AppData\Local\Temp
C:\Users\Właściciel\AppData\Roaming\*.exe
C:\Users\Właściciel\AppData\Roaming\WinMediaManager00
Folder: C:\Program Files\Windows Defender
Reg: reg query "HKLM\SYSTEM\ControlSet003\Control\Session Manager"
CMD: type C:\service.log

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i wstaw na pendrive E:\ tam gdzie siedzi FRST. Uruchom FRST i kliknij w Fix. Na pendrive powstanie fixlog.txt.

 

2. Na razie nie próbuj uruchamiać Windows, tylko zrób nowy log FRST z opcji Scan + dostarcz wynikowy Fixlog.txt. Jest tu podejrzenie określonej modyfikacji (PendingFileRenameOperations przesuwającej pliki Windows przy starcie) i muszę się upewnić z czym mam do czynienia zanim zresetujesz system.

[jknuk]

Zrobione, sorki za logi.

FRST.txt

Fixlog.txt

[picasso]

Obawiam się, że tu możemy mieć do czynienia z infekcją szyfrującą dane i nie wiadomo jaki jest zakres tego działania. W pierwszym logu było widać dewastację obiektów związanych z zabezpieczeniami, konkretnie uszkodzony Windows Defender (i zapewne jest więcej uszkodzeń, tylko log FRST spod RE jest zbyt ograniczony). Toteż sprawdziłam zawartość jego folderu i okazuje się że nie dość, że przetrzebiony, to jeszcze pliki w środku mają suffiksy wskazujące na szyfrowanie danych:

 

========================= Folder: C:\Program Files\Windows Defender ========================
 

2015-01-23 04:59 - 2015-01-23 04:59 - 2097152 ___SH () C:\Program Files\Windows Defender\MSASCui.exe.config

2006-12-04 21:20 - 2015-01-23 05:01 - 0000000 ____D () C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C

2006-12-04 21:16 - 2006-12-04 21:16 - 0049152 ____N (Microsoft Corporation) C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C\MpAsDesc.dll.mui.9iz3S.aGhM6

2006-12-04 21:17 - 2006-12-04 21:17 - 0023552 ____N (Microsoft Corporation) C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C\MpEvMsg.dll.mui.fSRV1.5269q

2006-12-04 21:16 - 2006-12-04 21:16 - 0069632 ____N (Microsoft Corporation) C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C\MsMpRes.dll.mui.yv8.x65m

 

Fix FRST nie wszystko wykonał. Nie usunęły się obiekty ze ścieżek C:\Users. Nie wiem dlaczego, może to przez polską czcionkę w ścieżce, a może przez kodowanie raportu. Ponowne podejście:

 

1. Do Notatnika wklej:

 

HKU\Właściciel\...\Winlogon: [shell] explorer.exe, 
C:\Users\Wlasciciel\AppData\Local\Temp
C:\Users\Właściciel\AppData\Local\Temp
C:\Users\Właściciel\AppData\Roaming\*.exe
C:\Users\Właściciel\AppData\Roaming\WinMediaManager00

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

2. Uruchom FRST, klik w Fix, pokaż wynikowy fixlog.txt.

[jknuk]

Mam tez logi z wczoraj robione jak system jeszcze działal. Dodalem jako zalaczniki 1,2,3,4. 

Fixlog.txt

1.txt

2.txt

3.txt

4.txt

[picasso]

Teraz Fix dokończył sprawę. A te raporty przed są w złym kodowaniu, czyli ANSI a nie UTF-8, stąd problemy z polskimi ogonkami. FRST zapisuje pliki w Unicode, to nie są oryginały.

 

Zdaje się, że wszystko zostało wykonane, tzn. punkty ładowania infekcji zostały zdjęte. Spóbuj więc wejść do Windows. Jeśli to się uda, to zrób świeże logi FRST spod Windows: KLIK (dostarcz oryginalne pliki, nie zapisuj ich ponownie do nowych plików, nie przeklejaj nigdzie).

[jknuk]

Niestety system dalej się nie ładuje... powtorzyc logi z WinRE?

[picasso]

Mam pytanie: czy na tym czarnym ekranie jesteś w stanie wywołać sekwencję CTRL+ALT+DEL lub CTRL+SHIFT+ESC uruchamiającą Menedżer zadań?

[jknuk]

Niestety nie...

