Dziwne procesy *.tmp

[Hajasz]

Witam.

Komputer w pracy z Windows XP HE, który w dużej mierze służy do drukowania z pendrive.

W związku z tym trochę się tego dziennie przerabia.

Comodo nigdy nie wszczynał alarmu, komputer pracuje normalnie ale zauważyłem uruchomione dziwne procesy z końcówką *.tmp

 

FRST.txt

Addition.txt

Shortcut.txt

 

 

 

 

[jessica]

1)

globalupdate Helper (Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION

Odinstaluj ten program.

 

2) Otwórz Notatnik i wklej w nim:

 

C:\Program Files\FFFFFFFF-1438788731-FFFF-FFFF-FFFFFFFFFFFF
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
FF Extension: No Name - C:\Documents and Settings\W [not found]
FF Extension: No Name - C:\Documents and Settings\W [not found]
R2 comyninu; C:\Program Files\FFFFFFFF-1438788731-FFFF-FFFF-FFFFFFFFFFFF\hnss88.tmp [161792 2015-08-05] () [File not signed]
R2 hyverumu; C:\Program Files\FFFFFFFF-1438788731-FFFF-FFFF-FFFFFFFFFFFF\jnsy7F.tmp [209920 2015-08-05] () [File not signed]
R2 xymunype; C:\Program Files\FFFFFFFF-1438788731-FFFF-FFFF-FFFFFFFFFFFF\knst70.tmpfs [X]
S3 massfilter; system32\drivers\massfilter.sys [X]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
2015-04-14 18:28 - 2015-04-14 18:28 - 0004387 _____ () C:\Documents and Settings\Właściciel\Dane aplikacji\gsgM2rKhmvUAvKNu6Pz
2015-04-20 16:05 - 2015-04-20 16:05 - 1246720 _____ () C:\Documents and Settings\Właściciel\Dane aplikacji\gsgM2rKhmvUAvKNu6Pz.exe
2015-08-05 17:37 - 2015-08-05 17:37 - 0333506 _____ (AnySend.com) C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\nsn3F.tmp
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{1EFB6596-857C-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{2C247F23-8591-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{35053A22-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{66833FE6-8583-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{8E3867A3-8586-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{BDD1F04B-858B-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{C27CCE32-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{C27CCE33-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{C27CCE34-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{C27CCE35-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{C27CCE36-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{C27CCE37-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{C27CCE38-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{C27CCE39-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{C27CCE3A-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{C27CCE3B-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{C27CCE3C-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{C27CCE3D-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{C27CCE3E-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{C27CCE3F-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{C27CCE40-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{C27CCE41-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{C27CCE42-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{C74190B6-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{DD9DA666-8594-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-854245398-1454471165-682003330-1003_Classes\CLSID\{F08DF954-8592-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
Task: C:\WINDOWS\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805}.job => C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\cis1D.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\gsgM2rKhmvUAvKNu6Pz.job => C:\Documents and Settings\Waciciel\Dane aplikacji\gsgM2rKhmvUAvKNu6Pz.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

 

3) Zrób nowe logi FRST.

 

jessi

[Hajasz]

Zrobiłem wszystkie zalecenia.

W międzyczasie same poinstalowały się jakieś dziwne programy jak Search Protect, RegClean Pro.

Podczas uruchamiania komputera wyskakuje okienko aby wybrać program do otwierania jakiegoś dziwnego ciągu znaków.

W przeglądarkach pozmieniały się strony startowe i wyszukiwarki.

 

Fixlog.txt

FRST.txt

Addition.txt

Shortcut.txt

 

A i jeszcze jedno, nie wiem czy ważne ale FRST podczas uruchamiania pisze, że nie może utworzyć jakiegoś Hives.

[Zappa]

Hajasz wejdź do panelu programów i odinstaluj te smieci

 

globalupdate Helper
istartsurf uninstall
SlimDrivers
SmartWeb
Software Version Update

 

jak bedziesz miał z którymś problemy przechodź do nastepnej pozycji

[Hajasz]

Wszystko usunięte.

Dalej wraz z rozruchem pojawia się w prawym dolnym rogu ikona Search Protect.

[Zappa]

Dalej wraz z rozruchem pojawia się w prawym dolnym rogu ikona Search Protect

Zrób nowy skan FRST. Nie zaznaczaj opcji Addition i Shortcut.

[Hajasz]

Powyłączałem procesy uruchamiane wraz z systemem i usunąłem dziwne katalogi w program files.

Search Protect się nie uruchomił.

Po tych akcjach zrobiłem skan FRST.

Na dysku C nie mogę usunąć katalogów pustych Adwcleaner, Config.Msi i dwóch jakiś z nazwą TEMP (odmowa dostępu)

 

FRST.txt

 

 

[Zappa]

Na przyszłość taka rada - nie wykonuj sam pewnych procedur, bo to bardzo utrudnia pomoc. każda zmiana w systemie jest notowana. Jak masz wątpliwości co do osoby, która podaje skrypt to napisz prosto - nie wykonam. Sytuacja na forum jest jaka jest. Picasso będzie za chwilę. Tak. Wiem, że infekcje nie moga czekać, ale nie utrudniajmy sobie współpracy.

 

A teraz otwórz notatnik i wklej

 

CloseProcesses:
HKU\S-1-5-19\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
HKU\S-1-5-20\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
HKU\S-1-5-18\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
KLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1438859261&z=a1cd5e9ce30332b11c809ffgez1c8bab7web1tam5q&from=face&uid=WDCXWD1600JD-55HBB0_WD-WCAL9353201032010X
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1438859261&z=a1cd5e9ce30332b11c809ffgez1c8bab7web1tam5q&from=face&uid=WDCXWD1600JD-55HBB0_WD-WCAL9353201032010X&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1438859261&z=a1cd5e9ce30332b11c809ffgez1c8bab7web1tam5q&from=face&uid=WDCXWD1600JD-55HBB0_WD-WCAL9353201032010X
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1438859261&z=a1cd5e9ce30332b11c809ffgez1c8bab7web1tam5q&from=face&uid=WDCXWD1600JD-55HBB0_WD-WCAL9353201032010X&q={searchTerms}
HKU\S-1-5-21-854245398-1454471165-682003330-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
HKU\S-1-5-21-854245398-1454471165-682003330-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1438859261&z=a1cd5e9ce30332b11c809ffgez1c8bab7web1tam5q&from=face&uid=WDCXWD1600JD-55HBB0_WD-WCAL9353201032010X
SearchScopes: HKU\S-1-5-21-854245398-1454471165-682003330-1003 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL =
SearchScopes: HKU\S-1-5-21-854245398-1454471165-682003330-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-854245398-1454471165-682003330-1003 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD1600JD-55HBB0_WD-WCAL9353201032010X&ts=1438859326&type=default&q={searchTerms}
Tcpip\Parameters: [DhcpNameServer] 192.168.8.1 192.168.8.1
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1438859261&z=a1cd5e9ce30332b11c809ffgez1c8bab7web1tam5q&from=face&uid=WDCXWD1600JD-55HBB0_WD-WCAL9353201032010X
FF NewTab: hxxp://www.istartsurf.com/newtab/?type=nt&ts=1438859261&z=a1cd5e9ce30332b11c809ffgez1c8bab7web1tam5q&from=face&uid=WDCXWD1600JD-55HBB0_WD-WCAL9353201032010X
FF SelectedSearchEngine: istartsurf
4 IntelIde; No ImagePath
U1 WS2IFSL; No ImagePath
Task: C:\WINDOWS\Tasks\8f395291-838b-47df-8909-6b88c079a5fc-1-6.job => C:\Program Files\GoHD\8f395291-838b-47df-8909-6b88c079a5fc-1-6.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\8f395291-838b-47df-8909-6b88c079a5fc-1-7.job => C:\Program Files\GoHD\8f395291-838b-47df-8909-6b88c079a5fc-1-7.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\8f395291-838b-47df-8909-6b88c079a5fc-10_user.job => C:\Program Files\GoHD\8f395291-838b-47df-8909-6b88c079a5fc-10.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\8f395291-838b-47df-8909-6b88c079a5fc-4.job => C:\Program Files\GoHD\8f395291-838b-47df-8909-6b88c079a5fc-4.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\8f395291-838b-47df-8909-6b88c079a5fc-5.job => C:\Program Files\GoHD\8f395291-838b-47df-8909-6b88c079a5fc-5.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\AmiUpdXp.job => C:\Documents and Settings\Właściciel\Dane aplikacji\7260\Updater.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9}.job => 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
Task: C:\WINDOWS\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-1-6.job => C:\Program Files\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-1-6.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-1-7.job => C:\Program Files\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-1-7.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-10_user.job => C:\Program Files\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-10.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-4.job => C:\Program Files\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-4.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-5.job => C:\Program Files\Shop and Save Up\dd6aa243-1fdd-44b7-b068-2f07cccdd84d-5.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
Task: C:\WINDOWS\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RCP\RegCleanPro.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RCP\RegCleanPro.exe <==== ATTENTION
EmptyTemp:

 

 

plik zapisz jako fixlist.txt i umieść w  C:\Documents and Settings\Właściciel\Moje dokumenty\Pobrane. uruchom FRST i kliknij w Fix.

 

Przedstaw raport fixlog.txt

 

 

2. Zrób nowy skan FRST.

 

Nie zaznaczaj opcji Addition i Shortcut.

[Hajasz]

@Zappa bardzo przepraszam ale nie jestem jedynym użytkownikiem tego sprzętu i kiedy mnie nie ma to inne "mądre" głowy tu kombinują.

No i wykombinowali tak, że usunęli całkowicie Comodo i zainstalowali MBAM, którym usunęli ponoć sporo syfu a następnie go odinstalowali.

Teraz nie ma żadnego antywira. Skrypt oczywiście zrobiłem, jak wyszedł to nie wiem.

Wstawiam całkiem nowy od FRST. Kończę pracę więc do jutra do 10:00 rano mnie nie będzie ale przynajmniej nikt tu już nic nie będzie ruszać.

Ewentualne akcje wykonam jutro. Dzięki za poświęcony czas.

 

Fixlog.txt

FRST.txt

 

[Zappa]

@Zappa bardzo przepraszam ale nie jestem jedynym użytkownikiem tego sprzętu i kiedy mnie nie ma to inne "mądre" głowy tu kombinują.

Ok. Nie wiedziałem.

 

Po nowym raporcie FRST wygląda, że wszystko jest OK.

 

Drobna poprawka nie mająca związku z adware

 

otwórz notatnik i wklej

 

S4 IntelIde; No ImagePath

 

plik zapisz jako fixlist.txt i umieść w  C:\Documents and Settings\Właściciel\Moje dokumenty\Pobrane. uruchom FRST i kliknij w Fix.

 

 

2. Możesz pobrać malwarebytes Antymalware i wykonać pełny skan. Jak coś znajdzie dajesz raport.

 

 

3. Potem przejdziemy do czynności końcowych.

[Hajasz]

Zadanie zrobione. Skaner nic nie wykrył. Wszystkie dziwne procesy poznikały, zablokowane katalogi usunięte.

Pozostała kosmetyka.

[Zappa]

1. Skasuj z dysku przez Shift+Delete folder C:\FRST.

2. Zastosuj Delfix i opróznij foldery przywracania systemu. To wszystko.

 

https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/page__p__42415?do=findComment&comment=42415

[Hajasz]

Dzięki @Zappa za poświęcony czas.

 

Jeszcze jedna sprawa.

Nie mogę opróżnić kosza. Niby jest pusty jak się do niego wchodzi ale ikona pokazuje co innego.

Stwierdziłem, że podejrzę pliki ukryte i chronione. Jest tam trochę plików ale nie da sięich usunąć.

Cały czas pisze odmowa dostępu.

[Zappa]

Nie mogę opróżnić kosza. Niby jest pusty jak się do niego wchodzi ale ikona pokazuje co innego.

Stwierdziłem, że podejrzę pliki ukryte i chronione. Jest tam trochę plików ale nie da sięich usunąć.

Cały czas pisze odmowa dostępu.

Zerknij tutaj > post nr 7

 

Musze postawić wirtualny XP aby sprawdzić uprawnienia do Kosza. To troche potrwa.

 

https://www.fixitpc.pl/topic/7991-zepsuta-ikona-kosz/

[Hajasz]

Niestety ale żadna metoda z tego linka nie działa. Najprawdopodobniej kosz jest uszkodzony. Mogę usuwać "normalne" pliki ale te "dziwne" nie chcą się usunąć.

Za każdym razem odmowa dostępu.

[Zappa]

Hajasz - troche samodzielności. Wpisz w goglarke uszkodzony kosz windows XP i na pewno coś wymyślisz.

[Hajasz]

@Zappa myślisz, że idę po łatwiźnie ? Sprawdzałem wszystkie możliwości i nic. Próbowałem fixów ze strony MS oraz poleceń w CMD. Nic nie pomaga. 7 plików ukrytych siedzi w koszu z odmową usunięcia.

[Zappa]

7 plików ukrytych siedzi w koszu z odmową usunięcia.

A tego próbowałeś?

https://www.fixitpc.pl/topic/50-kasowanie-nieusuwalnych-plikow-i-folderow/

[Hajasz]

Przerobiłem wszystko co tylko znalazłem na naszym forum oraz w necie. Nic nie pomaga.

Oprócz niemożliwości wyczyszczenia kosza na dysku C jest kilkanaście folderów pustych, któych także nie mogę usunąć "Odmowa Dostępu".

Już ręce mi opadają bo chociaż nie jest to jakoś uciążliwe ale denerwujące.

[Zappa]

Już ręce mi opadają bo chociaż nie jest to jakoś uciążliwe ale denerwujące.

Pokaz obrazek z zawartości Kosza (folder recycler)

[Hajasz]

Tak to wygląda. Pliki ukryte są pokazywane. W obydwu ikonach w środku nic nie ma ale we właściwościach pisze, że w pierwszym są pliki a w drugim całkiem sporo bo 70 MB

 

 

[Zappa]

Uzyj do usuniecia folderów liveCD Ubuntu.

[Hajasz]

Już mi ręce opadają. Cały czas pojawiają się dziwne katalogi na dysku C, których nie da się usunąć. Nawet po użyciu ERD Commander czy liveCD i tak się za chwilę pojawiają.

Jak usuwam je na siłę Unlockerem to potem nie mogę opróżnić kosza.

Oto świeży FRST, musiałem usunąć Comodo Internet Security bo ktoś go tak skonfigurował, że nie mogłem nic uruchomić.

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Plik FRST Shortcut jest pusty.

 

 

Tak to wygląda. Pliki ukryte są pokazywane. W obydwu ikonach w środku nic nie ma ale we właściwościach pisze, że w pierwszym są pliki a w drugim całkiem sporo bo 70 MB

Już mi ręce opadają. Cały czas pojawiają się dziwne katalogi na dysku C, których nie da się usunąć. Nawet po użyciu ERD Commander czy liveCD i tak się za chwilę pojawiają.

 

Jak usuwam je na siłę Unlockerem to potem nie mogę opróżnić kosza.

Ale te foldery w Koszu to normalna sprawa. Każdy Kosz zawiera podfolder o nazwie SID (Security Identifier) konta. W Twoim przypadku jest dopasowanie do następujących kont:

 

Właściciel (S-1-5-21-854245398-1454471165-682003330-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Właściciel

 

+ filtrowane przez FRST konto wbudowane w system:

 

Lokalne konto systemowe (S-1-5-18)

 

Niezależnie od tego ile razy będziesz usuwać te foldery, one się zregenerują, bo tak jest skonstruowany Kosz systemowy (separuje Kosze względem użytkowników). Wspominasz jednak, że po usuwaniu tych podfolderów przestaje działać normalne opróżnianie, więc przeładuj Kosz raz a dobrze poprzez usunięcie odgórnego folderu. Po akcji w punkcie 2 poniżej folder RECYCLER będzie nieobecny tylko tymczasowo. Przy pierwszej próbie usuwania czegoś do Kosza folder RECYCLER z podfolderami SID kont się zregeneruje. I tak ma być. Plus inne drobne korekty, m.in. szczątki po odinstalowanym Comodo, wypięcie Dziennika zdarzeń Comodo będzie wymagać aż dwóch skryptów (konieczne tymczasowe wyłączenie Dziennika zdarzeń).

 

 

Akcje do przeprowadzenia:

 

1. Deinstalacje:

- Sugeruję odinstalować program wątpliwej reputacji Driver Booster 3.0 (od IObit).

- Nadal widać ukryty wpis adware, o którym była mowa kilka razy. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
FF user.js: detected! => C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\1th1xarp.default-1438872568250\user.js [2015-09-26]
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2012-09-04] [brak podpisu cyfrowego]
Task: C:\WINDOWS\Tasks\SlimCleaner Plus (Scheduled Scan - Właściciel).job => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe
AlternateDataStreams: C:\WINDOWS\system32\FlashPlayerApp.exe:$CmdTcID
AlternateDataStreams: C:\WINDOWS\system32\FlashPlayerInstaller.exe:$CmdTcID
AlternateDataStreams: C:\WINDOWS\system32\mpelocalmon.dll:$CmdTcID
AlternateDataStreams: C:\WINDOWS\system32\mpelocalui.dll:$CmdTcID
AlternateDataStreams: C:\WINDOWS\system32\PuranDC.exe:$CmdTcID
AlternateDataStreams: C:\WINDOWS\system32\PuranDefrag.dll:$CmdTcID
AlternateDataStreams: C:\WINDOWS\system32\PuranDefragBT.exe:$CmdTcID
AlternateDataStreams: C:\WINDOWS\system32\PuranDefragS.exe:$CmdTcID
AlternateDataStreams: C:\WINDOWS\system32\PuranFD.exe:$CmdTcID
RemoveDirectory: C:\RECYCLER
RemoveDirectory: C:\VTRoot
C:\WINDOWS\pss\SmartWeb.lnkStartup
Folder: C:\Dbz70C5E
Folder: C:\Dbz0A5CD
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Właściciel^Menu Start^Programy^Autostart^SmartWeb.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RDReminder" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb" /f
CMD: sc config AppMgmt start= disabled
CMD: sc config Eventlog start= disabled
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart. Wynikowy fixlog.txt skopiuj w inne miejsce niż to skąd uruchamiasz FRST, bo kolejna akcja nadpisze go.

 

3. Otwórz Notatnik i wklej w nim:

 

C:\WINDOWS\system32\config\COMODO I.evt


CMD: sc config Eventlog start= auto

Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Również nastąpi restart. Powstanie kolejny fixlog.txt. Dostarcz oba pliki fixlog.txt. Nowe skany FRST nie są mi potrzebne. Poproszę też o przesłanie mi tego pliku:

 

C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\profiles.ini

[Hajasz]

Driver Booster odinstalowany.

Globalupdate też.

Fixlog po pierwszym skrypcie (nie nastąpił restart, zrobiłem to ręcznie)

Fixlog.txt

Po uruchomieniu przestał działać internet. Cały czas pisze, że nie może odnowić adresu IP.

 

Fixlog po drugim skrypcie (nie nastąpił restart, zrobiłem to ręcznie)

Fixlog1.txt

 

Profil z firefox (zmieniłem na txt bo ini nie mogę wstawić)

profiles.txt

 

Edit: internet powrócił.

 

Chciałem zainstalować AVG Internet Security ale zwraca błąd, że instalacja nie powiodła się

Kod błędu: 0xC0070643

Opis: Event exec_finished

 

Dalej na dysku C mam foldery, których nie mogę usunąć. Wstawiam foto: