Skocz do zawartości

problemy z systemem win xp home sp3


lucas39

Rekomendowane odpowiedzi

Witam

Proszę o pomoc w usunięciu czegoś co powoduje różne zachowania się systemu ( czasami problemy w rozpoznawaniu urządzeń wpinanych na USB, czasami brak ich rozpoznawania, programy malwarebytes, kaspersky- zwykle nic nie znajdują.

Bardzo dawno temu system był zainfekowany razem z MBR. Infekcja została usunięta ręcznie ale tylko z części systemu.

 

zapis z gmera nie jest kompletny ponieważ zawiesza system

jeżeli mogę pomoc scanem jakimś innym programem to bardzo chetnie.

Addition.txt

FRST.txt

gmer.txt

Shortcut.txt

Edytowane przez Rucek
Temat sprzątam ze zbędników.
Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Raporty FRST zostały wygenerowane na złych ustawieniach.

 

Do generacji raportów na naszym forum, proszę używać naszej instrukcji: KLIK.

 

Bardzo dawno temu system był zainfekowany razem z MBR. Infekcja została usunięta ręcznie ale tylko z części systemu.

 

Jaka to był infekcja? Jak to została usunięte tylko częściowo? Wyjaśnij to jakoś bardziej proszę :)

Odnośnik do odpowiedzi

Wstyd w sumie mówić ale uznałem ze nie mówić to jeszcze gorzej o tej infekcji. Dziś już nie pamiętam co to było ( przeleciały niemal dwa lata) ale pamiętam ze zostało przyniesione na pamięci przenośnej. Były to losowe pliki i po ich usunięciu i restarcie znów się pokazywały oczywiście pod inna nazwa. Czymś udało się to uspokoić usuwając klucze z rejestrów i ponowne usuwanie plików. Lecz od tamtego czasu ciągle były problemy z jakimiś sterownikami lub programami anty wirusowymi i podobne. Nie dawno chciałem podpiąć smartfona ale nie udało się zainstalować sterownika MTL więc wróciłem do sprawy.

Przeskanuje ponownie laptopa i zamieszczę logi. Próbuję również zrobić pełny scan GMERa ale mam kłopoty. Były zainstalowane programy do portów wirtualnych, obecnie zostały odinstalowane, ale nadal GMER się zawiesza.

 

 

Poprawny FRST.  Gmer się zawiesza.

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do odpowiedzi

W systemie jw. pisałem wymagane są korekty dot. kasacji elementów adware. Powiedz mi jeszcze co wiesz na temat AdBlockera. 
 
Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
S0 2AFF4D74; system32\drivers\2AFF4D74.sys [X]
S3 4586240C82A85194; \??\c:\documents and settings\tomek\ustawienia lokalne\temp\7B654D13-A57C2DCF-CAB68671-2762F73C\32ee17184.sys [X]
S3 4F96390CC2AC6708; \??\C:\DOCUME~1\ADMINI~1.TOM\USTAWI~1\Temp\4D170C275.sys [X]
S3 4F96391A73EB5308; \??\C:\DOCUME~1\ADMINI~1.TOM\USTAWI~1\Temp\2AD2134A.sys [X]
S3 catchme; \??\C:\DOCUME~1\Tomek\USTAWI~1\Temp\catchme.sys [X]
S4 IObitUnlocker; \??\C:\Program Files\IObit\IObit Unlocker\IObitUnlocker.sys [X]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
U3 TlntSvr; Brak ImagePath
S3 UIUSys; system32\drivers\UIUSys.sys [X]
2016-06-29 10:14 - 2016-06-29 10:14 - 0128512 _____ () C:\Documents and Settings\Tomek\Dane aplikacji\Installer.dat
2016-06-29 10:15 - 2016-06-29 10:15 - 0018432 _____ () C:\Documents and Settings\Tomek\Dane aplikacji\Main.dat
Task: C:\WINDOWS\Tasks\PPTAssistantNotifyTask_Tomek.job => C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\PPTAssist\notify.exe Task: C:\WINDOWS\Tasks\PPTAssistantUpdateTask_Tomek.job => C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\PPTAssist\assistupdate.exe Task: C:\WINDOWS\Tasks\{E5F8EBDB-032D-D6F5-7BF3-7781FD235F2D}.job => C:\WINDOWS\system32\regsvr32.exe E /s /n /i:/rt C:\DOCUME~1\ALLUSE~1\DANEAP~1\3dd92577\ea5350a.dll EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
Nie musisz dostarczać nowych logów, poproszę tylko o plik Fixlog - sprawdzimy tylko czy wszystko się wykonało. 
 
Komentując zaś raport z TDSSKiller powiem, że jest czysty. Nic podejrzanego. Edytowane przez Rucek
Odnośnik do odpowiedzi

Witam
AdBlocker'a instalowałem osobiście.
 
Doinstalowałem brakujące sterowniki od modemu.

 

Hmm. po posprzątaniu i doinstalowaniu sterownika modemu  zapis na kartę pamięci podpiętą do portu usb poprzez czytnik kart pamięci odbywa się 2 razy dłużej.

 

Jak otworze okno Menadżera zadań (CTR+ALT+DEL)  to w oknie tym nie ma całego nagłówka. (to zauważyłem teraz podejrzewam że  to tez od infekcji pub po mojej ręcznej interwencji.)

 

 

 

NAPRAWIANIE zrobione.

Rezultat naprawy Farbar Recovery Scan Tool (x86) Wersja: 27-04-2017
Uruchomiony przez Tomek (28-04-2017 10:05:30) Run:1
Uruchomiony z c:\scany
Załadowane profile: Tomek (Dostępne profile: Tomek & Administrator)
Tryb startu: Normal

==============================================

fixlist - zawartość:
*****************
CloseProcesses:
CreateRestorePoint:
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S0 2AFF4D74; system32\drivers\2AFF4D74.sys [X]
S3 4586240C82A85194; \??\c:\documents and settings\tomek\ustawienia lokalne\temp\7B654D13-A57C2DCF-CAB68671-2762F73C\32ee17184.sys [X]
S3 4F96390CC2AC6708; \??\C:\DOCUME~1\ADMINI~1.TOM\USTAWI~1\Temp\4D170C275.sys [X]
S3 4F96391A73EB5308; \??\C:\DOCUME~1\ADMINI~1.TOM\USTAWI~1\Temp\2AD2134A.sys [X]
S3 catchme; \??\C:\DOCUME~1\Tomek\USTAWI~1\Temp\catchme.sys [X]
S4 IObitUnlocker; \??\C:\Program Files\IObit\IObit Unlocker\IObitUnlocker.sys [X]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
U3 TlntSvr; Brak ImagePath
S3 UIUSys; system32\drivers\UIUSys.sys [X]
2016-06-29 10:14 - 2016-06-29 10:14 - 0128512 _____ () C:\Documents and Settings\Tomek\Dane aplikacji\Installer.dat
2016-06-29 10:15 - 2016-06-29 10:15 - 0018432 _____ () C:\Documents and Settings\Tomek\Dane aplikacji\Main.dat
Task: C:\WINDOWS\Tasks\PPTAssistantNotifyTask_Tomek.job => C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\PPTAssist\notify.exe <==== UWAGA
Task: C:\WINDOWS\Tasks\PPTAssistantUpdateTask_Tomek.job => C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\PPTAssist\assistupdate.exe <==== UWAGA
Task: C:\WINDOWS\Tasks\{E5F8EBDB-032D-D6F5-7BF3-7781FD235F2D}.job => C:\WINDOWS\system32\regsvr32.exe E /s /n /i:/rt C:\DOCUME~1\ALLUSE~1\DANEAP~1\3dd92577\ea5350a.dll <==== UWAGA
EmptyTemp:
*****************

