Skocz do zawartości

Zamulenie kompa oraz pojawiający się zasobożerny proces iexplore.exe


Rekomendowane odpowiedzi

Witam,

 

To mój pierwszy post na forum, więc proszę o wyrozumiałość jeśli czegoś w sposób jasny i klarowny nie przedstawię.

 

Generalnie od jakiegoś czasu mam problemy z wydajnością swojego kompa (laptopa). Objawia się to tym, że po kilku / kilkunastu minutach po uruchomieniu nagle wszystko zaczyna się "mulić" - czy to będzie jakaś gra, edycja testu, przeglądanie stron internetowych. Restart pomaga połowicznie, tzn. po ponownym uruchomieniu po jakimś czasie ponownie pojawia się to "zamulenie".

 

Jedynym tropem, który udało mi się zauważyć to proces iexplorer.exe, który pojawia się nie wiadomo skąd (!) i użycie procesora dla tego procesu oscyluje wtedy w granicach 30 - 60 %. Dorzucając pozostałe procesy w systemie - nagle zaczyna mi brakować zasobów.

Nie używam przeglądarki MS w ogóle - dlatego dziwi mnie, że ten proces w ogóle się aktywuje. Zabicie procesu nie pomaga - ponieważ za chwilę ponownie jest startowany (nie mam pojęcia przez co).

 

W pewenym momencie moje dziecko zainstalowało mi jakiegoś maleware (chyba ręcznie wyłączając Comodo), ale udało się to poczyścić ręcznie oraz za pomocą Malwarebytes Anti-Rootkit (MBAR).

 

Aktualnie skanowanie systemu za pomocą MBARa oraz TDSSKille'a nie wykazuje żadnych nieprawidłowości. 

Dodam, że cały czas na kompie zainstalowany i aktualizowany jest pakiet Comodo Internet Security.

 

Logi w załączeniu.

Addition.txt

FRST.txt

Shortcut.txt

Extras.Txt

OTL.Txt

gmer.txt

defogger_disable.log.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W systemie jest infekcja, tego cichego Internet Explorera inicjuje szkodnik moters - dokładnie tak samo jak w tym temacie: KLIK.

 

==================== Installed Programs ======================

 

moters (HKLM\...\{c8730ca5-3f82-41cc-65e2-01b87600cd89}) (Version: 1.0.0 - ningsup)

 

==================== Custom CLSID (selected items): ==========================

 

CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> c:\Users\dom\AppData\Roaming\moters\mentste.dll ()

 

==================== Loaded Modules (whitelisted) =============

 

2014-10-07 21:27 - 2014-10-07 21:27 - 00117760 _____ () c:\Users\dom\AppData\Roaming\moters\mentste.dll

 

Przeprowadź następujące działania:

 

1. Odinstaluj moters, zbędnik COMODO GeekBuddy oraz starsze wersje Adobe Flash Player 10 Plugin, Adobe Reader X (10.1.12) - Polish, Adobe Shockwave Player 12.0, Java 7 Update 51. Wykorzystaj zwykły Panel sterowania, nie stosuj w tym przypadku Revo.

 

2. Doczyszczanie pustych wpisów. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.25.5\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.23.9\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> c:\Users\dom\AppData\Roaming\moters\mentste.dll () 
CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.24.15\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.21.149\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.22.5\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.24.7\psuser.dll No File
Task: {02962626-36C8-4834-A55F-886307C6BCBA} - System32\Tasks\{90A7A78F-2EC5-47B6-A71C-4B8517C360ED} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe
Task: {14915804-8F5B-4575-9BD8-A39919301955} - System32\Tasks\{32915F96-A3DA-456E-A10D-D61ADEE074B1} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe
Task: {1975FCAD-1A1D-414A-9BF1-54B5AB9CE630} - System32\Tasks\{E02C1615-A13A-4A06-8108-E53A1E26BA45} => C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST.exe [2014-11-26] (Farbar)
Task: {2FACE3B0-B17C-41B4-8A4A-4492BBE11032} - System32\Tasks\{EC00D059-2320-4618-A44F-3650742E6660} => C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST.exe [2014-11-26] (Farbar)
Task: {30F16754-2729-4E04-9CF0-96D950D71B42} - System32\Tasks\{6D67C421-E759-4F2E-B196-DF6E265467FF} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe
Task: {3B10BE4A-F6A4-4310-A766-2888C6E4C41F} - System32\Tasks\{4DE2A50C-DEA4-44F6-BF50-5967835718F4} => C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST.exe [2014-11-26] (Farbar)
Task: {43446A14-561C-45AB-9A2B-9CEF78D49329} - System32\Tasks\{D17EFA07-E262-4CB7-9F38-052CB683B4D9} => C:\TEMP\acro_rd_dir\Motorola v3.23 Unlock_ALL MODEL(Via USB-COM PORT)\unlock\FlashBackup 2.61\PDSEditor.exe
Task: {436CB643-FE90-4565-90E1-7C788C7907D5} - System32\Tasks\{49DA0E48-7F59-4BC3-887E-5EF1C9DA1348} => C:\TEMP\acro_rd_dir\Motorola v3.23 Unlock_ALL MODEL(Via USB-COM PORT)\unlock\Motorola_unlocker_2005\P2K_Easy_Tool_v39.exe
Task: {48E17C3A-553A-45F9-9E68-FC5D263CD02B} - System32\Tasks\{C02ED746-8A91-47DC-9FFC-5BE1443599C2} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe
Task: {49E542C3-434B-431E-940F-5946D0299409} - System32\Tasks\{7988FE2F-9C1C-4FA5-83E2-EECD818CE45C} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe
Task: {5796D5E5-656F-4707-A24F-FA82ABD82F2E} - System32\Tasks\{6E6383E9-68C5-4FD9-B35F-8E8308BEF523} => C:\TEMP\acro_rd_dir\Motorola v3.23 Unlock_ALL MODEL(Via USB-COM PORT)\unlock\Motorola_unlocker_2005\Mot_unlocker.exe
Task: {5D28D2E4-EC90-4D58-8832-B1778D952243} - System32\Tasks\{9BEEE590-7931-4BA5-844C-4C33C2F7A02C} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe
Task: {68F2E973-65BA-4617-8384-26040F3A5DCE} - System32\Tasks\{C6E2C7C1-9BDA-4C07-A826-33CC91A25B90} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe
Task: {6B53F591-8A71-4832-BA39-A368A268E114} - System32\Tasks\{B44EB6FE-548B-4CD7-AAF7-FAA783B54120} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe
Task: {7EE15068-C548-408B-9682-E55BDED70000} - System32\Tasks\{F9F4A78D-C932-44A4-945F-A04CB6D2431A} => C:\TEMP\acro_rd_dir\Motorola v3.23 Unlock_ALL MODEL(Via USB-COM PORT)\unlock\Motorola_unlocker_2005\Mot_unlocker.exe
Task: {9701DF1D-04F0-4798-B7C2-DFE262D72DE2} - System32\Tasks\{86835054-A9B5-4DEE-8C9D-4889EF10967B} => C:\TEMP\acro_rd_dir\Motorola v3.23 Unlock_ALL MODEL(Via USB-COM PORT)\unlock\FlashBackup 2.61\FlashBackup.exe
Task: {B9B7F717-C235-40DD-8250-5117810CB78A} - System32\Tasks\{37087575-A35A-47B0-BDA8-7BA4D0C13D5D} => C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST.exe [2014-11-26] (Farbar)
Task: {CC94D82A-86A5-4A56-B841-BB0E5841B87E} - System32\Tasks\{464F30DB-D9C6-4785-84D1-8DE8D5C450B2} => C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST.exe [2014-11-26] (Farbar)
Task: {E3319AB6-0AD3-409B-A148-12CD654AC312} - System32\Tasks\{50A9DA52-5256-48F2-810F-181C955BE81F} => C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST.exe [2014-11-26] (Farbar)
HKU\S-1-5-21-3916604919-2912353607-3506189148-1000\...\Run: [] => [X]
BootExecute: autocheck autochk * sdnclean.exe
ShortcutWithArgument: C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1416406979&from=amt&uid=SAMSUNGXHM500JI_S20CJD0SC36258
ProxyServer: [s-1-5-21-3916604919-2912353607-3506189148-1000] => localhost:8080
HKLM\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages =
StartMenuInternet: IEXPLORE.EXE -
FF StartMenuInternet: FIREFOX.EXE -
S3 dgderdrv; System32\drivers\dgderdrv.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 motccgp; system32\DRIVERS\motccgp.sys [X]
S3 motccgpfl; system32\DRIVERS\motccgpfl.sys [X]
S3 MotDev; system32\DRIVERS\motodrv.sys [X]
S3 motmodem; system32\DRIVERS\motmodem.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\70144062.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CLPSLS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\70144062.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CLPSLS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service"
C:\Program Files\mozilla firefox\plugins
C:\Program Files\globalUpdate
C:\Program Files\predm
C:\ProgramData\Temp
C:\ProgramData\Spybot - Search & Destroy
C:\Users\dom\AppData\Roaming\.#
C:\Users\dom\AppData\Roaming\moters
C:\Users\dom\AppData\Roaming\QuickScan
C:\Users\dom\AppData\Roaming\Wandoujia2
C:\Users\dom\AppData\Roaming\YourFileDownloader
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: type C:\Windows\System32\Tasks\{EFADC6C0-73EC-4DA0-98F2-A10461BD60B2}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, gdyż COMODO będzie bruździł i uniemożliwi pracę FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Specjalny skrót Internet Explorer jest uszkodzony (nieumiejętne doczyszczanie przypuszczalnie przekierowań mystartsearch.com):

 

Shortcut: C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

 

 

 

 

.

Odnośnik do komentarza

No teraz mnie coś "cknęło", że nie mogłem tych logów, które się wyświetliły zapisać, bo coś z uprawneiniami do zapisu w tym katalogu było nie tak .... Hmm może to jest tak, że wczytał zawartość poprzednich logów (nie skasowałem ich przed ponownym skanowaniem).

 

No, ale to aktualnie nie jest problemem, ponieważ po tym jak fix został zapodany, po jakimś czasie wyłączyłem lapka. I już nie włącza się .... Każda próba kończy się niebieskim ekranem - nawet nie mogę uruchomić kompa w trybie awaryjnym .... Nie wiem na ile jest to związane z procedurą fix'owania, na ile to jest coś innego, ale nic więcej nei robiłem, a tu zonk.

 

Błąd (na blue screen'ie) to: 0x000000F4 (0x00000003, 0x8877B2C8, 0x8877B434, 0x83A60EC0). Generalnie 0x000000F4 jest zawsze, to w nawiasie się zmienia ....

 

Najgorsze, że w żadnym trybie nie mogę uruchomić tego lapka (awaryjny, awaryjny z/bez sieci, itp ....)

Odnośnik do komentarza

No teraz mnie coś "cknęło", że nie mogłem tych logów, które się wyświetliły zapisać, bo coś z uprawneiniami do zapisu w tym katalogu było nie tak ....

Jedyne co mi przychodzi do głowy jako zapalnik usterki to COMODO, ale Fix był przecież wykonywany w Tybie awaryjnym, więc zupełnie nie rozumiem o co tu chodzi. W świeżo dostarczonym logu FRST widać dziwne rzeczy, dziś na dysku pojawiły się ... pliki antywirusa McAfee (wcześniej w systemie były widoczne tylko mini odpadki po kiedyś przeprowadzonej deinstalacji), a także odświeżone pliki nVidia. To mi wygląda na jakieś próby auto-recovery systemu po awarii.

 

 

 

==================== One Month Created Files and Folders ========

 

(If an entry is included in the fixlist, the file\folder will be moved.)

 

2014-11-28 00:05 - 2009-11-05 20:07 - 01550952 _____ (NVIDIA Corporation) C:\Windows\System32\nvencodemft.dll

2014-11-28 00:05 - 2009-11-05 20:07 - 00592488 _____ (NVIDIA Corporation) C:\Windows\System32\nvuninst.exe

2014-11-28 00:05 - 2009-11-05 20:07 - 00592488 _____ (NVIDIA Corporation) C:\Windows\System32\nvudisp.exe

2014-11-28 00:05 - 2009-11-05 20:07 - 00285288 _____ (NVIDIA Corporation) C:\Windows\System32\nvdecodemft.dll

2014-11-28 00:05 - 2009-11-05 20:07 - 00174696 _____ (NVIDIA Corporation) C:\Windows\System32\nvcod174.dll

