elizamoscow Opublikowano 25 Października 2013 Zgłoś Udostępnij Opublikowano 25 Października 2013 Szanowni Panstwo, Mam zainstalowana legalna wersje Windows XP pro Sp3 EN Po zainfekowaniu virusem Metropolitan Police ktory zostal usuniety KIS 2013 nie dziala Tryb Awaryjny Punkty przywracania systemu nie zadzialy Plyta instalacyjna z Windowsem i tryb recovery tez nic nie daly. Prosze bardzo uprzejmie o pomoc Pozdrawiam, Eliza Odnośnik do komentarza
picasso Opublikowano 26 Października 2013 Zgłoś Udostępnij Opublikowano 26 Października 2013 Czy na pewno nie działa Tryb awaryjny z Wierszem polecenia? Zrób skan z zewnątrz za pomocą FRST. W opisie narzędzia jest przekierowanie do artykułu o WinRE, gdzie to w spoilerze jest link do pobierania tej płyty w wersji skrojonej. . Odnośnik do komentarza
elizamoscow Opublikowano 26 Października 2013 Autor Zgłoś Udostępnij Opublikowano 26 Października 2013 Droga Picasso, Dziekuje za odpowiedz, Zaden z trybow awaryjnych w tym z wierszem polecen tez nie dziala. Zabieram sie do skanu za pomaca FRST i dam znac po skanowaniu. Pozdrawiam, Marek Odnośnik do komentarza
elizamoscow Opublikowano 29 Października 2013 Autor Zgłoś Udostępnij Opublikowano 29 Października 2013 Droga Picasso, Prosze napisz czy na tym etapie oprocz FRST poinienem uzyc ewentualnie jeszcze inne narzedzia do wygenerowania raportu? Pozdrawiam, Marek Odnośnik do komentarza
elizamoscow Opublikowano 30 Października 2013 Autor Zgłoś Udostępnij Opublikowano 30 Października 2013 Droga Picasso, Nie bylem w stanie sciagnac plyty z podanej strony gdyz mieszkam poza pl - aczkolwiek jezeli jest to niezbedne i jedyne rozwiazanie to przeszukam internet jeszcze raz. Ponizej jest skan wykonany z poziomu Windowsa: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 26-10-2013 Ran by Himalaya (administrator) on IBM on 30-10-2013 15:59:46 Running from C:\Documents and Settings\Himalaya\Desktop\vir Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: English(US) Internet Explorer Version 8 Boot Mode: Normal ==================== Processes (Whitelisted) =================== (ATI Technologies Inc.) C:\WINDOWS\system32\Ati2evxx.exe (Symantec Corporation) C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe (ATI Technologies Inc.) C:\WINDOWS\system32\Ati2evxx.exe (Symantec Corporation) C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (Lenovo Group Limited) C:\WINDOWS\system32\IPSSVC.EXE (SEIKO EPSON CORPORATION) C:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe (Lenovo ) C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe (ArcSoft Inc.) C:\Program Files\Common Files\ArcSoft\esinter\Bin\eservutil.exe (Apple Computer, Inc.) C:\Program Files\Bonjour\mDNSResponder.exe (Diskeeper Corporation) C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe (Lenovo.) C:\Program Files\ThinkPad\Utilities\DOZESVC.EXE (Microsoft Corporation) C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe (OptionNV) C:\WINDOWS\system32\gtdetectsc.exe () C:\Documents and Settings\All Users\Application Data\DatacardService\HWDeviceService.exe (InterVideo) C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe (Sun Microsystems, Inc.) C:\Program Files\Java\jre6\bin\jqs.exe (Hewlett-Packard Company) C:\Program Files\Common Files\LightScribe\LSSrvc.exe (Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE (Nikon Corporation) C:\Program Files\Nikon\Wireless Connecting Utility\NkPtpEnum.exe (Nikon Corporation) C:\Program Files\Nikon\Wireless Transmitter Utility\NkVBus\NkPtpEnum.exe (Nalpeiron Ltd.) C:\WINDOWS\system32\nlssrv32.exe () C:\Program Files\HTC\Internet Pass-Through\PassThruSvr.exe (Raxco Software, Inc.) C:\Program Files\Raxco\PerfectDisk\PDAgent.exe () C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE () C:\WINDOWS\system32\PSIService.exe (Protexis Inc.) C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe () C:\Program Files\Photodex\ProShowProducer\ScsiAccess.exe (Symantec Corporation) C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe (Wacom Technology, Corp.) C:\Program Files\Tablet\Pen\Pen_Tablet.exe (Wacom Technology, Corp.) C:\WINDOWS\system32\Wacom_Tablet.exe (Lenovo Group Limited) C:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe () C:\WINDOWS\system32\TpKmpSVC.exe () C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe () C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe (IBM) C:\Program Files\Lenovo\Client Security Solution\tvttcsd.exe () C:\Program Files\Lenovo\Rescue and Recovery\rrpservice.exe (Lenovo Group Limited) C:\Program Files\Lenovo\Rescue and Recovery\rrservice.exe (Lenovo Group Limited) C:\Program Files\Lenovo\Rescue and Recovery\UpdateMonitor.exe (Lenovo ) C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe (Lenovo Group Limited) C:\Program Files\ThinkPad\Utilities\PWMEWSVC.EXE (Lenovo Group Limited) c:\program files\lenovo\system update\suservice.exe (Lenovo ) C:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe (Wacom Technology, Corp.) C:\Program Files\Tablet\Pen\Pen_TabletUser.exe (Wacom Technology, Corp.) C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe (Symantec Corporation) C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe (Wacom Technology, Corp.) C:\WINDOWS\system32\Wacom_Tablet.exe (Lenovo Group Ltd.) C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe (Wacom Technology, Corp.) C:\Program Files\Tablet\Pen\Pen_Tablet.exe (Lenovo.) C:\WINDOWS\system32\TpShocks.exe (Lenovo Group Limited) C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe (Lenovo Group Limited) C:\Program Files\Lenovo\AwayTask\AwaySch.EXE (Symantec Corporation) C:\Program Files\Common Files\Symantec Shared\ccApp.exe (Lenovo Group