Procesy zostały pomyślnie zamknięte.
Punkt przywracania został pomyślnie utworzony.
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Wartość pomyślnie usunięto
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Wartość pomyślnie usunięto
HKLM\System\CurrentControlSet\Services\2AFF4D74 => klucz pomyślnie usunięto
2AFF4D74 => serwis pomyślnie usunięto
HKLM\System\CurrentControlSet\Services\4586240C82A85194 => klucz pomyślnie usunięto
4586240C82A85194 => serwis pomyślnie usunięto
HKLM\System\CurrentControlSet\Services\4F96390CC2AC6708 => klucz pomyślnie usunięto
4F96390CC2AC6708 => serwis pomyślnie usunięto
HKLM\System\CurrentControlSet\Services\4F96391A73EB5308 => klucz pomyślnie usunięto
4F96391A73EB5308 => serwis pomyślnie usunięto
HKLM\System\CurrentControlSet\Services\catchme => klucz pomyślnie usunięto
catchme => serwis pomyślnie usunięto
HKLM\System\CurrentControlSet\Services\IObitUnlocker => klucz pomyślnie usunięto
IObitUnlocker => serwis pomyślnie usunięto
HKLM\System\CurrentControlSet\Services\sptd => klucz pomyślnie usunięto
sptd => serwis pomyślnie usunięto
HKLM\System\CurrentControlSet\Services\TlntSvr => klucz pomyślnie usunięto
TlntSvr => serwis pomyślnie usunięto
HKLM\System\CurrentControlSet\Services\UIUSys => klucz pomyślnie usunięto
UIUSys => serwis pomyślnie usunięto
C:\Documents and Settings\Tomek\Dane aplikacji\Installer.dat => pomyślnie przeniesiono
C:\Documents and Settings\Tomek\Dane aplikacji\Main.dat => pomyślnie przeniesiono
C:\WINDOWS\Tasks\PPTAssistantNotifyTask_Tomek.job => pomyślnie przeniesiono
C:\WINDOWS\Tasks\PPTAssistantUpdateTask_Tomek.job => pomyślnie przeniesiono
C:\WINDOWS\Tasks\{E5F8EBDB-032D-D6F5-7BF3-7781FD235F2D}.job => pomyślnie przeniesiono

=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 98348 B
Java, Flash, Steam htmlcache => 2531 B
Windows/system/dllcache/drivers => 589824 B
Edge => 0 B
Chrome => 31464422 B
Firefox => 330098840 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User => 66164 B
All Users => 0 B
systemprofile => 3572748570 B
LocalService => 628 B
NetworkService => 628 B
Tomek => 418810395 B
Administrator.TOMEK-SERWIS => 66164 B

RecycleBin => 0 B
EmptyTemp: => 4.1 GB danych tymczasowych Usunięto.

================================


System wymagał restartu.

==== Koniec Fixlog 10:07:42 ====

 

 

Odnośnik do odpowiedzi

AdBlocker'a instalowałem osobiście.

 

OK, ale jednak nie decydowałbym się na niego. Może uBlock Origin do przeglądarki? 

 

Hmm. po posprzątaniu i doinstalowaniu sterownika modemu  zapis na kartę pamięci podpiętą do portu usb poprzez czytnik kart pamięci odbywa się 2 razy dłużej.

 

To nie ma związku ze Fixem. 

 

Jak otworze okno Menadżera zadań (CTR+ALT+DEL)  to w oknie tym nie ma całego nagłówka. (to zauważyłem teraz podejrzewam że  to tez od infekcji pub po mojej ręcznej interwencji.)

 

 Nie rozumiem - daj screena jak to wygląda z Twojej strony.

 


 

Całość pomyślnie wykonana. System czysty pod względem infekcji. Z mojej strony to by było na tyle.

 

Temat przenoszę do działu XP gdzie mogą Ci rozwiązać pozostałe problemy.

Odnośnik do odpowiedzi
  • 2 tygodnie później...

Nie mam pomysłu jak pokazać tu taj obraz. Forum nie pozwala  tu  zamieścić obrazka lub nie mogę odszukać opcji jak to zrobić. Kont na żadnym portalu zdjęciowym nie posiadam.

 

Okno nie posiada:

nazwy Menadżer zadań Windows

Plik Opcje  Widok Zamknij Pomoc

Aplikacje Procesy Wydajność Sieć Urzytkownicy

 

zaczyna się od razu ramka z wyświetlanymi aktualnie uruchomionymi procesami

Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...