 

EDIT: jak zjade kursorem do lewego dolnego rogu to tlo sie tak jakby przyciemnia bardziej

 

Teraz chyba sa zalaczniki z polskimi znakami.

1.txt

2.txt

3.txt

4.txt

[picasso]

Czarny ekran występuje na którym z etapów: zaraz po "BIOSowym" ekranie, w miejscu gdzie się pokazuje logo Windows, w miejscu ekranu powitalnego, czy dopiero jak już "wchodzisz na Pulpit"?

Czy da się uruchomić Tryb awaryjny z obsługą Wiersza polecenia?

[jknuk]

A wiec tak; komp normalnie sie uruchamia, ekrany z cyferkami, potem ekran z paskiem visty i zielonymi kwadracikami (zalacznik) a nastepnie pokazuje sie kursor i czarny ekran. Tryb awaryjny to samo, po wyborze przelatuja te rozne sciezki dostepu a nastepnie pojawia sie kursor na czarnym tle, nie ma tych znazcznikow po rogach ze tryb awaryjny. Tryb z obsluga polecen wyglada tak samo...

[picasso]

W związku z tym poproszę o pliki rejestru do ręcznego wglądu. Zajmie mi to sporo czasu i nie obiecuję, że dziś to przetworzę. Do Notatnika wklej:

 

CMD: md E:\Reg
CMD: xcopy /e C:\FRST\Hives E:\Reg

 

Plik zapisz pod nazwą fixlist.txt i umieść na E. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt oraz katalog E:\Reg. Katalog spakuj do ZIP, shostuj gdzieś i podaj link do paczki.

[jknuk]

Zrobione, zmieniłem E na I bo mi pendrive'a teraz wykrywało pod I, tutaj link do Reg:

 

http://www.filedropper.com/reg

Fixlog.txt

[jknuk]

Witam,

 

 

poszukałem troche w necie i próbowałem wykonać te instrukcje:

 

 

 

On the affected machine, boot using the Vista Media and Select "Next" and then in the bottom left you will see "Repair your Computer"; select Next and then Select Command Prompt.

At the command prompt, launch regedit.exe and load the SYSTEM hive, follow the below steps.

a. Select HKEY_LOCAL_MACHINE

b. On the File menu, select Load Hive.

c. Browse to %WINDIR%\System32\Config Folder and select "SYSTEM"

d. Select Open.

e. In the Load Hive dialog box, type in "MySYSTEM" box for the registry hive that you want to edit.

After the hive is loaded, modify the following key value per the instructions below: You will need to know what ControlSet the machine is currently running on, this can be determined by going to HKEY_LOCAL_MACHINE\MySYSTEM\Select and find the "Current" value in the Right hand side. (Example: Current value is 1 then the ControlSet will be ControlSet001)

Key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Services\RpcSs (X is the Number from the Current Key from above)

Value Name: ObjectName

Old Value: LocalSystem

New Value: NT AUTHORITY\NetworkService

Unload the SYSTEM hive by selecting the key "MySYSTEM" and then select "File->Unload Hive" menu item.

Exit regedit.exe

Reboot the system normally

 

W kluczu MySystem posiadam ControlSet002; ControlSet003; ControlSet004. Po zlokalizowaniu "currenta" wyswietla sie nr 3, jednak w kluczu HKEY_LOCAL_MACHINE\SYSTEM jest tylko ControlSet001 - tutaj wydaje mi się właśnie problem z załadowaniem systemu, czyżby brakuje mi klucza w rejestrze? Jest na to sposób?

 

Sciagnałem tez Kaspersky Recovery Disk i z jego poziomu zgrałem sobie ważne pliki z dysku - w sumie mega sprawa

 

 

Pozdrawiam

[picasso]

Na razie z Twojego rejestru nic nie wynika. Nadal szukam. Tu jest podejrzenie, że uszkodzenie może być różnież na dysku, bo zawartość folderu Windows Defender wygląda niepokojąco i wskazuje na szyfrowanie danych. Niestety brak jakichkolwiek punktów Przywracania systemu i nie jest wykluczone, że skończy się na reinstalacji.

 

 

Dostałem "tipy" z innego portalu aby użyć AdwCleaner, co też uczyniłem... niestety po restarcie jaki wymusił program system się nie uruchamia, jest tylko aktyrny kursor myszki, którym mogę poruszać, ale tło jest czarne nic się nie dzieje...

Mam pytanie: czy jest jakikolwiek log AdwCleaner w folderze C:\AdwCleaner który by pokazał co on usuwał? Jeśli są raporty, to je doczep.

 

 

poszukałem troche w necie i próbowałem wykonać te instrukcje

Tu nie ma problemu, już masz to tak ustawione. Konfiguracja usługi RpcSs jest poprawna, nic jej nie brakuje, ani nic nie jest zmodyfikowane, uprawnienia też są w porządku. Taki czarny ekran przy logowaniu tworzy cała masa usterek. To co wyszukałeś to tylko jedna z wielu możliwości. I mam przecież cały Twój rejestr (pliki SYSTEM, SOFTWARE, NTUSER.DAT i kilka innych), kopię którą utworzył FRST:

 

 

W kluczu MySystem posiadam ControlSet002; ControlSet003; ControlSet004. Po zlokalizowaniu "currenta" wyswietla sie nr 3, jednak w kluczu HKEY_LOCAL_MACHINE\SYSTEM jest tylko ControlSet001 - tutaj wydaje mi się właśnie problem z załadowaniem systemu, czyżby brakuje mi klucza w rejestrze? Jest na to sposób?

I tu także nic nie brakuje. HKEY_LOCAL_MACHINE\SYSTEM to nie jest klucz Twojego Windowsa tylko klucz środowiska RE z płyty. Rejestr Windows nie jest automatycznie podmontowany w tym środowisku. Dopiero ręczne ładowanie pliku C:\Windows\system32\config\SYSTEM ujawnia część (tylko SYSTEM) co jest w rejestrze Twojego Windows. W tej kwestii:

 

CurrentControlSet jest widoczne tylko i wyłącznie spod działającego Windows. W środowisku zewnętrznym nie ma w ogóle CurrentControlSet, gdyż jest to tylko link symboliczny do jednego z kluczy ControlSet00x. Kluczy ControlSet00x jest kilka, gdyż jeden z nich to bieżąca konfiguracja, drugi to Ostatnia poprawna konfiguracja wywoływana z F8, a reszta to kopie typu "Failed" (niepoprawne). W normalnych okolicznościach jest ControlSet001 (bieżąca konfiguracja) i ControlSet002 (Ostatnia poprawna konfiguracja). W przypadku problemów startowych klucze się mnożą, a biężąca konfiguracja jest "przesuwana" do coraz to nowszych numerów. Jedyna konfiguracja, która ma znaczenie i którą należy ewentualnie edytować, to konfiguracja bieżąca. Ostatnia poprawna i tak zostanie zastąpiona przy pierwszym pomyślnym bootowaniu, a Failed są bez znaczenia.

 

Na początku log z FRST zawiadamiał, że bieżącą konfiguracją jest ControlSet003:

 

The current controlset is ControlSet003

 

Skoro już widzisz ControlSet004, to układ się ponownie zmienił.

 

 

 

 

.

[picasso]

Ponawiam prośbę:

 

Mam pytanie: czy jest jakikolwiek log AdwCleaner w folderze C:\AdwCleaner który by pokazał co on usuwał? Jeśli są raporty, to je doczep.

W kwestii niemożności startu Windows spróbuj jeszcze cofnąć cały rejestr części systemowej przy udziale kopii typu RegBack:

 

1. Do Notatnika wklej:

 

LastRegBack: 2015-01-24 03:53

 

Tak jak poprzednio: zapisz jako fixlist.txt i ulokuj tam gdzie siedzi FRST. Uruchom FRST i klik w Fix. Dostarcz fixlog.txt.

 

2. Sprawdź czy są jakiekolwiek zmiany przy starcie.

[jknuk]

Ok dodaje logi AdwCleaner, za chwilkę zrobię myk z cofnięciem rejestru i dam znać.

 

PS Dzięki za super wytłumaczenie z wczoraj

 

 

EDIT: Niestety dalej czarno.. załaczam fixloga

AdwCleanerR0.txt

AdwCleanerS0.txt

Quarantine.txt

Fixlog.txt

[picasso]

Przywrócenie poprzedniej wersji rejestru zapewne przywróciło też poprzednio usuwane wpisy szkodników, ale one są już puste i to na razie nie jest istotne. AdwCleaner nie przedstawia żadnych tipów, nie było usuwane nic powiązanego. Spróbuj jeszcze zrobić sprawdzanie poprawności plików na dysku:

 

1. Uruchom środowisko RE, nie uruchamiaj FRST, by nie przemapował liter. W Wierszu polecenia wklep notepad i przez nawigację boczną upewnij się jaki jest układ liter. Następnie w linii komend wpisz polecenie:

 

sfc /scannow /offbootdir=X:\ /offwindir=Y:\windows

 

X - podstawiasz literę partycji rozruchowej Windows (etykieta "Boot"), powinno być to C.

Y - podstawiasz literę partycji na której jest zainstalowany Windows. Przypuszczalnie D.

 

Podaj jaki zwrot z tej komendy otrzymasz. Jeli będzie tekst o uszkodzeniach i sprawdzaniu CBS.LOG, to się nie aplikuje, gdyż SFC uruchomione z zewnątrz w ogóle nie nagrywa raportu i nie będzie można sprawdzić jakie pliki zostaną naprawione. Ale conajmniej katalog C:\Program Files\Windows Defender powinien zostać zrekonstruowany.

 

2. Dodatkowo, rejestr był odkręcany, więc po powyższej akcji zrób nowy log z FRST. Ale zrób go na innych warunkach, tzn. odznacz pola Whitelist dla Services i Drivers.

[jknuk]

Zrobione. Wyskoczyło:

 

Windows Resource Protection found corrupt files and successfully repaired them. Details are included in the CBS.Log windir\Logs\CBS\CBS.log. For example C:\Windows\Logs\CBS\CBS.log

 

Za chwilkę wkleje log z FRST.

 

 

EDIT: Załączam log 

 

EDIT2: Komputer się odpalił :) Dzieki Picasso, jak rozumiem, wykonać logi i dodać skany?

 

EDIT3: Wykonane logi.

 

EDIT4: Log shortcut dodany.

FRST.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Komputer się odpalił :) Dzieki Picasso, jak rozumiem, wykonać logi i dodać skany?

Pomyślny start systemu oznacza, że był uszkodzony któryś kluczowy plik, tylko niestety nie mogę sprawdzić który, bo brak rekordów w CBS.LOG. Jest pewne, że katalog Windows Defender był naruszony, ale ten rodzaj usterki nie powinien tworzyć czarnego ekranu...

 

Oczywiście teraz już log FRST spod RE jest nieaktualny, liczą się bogatsze logi FRST spod Windows. Przechodzimy do doczyszczania systemu ze śmieci. Będę usuwać także komponenty Firefox, który jest niepoprawnie zainstalowany (brak wejścia deinstalacji, skróty jednak są).

 

 

1. Włącz Przywracanie systemu, gdyż aktualnie jest wyłączone.

 

2. Odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Reader X (10.1.13), Adobe Shockwave Player 12.0, Gadu-Gadu 10, Java 7 Update 45, Mozilla Maintenance Service, Opera 12.16.

 

Przed wykonaniem punktu numer 3 usuwającym Firefox możesz zrobić kopię zapasową zakładek i haseł (ale nic więcej) za pomocą MozBackup.

 

3. Otwórz Notatnik i wklej w nim:

 

