pandrzej Opublikowano 27 Listopada 2014 Zgłoś Udostępnij Opublikowano 27 Listopada 2014 Witam, To mój pierwszy post na forum, więc proszę o wyrozumiałość jeśli czegoś w sposób jasny i klarowny nie przedstawię. Generalnie od jakiegoś czasu mam problemy z wydajnością swojego kompa (laptopa). Objawia się to tym, że po kilku / kilkunastu minutach po uruchomieniu nagle wszystko zaczyna się "mulić" - czy to będzie jakaś gra, edycja testu, przeglądanie stron internetowych. Restart pomaga połowicznie, tzn. po ponownym uruchomieniu po jakimś czasie ponownie pojawia się to "zamulenie". Jedynym tropem, który udało mi się zauważyć to proces iexplorer.exe, który pojawia się nie wiadomo skąd (!) i użycie procesora dla tego procesu oscyluje wtedy w granicach 30 - 60 %. Dorzucając pozostałe procesy w systemie - nagle zaczyna mi brakować zasobów. Nie używam przeglądarki MS w ogóle - dlatego dziwi mnie, że ten proces w ogóle się aktywuje. Zabicie procesu nie pomaga - ponieważ za chwilę ponownie jest startowany (nie mam pojęcia przez co). W pewenym momencie moje dziecko zainstalowało mi jakiegoś maleware (chyba ręcznie wyłączając Comodo), ale udało się to poczyścić ręcznie oraz za pomocą Malwarebytes Anti-Rootkit (MBAR). Aktualnie skanowanie systemu za pomocą MBARa oraz TDSSKille'a nie wykazuje żadnych nieprawidłowości. Dodam, że cały czas na kompie zainstalowany i aktualizowany jest pakiet Comodo Internet Security. Logi w załączeniu. Addition.txt FRST.txt Shortcut.txt Extras.Txt OTL.Txt gmer.txt defogger_disable.log.txt Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2014 Zgłoś Udostępnij Opublikowano 27 Listopada 2014 W systemie jest infekcja, tego cichego Internet Explorera inicjuje szkodnik moters - dokładnie tak samo jak w tym temacie: KLIK. ==================== Installed Programs ====================== moters (HKLM\...\{c8730ca5-3f82-41cc-65e2-01b87600cd89}) (Version: 1.0.0 - ningsup) ==================== Custom CLSID (selected items): ========================== CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> c:\Users\dom\AppData\Roaming\moters\mentste.dll () ==================== Loaded Modules (whitelisted) ============= 2014-10-07 21:27 - 2014-10-07 21:27 - 00117760 _____ () c:\Users\dom\AppData\Roaming\moters\mentste.dll Przeprowadź następujące działania: 1. Odinstaluj moters, zbędnik COMODO GeekBuddy oraz starsze wersje Adobe Flash Player 10 Plugin, Adobe Reader X (10.1.12) - Polish, Adobe Shockwave Player 12.0, Java 7 Update 51. Wykorzystaj zwykły Panel sterowania, nie stosuj w tym przypadku Revo. 2. Doczyszczanie pustych wpisów. Otwórz Notatnik i wklej w nim: CloseProcesses: CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.25.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.23.9\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> c:\Users\dom\AppData\Roaming\moters\mentste.dll () CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.24.15\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.21.149\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.22.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.24.7\psuser.dll No File Task: {02962626-36C8-4834-A55F-886307C6BCBA} - System32\Tasks\{90A7A78F-2EC5-47B6-A71C-4B8517C360ED} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe Task: {14915804-8F5B-4575-9BD8-A39919301955} - System32\Tasks\{32915F96-A3DA-456E-A10D-D61ADEE074B1} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe Task: {1975FCAD-1A1D-414A-9BF1-54B5AB9CE630} - System32\Tasks\{E02C1615-A13A-4A06-8108-E53A1E26BA45} => C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST.exe [2014-11-26] (Farbar) Task: {2FACE3B0-B17C-41B4-8A4A-4492BBE11032} - System32\Tasks\{EC00D059-2320-4618-A44F-3650742E6660} => C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST.exe [2014-11-26] (Farbar) Task: {30F16754-2729-4E04-9CF0-96D950D71B42} - System32\Tasks\{6D67C421-E759-4F2E-B196-DF6E265467FF} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe Task: {3B10BE4A-F6A4-4310-A766-2888C6E4C41F} - System32\Tasks\{4DE2A50C-DEA4-44F6-BF50-5967835718F4} => C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST.exe [2014-11-26] (Farbar) Task: {43446A14-561C-45AB-9A2B-9CEF78D49329} - System32\Tasks\{D17EFA07-E262-4CB7-9F38-052CB683B4D9} => C:\TEMP\acro_rd_dir\Motorola v3.23 Unlock_ALL MODEL(Via USB-COM PORT)\unlock\FlashBackup 2.61\PDSEditor.exe Task: {436CB643-FE90-4565-90E1-7C788C7907D5} - System32\Tasks\{49DA0E48-7F59-4BC3-887E-5EF1C9DA1348} => C:\TEMP\acro_rd_dir\Motorola v3.23 Unlock_ALL MODEL(Via USB-COM PORT)\unlock\Motorola_unlocker_2005\P2K_Easy_Tool_v39.exe Task: {48E17C3A-553A-45F9-9E68-FC5D263CD02B} - System32\Tasks\{C02ED746-8A91-47DC-9FFC-5BE1443599C2} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe Task: {49E542C3-434B-431E-940F-5946D0299409} - System32\Tasks\{7988FE2F-9C1C-4FA5-83E2-EECD818CE45C} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe Task: {5796D5E5-656F-4707-A24F-FA82ABD82F2E} - System32\Tasks\{6E6383E9-68C5-4FD9-B35F-8E8308BEF523} => C:\TEMP\acro_rd_dir\Motorola v3.23 Unlock_ALL MODEL(Via USB-COM PORT)\unlock\Motorola_unlocker_2005\Mot_unlocker.exe Task: {5D28D2E4-EC90-4D58-8832-B1778D952243} - System32\Tasks\{9BEEE590-7931-4BA5-844C-4C33C2F7A02C} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe Task: {68F2E973-65BA-4617-8384-26040F3A5DCE} - System32\Tasks\{C6E2C7C1-9BDA-4C07-A826-33CC91A25B90} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe Task: {6B53F591-8A71-4832-BA39-A368A268E114} - System32\Tasks\{B44EB6FE-548B-4CD7-AAF7-FAA783B54120} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe Task: {7EE15068-C548-408B-9682-E55BDED70000} - System32\Tasks\{F9F4A78D-C932-44A4-945F-A04CB6D2431A} => C:\TEMP\acro_rd_dir\Motorola v3.23 Unlock_ALL MODEL(Via USB-COM PORT)\unlock\Motorola_unlocker_2005\Mot_unlocker.exe Task: {9701DF1D-04F0-4798-B7C2-DFE262D72DE2} - System32\Tasks\{86835054-A9B5-4DEE-8C9D-4889EF10967B} => C:\TEMP\acro_rd_dir\Motorola v3.23 Unlock_ALL MODEL(Via USB-COM PORT)\unlock\FlashBackup 2.61\FlashBackup.exe Task: {B9B7F717-C235-40DD-8250-5117810CB78A} - System32\Tasks\{37087575-A35A-47B0-BDA8-7BA4D0C13D5D} => C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST.exe [2014-11-26] (Farbar) Task: {CC94D82A-86A5-4A56-B841-BB0E5841B87E} - System32\Tasks\{464F30DB-D9C6-4785-84D1-8DE8D5C450B2} => C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST.exe [2014-11-26] (Farbar) Task: {E3319AB6-0AD3-409B-A148-12CD654AC312} - System32\Tasks\{50A9DA52-5256-48F2-810F-181C955BE81F} => C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST.exe [2014-11-26] (Farbar) HKU\S-1-5-21-3916604919-2912353607-3506189148-1000\...