MoncznyChleb

Error Scan nic nie wykazał, benchmark wygląda tak:

Cześć Z racji, że nie znam się dobrze na analizie SMART zwracam się o pomoc na forum. Komputer działa dziwnie ociężale. Ilość realokowanych sektorów od kilku lat jest na tym poziomie. Czy stan dysku jest jeszcze na poziomie użytkowym?

Rozumiem, że chcesz odzyskać usunięte katalogi. Pliki istnieją na dysku, ale mogą zostać szybko nadpisane toteż nie tworz/kopiuj nowych danych. Użyj programu do odzyskiwania, np. Recuva. Jest prawdopodobieństwo, że odzyskasz jakąś ich część. Zdaj raport z działań.

W logach widzę resztki po McAfee. Usuwanie go przez zewnętrzny program nie było dobrym pomysłem. Usuń resztki oficjalnym removerem: http://us.mcafee.com/apps/supporttools/mcpr/mcpr.asp Potencjalnym winowajcą może być też Kaspersky, ale na razie go zostawmy - zobaczymy jaka będzie reakcja po wywaleniu resztek. Dołącz zestaw świeżych logów z FRST.

W logach raczej czysto. Podejrzana pozycja w menu kontekstowym to pozostałość po BitLockerze. Jeżeli chcesz ukryć wpisy: Wklej do notatnika: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\Drive\shell\encrypt-bde] "LegacyDisable"="" [HKEY_CLASSES_ROOT\Drive\shell\encrypt-bde-elev] "LegacyDisable"="" [HKEY_CLASSES_ROOT\Drive\shell\manage-bde] "LegacyDisable"="" [HKEY_CLASSES_ROOT\Drive\shell\manage-bde-elev] "LegacyDisable"="" [HKEY_CLASSES_ROOT\Drive\shell\resume-bde] "LegacyDisable"="" [HKEY_CLASSES_ROOT\Drive\shell\resume-bde-elev] "LegacyDisable"="" [HKEY_CLASSES_ROOT\Drive\shell\unlock-bde] "LegacyDisable"="" I zapisz jako fix.reg. Otwórz zapisany plik i kliknij Scal. Po ponownym uruchomieniu w menu nie powinno być śladu

https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware - to powinno wyjaśnić sprawę.

Ewentualnie zamiast w trybie awaryjnym możesz w 'napraw komputer' przeprowadzić skan FRST

Podaj obowiązkowe logi z FRST, GMER i USBFix https://www.fixitpc.pl/topic/61-diagnostyka-ogólne-raporty-systemowe/

Log FRST jest ucięty, sprawdź czy jest poprawnie załączony bądź wykonaj nowy.

Logi wykonaj programami FRST i GMER: (nie gryzą się z SPTD) https://www.fixitpc.pl/topic/61-diagnostyka-ogólne-raporty-systemowe/

To może wskazywać na obecność infekcji. Pobierz FRST na innym komputerze. Spróbuj wykonać skan z poziomu trybu awaryjnego, bądź Napraw komputer (opcja dostępna w tym samym menu). http://windows.microsoft.com/pl-pl/windows/start-computer-safe-mode#start-computer-safe-mode=windows-7 https://www.fixitpc.pl/topic/61-diagnostyka-ogólne-raporty-systemowe/

Wydaje mi się, że powinieneś również usunąć ten plik, chociaż jest już niegroźny.

@Zappa Tutaj są wspomniane robaki: 2014-12-24 09:36 - 2014-12-24 09:36 - 1815520 _____ (Object Browser) C:\Users\Adrian\AppData\Roaming\DOUHXLN.exe 2015-01-04 19:49 - 2015-01-04 19:53 - 0099384 _____ () C:\Users\Adrian\AppData\Roaming\inst.exe 2014-11-08 18:32 - 2014-11-08 18:32 - 1481624 _____ (tab) C:\Users\Adrian\AppData\Roaming\OPKUK.exe A tutaj rootkit: (StdLib) C:\Windows\system32\Drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys Nie wiem czy Kaspersky wykryje plik, bo wygląda na to, że rootkit jest nieaktywny.

@Zappa Radzę poczekać na Picasso. W logu widzę plik rootkita; nie usunąłeś też robaków z folderów 'Roaming'; wydaje mi się, że plik hosts powinno się czyścić przez FRST wklejeniem danej liniki z logu. Nie chcę tworzć skryptu żeby nie ryzykować jakiemuś przeoczeniu. Nie wiem też jak z Windowsa można odinstalować IE kiedy jest to jego integralna część

Właśnie rzecz w tym, że komputer działał po aktualizacji normalnie (w logach widać, że była robiona dzień wcześniej); dopiero po drugim czy trzecim uruchomieniu pojawił się BSOD. Drobna uwaga: zauważyłem, że w folderze winsxs\Temp\PendingRenames oraz PendingDeletes jest dosyć dużo plików; plik winsxs\pending.xml nie występuje. W sprawie Przywracania Systemu: po uruchomieniu przywracania program się zaciął - przez duży czas nie było żadnej rekacji, dioda dysku się nie świeciła; komputer uruchomiłem ponownie do Recovery. Oczywiście, że korzystałem z ControlSet002 Pliki były brane z sąsiedniego komputera, może nie był to najlepszy pomysł, ale mam backupy w zanadrzu. Stworzyłem logi o które prosiłaś, dodatkowo dorzucam skan backupów plików które były podmienione przeze mnie, nowy log oraz wyciąg rejestru z klucza Session Manager. FRST.txt Search1.txt Search2.txt SessionManager.txt