picasso

Log wykazuje, że brakuje pliku rozruchowego XP: NTDETECT.COM. Uzupełnij plik i zobaczymy jakie rezultaty osiągniesz. 1. Przesyłam plik. Umieść go wprost na partycji C (etykieta SYSTEM). 2. Spróbuj uruchomić XP... .

Brak podstaw do teorii "syfów", jedynie pusty szczątek adware, co nie powinno mieć znaczenia. Tu podejrzenia budzi raczej odwrotność, czyli ESET (oprogramowanie zabezpieczające ma silny wpływ na tę partię). Notuję tu także: uruchomiony crack KMService do Office (nie bez znaczenia dla startu), odpadkową usługę po odinstalowanym IOBit oraz wyłączoną usługę Zapory systemu, co jest notowane w postaci poniższego błędu w Dzienniku zdareń. ==================== MSCONFIG/TASK MANAGER disabled items ========= MSCONFIG\Services: MpsSvc => 2 System errors: ============= Error: (09/05/2014 00:02:42 AM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa Usługa nasłuchująca grup domowych zakończyła działanie; wystąpił specyficzny dla niej błąd %%-2147023143. Wstępnie zrekonfiguruj usługę, usuń szczątki i przeczyść lokalizacje tymczasowe. Otwórz Notatnik i wklej w nim: S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2282272 2014-08-19] (IObit) HKU\S-1-5-21-129265271-3525497852-1072832283-1001\...\Run: [browser Extensions] => "C:\Users\KoneQ\AppData\Roaming\Browser Extensions\CouponsHelper.exe" StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - {4122525B-53C6-4273-9E14-585991AE13D9} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=198484&p={searchTerms} BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll No File Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File C:\Program Files (x86)\IObit C:\ProgramData\IObit C:\ProgramData\Norton C:\Users\KoneQ\AppData\Roaming\IObit C:\Windows\Tasks\ImCleanDisabled CMD: sc config MpsSvc start= auto Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log. Wypowiedz się czy widzisz jakąś poprawę. .

Zadany skrypt wykonany. Może AVG jest przyczyną, jego komponenty mają związki z filtrowaniem / skanowaniem otwieranych stron. Dodatkowo, w Dzienniku zdarzeń jest zestaw następujących błędów: Application errors: ================== Error: (09/01/2014 09:00:01 AM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: ZARZĄDZANIE NT) Description: Pomijanie: nie można zweryfikować Eap method DLL path name. Błąd: identyfikator typu=43, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Error: (09/01/2014 09:00:01 AM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: ZARZĄDZANIE NT) Description: Pomijanie: nie można zweryfikować Eap method DLL path name. Błąd: identyfikator typu=25, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Error: (09/01/2014 09:00:01 AM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: ZARZĄDZANIE NT) Description: Pomijanie: nie można zweryfikować Eap method DLL path name. Błąd: identyfikator typu=17, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Dodaj skan zawartości problematycznego klucza. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\System\CurentControlSet\Services\Eaphost\Methods /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Kolejna porcja czynności wg podanego wyżej schematu: 1. W Notatniku tworzysz pliki o poniższych nazwach, a każdy zapisujesz na Pulpicie: fix1.txt "\\?\C:\Documents and settings",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" fix2.txt "\\?\C:\Users\Default\AppData\Local\Application Data",1,"O:SYD:AI(D;;CC;;;WD)" fix3.txt "\\?\C:\Users\Default\Local Settings",1,"O:SYD:AI(D;;CC;;;WD)" fix4.txt "\\?\C:\Users\Default User",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" 2. Skrypt do FRST: CMD: SetACL -on "C:\Documents and settings" -ot file -actn restore -bckp C:\Users\Owner\Desktop\fix1.txt CMD: SetACL -on "C:\Users\Default\AppData\Local\Application Data" -ot file -actn restore -bckp C:\Users\Owner\Desktop\fix2.txt CMD: SetACL -on "C:\Users\Default\Local Settings" -ot file -actn restore -bckp C:\Users\Owner\Desktop\fix3.txt CMD: SetACL -on "C:\Users\Default User" -ot file -actn restore -bckp C:\Users\Owner\Desktop\fix4.txt CMD: DIR /AL /S C:\ Dostarcz wynikowy fixlog.txt. .

