cyrkiel85

Chkdska jeszcze nie robiłem. SMART wykazuję niestabilne sektory

ST1000LM024_HN-M101MBB_S31LJ9HG505011_2018-11-15.txt

CBS.txt

 

Update: Chkdsk uruchomiony w środowisku zewnętrznym wskazuję błedy w Stage 2 w czterech indeksach

Z wyżej wymienionego tematu korzystałem. Program GSmartControl "wyrzuca" błąd: There was an error while executing smartctl. Failed to execute child process (No such file or directory). Please specify the correct smartctl binary in Preferences. Po wejściu w ustawienia i próbie wyboru ścieżki do smartctl "wyrzuca" błąd: Unspeciefed fatal error encountered, aborting.

 

Nic o żadnych problemach z dyskiem nie wiem. Zapomniałem napisać wcześniej, że już próbowałem tego polecenia, po zakończeniu "wyrzuca" komunikat: Windows Resource Proteciotn could not perform the requested Operation. System nie chce uruchomić się także w trybie awaryjnym. Jakieś inne pomysły, oprócz reinstalacji systemu?

Niestety nie pomogło

Fixlog.txt

FRST.txt

Witam. Dostałem od szwagra laptopa do naprawy. Z informacji przekazanych od niego wiem, że została ściągnięta jakaś gra (Fortnite?), po czym odinstalowana i wszystko padło. Laptop po uruchomieniu, co trwało "wieki", stawał na pulpicie bez ikon, nic nie dało się zrobić. System został przywrócony z jednego z punktów przywracania systemu, ale nadal nie chciał się uruchomić. Po utworzeniu dysku odzyskiwaniu na sprawnym systemie, próbowałem zastosować funkcję "Naprawy podczas uruchomienia", niestety bez powodzenia. Dograłem na pendrive FRST i przeskanowałem system, utworzyłem własny skrypt (fixlog w załącznikach), laptop teraz po uruchomieniu staje na niebieskim ekranie - CRITICAL PROCESS DIED. Nie mam pojęcia co dalej robić :)

Fixlog_11-11-2018 20.51.35.txt

FRST.txt

Skrypt wykonany. Pozostaje chyba tylko kwestia błędów odczytu

Fixlog.txt

FRST.txt

Addition.txt

Cześć. Podjąłem inne kroki w celu usunięcia infekcji, czyli uruchomiłem TDSSkiller(wyżej podany fixlist nie został wykonany).

Program wykrył 2 zdarzenia przy pierwszym skanie:

Cytat

10:55:20.0838 0x05dc  [ 129467B226EF8CCF90EA78A93D6E770A, C1B6A94790F46A470810BBBAC78E6A0342C11C76A34DB433A7DA76E6D22B617F ] AFD             C:\WINDOWS\System32\drivers\afd.sys
10:55:20.0838 0x05dc  Suspicious file ( Forged ): C:\WINDOWS\System32\drivers\afd.sys. Real md5: 129467B226EF8CCF90EA78A93D6E770A, sha256: C1B6A94790F46A470810BBBAC78E6A0342C11C76A34DB433A7DA76E6D22B617F, fake md5: D6EE6014241D034E63C49A50CB2B442A, fake sha256: BBFB093F4881E18F2DA5F76DD34B8558DD9B8883408667678B72CF504BBD0E74
10:55:20.0848 0x05dc  AFD - detected Virus.Win32.ZAccess.c ( 0 )
10:55:20.0878 0x05dc  AFD ( Virus.Win32.ZAccess.c ) - infected

Dla tej pozycji została wybrana opcja Cure.

Cytat

10:55:25.0424 0x05dc  [ B89CFBE8CB247B57D8C10ADAA66B462B, 458B56BBBD3CD478E04390ED5FFD08CA4F3709B37851E64CD9EACB2F749DFBF4 ] ikfileflt       C:\WINDOWS\system32\umpusbxp.dll
10:55:25.0424 0x05dc  ikfileflt - detected Backdoor.Multi.ZAccess.gen ( 0 )
10:55:25.0554 0x05dc  ikfileflt ( Backdoor.Multi.ZAccess.gen ) - infected

A dla tej pozycji opcja Delete.

Ponowny skan wykazał ukryty plik w dziwnym katalogu:

Cytat

11:00:56.0776 0x0100  [ FA1D6F0AE5F51A4BA81A95F6A390CEE8, C810919D0B596A13C4607306E8650781F3B9FF5EE7F44EB6DF40C788D503B99D ] C:\win32date\5B4BC3FE452.exe
11:00:56.0776 0x0100  Suspicious file ( Hidden ): C:\win32date\5B4BC3FE452.exe. md5: FA1D6F0AE5F51A4BA81A95F6A390CEE8, sha256: C810919D0B596A13C4607306E8650781F3B9FF5EE7F44EB6DF40C788D503B99D
11:00:56.0776 0x0100  5V4VWDZYZA1VZXWBFRQBHQMXOAA - detected HiddenFile.Multi.Generic ( 1 )
11:00:56.0936 0x0100  5V4VWDZYZA1VZXWBFRQBHQMXOAA ( HiddenFile.Multi.Generic ) - warning
11:00:56.0936 0x0100  Force sending object to P2P due to detect: C:\win32date\5B4BC3FE452.exe

Plik został usunięty, ale nie wiem czy dobrze postąpiłem. Kolejny skan nie wykazał podejrzanych plików.

Ponowny skan FRST i utworzenie własnego pliku fixlist (w załączniku fixlog).

W załącznikach FRST.txt, Addition.txt po wykonaniu własnego fixlist.

Zastanawiają mnie jeszcze te wpisy w Addition.txt:

Cytat

AlternateDataStreams: C:\WINDOWS\$NtUninstallKB36752$:SummaryInformation [0]
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:B3D74A13 [326]

Cytat

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\69773649.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\94460541.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\69773649.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\94460541.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Wdf01000.sys => ""="Driver"

Oraz w pliku FRST.txt:

Cytat

Error(1) reading file: "C:\WINDOWS\system32\Drivers\ "
Error(1) reading file: "C:\WINDOWS\system32\ "

Cytat

2011-11-23 12:29 - 2007-08-07 23:49 - 000100247 _____ () C:\Documents and Settings\Administrator\xmlUpdater.exe
2007-08-07 23:49 - 2007-08-07 23:49 - 000100247 _____ () C:\Documents and Settings\Default User\xmlUpdater.exe

Cytat

C:\WINDOWS\explorer.exe
[2008-07-22 14:25] - [2008-07-22 14:25] - 001528832 _____ (Microsoft Corporation) B49A80A502FD86B2F05BC7BBD723DDAB

C:\WINDOWS\system32\User32.dll
[2008-07-22 14:34] - [2008-07-22 14:34] - 000487424 _____ (Microsoft Corporation) 5F1CCDF37F28A88D0473B0C9EA1E0D58

Zastanawiam się czy pliki explorer.exe oraz user32.dll nie zostały zmodyfikowane przy tworzeniu płyty instalacyjnej Windows XP przy pomocy nlite.

Jakieś dalsze sugestie?

FRST.txt

Addition.txt

Fixlog.txt

TDSSKiller.3.1.0.9_08.11.2018_10.53.46_log.txt

TDSSKiller.3.1.0.9_08.11.2018_10.58.21_log.txt

TDSSKiller.3.1.0.9_08.11.2018_11.11.12_log.txt

Skrypt wykonany.

Ten wpis "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\4e333e5c" wpis nadal widoczny w logach + ZeroAccess

Fixlog.txt

FRST.txt

Addition.txt

Cześć

Dostałem komputer do sprawdzenia. Próbowałem coś sam zdziałać, ale przerasta to moje możliwości. W załącznikach logi z FRST + 2 fixlogi + skan z AdwCleaner. Prośba o pomoc. Z góry dziękuję.

Pozdrawiam

FRST.txt

Addition.txt

Shortcut.txt

AdwCleaner[S1].txt

Fixlog_07-11-2018 01.01.48.txt

Fixlog.txt

Zdrowych, spokojnych i radosnych Świąt Bożego Narodzenia dla wszystkich użytkowników forum

Z podanych screenów nic nie wynika. Dostarcz raporty z FRST, uruchom Monitor Zasobów i sprawdź co odpowiada za obciążanie CPU.

Pozwól zauktualizować sie systemowi lub wykonaj polecenia toska78

Po "zabiciu" procesu padają pewnie jakieś usługi, dlatego problemy z myszką itp.

 

Uruchom Monitor zasobów (Kliknij Start, wpisz Monitor zasobów i uruchom). W pierwszej zakładce wybierz wszystkie procesy svchost, przełącz się na zakładkę Procesor CPU. W okienku Usługi kliknij kolumnę "Procesor CPU" (niestety nie mam Windowsa 7, więc nie mam pewności czy wszystkie nazwy są takie same jak w Windows 8, jak coś nie będziesz wiedział to pisz). W momencie obciążenia procesora sprawdź, która usługa za to odpowiada. Klikając prawym na usłudze możesz ją zatrzymać. Daj znać, która to usługa. Oczywiście powyższe instrukcje wykonaj przed "zabiciem" jakiegokolwiek procesu.

A przypadkiem system nie próbuje się uaktualniać?

Uruchom Monitor zasobów i sprawdź co "pożera" CPU i pamięć (ewentualnie zamieść tutaj zrzut ekranu).

Przedstaw nowe raporty z FRST.

Załóż temat w dziale pomocy doraźnej LINK.

Zrób nowe logi FRST (bez Shortcut). Opisz jak wygląda sytuacja.

Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [YTDownloader] => "C:\Program Files\YTDownloader\YTDownloader.exe" /boot
HKU\S-1-5-21-504265541-2987985666-2803033952-1000\...\Run: [YTDownloader] => "C:\Program Files\YTDownloader\YTDownloader.exe" /boot
S2 sbmntr; \??\C:\PROGRA~1\YTDOWN~1\sbmntr.sys [X]
Task: {123AF6E7-BAB3-4E0C-B54E-5E22AF8D698E} - \ShopperProJSUpd No Task File <==== ATTENTION
Task: {1A7A1AED-3455-4CB8-9C30-66E16FDC5677} - System32\Tasks\YTDownloader => C:\Program Files\YTDownloader\YTDownloader.exe <==== ATTENTION
Task: {489EFAA9-E19D-4941-A383-58EC916E9909} - System32\Tasks\{F068EE3F-48DE-43E2-9032-B90994E5497D} => pcalua.exe -a "C:\Program Files\InstallShield Installation Information\{3A1B1652-D70A-4D19-981E-BB15D0DBF253}\setup.exe" -c -runfromtemp -l0x0409
Task: {561A600F-1744-48A6-A5A4-9B528D2630A1} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 <==== ATTENTION
Task: {663D0608-16FA-43BC-AF2B-7155C26EC5BC} - System32\Tasks\SMupdate1 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update1 <==== ATTENTION
Task: {6C2CDF17-C260-44AD-A06E-EF2D99B8C57A} - System32\Tasks\{D9825CA2-81A4-4BBB-980C-E4C9214548DB} => pcalua.exe -a C:\Users\Bakoma\Desktop\Incoming\PER3664B_20140513_V1.6\Tools\drvinstaller_X86.exe -d C:\Users\Bakoma\Desktop\Incoming\PER3664B_20140513_V1.6\Tools
Task: {840B9536-7169-4A99-9D53-39539F0D48C3} - System32\Tasks\YTDownloaderUpd => C:\Program Files\YTDownloader\updater.exe <==== ATTENTION
Task: {D8187495-10DC-4508-A45E-E58F4CF07A5A} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 <==== ATTENTION
Task: {DAFF483D-EB3D-479C-A3AB-38ECD29D9F12} - System32\Tasks\BBHJ => C:\Users\Bakoma\AppData\Roaming\BBHJ.exe <==== ATTENTION
Task: C:\Windows\Tasks\BBHJ.job => C:\Users\Bakoma\AppData\Roaming\BBHJ.exe <==== ATTENTION

C:\Windows\system32\roboot.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij Fix. Powstanie fixlog.txt. Przedstaw raport.

MariHIFI problemem jest Opera, niestety FRST listuje tylko niektóre elementy. Przeinstaluj przeglądarkę i sprawdź czy pomogło.

Skorzystałeś zapewne z AdwCleaner i są pozostałości w Harmonogramie zadań. Niestety zastosowałeś DelFix i nie można sprawdzić logów. Z tego programu korzysta się na samym końcu czyszczenia systemu. Zrób nowe logi programem FRST (mają powstać 3 pliki: FRST.txt, Addition.txt, Shortcut.txt). Przedstaw je tutaj. Logi OTL są zbędne.

Na siłę można instalować wszystkie wersje, ale jeżeli żaden z używanych programów nie zgłasza problemów, to nie ma sensu instalować czegoś, co nie wiesz czy w ogóle będzie Ci potrzebne.

Zresetuj bazę kryptograficznych za pomocą narzędzia Fix It 50202 (zaznacz tryb agresywny): KLIK.
 
Odinstaluj: YTD Video Downloader 4.8.9.
Zaktualizuj: Adobe Flash Player 9 ActiveX, Java 8 Update 25.

 

Jeżeli to nie pomoże, zaktualizuj sterowniki intel:

Intel® Matrix Storage Manager (HKLM\...\{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}) (Version: - Intel Corporation)

Wyjaśnienie KLIK.

 

Zapytam dla pewności czy wykonałeś wszystkie punkty:

1. Deinstalacja (jeśli nie można wykonać tego kroku, warto zajrzeć TUTAJ)

2. Usunięcie katalogów

3. Deaktywacja firewalla

4. Próba instalacji offline (link kieruje na polska wersję) KLIK

 

Jeżeli to nie pomaga zapoznaj się z tym tematem.

Przeglądając sieć można natknąć się na podobny problem i niestety rożne rozwiązania, więc na początek spróbuj tego, co opisano w tym temacie.

Otwórz Notatnik i wklej w nim:

 

Reg: reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /s

 

Plik zapisz pod nazwą fixlist.txt. Umieść go w katalogu z FRST, uruchom program i kliknij Fix. W tym samym katalogu powstanie fixlog.txt. Przedstaw go tutaj.