Skocz do zawartości
darkhleb

Próba oczyszczenia po "próbie oczyszczenia" komputera przez umiarkowanie kompetentną osobę

Rekomendowane odpowiedzi

Otrzymałem od koleżanki (głęboko niekomputerowa osoba) komputer z prośbą o odchwaszczenie. Nieszczególnie byłem w stanie od niej wydobyć jakiś dokładniejszy opis jego działania poza tym, że "wolniej chodzi", oraz że coś tam próbowała działać jakimiś "cleanerami" i innymi bliżej niesprecyzowanymi narzędziami. Oddała mi temat dopiero, jak stwierdziła, że ją to przerasta, co powoduje, że niestety nie mam zbytniego pojęcia na temat rezultatów tamtych wszystkich działań. Ze swojej strony przeskanowałem go kilkoma narzędziami (załączam logi) i chciałbym poprosić o sprawdzenie jego kondycji po całości tych zabiegów, jako finalny krok przed oddaniem go jej. Zdaję sobie sprawę z marnego opisu objawów, ale sam nie jestem w stanie wydobyć wiele ponad własną obserwację. Ta jest zaś taka, że sprzęt generalnie chodzi i nie zdradza jakichś łatwo wyodrębnalnych objawów anomalii, niemniej faktycznie jest czymś zmulony. Dzięki i załączam niezbędne logi.

FRST.txt

Addition.txt

Shortcut.txt

9lab-log-2018-07-13.txt

Malwarebytes.txt

avira_antivir_AVSCAN-20180712.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W logach nie widzę żadnej infekcji.

 

Widzę ślady Spybota i Kaspersky'ego, - nie ma ich na liście Twoich programów, więc daję te ślady po nich do usuwania.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Task: {3ED37253-14CB-4269-B3AA-D03F8F3203AC} - System32\Tasks\{7121BAD1-A6EA-4F6D-9397-FB8FD07875C1} => C:\Windows\system32\pcalua.exe -a F:\instaluj.exe -d F:\
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ROC_roc_dec12
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_TRAY
Task: C:\Windows\Tasks\Scan the system (Spybot - Search & Destroy).job => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe
FirewallRules: [{2BDA61B9-593D-405B-9629-70813AF34C5C}] => (Allow) C:\Program Files (x86)\AVG\AVG10\avgmfapx.exe
FirewallRules: [{F8D2183F-CDC0-4B71-A939-E2CC137558C0}] => (Allow) C:\Program Files (x86)\AVG\AVG10\avgmfapx.exe
FirewallRules: [{9716884B-C410-45FC-A8DE-3D2713C9681F}] => (Allow) C:\Program Files (x86)\AVG\AVG10\avgdiagex.exe
FirewallRules: [{0F4828DB-FEB3-4894-B652-6EF76EA15254}] => (Allow) C:\Program Files (x86)\AVG\AVG10\avgdiagex.exe
FirewallRules: [{7C9F6434-5A13-4054-96FF-6E5DD65A6BE7}] => (Allow) C:\Program Files (x86)\AVG\AVG10\avgnsa.exe
FirewallRules: [{2BB732F5-9D08-4FC9-A3F4-B3C9BC7C4852}] => (Allow) C:\Program Files (x86)\AVG\AVG10\avgnsa.exe
FirewallRules: [{28AC358E-FF6E-465A-B945-C712B7C90A07}] => (Allow) C:\Program Files (x86)\AVG\AVG10\avgemca.exe
FirewallRules: [{CAEE566B-0E35-4D2A-AFC3-EAB114BC77F6}] => (Allow) C:\Program Files (x86)\AVG\AVG10\avgemca.exe
StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe] => Enabled:Spybot - Search & Destroy tray access
StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe] => Enabled:Spybot-S&D 2 Scanner Service
StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe] => Enabled:Spybot-S&D 2 Updater
StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe] => Enabled:Spybot-S&D 2 Background update service
HKLM-x32\...\Run: [sDTray] => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe [4101576 2014-06-24] (Safer-Networking Ltd.)
HKU\S-1-5-21-4291525381-868727896-2006742334-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
HKU\S-1-5-21-4291525381-868727896-2006742334-1000\...\Run: [Kaspersky Software Updater] => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Software Updater\kl_platf.exe [1565008 2018-04-23] (AO Kaspersky Lab)
HKU\S-1-5-21-4291525381-868727896-2006742334-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-07132018161630740\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
HKU\S-1-5-21-4291525381-868727896-2006742334-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-07132018161630740\...\Run: [Kaspersky Software Updater] => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Software Updater\kl_platf.exe [1565008 2018-04-23] (AO Kaspersky Lab)
DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
SearchScopes: HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-07132018161616996 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-07132018161630521 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKU\S-1-5-21-4291525381-868727896-2006742334-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
Toolbar: HKU\S-1-5-21-4291525381-868727896-2006742334-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-07132018161630740 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -  Brak pliku
R3 ksu; C:\Program Files (x86)\Kaspersky Lab\Kaspersky Software Updater\kl_platf.exe [1565008 2018-04-23] (AO Kaspersky Lab)
R2 SDScannerService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe [1738168 2014-06-24] (Safer-Networking Ltd.)
R2 SDUpdateService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe [4088608 2016-09-21] (Safer-Networking Ltd.) [brak podpisu cyfrowego]
R2 SDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe [235984 2016-11-24] (Safer-Networking Ltd.) [brak podpisu cyfrowego]
S3 AmUStor; system32\drivers\AmUStor.SYS [X]
S3 ASUSProcObsrv; \??\F:\I386\AsPrOb64.sys [X]
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X]
S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot-S&D Start Center.lnk
RemoveDirectory: C:\Program Files (x86)\AVG Secure Search
RemoveDirectory: RemoveDirectory: C:\Program Files (x86)\AVG
RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2
RemoveDirectory: C:\Program Files (x86)\Kaspersky Lab
RemoveDirectory: C:\ProgramData\Kaspersky Lab
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Software Updater
RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy 2

BootExecute: autocheck autochk * sdnclean64.exe
EmptyTemp:


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

------------

 

Error: (07/14/2018 03:02:04 AM) (Source: Disk) (EventID: 11) (User: )
Description: Sterownik wykrył błąd kontrolera na \Device\Harddisk0\DR0.

http://www.fixitpc.pl/topic/5553-blad-sterownik-wykryl-blad-kontrolera-na-deviceharddiskxdrx-i-jego-interpretacja/
http://www.fixitpc.pl/topic/20676-w-urz%C4%85dzeniu-deviceharddisk0dr0-wystapi%C5%82-z%C5%82y-blok/
 

-----------------

 

Error: (07/12/2018 11:42:26 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nazwa aplikacji powodującej błąd: SearchIndexer.exe, wersja: 7.0.7601.23930, sygnatura czasowa: 0x59deb9ab
Nazwa modułu powodującego błąd: TQUERY.DLL, wersja: 7.0.7601.23930, sygnatura czasowa: 0x59debda8
Kod wyjątku: 0xc0000006
Przesunięcie błędu: 0x00000000000323d8
Identyfikator procesu powodującego błąd: 0x169c
Godzina uruchomienia aplikacji powodującej błąd: 0x01d41a199e87f3e6
Ścieżka aplikacji powodującej błąd: C:\Windows\system32\SearchIndexer.exe
Ścieżka modułu powodującego błąd: C:\Windows\system32\TQUERY.DLL
Identyfikator raportu: 775bad45-861c-11e8-a4ca-485b39059640

Error: (07/12/2018 09:45:51 PM) (Source: Application Error) (EventID: 1005) (User: )
Description: System Windows nie może uzyskać dostępu do pliku C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010031.ci z jednej z następujących przyczyn:
problem z połączeniem sieciowym; problem z dyskiem, na którym jest przechowywany plik; problem ze sterownikami magazynu zainstalowanymi na tym komputerze; brak dysku.
System Windows zamknął program Indeksator programu Microsoft Windows Search z powodu tego błędu.

To chyba do działu https://www.fixitpc.pl/forum/8-windows-7/

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Dziękuję bardzo za odpowiedź i pomoc. Dokonałem naprawy poprzez FRST tak, jak zostało to opisane. Czy przesłać ponownie logi z tego narzędzia, czy to już kończy temat?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...