\Run: [] => [X] BootExecute: autocheck autochk * sdnclean.exe ShortcutWithArgument: C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1416406979&from=amt&uid=SAMSUNGXHM500JI_S20CJD0SC36258 ProxyServer: [s-1-5-21-3916604919-2912353607-3506189148-1000] => localhost:8080 HKLM\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = StartMenuInternet: IEXPLORE.EXE - FF StartMenuInternet: FIREFOX.EXE - S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 motccgp; system32\DRIVERS\motccgp.sys [X] S3 motccgpfl; system32\DRIVERS\motccgpfl.sys [X] S3 MotDev; system32\DRIVERS\motodrv.sys [X] S3 motmodem; system32\DRIVERS\motmodem.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\70144062.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CLPSLS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\70144062.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CLPSLS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\Program Files\mozilla firefox\plugins C:\Program Files\globalUpdate C:\Program Files\predm C:\ProgramData\Temp C:\ProgramData\Spybot - Search & Destroy C:\Users\dom\AppData\Roaming\.# C:\Users\dom\AppData\Roaming\moters C:\Users\dom\AppData\Roaming\QuickScan C:\Users\dom\AppData\Roaming\Wandoujia2 C:\Users\dom\AppData\Roaming\YourFileDownloader Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: type C:\Windows\System32\Tasks\{EFADC6C0-73EC-4DA0-98F2-A10461BD60B2} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, gdyż COMODO będzie bruździł i uniemożliwi pracę FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Specjalny skrót Internet Explorer jest uszkodzony (nieumiejętne doczyszczanie przypuszczalnie przekierowań mystartsearch.com): Shortcut: C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
pandrzej Opublikowano 27 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2014 OK. Wykonałem wszystko. Logi w załączniku. FRST.txt Shortcut.txt Addition.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2014 Zgłoś Udostępnij Opublikowano 27 Listopada 2014 Fix niby wykonany, tylko że jakoby "świeże logi" FRST pokazują wszystko to co było wcześniej i absolutnie żadnych zmian, tak jakby były zrobione przed fixem lub coś odkręciło dokumentnie wszystko. Proszę zresetuj komputer i zrób nowe logi FRST. Odnośnik do komentarza
pandrzej Opublikowano 28 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2014 No teraz mnie coś "cknęło", że nie mogłem tych logów, które się wyświetliły zapisać, bo coś z uprawneiniami do zapisu w tym katalogu było nie tak .... Hmm może to jest tak, że wczytał zawartość poprzednich logów (nie skasowałem ich przed ponownym skanowaniem). No, ale to aktualnie nie jest problemem, ponieważ po tym jak fix został zapodany, po jakimś czasie wyłączyłem lapka. I już nie włącza się .... Każda próba kończy się niebieskim ekranem - nawet nie mogę uruchomić kompa w trybie awaryjnym .... Nie wiem na ile jest to związane z procedurą fix'owania, na ile to jest coś innego, ale nic więcej nei robiłem, a tu zonk. Błąd (na blue screen'ie) to: 0x000000F4 (0x00000003, 0x8877B2C8, 0x8877B434, 0x83A60EC0). Generalnie 0x000000F4 jest zawsze, to w nawiasie się zmienia .... Najgorsze, że w żadnym trybie nie mogę uruchomić tego lapka (awaryjny, awaryjny z/bez sieci, itp ....) Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2014 Zgłoś Udostępnij Opublikowano 28 Listopada 2014 Nie rozumiem co się stało, w Fix nie było nic takiego co mogło uszkodzić system... F8 > Napraw komputer > Wiersz polecenia > zrób raport FRST wg instrukcji: KLIK. W zależności od tego co tam zobaczę podam stosowne instrukcje naprawcze. Odnośnik do komentarza
