Skocz do zawartości

Brak pliku manifestu lub nie można go odczytać


Rekomendowane odpowiedzi

Potrzebuję pomocy

Ostatnio komputer zaczyna dziwnie się zachowywać i potrzebuję waszej pomocy.

Gdy odpalam przeglądarkę Google Chrome to wyskakuje taki komunikat:

"Nie udało się wczytać rozszerzenia z:
C:\ProgramData\Ksdr\Sbcyewe\F81E5B72.
Brak pliku manifestu lub nie można go odczytać"

Link do błędu: https://imgur.com/a/2yamgYt

Usunąłem rozszerzenie: XSkipAlpha 7.5 z Google Chrome i z komputera ponieważ to był wirus (wiem bo on śledził to co wpisałem na google z Google Chrome).

Robiłem 2 pełne skany antywirusem, usunąłem WSZYSTKIE wirusy znalezione przez Microsoft Security Essentials.

A komunikat jak był tak i został:

"Nie udało się wczytać rozszerzenia z:
C:\ProgramData\Ksdr\Sbcyewe\F81E5B72.
Brak pliku manifestu lub nie można go odczytać"

Załączam logi z programu FRST.

Addition.txt FRST.txt Shortcut.txt

Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Powyższy fiks nie będzie działać i rozszerzenie będzie reinstalowane w kółko. Problemem jest zaplanowane zadanie (na każdym komputerze inne), w tym przypadku:

 

Task: {AFC99CF1-F4C5-47AB-A310-4BD16E11158F} - System32\Tasks\Games\cerProj => C:\Windows\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe /quiet C:\Users\Mateusz\AppData\Local\PackModel\IrotehtCure\GNNBRosoyt_ebug.dll

 

Czyli Fixlist do FRST (uwzględniający też martwe wejścia) to:

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1108289569-963966695-2365604164-1000\...\Run: [ASRock A-Tuning] => [X]
HKU\S-1-5-21-1108289569-963966695-2365604164-1000\...\MountPoints2: {5b8a75ac-386a-11e9-9def-5eb0b1be64aa} - F:\setup.exe
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}] ->
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> "C:\Program Files (x86)\Google\Chrome\Application\51.0.2704.103\Installer\chrmstp.exe" --configure-user-settings --verbose-logging --system-level --multi-install --chrome
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {2B3A0D71-ED33-4A2A-B6B2-E56B58291770} - System32\Tasks\{8CA0EFCD-B481-4D9F-BA1A-21CAE2C6D528} => C:\Windows\system32\pcalua.exe -a C:\Users\Mateusz\Downloads\oddcastv3_winamp_3.1.18.exe -d C:\Users\Mateusz\Downloads
Task: {3002AD29-8919-493F-AF64-4E8FF11FD631} - System32\Tasks\{C6E9D46F-A6B1-4B37-81DE-F0E0CD1761FA} => C:\Windows\system32\pcalua.exe -a "E:\WinRAR 4.20 32-64 bit PL Oryginał + Keygen\WinRAR 4.20 32-64 bit PL Oryginał + Keygen\WinRAR 4.20 Finał 32&64 PL-Oficjalne\Keygen.exe" -d "E:\WinRAR 4.20 32-64 bit PL Oryginał + Keygen\WinRAR 4.20 32-64 bit PL Oryginał + Keygen\WinRAR 4.20 Finał 32&64 PL-Oficjalne"
Task: {3ED39EF2-55AD-4253-B6B1-A78AA743DF3C} - System32\Tasks\{E39B5F52-3C33-4D32-BAEA-5FF5C37F6704} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Windscribe\WindscribeInstallHelper.exe" -d "C:\Program Files (x86)\Windscribe"
Task: {AFC99CF1-F4C5-47AB-A310-4BD16E11158F} - System32\Tasks\Games\cerProj => C:\Windows\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe /quiet C:\Users\Mateusz\AppData\Local\PackModel\IrotehtCure\GNNBRosoyt_ebug.dll
Task: {BC1101F2-754B-4DBE-B861-CD28A1286564} - System32\Tasks\{4F9C6037-C9F5-46ED-9295-865C3CA99560} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\CFS-Technologies\Speakonia\spchapi.exe" -d "C:\Program Files (x86)\CFS-Technologies\Speakonia"
Task: {CCCD64E7-F5A3-4BE6-9C8B-25D67082669F} - System32\Tasks\{492BE76F-B90D-4B6A-8F96-F17C20A0EDDB} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\CFS-Technologies\Speakonia\tv_enua.exe" -d "C:\Program Files (x86)\CFS-Technologies\Speakonia"
ProxyServer: [S-1-5-21-1108289569-963966695-2365604164-1000] => 82.177.38.195:8080
S3 CG6Service; "C:\Program Files\CyberGhost 6\CyberGhost.Service.exe" [X]
S3 Disc Soft Lite Bus Service; "C:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe" [X]
S2 S2Gvc32; "C:\Program Files (x86)\Speech2Go Voice Package VE\IvonaVoiceService_x86.exe" [X]
R3 AppShopDrv103; \??\C:\Windows\SysWOW64\Drivers\AppShopDrv103.sys [X]
U4 dmwappushservice; Brak ImagePath
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
HKU\S-1-5-21-1108289569-963966695-2365604164-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.orbitdownloader.com
Toolbar: HKU\S-1-5-21-1108289569-963966695-2365604164-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  Brak pliku
MSCONFIG\startupreg: Adobe Reader Speed Launcher => "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
MSCONFIG\startupreg: LogMeIn Hamachi Ui => "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
MSCONFIG\startupreg: Smart File Advisor => "C:\Program Files (x86)\Smart File Advisor\sfa.exe" /checkassoc
MSCONFIG\startupreg: vidnotifier.exe => C:\Program Files (x86)\Common Files\DVDVideoSoft\lib\vidnotifier\vidnotifier.exe
MSCONFIG\startupreg: Windows Host => C:\ProgramData\Windows Host\Windows Host.exe
HKU\S-1-5-21-1108289569-963966695-2365604164-1000\Software\Classes\exefile:  <==== UWAGA
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
C:\Program Files (x86)\Lawops
C:\ProgramData\Ksdr
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alien Arena 2011
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cossacks
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VirtuallTek
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinAce
C:\Users\Mateusz\AppData\Local\PackModel
C:\Users\Mateusz\Desktop\Aplikacje\Recording\Bandicam.lnk
C:\Users\Mateusz\Desktop\Aplikacje\Internet Browser\Google Chrome.lnk
C:\Users\Mateusz\Desktop\Gry\S-Ż\SMBX.lnk
C:\Users\Mateusz\Desktop\Mati\Sony Vegas Pro - Projects\Świat Według Bowsera (IV)
C:\Users\Mateusz\Desktop\Mati\Sony Vegas Pro - Projects\Świat Według Bowsera (III)\Odc. 3\nunczaki orientu - 19 - jingiel.mp3 — skrót.lnk
C:\Users\Mateusz\Desktop\=Porządek=\Quick Launch\Google Chrome.lnk
C:\Users\Mateusz\Desktop\=Porządek=\Roblox\Roblox Player.lnk
C:\Users\Mateusz\Desktop\=Porządek=\SA-MP\=Best Polski Freeroam Serwer (Nowy GM)=\pozycje-pojazd (UGMP).lnk
C:\Users\Mateusz\Desktop\=Porządek=\SA-MP\=[DM] P4F=\P4F Offical\pawno\pawno — skrót .lnk
C:\Users\Mateusz\Desktop\=Porządek=\SA-MP\=[CA] Cheating Allowed=\map.lnk
C:\Users\Mateusz\Desktop\=Porządek=\SA-MP\=[CA] Cheating Allowed=\server.lnk
cmd: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

 

Odnośnik do odpowiedzi

Przechodzimy do dalszych czynności pobocznych:

 

1. Programy do deinstalacji:

  • Adobe AIR: Program porzucony, bez aktualizacji. Czy jest on do czegoś używany na tym komputerze?
  • Adobe Flash Player (wszystkie wersje): Program już nie działa, a obsługa usunięta z głównych przeglądarek, szczegóły w przyklejonym: KLIK.
  • Badanie mające na celu poprawę produktów HP Deskjet 1510 series: Zbędny program "telemetryczny".
  • Microsoft Security Essentials: Brak wsparcia i limitowane sygnatury, do zastąpienia innym programem.
  • Orbit Downloader: Funkcje a'la botnet, szczegółowe informacje tutaj: KLIK.
  • WarThunder: Oznaczony przez FRST jako "zły", bo wygląda na pozostałości po niepożądanym programie udającym oryginalną grę.

 

2. Drobne poprawki na odpadki. Nowy Fixlist do FRST:

Task: {B28E0FC3-F692-4374-A66E-B686EDFCB1A6} - System32\Tasks\{8E0F99C8-000F-402F-8C3E-FF3A5C85B14F} => C:\Windows\system32\pcalua.exe -a C:\Users\Mateusz\Desktop\heroes_might_magic_5_3.01_hupl.exe -d C:\Users\Mateusz\Desktop
CustomCLSID: HKU\S-1-5-21-1108289569-963966695-2365604164-1000_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Mateusz\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
2021-05-31 07:14 - 2021-05-31 07:14 - 000000000 ___HD C:\ProgramData\Windows Host
2021-06-02 09:37 - 2020-03-28 17:34 - 000000000 ____D C:\Users\Mateusz\AppData\Local\cypjMERAky
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
File: C:\Windows\SysWOW64\Drivers\AppShopDrv103.sys
EmptyTemp:

 

Zaprezentuj wynikowy plik fixlog.txt.

 

3. Zrób nowe raporty z FRST (bez Shortcut.txt). Potwierdź też czy wyłączyłeś sterownik DAEMON Tools celowo:

 

S4 sptd; C:\Windows\System32\Drivers\sptd.sys [393880 2019-02-13] (Disc Soft Ltd -> Duplex Secure Ltd.)

 

.... oraz czy to pliki lub foldery których nie możesz otworzyć:

 

Błąd podczas odczytu pliku: "C:\Users\Mateusz\Downloads\sans."
Błąd podczas odczytu pliku: "C:\Users\Mateusz\Downloads\Oh My..."

 

Odnośnik do odpowiedzi

Nowe logi

 

W dniu 5.06.2021 o 15:29, picasso napisał:

.... oraz czy to pliki lub foldery których nie możesz otworzyć:

 



Błąd podczas odczytu pliku: "C:\Users\Mateusz\Downloads\sans."
Błąd podczas odczytu pliku: "C:\Users\Mateusz\Downloads\Oh My..."

tych plików nie mogę usunąć ani otworzyć

Fixlog.txt FRST.txt Addition.txt

 

 Przed chwilą wyłączyłem usługę DEAMON Tools : Disc Soft Lite Bus Service i sterownik

W dniu 5.06.2021 o 15:29, picasso napisał:

S4 sptd; C:\Windows\System32\Drivers\sptd.sys [393880 2019-02-13] (Disc Soft Ltd -> Duplex Secure Ltd.)

 

Edytowane przez nesguide2
Edycja postu
Odnośnik do odpowiedzi

1. Nie odinstalowałeś tego programu, czy go nie widzisz na liście?

 

WarThunder (HKLM-x32\...\WarThunder) (Version:  - ) <==== UWAGA

 

2. Spróbujmy usunąć te nieczytelne pliki. Fixlist do FRST:

2021-06-08 19:32 - 2020-11-05 19:42 - 000000000 ____D C:\Users\Mateusz\AppData\Roaming\Orbit
CMD: del "\\?\C:\Users\Mateusz\Downloads\sans."
CMD: del "\\?\C:\Users\Mateusz\Downloads\Oh My..."

Przedstaw wynikowy fixlog.txt.

Odnośnik do odpowiedzi
16 minut temu, picasso napisał:

1. Nie odinstalowałeś tego programu, czy go nie widzisz na liście?

 



WarThunder (HKLM-x32\...\WarThunder) (Version:  - ) <==== UWAGA

Odinstalowałem go już

 

  

17 minut temu, picasso napisał:

2. Spróbujmy usunąć te nieczytelne pliki. Fixlist do FRST:


2021-06-08 19:32 - 2020-11-05 19:42 - 000000000 ____D C:\Users\Mateusz\AppData\Roaming\Orbit
CMD: del "\\?\C:\Users\Mateusz\Downloads\sans."
CMD: del "\\?\C:\Users\Mateusz\Downloads\Oh My..."

Przedstaw wynikowy fixlog.txt.

 

Folder Orbit usunąłem RĘCZNIE

te 2 pliki usunęło bez problemu, już ich nie ma

 

Załącznik Fixlog.txt poniżej

 

Fixlog.txt

Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...