Niestety z raportu FRST nic kompletnie nie wynika. Podaj mi skan pod kątem obecności plików rozruchowych XP. 1. Otwórz Notatnik i wklej w nim: CMD: dir /a C:\ CMD: type C:\boot.ini File: C:\Bootfont.bin Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 2. Wejdź do środowiska zewnętrznego. Uruchom FRST, wybierz system XP, kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Naprawa wykonana. 1. Usuń ręcznie używane narzędzia z folderu C:\Users\Bartaz\Desktop\Potrzeba. Zastosuj też narzędzie DelFix. 2. Wykonaj pełny skan za pomocą Malwarebytes Anti-Malware (przy instalacji odznacz trial). Jeżeli coś zostanie wykryte, przedstaw raport. .

W logu pakiet GData objawiał się jako świeża instalacja i miałam przypuszczenia, że może filtrować klawiaturę. Owszem, tak jest, siedzi tu na klasie klawiatur niedomyślny filtr GDKBFlt: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} Class REG_SZ Keyboard UpperFilters REG_MULTI_SZ GDKBFlt\0kbdclass\0\0 REG_SZ Klawiatury Icon REG_SZ -3 Installer32 REG_SZ SysSetup.Dll,KeyboardClassInstaller NoInstallClass REG_SZ 1 TroubleShooter-0 REG_SZ hcp://help/tshoot/hdw_keyboard.htm Proponuję go zdjąć i zobaczymy czy klawiatura wróci do normy. Akcja: 1. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 2. Wejdź w Tryb awaryjny Windows (pakiet Gdata nieczynny). Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Dostarcz wynikowy fixlog.txt oraz wypowiedz się czy widzisz jakieś zmiany. .

Jakie wirusy? Przeklej wyniki.

Temat wydzieliłam w osobny, proszę nie podpinaj się do cudzych tematów. Narzędzie tworzy również katalogi C:\Windows\Checksur (rozpakowana forma narzędzia) i C:\Windows\Temp\Checksur (tymczasowe miejsce do wykonywania napraw). I skoro narzędzie używałeś, to zaprezentuj ten CheckSUR.log oraz wyjaśnij od czego się zaczęło, tzn. jaki konkretnie problem wystąpił w systemie. .

Jaki rodzaj błędu? I czy skorygowałeś czas komputera?

Ta łata jest wymogiem do instalacji dodatku SP1 (również może być wymagana do kontynuowania dalszych aktualizacji) oraz nie posiada normalnej opcji deinstalacji. Opisy: KB2505743 + KB2533552. W teorii usuwanie wymagałoby większej gimnastyki, musiałoby mieć bardzo dobre uzasadnienie (afunkcyjny system z winy tej konkretne aktualizacji) i mogłoby pociągnąć pewne konsekwencje (możliwe problemy z aktualizacjami). Podstawowe pytanie: jaki jest cel deinstalacji, jakie rezultaty chcesz osiągnąć, o co w ogóle Ci chodzi? Czy to ma coś wspólnego z tym tematem: KLIK? .

Skrypt wykonany. Usuń używane narzędzia i popraw via DelFix. To sugeruje jedno z dwóch: uszkodzone pliki lub problem z powiązanymi kodekami. Zacznij od banalnej sprawy, tzn. start do Trybu awaryjnego z Wierszem polecenia, czyli bez załadowanej powłoki eksplorer, i wywołanie komendy: del /q C:\Users\Nordvendor\Desktop\*.wav Po akcji zdaj mi raport czy w trybie normalnym ustąpiło obciążenie explorer.exe i dllhost.exe. .

Czy wszystkie komendy SetACL się wykonały poprawnie? Poproszę o spis uprawnień. Otwórz Notatnik i wklej w nim: ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\BFE ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\BFE\Parameters ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\BFE\Parameters\Policy ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\BFE\Parameters\Policy\BootTime ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\BFE\Parameters\Policy\BootTime\Filter ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\BFE\Parameters\Policy\Persistent ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\BFE\Parameters\Policy\Persistent\Filter ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\BFE\Parameters\Policy\Persistent\Provider ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\BFE\Parameters\Policy\Persistent\SubLayer ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\MpsSvc ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords\DHCP ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords\IPTLSIn ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords\IPTLSOut ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords\RPC-EPMap ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords\Teredo ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Defaults ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Defaults\FirewallPolicy ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Defaults\FirewallPolicy\DomainProfile ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Defaults\FirewallPolicy\DomainProfile\Logging ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Defaults\FirewallPolicy\FirewallRules ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Defaults\FirewallPolicy\PublicProfile ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Defaults\FirewallPolicy\PublicProfile\Logging ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Defaults\FirewallPolicy\StandardProfile ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Defaults\FirewallPolicy\StandardProfile\Logging ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Epoch ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Epoch2 ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\Logging ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\AuthorizedApplications ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\GloballyOpenPorts ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\Logging ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\Logging Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. .

"36-bitowy" = 32-bitowy, czyli x86. Ta informacja i tak nie jest potrzebna, bo widać ją we wszystkich logach. Póki co, w podanych raportach widzę jakąś podejrzaną usługę "rpcsync.exe" oraz drobne odpadki adware. Z podanych niżej działań tylko usunięcie owej usługi "rpcsync" może mieć ewentualne odbicie w działania systemu, reszta wpisów bez znaczenia dla problemu. Jeśli po wykonaniu skryptu nie będzie poprawy, pierwszy podejrzany to właśnie Comodo Internet Security. Silny wpływ na punktowane partie, ponadto program jest stary (sterowniki i inne komponenty datowane na rok 2011). By się o tym przekonać na 100%, należy program całkowicie odinstalować (i tak to stara wersja). Dodatkowo pozbyć się też zbędnika GeekBuddy montowanego z Comodo. Na razie zadaję usunięcie owej usługi oraz szczątków: 1. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Otwórz Notatnik i wklej w nim: R2 rpcsync; C:\windows\system32\rpcsync.exe [81408 2013-06-19] () [File not signed] HKLM\...\Run: [] => [X] GroupPolicyUsers\S-1-5-21-1624614489-1438924107-3198493719-1002\User: Group Policy restriction detected SearchScopes: HKLM - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://startsear.ch/?aff=1&src=sp&cf=1046d46c-c77f-11e1-a336-0024548346dd&q={searchTerms} BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF Extension: No Name - C:\Users\Magdalena\AppData\Roaming\Mozilla\Firefox\Profiles\7rnlhl31.default\extensions\plugin@yontoo.com.xpi [] CHR HKLM\...\Chrome\Extension: [bildoibdboopgomcbiplincneeicgipj] - C:\Program Files\StartSearch plugin\startsplg.crx [] S2 vToolbarUpdater18.1.9; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\18.1.9\ToolbarUpdater.exe [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] Task: {02285EE3-3512-4AD5-BFC1-9FFCE0363747} - System32\Tasks\{5F62850B-BD3D-43C9-A111-2644E32C06EA} => Chrome.exe Task: {02960220-2F5C-42F4-B9E9-DDCD22677AB0} - System32\Tasks\ReclaimerUpdateXML_piotr => C:\Users\piotr\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.30\agent\rnupgagent.exe Task: {1078469C-FE65-4574-BE2E-1D6FD3726996} - System32\Tasks\{2763F6BE-209B-42EF-8D9F-BAB76D9D4EE9} => C:\Program Files\Sunflower\ANNO1602\player.exe Task: {159B0197-6AD7-4EDC-B6E4-627BF3F78284} - System32\Tasks\{120F7474-A17A-4F0C-94B8-147DE88DEBA2} => c:\program files\opera\opera.exe [2013-02-12] (Opera Software) Task: {26232A1C-A362-4077-8167-7B87A4E5691F} - System32\Tasks\systems => C:\Users\Magdalena\AppData\Roaming\rjeep.exe Task: {35007E14-3461-4217-8E1D-1A93F38DD9F3} - System32\Tasks\{8408AC31-7EEC-451B-8DD7-B45B46599CA8} => C:\Program Files\Sunflower\ANNO1602\player.exe Task: {3D1696AF-2082-4FC0-B13C-21123A49CFFE} - System32\Tasks\{DA585B9B-882C-4596-AD8E-238F58303647} => Chrome.exe Task: {4B0625EE-AAE2-4F4C-8266-5C8B6B86F54C} - System32\Tasks\fbagent => C:\Users\Magdalena\AppData\Roaming\din.exe Task: {879FCB0C-BB4D-4BC9-942E-908011628779} - System32\Tasks\{6F01CAA6-3A8A-4087-9E52-FDC3308CBA7E} => C:\Users\Magdalena\Desktop\SketchUp.exe Task: {953C71AB-9D52-4EA4-A10A-5730D2331CFD} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\windows\TEMP\{F575893D-455C-49F0-A3B1-B4457AA35A40}.exe Task: {A5058CAC-72E8-4E77-8254-AAD425DC3C14} - System32\Tasks\{2758BA8E-A19B-41E3-8B9E-ECC6A690A31E} => Chrome.exe Task: {C8DFC4DA-B2D3-4AE9-8EB1-111E8CDDBF71} - System32\Tasks\RNUpgradeHelperResumePrompt_piotr => C:\Users\piotr\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.30\agent\rnupgagent.exe Task: {E2920D46-15D2-4F3A-9635-918495960855} - System32\Tasks\{40E6C741-3884-4E01-817A-26F09B33BF25} => Chrome.exe Task: C:\windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\windows\TEMP\{F575893D-455C-49F0-A3B1-B4457AA35A40}.exe Task: C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\windows\Tasks\ReclaimerUpdateFiles_piotr.job => C:\Users\piotr\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.30\agent\rnupgagent.exe Task: C:\windows\Tasks\ReclaimerUpdateXML_piotr.job => C:\Users\piotr\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.30\agent\rnupgagent.exe Task: C:\windows\Tasks\RNUpgradeHelperLogonPrompt_piotr.job => C:\Users\piotr\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.30\agent\rnupgagent.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\ProgramData\Avg_Update_0814tb C:\ProgramData\Temp C:\windows\system32\rpcsync.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: del /q C:\windows\system32\sqlite3.dll CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 3. Przejdź w Tryb awaryjny Windows - to konieczne, by unieruchomić Comodo, który wpłynie negatywnie na FRST i zabroni mu modyfikacji. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dostarcz też ów wynikowy fixlog.txt oraz logi z folderu C:\AdwCleaner, by było wiadome co program usuwał. .

Teraz poszło OK, usługi odbudowane. Została drobna sprawa do korekty, czyli odtworzenie brakującej ikony Centrum zabezpieczeń. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC} /v AutoStart /t REG_SZ /d "" /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Dostarcz wynikowy fixlog.txt. .

Temat założony w złym dziale. Przenoszę do sekcji diagnostyki indekcji. Brakuje obowiązkowych logów z FRST i GMER. Dostarcz je. Z tym, że: Podawanie logów FRST z poziomu Windows 7 przedstawi tylko układ dysków, brak jednak jakichkolwiek informacji o XP. Zrób więc także log FRST z poziomu środowiska zewnętrznego, wybierając do skanu XP. Widows 7 32-bit ma tę samą podatność na Sality, ale systemy 64-bit (tu taki jest) są mniej dotknięte, tzn. tylko 32-bitowe pliki są niszczone. .

Na zakończenie wykonaj aktualizaję Java: KLIK. Wersja obecna w systemie (odinstaluj i zastąp najnowszą wersją 32-bit): ==================== Installed Programs ====================== Java 7 Update 55 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.550 - Oracle) .

1. Brakuje pliku fixlog.txt uzyskanego z przetwarzania skryptu FRST. Dołącz. 2. Odbudowa usług niepomyślna. Ponownie uruchom Services Repair, zresetuj system i podaj log z Farbar Service Scanner. .

W Trybie awaryjnym Windows uruchom następujący skrypt do FRST: RemoveDirectory: C:\RECYCLER Windows zregeneruje Kosz. .

Na samym początku tematu nie zainstalowałbyś żadnego antywirusa (lub zainstalowany by nie działał) ze względu na infekcję rootkitem Necurs (blokuje masowo sterowniki). To zupełnie co innego. Ja komentuję stan już po usunięciu rootkita Necurs i błąd "Nie można uzyskać dostępu do Instalatora Windows". ESET jest oparty na tym instalatorze, Avast nie, dlatego Avast dało się zainstalować. Skrypt wykonany. Jeśli chodzi o dane Instalatora Windows, to odpowiem potem. Muszę porównać to z wirtualnym systemem XP, który aktualnie nie jest u mnie uruchomiony. .

1. Aktualizacje ekstraktują pliki przed ich instalacją na dany dysk oceniony jako posiadający największą ilość wolnego miejsca. Po instalacji łat to odpadki do usunięcia. Ten rodzaj plików jest przetrzymywany w katalogu głównym danego dysku w folderach o losowych heksadecymalnych nazwach. 2. Natomiast zainstalowane aktualizacje tworzą kopie zapasowe umożliwiające deinstalację danej łaty. Usunąć je można, lecz to uniemożliwi deinstalację. Ten rodzaj plików jest grupowany w ukrytych folderach typu C:\Windows\$NtUninstall.... Więcej na ten temat w artykule: KLIK. .

Skrypt możesz uruchomić ponownie w Trybie awaryjnym, tylko trzeba go dostosować do tego co jest w systemie, czyli: S3 GMSIPCI; \??\J:\INSTALL\GMSIPCI.SYS [X] S2 LckFldService; C:\WINDOWS\system32\LckFldService.exe [X] HKU\S-1-5-21-1060284298-1897051121-1801674531-1003\...\Run: [] => [X] EmptyTemp: On nie ma zbyt dużego znaczenia, usunięcie kilku pustych wpisów i czyszczenie Temp oraz cache / cookies / historii przeglądarek. .

Temat przenoszę do działu Windows. Brak podstaw do szukania infekcji. W spoilerze masz doczyszczanie szczątków adware (głównie qone8) oraz po odinstalowanym BitDefender. Brak konkretów w raportach. Jedyne co się rzuca w oczy, to duża ilość procesów PostgreSQL, a ich redukcja byłaby równoznaczna z wyłączeniem komponentu. Nie jest wykluczone również, że wpływ może mieć oprogramowanie zabezpieczające, czyli tu Anvi Smart Defender. Wstępnie: 1. Zacznij od klasycznej procedury wyłączenia zbędnych wpisów startowych. Uruchom Autoruns i w karcie Logon odznacz te wszystkie wpisy: HKLM-x32\...\Run: [sunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation) HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated) HKLM-x32\...\Run: [smart File Advisor] => C:\Program Files (x86)\Smart File Advisor\sfa.exe [283712 2013-07-24] (Filefacts.net) HKLM-x32\...\Run: [sFAUpdater] => C:\Program Files (x86)\Smart File Advisor\SFAUpdater.exe [620608 2013-10-08] (Filefacts.net) HKU\S-1-5-21-1288890564-1172388754-1821981085-1001\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\chomikbox.exe [6033408 2014-03-26] ( ) HKU\S-1-5-21-1288890564-1172388754-1821981085-1001\...\Run: [skype] => C:\Program Files (x86)\Skype\Phone\Skype.exe [21444224 2014-05-08] (Skype Technologies S.A.) HKU\S-1-5-21-1288890564-1172388754-1821981085-1001\...\Run: [screenshooter] => C:\Program Files (x86)\ScreenShooter\screenshooter.exe [606208 2010-09-03] () HKU\S-1-5-21-1288890564-1172388754-1821981085-1001\...\Run: [uTorrent] => C:\Users\Robert\AppData\Roaming\uTorrent\uTorrent.exe [1264464 2014-06-02] (BitTorrent Inc.) HKU\S-1-5-21-1288890564-1172388754-1821981085-1001\...\Run: [iPLA!] => C:\Program Files (x86)\ipla\ipla.exe [21421664 2014-08-12] (Redefine Sp z o.o.) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RescueTime.lnk W karcie Services wyłącz AdobeARMservice, SkypeUpdate, WinDefend. By widzieć ten ostatni, należy włączyć pokazywanie wpisów Microsoftu. Zresetuj system. 2. W przypadku braku rezultatów dostacz tego rodzaju materiały: KLIK. .

Zdejmowanie atrybutów z folderów na obu urządzeniach pomyślnie wykonane. Jednakże opór stawił jeden plik. Z poziomu Trybu awaryjnego Windows spróbuj ręcznie skasować te dwa pliki: E:\AUTORUN.INF H:\AUTORUN.INF Zostaje kwestia poprzednich urządzeń, które nie zostały przetworzone: ################## | Disk Information | E:\ -> Removable disk # 15 Gb (12 Gb free - 84%) [] # FAT32 H:\ -> Removable disk # 4 Gb (570 Mb free - 15%) [] # FAT32 Czy nadal je posiadasz? .

Pomijając zawirowania ze skryptem, zadania zostały pomyślnie wykonane i log końcowy nie pokazuje już obiektów malware. Kolejna porcja czynności: 1. Usuń używane narzędzia za pomocą DelFix. 2. Masz zainstalowany Malwarebytes Anti-Malware. Dla pewności wykonaj nim pełny skan komputera. Ewentualne wykrycia przedstaw. .