Landuss

Jeszcze nie do końca jest dobrze bo nadal widnieje jeden wpis O10. Wklej do notatnika: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 "Serial_Access_Num"=dword:00000020 "Num_Catalog_Entries64"=dword:00000006 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Do pokazania dajesz nowy log z OTL (bez ekstras)

Wpisy siedzą jak przylepione: O27:[b]64bit:[/b] - HKLM IFEO\avastSvc.exe: Debugger - C:\Windows\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\avastUI.exe: Debugger - C:\Windows\SysNative\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\avastSvc.exe: Debugger - C:\Windows\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\avastUI.exe: Debugger - C:\Windows\SysWow64\svchost.exe (Microsoft Corporation) Kolejny skrypt o takiej zawartości: :Processes killallprocesses :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastSvc.exe] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastUI.exe] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastSvc.exe] [-HKEY_LOCAL_MACHINE\\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastUI.exe] :Commands [reboot] Nowy log z OTL do oceny (bez ekstras)

Jest w porządku. Do wykonania czynności końcowe: 1. Użyj opcji Sprzątanie z OTL oraz Delete z AdwCleaner. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 1

To by było na tyle. Użyj opcji Sprzątanie z OTL oraz opróżnij folder przywracania systemu: KLIK Microsoft Security Essentials

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\v9Soft C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\AskToolbar :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{B5C7055E-7998-4180-8F2A-3D5817EC95AD}" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"="about:blank" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Secondary Start Pages"="about:blank" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{B5C7055E-7998-4180-8F2A-3D5817EC95AD}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EDFB5244-1A98-4E68-9B8F-411761F910F6}] :OTL O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [stmRst] C:\WINDOWS\StmClean.exe File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Musisz jaśniej napisać jaki konkretnie błąd się pojawia? Nawet w awaryjnym tak jest?

Gdybym wcześniej skojarzył fakty i zauważył to co przeoczyłem to już dawno by się to wykonało Została tylko poprawka drobna do wykonania. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Martyna\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O4:64bit: - HKLM..\Run: [intelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found O27:64bit: - HKLM IFEO\avastSvc.exe: Debugger - C:\Windows\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\avastUI.exe: Debugger - C:\Windows\SysNative\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\avastSvc.exe: Debugger - C:\Windows\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\avastUI.exe: Debugger - C:\Windows\SysWow64\svchost.exe (Microsoft Corporation) :Commands [reboot] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera i pokaż nowy log z OTL.

Tak się teraz przyjrzałem i tu też jest debuger na regedit nalożony więc może być w tym rzecz. Zmieniam zalecenia. Spróbuj inaczej. Wklej do OTL taki skrypt: :OTL O27 - HKLM IFEO\regedit.exe: Debugger - C:\Users\Martyna\AppData\Roaming\Protector-yng.exe reg File not found O27:64bit: - HKLM IFEO\regedit.exe: Debugger - C:\Users\Martyna\AppData\Roaming\Protector-yng.exe reg File not found :Commands [reboot] Kliknij w Wykonaj skrypt i zatwierdź restart. Następnie spróbuj wykonać FIX.REG, który zaleciłem ze scaleniem w poście 2. JEśli się powiedzie zaprezentujesz nowy log z OTL.

Możesz zainstalować, nie ma problemu. Tak zmiana dotyczy wszystkich serwisów - to tak na wszelki wypadek. Nie ma takiej możliwości - to infekcja, która występuje tylko na dysku systemowym. Temat jako rozwiązany zamykam.

Według logów wszystko jest w porządku. Można zająć się czynnościami końcowymi. 1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\Właściciel\Pulpit\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK

1. Przejdź w panel usuwania programów i odinstaluj stamtąd te zbędne pozycje: pdfforge Toolbar v5.1 / Akamai NetSession Interface Service / Facemoods Toolbar / vShare.tv plugin 1.3 Usuwanie popraw narzędziem AdwCleaner z opcji Delete 2. Pokazujesz nowe logi z OTL oraz log z AdwCleaner z opcji Search

Jest prawie dobrze, jedynie Winsock nadal nie został zresetowany do domyślnej postaci więc trzeba to zrobić w inny sposób. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset Podaj co się pokazuje po jej wykonaniu. Załącz też nowy log z OTL do wglądu.

Program zapewne pytał się gdzie zapisać plik rejestru dlatego to ty sam powinieneś sobie odpowiedzieć. Zapewne jest gdzieś w katalogu narzędzia

Według FSS usługi zostały przywrócone mimo błędu, o którym pisałeś. Jedynie log pokazuje, że nie są uruchomione więc wykonaj tą czynność tak jak wcześniej pisałem w punkcie drugim. Teraz można już przejść do czynności końcowych. 1. Wciśnij kombinacje klawisza z flagą Windows + R wpisz CMD a następnie wklej i wywołaj polecenie "C:\Users\Marcin\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL oraz najpierw opcji Delete z AdwCleaner a potem opcji Uninstall. 3. Opróżnij folder przywracania systemu: KLIK 4. Zmień hasła logowania do serwisów na wszelki wypadek. 5. Do aktualizacji poniżej wymienione programy: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV:64bit: - [2009-07-14 02:39:46 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Auto | Running] -- C:\Windows\SysNative\e1express.dll -- (LwUsbHid) O2:64bit: - BHO: (Webroot Browser Helper Object) - {c8d5d964-2be8-4c5b-8cf5-6e975aa88504} - C:\ProgramData\WRData\pkg\LPBar64.dll File not found O2 - BHO: (no name) - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (Webroot Toolbar) - {97ab88ef-346b-4179-a0b1-7445896547a5} - C:\ProgramData\WRData\pkg\LPBar64.dll File not found O4 - HKLM..\Run: [combofix] C:\ComboFix\CF12951.3XE /c C:\ComboFix\Combobatch.bat File not found :Files netsh winsock reset /C :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zaprezentujesz na forum. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz log powstały z usuwania oraz nowy log z OTL ze skanu (bez ekstras)

No właśnie nic nie jest poprawione. To jest nadal jeden i ten sam log czyli ekstras. Ja potrzebuję log otl.txt

W takim razie wygląda na to, że infekcja już nie jest aktywna i logi by to potwierdzały. Do usunięcia jest jednak sporo pustych usług. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files netsh firewall reset /C :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\pohci13F.sys -- (pohci13F) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btwusb.sys -- (BTWUSB) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwdndis.sys -- (BTWDNDIS) DRV - File not found [Kernel | Boot | Stopped] -- system32\drivers\btkrnl.sys -- (BTKRNL) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btport.sys -- (BTDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btaudio.sys -- (BtAudio) :Commands [reboot] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Format to tylko ostateczność, ale na razie odsuń tą myśl na bok. Pobierz narzędzie RegBack, umieść w katalogu C:\Windows, przejdź w Tryb awaryjny i uruchom program klikając bezpośrednio jego plik w C:\Windows. Wynikową kopię rejestru zapakuj do ZIP i wyślij na jakiś serwis hostingowy podając tu link.

Wklejony został tu dwa razy log ekstras. Popraw to i załącz też otl.txt

W takim razie wykonuj mimo wszystko dalsze kroki i załącz wymagane logi.

Katalog c:\windows\assembly\temp\u pochodzi od infekcji ZeroAccess i jest ona tutaj w stanie aktywnym. Zacznij od zastosowania poniższych kroków: 1. Zacznij od użycia z trybu awaryjnego ComboFix i wklej wynikowy log. 2. Po działaniu ComboFix wykonaj z trybu normalnego nowe logi z OTL i załącz do posta.

Tym razem usunięte jak należy. na koniec do wykonania: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione oprogramowania do najnowszych wersji: Internet Explorer (Version = 7.0.5730.11) "{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30 "Adobe Acrobat 5.0" = Adobe Acrobat 5.0 "Mozilla Firefox (3.6.28)" = Mozilla Firefox (3.6.28) Szczegóły aktualizacyjne: KLIK BTW: odinstaluj zbędny NCH Toolbar.

Tak jak się spodziewałem import do rejestru wykonał się poprawnie. W takim razie to już wszystko i można przejść do kroków finalnych. 1. Wciśnij kombinację klawisza z flagą Windows + R wpisz CMD następnie wklej i wywołaj polecenie "C:\Users\Mentor\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Na wszelki wypadek zmień hasła logowania do serwisów bo tego typu infekcja lubi takie dane łowić. 4. Opróżnij folder przywracania systemu: KLIK

ComboFix usunął infekcję, ale trzeba tutaj podjąć jeszcze kilka kroków. Między innymi nie zostały przywrócone usługi, o których wyżej pisała @picasso i będziesz to robił ręcznie. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- \.\globalroot\C:\Windows\system32\svchost.exe -- (tfsnopio) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ehstart.dll -- (rpskt) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\NMSCFG.dll -- (qcmerced) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\symids.dll -- (pcradminserver) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\vss.dll -- (generichidservice) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\mdmxsdk.dll -- (EKECioCtl) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ESDCR.dll -- (Defrag32b) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\personalsecuredriveservice.dll -- (atixsaudio) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Marcin\AppData\Local\Temp\catchme.sys -- (catchme) NetSvcs: EKECioCtl - File not found NetSvcs: Defrag32b - File not found NetSvcs: pcradminserver - File not found NetSvcs: qcmerced - File not found NetSvcs: CADlink - File not found NetSvcs: belgium_id_card_service - File not found NetSvcs: CnxTrLan - File not found NetSvcs: GoProto - File not found NetSvcs: konfig - File not found NetSvcs: rpskt - File not found NetSvcs: atixsaudio - File not found NetSvcs: generichidservice - File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w ten temat: KLIK. Przejdź w sekcje "Rekonstrukcja kluczy usług" i napraw dwie pierwsze - Podstawowy aparat filtrowania (BFE) oraz Zapora systemu Windows (MpsSvc) importując podane wpisy rejestru. Następnie przejdź niżej do rekonstrukcji uprawnień kluczy i wykonaj też dla tych dwóch naprawę przez SetACL. Następnie Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj usługę Zapora systemu Windows oraz Podstawowy aparat filtrowania, z dwukliku wejdź do właściwości i zastartuj przyciskiem. Uruchamianie ma być ustawione na tryb Automatyczny. 3. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log. 4. Pokazujesz nowe logi z OTL, z FSS oraz z AdwCleaner z opcji Search.

Logi nie wykazują tu żadnej infekcji i temat zostaje przeniesiony do innego działu. Podobny temat był tutaj raz na forum - https://www.fixitpc.pl/topic/5555-dziwne-komunikaty-windows/ Problem jest opisany też tutaj - http://www.consumingexperience.com/2007/11/windows-no-disk-exception-processing.html