pandrzej Opublikowano 28 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2014 Tez nie mam pojęcia co się stało .... Log w załączeniu. FRST_recovery_log.txt Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2014 Zgłoś Udostępnij Opublikowano 28 Listopada 2014 No teraz mnie coś "cknęło", że nie mogłem tych logów, które się wyświetliły zapisać, bo coś z uprawneiniami do zapisu w tym katalogu było nie tak .... Jedyne co mi przychodzi do głowy jako zapalnik usterki to COMODO, ale Fix był przecież wykonywany w Tybie awaryjnym, więc zupełnie nie rozumiem o co tu chodzi. W świeżo dostarczonym logu FRST widać dziwne rzeczy, dziś na dysku pojawiły się ... pliki antywirusa McAfee (wcześniej w systemie były widoczne tylko mini odpadki po kiedyś przeprowadzonej deinstalacji), a także odświeżone pliki nVidia. To mi wygląda na jakieś próby auto-recovery systemu po awarii. ==================== One Month Created Files and Folders ======== (If an entry is included in the fixlist, the file\folder will be moved.) 2014-11-28 00:05 - 2009-11-05 20:07 - 01550952 _____ (NVIDIA Corporation) C:\Windows\System32\nvencodemft.dll 2014-11-28 00:05 - 2009-11-05 20:07 - 00592488 _____ (NVIDIA Corporation) C:\Windows\System32\nvuninst.exe 2014-11-28 00:05 - 2009-11-05 20:07 - 00592488 _____ (NVIDIA Corporation) C:\Windows\System32\nvudisp.exe 2014-11-28 00:05 - 2009-11-05 20:07 - 00285288 _____ (NVIDIA Corporation) C:\Windows\System32\nvdecodemft.dll 2014-11-28 00:05 - 2009-11-05 20:07 - 00174696 _____ (NVIDIA Corporation) C:\Windows\System32\nvcod174.dll 2014-11-28 00:05 - 2009-11-05 20:07 - 00174696 _____ (NVIDIA Corporation) C:\Windows\System32\nvcod.dll 2014-11-28 00:05 - 2009-11-05 20:07 - 00010984 _____ (NVIDIA Corporation) C:\Windows\System32\Drivers\nvBridge.kmd 2014-11-28 00:05 - 2009-11-04 15:16 - 01514088 _____ (NVIDIA Corporation) C:\Windows\System32\nvcpluir.dll 2014-11-28 00:05 - 2009-11-04 15:16 - 01190504 _____ (NVIDIA Corporation) C:\Windows\System32\nvcplui.exe 2014-11-28 00:05 - 2009-11-04 15:16 - 00420456 _____ (NVIDIA Corporation) C:\Windows\System32\nvcpl.cpl 2014-11-28 00:05 - 2009-11-04 15:15 - 06113896 _____ (NVIDIA Corporation) C:\Windows\System32\nvdispsr.dll 2014-11-28 00:05 - 2009-11-04 15:15 - 04561512 _____ (NVIDIA Corporation) C:\Windows\System32\nvvitvsr.dll 2014-11-28 00:05 - 2009-11-04 15:15 - 04557416 _____ (NVIDIA Corporation) C:\Windows\System32\nvgamesr.dll 2014-11-28 00:05 - 2009-11-04 15:15 - 04045416 _____ (NVIDIA Corporation) C:\Windows\System32\nvvitvs.dll 2014-11-28 00:05 - 2009-11-04 15:15 - 04029032 _____ (NVIDIA Corporation) C:\Windows\System32\nvdisps.dll 2014-11-28 00:05 - 2009-11-04 15:15 - 03656296 _____ (NVIDIA Corporation) C:\Windows\System32\nvwssr.dll 2014-11-28 00:05 - 2009-11-04 15:15 - 03533416 _____ (NVIDIA Corporation) C:\Windows\System32\nvgames.dll 2014-11-28 00:05 - 2009-11-04 15:15 - 03127912 _____ (NVIDIA Corporation) C:\Windows\System32\nvwss.dll 2014-11-28 00:05 - 2009-11-04 15:15 - 02861672 _____ (NVIDIA Corporation) C:\Windows\System32\nvmoblsr.dll 2014-11-28 00:05 - 2009-11-04 15:15 - 01358440 _____ (NVIDIA Corporation) C:\Windows\System32\nvsvsr.dll 2014-11-28 00:05 - 2009-11-04 15:15 - 01297000 _____ (NVIDIA Corporation) C:\Windows\System32\nvsvs.dll 2014-11-28 00:05 - 2009-11-04 15:15 - 01288808 _____ (NVIDIA Corporation) C:\Windows\System32\nvmobls.dll 2014-11-28 00:05 - 2009-11-04 15:15 - 00465512 _____ (NVIDIA Corporation) C:\Windows\System32\nvmccssr.dll 2014-11-28 00:05 - 2009-11-04 15:15 - 00195176 _____ (NVIDIA Corporation) C:\Windows\System32\nvmccss.dll 2014-11-28 00:05 - 2009-07-13 17:15 - 00606208 _____ (Microsoft Corporation) C:\Windows\System32\mstime.dll 2014-11-28 00:05 - 2009-07-13 17:15 - 00229376 _____ (Microsoft Corporation) C:\Windows\System32\ieaksie.dll 2014-11-28 00:05 - 2009-07-13 17:15 - 00126976 _____ (Microsoft Corporation) C:\Windows\System32\ieakeng.dll 2014-11-28 00:05 - 2009-07-13 17:15 - 00018432 _____ (Microsoft Corporation) C:\Windows\System32\corpol.dll 2014-11-28 00:05 - 2009-07-13 17:14 - 00073216 _____ (Microsoft Corporation) C:\Windows\System32\admparse.dll 2014-11-28 00:05 - 2009-07-13 17:05 - 00163840 _____ (Microsoft Corporation) C:\Windows\System32\ieakui.dll 2014-11-28 00:05 - 2009-06-25 06:07 - 00485920 _____ (NVIDIA Corporation) C:\Windows\System32\nvuhda.exe 2014-11-28 00:05 - 2009-06-25 06:07 - 00151552 _____ (NVIDIA Corporation) C:\Windows\System32\nvcohda.dll 2014-11-28 00:05 - 2009-06-17 17:15 - 00214024 _____ (McAfee, Inc.) C:\Windows\System32\Drivers\mfehidk.sys 2014-11-28 00:05 - 2009-06-17 17:15 - 00079816 _____ (McAfee, Inc.) C:\Windows\System32\Drivers\mfeavfk.sys 2014-11-28 00:05 - 2009-06-17 17:15 - 00040552 _____ (McAfee, Inc.) C:\Windows\System32\Drivers\mfesmfk.sys 2014-11-28 00:05 - 2009-06-17 17:15 - 00035272 _____ (McAfee, Inc.) C:\Windows\System32\Drivers\mfebopk.sys 2014-11-28 00:05 - 2009-06-17 17:14 - 00034248 _____ (McAfee, Inc.) C:\Windows\System32\Drivers\mferkdk.sys 2014-11-28 00:05 - 2009-04-08 21:23 - 00130424 _____ (McAfee, Inc.) C:\Windows\System32\Drivers\Mpfp.sys 2014-11-28 00:05 - 2006-07-24 01:50 - 00125744 _____ (Microsoft Corporation) C:\Windows\System32\MSSTDFMT.DLL 2014-11-28 00:05 - 2006-07-24 01:50 - 00039728 _____ (Microsoft Corporation) C:\Windows\System32\SCP32.DLL 2014-11-27 11:38 - 2014-11-27 22:25 - 261230421 _____ () C:\Windows\MEMORY.DMP 2014-11-26 09:52 - 2014-11-28 09:34 - 00000000 ____D () C:\FRST W systemie brak punktów Przywracania systemu. Na początku tematu był jeden jedyny punkt, ale obecnie log wykazuje, że zaginął: ==================== Restore Points ========================= 25-11-2014 22:24:15 Windows Update Spróbujmy więc cofnąć rejestr w oparciu o kopię RegBack systemu: 1. Przygotuj w Notatniku plik fixlist.txt do FRST o zawartości: LastRegBack: 2014-11-25 13:22 Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik fixlist.txt umieść tam gdzie siedzi FRST na pendrive. Uruchom FRST i kliknij w Fix. Na pendrive H powstanie plik fixlog.txt - pokaż go. 2. Sprawdź czy dasz radę uruchomić normalnie system. A jeśli tak, to zrób spod Windows nowe logi FRST (główny + Addition). . Odnośnik do komentarza