CreateRestorePoint:
HKU\S-1-5-19\...\Run: [Winrar_Update] => "C:\ProgramData\Winrar_Update\dtdasndku.exe"
HKU\S-1-5-20\...\Run: [Winrar_Update] => "C:\ProgramData\Winrar_Update\dtdasndku.exe"
HKU\S-1-5-21-671787287-3483274435-3103815376-1001\...\Run: [WerFault] => C:\Users\Właściciel\AppData\Roaming\1819.exe
HKU\S-1-5-21-671787287-3483274435-3103815376-1001\...\Run: [Winrar_Update] => "C:\ProgramData\Winrar_Update\dtdasndku.exe"
HKU\S-1-5-21-671787287-3483274435-3103815376-1001\...\RunOnce: [Adobe Speed Launcher] => 1422546875
CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1419848387&from=cor&uid=MAXTORXSTM3320820AS_6QF2HM69XXXX6QF2HM69"
CHR HKLM\...\Chrome\Extension: [edaejikblbkinejkmkkodkjofpkfibdi] - C:\ProgramData\DownloadnSave\edaejikblbkinejkmkkodkjofpkfibdi.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - No Path
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
SearchScopes: HKU\S-1-5-21-671787287-3483274435-3103815376-1001 -> Backup.Old.DefaultScope {FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD}
SearchScopes: HKU\S-1-5-21-671787287-3483274435-3103815376-1001 -> {6FD0B21A-6782-57C1-E6C2-3F41F0380BDE} URL = http://www.google.com/custom?q={searchTerms}&sa.x=0&sa.y=0&safe=active&client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&hl=en&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1
Task: {F736E87B-8B56-457E-A9C6-A9CCF5806C18} - System32\Tasks\{DDA2CD83-7AE5-426D-B3C5-FD7D8DC9DAA6} => pcalua.exe -a C:\Users\Właściciel\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor 
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{00021401-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{0C7EFBDE-0303-4C6F-A4F7-31FA2BE5E397}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{0E890F83-5F79-11D1-9043-00C04FD9189D}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.25.5\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{16D51579-A30B-4C8B-A276-0FF4DC41E755}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{16F3DD56-1AF5-4347-846D-7C10C4192619}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{1E66F26B-79EE-11D2-8710-00C04F79ED0D}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{25336920-03F9-11CF-8FD0-00AA00686F13}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{275C23E2-3747-11D0-9FEA-00AA003F8646}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{2933BF91-7B36-11D2-B20E-00C04F983E60}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{3050F391-98B5-11CF-BB82-00AA00BDCE0B}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{3050F3B2-98B5-11CF-BB82-00AA00BDCE0B}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{3050F406-98B5-11CF-BB82-00AA00BDCE0B}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{3050F4CF-98B5-11CF-BB82-00AA00BDCE0B}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{30C3B080-30FB-11D0-B724-00AA006C1A01}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.23.9\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{385A91BC-1E8A-4E4A-A7A6-F4FC1E6CA1BD}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{4CB26C03-FF93-11D0-817E-0000F87557DB}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{4DF0C730-DF9D-4AE3-9153-AA6B82E9795A}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{4FD2A832-86C8-11D0-8FCA-00C04FD9189D}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{50D5107A-D278-4871-8989-F4CEAAF59CFC}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{50EF4544-AC9F-4A8E-B21B-8A26180DB13F}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{527C9A9B-B9A2-44B0-84F9-F0DC11C2BCFB}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{555278E2-05DB-11D1-883A-3C8B00C10000}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{607FD4E8-0A03-11D1-AB1D-00C04FC9B304}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{62112AA1-EBE4-11CF-A5FB-0020AFE7292D}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{6A01FDA0-30DF-11D0-B724-00AA006C1A01}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{6F237DF9-9DDB-47AD-B218-400D54C286AD}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{7057E952-BD1B-11D1-8919-00C04FC2C836}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{76765B11-3F95-4AF2-AC9D-EA55D8994F1A}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{782355DA-B9DB-48F3-84D4-340E450EF3A5}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{807563E5-5146-11D5-A672-00B0D022E945}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{81397204-F51A-4571-8D7B-DC030521AABD}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{8856F961-340A-11D0-A96B-00C04FD705A2}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.24.15\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{920E6DB1-9907-4370-B3A0-BAFC03D81399}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{99FD978C-D287-4F50-827F-B2C658EDA8E7}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{9BA05972-F6A8-11CF-A442-00A0C90A8F39}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{9CFC2DF3-6BA3-46EF-A836-E519E81F0EC4}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{A3CCEDF7-2DE2-11D0-86F4-00A0C913F750}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{A4A1A128-768F-41E0-BF75-E4FDDD701CBA}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{A5DC33CE-214B-4C26-8596-8A45456C9EB8}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{A7EE7F34-3BD1-427F-9231-F941E9B7E1FE}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{ADC6CB82-424C-11D2-952A-00C04FA34F05}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{B54F3741-5B07-11CF-A4B0-00AA004A55E8}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{B8967F85-58AE-4F46-9FB2-5D7904798F4B}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{CACAF262-9370-4615-A13B-9F5539DA4C0A}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{CD773740-B187-4974-A1D5-E0FF91372277}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{D1FE6762-FC48-11D0-883A-3C8B00C10000}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{D7B70EE0-4340-11CF-B063-0020AFC2CD35}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{DA5F0C98-4A7B-4C92-915E-4BE1BC95DE99}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{E569BDE7-A8DC-47F3-893F-FD2B31B3EEFD}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{E77CC89B-7401-4C04-8CED-149DB35ADD04}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.22.5\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{F414C260-6AC0-11CF-B6D1-00AA00BBBB58}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{FBF23B40-E3F0-101B-8488-00AA003E56F8}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.24.7\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{FF393560-C2A7-11CF-BFF4-444553540000}\InprocServer32 -> No File Path
C:\service.log
C:\Program Files\Mozilla Firefox
C:\ProgramData\aygda_save.log
C:\ProgramData\Mozilla
C:\ProgramData\TEMP
C:\Users\Właściciel\AppData\Local\DownloadLog.txt
C:\Users\Właściciel\AppData\Local\Temp*.html
C:\Users\Właściciel\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Właściciel\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage*
C:\Users\Właściciel\AppData\Local\Mozilla
C:\Users\Właściciel\AppData\Roaming\Mozilla
C:\Users\Właściciel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Fabryka Gier Onet
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinsysMon" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Warning /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKU\S-1-5-21-671787287-3483274435-3103815376-1002_Classes\CLSID /f
Reg: reg delete HKU\S-1-5-21-671787287-3483274435-3103815376-1002\Software\Microsoft\Windows\CurrentVersion\Run /f
Reg: reg delete "HKU\S-1-5-21-671787287-3483274435-3103815376-1002\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-21-671787287-3483274435-3103815376-1002\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Właściciel\AppData\Local
CMD: dir /a C:\Users\Właściciel\AppData\LocalLow
CMD: dir /a C:\Users\Właściciel\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wyczyść Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (ręcznie aktywuj).
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Napraw uszkodzony specjalny skrót IE. W pasku adresów eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Właściciel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

6. Zrób nowy log FRST z opcji Scan (z Addition, bez Shortcut). Dołącz też plik fixlog.txt.

 

 

 

PS. Oczywiście odpowiadasz w nowym poście, nie edytuj poprzedniego.

[jknuk]

Zrobione, załączam logi.

 

Co do Opery to musi zostać jest to jedyna akceptowalna przez użytkowników komputera wersja - te na silniku chrome ich przerastaja

 

 

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Co do Opery to musi zostać jest to jedyna akceptowalna przez użytkowników komputera wersja - te na silniku chrome ich przerastaja

Ale to stara dziurawa wersja Opera 12.16. Jest nowsza wydana w 2014 Opera 12.17 na silniku Presto a nie Blink, która zawiera łatę na krytyczną lukę Heartbleed. Link w przyklejonym: KLIK.

 

Zadania wykonane. Poprawki pod kątem odpadkowych folderów. Otwórz Notatnik i wklej w nim:

 

C:\Program Files\F-Secure Internet Security
C:\Program Files\Farbrka Gier Onet
C:\Program Files\Gadu-Gadu 10
C:\Program Files\GUM1678.tmp
C:\Program Files\Java
C:\Program Files\Temp
C:\ProgramData\Freemake
C:\ProgramData\fssg
C:\ProgramData\Gadu-Gadu 10
C:\ProgramData\InstallMate
C:\ProgramData\NortonInstaller
C:\ProgramData\Oracle
C:\ProgramData\RegCure
C:\ProgramData\Sun
C:\ProgramData\Symantec
C:\Users\Właściciel\AppData\Local\cache
C:\Users\Właściciel\AppData\Local\WindowsUpdate
C:\Users\Właściciel\AppData\LocalLow\BrotherSoft_Extreme
C:\Users\Właściciel\AppData\LocalLow\Sun
C:\Users\Właściciel\AppData\LocalLow\Temp
C:\Users\Właściciel\AppData\Roaming\dclogs
C:\Users\Właściciel\AppData\Roaming\FlashGet
C:\Users\Właściciel\AppData\Roaming\Gadu-Gadu 10
C:\Users\Właściciel\AppData\Roaming\GetRightToGo

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

 

EDIT: Zapomniałam dodać te śmieci z katalogu Windows Defender. To w nasępnym poście.

[jknuk]

Ok wszystko wykonane. Log w załączniku.

 

Jeszcze raz bardzo dziękuję za uratowanie danych, już nie raz uratowałaś mi komputer, pamiętam jeszcze czasy SE . Dotacja na serwis wykonana. 

 

Pozdrawiam

Fixlog.txt