Limited) C:\PROGRA~1\THINKV~2\PrdCtr\LPMLCHK.exe (Analog Devices, Inc.) C:\Program Files\Analog Devices\Core\smax4pnp.exe (Sonix) C:\WINDOWS\vsnp2std.exe (Lenovo Group Limited) C:\PROGRA~1\Lenovo\NPDIRECT\TPFNF7SP.exe (Adobe Systems Inc.) C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe (Acronis) C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe (Acresso Software Inc.) C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Advanced Micro Devices Inc.) C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (Lenovo Group Limited) C:\Program Files\Lenovo\VIRTSCRL\virtscrl.exe (Intel® Corporation) C:\Program Files\Intel\WiFi\bin\ZCfgSvc.exe (Lenovo Group Limited) C:\Program Files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe (Lenovo Group Limited) C:\PROGRA~1\ThinkPad\UTILIT~1\SCHTASK.exe (ATI Technologies Inc.) C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe (Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (Lenovo Group Limited) C:\Program Files\Lenovo\HOTKEY\TPOSDSVC.exe (Akamai Technologies, Inc.) C:\Documents and Settings\Himalaya\Local Settings\Application Data\Akamai\netsession_win.exe (Microsoft Corporation) C:\Program Files\Windows Media Player\WMPNSCFG.exe () C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe (Akamai Technologies, Inc.) C:\Documents and Settings\Himalaya\Local Settings\Application Data\Akamai\netsession_win.exe (Lenovo Group Limited) C:\Program Files\Lenovo\HOTKEY\TPONSCR.exe (Lenovo Group Limited) C:\Program Files\Lenovo\Zoom\TpScrex.exe (Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPLpr.exe (Microsoft Corporation) C:\WINDOWS\system32\WISPTIS.EXE (Microsoft Corporation) C:\WINDOWS\system32\wbem\unsecapp.exe () C:\tpfancontrol\fancontrol.exe (RealNetworks, Inc.) C:\program files\real\realplayer\update\realsched.exe (Google Inc.) C:\Documents and Settings\Himalaya\Local Settings\Application Data\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Documents and Settings\Himalaya\Local Settings\Application Data\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Documents and Settings\Himalaya\Local Settings\Application Data\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Documents and Settings\Himalaya\Local Settings\Application Data\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Documents and Settings\Himalaya\Local Settings\Application Data\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Documents and Settings\Himalaya\Local Settings\Application Data\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Documents and Settings\Himalaya\Local Settings\Application Data\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Documents and Settings\Himalaya\Local Settings\Application Data\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Documents and Settings\Himalaya\Local Settings\Application Data\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Documents and Settings\Himalaya\Local Settings\Application Data\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Documents and Settings\Himalaya\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [PWRMGRTR] - rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor HKLM\...\Run: [bLOG] - rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog HKLM\...\Run: [synTPLpr] - C:\Program Files\Synaptics\SynTP\SynTPLpr.exe [134896 2013-05-29] (Synaptics Incorporated) HKLM\...\Run: [EZEJMNAP] - C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe [256576 2009-12-01] (Lenovo Group Ltd.) HKLM\...\Run: [TpShocks] - C:\Windows\system32\TpShocks.exe [338216 2013-06-20] (Lenovo.) HKLM\...\Run: [TP4EX] - C:\Windows\system32\tp4ex.exe [65536 2005-10-17] (Lenovo Group Limited) HKLM\...\Run: [soundMAX] - C:\Program Files\Analog Devices\SoundMAX\Smax4.exe [716800 2005-05-06] (Analog Devices, Inc.) HKLM\...\Run: [LPManager] - C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe [185688 2009-07-23] (Lenovo Group Limited) HKLM\...\Run: [iSUSPM Startup] - C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup HKLM\...\Run: [iSUSScheduler] - "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start HKLM\...\Run: [AwaySch] - C:\Program Files\Lenovo\AwayTask\AwaySch.EXE [91688 2006-11-07] (Lenovo Group Limited) HKLM\...\Run: [ccApp] - C:\Program Files\Common Files\Symantec Shared\ccApp.exe [115560 2010-05-06] (Symantec Corporation) HKLM\...\Run: [NBKeyScan] - "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" HKLM\...\Run: [LPMailChecker] - C:\PROGRA~1\THINKV~2\PrdCtr\LPMLCHK.exe [124248 2009-07-23] (Lenovo Group Limited) HKLM\...\Run: [soundMAXPnP] - C:\Program Files\Analog Devices\Core\smax4pnp.exe [925696 2005-05-20] (Analog Devices, Inc.) HKLM\...\Run: [snp2std] - C:\WINDOWS\vsnp2std.exe [675840 2006-09-15] (Sonix) HKLM\...\Run: [TPFNF7] - C:\PROGRA~1\Lenovo\NPDIRECT\TPFNF7SP.exe [62312 2010-03-26] (Lenovo Group Limited) HKLM\...\Run: [Acrobat Assistant 8.0] - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe [624056 2011-08-30] (Adobe Systems Inc.) HKLM\...\Run: [Adobe_ID0EYTHM] - C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE [1884160 2007-03-20] (Adobe Systems Incorporated) HKLM\...\Run: [Acronis Scheduler2 Service] - C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe [140568 2007-10-30] (Acronis) HKLM\...\Run: [Kernel and Hardware Abstraction Layer] - C:\Windows\KHALMNPR.EXE [76304 2008-02-29] (Logitech, Inc.) HKLM\...\Run: [EPSON PictureMate 500] - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9TE.EXE [98304 2004-10-17] (SEIKO EPSON CORPORATION) HKLM\...\Run: [NBHGui] - "C:\Program Files\Nero\Nero 9\InCD\NBHGui.exe" HKLM\...\Run: [startCCC] - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [61440 2009-09-29] (Advanced Micro Devices, Inc.) HKLM\...\Run: [AMSG] - C:\PROGRA~1\THINKV~2\AMSG\Amsg.exe [436800 2009-09-03] (LENOVO) HKLM\...\Run: [LENOVO.TPFNF6R] - C:\Program Files\Lenovo\HOTKEY\TPFNF6R.exe HKLM\...\Run: [switchBoard] - C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated) HKLM\...\Run: [LenovoAutoScrollUtility] - C:\Program Files\Lenovo\VIRTSCRL\virtscrl.exe [43960 2010-04-01] (Lenovo Group Limited) HKLM\...\Run: [intelZeroConfig] - C:\Program Files\Intel\WiFi\bin\ZCfgSvc.exe [1407248 2011-06-22] (Intel® Corporation) HKLM\...\Run: [TVT Scheduler Proxy] - C:\Program Files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe [487424 2008-05-14] (Lenovo Group Limited) HKLM\...\Run: [NSU_agent] - C:\Program Files\Nokia\Nokia Software Updater\nsu3ui_agent.exe [190768 2012-02-28] () HKLM\...\Run: [APSDaemon] - C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe [59280 2012-10-11] (Apple Inc.) HKLM\...\Run: [QuickTime Task] - C:\Program Files\QuickTime\qttask.exe [421888 2012-10-25] (Apple Inc.) HKLM\...\Run: [TkBellExe] - C:\program files\real\realplayer\update\realsched.exe [295072 2012-12-25] (RealNetworks, Inc.) HKLM\...\Run: [synTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2379504 2013-05-29] (Synaptics Incorporated) HKLM\...\Run: [TPKMAPHELPER] - C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe [868352 2007-01-09] (Lenovo) HKLM\...\Run: [TPHOTKEY] - C:\Program Files\Lenovo\HOTKEY\TPOSDSVC.exe [68976 2008-09-30] (Lenovo Group Limited) Winlogon\Notify\ACNotify: C:\Program Files\ThinkPad\ConnectUtilities\ACNotify.dll (Lenovo ) Winlogon\Notify\AtiExtEvent: C:\Windows\system32\Ati2evxx.dll (ATI Technologies Inc.) Winlogon\Notify\AwayNotify: C:\Program Files\Lenovo\AwayTask\AwayNotify.dll (Lenovo Group Limited) Winlogon\Notify\LBTWlgn: c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll (Logitech, Inc.) Winlogon\Notify\tpfnf2: C:\Program Files\Lenovo\HOTKEY\notifyf2.dll () Winlogon\Notify\tphotkey: C:\Program Files\Lenovo\HOTKEY\tphklock.dll (Lenovo Group Limited) HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKCU\...\Run: [Akamai NetSession Interface] - C:\Documents and Settings\Himalaya\Local Settings\Application Data\Akamai\netsession_win.exe [4489472 2013-06-05] (Akamai Technologies, Inc.) HKCU\...\Run: [WMPNSCFG] - C:\Program Files\Windows Media Player\WMPNSCFG.exe [204288 2006-10-18] (Microsoft Corporation) HKCU\...\Run: [TPKMAPMN] - C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe [49152 2007-09-21] () HKCU\...\Run: [Google Update] - C:\Documents and Settings\Himalaya\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [136176 2011-06-03] (Google Inc.) MountPoints2: {3a22e5f8-8158-11df-9816-0018de9d29e2} - "F:\WD SmartWare.exe" autoplay=true MountPoints2: {41157d1e-f945-11e1-b331-005056c00008} - E:\HTC_Sync_Manager_PC.exe MountPoints2: {41157d22-f945-11e1-b331-005056c00008} - E:\HTC_Sync_Manager_PC.exe MountPoints2: {4ee2e3b7-2e1b-11e1-a4cc-005056c00008} - E:\AutoRun.exe MountPoints2: {4ee2e3ba-2e1b-11e1-a4cc-005056c00008} - E:\AutoRun.exe MountPoints2: {4ee2e3bc-2e1b-11e1-a4cc-005056c00008} - E:\AutoRun.exe MountPoints2: {5d06abb4-a466-11de-963a-0018de9d29e2} - E:\Launcher.exe MountPoints2: {645b9789-c044-11df-bfd1-0018de9d29e2} - E:\Launcher.exe MountPoints2: {6c25ecd6-839a-11df-981e-0018de9d29e2} - E:\AutoRun.exe MountPoints2: {6c25ecd7-839a-11df-981e-0018de9d29e2} - E:\AutoRun.exe MountPoints2: {7afdf126-0824-11e2-b354-005056c00008} - I:\AutoRun.exe MountPoints2: {7afdf12a-0824-11e2-b354-005056c00008} - E:\AutoRun.exe MountPoints2: {86bf96b4-4da1-11e2-b3f0-005056c00008} - G:\HTC_Sync_Manager_PC.exe MountPoints2: {a39b60be-08fb-11e2-b356-005056c00008} - E:\AutoRun.exe MountPoints2: {bd603406-55e9-11df-97de-0018de9d29e2} - E:\LaunchU3.exe -a MountPoints2: {d18947a2-3654-11de-94de-0018de9d29e2} - E:\AutoRun.exe MountPoints2: {d18947a6-3654-11de-94de-0018de9d29e2} - E:\AutoRun.exe HKU\Administrator\...\RunOnce: [NeroHomeFirstStart] - "C:\Program Files\Common Files\Nero\Lib\NMFirstStart.exe" HKU\Default User\...\RunOnce: [NeroHomeFirstStart] - "C:\Program Files\Common Files\Nero\Lib\NMFirstStart.exe" Lsa: [Authentication Packages] msv1_0 relog_ap Lsa: [Notification Packages] scecli ACGina psqlpwd ACGina ACGina BootExecute: autocheck PDBoot.exeautocheck PDBoot.exeautocheck pdboot.exeautocheck autochk * ========================== Services (Whitelisted) ================= R2 6to4; C:\Windows\System32\6to4svc.dll [100864 2010-02-12] (Microsoft Corporation) S4 ACDaemon; C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [113152 2010-03-18] (ArcSoft Inc.) S4 AcrSch2Svc; C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe [427288 2007-10-30] (Acronis) R2 ADExchange; C:\Program Files\Common Files\ArcSoft\esinter\Bin\eservutil.exe [39528 2011-09-16] (ArcSoft Inc.) S3 Adobe Version Cue CS3; C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe [153792 2007-03-20] (Adobe Systems Incorporated) S4 APC UPS Service; C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe [176193 2005-12-12] (American Power Conversion Corporation) S4 ATMsrvc; C:\Windows\System32\ATMsrvc.exe [15360 2000-05-24] (Adobe Systems Incorporated) R2 ccEvtMgr; C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [108392 2010-05-06] (Symantec Corporation) R2 ccSetMgr; C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [108392 2010-05-06] (Symantec Corporation) R2 Diskeeper; C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe [2162512 2011-09-12] (Diskeeper Corporation) S3 Droppix Service; C:\Program Files\Common Files\Droppix\DxService.exe [151552 2008-02-01] (Droppix) R2 EpsonBidirectionalService; C:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe [94208 2006-12-19] (SEIKO EPSON CORPORATION) R2 gtdetectsc; C:\WINDOWS\system32\gtdetectsc.exe [122880 2006-09-28] (OptionNV) S4 HTCMonitorService; C:\Program Files\HTC\HTC Sync Manager\HSMServiceEntry.exe [87368 2012-12-12] (Nero AG) R2 HWDeviceService.exe; C:\Documents and Settings\All Users\Application Data\DatacardService\HWDeviceService.exe [271712 2011-03-14] () R2 IPSSVC; C:\Windows\system32\IPSSVC.EXE [108080 2007-01-30] (Lenovo Group Limited) S3 LiveUpdate; C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE [3093880 2010-02-17] (Symantec Corporation) R2 NkPtpEnum; C:\Program Files\Nikon\Wireless Connecting Utility\NkPtpip.dll [71168 2004-12-13] (Nikon Corporation) R2 NkPtpEnumWT3; C:\Program Files\Nikon\Wireless Transmitter Utility\NkVBus\NkPtpip.dll [76288 2012-02-20] (Nikon Corporation) S3 PACSPTISVR; C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe [57344 2006-12-14] () S4 Paragon System Backup Service; C:\Program Files\Paragon Software\System Backup 2010\program\dbhservice.exe [109072 2010-01-11] (Paragon Software Group) R2 PassThru Service; C:\Program Files\HTC\Internet Pass-Through\PassThruSvr.exe [167424 2012-12-07] () R2 PDAgent; C:\Program Files\Raxco\PerfectDisk\PDAgent.exe [1359224 2012-05-24] (Raxco Software, Inc.) S3 PDEngine; C:\Program Files\Common Files\Raxco\Shared\PDEngine.exe [2129272 2012-05-24] (Raxco Software, Inc.) S4 PLAY ONLINE. RunOuc; C:\Program Files\PLAY ONLINE\UpdateDog\ouc.exe [246112 2012-09-26] () R2 Power Manager DBC Service; C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE [1645568 2013-01-11] () R2 ProtexisLicensing; C:\WINDOWS\system32\PSIService.exe [177704 2007-06-05] () R2 PwmEWSvc; C:\Program Files\ThinkPad\Utilities\PWMEWSVC.EXE [1663272 2013-01-11] (Lenovo Group Limited) S4 RealNetworks Downloader Resolver Service; C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe [38608 2012-11-29] () S3 S24EventMonitor; C:\Program Files\Intel\WiFi\bin\S24EvMon.exe [882960 2011-06-22] (Intel® Corporation) S4 SandraAgentSrv; C:\Program Files\SiSoftware\SiSoftware Sandra Professional Business 2009\RpcAgentSrv.exe [98488 2008-09-01] (SiSoftware) R2 ScsiAccess; C:\Program Files\Photodex\ProShowProducer\ScsiAccess.exe [186760 2011-09-28] () R2 SmcService; C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe [1831928 2009-11-09] (Symantec Corporation) S4 SNAC; C:\Program Files\Symantec\Symantec Endpoint Protection\SNAC.EXE [357704 2010-07-01] (Symantec Corporation) S3 SonicStage Back-End Service; C:\Program Files\Common Files\Sony Shared\AVLib\SsBeSvc.exe [112184 2007-02-05] (Sony Corporation) S3 SPTISRV; C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe [69632 2006-12-14] (Sony Corporation) S3 SSScsiSV; C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe [75320 2007-02-05] (Sony Corporation) R2 SUService; c:\program files\lenovo\system update\suservice.exe [28672 2013-07-10] (Lenovo Group Limited) R2 Symantec AntiVirus; C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe [1775344 2009-11-10] (Symantec Corporation) R2 TabletServiceWacom; C:\WINDOWS\system32\Wacom_Tablet.exe [4463400 2009-11-24] (Wacom Technology, Corp.) S4 TPFanControl; C:\tpfancontrol\fancontrol.exe [154112 2008-01-11] () R2 TpKmpSVC; C:\WINDOWS\system32\TpKmpSVC.exe [32768 2006-06-29] () S4 TryAndDecideService; C:\Program Files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe [492720 2007-10-30] () R2 TSSCoreService; C:\Program Files\Lenovo\Client Security Solution\tvttcsd.exe [722232 2007-08-03] (IBM) R2 TVT Backup Protection Service; C:\Program Files\Lenovo\Rescue and Recovery\rrpservice.exe [520192 2008-05-14] () S4 TVT Scheduler; C:\Program Files\Common Files\Lenovo\Scheduler\tvtsched.exe [1155072 2008-08-20] (Lenovo Group Limited) S4 VMAuthdService; C:\Program Files\VMware\VMware Workstation\vmware-authd.exe [113264 2011-03-25] (VMware, Inc.) S4 VMnetDHCP; C:\WINDOWS\system32\vmnetdhcp.exe [334448 2011-03-25] (VMware, Inc.) S4 VMUSBArbService; C:\Program Files\Common Files\VMware\USB\vmware-usbarbitrator.exe [539248 2011-03-25] (VMware, Inc.) S4 VMware NAT Service; C:\WINDOWS\system32\vmnat.exe [404080 2011-03-25] (VMware, Inc.) S3 WLANKEEPER; C:\Program Files\Intel\WiFi\bin\WLKeeper.exe [370960 2011-06-22] (Intel® Corporation) R2 JavaQuickStarterService; "C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf" S3 PsaSrv; C:\WINDOWS\system32\PsaSrv.exe [x] S3 UBKZGGXENAA; C:\DOCUME~1\Himalaya\LOCALS~1\Temp\UBKZGGXENAA.exe [x] S4 ufad-ws60; "C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe" -d "C:\Program Files\VMware\VMware Workstation\\" -s ufad-p2v.xml ==================== Drivers (Whitelisted) ==================== S4 abp480n5; C:\Windows\system32\DRIVERS\ABP480N5.SYS [23552 2001-08-17] (Microsoft Corporation) S3 ac97intc; C:\Windows\System32\drivers\ac97intc.sys [96256 2001-08-17] (Intel Corporation) R3 AEAudioService; C:\Windows\System32\drivers\AEAudio.sys [93952 2006-08-07] (Andrea Electronics Corporation) R1 ANC; C:\Windows\System32\drivers\ANC.SYS [11520 2012-09-07] (IBM Corp.) R2 Aspi32; C:\Windows\System32\Drivers\Aspi32.sys [25244 1999-09-10] (Adaptec) R3 atmeltpm; C:\Windows\System32\DRIVERS\atmeltpm.sys [15872 2005-05-17] (Atmel, Inc.) R3 b57w2k; C:\Windows\System32\DRIVERS\b57xp32.sys [161792 2007-05-02] (Broadcom Corporation) S3 BSWinDvr; C:\Program Files\ThinkPad\BiosSettingsWindows\BSWinDvr.sys [8192 2011-07-11] (Lenovo) S3 btaudio; C:\Windows\System32\drivers\btaudio.sys [534568 2009-02-16] (Broadcom Corporation.) R3 BTDriver; C:\Windows\System32\DRIVERS\btport.sys [37160 2009-02-16] (Broadcom Corporation.) R3 BTKRNL; C:\Windows\System32\DRIVERS\btkrnl.sys [991784 2009-02-16] (Broadcom Corporation.) S3 BTWDNDIS; C:\Windows\System32\DRIVERS\btwdndis.sys [156816 2009-02-16] (Broadcom Corporation.) S3 BTWUSB; C:\Windows\System32\Drivers\btwusb.sys [47272 2009-02-16] (Broadcom Corporation.) S3 CCDECODE; C:\Windows\System32\DRIVERS\CCDECODE.sys [17024 2008-04-13] (Microsoft Corporation) S3 COH_Mon; C:\WINDOWS\system32\Drivers\COH_Mon.sys [23888 2008-07-30] (Symantec Corporation) S3 cpudrv; C:\Program Files\SystemRequirementsLab\cpudrv.sys [11336 2011-06-02] () R2 DefragFS; C:\Windows\System32\Drivers\DefragFS.sys [138768 2011-12-02] (Raxco Software, Inc.) R3 DKRtWrt; C:\Windows\System32\DRIVERS\DKRtWrt.sys [38608 2011-02-14] (Diskeeper Corporation) R1 eeCtrl; C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys [376920 2013-08-27] (Symantec Corporation) R3 EraserUtilRebootDrv; C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [108120 2013-09-16] (Symantec Corporation) S3 FNETTBOH; C:\Windows\System32\drivers\FNETTBOH.SYS [23680 2009-05-12] (FNet Co., Ltd.) R1 FNETURPX; C:\Windows\System32\drivers\FNETURPX.SYS [7936 2009-05-12] (FNet Co., Ltd.) R2 hcmon; C:\WINDOWS\system32\drivers\hcmon.sys [32368 2011-03-25] (VMware, Inc.) R0 hotcore3; C:\Windows\System32\drivers\hotcore3.sys [40560 2010-09-15] (Paragon Software Group) S3 HPZid412; C:\Windows\System32\DRIVERS\HPZid412.sys [49920 2007-03-08] (HP) S3 HPZipr12; C:\Windows\System32\DRIVERS\HPZipr12.sys [16496 2007-03-08] (HP) S3 HPZius12; C:\Windows\System32\DRIVERS\HPZius12.sys [21568 2007-03-08] (HP) S3 HSFHWAZL; C:\Windows\System32\DRIVERS\HSFHWAZL.sys [217016 2010-06-02] (Conexant Systems, Inc.) S3 HSF_DPV; C:\Windows\System32\DRIVERS\HSF_DPV.sys [993464 2010-06-02] (Conexant Systems, Inc.) S3 huawei_cdcacm; C:\Windows\System32\DRIVERS\ew_jucdcacm.sys [89856 2012-09-26] (Huawei Technologies Co., Ltd.) S3 huawei_cdcecm; C:\Windows\System32\DRIVERS\ew_jucdcecm.sys [66688 2012-09-26] (Huawei Technologies Co., Ltd.) S3 huawei_ext_ctrl; C:\Windows\System32\DRIVERS\ew_juextctrl.sys [26624 2012-09-26] (Huawei Technologies Co., Ltd.) S3 hwdatacard; C:\Windows\System32\DRIVERS\ewusbmdm.sys [65152 2006-06-27] (QUALCOMM Incorporated) R1 IBMTPCHK; C:\WINDOWS\system32\Drivers\IBMBLDID.sys [4224 2012-09-07] () R3 Iviaspi; C:\Windows\System32\drivers\iviaspi.sys [10368 2005-09-20] (InterVideo, Inc.) R3 LUsbFilt; C:\Windows\System32\Drivers\LUsbFilt.Sys [28944 2008-02-29] (Logitech, Inc.) S3 MotDev; C:\Windows\System32\DRIVERS\motodrv.sys [42752 2009-05-08] (Motorola Inc) S3 MSIRCOMM; C:\Windows\System32\DRIVERS\MSIRCOMM.sys [22016 2008-04-13] (Microsoft Corporation) R3 NAVENG; C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20131028.003\NAVENG.SYS [93272 2013-09-16] (Symantec Corporation) R3 NAVEX15; C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20131028.003\NAVEX15.SYS [1612376 2013-09-16] (Symantec Corporation) S3 NdisIP; C:\Windows\System32\DRIVERS\NdisIP.sys [10880 2008-04-13] (Microsoft Corporation) S3 NETw3x32; C:\Windows\System32\DRIVERS\NETw3x32.sys [1709696 2006-09-27] (Intel® Corporation) S3 NETw4x32; C:\Windows\System32\DRIVERS\NETw4x32.sys [2236544 2007-11-26] (Intel Corporation) S3 NETw5x32; C:\Windows\System32\DRIVERS\NETw5x32.sys [5977216 2009-09-15] (Intel Corporation) R3 NETwLx32; C:\Windows\System32\DRIVERS\NETwLx32.sys [6609920 2010-10-07] (Intel Corporation) S3 NinjaUSB; C:\Windows\System32\drivers\NinjaUSB.sys [24704 2010-09-06] () R3 odysseyIM4; C:\Windows\System32\DRIVERS\odysseyIM4.sys [173056 2005-06-10] (Funk Software, Inc.) R3 PCASp50; C:\Windows\System32\drivers\PCASp50.sys [27072 2007-06-14] (Printing Communications Assoc., Inc. (PCAUSA)) R2 PDFSFilter; C:\Windows\System32\DRIVERS\PDFsFilter.sys [68464 2012-05-10] (Raxco Software, Inc.) R2 pmem; C:\WINDOWS\System32\drivers\pmemnt.sys [7012 2008-09-20] (Microsoft Corporation) R1 PQNTDrv; C:\Windows\System32\Drivers\PQNTDrv.sys [4228 2003-03-14] (PowerQuest Corporation) R2 PROCDD; C:\Windows\System32\DRIVERS\PROCDD.SYS [12080 2006-11-06] (Lenovo Group Limited) R3 Rasirda; C:\Windows\System32\DRIVERS\rasirda.sys [19584 2001-08-17] (Microsoft Corporation) R2 s24trans; C:\Windows\System32\DRIVERS\s24trans.sys [13952 2010-05-19] (Intel Corporation) S3 SANDRA; C:\Program Files\SiSoftware\SiSoftware Sandra Professional Business 2009\WNt500x86\Sandra.sys [21920 2008-07-29] (SiSoftware) R1 Smapint; C:\Windows\System32\drivers\Smapint.sys [14848 2006-10-02] (Microsoft Corporation) R3 SNP2STD; C:\Windows\System32\DRIVERS\snp2sxp.sys [12039680 2007-06-14] () S3 SONYPVU1; C:\Windows\System32\DRIVERS\SONYPVU1.SYS [7552 2001-08-17] (Sony Corporation) R1 SPBBCDrv; C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys [421424 2009-12-18] (Symantec Corporation) S3 Spyder3; C:\Windows\System32\DRIVERS\Spyder3.sys [12288 2008-09-08] () R1 SRTSP; C:\Windows\System32\Drivers\SRTSP.SYS [283184 2010-03-08] (Symantec Corporation) S3 SRTSPL; C:\Windows\System32\Drivers\SRTSPL.SYS [320944 2010-03-08] (Symantec Corporation) R1 SRTSPX; C:\Windows\System32\Drivers\SRTSPX.SYS [43696 2010-03-08] (Symantec Corporation) R3 SymEvent; C:\WINDOWS\system32\Drivers\SYMEVENT.SYS [125488 2011-12-23] (Symantec Corporation) R3 SYMREDRV; C:\Windows\System32\Drivers\SYMREDRV.SYS [26416 2009-09-03] (Symantec Corporation) R1 SYMTDI; C:\Windows\System32\Drivers\SYMTDI.SYS [188080 2009-09-03] (Symantec Corporation) R1 Tcpip6; C:\Windows\System32\DRIVERS\tcpip6.sys [226880 2010-02-11] (Microsoft Corporation) R0 tdrpman; C:\Windows\System32\DRIVERS\tdrpman.sys [368544 2008-10-02] (Acronis) R1 TDSMAPI; C:\Windows\System32\drivers\TDSMAPI.SYS [9343 2006-10-02] () R3 Teefer2; C:\Windows\System32\DRIVERS\teefer2.sys [67472 2009-12-28] (Symantec Corporation) R2 tifsfilter; C:\Windows\System32\DRIVERS\tifsfilt.sys [44384 2008-10-02] (Acronis) R1 TPHKDRV; C:\Windows\System32\DRIVERS\TPHKDRV.sys [17844 2008-05-12] (Lenovo Group Limited) R1 TPPWRIF; C:\Windows\System32\drivers\Tppwrif.sys [13936 2013-01-11] (Lenovo Group Limited) R1 TSMAPIP; C:\Windows\System32\drivers\TSMAPIP.SYS [4608 2010-03-26] () R1 UimBus; C:\Windows\System32\DRIVERS\UimBus.sys [32352 2007-03-29] (Windows ® 2000 DDK provider) R1 Uim_IM; C:\Windows\System32\Drivers\Uim_IM.sys [131456 2007-03-29] (Paragon) R3 VBus; C:\Windows\System32\DRIVERS\NkVBus.sys [17344 2012-02-20] (Nikon Corporation) R1 VD_FileDisk; C:\Windows\System32\Drivers\VD_FileDisk.sys [15872 2006-01-13] (Flint Incorporation) R3 vmkbd; C:\WINDOWS\system32\drivers\VMkbd.sys [24688 2011-03-25] (VMware, Inc.) R1 vmm; C:\WINDOWS\system32\Drivers\vmm.sys [229224 2011-05-10] (Microsoft Corporation) R3 VMnetAdapter; C:\Windows\System32\DRIVERS\vmnetadapter.sys [16560 2011-03-25] (VMware, Inc.) R2 VMnetBridge; C:\Windows\System32\DRIVERS\vmnetbridge.sys [32752 2011-03-25] (VMware, Inc.) R2 VMnetuserif; C:\WINDOWS\system32\drivers\vmnetuserif.sys [26352 2011-03-25] (VMware, Inc.) R2 vmx86; C:\WINDOWS\system32\Drivers\vmx86.sys [854256 2011-03-25] (VMware, Inc.) R2 vstor2-ws60; C:\Program Files\VMware\VMware Workstation\vstor2-ws60.sys [22448 2010-08-19] (VMware, Inc.) R1 WPS; C:\WINDOWS\system32\drivers\wpsdrvnt.sys [42312 2009-11-09] (Symantec Corporation) S3 WpsHelper; C:\WINDOWS\system32\drivers\WpsHelper.sys [174056 2012-09-30] (Symantec Corporation) S3 cpu; \??\C:\cpu.sys [x] S2 cpudriver; \??\C:\Program Files\Temporary\cpu.sys [x] S3 HTCAND32; System32\Drivers\ANDROIDUSB.sys [x] S2 P1C1394; \SystemRoot\System32\Drivers\p1c1394.sys [x] U5 ScsiPort; C:\Windows\system32\drivers\scsiport.sys [96384 2008-04-13] (Microsoft Corporation) U5 TMUSB; C:\Windows\System32\DRIVERS\TMUSBXP.SYS [49408 2012-09-11] (Seiko Epson Corporation) S3 TVTPktFilter; system32\DRIVERS\tvtpktfilter.sys [x] S4 vsdatant; a [x] S3 xp; \??\C:\Documents and Settings\Himalaya\xp.sys [x] ==================== NetSvcs (Whitelisted) =================== Some content of TEMP: ==================== C:\Documents and Settings\Himalaya\Local Settings\Temp\vcredist_x86.exe ==================== Bamital & volsnap Check ================= C:\Windows\explorer.exe => MD5 is legit C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit ==================== End Of Log ============================ Z loga wycialem rzeczy niepotrzebne np . sciezki do dobrze mi znanych i zbytecznych smieci (pulpit etc..) Pozdrawiam serdecznie, Marek Odnośnik do komentarza
jessica Opublikowano 3 Listopada 2013 Zgłoś Udostępnij Opublikowano 3 Listopada 2013 Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste) Ja w tym logu nie widzę żadnej infekcji, więc i tak musisz czekać na @Picasso jessi Odnośnik do komentarza
elizamoscow Opublikowano 3 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2013 Droga Jessi, Dziekuje bardzo za odpowiedz. Infekcje sam wyczyscilem ale po tym nie moge wejsc w tryb awaryjny ktory jest dla mnie wyjatkowo wazny. Pozdrawiam, Marek P.S. Mam nadzieje ze Picasso wszystko dobrze sie ulozy. Odnośnik do komentarza
jessica Opublikowano 4 Listopada 2013 Zgłoś Udostępnij Opublikowano 4 Listopada 2013 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base] @="Driver Group" >>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK> sprawdź, czy istnieją te powyższe klucze. Chodzmi o to, że może przyczyną jest brak Trybu Awaryjnego w Rejestrze. Pewnie jest jakaś inna przyczyna, ale na początek można sprawdzić i tą. jessi Odnośnik do komentarza
elizamoscow Opublikowano 4 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 4 Listopada 2013 Droga Jessi, Wszystkie wpisy sa w rejestrze. Moze problem tkwi w raporcie i to tez to ze skanowalem z poziomu windows. Nie moge sciagnac z linkow polecanych przez Picasso gdyz nie mieszkam w PL moze Ty masz jakis inny link dzialajacy pod reka z winre? Dziekuje Marek Odnośnik do komentarza
jessica Opublikowano 4 Listopada 2013 Zgłoś Udostępnij Opublikowano 4 Listopada 2013 Moze problem tkwi w raporcie i to tez to ze skanowalem z poziomu windows Co ma piernik do wiatraka? Skan na pewno nie jest przyczyną braku Trybu Awaryjnego. moze Ty masz jakis inny link dzialajacy pod reka z winre? Parafrazując znaną reklamę: Takie "rzeczy" to tylko @Picasso jessi Odnośnik do komentarza
elizamoscow Opublikowano 4 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 4 Listopada 2013 Mialem na mysli tylko to ze skan z zewnatrz moze jest lepszy niz ten z windowsa :-) Odnośnik do komentarza
jessica Opublikowano 4 Listopada 2013 Zgłoś Udostępnij Opublikowano 4 Listopada 2013 Prawdę mówiąc, to nie rozumiem, po co robić skan z zewnątrz, skoro Tryb Normalny działa, a nie działa tylko Tryb Awaryjny. Odnośnik do komentarza
elizamoscow Opublikowano 4 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 4 Listopada 2013 Tak mi zalecila Picasso wiec pewnie jest cos na rzeczy. Tak czy inaczej czekam na jej dalsze podpowiedzi :-) Odnośnik do komentarza
picasso Opublikowano 3 Grudnia 2013 Zgłoś Udostępnij Opublikowano 3 Grudnia 2013 elizamoscow, log poprawiłam (by linie się nie sklejały). I skoro to log FRST zrobiony z poziomu Windows, to jest on niepełny, brakuje pliku Addition. Mialem na mysli tylko to ze skan z zewnatrz moze jest lepszy niz ten z windowsa :-) Nie w tym przypadku. Skan z zewnątrz jest mocno okrojony do podstawowych obszarów związanych z niemożnością startu w żadnym z trybów Windows. Co więcej: ten skan nawet nie uwzględnia pewnych aspektów klucza Safeboot (to jest tylko w pliku Addition FRST spod Windows). Ja go tylko dlatego zadałam, iż zrozumiałam, że nie możesz wejść w ogóle do systemu. Wszystkie wpisy sa w rejestrze. Sprawdzone tylko górne klucze a nie ich faktyczna zawartość. 1. Pobierz najnowszą wersję FRST, zrób logi ponownie (jak mówię, pole Addition ma być zaznaczone) opcją Scan. Oba pliki dołącz za pomocą funkcji załączników, nie wklejaj logów w poście. I proszę nie manipuluj logiem, nic z niego nie wycinaj: Z loga wycialem rzeczy niepotrzebne np . sciezki do dobrze mi znanych i zbytecznych smieci (pulpit etc..) 2. Dodatkowo, otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt i ten również dołącz. . Odnośnik do komentarza
