picasso

Teraz widzę, że raport jest z 2014 roku jeszcze. Nie wiem dlaczego nie ma nowszego.

vs.

System errors:

=============

Error: (01/24/2015 11:18:17 PM) (Source: Ntfs) (EventID: 55) (User: )

Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku.

Uruchom narzędzie chkdsk na woluminie C:.
 

Error: (01/24/2015 11:18:17 PM) (Source: Ntfs) (EventID: 55) (User: )

Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku.

Uruchom narzędzie chkdsk na woluminie C:.
 

Error: (01/24/2015 11:18:17 PM) (Source: Ntfs) (EventID: 55) (User: )

Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku.

Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume2.

1. Wywołaj nowe sprawdzanie dysku komendą chkdsk /f /r i zresetuj system. Powinien zostać nagrany nowy rekord - wklej wyniki.

2. Dopiero, gdy wykonasz sprawdzanie dysku, przeprowadź skan na naruszenia plików Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER:

sfc /scannow

Gdy komenda ukończy działanie, w cmd wklej kolejną:

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

Wynikowy log dołącz tutaj.

PS. Widzę, że korzystałeś z wątpliwego produktu DLLFixer - z daleka od takich wynalazków, można nabroić. W spoilerze drobne korekty na wpisy puste i odpadki adware. Nie mają jednak związku z problemem zasadniczym.

==================== Faulty Device Manager Devices =============
 

Name: avast! Firewall NDIS Filter Miniport

Description: avast! Firewall NDIS Filter Miniport

Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}

Manufacturer: ALWIL Software

Service: aswNdis

Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19)

Resolution: A registry problem was detected.

This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options:

On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard.

Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver.

CloseProcesses:
CreateRestorePoint:
S3 zgdcat; No ImagePath
S3 zgdcdiag; No ImagePath
S3 zgdcmdm; No ImagePath
S3 zgdcnet; No ImagePath
S3 zgdcnmea; No ImagePath
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 massfilter_lte; \??\C:\Windows\system32\drivers\massfilter_lte.sys [X]
ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} => No File
ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} => No File
ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} => No File
ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} => No File
ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} => No File
CHR HKU\S-1-5-21-682461631-3795882564-1583022148-1000\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-682461631-3795882564-1583022148-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-682461631-3795882564-1583022148-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
HKU\S-1-5-21-682461631-3795882564-1583022148-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM -> DefaultScope value is missing.
SearchScopes: HKLM-x32 -> DefaultScope value is missing.
SearchScopes: HKU\S-1-5-21-682461631-3795882564-1583022148-1000 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3306681&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP7F1F2992-7DB7-4668-8818-942EDA2EA8F3&q={SearchTerms}
SearchScopes: HKU\S-1-5-21-682461631-3795882564-1583022148-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3306681&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP7F1F2992-7DB7-4668-8818-942EDA2EA8F3&q={SearchTerms}
SearchScopes: HKU\S-1-5-21-682461631-3795882564-1583022148-1000 -> {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = http://www.mystart.com/results.php?pr=vmn&id=toolbarcleaner&v=1_1_1_4&ent=ch_4802&q={searchTerms}
SearchScopes: HKU\S-1-5-21-682461631-3795882564-1583022148-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
BHO-x32: No Name -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
ShellExecuteHooks-x32: - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - No File [ ]
CHR HKLM-x32\...\Chrome\Extension: [aohddidmgooofkgohkbkaohadkolgejj] - C:\Users\Soob\AppData\Local\Youdao\Dict\Application\stable\YDChromeTextExtractor.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [jfeamifeonnccnmggejamaikapdibimp] - No Path
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.30514.0\npctrl.dll No File
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\testlog.txt
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yahootc.xml
Task: {0830B297-349A-407D-B5FD-FBE685B9DCCA} - System32\Tasks\{31D1E1E9-B724-4E28-9D65-0AEACB3B40B7} => pcalua.exe -a C:\Users\Soob\Desktop\vcredist_x86.exe -d C:\Users\Soob\Desktop
Task: {20783438-550F-45C8-97F5-147F41023EB2} - System32\Tasks\DLL-files.com Fixer => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe
Task: {6FCA8E90-440F-4EC5-8DD5-621D079A3D00} - System32\Tasks\OptimizerPro1UpdaterTask{AE29BFE2-1241-4086-A447-4C28B29CE804} => C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exe 
Task: {84834236-7A05-47CA-B478-B644CBCBC7C3} - System32\Tasks\Installation App Launcher => C:\Program Files (x86)\Lexmark 3600-4600 Series\ezprint.exe
Task: {A2B9BF98-0C65-4146-A6FB-B3396DAA26B5} - System32\Tasks\{31B9440E-4B0D-4FC2-A723-EE51EDE9C5CA} => pcalua.exe -a D:\Manhunt\Manhunt\setup.exe -d D:\Manhunt\Manhunt
Task: {AEF3D121-4AC7-4058-AA81-E29BB94AB182} - System32\Tasks\DealPlyUpdate => C:\Program 
Task: {B0628BB6-CB65-4924-917C-F1A1B8337821} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\Program Files (x86)\DLLSuite
C:\ProgramData\APN
C:\ProgramData\TEMP
C:\ProgramData\Weskysoft
C:\Users\Soob\AppData\Roaming\LiveSupport.exe_log.txt
C:\Users\Soob\AppData\Roaming\mbam.context.scan
C:\Users\Soob\AppData\Roaming\regsvr32.exe_log.txt
C:\Users\Soob\AppData\Roaming\Mozilla\Extensions\celtx@celtx.com
C:\Users\Soob\AppData\Roaming\Solvusoft
C:\Windows\system32\roboot64.exe
EmptyTemp:

Link wklej.org jest błędny i zwraca błąd 404. Proszę wszystkie obowiązkowe logi (FRST i GMER) wstawić jako załączniki posta a nie na serwisach hostingowych. Każdy log jako osobny plik (nie scalać trewści plików).

Jezeli to prawda co pokazuje eFiXPro to mam uszkodzony plik Winmgmt

eFiX Pro firmy Reimage to niepożądany program: KLIK.

FRST nie widzi z niewiadomych przyczyn fixlist.txt

vs.

Brak zmian w skrypcie. Uruchomienie FRST powoduje przemapowanie liter i dysk z Windows będzie widziany pod C.

Pierwsze uruchomienie owszem z D - to było moje niedopatrzenie, bo przed uruchomieniem FRST jest inna litera. Tylko że jak już się FRST uruchomi następuje przetasowanie mapowania dysków w locie i po uruchomieniu FRST D staje się C. FRST więc powinien znaleźć Fixlist. W związku z tym, że uruchomiony FRST nie wyczuwa jego obecności skorzystaj z pendrive jak radzi Zappa (litera pendrive będzie statyczna i nie zmieni się w pamięci), ale rób to z RE a nie Trybu awaryjnego. W Trybie awaryjnym komendy CMD zrócą wyniki "Odmowa dostępu". Środowisko RE jest po to, by obejść problem uprawnień.

Dodatkowa drobna uwaga na temat6 tutoriala dotyczącego obsługi WinRe. Powiększenie pierwsze3go obrazka w pkt 4 w akapicie na temat dostępu lokalnego nie działa, link prowadzi do

Dzięki, poprawię. Znalazłam jeszcze kilka innych takich kwiatków w innych topikach. Chyba ostatnia aktualizacja forum coś skopciła.

Masz sprawdzić listę woluminów w konfiguracji Ochrony systemu, a nie w menedżerze partycji diskmgmt.msc.

EDIT: Pisałam nie widząc odpowiedzi wieslaw531.

Zadanie wykonane. możesz usunąć z dysku plik C:\Delfix.txt.

To tyle.

Zadanie wykonane. Teraz uruchom najnowszą wersję AdwCleaner. Wybierz Szukaj (nie stosuj na razie Usuń) i dostarcz raport z folderu C:\AdwCleaner

Proszę stosuj opcję Edytuj, gdy nikt jeszcze nie odpisał, a chcesz uzupełnić informacje. Wszystkie posty sklejam.

Cytat

MBAM nic nie znalazło szukam logu

I to Cię "martwi", że program nic nie znalazł? To bardzo dobrze, że wyników brak, system jest wyczyszczony porządnie. A te znaleziska Hitman to malutkie śmietki (związane z adware i ciastko) i nic szczególnego.

Cytat

Co dalej ?

vs.

picasso napisał:

Jak mówiłam, wgląd do listy zaszyfrowanym plików musi poczekać, bo lista gruba.

W międzyczasie możesz jeszcze zapuścić skan Kaspersky Virus Removal Tool. Domyślnie jest prowadzony ekspresowy przebieg, pełny skan ustawia się w opcjach.

Zasady działu się zmieniły, przestarzały OTL nie jest już obowiązkowy.

Jakaś infekcja blokuje mi avast, same usuwają nie się pliki pobierane bądź podczas pobierania jest 99% i wyskakuje błąd sieci.

Niestety mam bardzo niedobre wieści, system jest zainfekowany wirusem wykonywalnych Sality - wirus atakuje wszystkie pliki tego rodzaju na wszystkich dostępnych dyskach. Jego pobyt zwykle kończy się formatem dysku, nawet jeśli wirus zostanie "zdeaktywowany" (po wyczyszczeniu plików z kodu wirusa mogą powstać trwałe uszkodzenia o niemożliwym do oceny zakresie). Znaki Sality w Twoich raportach to losowe procesy z Temp i ukryty sterownik Sality (widzi go tylko GMER):

==================== Processes (Whitelisted) =================
 

() C:\DOCUME~1\Tomi\USTAWI~1\temp\eowwal.exe
 
 

---- Kernel code sections - GMER 2.1 ----
 

? C:\WINDOWS\system32\drivers\hiojf.sys Nie można odnaleźć określonego pliku. !
 

---- Devices - GMER 2.1 ----
 

Device \Driver\amsint32 \Device\amsint32 hiojf.sys
 

+ autoryzacje w Zaporze oznaczone opisem "ipsec".

Jest tu dysk twardy podzielony na dwie partycje oraz pendrive - wszystkie partycje są pod radarem Sality i nie wystarczy tylko format C:. Decyduj jakie działania podejmujesz: format (z dysków nie wolno skopiować żadnych plików wykonywalnych, czyli instalatorów programów / sterowników etc., gdyż zainicjują ponownie wirusa) czy próba ręcznego czyszczenia. Jeśli czyszczenie ręczne, to wstępne działania:

1. Uruchom SalityKiller. Należy wykonać skan do skutku, tzn. powtarzany kilka razy, aż do wyraźnego zwrotu "zero zainfekowanych".

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz GMER.

Kolejne poprawki:

1. Uruchom ponownie AdwCleaner, lecz tym razem zastosuj po kolei opcje Szukaj + Usuń. Gdy AdwCleaner ukończy pracę:

2. Otwórz Notatnik i wklej w nim:

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
RemoveDirectory: C:\ProgramData\Doctor Web
RemoveDirectory: C:\Users\Aga\Doctor Web
RemoveDirectory: C:\Users\Aga\Downloads\FRST-OlderVersion
RemoveDirectory: C:\zoek_backup
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Raporty z przestarzałego OTL nie są już brane tu pod uwagę. Obowiązkowe są raporty z nowoczesnego FRST.

Otóż ostatnio mam problem, bo wyskakuje mi komunikat, że plik msdt.exe jest uszkodzony, ale nie tylko ten plik

Temat założony w dziale diagnostyki infekcji. Póki co opisany problem jest z zupełnie innej kategorii (uszkodzona struktura plików). Temat przeniosę do Windows lub nawet do Hardware (może być tu bowiem problem złych bloków / usterka dysku).

Robiłem skan chkdsk ale nic nie wykazał takie, a przynajmniej nie porpawił.

Nie przedstawiłeś wyników skanu. Start > w polu szukania wpisz eventvwr.msc > w gałęzi Aplikacja wyszukaj zdarzenia ze źródłem Wininit relatywne do checkdiska > pobierz szczegóły rekordu, skopiuj i wklej do posta.

1. MBAM wykrył tylko drobny szczątek adware. Usuń za pomocą programu.

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

3. Na wszelki wypadek zmień hasła logowania w serwisach (bank / poczta / serwisy społecznościowe itd.).

To tyle.

"Punkt przywracania" nie został przez FRST utworzony, ponieważ ta usługa jest wyłączona.

Przepraszam, omyłkowo komendę wkleiłam, choć w Addition jest informacja o wyłączonym Przywracaniu. Widziałam ją, ale coś mnie zaćmiło.

"Ikonka" nadal się pojawia i zastanawiam się nad całkowitym odinstalowaniem Comodo i instalacją po wysprzątaniu pozostałości po obecnie zainstalowanym.

Działania podane we wcześniejszym poście nie miały związku z tą ikonką. To może być jakiś artefakt / bug bieżącej wersji COMODO. Nie jesteś odosobnionym przypadkiem, tu identyczny problem zgłoszony wczoraj: KLIK. Niestety nie miałam czasu wertować oryginalnego forum COMODO w poszukiwaniu informacji.

Java™ 6 Update 45 jest niezbędna dla OpenOffice 3.4.4-1 z 25.1.2012 używanego do dzisiaj. To taka odmiana pakietu przygotowana w Polsce przez firmę Ux Systems z Gliwic. Po tej wersji nie wypuścili następnych, próby z Javą 7 i Javą 8 dawały same kłopoty. Java do niczego innego nie jest w tym komputerze potrzebna. Sam OO do tej pory działa nienagannie, zaś podział OO na LO i AO wywołuje u mnie jedynie smutek, ponieważ nawet najnowsze wydania nie są tak niezawodne, jak ten stary.

W związku z tym doraźnie dla bezpieczeństwa wyłącz / zlikwiduj Java w przeglądarkach:

1. Firefox: upewnij się, że we wtyczkach Java jest wyłączona. A dodatkowe zbędne rozszerzenie pomocnicze ręcznie usuń, tzn. otwórz Notatnik i wklej w nim:

FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
FF Extension: Java Quick Starter - C:\Program Files\Java\jre6\lib\deploy\jqs\ff [2013-06-12]

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz tymczasowo COMODO. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

2. Internet Explorer: Opcje internetowe > Dodatki > Zarządzaj dodatkami > wyłącz obiekty związane z Java. To jednak nie jest deaktywacja całkowita. Więcej na temat Java w tym temacie: KLIK.

Wyłączenie wtyczki w konkretnej przeglądarce:

(...)

- Internet explorer: oficjalnie pełna deaktywacja tylko poprzez wyżej opisaną opcję, nieoficjalnie należy wykonać dodatkowe skomplikowane tweaki rejestru.

- Pozostałe przeglądarki udostępniają prostą deaktywację via własne opcje.

Wszystko wyłożone w artykule Sophos:

 

How to disable Java

Tylko czy to przypadkiem nie jest cały podstęp jakiegoś wirusa żeby komputer pracował bez ochrony?

Brak tu śladów infekcji. Programy mają zazębienie funkcyjne (aktywność na tej samej płaszczyźnie). Konflikt jest znacznie bardziej logicznym / prawdopodobnym scenariuszem, zwłaszcza w konfrontacji z FAQ producenta opisującym co zrobić, by dostosować program do współpracy z popularnymi antywirusami. Wymagane wykluczenia, program z automatu "nie koleguje się". Ostatecznie jeszcze możesz spróbować czy zadziała kompleksowa reinstalacja Avast + na świeżo konfiguracja wykluczenia w nim K9.

PS. A jeśli chodzi o przeprowadzone czyszczenie, to już prawie kończymy. Na wszelki wypadek jeszcze uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz raport z folderu C:\AdwCleaner.

A jak zrobie ten punkt 2 to co wtedy zostanie usunięte z mojego komputera?

Dokładnie to co widać w skrypcie - każda linia jest przedstawiona w konkretny sposób, widać skąd usuwam z rejestru lub dysku. Opisując ogólnie co usuwam: odpadkowe wpisy adware, wpisy puste oraz Tempy.

o do programow z punktu pierwszego to Bing Bar, Spybot i McAfee moge odinstalowac bo te tylko mi są zbedne a resztę potrzebuję.

Wyliczone Adobe Flash, Adobe Reader, GG10 i Java są stare (luki bezpieczeństwa). Dlatego jest podana deinstalacja, w ramach zabezpieczeń systemu. Na końcu po czyszczeniu systemu zostaną zastąpione najnowszymi wersjami. Jest na forum temat przeznaczony tej partii finalizacji tematu: KLIK. Na razie deinstalacja, nic nie instaluj nowego, dam wyraźny sygnał w odpowiednim czasie kiedy zainstalować najnowsze wersje.

Microsoft Security Essentials > co do tego programu to nie wiem on chyba był od zawsze tak mi sie wydaje? po co go usuwać?

MSSE nie jest preinstalowany na systemie Windows 7, został doinstalowany celowo ręcznie lub jako opcjonalna aktualizacja z Windows Update. A powód deinstalacji już był przedstawiony:

system jest też obciążony nadmiarem skanerów. Dwa antywirusy czynne równolegle, tzn. Avast + MSSE, a na dokładkę lewy SpyHunter i przestarzały Spybot.

System jest skatowany antywirusami, chodzą w tle równolegle skanery, co powoduje obciążenie zasobów i obniżenie wydajności. Nie wolno takich rzeczy robić, że jest zainstalowany więcej niż jeden antywirus z osłoną rezydentną. Zalecenie deinstalacji MSSE a nie Avast, gdyż ten drugi ma po prostu więcej funkcji.

Nadal brakuje trzeciego pliku FRST Shortcut. W przedstawionych tu raportach brak jakichkolwiek oznak infekcji. I szczerze wątpię w tę koncepcję, zwłaszcza w konfrontacji z działaniami rodzaju "resetowanie komputera do ustawień fabrycznych".

Podczas skanowania niestandardowego McAfee Total Protection wykrywane są pliki Rootkit lecz ten program antywirusowy nie rozpoznaje ich jako element niebezpieczny.

vs.

Natomiast co do "W ogóle nie podałeś w czym - proszę przeklej ze skanu te wyniki." przykro mi ale nie bardzo wiem o co Ci chodzi,

 

dodam tylko, o tym że skanowany jest plik Rootkit zorientowałem się obserwując skanowanie, gdzie w oknie dialogowym wyświetla się nazwa skanowanego pliku a na nazwie Rootkit skanowanie się zawiesza, na dość długo po czym jest wznawiane i tak jak poprzednio wspomniałem antywirus nic nie wykrywa.

Twierdzisz, że "wykryty rootkit", a skąd to wiesz = bo widzisz coś w oknie. Jeśli skaner nie nagrał tego w dziennikach / brak raportu tekstowego z wynikami skanowania, proszę pokaż mi zrzut ekranu z okna pokazującego owego "rootkita". I te dwie Twoje wypowiedzi są na pierwszy rzut oka sprzeczne ze sobą:

- Pierwsza: "wykrywane są pliki rootkit" = czyli wykrywana infekcja w konkretnej ścieżce dostępu = o to pytam: w jakiej ścieżce.

- Druga: "na nazwie Rootkit skanowanie się zawiesza" = wg tych słów skan się zawiesza na sekcji skanowania o nazwie "rootkit" = to nie jest detekcja infekcji tylko niemożność przeprowadzenia skanu pod kątem takowej infekcji.

Dopóki nie zobaczę okna jak Ty to widzisz, nie wiem którą interpretację obrać.

Nawiasem mówiąc, ten McAfee sypie błędami w Dzienniku zdarzeń. To może być antywirus, który nie gra z systemem i skończy się na jego deinstalacji / pozbyciu się na dobre.

Application errors:

==================

Error: (01/22/2015 09:03:22 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: Nazwa aplikacji powodującej błąd: mfevtps.exe, wersja: 15.1.0.684, sygnatura czasowa: 0x542344d9

Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.3.9600.17415, sygnatura czasowa: 0x5450559e

Kod wyjątku: 0xc0000374

Przesunięcie błędu: 0x00000000000f1340

Identyfikator procesu powodującego błąd: 0x166c

Godzina uruchomienia aplikacji powodującej błąd: 0xmfevtps.exe0

Ścieżka aplikacji powodującej błąd: mfevtps.exe1

Ścieżka modułu powodującego błąd: mfevtps.exe2

Identyfikator raportu: mfevtps.exe3

Pełna nazwa pakietu powodującego błąd: mfevtps.exe4

Identyfikator aplikacji względem pakietu powodującego błąd: mfevtps.exe5
 

System errors:

=============

Error: (01/23/2015 07:25:33 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Nie można uruchomić usługi McAfee Proxy Service z powodu następującego błędu:

%%1053
 

Error: (01/23/2015 07:25:33 PM) (Source: Service Control Manager) (EventID: 7009) (User: )

Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Proxy Service.
 

Error: (01/23/2015 07:25:33 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Nie można uruchomić usługi McAfee Personal Firewall Service z powodu następującego błędu:

%%1053
 

Error: (01/23/2015 07:25:33 PM) (Source: Service Control Manager) (EventID: 7009) (User: )

Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Personal Firewall Service.
 

Error: (01/23/2015 07:24:08 PM) (Source: DCOM) (EventID: 10005) (User: ZARZĄDZANIE NT)

Description: 1053mcpltsvcNiedostępny{20966775-18A4-4299-B8E3-772C336B52A7}
 

Error: (01/23/2015 07:24:08 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Nie można uruchomić usługi McAfee Platform Services z powodu następującego błędu:

%%1053
 

Error: (01/23/2015 07:24:08 PM) (Source: Service Control Manager) (EventID: 7009) (User: )

Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Platform Services.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Ok, to co powyżej już zrobiłam.

Tym się zajmiemy po wstępnym wyczyszczeniu systemu.

Natomiast przechodząc do czyszczenia i usprawniania systemu: widać tu inwazyjne odpadki adware (sterowniki), ale system jest też obciążony nadmiarem skanerów. Dwa antywirusy czynne równolegle, tzn. Avast + MSSE, a na dokładkę lewy SpyHunter i przestarzały Spybot. Działania wstępne:

1. Przez Panel sterowania odinstaluj stare wersje, zbędniki i nadmiar skanerów: Adobe Flash Player 13 Plugin, Adobe Reader X (10.1.4), Bing Bar, Gadu-Gadu 10, Java 7 Update 7, McAfee Security Scan Plus, Microsoft Security Essentials, Spybot - Search & Destroy, SpyHunter. Przy okazji możesz odinstalować i inne programy z których nie korzystasz.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
R1 {442ad619-2fad-4d96-9434-49e6d1c6e280}Gw64; C:\Windows\System32\drivers\{442ad619-2fad-4d96-9434-49e6d1c6e280}Gw64.sys [48792 2014-12-20] (StdLib)
R1 {db4225e9-90b8-4ca5-99da-da423e504d3d}Gw64; C:\Windows\System32\drivers\{db4225e9-90b8-4ca5-99da-da423e504d3d}Gw64.sys [48792 2014-12-19] (StdLib)
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
HKU\S-1-5-21-1130217176-4031021830-1519301973-1000\...\Run: [HW_OPENEYE_OUC_PLAY ONLINE] => C:\Program Files (x86)\PLAY ONLINE\UpdateDog\ouc.exe [110592 2009-04-14] (Huawei Technologies Co., Ltd.)
HKU\S-1-5-21-1130217176-4031021830-1519301973-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep"
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016&ts=1383916579&type=default&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016&ts=1383916579&type=default&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKU\S-1-5-21-1130217176-4031021830-1519301973-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=156
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016&ts=1383916579&type=default&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016&ts=1383916579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms}
CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Task: {8C46E089-36E6-4DDB-A563-72F4EEA5D19E} - System32\Tasks\{2BEBB58B-66C7-4C54-8A89-B4904585E017} => pcalua.exe -a "C:\Program Files (x86)\ASUS\RT-N12E Wireless Router Utilities\QISWizard.exe" -d "C:\Program Files (x86)\ASUS\RT-N12E Wireless Router Utilities" -c /nc
Task: {A8276233-DA3F-44C8-A68F-D6AB4EF82555} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe
Task: {E77D93BB-C2FF-4110-BA4F-903E1086C650} - System32\Tasks\Opera scheduled Autoupdate 1419004772 => C:\Program Files (x86)\Opera\launcher.exe
CHR HKLM\...\Chrome\Extension: [dchmpbaclbiioedakpcldenooikekokm] - C:\Users\User\AppData\Local\foxtab_speeddial.crx [2013-11-04]
CHR HKU\S-1-5-21-1130217176-4031021830-1519301973-1000\...\Chrome\Extension: [dchmpbaclbiioedakpcldenooikekokm] - C:\Users\User\AppData\Local\foxtab_speeddial.crx [2013-11-04]
CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path
CHR HKLM-x32\...\Chrome\Extension: [dchmpbaclbiioedakpcldenooikekokm] - C:\Users\User\AppData\Local\foxtab_speeddial.crx [2013-11-04]
CHR HKLM-x32\...\Chrome\Extension: [nneajnkjbffgblleaoojgaacokifdkhm] - C:\Program Files (x86)\DivX\DivX Plus Web Player\chrome\DivXHTML5\DivXHTML5.crx [2011-12-12]
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File
FF HKLM-x32\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\DivXHTML5
C:\Program Files (x86)\e6a75288-a604-433f-9ca8-633c471ed540
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\iWebar
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\Program Files (x86)\SourceApp
C:\Program Files (x86)\VpnOneClick
C:\Program Files (x86)\XTab
C:\Program Files (x86)\YouTube Accelerator
C:\ProgramData\{*}.log
C:\ProgramData\IHProtectUpDate
C:\ProgramData\Temp
C:\ProgramData\WindowsMangerProtect
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\User\AppData\Local\CrashDumps
C:\Users\User\AppData\Local\CrashRpt
C:\Users\User\AppData\Local\globalUpdate
C:\Users\User\AppData\Roaming\omiga-plus
C:\Users\Public\Documents\GOOBZO
C:\Users\Public\Documents\ShopperPro
C:\Users\Public\Documents\YTAHelper
C:\Users\User\Downloads\*.tmp
C:\windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
C:\Windows\System32\drivers\{442ad619-2fad-4d96-9434-49e6d1c6e280}Gw64.sys
C:\Windows\System32\drivers\{db4225e9-90b8-4ca5-99da-da423e504d3d}Gw64.sys
C:\windows\SysWOW64\GroupPolicy\GPT.INI
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bonus.SSR.FR11" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

4. Napraw uszkodzony specjalny skrót Internet Explorer. W pasku adresów eksploratora wklej poniższą ścieżkę i ENTER:

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

5. Zrób nowy log FRST z opcji Scan (zaznacz pola Addition i Shortcut, by powstały trzy logi). Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz pozytywne zmiany.

W związku z tym poproszę o pliki rejestru do ręcznego wglądu. Zajmie mi to sporo czasu i nie obiecuję, że dziś to przetworzę. Do Notatnika wklej:

CMD: md E:\Reg
CMD: xcopy /e C:\FRST\Hives E:\Reg

Plik zapisz pod nazwą fixlist.txt i umieść na E. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt oraz katalog E:\Reg. Katalog spakuj do ZIP, shostuj gdzieś i podaj link do paczki.

Analizą raportów zajmę się potem, bo teraz muszę się oddalić z forum. Wieczorem/nocą będę. Na szybko:

jeszcze gorszy problem usunęłam profil z chrome wraz z wszystkimi ważnymi zakładkami z artykułami do pobrania potrzebnymi mi do pisania pracy... i innymi mniej waznymi ..czy da sie to odzyskac w jakikolwiek sposob?

Da się odzyskać dane z kopii cieniowej systemu. Są tu następujące punkty Przywracania systemu:

==================== Restore Points =========================
 

20-01-2015 18:52:58 Windows Update

21-01-2015 16:15:03 Installed VpnOneClick

24-01-2015 02:51:14 Operacja przywracania

24-01-2015 03:02:05 avast! antivirus system restore point

24-01-2015 04:52:27 Operacja przywracania

24-01-2015 05:03:26 avast! antivirus system restore point

24-01-2015 05:20:40 Windows Update

24-01-2015 14:01:59 SPTD setup V1.86

Uruchom Shadow Explorer (portable). Z menu rozwijanego wybierz odpowiednio "starą" datę (czas gdy zakładki były). Następnie z boku w eksploratorze wyszukaj folder:

C:\Users\User\AppData\Local\Google\Chrome\User Data\Default

W środku powinny być pliki Bookmarks + Bookmarks.bak. Z prawokliku opcja Export i zapisz na Pulpicie. Albo nawet cały folder Default ze wszystkimi poprzednimi ustawieniami wyeksportuj na Pulpit. Wstawianiem tego z powrotem do Google Chrome zajmiemy się potem.

Hitman widzi tylko drobne szczątki. Wszystko usuń. Co ze skanem MBAM?

Przecież jest wiadomo który sterownik był związany z błędem = sterownik graficzny nVidia:

Próba skanowania zakończyła się niebieskim ekranem - sterownik ekranu nvlddmkm.sys spowodował błąd

Pytam czy błąd się powtarza, czy może był to jednorazowy incydent.

Fix wykonany. Uruchom Malwarebytes Anti-Malware. Przy instalacji odznacz opcję trial. Wykonaj pełny skan systemu. Jeśli coś wykryje, przedstaw wynikowy raport.

BSOD relatywny do sterownika karty graficznej. Sprawdź czy to jest powtarzalne.

Czarny ekran występuje na którym z etapów: zaraz po "BIOSowym" ekranie, w miejscu gdzie się pokazuje logo Windows, w miejscu ekranu powitalnego, czy dopiero jak już "wchodzisz na Pulpit"?

Czy da się uruchomić Tryb awaryjny z obsługą Wiersza polecenia?

Cytat

Przepraszam może coś przeoczyłem ale cyt: Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. - nie było usun dlatego zapytałem.

Tak, nie było, bo AdwCleaner nie jest wolny od błędów i fałszywych alarmów, dlatego najpierw sprawdzam w trybie "tylko do odczytu". Po jego weryfikacji zadałam czynności usuwające.

Jak mówiłam, wgląd do listy zaszyfrowanym plików musi poczekać, bo lista gruba. A teraz:

1. Już ostatnie poprawki. Otwórz Notatnik i wklej w nim:

HKU\S-1-5-21-3326234350-4050991087-374296464-1005\...\RunOnce: [scrSav] => C:\Windows\Screensavers\PackardBell\run_PackardBell
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicyUsers\S-1-5-21-3326234350-4050991087-374296464-1002\User: Group Policy restriction detected <======= ATTENTION 
SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1005 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
RemoveDirectory: C:\ProgramData\AVAST Software
RemoveDirectory: C:\Users\Public\Desktop\CC Support
RemoveDirectory: C:\Users\Wujo\AppData\Local\IDTool
CMD: del /q "C:\Users\Wujo\Desktop\programy\Adobe Reader X.lnk"
CMD: del /q "C:\Users\Wujo\Downloads\Avast! Premier 2015 10.0.2206 + Crack [bRSHARES].exe"
CMD: del /q C:\Users\Wujo\Downloads\avast_premier_antivirus_setup_online.exe
CMD: del /q C:\Users\Wujo\Desktop\cccc.log
CMD: del /q C:\fix.txt
CMD: del /q C:\Windows\SetACL.exe
CMD: del /q C:\Windows\Minidump\*.dmp
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\avast! Antivirus" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\avast! Firewall" /f
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Pokaż wynikowy fixlog.txt.

2. Dla pewności zrób peny skan komputera za pomocą zainstalowanego MBAM. Dodatkowo jeszcze Hitman Pro. Jeśli coś znajdą, dostarcz raporty.