2014-11-28 00:05 - 2009-11-05 20:07 - 00174696 _____ (NVIDIA Corporation) C:\Windows\System32\nvcod.dll

2014-11-28 00:05 - 2009-11-05 20:07 - 00010984 _____ (NVIDIA Corporation) C:\Windows\System32\Drivers\nvBridge.kmd

2014-11-28 00:05 - 2009-11-04 15:16 - 01514088 _____ (NVIDIA Corporation) C:\Windows\System32\nvcpluir.dll

2014-11-28 00:05 - 2009-11-04 15:16 - 01190504 _____ (NVIDIA Corporation) C:\Windows\System32\nvcplui.exe

2014-11-28 00:05 - 2009-11-04 15:16 - 00420456 _____ (NVIDIA Corporation) C:\Windows\System32\nvcpl.cpl

2014-11-28 00:05 - 2009-11-04 15:15 - 06113896 _____ (NVIDIA Corporation) C:\Windows\System32\nvdispsr.dll

2014-11-28 00:05 - 2009-11-04 15:15 - 04561512 _____ (NVIDIA Corporation) C:\Windows\System32\nvvitvsr.dll

2014-11-28 00:05 - 2009-11-04 15:15 - 04557416 _____ (NVIDIA Corporation) C:\Windows\System32\nvgamesr.dll

2014-11-28 00:05 - 2009-11-04 15:15 - 04045416 _____ (NVIDIA Corporation) C:\Windows\System32\nvvitvs.dll

2014-11-28 00:05 - 2009-11-04 15:15 - 04029032 _____ (NVIDIA Corporation) C:\Windows\System32\nvdisps.dll

2014-11-28 00:05 - 2009-11-04 15:15 - 03656296 _____ (NVIDIA Corporation) C:\Windows\System32\nvwssr.dll

2014-11-28 00:05 - 2009-11-04 15:15 - 03533416 _____ (NVIDIA Corporation) C:\Windows\System32\nvgames.dll

2014-11-28 00:05 - 2009-11-04 15:15 - 03127912 _____ (NVIDIA Corporation) C:\Windows\System32\nvwss.dll

2014-11-28 00:05 - 2009-11-04 15:15 - 02861672 _____ (NVIDIA Corporation) C:\Windows\System32\nvmoblsr.dll

2014-11-28 00:05 - 2009-11-04 15:15 - 01358440 _____ (NVIDIA Corporation) C:\Windows\System32\nvsvsr.dll

2014-11-28 00:05 - 2009-11-04 15:15 - 01297000 _____ (NVIDIA Corporation) C:\Windows\System32\nvsvs.dll

2014-11-28 00:05 - 2009-11-04 15:15 - 01288808 _____ (NVIDIA Corporation) C:\Windows\System32\nvmobls.dll

2014-11-28 00:05 - 2009-11-04 15:15 - 00465512 _____ (NVIDIA Corporation) C:\Windows\System32\nvmccssr.dll

2014-11-28 00:05 - 2009-11-04 15:15 - 00195176 _____ (NVIDIA Corporation) C:\Windows\System32\nvmccss.dll

2014-11-28 00:05 - 2009-07-13 17:15 - 00606208 _____ (Microsoft Corporation) C:\Windows\System32\mstime.dll

2014-11-28 00:05 - 2009-07-13 17:15 - 00229376 _____ (Microsoft Corporation) C:\Windows\System32\ieaksie.dll

2014-11-28 00:05 - 2009-07-13 17:15 - 00126976 _____ (Microsoft Corporation) C:\Windows\System32\ieakeng.dll

2014-11-28 00:05 - 2009-07-13 17:15 - 00018432 _____ (Microsoft Corporation) C:\Windows\System32\corpol.dll

2014-11-28 00:05 - 2009-07-13 17:14 - 00073216 _____ (Microsoft Corporation) C:\Windows\System32\admparse.dll

2014-11-28 00:05 - 2009-07-13 17:05 - 00163840 _____ (Microsoft Corporation) C:\Windows\System32\ieakui.dll

2014-11-28 00:05 - 2009-06-25 06:07 - 00485920 _____ (NVIDIA Corporation) C:\Windows\System32\nvuhda.exe

2014-11-28 00:05 - 2009-06-25 06:07 - 00151552 _____ (NVIDIA Corporation) C:\Windows\System32\nvcohda.dll

2014-11-28 00:05 - 2009-06-17 17:15 - 00214024 _____ (McAfee, Inc.) C:\Windows\System32\Drivers\mfehidk.sys

2014-11-28 00:05 - 2009-06-17 17:15 - 00079816 _____ (McAfee, Inc.) C:\Windows\System32\Drivers\mfeavfk.sys

2014-11-28 00:05 - 2009-06-17 17:15 - 00040552 _____ (McAfee, Inc.) C:\Windows\System32\Drivers\mfesmfk.sys

2014-11-28 00:05 - 2009-06-17 17:15 - 00035272 _____ (McAfee, Inc.) C:\Windows\System32\Drivers\mfebopk.sys

2014-11-28 00:05 - 2009-06-17 17:14 - 00034248 _____ (McAfee, Inc.) C:\Windows\System32\Drivers\mferkdk.sys

2014-11-28 00:05 - 2009-04-08 21:23 - 00130424 _____ (McAfee, Inc.) C:\Windows\System32\Drivers\Mpfp.sys

2014-11-28 00:05 - 2006-07-24 01:50 - 00125744 _____ (Microsoft Corporation) C:\Windows\System32\MSSTDFMT.DLL

2014-11-28 00:05 - 2006-07-24 01:50 - 00039728 _____ (Microsoft Corporation) C:\Windows\System32\SCP32.DLL

2014-11-27 11:38 - 2014-11-27 22:25 - 261230421 _____ () C:\Windows\MEMORY.DMP

2014-11-26 09:52 - 2014-11-28 09:34 - 00000000 ____D () C:\FRST

 

 

 

W systemie brak punktów Przywracania systemu. Na początku tematu był jeden jedyny punkt, ale obecnie log wykazuje, że zaginął:

 

==================== Restore Points =========================

 

25-11-2014 22:24:15 Windows Update

 

Spróbujmy więc cofnąć rejestr w oparciu o kopię RegBack systemu:

 

1. Przygotuj w Notatniku plik fixlist.txt do FRST o zawartości:

 

LastRegBack: 2014-11-25 13:22

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik fixlist.txt umieść tam gdzie siedzi FRST na pendrive. Uruchom FRST i kliknij w Fix. Na pendrive H powstanie plik fixlog.txt - pokaż go.

 

2. Sprawdź czy dasz radę uruchomić normalnie system. A jeśli tak, to zrób spod Windows nowe logi FRST (główny + Addition).

 

 

 

.

Odnośnik do komentarza

Przywrócenie rejestru spowodowało częściowe przywrócenie niektórych wpisów, wróciły na listę zainstalowanych poprzednio usuwane programy. Obecnie są to uszkodzone wpisy, bo na dysku brak powiązanych folderów. Przechodzimy do usunięcia odtworzonych szczątków:

1. Przed jakimikolwiek akcjami:
- Skopiuj na Pulpit folder C:\Windows\Minidump, spakuj do ZIP, shostuj gdzieś i dostarcz tu link.
- Utwórz ręcznie nowy punkt Przywracania systemu, by w razie ponownej usterki był inny sposób przywrócenia systemu do sprawności.

2. Usuń szczątkowe pozycje z listy programów:
- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > po kolei zaznacz na liście uszkodzone pozycje COMODO GeekBuddy, Java 7 Update 51, moters > Dalej.
- Zastosuj specjalne usuwacze: Adobe Reader and Acrobat Cleaner Tool (zaptaszkuj "By downloading..." i z listy wybierz wersję AcroCleaner for 10.x and later) + Uninstaller for Flash Player.

3. Otwórz Notatnik i wklej w nim:

Task: {02962626-36C8-4834-A55F-886307C6BCBA} - \{90A7A78F-2EC5-47B6-A71C-4B8517C360ED} No Task File Task: {14915804-8F5B-4575-9BD8-A39919301955} - \{32915F96-A3DA-456E-A10D-D61ADEE074B1} No Task File Task: {30F16754-2729-4E04-9CF0-96D950D71B42} - \{6D67C421-E759-4F2E-B196-DF6E265467FF} No Task File Task: {43446A14-561C-45AB-9A2B-9CEF78D49329} - \{D17EFA07-E262-4CB7-9F38-052CB683B4D9} No Task File Task: {436CB643-FE90-4565-90E1-7C788C7907D5} - \{49DA0E48-7F59-4BC3-887E-5EF1C9DA1348} No Task File Task: {48E17C3A-553A-45F9-9E68-FC5D263CD02B} - \{C02ED746-8A91-47DC-9FFC-5BE1443599C2} No Task File Task: {49E542C3-434B-431E-940F-5946D0299409} - \{7988FE2F-9C1C-4FA5-83E2-EECD818CE45C} No Task File Task: {5796D5E5-656F-4707-A24F-FA82ABD82F2E} - \{6E6383E9-68C5-4FD9-B35F-8E8308BEF523} No Task File Task: {5D28D2E4-EC90-4D58-8832-B1778D952243} - \{9BEEE590-7931-4BA5-844C-4C33C2F7A02C} No Task File Task: {6883DB79-DB86-481C-94A8-5ADE4179E76B} - System32\Tasks\{EFADC6C0-73EC-4DA0-98F2-A10461BD60B2} => c:\program files\pale moon\palemoon.exe [2014-11-19] (Moonchild Productions)
Task: {68F2E973-65BA-4617-8384-26040F3A5DCE} - \{C6E2C7C1-9BDA-4C07-A826-33CC91A25B90} No Task File Task: {6B53F591-8A71-4832-BA39-A368A268E114} - \{B44EB6FE-548B-4CD7-AAF7-FAA783B54120} No Task File Task: {7EE15068-C548-408B-9682-E55BDED70000} - \{F9F4A78D-C932-44A4-945F-A04CB6D2431A} No Task File Task: {9701DF1D-04F0-4798-B7C2-DFE262D72DE2} - \{86835054-A9B5-4DEE-8C9D-4889EF10967B} No Task File Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X]
BootExecute: autocheck autochk * sdnclean.exe
S3 AdobeARMservice; "C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe" [X]
S2 CLPSLS; C:\Program Files\COMODO\COMODO GeekBuddy\CLPSLS.exe [X]
S3 SDScannerService; "C:\Program Files\Spybot - Search & Destroy 2\SDFSSvc.exe" [X]
S3 SDUpdateService; "C:\Program Files\Spybot - Search & Destroy 2\SDUpdSvc.exe" [X]
S3 SDWSCService; C:\Program Files\Spybot - Search & Destroy 2\SDWSCSvc.exe [X]
S3 dgderdrv; System32\drivers\dgderdrv.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 motccgp; system32\DRIVERS\motccgp.sys [X]
S3 motccgpfl; system32\DRIVERS\motccgpfl.sys [X]
S3 MotDev; system32\DRIVERS\motodrv.sys [X]
S3 motmodem; system32\DRIVERS\motmodem.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CLPSLS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CLPSLS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service"
HKLM\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages =
StartMenuInternet: IEXPLORE.EXE -
FF StartMenuInternet: FIREFOX.EXE -
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre7\bin\ssv.dll No File
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll No File
FF Plugin: @adobe.com/FlashPlayer -> C:\windows\system32\Macromed\Flash\NPSWF32.dll No File
FF Plugin: @adobe.com/ShockwavePlayer -> C:\windows\system32\Adobe\Director\np32dsw_1204144.dll (Adobe Systems, Inc.)
FF Plugin: @java.com/DTPlugin,version=10.51.2 -> C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll No File
FF Plugin: @java.com/JavaPlugin,version=10.51.2 -> C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll No File
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll No File
C:\windows\system32\Drivers\mfeavfk.sys
C:\windows\system32\Drivers\mfebopk.sys
C:\windows\system32\Drivers\mfehidk.sys
C:\windows\system32\Drivers\mferkdk.sys
C:\windows\system32\Drivers\mfesmfk.sys
C:\windows\system32\Drivers\Mpfp.sys
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1 /f
Reboot:


Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO. Uruchom FRST i kliknij w Fix. Ma nastąpić restart systemu. Powstanie kolejny plik fixlog.txt.

4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.




.

Odnośnik do komentarza

Skopiuj na Pulpit folder C:\Windows\Minidump, spakuj do ZIP, shostuj gdzieś i dostarcz tu link.