pandrzej Opublikowano 28 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2014 System wstał !!! Plik fixlog.txt w załączeniu. Za chwilę puszę jeszcze raz FRST z poziomu windowsa. Fixlog.txt Odnośnik do komentarza
pandrzej Opublikowano 28 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2014 OK. Zakończony skan z poziomu Windowsa - pliki załączone Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2014 Zgłoś Udostępnij Opublikowano 28 Listopada 2014 Przywrócenie rejestru spowodowało częściowe przywrócenie niektórych wpisów, wróciły na listę zainstalowanych poprzednio usuwane programy. Obecnie są to uszkodzone wpisy, bo na dysku brak powiązanych folderów. Przechodzimy do usunięcia odtworzonych szczątków:1. Przed jakimikolwiek akcjami:- Skopiuj na Pulpit folder C:\Windows\Minidump, spakuj do ZIP, shostuj gdzieś i dostarcz tu link.- Utwórz ręcznie nowy punkt Przywracania systemu, by w razie ponownej usterki był inny sposób przywrócenia systemu do sprawności.2. Usuń szczątkowe pozycje z listy programów:- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > po kolei zaznacz na liście uszkodzone pozycje COMODO GeekBuddy, Java 7 Update 51, moters > Dalej.- Zastosuj specjalne usuwacze: Adobe Reader and Acrobat Cleaner Tool (zaptaszkuj "By downloading..." i z listy wybierz wersję AcroCleaner for 10.x and later) + Uninstaller for Flash Player.3. Otwórz Notatnik i wklej w nim:Task: {02962626-36C8-4834-A55F-886307C6BCBA} - \{90A7A78F-2EC5-47B6-A71C-4B8517C360ED} No Task File Task: {14915804-8F5B-4575-9BD8-A39919301955} - \{32915F96-A3DA-456E-A10D-D61ADEE074B1} No Task File Task: {30F16754-2729-4E04-9CF0-96D950D71B42} - \{6D67C421-E759-4F2E-B196-DF6E265467FF} No Task File Task: {43446A14-561C-45AB-9A2B-9CEF78D49329} - \{D17EFA07-E262-4CB7-9F38-052CB683B4D9} No Task File Task: {436CB643-FE90-4565-90E1-7C788C7907D5} - \{49DA0E48-7F59-4BC3-887E-5EF1C9DA1348} No Task File Task: {48E17C3A-553A-45F9-9E68-FC5D263CD02B} - \{C02ED746-8A91-47DC-9FFC-5BE1443599C2} No Task File Task: {49E542C3-434B-431E-940F-5946D0299409} - \{7988FE2F-9C1C-4FA5-83E2-EECD818CE45C} No Task File Task: {5796D5E5-656F-4707-A24F-FA82ABD82F2E} - \{6E6383E9-68C5-4FD9-B35F-8E8308BEF523} No Task File Task: {5D28D2E4-EC90-4D58-8832-B1778D952243} - \{9BEEE590-7931-4BA5-844C-4C33C2F7A02C} No Task File Task: {6883DB79-DB86-481C-94A8-5ADE4179E76B} - System32\Tasks\{EFADC6C0-73EC-4DA0-98F2-A10461BD60B2} => c:\program files\pale moon\palemoon.exe [2014-11-19] (Moonchild Productions)Task: {68F2E973-65BA-4617-8384-26040F3A5DCE} - \{C6E2C7C1-9BDA-4C07-A826-33CC91A25B90} No Task File Task: {6B53F591-8A71-4832-BA39-A368A268E114} - \{B44EB6FE-548B-4CD7-AAF7-FAA783B54120} No Task File Task: {7EE15068-C548-408B-9682-E55BDED70000} - \{F9F4A78D-C932-44A4-945F-A04CB6D2431A} No Task File Task: {9701DF1D-04F0-4798-B7C2-DFE262D72DE2} - \{86835054-A9B5-4DEE-8C9D-4889EF10967B} No Task File Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X]BootExecute: autocheck autochk * sdnclean.exeS3 AdobeARMservice; "C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe" [X]S2 CLPSLS; C:\Program Files\COMODO\COMODO GeekBuddy\CLPSLS.exe [X]S3 SDScannerService; "C:\Program Files\Spybot - Search & Destroy 2\SDFSSvc.exe" [X]S3 SDUpdateService; "C:\Program Files\Spybot - Search & Destroy 2\SDUpdSvc.exe" [X]S3 SDWSCService; C:\Program Files\Spybot - Search & Destroy 2\SDWSCSvc.exe [X]S3 dgderdrv; System32\drivers\dgderdrv.sys [X]S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]S3 motccgp; system32\DRIVERS\motccgp.sys [X]S3 motccgpfl; system32\DRIVERS\motccgpfl.sys [X]S3 MotDev; system32\DRIVERS\motodrv.sys [X]S3 motmodem; system32\DRIVERS\motmodem.sys [X]HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CLPSLS => ""="Service"HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service"HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service"HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CLPSLS => ""="Service"HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service"HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service"HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service"HKLM\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages =StartMenuInternet: IEXPLORE.EXE -FF StartMenuInternet: FIREFOX.EXE -BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre7\bin\ssv.dll No FileBHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll No FileFF Plugin: @adobe.com/FlashPlayer -> C:\windows\system32\Macromed\Flash\NPSWF32.dll No FileFF Plugin: @adobe.com/ShockwavePlayer -> C:\windows\system32\Adobe\Director\np32dsw_1204144.dll (Adobe Systems, Inc.)FF Plugin: @java.com/DTPlugin,version=10.51.2 -> C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll No FileFF Plugin: @java.com/JavaPlugin,version=10.51.2 -> C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll No FileFF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll No FileC:\windows\system32\Drivers\mfeavfk.sysC:\windows\system32\Drivers\mfebopk.sysC:\windows\system32\Drivers\mfehidk.sysC:\windows\system32\Drivers\mferkdk.sysC:\windows\system32\Drivers\mfesmfk.sysC:\windows\system32\Drivers\Mpfp.sysReg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1 /fReboot:Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO. Uruchom FRST i kliknij w Fix. Ma nastąpić restart systemu. Powstanie kolejny plik fixlog.txt.4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.. Odnośnik do komentarza
pandrzej Opublikowano 28 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2014 Na liście dla FixIt'a microsoftu miałem tylko Javę, nie było pozycji COMODO GeekBuddy i moters. Moters aktualnie nie wystepuje juz na liscie zainstalowanych programow. Comodo tak. Logi po ostatnim skanie w załączeniu. Fixlog.txt FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2014 Zgłoś Udostępnij Opublikowano 28 Listopada 2014 Skopiuj na Pulpit folder C:\Windows\Minidump, spakuj do ZIP, shostuj gdzieś i dostarcz tu link. Nie dostarczyłeś mi tej paczki. Na liście dla FixIt'a microsoftu miałem tylko Javę, nie było pozycji COMODO GeekBuddy i moters. Moters aktualnie nie wystepuje juz na liscie zainstalowanych programow. Comodo tak. moters nadal występuje na liście zainstalowanych, mimo że jest niewidoczny, więc dokończę to ręcznie. Poprawki: 1. Skorzystaj z normalnego Panelu sterowania i spróbuj odinstalować ten szczątek COMODO GeekBuddy (Windows przynajmniej powinien zapytać, czy usuwać "puste wejście") oraz pozycję Adobe Shockwave Player 12.0 (zapomniałam go uwzględnić). 2. Pod kątem moters - otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{c8730ca5-3f82-41cc-65e2-01b87600cd89} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny. . Odnośnik do komentarza
pandrzej Opublikowano 28 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2014 Zapodane. Brakujący dump: http://speedy.sh/VsAdW/Minidump.zip Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2014 Zgłoś Udostępnij Opublikowano 28 Listopada 2014 Ten BSOD 0x000000f4 (CRITICAL_OBJECT_TERMINATION) jednak zdaje się być powiązany z COMODO - w stosie występuje kontekst sterownika COMODO (cmdguard.sys) - w spoilerze wyniki debugowania zrzutu pamięci Minidump. Nie mam pojęcia jednak dlaczego to się zbiegło z Fixem. ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* CRITICAL_OBJECT_TERMINATION (f4) A process or thread crucial to system operation has unexpectedly exited or been terminated. Several processes and threads are necessary for the operation of the system; when they are terminated (for any reason), the system can no longer function. Arguments: Arg1: 00000003, Process Arg2: 8abba370, Terminating object Arg3: 8abba4dc, Process image file name Arg4: 84668ec0, Explanatory message (ascii) Debugging Details: ------------------ ----- ETW minidump data unavailable----- KERNEL_LOG_FAILING_PROCESS: pA PROCESS_OBJECT: 8abba370 IMAGE_NAME: wininit.exe DEBUG_FLR_IMAGE_TIMESTAMP: 0 MODULE_NAME: wininit FAULTING_MODULE: 00000000 PROCESS_NAME: wininit.exe EXCEPTION_CODE: (Win32) 0x5 (5) - Odmowa dostępu. BUGCHECK_STR: 0xF4_5 CUSTOMER_CRASH_COUNT: 1 DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT CURRENT_IRQL: 0 STACK_TEXT: 95544c48 8472e3af 000000f4 00000003 8abba370 nt!KeBugCheckEx+0x1e 95544c6c 846ac009 84668ec0 8abba4dc 8abba408 nt!PspCatchCriticalBreak+0x71 95544c9c 846abf4c 8abba370 8abb8580 00000005 nt!PspTerminateAllThreads+0x2d 95544cd0 91637c4c 00000000 00000005 043ebc78 nt!NtTerminateProcess+0x1a2 WARNING: Stack unwind information not available. Following frames may be wrong. 95544d24 8448d8c6 00000000 00000005 0009f71c cmdguard+0xfc4c 95544d24 771b70f4 00000000 00000005 0009f71c nt!KiSystemServicePostCall 0009f71c 00000000 00000000 00000000 00000000 0x771b70f4 STACK_COMMAND: kb FOLLOWUP_NAME: MachineOwner FAILURE_BUCKET_ID: 0xF4_5_IMAGE_wininit.exe BUCKET_ID: 0xF4_5_IMAGE_wininit.exe Followup: MachineOwner --------- Czy notujesz jeszcze jakieś problemy? Ostatnie zadanie pomyślnie wykonane. Kończymy: 1. Ręcznie usuń: C:\MATS (od narzędzia Fix it Microsoftu) C:\Users\dom\Desktop\przegladarki\Palemoon_download (pobrane narzędzia z tego folderu) C:\Windows\system32\config\HiveBackup (kopia rejestru utworzona przez FRST) 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz (o ile potrzebne) uzupełnij najnowsze instalacje Adobe i Java: KLIK. . Odnośnik do komentarza
pandrzej Opublikowano 28 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2014 Co tu dużo mówić - system jest z powrotem live. Jak na razie nie zauważyłem opisywanych na poczatku problemów, ale poczekam jeszcze trochę i zobacze co domownicy powiedzą podczas użytkowania ;o) WIELKIE dzięki za chęci i pomoc ! Odnośnik do komentarza
Rekomendowane odpowiedzi