elizamoscow Opublikowano 9 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2013 BARDZO DZIEKUJE ! i juz zabieram sie ponownie jako ze dopiero wrocilem z urlopu. EDIT: Droga Picasso, Zgodnie z Twoimi instrukcjami dolaczam wszystkie trzy pliki. Pozdrawiam, Marek Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2013 Zgłoś Udostępnij Opublikowano 10 Grudnia 2013 Klucze awaryjnego są całe. STOP 0x0000007E insynuuje niekompatybilny sterownik, tylko że tu w awaryjnym bez obsługi sieci nie ma nic niedomyślnego, wszystko Microsoftu, w awaryjnym z obsługą sieci owszem jeden niedomyślny, ale problem jest we wszystkich typach awaryjnego, więc nic do rzeczy to nie powinno mieć. Z tego co ja widzę, to w ogóle nie wygląda na problem relatywny do infekcji. Twierdzisz zresztą, że używałeś Przywracanie systemu, które (jeśli infekcja uszkodziłaby coś w awaryjnym) powinno problem zlikwidować. Pytania: - Co konkretnie usuwał KIS 2013 - skąd, jaka ścieżka dostępu? - Czy na pewno BSOD podczas próby wejścia w awaryjny pojawił się za sprawą infekcji, czy na 100% to nie występowało już wcześniej przed infekcją tylko tego nie zauważyłeś? Kiedy ostatni raz był sprawdzany Tryb awaryjny, co jeszcze było zmieniane w systemie (dokładanie sprzętu / zmiana konfiguracji dysków / instalacja określonego oprogramowania...)? Skopiuj na Pulpit folder C:\WINDOWS\Minidump, spakuj go do ZIP, rzuć na jakiś hosting i podaj link do paczki. I się tak zastanawiam... Widzę pokaźną kolekcję programów nakładających filt na dysk twardy (Acronis, Paragon). Rozważam czy te filtry nie mają coś do rzeczy podczas próby bootowania w awaryjnym. Jeśli rzecz o infekcji, to w ogóle nie widzę żadnych oznak infekcji "policyjnej". Za to widoczny uszkodzony katalog Winsock, a forma wpisów sugeruje coś w stylu kiedyś obecnej infekcji ZeroAccess (żadnych innych szczątków tej infekcji nie widać). To napraw (skutki uboczne: reset Winsock wypnie integracje VMWare z tego miejsca) + usunięcie wpisów pustych: 1. Otwórz Notatnik i wklej w nim: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKLM\...\Run: [] - [x] BHO: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Himalaya\Application Data\Nowe Gadu-Gadu\_userdata\ggbho.1.dll No File S3 PsaSrv; C:\WINDOWS\system32\PsaSrv.exe [x] S3 UBKZGGXENAA; C:\DOCUME~1\Himalaya\LOCALS~1\Temp\UBKZGGXENAA.exe [x] S3 cpu; \??\C:\cpu.sys [x] S2 cpudriver; \??\C:\Program Files\Temporary\cpu.sys [x] S3 HTCAND32; System32\Drivers\ANDROIDUSB.sys [x] S2 P1C1394; \SystemRoot\System32\Drivers\p1c1394.sys [x] S3 TVTPktFilter; system32\DRIVERS\tvtpktfilter.sys [x] S4 vsdatant; a [x] S3 xp; \??\C:\Documents and Settings\Himalaya\xp.sys [x] Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5 03 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" CMD: netsh winsock reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj system. Dołącz plik fixlog.txt. . Odnośnik do komentarza
elizamoscow Opublikowano 11 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2013 Droga Picaso, Dziekuje za wszystkie informacje i rady. Ponizej zamieszczam odpowiedzi na Twoje pytania Z tego co ja widzę, to w ogóle nie wygląda na problem relatywny do infekcji. Twierdzisz zresztą, że używałeś Przywracanie systemu Tak ale zaden z punktow nie zadzialal. Czy na pewno BSOD podczas próby wejścia w awaryjny pojawił się za sprawą infekcji, czy na 100% to nie występowało już wcześniej przed infekcją tylko tego nie zauważyłeś? Kiedy ostatni raz był sprawdzany Tryb awaryjny, co jeszcze było zmieniane w systemie (dokładanie sprzętu / zmiana konfiguracji dysków / instalacja określonego oprogramowania...)? kilka miesiecy temu mialem Virusa ZeroAccess ale sie go pozbylem i wszystko dzialalo bez problemu wlacznie z awaryjnym - jednoczesnie nie zmienialem hardwaru a soft to tylko upd z microsoft oraz zawsze po wszelkich upd wchodzilem do awaryjnego bo taki mialem nawyk. Wiec teoretycznie powinienem to zauwazyc jako ze wchodzilem do awaryjnego srednio raz na tydzien. Co konkretnie usuwał KIS 2013 - skąd, jaka ścieżka dostępu? Po infekcji policyjnej jeszcze przed KIS wszedlem do awaryjnego( pierwsze posuniecie w celu rozwiazania problemu) i zobaczylem piekny blue screen dopiero potem usunalem virusa. Co narzedzia KIS wyciely nie wiem gdyz mam zainstalowana juz wersje KIS 2014( na drugiej partycji pod Vista x 64) I się tak zastanawiam... Widzę pokaźną kolekcję programów nakładających filt na dysk twardy (Acronis, Paragon). Rozważam czy te filtry nie mają coś do rzeczy podczas próby bootowania w awaryjnym. Tak to prawda mam zainstalowane Acronnis i Paragon ale sluzylo to tylko i wylacznie do utworzenia plyty startowej tych programow w celu backupu hdd poza tym nie mialem potrzeby zeby te programy uruchamiac z pod win. Lekarstwo podalem ale nie pomoglo. ALE znalazlem lustrzana kopie z przed okolo 12 miesciecy (z dzialajacy awaryjny) wiec moze zrobie skan FRST i wysle dla porowniania. NA obu dyskach mam tez druga partycie z Vista x 64 wiec moge tez cos podmienic recznie ewentualnie oraz zrobilem lustro obecnego ssd wiec mozna hardcorowo experymentowac ;-) Ponizej link do zrzutu : https://www.dropbox.com/s/nm297lulm8cykn6/Minidump.zip JESTES WIELKA i bardzo dziekuje jeszcze raz ! M. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2013 Zgłoś Udostępnij Opublikowano 12 Grudnia 2013 Na analizę problemu potrzebuję więcej czasu. Lekarstwo podalem ale nie pomoglo. Jeśli mówisz o skrypcie do FRST, to nie miał w ogóle związku z problemem. Wyraźnie zaznaczyłam, że jest to usuwanie szkód w Winsock po infekcji ZeroAccess oraz wpisów pustych. To wg pliku fixlog.txt wykonane. Ale: ALE znalazlem lustrzana kopie z przed okolo 12 miesciecy (z dzialajacy awaryjny) wiec moze zrobie skan FRST i wysle dla porowniania. Jeśli zrzuciłeś kopię, to mogłeś odkręcić powyższe działanie. Nie wiem co zawiera kopia sprzed 12 miesięcy. Logi z widoku tamtej kopii o tyle tylko przydatne, by porównać czy usuwane wpisy były tam obecne. . Odnośnik do komentarza
elizamoscow Opublikowano 12 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2013 Droga Picasso, Kopia zawiera tylko std. upd. microsoftu i innych programow - a cala reszta jest bez zmian gdyz nie dokonywalem powaznych zmian. Klucze awaryjnego są całe. STOP 0x0000007E insynuuje niekompatybilny sterownik, tylko że tu w awaryjnym bez obsługi sieci nie ma nic niedomyślnego, wszystko Microsoftu, w awaryjnym z obsługą sieci owszem jeden niedomyślny, ale problem jest we wszystkich typach awaryjnego, Wiec w zwiazku z powyzszym zrobie skan FRST kopii i moze to pomoze odnalesc problem z awaryjnym albo sterownikiem Dziekuje bardzo ! M. Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2013 Zgłoś Udostępnij Opublikowano 12 Grudnia 2013 Wiec w zwiazku z powyzszym zrobie skan FRST kopii i moze to pomoze odnalesc problem z awaryjnym albo sterownikiem Nawet nie prosiłam o te raporty, bo wątpię w to, by one cokolwiek dodały. Powtarzam: Twój klucz awaryjnego wygląda na kompletny i ładuje domyślne elementy MS. . Odnośnik do komentarza
elizamoscow Opublikowano 12 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2013 Dziekuje - jasne rozumiem. Znalazlem dzisiaj taki wpis w Logach z konsoli Event Viewer ale nie wiem czy to ma jakis zwiazek Event Type: Warning Event Source: ACPIEC Event Category: None Event ID: 3 Date: 09/12/2013 Time: 16:13:00 User: N/A Computer: IBM Description: \Device\ACPIEC: The embedded controller (EC) hardware returned data when none was requested. This may indicate that the BIOS is incorectly trying to access the EC without syncronizing with the OS. The data is being ignored. For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. Data: 0000: 00680000 00be0001 00000000 80050003 0010: 00000000 00000000 00000000 00000000 0020: 00000000 00000000 00369e99 000c2c20 0030: 00400110 00070060 8d480050 00070070 0040: 00120810 00070080 00400810 00070060 0050: ffff0050 00070070 00140010 00070080 0060: 00150010 000d2c20 003f0110 00070060 0070: 99790050 00080070 00140810 00080080 0080: 00410810 00070060 97560050 00070070 Pozdrawiam, M Logi z konsoli Event Viewer+SYSTEM.txt Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2013 Zgłoś Udostępnij Opublikowano 13 Grudnia 2013 Cytowany błąd z Dziennika zdarzeń nie wydaje się powiązany. Przeczytaj post numer 6 w tym topiku: KLIK. Wracając do awaryjnego: 1. Te dostarczone wcześniej pliki Minidump: wątpliwe czy którykolwiek z nich jest nagrany przy zdarzeniu wejścia w Tryb awaryjny. Najnowszy DMP (Mini112213-01.dmp z 2013-11-22) kompletnie nie pasuje, gdyż w wynikach debuggera stoi proces chrome.exe, czyli system już był uruchomiony. Reszta DMP jest stara. Brak danych. 2. To może spróbujmy testowo zdjąć filtry z urządzeń. Podaj mi jednak wyciąg jakie aktualnie występują. Otwórz Notatnik i wklej w nim: Reg: reg export HKLM\SYSTEM\CurrentControlSet\Control\Class C:\lista.reg Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik C:\lista.reg. Shostuj go gdzieś i podaj link. . Odnośnik do komentarza
elizamoscow Opublikowano 13 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2013 Dziekuje Bardzo, W zalaczeniu link do pliku lista.reg http://goo.gl/9hOmj5 Droga Picasso zycze Tobie wymarzonego Nowego Roku !!! M. Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2014 Zgłoś Udostępnij Opublikowano 12 Stycznia 2014 Na dysku twardym jest następujący zbiór filtrów UpperFilters: Shockprf (Lenovo - ThinkVantage Active Protection System), PartMgr (domyślny systemowy), snapman (Acronis), DozeHDD (Lenovo). Te od Lenovo mnie zastanowiły mocniej. Niemiej na razie to odsuwam: Bardzo mnie zasugerowałeś infekcją, możnością wejścia w awaryjny wcześniej. Zmieniłam podejście i zaczęłam szukać wg marki (czyli występowanie podobnych problemów na Lenovo). I znalazłam taki oto wątek na forum Lenovo tyczący pomyślnego startu Windows normalnie, ale BSOD przy próbie wejścia w awaryjny: KLIK. Aczkolwiek, tam jest inny kod STOP. Ty mi pokazywałeś na zdjęciu STOP 0x0000007E, tam jest 7B. Ale może tu należy obrać kierunek myślowy z aktualizacją sterowników Lenovo... I szczerze mówiąc na teraz nie wiem jak to rozwiązać. Moim zdaniem nie ma to też w ogóle związku z infekcją, a jeśli pojawiło się w trakcie jej diagnostyki, to prawdopodobnie wystąpiły dodatkowe okoliczności. . Odnośnik do komentarza
elizamoscow Opublikowano 13 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2014 Dziekuje uprzejmie za kolejna podpowiedz. Drivery aktualizuje na biezaca wiec zainstalowane sa najnowsze. Jednakze sprawdze ostatnia dzialajaca kopie hdd i wersje drv kontrolera dysku na niej i moze zrobie roll back albo poszukam starszych wersji. Czy ewentualnie mozna to jeszcze rozpracowac na inne sposoby jako ze jest mi bardzo potrzebny awaryjny? Pozdrawiam, M. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się