Nie dostarczyłeś mi tej paczki.

 

 

Na liście dla FixIt'a microsoftu miałem tylko Javę, nie było pozycji COMODO GeekBuddy i moters. Moters aktualnie nie wystepuje juz na liscie zainstalowanych programow. Comodo tak.

moters nadal występuje na liście zainstalowanych, mimo że jest niewidoczny, więc dokończę to ręcznie. Poprawki:

 

1. Skorzystaj z normalnego Panelu sterowania i spróbuj odinstalować ten szczątek COMODO GeekBuddy (Windows przynajmniej powinien zapytać, czy usuwać "puste wejście") oraz pozycję Adobe Shockwave Player 12.0 (zapomniałam go uwzględnić).

 

2. Pod kątem moters - otwórz Notatnik i wklej w nim:

 

Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{c8730ca5-3f82-41cc-65e2-01b87600cd89} /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny.

 

 

 

.

Odnośnik do komentarza

Ten BSOD 0x000000f4 (CRITICAL_OBJECT_TERMINATION) jednak zdaje się być powiązany z COMODO - w stosie występuje kontekst sterownika COMODO (cmdguard.sys) - w spoilerze wyniki debugowania zrzutu pamięci Minidump. Nie mam pojęcia jednak dlaczego to się zbiegło z Fixem.

 

 

 

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************

 

CRITICAL_OBJECT_TERMINATION (f4)

A process or thread crucial to system operation has unexpectedly exited or been

terminated.

Several processes and threads are necessary for the operation of the

system; when they are terminated (for any reason), the system can no

longer function.

Arguments:

Arg1: 00000003, Process

Arg2: 8abba370, Terminating object

Arg3: 8abba4dc, Process image file name

Arg4: 84668ec0, Explanatory message (ascii)

 

Debugging Details:

------------------

 

----- ETW minidump data unavailable-----

 

KERNEL_LOG_FAILING_PROCESS: pA

 

PROCESS_OBJECT: 8abba370

 

IMAGE_NAME: wininit.exe

 

DEBUG_FLR_IMAGE_TIMESTAMP: 0

 

MODULE_NAME: wininit

 

FAULTING_MODULE: 00000000

 

PROCESS_NAME: wininit.exe

 

EXCEPTION_CODE: (Win32) 0x5 (5) - Odmowa dostępu.

 

BUGCHECK_STR: 0xF4_5

 

CUSTOMER_CRASH_COUNT: 1

 

DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT

 

CURRENT_IRQL: 0

 

STACK_TEXT:

95544c48 8472e3af 000000f4 00000003 8abba370 nt!KeBugCheckEx+0x1e

95544c6c 846ac009 84668ec0 8abba4dc 8abba408 nt!PspCatchCriticalBreak+0x71

95544c9c 846abf4c 8abba370 8abb8580 00000005 nt!PspTerminateAllThreads+0x2d

95544cd0 91637c4c 00000000 00000005 043ebc78 nt!NtTerminateProcess+0x1a2

WARNING: Stack unwind information not available. Following frames may be wrong.

95544d24 8448d8c6 00000000 00000005 0009f71c cmdguard+0xfc4c

95544d24 771b70f4 00000000 00000005 0009f71c nt!KiSystemServicePostCall

0009f71c 00000000 00000000 00000000 00000000 0x771b70f4

 

 

STACK_COMMAND: kb

 

FOLLOWUP_NAME: MachineOwner

 

FAILURE_BUCKET_ID: 0xF4_5_IMAGE_wininit.exe

 

BUCKET_ID: 0xF4_5_IMAGE_wininit.exe

 

Followup: MachineOwner

---------

 

 

 

Czy notujesz jeszcze jakieś problemy? Ostatnie zadanie pomyślnie wykonane. Kończymy:

 

1. Ręcznie usuń:

 

C:\MATS (od narzędzia Fix it Microsoftu)

C:\Users\dom\Desktop\przegladarki\Palemoon_download (pobrane narzędzia z tego folderu)

C:\Windows\system32\config\HiveBackup (kopia rejestru utworzona przez FRST)

 

2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz (o ile potrzebne) uzupełnij najnowsze instalacje Adobe i Java: KLIK.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...