Zanieczyszczony system. Brak uruchomienia w normalnym trybie,

[DTR]

Prosiłbym o analizę załączonych logów.

Kłopoty objawiły się po podłączeniu w dniu wczorajszym pendrive'a. System potem musiał zostać uruchomiony w ostatniej znanej konfiguracji. Potem nieby wszystko ok, a comodo którego używam na nośniku nie znalazło infekcji (być może coś sprzętowego) . Jednak dziś rano dwukrotnie Windows chciał się uruhomić tylko i wyłącznie w celu naprawy systemu - jednak za trzecim razem po wybraniu z konsoli windowsa & ruszył i tak działa, choć może uruchamia się jak gdyby wolniej.

Niepokoi mnie też niemożność pobrania antywirusa (comodo właśnie via www z comodo com) Używany na tej samej stacji pakiet jednak aktualizuje się ok. Działa pobieranie z wpisanym ręcznie w firefoxie proxy (TP - choć łącze to zbliżona neostrada) oraz z alternatywnego adresu downloads.comodo.com (normalnie jest bez "S" - rozwiązanie znalezione na forum comodo. Próbowałem pobierać na tym samym łączu telefonem i również leży, w tej samej miejscowości koledze działa standardowo normalnie.

Oto logi, komp nie ruszany od lat jednak aktualizowany i z pakietem zabezpieczającym - czsem skanowany MBAM (ostatnio open candy wykrył).

Przed publikacją skanowałem system Panda Cloud Cleaner (kilka wpisów rejestru, pliki tymczasowe jakoby - nic poważnego raczej) jak również HITMAN PRO - wykrył same cookies oraz Avira DNS Repair.

Proszę o raz jeszcze w wolnym czasie o analizę.

Addition.txt

Shortcut.txt

FRST.txt

gmer_s.txt

[picasso]

Temat przenoszę do działu Windows. Nie widzę tu żadnych oznak infekcji, ale powierdź mi, że poniższy BAT w starcie to Twoja robota:

 

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\statarp.bat [2015-12-17] ()

 

 

Kłopoty objawiły się po podłączeniu w dniu wczorajszym pendrive'a. System potem musiał zostać uruchomiony w ostatniej znanej konfiguracji. Potem nieby wszystko ok, a comodo którego używam na nośniku nie znalazło infekcji (być może coś sprzętowego) . Jednak dziś rano dwukrotnie Windows chciał się uruhomić tylko i wyłącznie w celu naprawy systemu - jednak za trzecim razem po wybraniu z konsoli windowsa & ruszył i tak działa, choć może uruchamia się jak gdyby wolniej.

Z raportów nic nie wynika i nie widać błędów pasujących do opisywanych zjawisk. Do rozwiązania są natomiast te zgłoszenia z Dziennika, przy czym ten z "Odmową dostępu" na razie pomijam (to może być wynik aktywności COMODO):

 

Dziennik Aplikacja:

==================

Error: (12/21/2015 07:37:12 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
 

Error: (12/21/2015 06:21:06 PM) (Source: VSS) (EventID: 8193) (User: )

Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas wywoływania procedury RegSetValueExW(0x0000035c,(null),0,REG_BINARY,000000000310EBB0.72). hr = 0x80070005, Odmowa dostępu.
 

Dziennik System:

=============

Error: (12/21/2015 07:35:51 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Nie można uruchomić usługi OpenERP Server 7.0 z powodu następującego błędu:

%%2
 

Error: (12/21/2015 07:23:33 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Nie można uruchomić usługi atksgt z powodu następującego błędu:

%%1275
 

Error: (12/21/2015 07:23:33 PM) (Source: Application Popup) (EventID: 875) (User: )

Description: Sterownik atksgt.sys został zablokowany dla ładowania.
 

Error: (12/21/2015 07:21:29 PM) (Source: DCOM) (EventID: 10010) (User: )

Description: {E10F6C3A-F1AE-4ADC-AA9D-2FE65525666E}
 

Error: (12/21/2015 06:21:54 PM) (Source: sptd) (EventID: 4) (User: )

Description: Sterownik wykrył błąd wewnętrzny w swoich strukturach danych dla .
 

Error: (12/21/2015 05:17:00 PM) (Source: Application Popup) (EventID: 1060) (User: )

Description: Ładowanie sterownika \SystemRoot\System32\DRIVERS\PSKMAD.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika.

 

1. Błąd WMI zlikwiduje narzędzie Fix-it: KLIK.

 

2. Sterownik SPTD "wykrywający błąd wewnętrzny w swoich strukturach" odinstalujesz za pomoc narzędzia SPTDinst: KLIK. Nie ma żadnych programów widocznych które z niego korzystają (Alcohol, DAEMON).

 

3. Parę sterowników atksgt.sys + lirsgt.sys (zabezpieczenie Tages) odinstalujesz posługując się paczką instalacyjną Tages: KLIK.

 

4. Resztę błędów z sekcji "System" załatwi poniższy skrypt, który adresuje też wpisy odpadkowe i Tempy. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
FF SearchEngineOrder.1: Ask.com
SearchScopes: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000 -> {23AD979E-AD0A-4E0A-9E1E-F7247FB94DEB} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=kw&q={searchTerms}&locale=&apn_ptnrs=^FV&apn_dtid=^YYYYYY^YY^PL&apn_uid=2bb6ad41-8d91-4057-a490-2d3dfb192983&apn_sauid=A1DEE445-736E-4216-99DA-11F8667B96BF
SearchScopes: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear
HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
Toolbar: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku]
FF Plugin HKU\.DEFAULT: @tracker-software.com/PDF-XChange Editor Plugin,version=1.0,application/pdf -> C:\Program Files\Tracker Software\PDF Editor\npPDFXEditPlugin.x64.dll [brak pliku]
Task: {58AEA187-00CB-497B-AA5C-F98943D6DF1A} - System32\Tasks\{27D47E0A-080E-4506-A8AB-79424E902BB6} => pcalua.exe -a "D:\Gry\Gra-Wiedzmin.ER.PL\Patch\Patch 1.4 - Edycja Rozszerzona\setup.exe" -d "D:\Gry\Gra-Wiedzmin.ER.PL\Patch\Patch 1.4 - Edycja Rozszerzona"
Task: {BB2605DC-C317-4BEF-8D68-291CD0CDE98B} - System32\Tasks\{8FDFA698-384C-4211-B938-7953D80E44C4} => Firefox.exe hxxp://ui.skype.com/ui/0/7.4.0.102/pl/abandoninstall?page=tsProgressBar
Task: {BC516846-0B69-4362-BA33-7EB70DED58DF} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe
Task: {DCFCE7D9-4AC7-46F8-B9D5-1302C4142F30} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe
Task: C:\windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe
GroupPolicyUsers\S-1-5-21-1647462393-2480976863-1240803015-1003\User: Ograniczenia 
S3 PSKMAD; C:\Windows\System32\DRIVERS\PSKMAD.sys [50320 2015-01-29] (Panda Security, S.L.)
S2 openerp-server-7.0; "C:\Program Files (x86)\OpenERP 7.0-20140105-002500\Server\service\OpenERPServerService.exe" [X]
S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files
C:\Users\Ruka\AppData\Local\70149b02515b3bb20dd492.47983420
C:\Windows\System32\Drivers\PSKMAD.sys
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST, i FRST nie może działać w piaskownicy (widoczny znak to zielona obwódka wokół okna). Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Przedstaw wynikowy fixlog.txt.

 

 

A puste skróty z kopii Pulpitu to już samodzielnie posprzątaj:

 

C:\Users\Ruka\Desktop\pen_k\Pulpit

C:\Users\Ruka\Desktop\pen_k\Nowy folder\Pulpit

 

 

Niepokoi mnie też niemożność pobrania antywirusa (comodo właśnie via www z comodo com) Używany na tej samej stacji pakiet jednak aktualizuje się ok. Działa pobieranie z wpisanym ręcznie w firefoxie proxy (TP - choć łącze to zbliżona neostrada) oraz z alternatywnego adresu downloads.comodo.com (normalnie jest bez "S" - rozwiązanie znalezione na forum comodo. Próbowałem pobierać na tym samym łączu telefonem i również leży, w tej samej miejscowości koledze działa standardowo normalnie.

Skoro na innym urządzeniu, czyli telefonie, występuje to samo, to problem nie leży po stronie widzianego Windows. Nasuwają się ustawienia DNS pobierane z routera. Mógłbyś przetestować czy sprawa ulegnie zmianie, jeśli w routerze tymczasowo ustawisz np. serwery Google: 8.8.8.8 + 8.8.4.4.

[DTR]

Dziękuję uprzejmie - wyczyściłem, proces przebiegł pomyślnie w każdym z kroków. Sam nie wiem co z tym sprzętem Teraz ok... choć dysk to raczej jest w złej formie (popiskuje lekko ) Przerażony byłem tylko rozmiarem TMP No ale jak wspomniałem nie czyściłem nic od zakupu, a było to chyba w 2012 r. Sprzęt trochę przeżył łącznie z zawiniona awarią matrycy (już myślałem, że wymiana elektroniki ale wysuszyłem - zbyt "obficie" chciałem wyczyścić).

Pobieranie: zmiana DNS nawet na te od Comodo nic nie daje - w tej chwili mam je nawet na routerze. Poczytałem teraz trochę i to raczej wina Orange i/lub Teli co ciekawe i zgodne z opiniami na necie rano działa. Dziś po południu też śmigało w domu, ale testowo rozłączyłem Neo i na nowym IP od razu zamula... pomogło mi chwilowo użycie proxy . Podobno wielu ma podobnie głównie z Apple

 

I kończę zaczynając od odpowiedzi. Tak ten BAT to moje więc nic groźnego.

Dziękuję picassso - kobieto zapewne tak piękna jak i pomocna

Spokojnej nocy - ja w celach rozrywkowych Sejm sobie oglądnę - polecam śmiesznie jest choć trochę straszno