Ingvar Opublikowano 28 Czerwca 2015 Zgłoś Udostępnij Opublikowano 28 Czerwca 2015 Witam Mój problem objawia się tym, że Avast ma wyłączone usługi i nie da się ich włączyć, jak próbuje zrobić skan to wyskakuje mi komunikat: "Nie można uruchomić procesu skanowania. Nie ma więcej dostępnych punktów końcowych z programu mapowania punktów końcowych". Gdy próbuje odpalić Malwarebytes Anti-Malware proces na chwilę się pojawia i od razu znika bez żadnej reakcji. Reinstalowałem Avasta wcześniej go w pełni usuwając przy pomocy Avast Uninstall Utility, nic to nie zmieniło. Skanowanie przy pomocy Avast Rescue Disk uruchomionego z USB nic nie wykazało. Używałem też Panda Cloud Cleaner, wykazał obecność PUP oraz malware, czyszczenie przy jego pomocy nie pomogło (dalej występują problemy z Avastem i Malwerbytes). Podczas odpalenia GMER pojawił mi się komunikat: "C:\Windows\system32\config\system: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces." a pod koniec skanowania: "C:\Users\Morgana\ntuser.dat: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces." Załączam logi z FRST, GMER oraz Panda Cloud Cleaner (po zrobieniu logów z FRST i GMER nic nie było już robione). Będę wdzięczny za wszelką pomoc Pozdrawiam Ingvar Addition.txt FRST.txt gmer.txt PCloudCleaner.txt Odnośnik do komentarza
jessica Opublikowano 28 Czerwca 2015 Zgłoś Udostępnij Opublikowano 28 Czerwca 2015 Otwórz Notatnik i wklej w nim: Task: {E5357AF0-B974-4F23-8496-CE3A2B1DB77D} - \Bidaily Synchronize Task No Task File <==== ATTENTION C:\Users\Morgana\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-1818464453-2590412624-2668118778-1001\...\CurrentVersion\Windows: [Load] <===== ATTENTION GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION FF Extension: Digital More - C:\Users\Morgana\AppData\Roaming\Mozilla\Firefox\Profiles\fq9vde4g.default\Extensions\{2f99c32c-506e-4aa6-9392-ea1d3a366b7e}.xpi [2015-04-28] R2 VSSS; C:\Users\Morgana\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [104548224 2015-06-23] (Microsoft Corporation) [File not signed] <==== ATTENTION R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] C:\WINDOWS\Minidump\*.dmp C:\Program Files\HAIBE70K.exe C:\Program Files\WUIBZJHV.exe C:\Program Files\NVOWPSVO.exe C:\Users\Morgana\Downloads\gqerkjxf.exe C:\Program Files\JR4IL9HF.exe 2015-06-25 21:25 - 2015-06-25 21:25 - 01415680 _____ (wj32) C:\Program Files\R8WJ1IEO.exe 2015-06-25 21:09 - 2015-06-25 21:09 - 01415680 _____ (wj32) C:\Program Files\E0YF1FSW.exe C:\Program Files\85WTAJIK.exe 2015-06-25 18:09 - 2015-06-25 18:09 - 01415680 _____ (wj32) C:\Program Files\P2LS65YW.exe 2015-06-25 18:09 - 2015-06-25 18:09 - 01415680 _____ (wj32) C:\Program Files\AWIFSUDC.exe 2015-06-24 10:47 - 2015-06-24 10:47 - 01415680 _____ (wj32) C:\Program Files\5TB4MFNC.exe 2015-06-24 09:56 - 2015-06-24 09:56 - 01415680 _____ (wj32) C:\Program Files\LZ7AN6JY.exe 2015-06-24 09:56 - 2015-06-24 09:56 - 01415680 _____ (wj32) C:\Program Files\B92PS5OH.exe 2015-06-24 09:56 - 2015-06-24 09:56 - 01415680 _____ (wj32) C:\Program Files\B8Z1NKXK.exe 2015-06-24 09:56 - 2015-06-24 09:56 - 01415680 _____ (wj32) C:\Program Files\4CK3LAIW.exe C:\Program Files\F8VJRK5P.exe C:\Program Files\9VSE2TSV.exe 2015-06-23 20:53 - 2015-06-23 20:53 - 01415680 _____ (wj32) C:\Program Files\4MFSBJRB.exe 2015-06-23 20:53 - 2015-06-23 20:53 - 01415680 _____ (wj32) C:\Program Files\46TGAPNS.exe 2015-06-23 19:43 - 2015-06-23 19:43 - 01415680 _____ (wj32) C:\Program Files\9CAC5NKJ.exe 2015-06-23 11:24 - 2015-06-23 11:24 - 01415680 _____ (wj32) C:\Program Files\FIKYM4SM.exe 2015-06-23 11:23 - 2015-06-23 11:23 - 01415680 _____ (wj32) C:\Program Files\0R4HUCEM.exe 2015-06-23 11:21 - 2015-06-23 11:21 - 01415680 _____ (wj32) C:\Program Files\T2AYRKN2.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Wejdź w Tryb Awaryjny (F8 przed startem Systemu). Uruchom FRST i kliknij przycisk Fix. Powstanie plik fixlog.txt. Daj ten log. Zrób log z Farbar Service Scanner. Zrób nowe logi z FRST. jessi Odnośnik do komentarza
Ingvar Opublikowano 28 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2015 Fix poszedł bezproblemowo, załączam nowe logi Addition.txt Fixlog.txt FRST.txt FSS.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 28 Czerwca 2015 Zgłoś Udostępnij Opublikowano 28 Czerwca 2015 Wg mnie - powinno już być OK. Otwórz Notatnik i wklej w nim: C:\Users\Morgana\Desktop\A PDF Page Crop 4.7. keygen.lnk C:\Users\Morgana\Desktop\dane\pulpit\123 AVI to GIF Converter.lnk C:\Users\Morgana\Desktop\dane\pulpit\Format Factory.lnk C:\Users\Morgana\Desktop\dane\pulpit\NapiProjekt.lnk C:\Users\Morgana\Desktop\dane\pulpit\Subtitle Workshop.lnk C:\Users\Morgana\Desktop\dane\notatki\notatki - semestr 4\notatki_z_czwartkowych_cw_przed_swietami\PDFCreator.lnk ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1429903780&from=wpc&uid=ST500LM000-SSHD-8GB_W7612E8MXXXXW7612E8M ShortcutWithArgument: C:\Users\Morgana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1429903780&from=wpc&uid=ST500LM000-SSHD-8GB_W7612E8MXXXXW7612E8M ShortcutWithArgument: C:\Users\Morgana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1429903780&from=wpc&uid=ST500LM000-SSHD-8GB_W7612E8MXXXXW7612E8M ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1429903780&from=wpc&uid=ST500LM000-SSHD-8GB_W7612E8MXXXXW7612E8M EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix. Jeśli będzie OK, to będziemy kończyć: Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix. przez SHIFT+DEL usuń pozostały folder C:\FRST. FSS - usuń ręcznie. jessi Odnośnik do komentarza
Ingvar Opublikowano 28 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2015 Wygląda na to, że wszystko działa jak trzeba. Jestem bardzo wdzięczny Dziękuję i pozdrawiam Ingvar Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2015 Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 (edytowane) Jeszcze poprawki - puste wpisy w Autostarcie (ten "A PDF Page Crop 4.7. keygen" to komponent adware Multiplug) oraz kilka innych drobnostek. Startup: C:\Users\Morgana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\A PDF Page Crop 4.7. keygen.lnk [2015-04-24] ShortcutTarget: A PDF Page Crop 4.7. keygen.lnk -> C:\ProgramData\{bcd51f8f-4edb-3448-bcd5-51f8f4ed7e3d}\A PDF Page Crop 4.7. keygen.exe (No File) Startup: C:\Users\Morgana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wysyłanie do programu OneNote.lnk [2015-05-06] ShortcutTarget: Wysyłanie do programu OneNote.lnk -> C:\Program Files\Microsoft Office 15\root\office15\ONENOTEM.EXE (No File) 1. Przez Panel sterowania odinstaluj program typu "PUP" - FileViewPro. Następnie wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 2. Przywracanie systemu jest wyłączone (prawdopodobnie przez malware): ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do interfejsu konfiguracji Przywracania: KLIK. Włącz Ochronę dla dysku C. 3. Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim: Startup: C:\Users\Morgana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\A PDF Page Crop 4.7. keygen.lnk [2015-04-24] Startup: C:\Users\Morgana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wysyłanie do programu OneNote.lnk [2015-05-06] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDWFP => ""="Driver" SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi