olikak

DZIĘKUJĘ!

1. zrobione - log w załączniku. rozumiem, z gmer i MCPR mogę usunąć ręcznie metodą DEL?

 

2. zrobione

 

3. flash player - zrobione, a mozilla pokazuje mi, że jest aktualna. czy może tak być?

DelFix.txt

1. zrobione - log w załączniku

 

2. użycie narzędzia w trybie awaryjnym zakończyło się komunikatem:

"Incomplete Uninstallation

Error obtaining full permissions for cleanup. See log file for more details."

Po kliknięciu VIEW LOGS otworzył sie pusty notatnik i tylko nad nim okno z komunikatem:

"Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces".

 

3. zrobione

 

4. zrobione - log w załączniku

 

co o tym myślisz?

Fixlog.txt

FRST.txt

Witam,

 

przy ściąganiu dziś programu KMPlayer ściągnął się też Optimizer Pro (skrót na pulpicie, obecność na liście programów w panelu sterowania). Na szczęście nie uruchamiałam go, bo Avast wychwycił jego kawałek monitując jako spyware.

Na szybko w necie znalazłam, że to wirus zachowujący się jak program, więc usunęłam go (odinstalowanie w panelu sterowania).

Następnie po przeskanowaniu Avastem i Malwarebytes Anti-Malware nic już nie znajdowało, ale proszę o spojrzenie na logi, czy aby na pewno nic nie zostało??

 

Z dziwnych rzeczy  - zmieniony wygląd niektórych stron www w przeglądarce Mozilla (np. inne czcionki i grafika facebooka), ale nie wiem, czy to ma związek...

 

z góry dziękuję za pomoc - logi w załącznikach

 

FRST.txt

Addition.txt

Shortcut.txt

OTL.Txt

Extras.Txt

gmer.txt

w zasadzie wszystko przeszłam ze wskazówek - poza windows updatami (za to tym razem spóbuję WTW)

dziękuję za pomoc w opanowaniu wirusa:)

w zasadzie dla porządku chyba można zamknąć wątek...

Dziękuję za fachową i bardzo szybką pomoc!

 

Punkt 1 i 2 już wykonałam rano.

 

W pkt. 3 na razie utknęłam na WIndows Update - wersja XP nie jest legalna (niestety legalna Vista zakupiona z komputerem była nie do przeżycia i zastąpiona została tym XP) - czy można jakoś pobrać aktualizacje na Service Pack 3 mimo wszystko? Windows Update w pierwszym kroku chce sprawdzić legalność oprogramowania, a wiem, że tego nie przejdę.

ok, tylko jak mam to zrobić technicznie, kiedy w trybie awaryjnym z wierszem poleceniem nie widzę menu start ani mojego komputera, gdzie mogłabym sobie zapisać ten skrypt w jakimś .txt i potem wkleić?:/

przepraszam za zapewne głupie pytanie:/

 

już wiem!

 

wszystko odbyło się zgodnie z opisem,

 

w załączeniu log z OTL już z normalnego trybu konta Ola.

OTL.Txt

w załączeniu jeszcze raz logi wg wskazówek

OTL.Txt

Extras.Txt

Witam, padłam kolejną ofiarą wirusa "policyjnego" - przy przeglądaniu Internetu pojawiło się okno na cały ekran o blokadzie komputera, opłacie + przechwycenie kamerki internetowej.

Po ponownym uruchomieniu system wstał w normalnym trybie, więc próbowałam od razu wykonać logi z OTL - udało się, a kolejno log z GMERA - gmer przeskanował i znalazł rootkita o czym poinformował na czerwono, niestety nie mogłam otworzyć żadnego programu, w którym mogłabym zapisać log i komputer ostatecznie wyłączył się.

Potem nie można juz było uruchomić normalnie systemu. Wszystko powyższe działo się na koncie uzytkownika "OLA", które w normalym trybie ma również uprawnienia administratora.

 

Niestety od tego momentu system uruchamia się tylko w trybie awaryjnym i tylko na koncie "ADMINISTRATOR" (na koncie "OLA" w trybie awaryjnym system nie chce wstać - zamyka się i uruchamia ponownie).

W związku z czym w trybie awaryjnym na koncie "ADMINISTRATOR" wykonałam ponownie logi z OTL, które załączam. GMERA na wszelki wypadek na razie nie próbuję, chyba, że mi powiecie, że mam to zrobić.

 

Bardzo proszę o pomoc, gdyż na tym nieszczęsnym koncie "OLA", do którego teraz nie mogę nijak się dostać, mam bardzo potrzebne pliki do pracy:(

Extras.Txt

OTL.Txt

Po dłuższym czasie, ale... pkt. 2 przerobiłam, z 1 i 3 daję sobie spokój.

 

Jeszcze raz BARDZO dziękuję Tobie za profesjonalne podejście! Dla porządku na forum możemy zamknąć ten temat.

A samo forum to bardzo wartościowe miejsce w sieci i na pewno będę tu zaglądać

Witaj raz jeszcze:) Po posprzątaniu na tym komputerze będąc już w fazie porządków chciałam podobnie postąpić z moim drugim laptopem (w kwestii samych aktualizacji i sprzątania). Tam jest oryginał Windows XP, Antywirus to Kaspersky Anti-Virus 2009.

Wszystko poszło gładko (w sensie aktualizacje oprogramowania), ale zauważyłam tam kilka dziwnych rzeczy:

 

1. W specyfikacji komputer jest opisany jako: System: Microsoft Windows XP Professional, Wersja 2002, Dodatek Service Pack , ale… na liście programów "Dodaj usuń" w ogóle nie widzę Service Packa 3 (ani żadnego innego). Czy tak powinno być?

Wiem, że przy zakupie laptop miał SP 2, system aktualizowany był jakiś czas temu tylko raz, poprzez pozwolenie na automatyczne aktualizacje z panelu "Automatyczne aktualizacje" Windows. Wtedy pobrał około 50 aktualizacji krytycznych oraz zmienił się opis systemu na SP 3. Wszystko odbywało się z włączonym Kasperskym.

 

2. Po tym jednokrotnym wykonaniu pobierania automatycznych aktualizacji systemu Windows na partycji F: pojawił się folder: o nazwie "c648e12c72bb193607d90c9beb8327". Zawiera on 2 podfoldery: jeden o nazwie "amd64", a drugi o nazwie "i386". Obydwa zawierają dokładnie te same 7 plików: "filterpipelineprintproc.dll", "msxpsdrv", "msxpsdrv", "msxpsinc.gpd", "msxpsinc.gpd", "mxdwdrv.dll", "xpssvcs.dll". Przy próbie usunięcia całości "c648e12c72bb193607d90c9beb8327" pojawia się komunikat: "Nie można usunąć filterpipelineprintproc.dll: Odmowa dostępu. Sprawdź czy dysk nie jest zapełniony lub chroniony przed zapisem oraz czy plik nie jest aktualnie używany."

Mogę to usunąć jakimś Unlockerem czy czymś takim? Bo to pewnie resztki po aktualizacjach.

 

3. Przy skanowaniu Kasperskym pojawia się informacja o takiej luce:

Zagrożenie luka http://www.viruslist.com/pl/advisories/41917 C:\Program Files\HP\Digital Imaging\help\player\FlashPla.exe Wysoce niebezpieczny

Pojawiało się ich więcej, ale po aktualizacjach programów została ta jedna. Flash Player odinstalowany i zainstalowana na nowa najbardziej aktualna wersja, w HP sprawdziłam dostępne aktualizacje również.

 

Na wszelki wypadek dołączam też logi z OTLa jakbyś mogła luknąć w to, czy wszystko jest OK w systemie.

OTL.Txt

Extras.Txt

Czy to nie stało się przypadkiem po użyciu Flash Disinfector oraz skasowaniu pliku autorun.inf iPlusa?

hm... tak, racja, mogło tak być. To pewnie Flash Disinfector, bo Iplus instalowałam na nowo z racji nowej wersji Managera. Ale faktycznie tak było.

Z darmowych możesz sprawdzić czy Ci odpowiadają te wyliczane przeze mnie w tym poście: KLIK.

Dzięki!! wypróbuję któryś z nich w dalszym kroku razem z pomyśleniem nad Gadu.

 

choć Autoruns, ShellExView i SpaceSniffer to programy, które bym zatrzymała

Masz rację, SpaceSniffer jest bardzo intuicyjny - tylko nie zawsze wiem, co można usunąć.. dlatego staram się z nim ostrożnie. W program Files wygląda już OK, te pliki hibernacji zajmują dużo (pagefile.sys i hiberfil.sys), no i Pulpit, ale to wiem czemu, bo zrzucone są tu 3 duże pliki, których z czasem się pozbędę.

 

ShellExView wygląda już całkiem ładnie.

 

Ale, mam jeszcze pytanie co do Autoruns - w zakładce Drivers widzę wiele nieznalezionych rzeczy :

 

Changer File not found: C:\WINDOWS\System32\Drivers\Changer.sys

EntDrv51 File not found: C:\WINDOWS\system32\drivers\EntDrv51.sys

i2omgmt File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys

lbrtfdc File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys

PCIDump File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys

PDCOMP File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys

PDFRAME File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys

PDRELI File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys

PDRFRAME File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys

SDDMI2 File not found: C:\WINDOWS\system32\DDMI2.sys

WDICA File not found: C:\WINDOWS\System32\Drivers\WDICA.sys

 

Upewniam się - mogę to usunąć?

 

 

I jeszcze jedna rzecz jest "dziwna" - nie czytane są automatycznie urządzenia podłączane przez USB (poza telefonem), czyli Pendrivy i Iplus.

W sumie nie jest to jakaś tragedia, przy Iplusie też można obejść to, że aplikacja się nie ładuje, ale się zastanawiam, kiedy to się "zadziało".

 

Mam nadzieję, że to już ostatnie rzeczy, którymi Ciebie męczę. I z góry dziękuję za cenne wskazówki!

U mnie po instalacji Avasta ta opcja nie jest domyślnie zaznaczona, a widzę przy niej opis o potencjalnym "negatywnym wpływie na pracę systemu". Wnioski: możesz to tak pozostawić.

Hm... w międzyczasie zanim przeczytałam Twoją odp, próbowałam znaleźć w necie nt. konfiguracji Avast i faktycznie - dziwne, że u mnie po akualizacji to automatycznie pozaznaczał...

 

Dziękuję BARDZO w każdym bądź razie ZA POMOC i ZA CIERPLIWOŚĆ - to rzadko spotykane na innych forach:)

 

Wszystkie Twoje kroki poza tym przeszłam już/ dopiero. Łącznie z SP3, ale niestety bez WindowsUpdate krytycznych Aktualizacji Automatycznych z braku legalnego XP (niestety legalna VISTA która tu była była nie do zniesienia).

 

Na później pozostawiam sobie jedynie kwestię wymiany GADU oraz ewentualne odtwarzacze mutlimedialne i kodeki (tj. jesli stanie sie tak, że coś będzie niezjadalne przez VLC Player, ktory wydaje sie na razie zupelnie wystarczalny). DZIĘKI za podpowiedz co do 7-zip i VLC!!

 

Co do rzeczy, które polecałaś:

- SpaceSniffer niestety niewiele mi mówi

- Puran wykonał pięknie defragmentację na partycjach i prawie pięknie na C (po uzyciu Boot Time Defrag pozostały śladowe ilości pofragmentowane).

 

 

Mam tylko 2 pytanka zanim zamkiniemy ten temat - rzekę:

- Polecasz szczególnie jakiś darmowy program do wypalania CD/ DVD? (wolałabym już odpuścić to Nero )

- Czy mogę juz pousuwać ręcznie programy, które wykorzystywałyśmy: deffoger (po enablu), otl, gmer, shexview, CCCP-Insurgent, autoruns, spacesniffer?

Pomaga odkliknięcie na zakładce Skanuj podczas otwierania przycisku Skanuj wszystkie pliki.

 

(przy czym na zakładce Skanuj podczas zapisywania > Skanuj wszystkie pliki jest zakliknięte. )

Osłona systemu plików - jej wyłączenie pomaga w obydwu wariantach - i z restartem i bez restartu.

Nie, wyłączenie tylko Osłony Monitorowania zachowań nie pomaga - ani z restartem ani bez restartu.

 

Czyli mamy 2 rzeczy, które "pomagały" do tej pory (pisałam już to, wiem, ale może to teraz rzuci jakieś światło na cień :

1. Wyłączenie wszystkich osłon - to pomaga i z restartem i nawet bez restartu - czyli nawet od razu po wyłączeniu wszystkich siedmiu osłon jest ok.

2. Wykonanie pełnego skanowania Malwarem. To pomaga bez restartu, a wręcz tylko do kolejnego uruchomienia komputera (czyli później chyba avast znowu rządzi).

Jest trop wskazujący na Avasta. Wszystko jest OK nawet bez deinstalacji Avasta, a jedynie przy wyłączeniu jego osłon.

 

Czy ta wersja była od początku w systemie, czy wykonywałaś zmianę / aktualizację wersji ostatnio? Sprawdziłabym jak się zachowuje system całkowicie pozbawiony Avasta.

Co do Twoich pytań: całej historii komputera nie znam, ale: początkowo miał inne Antywirusy (na pewno kiedyś NODa). Potem był Avast, jednak we wcześniejszych wersjach. I masz racje - całkiem niedawno krótko przed rozpoczęciem problemów Avast w wersji "4coś" prosił o aktualizację do obecnej wersji 5.1.889. Czyli nie z instalki tylko przez aktualizację starej wersji.

Nie połączyłam tych faktów, bo zaraz po inastalacji nie korzystałam z partycji, więc nie zauważyłam zmian:/

 

Nie wiem, co mu może przeszkadzać - sprawdziłam - w Dodaj/usun z innych antywirusow jest ESET online skaner, mks online skaner oraz Malware wersji 1.41.

 

Póki co nie odinstalowałam Avasta.

Sprawdź czy komunikat występuje po ponownym restarcie.

Nie, już więcej się to nie pojawiło.

 

 

(..) nie wygląda na to, by FormatFactory był zainstalowany, to sugeruje że to odpadki. Usuń to wejście w Dodaj/Usuń (...)

OK, 2 pytanka:

- rozumiem, że w Program Files i w Menu Start mogę posprzątać po Format Factory ręcznie?

- Po Nokii zostały mi 2 rzeczy: Nokia Connectivity Cable Driver w Program Files i Pakiet sterowników systemu Windows-Nokia pccsmcfd (08/22/2008 7.0.0.0) na liście Dodaj/ Usuń? Pozbyć się tego też?

 

 

Mówisz, że w Trybie awaryjnym nie występuje efekt

Sprawdziłam ponownie, w Trybie awaryjnym jest OK

 

 

sprawdź czy efekt jest także niewidoczny w stadium czystego rozruchu

W tym przypadku problem występuje podobnie jak w Normalnym trybie uruchomienia

 

 

Dorzuć także nowe logi z OTL, bo odbyły się tu deinstalacje.

Proszę logi:

 

OTL

Extras

Różowe włączyłam. A pozostałe kroki:

 

Ad.1.

- InterVideo WinDVD Recorder 5 usunęłam z listy, po restarcie bez zmian, choć przy ponownym uruchomieniu pojawił się komunikat, że "odnaleziono nowy sprzęt: CD-Rom". Przy czym akurat w całym zajściu nie sprawdzałam akurat, czy z CD-Romem były problemy.

Zostało jeszcze coś takiego: InterVideo Teletext Epg Scanner, usunąć?

 

- Nero, usunięte, również po ponownym uruchomieniu kompa bez zmian.

 

- Nokia PC Suite, usunięte, również po restarcie bez zmian. Przy czym zostało coś takiego: "Nokia Connectivity Cable Driver" - kiedy chciałam to usunąć komp zawiesił się standardowo jak to robi cały czas, a jak uruchomiłam ponownie, to na liście tego już nie było, za to jest w Program Files.

 

Cały czas jest też ten Format Factory - w lisćie programów "Dodaj/ usuń programy", w Menu Start i w Program Files.

 

Ad.2 - zrobione wg. instrukcji

 

Update: co do Nokii to w liście programów widze jeszcze: "Pakiet sterowników systemu Windows-Nokia pccsmcfd (08/22/2008 7.0.0.0). Nie wiem, co z tym...

Po wyłączeniu bez zmian. Zostawić różowe na Disable? czy włączyć spowrotem?

ShellExView

CCCP Insurquent

 

I jeszcze mały update być może ważny: teraz pozostawienie komputera na dłuższą chwilę bez wykonywania żadnych operacji również nieodwołalnie zawiesza system, czyli jakby jednak nie tylko partycje to powodują. Dodatkowo teraz jeszcze po każdym kolejnym uruchomieniu przestawiają się ikony na pulpicie.

Dziękuję, dziękuję za szybką reakcję i podejście do tematu ! No więc tak:

 

- Format Factory przy próbie usunięcia w oknie "Dodaj usuń programy" zrestartował sam komputer. Po restarcie przy ponownej próbie usunięcia z listy wyrzucił komunikat (mam print screen, ale nie potrafię tu wkleić tego jako obrazka:/ więc przepisuję:

"Błąd programu dezinstalator: Wystąpił błąd podczas próby usunięcia programu Format Factory 2.30. Mógł on zostać wcześniej odinstalowany. Czy chcesz usunąć program Format Factory 2.30 z listy Dodaj lub usuń programy?" I przyciski TAK i NIE.

Kliknęłam póki co NIE, Format Factory jest więc i na liście i jest też w Program Files i widzę go na liście programów w Start-> Programy przy czym ma tam takie dziwne ikonki (mogę zrobić print screena)

 

- K-Lite Codec Pack 4.5.3 pzy próbie usunięcia również wyrzucił komunikat. Jest on niestety dość długi, no ale .... :

"Unistall: The following DirectShow filter was detected as broken:

Name: DIVx Decoder Fillter

Filename: <unknown>

CLSID: CLSID_DivXDeux

Regkey: HKEY_CLASSES_ROOT\CLSID\... i dalej rząd cyfr

Reason: Missing required registry key HKEY_CLASSES_ROOT\CLSID\... i dalej rząd cyfr, innych niż te powyżej

Remove this item from Windows registry?

YES=recommended"

Kliknęłam YES, wygląda, że raczej się odisntalowało.

 

Pozostałe rzeczy wg Twoich wskazówek, poszło OK.

 

Przy okazji zauważyłam, że nie mogę również ruszać PowerPointa, tj. nawet otworzyć samego programu na dysku C, ponieważ następuję taki sam "paraliż" jak przy partycjach D i E. Word i Excel póki co działają.

Sorry za to moje przepisywanie, z obrazkami pewnie byłoby bardziej to zjadliwe:/

Dzięki wielkie za odpowiedź. Poniżej odpowiedzi na pytania, które mam nadzieję pomogą coś w diagnozie sytuacji.

 

A nie był to plik lsass.exe?

Tak, zgadza się, mój błąd, przepraszam. Wszystko inne z kwarantann usunęłam, to też?

 

1. Czy na tych partycjach leży zawartość "multimedialna", czyli: obrazy, filmy etc?

Tak, na obydwu. Przy czym na partycji C również. Zarówno obrazy, pliki dźwiękowe jak i filmy.

 

FormatFactory (...) Radzę się trzymać od tego z daleka.

Mogę teraz odinstalować? Wiem, że już za późno, ale...

 

2. Czy D + E to partycje w obrębie tego samego dysku fizycznego, odrębnego niż C?

C+D+E to trzy partycje tego samego fizycznego dysku. System jest na C, a D i E to archiwa.

 

3. Czy problem występuje także w Trybie awaryjnym Windows?

W trybie awaryjnym problem nie występuje.

 

 

Do do Favikonów to dziś po odpaleniu lapa jest OK, same się naprawiły, więc póki co nic nie robię.

Witam! Mój problem zaczął się od tego, że nie można było otworzyć żadnego pliku na partycji D i E. W samą partycję można było wejść, lap widział zawartość, ale przy probie otworzenia jakiegokolwiek - pliku/ folderu następowało: nieodwołalne zawieszenie systemu - jedyne wyjście to ręczne wyłączenie laptopa przyciskiem zasilania; można było poruszać myszką po ekranie, ale nic nakliknąć; gasła lampka kontrolna pracy dysku na laptopie. O dziwo po dysku C można było wędrować do woli, tylko partycje strajkowały. Bardzo prosze o pomoc. Poniżej szczegóły:

 

Co próbowałam do tej pory - dość chaotycznie zanim trafiłam do Was:

 

1. przeskanowanie avast! Free Antivirus 5.1.889, który mam na co dzień - nic nie dało, niestety nie mam loga, ale po skanie do kwarantanny przeniesiono plik lass.exe z lokalizacji C:\WINDOWS\$NtServicePackUninstall$; plik zarażony Win32:Malware-gen.

 

Dodatkowo widzę, że w kwarantannie ze skanowania sprzed kilku mscy mam plik autorun.inf z lokalizacji G:

Nie wiem, czy usuwać te rzeczy z kwarantanny czy nie?

 

2. przeskanowanie Malwarebytes Anti-Malware 1.41 - nic nie znalazł, ale jako jedyny odblokowywał partycje na tyle że można było otworzyć jakiś plik aż do kolejnego uruchomienia lapa, niestety miałam starą wersję (1.41), mogę przeskanować nowszą jak będzie potrzeba, ale nie chcę już nic robić bez porady od Was o to;

 

 

 

 

3. usunięcie ręczne plików autorun.inf - po tym działo się najdziwniej, znalazłam 2 takie pliki - jeden na dysku C w Program Files w folderze aplikacji Iplus, a drugi na dysku D. Niestety nie spisałam dokładnie lokalizacji. Jak znalazły się w koszu to i dysk C zaczął powodować zawieszenia systemu, ale kiedy Malware na chwilę odblokował system, to usunęłam z kosza i teraz dysk C jest OK., ale z partycjami bez zmian

 

4. uruchomienie Flash Disinfector - nic nie dało;

 

5. przeskanowanie Ad-Aware - system zwiesił się w trakcie skanowania w trakcie kiedy skanowany był dysk D

 

Dodatkowo zauważyłam, że teraz pozmieniały się ikonki na liście Ulubionych w Internet Explorerze - dziwnie wyglądają np. w przypadku logo wp czy google

 

I obowiązkowe logi: