Neumayer12
13 Listopad 2015 21:46
#1
Witam, na początku chciałbym zaznaczyć, że nie znam się za bardzo na ochronie i bezpieczeństwie tak, że za wszelkie moje “spóźnione myślenie” z góry przepraszam i proszę o wyrozumiałość.
Jeśli chodzi o problem, ok 3 czy 4 miesięcy temu miałem spory problem z Malware gen, codziennie mnóstwo ich mi się wysypywało. Około miesiąc temu problem powrócił, używając Malwarebytes Anti-Malware oraz Adw cleaner udawało mi się w miarę ratować sytuację, ale od tego czasu pewne pliki albo po ich włączeniu proces od razu się blokował albo kliknięcie nic nie dawało, zupełnie jak bym klikał “w powietrzu”. Nawet ikona się nie zaznaczała. Myślałem, że to problem ze sterownikami i przywróciłem podstawowe wersje sterowników i ściągałem nowe, niestety przy instalacji wychodziły mi błędy i dlatego nie mam pojęcia czy dobrze się zainstalowały. Od tego czasu niektóre programy i gry po włączeniu od razu się wysypują, pokazuje np. Program XYZ nie odpowiada, potem zamykam program, w przypadku innych pokazuje mi zbyt duże zużycie procesora przez co nie można ich włączyc, oraz po włączenie Mojego Komputera właściwie za każdym razem pokazuje mi eksplorator windows przestał działać. Dzieje się to na laptopie Sony Vaio
System to:
Windows Home Premium 7 Service Pack 1
Intel Core i5 CPU M460 2,53GHz 2,53GHz
Pamięć 4GB Ram
64 Bitowy system operacyjny
Otl:
http://wklej.org/id/1842044/
Z góry dziękuję za każdą pomoc.
Neumayer12
14 Listopad 2015 02:29
#3
Odinstaluj Combofixa w prawidłowy sposób Start - w pole Wyszukaj programy i pliki wpisz lub skopiuj
“C:\Users\Michał\Downloads\ComboFix.exe” /uninstall i Enter
Wklej do notatnika:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3965977620-1781707031-345766673-1001\...\Policies\Explorer: [NoInstrumentation] 1
HKU\S-1-5-21-3965977620-1781707031-345766673-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-3965977620-1781707031-345766673-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3965977620-1781707031-345766673-1001 -> ${searchCLSID} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKU\S-1-5-21-3965977620-1781707031-345766673-1001 -> {61CFC247-32A0-472E-974D-B3D683BF30D8} URL = hxxp://services.zinio.com/search?s={searchTerms}&rf=sonyslices
SearchScopes: HKU\S-1-5-21-3965977620-1781707031-345766673-1001 -> {D293ECE0-B3EC-471D-B634-82A46C98B688} URL = hxxp://rover.ebay.com/rover/1//4?satitle={searchTerms}
BHO: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> Brak pliku
BHO-x32: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> Brak pliku
Toolbar: HKU\S-1-5-21-3965977620-1781707031-345766673-1001 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
FF Plugin-x32: @ngm.nexoneu.com/NxGame -> C:\ProgramData\NexonEU\NGM\npNxGameeu.dll [Brak pliku]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
S3 yukonw7; system32\DRIVERS\yk62x64.sys [X]
2015-11-08 03:07 - 2015-11-13 21:18 - 00000000 ____ D C:\AdwCleaner
2015-11-07 01:05 - 2012-04-03 17:34 - 00000000 ____ D C:\ProgramData\TEMP
2015-11-06 23:04 - 2010-10-19 12:42 - 00000000 ___HD C:\Program Files (x86)\Temp
C:\Users\Michał\AppData\Local\CF3B8D2A-618B-4846-935A-1BBD16E2F96
Task: {08B57BBA-A8D7-462D-8050-385C4A18CAE0} - System32\Tasks\{7AD51EB3-D2A2-4C39-9C1A-9CEF9F17FD82} => pcalua.exe -a C:\Windows\lsb_un20.exe -c /C=UC /N=Joystick 2 Mouse 3
Task: {3D028B3A-BB20-44A9-8135-004309EECB41} - System32\Tasks\{701F1549-B045-40A6-953A-A943EC8D8601} => pcalua.exe -a C:\Users\Michał\Desktop\cenega_poland_oblivion_pl.exe -d C:\Users\Michał\Desktop
Task: {3D9FD574-E6D4-4E75-9FD5-DFE8A475EA07} - System32\Tasks\{353912EE-5E4F-4B6B-A64F-EA2EE9C66946} => pcalua.exe -a "C:\Program Files (x86)\WEBZEN\C9\C9Launcher.exe" -d "C:\Program Files (x86)\WEBZEN\C9"
Task: {3EACE466-90BF-48C0-9136-E9B14326EFA2} - System32\Tasks\CF3B8D2A-618B-4846-935A-1BBD16E2F96 => C:\Users\Michał\AppData\Local\CF3B8D2A-618B-4846-935A-1BBD16E2F96\CF3B8D2A-618B-4846-935A-1BBD16E2F96.exe <==== UWAGA
Task: {4F5BFEC4-20E6-453E-BD32-2F50C68A41E9} - System32\Tasks\{46BD2AF0-0243-4677-8075-1790EEF54426} => pcalua.exe -a C:\Gry\simsy\SHOWTIME\The_Sims_3_Showtime-FLT\flt-t3st\Sims3EP06Setup.exe -d C:\Gry\simsy\SHOWTIME\The_Sims_3_Showtime-FLT\flt-t3st
Task: {671F1F40-BCB9-4190-80C7-F8A3D09CBA33} - System32\Tasks\{76CE66CA-42E9-4533-A7EA-7B356D7F7011} => pcalua.exe -a C:\Users\Michał\Downloads\chromeinstall-6u24.exe -d C:\Users\Michał\Downloads
Task: {6E7DB47F-0EFA-435F-9E87-86F791841005} - System32\Tasks\{D81F7D20-240E-4468-911E-03E78F72EF11} => pcalua.exe -a C:\Gry\IG2\IG2\Setupreg.exe -d C:\Gry\IG2\IG2
Task: {97FD7C15-950F-42E8-9E83-C2051609B6BD} - System32\Tasks\{27FF9FCA-DB3B-4A7D-86A2-AAB3BA3F3F40} => pcalua.exe -a "C:\Users\Michał\Desktop\OpenOffice.org 3.4.1 (pl) Installation Files\setup.exe" -d "C:\Users\Michał\Desktop\OpenOffice.org 3.4.1 (pl) Installation Files"
Task: {AB23686D-995D-4A5D-B372-5774AD1ECAC3} - System32\Tasks\{0F169EEB-1438-43F8-94AD-B0DC42FFB570} => pcalua.exe -a C:\Users\Michał\Desktop\joy2mouse3.exe -d C:\Users\Michał\Desktop
Task: {E187EDB5-23BE-44C7-ADCA-8B949E51D5D2} - System32\Tasks\{4D7CF51F-06B1-4CD1-95F3-C3930252AC0D} => pcalua.exe -a "C:\Program Files (x86)\Claro LTD\claro\1.8.8.5\GUninstaller.exe" -c -uprtc -key "claro"
Task: {F4B64EB2-CF9C-4F9A-9D12-1879310C80A7} - System32\Tasks\{AA316FE8-6C72-4613-A663-10FE71F435DE} => pcalua.exe -a "C:\PROGRA~2\Easy Audio CD Burner\UNWISE.EXE" -c C:\PROGRA~2\Easy Audio CD Burner\INSTALL.LOG
Task: {F659FA61-35E6-4FE7-9424-30A0A3AE0113} - System32\Tasks\{A5E15ECF-145F-4C7D-A3CA-07AC65F78D3B} => pcalua.exe -a C:\Users\Michał\Desktop\fm\fm.exe -d C:\Users\Michał\Desktop\fm\
Task: {FE05E55A-13E7-4B25-BE69-8EA9896DC9CF} - System32\Tasks\{065AB88E-46EE-4C57-8C08-42222BB8F277} => pcalua.exe -a C:\Users\Michał\Downloads\Joy2Mouse3.exe -d C:\Users\Michał\Downloads
EmptyTemp:
Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Napraw Raport z usuwania pokaż na forum. Następnie ponownie uruchom FRST klikasz Skanuj pokaż nowy raport FRST.txt na forum
Neumayer12
14 Listopad 2015 12:42
#5
Przez Panel sterowania odinstaluj:
Nie widzę na liście zainstalowanych programów Mcafee więc odinstaluj pozostałości po nim. Użyj McAfee Consumer Product Removal Tool http://www.majorgeeks.com/files/details/mcafee_consumer_product_removal_tool.html
Następnie ponownie uruchom FRST klikasz Skanuj pokaż nowy raport FRST.txt na forum
Neumayer12
15 Listopad 2015 20:16
#7
Java i Eset zostały odinstalowane, jeśli chodzi o McAfee to pokazało odinstalowanie niepełne.
Jeśli zaś chodzi o globalupdate Helper, nie mam go w dodaj/usuń programy, ściągnąłem yet another cleaner oraz wise program uninstaller ale i tam go nie było. Dalej wyczytałem, że można to zmienić w rejestrze aby był widoczny, wszedłem na HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Uninstall i próbowałem tu znaleźć nazwę programu ale nie znalazłem. Dlatego też nie mam pojęcia jak inaczej mogę go odinstalować.
I logi:
FRST:
http://wklej.org/id/1844074/
Addition:
http://wklej.org/id/1844076/
Shortcut:
http://wklej.org/id/1844077/
Do odinstalowania McAfee użyj GeekUninstaller http://www.dobreprogramy.pl/GeekUninstaller,Program,Windows,33126.html Jeśli znajdziesz program na liście użyj opcji Wymuszonego odinstalowania. Po tym pokaż nowy raport FRST
Neumayer12
16 Listopad 2015 16:03
#9
Ściągnąłem geekUninstaller, ale po włączeniu nie ma programu ani McAfee ani globalupdate Helper
Neumayer12
16 Listopad 2015 20:23
#11
Niestety dokładnie to samo mi wyszło kiedy włączyłem w trybie awaryjnym, dokładnie pisze coś takiego:
Incomplete Uninstallation
Error obtaining full permissions for cleanup. See log file to more details.
I kiedy włączyłem view log, pokazało: proces nie może włączyć loga.
I logi:
FRTS
http://wklej.org/id/1845463/
Addition
http://wklej.org/id/1845464/
Shortcut
http://wklej.org/id/1845465/
Wklej do notatnika:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3965977620-1781707031-345766673-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
2015-11-15 19:59 - 2015-11-15 20:00 - 02299936 _____ (WiseCleaner.com ) C:\Users\Michał\Downloads\WPUSetup.exe
2015-11-15 19:44 - 2015-11-15 19:44 - 00000768 _____ C:\Windows\Tasks\McAfee Cleanup.job
2015-11-15 19:40 - 2015-11-15 19:42 - 04923920 _____ (McAfee, Inc.) C:\Users\Michał\Downloads\MCPR.exe
2015-11-15 19:35 - 2015-11-15 19:35 - 00895744 _____ () C:\Users\Michał\Downloads\yet_another_cleaner_sk.exe
2015-11-15 19:35 - 2015-11-15 19:35 - 00000000 ____ D C:\Users\Michał\AppData\Roaming\Elex-tech
2015-11-13 21:15 - 2015-11-13 21:16 - 01729536 _____ C:\Users\Michał\Downloads\adwcleaner_5.020.exe
2015-11-13 20:24 - 2015-11-13 20:25 - 02870984 _____ (ESET) C:\Users\Michał\Downloads\esetsmartinstaller_plk.exe
2015-11-07 01:12 - 2015-11-07 01:12 - 00038091 _____ C:\ComboFix.txt
2015-11-07 00:53 - 2015-11-14 13:24 - 00000000 ____ D C:\Windows\erdnt
2015-11-07 00:52 - 2015-11-07 00:53 - 05637844 ____ R (Swearware) C:\Users\Michał\Downloads\ComboFix.exe
Task: C:\Windows\Tasks\McAfee Cleanup.job => C:\Users\MICHA~1\AppData\Local\Temp\MCPR\mccleanup.exe <==== UWAGA
EmptyTemp:
Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Napraw Raport z usuwania pokaż na forum.
Uruchom Autoruns jako administrator http://www.dobreprogramy.pl/AutoRuns,Pr … 13208.html po zakończonym skanie przejdź do zakładki Services - znajdź i odhacz
S3 McShield; C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe [200056 2010-10-13] (McAfee, Inc.) S3 mfefire; C:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe [219752 2014-04-03] (McAfee, Inc.) R2 mfevtp; C:\Program Files\Common Files\McAfee\SystemCore\mfevtps.exe [189912 2014-04-03] (McAfee, Inc.)
Przejdź do zakładki Drivers - znajdź i odhacz
S3 cfwids; C:\Windows\System32\drivers\cfwids.sys [70592 2014-04-03] (McAfee, Inc.) S3 mfeapfk; C:\Windows\System32\drivers\mfeapfk.sys [177544 2014-04-03] (McAfee, Inc.) R3 mfeavfk; C:\Windows\System32\drivers\mfeavfk.sys [311856 2014-04-03] (McAfee, Inc.) R3 mfefirek; C:\Windows\System32\drivers\mfefirek.sys [522360 2014-04-03] (McAfee, Inc.) R0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [784760 2014-04-03] (McAfee, Inc.) S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [94864 2010-10-13] (McAfee, Inc.) R0 mfewfpk; C:\Windows\System32\drivers\mfewfpk.sys [346760 2014-04-03] (McAfee, Inc.)
Zrestartuj komputer, uruchom ponownie Autoruns jak zakończy skan przejdź ponownie do zakładki Services znajdź powyższe (powinny być odznaczone nieaktywne) i usuń. Przejdź do zakładki Drivers i tak samo znajdź i usuń Po tym pokaż nowy raport FRST na forum
Neumayer12
17 Listopad 2015 13:23
#13
Ok to najpierw Fixlog:
http://wklej.org/id/1846295/
Niestety gdy próbuję odinstalować w programie Autoruns, pisze mi: Error deleting start setting: Odmowa dostępu. Udało mi się odinstalować tylko:
S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [94864 2010-10-13] (McAfee, Inc.)
W takim razie spróbuj ponownie zainstalować McAfee http://www.dobreprogramy.pl/McAfee-Internet-Security,Program,Windows,12751.html a następnie odinstalować przez Aplet Dodaj/Usuń Programy. Po tym pokaż nowy raport FRST
Neumayer12
19 Listopad 2015 23:21
#15
To jest McAfee Validation Trust Protection Service opis można znaleźć tutaj https://community.mcafee.com/message/311539
McAfee Validation Trust Protection Service (mfevtps.exe) is installed with the McAfee Agent and is designed to prevent modification to McAfee programs and services as a self-protection mechanism. It is designed to make it difficult (but not impossible) for even kernel-mode rootkits from changing or altering McAfee services in a malicious way. For this reason, no McAfee Tool exists for it’s removal (which would render self-protection moot).
Jak widać wcale nie jest tak łatwo usunąć tą usługę chociaż nie jest to niemożliwe.
Proszę pobrać MVSE http://sendfile.es/pokaz/578638—etmo.html Wypakuj i uruchom plik VSEsetup.exe. Po zakończonej instalacji uruchom VSE i zmień następujące ustawienia domyślne (odznacz):
Następnie wejdź w tryb awaryjny windows i użyj ponownie McAfee Consumer Product Removal Tool http://www.majorgeeks.com/files/details/mcafee_consumer_product_removal_tool.html
Po tym pokaż nowy raport FRST na forum
Neumayer12
21 Listopad 2015 16:06
#17
Pewnie dlatego jest problem bo dali mi to jako pewien dodatek. Kupując laptopa miałem już McAfee zainstalowane…
Niestety nie udało się i tak samo pisze Incomplete Uninstallation.
Oto logi:
FRST:
http://wklej.org/id/1851926/
Shortcut:
http://wklej.org/id/1851923/
Addition:
http://wklej.org/id/1851920/
Przez Panel sterowania Aplet Dodaj\Usuń Programy odinstaluj
McAfee Agent (HKLM-x32…{1FDB8EC6-BAF1-42F9-8E09-4D9AB369F1B5}) (Version: 4.8.0.887 - McAfee, Inc.) McAfee VirusScan Enterprise (HKLM-x32…{CE15D1B6-19B6-4D4D-8F43-CF5D2C3356FF}) (Version: 8.8.04001 - McAfee, Inc.)
Następnie wejdź w tryb awaryjny windows i użyj ponownie McAfee Consumer Product Removal Tool http://www.majorgeeks.com/files/details/mcafee_consumer_product_removal_tool.html
Po tym pokaż nowy raport FRST na forum
Neumayer12
22 Listopad 2015 20:04
#19
Udało mi się uzyskać log z błędu odinstalowania McAfee:
http://wklej.org/id/1853736/
Bo niestety znów pisze Incomplete Uninstallation
I logi: FRST:
http://wklej.org/id/1853750/
Addition:
http://wklej.org/id/1853749/
Shortcut:
http://wklej.org/id/1853748/
Proszę utworzyć nowy punkt przywracania systemu http://windows.microsoft.com/pl-pl/windows7/create-a-restore-point
Nagraj na pendrive FRST.exe oraz Fixlist.txt muszą one być w tym samym katalogu
Wklej do notatnika:
CloseProcesses: