MoncznyChleb

Error Scan nic nie wykazał, benchmark wygląda tak:

Cześć

Z racji, że nie znam się dobrze na analizie SMART zwracam się o pomoc na forum.

Komputer działa dziwnie ociężale. Ilość realokowanych sektorów od kilku lat jest na tym poziomie.

Czy stan dysku jest jeszcze na poziomie użytkowym?

Rozumiem, że chcesz odzyskać usunięte katalogi. Pliki istnieją na dysku, ale mogą zostać szybko nadpisane toteż nie tworz/kopiuj nowych danych. Użyj programu do odzyskiwania, np. Recuva. Jest prawdopodobieństwo, że odzyskasz jakąś ich część. Zdaj raport z działań.

W logach widzę resztki po McAfee. Usuwanie go przez zewnętrzny program nie było dobrym pomysłem.

Usuń resztki oficjalnym removerem: http://us.mcafee.com/apps/supporttools/mcpr/mcpr.asp

Potencjalnym winowajcą może być też Kaspersky, ale na razie go zostawmy - zobaczymy jaka będzie reakcja po wywaleniu resztek.

Dołącz zestaw świeżych logów z FRST.

W logach raczej czysto.

Podejrzana pozycja w menu kontekstowym to pozostałość po BitLockerze.

Jeżeli chcesz ukryć wpisy:

Wklej do notatnika:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Drive\shell\encrypt-bde]

"LegacyDisable"=""

[HKEY_CLASSES_ROOT\Drive\shell\encrypt-bde-elev]

"LegacyDisable"=""

[HKEY_CLASSES_ROOT\Drive\shell\manage-bde]

"LegacyDisable"=""

[HKEY_CLASSES_ROOT\Drive\shell\manage-bde-elev]

"LegacyDisable"=""

[HKEY_CLASSES_ROOT\Drive\shell\resume-bde]

"LegacyDisable"=""

[HKEY_CLASSES_ROOT\Drive\shell\resume-bde-elev]

"LegacyDisable"=""

[HKEY_CLASSES_ROOT\Drive\shell\unlock-bde]

"LegacyDisable"=""

I zapisz jako fix.reg. Otwórz zapisany plik i kliknij Scal.

Po ponownym uruchomieniu w menu nie powinno być śladu

https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware - to powinno wyjaśnić sprawę.

Ewentualnie zamiast w trybie awaryjnym możesz w 'napraw komputer' przeprowadzić skan FRST

Podaj obowiązkowe logi z FRST, GMER i USBFix

https://www.fixitpc.pl/topic/61-diagnostyka-ogólne-raporty-systemowe/

Log FRST jest ucięty, sprawdź czy jest poprawnie załączony bądź wykonaj nowy.

Logi wykonaj programami FRST i GMER: (nie gryzą się z SPTD)

https://www.fixitpc.pl/topic/61-diagnostyka-ogólne-raporty-systemowe/

To może wskazywać na obecność infekcji.

Pobierz FRST na innym komputerze. Spróbuj wykonać skan z poziomu trybu awaryjnego, bądź Napraw komputer (opcja dostępna w tym samym menu).

http://windows.microsoft.com/pl-pl/windows/start-computer-safe-mode#start-computer-safe-mode=windows-7

https://www.fixitpc.pl/topic/61-diagnostyka-ogólne-raporty-systemowe/

Wydaje mi się, że powinieneś również usunąć ten plik, chociaż jest już niegroźny.

@Zappa

Tutaj są wspomniane robaki:

2014-12-24 09:36 - 2014-12-24 09:36 - 1815520 _____ (Object Browser) C:\Users\Adrian\AppData\Roaming\DOUHXLN.exe
2015-01-04 19:49 - 2015-01-04 19:53 - 0099384 _____ () C:\Users\Adrian\AppData\Roaming\inst.exe
2014-11-08 18:32 - 2014-11-08 18:32 - 1481624 _____ (tab) C:\Users\Adrian\AppData\Roaming\OPKUK.exe

A tutaj rootkit:

(StdLib) C:\Windows\system32\Drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys

Nie wiem czy Kaspersky wykryje plik, bo wygląda na to, że rootkit jest nieaktywny.

@Zappa

Radzę poczekać na Picasso.

W logu widzę plik rootkita; nie usunąłeś też robaków z folderów 'Roaming'; wydaje mi się, że plik hosts powinno się czyścić przez FRST wklejeniem danej liniki z logu.

Nie chcę tworzć skryptu żeby nie ryzykować jakiemuś przeoczeniu.

Nie wiem też jak z Windowsa można odinstalować IE kiedy jest to jego integralna część

Właśnie rzecz w tym, że komputer działał po aktualizacji normalnie (w logach widać, że była robiona dzień wcześniej); dopiero po drugim czy trzecim uruchomieniu pojawił się BSOD.

Drobna uwaga: zauważyłem, że w folderze winsxs\Temp\PendingRenames oraz PendingDeletes jest dosyć dużo plików; plik winsxs\pending.xml nie występuje.

W sprawie Przywracania Systemu: po uruchomieniu przywracania program się zaciął - przez duży czas nie było żadnej rekacji, dioda dysku się nie świeciła; komputer uruchomiłem ponownie do Recovery.

Oczywiście, że korzystałem z ControlSet002

Pliki były brane z sąsiedniego komputera, może nie był to najlepszy pomysł, ale mam backupy w zanadrzu.

Stworzyłem logi o które prosiłaś, dodatkowo dorzucam skan backupów plików które były podmienione przeze mnie, nowy log oraz wyciąg rejestru z klucza Session Manager.

FRST.txt

Search1.txt

Search2.txt

SessionManager.txt

Witam,

Wczoraj mój komputer nagle odmówił współpracy. Jeszcze wczoraj rano korzystałem z niego, nie instalowałem żadnych większych programów oraz nie modyfikowałem systemu, jedyną rzeczą którą zrobiłem była akutalizacja flasha.

Kiedy chciałem go włączyć po powrocie do domu system odmówił współpracy, wyrzuca błąd:

STOP:c000021a {Fatal System Error}

The Session Manager Initialization system process terminated unexpectedly with a status of 0xc000003a (0x00000000 0x00000000).

The system has been shut down.

Wykonałem już następujące czynności:

Przywrócenie starego klucza ControlSet,

Sprawdzenie klucza Control\Session Manager - dopisałem do SetupExecute (chyba) brakującą wartość poqexec.exe [...],

Wykonanie chkdsk,

Wykonanie sfc - raz dostałem informację 'pending', a za drugim razem, po wpisaniu lokalizacji systemu, że sfc nie może naprawić,

Zmieniłem nazwę SoftwareDistribution,

Wykonałem skan FRST - pozbyłem się jedynie klucza Windows NT/SystemRestore,

Sprawdziłem wpisy RunOnce, RunOnceEx,

Podmieniłem winlogon.exe i csrss.exe,

Spróbowałem wykonać przywacanie systemu - program zwrócił błąd

Nie wiem już za bardzo co mam zrobić, a w systemie mam dużo rzeczy i nie chce mi się teraz wszystkiego stawiać na nowo.

Wysyłam FRST.txt (plik kupa.exe to mój programik)

Pozdrawiam

@EDIT

Komputer jest w pełni sprawny.

FRST.txt