MoncznyChleb
-
Postów
16 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez MoncznyChleb
-
-
-
Rozumiem, że chcesz odzyskać usunięte katalogi. Pliki istnieją na dysku, ale mogą zostać szybko nadpisane toteż nie tworz/kopiuj nowych danych. Użyj programu do odzyskiwania, np. Recuva. Jest prawdopodobieństwo, że odzyskasz jakąś ich część. Zdaj raport z działań.
-
W logach widzę resztki po McAfee. Usuwanie go przez zewnętrzny program nie było dobrym pomysłem.
Usuń resztki oficjalnym removerem: http://us.mcafee.com/apps/supporttools/mcpr/mcpr.asp
Potencjalnym winowajcą może być też Kaspersky, ale na razie go zostawmy - zobaczymy jaka będzie reakcja po wywaleniu resztek.
Dołącz zestaw świeżych logów z FRST.
-
W logach raczej czysto.
Podejrzana pozycja w menu kontekstowym to pozostałość po BitLockerze.
Jeżeli chcesz ukryć wpisy:
Wklej do notatnika:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\Drive\shell\encrypt-bde]
"LegacyDisable"=""
[HKEY_CLASSES_ROOT\Drive\shell\encrypt-bde-elev]
"LegacyDisable"=""
[HKEY_CLASSES_ROOT\Drive\shell\manage-bde]
"LegacyDisable"=""
[HKEY_CLASSES_ROOT\Drive\shell\manage-bde-elev]
"LegacyDisable"=""
[HKEY_CLASSES_ROOT\Drive\shell\resume-bde]
"LegacyDisable"=""
[HKEY_CLASSES_ROOT\Drive\shell\resume-bde-elev]
"LegacyDisable"=""
[HKEY_CLASSES_ROOT\Drive\shell\unlock-bde]
"LegacyDisable"=""
I zapisz jako fix.reg. Otwórz zapisany plik i kliknij Scal.
Po ponownym uruchomieniu w menu nie powinno być śladu
-
-
Ewentualnie zamiast w trybie awaryjnym możesz w 'napraw komputer' przeprowadzić skan FRST
-
Podaj obowiązkowe logi z FRST, GMER i USBFix
https://www.fixitpc.pl/topic/61-diagnostyka-ogólne-raporty-systemowe/
-
Log FRST jest ucięty, sprawdź czy jest poprawnie załączony bądź wykonaj nowy.
-
Logi wykonaj programami FRST i GMER: (nie gryzą się z SPTD)
https://www.fixitpc.pl/topic/61-diagnostyka-ogólne-raporty-systemowe/
-
To może wskazywać na obecność infekcji.
Pobierz FRST na innym komputerze. Spróbuj wykonać skan z poziomu trybu awaryjnego, bądź Napraw komputer (opcja dostępna w tym samym menu).
https://www.fixitpc.pl/topic/61-diagnostyka-ogólne-raporty-systemowe/
-
Wydaje mi się, że powinieneś również usunąć ten plik, chociaż jest już niegroźny.
-
@Zappa
Tutaj są wspomniane robaki:
2014-12-24 09:36 - 2014-12-24 09:36 - 1815520 _____ (Object Browser) C:\Users\Adrian\AppData\Roaming\DOUHXLN.exe
2015-01-04 19:49 - 2015-01-04 19:53 - 0099384 _____ () C:\Users\Adrian\AppData\Roaming\inst.exe
2014-11-08 18:32 - 2014-11-08 18:32 - 1481624 _____ (tab) C:\Users\Adrian\AppData\Roaming\OPKUK.exeA tutaj rootkit:
(StdLib) C:\Windows\system32\Drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys
Nie wiem czy Kaspersky wykryje plik, bo wygląda na to, że rootkit jest nieaktywny.
-
@Zappa
Radzę poczekać na Picasso.
W logu widzę plik rootkita; nie usunąłeś też robaków z folderów 'Roaming'; wydaje mi się, że plik hosts powinno się czyścić przez FRST wklejeniem danej liniki z logu.
Nie chcę tworzć skryptu żeby nie ryzykować jakiemuś przeoczeniu.
Nie wiem też jak z Windowsa można odinstalować IE kiedy jest to jego integralna część
-
Właśnie rzecz w tym, że komputer działał po aktualizacji normalnie (w logach widać, że była robiona dzień wcześniej); dopiero po drugim czy trzecim uruchomieniu pojawił się BSOD.
Drobna uwaga: zauważyłem, że w folderze winsxs\Temp\PendingRenames oraz PendingDeletes jest dosyć dużo plików; plik winsxs\pending.xml nie występuje.
W sprawie Przywracania Systemu: po uruchomieniu przywracania program się zaciął - przez duży czas nie było żadnej rekacji, dioda dysku się nie świeciła; komputer uruchomiłem ponownie do Recovery.
Oczywiście, że korzystałem z ControlSet002
Pliki były brane z sąsiedniego komputera, może nie był to najlepszy pomysł, ale mam backupy w zanadrzu.
Stworzyłem logi o które prosiłaś, dodatkowo dorzucam skan backupów plików które były podmienione przeze mnie, nowy log oraz wyciąg rejestru z klucza Session Manager.
-
Witam,
Wczoraj mój komputer nagle odmówił współpracy. Jeszcze wczoraj rano korzystałem z niego, nie instalowałem żadnych większych programów oraz nie modyfikowałem systemu, jedyną rzeczą którą zrobiłem była akutalizacja flasha.
Kiedy chciałem go włączyć po powrocie do domu system odmówił współpracy, wyrzuca błąd:
STOP:c000021a {Fatal System Error}
The Session Manager Initialization system process terminated unexpectedly with a status of 0xc000003a (0x00000000 0x00000000).
The system has been shut down.
Wykonałem już następujące czynności:
Przywrócenie starego klucza ControlSet,
Sprawdzenie klucza Control\Session Manager - dopisałem do SetupExecute (chyba) brakującą wartość poqexec.exe [...],
Wykonanie chkdsk,
Wykonanie sfc - raz dostałem informację 'pending', a za drugim razem, po wpisaniu lokalizacji systemu, że sfc nie może naprawić,
Zmieniłem nazwę SoftwareDistribution,
Wykonałem skan FRST - pozbyłem się jedynie klucza Windows NT/SystemRestore,
Sprawdziłem wpisy RunOnce, RunOnceEx,
Podmieniłem winlogon.exe i csrss.exe,
Spróbowałem wykonać przywacanie systemu - program zwrócił błąd
Nie wiem już za bardzo co mam zrobić, a w systemie mam dużo rzeczy i nie chce mi się teraz wszystkiego stawiać na nowo.
Wysyłam FRST.txt (plik kupa.exe to mój programik)
Pozdrawiam
@EDIT
Komputer jest w pełni sprawny.
Analiza danych SMART
w Hardware
Opublikowano
Error Scan nic nie wykazał, benchmark wygląda tak: