nesguide2 Opublikowano 3 Czerwca 2021 Zgłoś Udostępnij Opublikowano 3 Czerwca 2021 Potrzebuję pomocy Ostatnio komputer zaczyna dziwnie się zachowywać i potrzebuję waszej pomocy. Gdy odpalam przeglądarkę Google Chrome to wyskakuje taki komunikat: "Nie udało się wczytać rozszerzenia z: C:\ProgramData\Ksdr\Sbcyewe\F81E5B72. Brak pliku manifestu lub nie można go odczytać" Link do błędu: https://imgur.com/a/2yamgYt Usunąłem rozszerzenie: XSkipAlpha 7.5 z Google Chrome i z komputera ponieważ to był wirus (wiem bo on śledził to co wpisałem na google z Google Chrome). Robiłem 2 pełne skany antywirusem, usunąłem WSZYSTKIE wirusy znalezione przez Microsoft Security Essentials. A komunikat jak był tak i został: "Nie udało się wczytać rozszerzenia z: C:\ProgramData\Ksdr\Sbcyewe\F81E5B72. Brak pliku manifestu lub nie można go odczytać" Załączam logi z programu FRST. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 3 Czerwca 2021 Zgłoś Udostępnij Opublikowano 3 Czerwca 2021 moje zalecenia nieaktualne, więc je usunęłam. Pomocy udziela @picasso jessi Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2021 Zgłoś Udostępnij Opublikowano 3 Czerwca 2021 Powyższy fiks nie będzie działać i rozszerzenie będzie reinstalowane w kółko. Problemem jest zaplanowane zadanie (na każdym komputerze inne), w tym przypadku: Task: {AFC99CF1-F4C5-47AB-A310-4BD16E11158F} - System32\Tasks\Games\cerProj => C:\Windows\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe /quiet C:\Users\Mateusz\AppData\Local\PackModel\IrotehtCure\GNNBRosoyt_ebug.dll Czyli Fixlist do FRST (uwzględniający też martwe wejścia) to: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1108289569-963966695-2365604164-1000\...\Run: [ASRock A-Tuning] => [X] HKU\S-1-5-21-1108289569-963966695-2365604164-1000\...\MountPoints2: {5b8a75ac-386a-11e9-9def-5eb0b1be64aa} - F:\setup.exe HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}] -> HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> "C:\Program Files (x86)\Google\Chrome\Application\51.0.2704.103\Installer\chrmstp.exe" --configure-user-settings --verbose-logging --system-level --multi-install --chrome HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA GroupPolicy: Ograniczenia ? <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Task: {2B3A0D71-ED33-4A2A-B6B2-E56B58291770} - System32\Tasks\{8CA0EFCD-B481-4D9F-BA1A-21CAE2C6D528} => C:\Windows\system32\pcalua.exe -a C:\Users\Mateusz\Downloads\oddcastv3_winamp_3.1.18.exe -d C:\Users\Mateusz\Downloads Task: {3002AD29-8919-493F-AF64-4E8FF11FD631} - System32\Tasks\{C6E9D46F-A6B1-4B37-81DE-F0E0CD1761FA} => C:\Windows\system32\pcalua.exe -a "E:\WinRAR 4.20 32-64 bit PL Oryginał + Keygen\WinRAR 4.20 32-64 bit PL Oryginał + Keygen\WinRAR 4.20 Finał 32&64 PL-Oficjalne\Keygen.exe" -d "E:\WinRAR 4.20 32-64 bit PL Oryginał + Keygen\WinRAR 4.20 32-64 bit PL Oryginał + Keygen\WinRAR 4.20 Finał 32&64 PL-Oficjalne" Task: {3ED39EF2-55AD-4253-B6B1-A78AA743DF3C} - System32\Tasks\{E39B5F52-3C33-4D32-BAEA-5FF5C37F6704} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Windscribe\WindscribeInstallHelper.exe" -d "C:\Program Files (x86)\Windscribe" Task: {AFC99CF1-F4C5-47AB-A310-4BD16E11158F} - System32\Tasks\Games\cerProj => C:\Windows\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe /quiet C:\Users\Mateusz\AppData\Local\PackModel\IrotehtCure\GNNBRosoyt_ebug.dll Task: {BC1101F2-754B-4DBE-B861-CD28A1286564} - System32\Tasks\{4F9C6037-C9F5-46ED-9295-865C3CA99560} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\CFS-Technologies\Speakonia\spchapi.exe" -d "C:\Program Files (x86)\CFS-Technologies\Speakonia" Task: {CCCD64E7-F5A3-4BE6-9C8B-25D67082669F} - System32\Tasks\{492BE76F-B90D-4B6A-8F96-F17C20A0EDDB} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\CFS-Technologies\Speakonia\tv_enua.exe" -d "C:\Program Files (x86)\CFS-Technologies\Speakonia" ProxyServer: [S-1-5-21-1108289569-963966695-2365604164-1000] => 82.177.38.195:8080 S3 CG6Service; "C:\Program Files\CyberGhost 6\CyberGhost.Service.exe" [X] S3 Disc Soft Lite Bus Service; "C:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe" [X] S2 S2Gvc32; "C:\Program Files (x86)\Speech2Go Voice Package VE\IvonaVoiceService_x86.exe" [X] R3 AppShopDrv103; \??\C:\Windows\SysWOW64\Drivers\AppShopDrv103.sys [X] U4 dmwappushservice; Brak ImagePath S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] HKU\S-1-5-21-1108289569-963966695-2365604164-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.orbitdownloader.com Toolbar: HKU\S-1-5-21-1108289569-963966695-2365604164-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku MSCONFIG\startupreg: Adobe Reader Speed Launcher => "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" MSCONFIG\startupreg: LogMeIn Hamachi Ui => "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start MSCONFIG\startupreg: Smart File Advisor => "C:\Program Files (x86)\Smart File Advisor\sfa.exe" /checkassoc MSCONFIG\startupreg: vidnotifier.exe => C:\Program Files (x86)\Common Files\DVDVideoSoft\lib\vidnotifier\vidnotifier.exe MSCONFIG\startupreg: Windows Host => C:\ProgramData\Windows Host\Windows Host.exe HKU\S-1-5-21-1108289569-963966695-2365604164-1000\Software\Classes\exefile: <==== UWAGA WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":: WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99] WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate] C:\Program Files (x86)\Lawops C:\ProgramData\Ksdr C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alien Arena 2011 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cossacks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VirtuallTek C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinAce C:\Users\Mateusz\AppData\Local\PackModel C:\Users\Mateusz\Desktop\Aplikacje\Recording\Bandicam.lnk C:\Users\Mateusz\Desktop\Aplikacje\Internet Browser\Google Chrome.lnk C:\Users\Mateusz\Desktop\Gry\S-Ż\SMBX.lnk C:\Users\Mateusz\Desktop\Mati\Sony Vegas Pro - Projects\Świat Według Bowsera (IV) C:\Users\Mateusz\Desktop\Mati\Sony Vegas Pro - Projects\Świat Według Bowsera (III)\Odc. 3\nunczaki orientu - 19 - jingiel.mp3 — skrót.lnk C:\Users\Mateusz\Desktop\=Porządek=\Quick Launch\Google Chrome.lnk C:\Users\Mateusz\Desktop\=Porządek=\Roblox\Roblox Player.lnk C:\Users\Mateusz\Desktop\=Porządek=\SA-MP\=Best Polski Freeroam Serwer (Nowy GM)=\pozycje-pojazd (UGMP).lnk C:\Users\Mateusz\Desktop\=Porządek=\SA-MP\=[DM] P4F=\P4F Offical\pawno\pawno — skrót .lnk C:\Users\Mateusz\Desktop\=Porządek=\SA-MP\=[CA] Cheating Allowed=\map.lnk C:\Users\Mateusz\Desktop\=Porządek=\SA-MP\=[CA] Cheating Allowed=\server.lnk cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Odnośnik do komentarza
nesguide2 Opublikowano 4 Czerwca 2021 Autor Zgłoś Udostępnij Opublikowano 4 Czerwca 2021 Zrobię to jak wrócę z pracy (od 6:30 do 22:00 jestem poza domem) Odnośnik do komentarza
nesguide2 Opublikowano 4 Czerwca 2021 Autor Zgłoś Udostępnij Opublikowano 4 Czerwca 2021 Załączam logi Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 5 Czerwca 2021 Zgłoś Udostępnij Opublikowano 5 Czerwca 2021 Wszystko zostało pomyślnie wykonane. Problem powinien ustąpić, ale potwierdź. Na wszelki wypadek dodaj jeszcze świeże raporty z FRST. Odnośnik do komentarza
nesguide2 Opublikowano 5 Czerwca 2021 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2021 (edytowane) Nowe logi FRST.txt Shortcut.txt Addition.txt Edytowane 5 Czerwca 2021 przez nesguide2 Nowy log Odnośnik do komentarza
picasso Opublikowano 5 Czerwca 2021 Zgłoś Udostępnij Opublikowano 5 Czerwca 2021 Przechodzimy do dalszych czynności pobocznych: 1. Programy do deinstalacji: Adobe AIR: Program porzucony, bez aktualizacji. Czy jest on do czegoś używany na tym komputerze? Adobe Flash Player (wszystkie wersje): Program już nie działa, a obsługa usunięta z głównych przeglądarek, szczegóły w przyklejonym: KLIK. Badanie mające na celu poprawę produktów HP Deskjet 1510 series: Zbędny program "telemetryczny". Microsoft Security Essentials: Brak wsparcia i limitowane sygnatury, do zastąpienia innym programem. Orbit Downloader: Funkcje a'la botnet, szczegółowe informacje tutaj: KLIK. WarThunder: Oznaczony przez FRST jako "zły", bo wygląda na pozostałości po niepożądanym programie udającym oryginalną grę. 2. Drobne poprawki na odpadki. Nowy Fixlist do FRST: Task: {B28E0FC3-F692-4374-A66E-B686EDFCB1A6} - System32\Tasks\{8E0F99C8-000F-402F-8C3E-FF3A5C85B14F} => C:\Windows\system32\pcalua.exe -a C:\Users\Mateusz\Desktop\heroes_might_magic_5_3.01_hupl.exe -d C:\Users\Mateusz\Desktop CustomCLSID: HKU\S-1-5-21-1108289569-963966695-2365604164-1000_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Mateusz\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA 2021-05-31 07:14 - 2021-05-31 07:14 - 000000000 ___HD C:\ProgramData\Windows Host 2021-06-02 09:37 - 2020-03-28 17:34 - 000000000 ____D C:\Users\Mateusz\AppData\Local\cypjMERAky DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins File: C:\Windows\SysWOW64\Drivers\AppShopDrv103.sys EmptyTemp: Zaprezentuj wynikowy plik fixlog.txt. 3. Zrób nowe raporty z FRST (bez Shortcut.txt). Potwierdź też czy wyłączyłeś sterownik DAEMON Tools celowo: S4 sptd; C:\Windows\System32\Drivers\sptd.sys [393880 2019-02-13] (Disc Soft Ltd -> Duplex Secure Ltd.) .... oraz czy to pliki lub foldery których nie możesz otworzyć: Błąd podczas odczytu pliku: "C:\Users\Mateusz\Downloads\sans." Błąd podczas odczytu pliku: "C:\Users\Mateusz\Downloads\Oh My..." Odnośnik do komentarza
nesguide2 Opublikowano 8 Czerwca 2021 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2021 (edytowane) Nowe logi W dniu 5.06.2021 o 15:29, picasso napisał: .... oraz czy to pliki lub foldery których nie możesz otworzyć: Błąd podczas odczytu pliku: "C:\Users\Mateusz\Downloads\sans." Błąd podczas odczytu pliku: "C:\Users\Mateusz\Downloads\Oh My..." tych plików nie mogę usunąć ani otworzyć Fixlog.txt FRST.txt Addition.txt Przed chwilą wyłączyłem usługę DEAMON Tools : Disc Soft Lite Bus Service i sterownik W dniu 5.06.2021 o 15:29, picasso napisał: S4 sptd; C:\Windows\System32\Drivers\sptd.sys [393880 2019-02-13] (Disc Soft Ltd -> Duplex Secure Ltd.) Edytowane 8 Czerwca 2021 przez nesguide2 Edycja postu Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2021 Zgłoś Udostępnij Opublikowano 12 Czerwca 2021 1. Nie odinstalowałeś tego programu, czy go nie widzisz na liście? WarThunder (HKLM-x32\...\WarThunder) (Version: - ) <==== UWAGA 2. Spróbujmy usunąć te nieczytelne pliki. Fixlist do FRST: 2021-06-08 19:32 - 2020-11-05 19:42 - 000000000 ____D C:\Users\Mateusz\AppData\Roaming\Orbit CMD: del "\\?\C:\Users\Mateusz\Downloads\sans." CMD: del "\\?\C:\Users\Mateusz\Downloads\Oh My..." Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
nesguide2 Opublikowano 12 Czerwca 2021 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2021 16 minut temu, picasso napisał: 1. Nie odinstalowałeś tego programu, czy go nie widzisz na liście? WarThunder (HKLM-x32\...\WarThunder) (Version: - ) <==== UWAGA Odinstalowałem go już 17 minut temu, picasso napisał: 2. Spróbujmy usunąć te nieczytelne pliki. Fixlist do FRST: 2021-06-08 19:32 - 2020-11-05 19:42 - 000000000 ____D C:\Users\Mateusz\AppData\Roaming\Orbit CMD: del "\\?\C:\Users\Mateusz\Downloads\sans." CMD: del "\\?\C:\Users\Mateusz\Downloads\Oh My..." Przedstaw wynikowy fixlog.txt. Folder Orbit usunąłem RĘCZNIE te 2 pliki usunęło bez problemu, już ich nie ma Załącznik Fixlog.txt poniżej Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2021 Zgłoś Udostępnij Opublikowano 12 Czerwca 2021 Kończymy: 1. Zmień nazwę FRST64.exe na uninstall.exe i uruchom. 2. Wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
nesguide2 Opublikowano 12 Czerwca 2021 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2021 Zrobione, temat można już // LOCK (LOCK - zamknąć) Odnośnik do komentarza
Rekomendowane odpowiedzi