Prośba o sprawdzenie logów, wyników skanowania

[TheMonteResso 0]

Witam,

w załączeniu wyniki skanowania Malwarebytes, logi FRST i Addition. Komputer od jakiegoś czasu freezował się, plus wydaję mi się, że wolniej chodzi. Z ciekawości zrobiłem skany i oprócz rejestrów wykryło mi pliki w folderach systemowych co mnie zdziwiło i nie znam się na tyle żeby usuwać takie pliki bo po wrzuceniu ich do kwarantanny wyrzuca mi błędy po ponownym uruchomieniu (brak plików) więc boję się żeby czegoś nie zepsuć. Same logi jak przeszukiwałem nic nie widziałem. Byłbym wdzięczny za jakieś wskazówki, co zrobić z plikami i rejestrami które wykrył mi Malwarebytes. Plus nie wiem od jakiego czasu bo dopiero teraz zauważyłem, nie mogę zrobić update windowsa "kodu błędu: (0x80080005)" i chyba Defender mi nie działa ale to najwyżej w innym dziale albo reinstall będzie trzeba zrobić.

Skan Malwarebytes.txt

FRST_30-03-2020 19.25.25.txt

Addition_30-03-2020 19.25.25.txt

[filutka78 11]

1) Wszystko, co wykrył MBAM, jest naprawdę do usunięcia!

 

2) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

C:\Windows\system32\winrmsrv.exe

Task: {303A849A-303A-43E7-B4C8-D4536038FFE9} - System32\Tasks\Microsoft\Windows\WDI\SrvHost => rundll32.exe winscomrssrv.dll,SrvMainHost <==== UWAGA

Task: {321D8664-2432-4EAC-B26C-368F6AD116BB} - Brak ścieżki do pliku

Task: {88EEEADD-9DA5-4BE3-AC21-6CE6C3300B2A} - Brak ścieżki do pliku

Task: {932D9380-DD8F-44DA-B57C-13188D80A78B} - System32\Tasks\Microsoft\Windows\Wininet\Winlogui => winlogui.exe <==== UWAGA

Task: {FA72058F-319C-444A-8007-4E95B452BBEE} - Brak ścieżki do pliku

S2 AVG Antivirus; "C:\Program Files\AVG\Antivirus\AVGSvc.exe" [X]

S3 avgbIDSAgent; "C:\Program Files\AVG\Antivirus\aswidsagent.exe" [X]

S2 AvgWscReporter; "C:\Program Files\AVG\Antivirus\wsc_proxy.exe" /runassvc /rpcserver [X]

S3 cpuz140; \??\C:\Windows\TEMP\cpuz140\cpuz140_x64.sys [X]

R4 PsBoot; system32\Drivers\PsBoot.sys [X]

2020-03-30 12:12 - 2020-03-30 12:12 - 002619392 _____ (Microsoft Corporation) C:\Windows\system32\StartupCheckLibrary.dll

2020-03-30 12:12 - 2020-03-30 12:12 - 000731136 _____ (Microsoft Corporation) C:\Windows\system32\winrmsrv.exe

2020-03-30 12:12 - 2020-03-30 12:12 - 000681472 _____ (Microsoft Corporation) C:\Windows\system32\winscomrssrv.dll

FirewallRules: [{2E35ADBE-2E55-4473-A2EC-AAC4284CA38D}] => (Allow) C:\Users\monte\AppData\Roaming\BitTorrent\BitTorrent.exe Brak pliku

FirewallRules: [{F77028C1-A678-48F5-948A-9BEC9AC94B90}] => (Allow) C:\Users\monte\AppData\Roaming\BitTorrent\BitTorrent.exe Brak pliku

HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, <==== UWAGA

KLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

HKU\S-1-5-21-3906150058-3056905894-2365537362-1001\...\Run: [AdobeBridge] => [X]

HKU\S-1-5-21-3906150058-3056905894-2365537362-1001\...\Run: [GalaxyClient] => [X]

FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA

Task: {0B09503F-7613-4ECE-952E-75E203693EB1} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\winrmsrv => C:\Windows\system32\winrmsrv.exe [731136 2020-03-30] (Microsoft Corporation) [brak podpisu cyfrowego] <==== UWAGA

FirewallRules: [{06EB5E1D-B106-41B7-AF6A-5E052717B0E2}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe Brak pliku

FirewallRules: [TCP Query User{D9BD9B4E-6DB0-4F7A-9611-784CBBC09BA8}C:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) C:\program files (x86)\origin games\apex\r5apex.exe Brak pliku

FirewallRules: [uDP Query User{15090B8D-371B-4A70-AAF0-BBB94E472B3C}C:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) C:\program files (x86)\origin games\apex\r5apex.exe Brak pliku

FirewallRules: [TCP Query User{CD610294-EB50-4503-B5B4-4C496937E581}D:\games\world_of_tanks_eu\worldoftanks.exe] => (Allow) D:\games\world_of_tanks_eu\worldoftanks.exe Brak pliku

FirewallRules: [uDP Query User{C5DDCE65-22BC-41B8-B477-AC6F0997D26E}D:\games\world_of_tanks_eu\worldoftanks.exe] => (Allow) D:\games\world_of_tanks_eu\worldoftanks.exe Brak pliku

FirewallRules: [TCP Query User{10D21491-EE0D-4C19-B004-139885B2AAC9}C:\program files\epic games\forhonor\forhonor.exe] => (Allow) C:\program files\epic games\forhonor\forhonor.exe Brak pliku

FirewallRules: [uDP Query User{CD872C49-EAF3-49FD-A5C3-9A0F53D7D156}C:\program files\epic games\forhonor\forhonor.exe] => (Allow) C:\program files\epic games\forhonor\forhonor.exe Brak pliku

FirewallRules: [TCP Query User{3734DD33-A227-4EC2-9B4E-82105005DC07}C:\games\world_of_tanks_ct\win32\worldoftanks.exe] => (Allow) C:\games\world_of_tanks_ct\win32\worldoftanks.exe Brak pliku

FirewallRules: [uDP Query User{46168711-AC7A-4319-8428-00295F01F1BE}C:\games\world_of_tanks_ct\win32\worldoftanks.exe] => (Allow) C:\games\world_of_tanks_ct\win32\worldoftanks.exe Brak pliku

FirewallRules: [{DB32F8E4-9444-466E-84D3-6BB775539BB6}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege\RainbowSix_BE.exe Brak pliku

FirewallRules: [{03BF1E4B-0A5C-44F5-97A5-64009AF097CB}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege\RainbowSix_BE.exe Brak pliku

FirewallRules: [{701653FD-992A-4C13-930E-AD6DF7D34BFD}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege\RainbowSix.exe Brak pliku

FirewallRules: [{ED4594D8-EAE6-4FDE-BCAF-F0E60F2EBCE7}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege\RainbowSix.exe Brak pliku

FirewallRules: [{AADC7B99-E68B-4FCF-AB1C-8BE9F3ED933E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\3DMark\bin\x86\3DMark.exe Brak pliku

FirewallRules: [{11327995-280A-4153-A376-97FC187B2478}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\3DMark\bin\x86\3DMark.exe Brak pliku

FirewallRules: [{2111A9B8-0851-40CD-B4CD-64F050D0BB0D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\3DMark\bin\x64\3DMark.exe Brak pliku

FirewallRules: [{7F9DB291-8204-45BD-90D4-D9B9367DFB35}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\3DMark\bin\x64\3DMark.exe Brak pliku

FirewallRules: [TCP Query User{6131C4B9-4DFF-4DFF-B97A-9F993BC2F3AD}C:\games\subnauticazero\subnauticazero.exe] => (Allow) C:\games\subnauticazero\subnauticazero.exe Brak pliku

FirewallRules: [uDP Query User{04D16B08-6D19-483F-861A-CFF0A29CC9A7}C:\games\subnauticazero\subnauticazero.exe] => (Allow) C:\games\subnauticazero\subnauticazero.exe Brak pliku

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

F.

Edytowane 30 Marca 2020 przez filutka78

[TheMonteResso 0]

a 2? ^^ co do 1) pytanie czy jakoś można przywrócić te pliki czyste czy czeka mnie wtedy decyzja żeby żyć z komunikatami przy uruchamianiu czy format lepiej?

[filutka78 11]

pytanie czy jakoś można przywrócić te pliki czyste czy czeka mnie wtedy decyzja żeby żyć z komunikatami przy uruchamianiu czy format lepiej?

wróć do mojego poprzedniego postu

 

To, że pliki udają, że są z Microsoftu, nie oznacza, że mogą być w ogóle dobre - w tym przypadku to są podróbki, a nie pliki Microsoftu.

 

F.

Edytowane 30 Marca 2020 przez filutka78

[TheMonteResso 0]

Naprawa zrobiona, przy uruchamianiu był tylko jeden błąd StartupCheckLibrary.dll. Doszło dziwne zjawisko, że przy próbie stworzenia pendrive pod windowsa (w razie czego), klikam instalator i restartuje mi komputer. Przejrzałem na szybko fixlog i dużo rzeczy nie znalazło itd. Załączam plik. I dziękuję ślicznie za każdą pomoc.

Fixlog.txt

[filutka78 11]

na razie muszę odejść od komputera.

 

w logu FRST.rxt jest coś "nie tak" z Windows Update, więc dodatkowo:

Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

 

F.

[TheMonteResso 0]

Ja też musiałem na chwilę odejść i z tego co widzę jakby rejestry się posypały.

 

W ustawieniach Zabezpieczenia Windowsa nawet mi się nic nie wyświetla za bardzo.

FSS.txt

Edytowane 30 Marca 2020 przez TheMonteResso

[filutka78 11]

no tak, nie jest wesoło.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceMain"="WUServiceMain"
"ServiceDllUnloadOnStop"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\
 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\
 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\
 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\
 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\
 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
 00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]
"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\
 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\
 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000

EndRegedit:

Reboot:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zrób nowy log FSS.

 

F.

Edytowane 30 Marca 2020 przez filutka78

[TheMonteResso 0]

Z tego co widzę Windows Update chyba w logu zniknął teraz, ale nie pocieszasz tym, że nie wesoło Ale serdecznie dziękuję za pomaganie.

FSS.txt

[filutka78 11]

Sądząc po tym logu, to powinno już być OK.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

StartRegedit:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]

"DisableAntiSpyware"=dword:00000000

 

Reboot:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Security Center:

============

 

wscsvc Service is not running.

Masz nieuruchomioną usługę "wscsvc" , (czyli Centrum Zabezpieczeń)!

 

F.

Edytowane 30 Marca 2020 przez filutka78

[TheMonteResso 0]

Dobra to tak... zrobiłem to wyżej i po restarcie miałem przygotowywanie windowsa, potem nie mogło mnie zalogowac do konta, ale po wylogowaniu już wbiłem. Błąd StartupCheckLibrary.dll nadal mi się wyświetla (da się go jakoś usunąć?). Teraz przeczytałem o Security Center, w zakładce Zabezpieczenia Windows nie mam nic oprócz Otwórz usługę Zabezpieczenia Windows a klikając w to nie mam nic w okienku. Windows Update wróciło i znalazło mi chyba 3.

 

Czyli na mój rozum, nie mogę nadal chyba Defendera włączyć i jak sprawdzić czy wszystko jest ok, ponownie Malwarebytes odpalić?

Mam wrażenie jakby brakowało mi trochę funkcji w Ustawieniach, może bezpieczniej jakoś format zrobić? (teoretycznie mam wszystko na drugim dysku)

 

PS. W Usługach centrum zabezpieczeń mam, że działa.

Edytowane 30 Marca 2020 przez TheMonteResso

[filutka78 11]

Zrób nowy log FSS, oraz nowy log FRST - bez Addition, i bez Shortcut.

 

F.

Edytowane 30 Marca 2020 przez filutka78

[TheMonteResso 0]

Niestety FRST zaczął mieć więcej niż 100 Kb. Wybacz za dłuższy czas ale zrobiłem wszystkie updaty już. Co do zdjęcia w załączeniu, to jest mój Windows Defender aktualnie ;P nawet klikając w bezpośredni link ze strony microsoft, pojawia mi się to okno.

 

FRST

FSS.txt

Edytowane 30 Marca 2020 przez TheMonteResso

[filutka78 11]

Masz AVG, więc Windows Defender jest przez niego zablokowany, nic na to nie poradzisz.

 

Błąd z "StartupCheckLibrary.dll" wynika z tego, że w dalszym ciągu jest szkodliwe Zaplanowane Zadanie.

Spróbujemy je jeszcze raz usunąć

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Task: {578DFE5C-90CA-45B8-83C0-BDC0E1BF88DF} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => rundll32.exe StartupCheckLibrary.dll,DllMainRunLibrary <==== UWAGA

S2 AVG Antivirus; "C:\Program Files\AVG\Antivirus\AVGSvc.exe" [X]

S3 avgbIDSAgent; "C:\Program Files\AVG\Antivirus\aswidsagent.exe" [X]

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zrób nowy log FRST.

 

F.

Edytowane 30 Marca 2020 przez filutka78

[TheMonteResso 0]

FRST

 

Więc tak, błędu już nie ma, instalator Windowsa nadal resetuje komputer (może to wina czegoś innego nie wiem), Windows Defender przez panel sterowania widziałem, że działa ale Centrum Zabezpieczeń chyba powinno wyglądać inaczej plus pokazywać, że korzystam z Malwarebyte, bo AVG nawet nie mam aktualnie na kompie, a w Malwarebyte mam wyłączone żeby zastąpił zabezpieczenia Windowsa.

[filutka78 11]

Skoro nie masz AVG, to:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

HKLM\...\Run: [AVGUI.exe] => "C:\Program Files\AVG\Antivirus\AvLaunch.exe" /gui

HKLM-x32\...\Run: [AVGUI.exe] => "C:\Program Files\AVG\Antivirus\AvLaunch.exe" /gui

RemoveDirectory: C:\Program Files\AVG

HKLM\...\Policies\Explorer: [HideSCAHealth] 0

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA

Task: {FE4BF221-F99B-4554-B2A6-13128B013DEC} - System32\Tasks\AVG\Overseer => C:\Program Files\Common Files\AVG\Overseer\overseer.exe [1692296 2020-02-28] (AVG Technologies USA, LLC -> AVG Technologies)

RemoveDirectory: C:\Program Files\Common Files\AVG

CHR Extension: (AVG SafePrice | Porównania, promocje, kupony) - C:\Users\monte\AppData\Local\Google\Chrome\User Data\Default\Extensions\mbckjcfnjmoiinpgddefodcighgikkgn [2020-01-02]

S2 AVG Antivirus; "C:\Program Files\AVG\Antivirus\AVGSvc.exe" [X]

S3 avgbIDSAgent; "C:\Program Files\AVG\Antivirus\aswidsagent.exe" [X]

C:\Windows\system32\avgBoot.exe

R0 avgArDisk; C:\Windows\System32\drivers\avgArDisk.sys [37928 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R1 avgArPot; C:\Windows\System32\drivers\avgArPot.sys [206160 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R1 avgbidsdriver; C:\Windows\System32\drivers\avgbidsdriver.sys [271704 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R0 avgbidsh; C:\Windows\System32\drivers\avgbidsh.sys [207192 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R0 avgbuniv; C:\Windows\System32\drivers\avgbuniv.sys [64344 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R0 avgElam; C:\Windows\System32\drivers\avgElam.sys [16520 2020-02-26] (Microsoft Windows Early Launch Anti-malware Publisher -> AVG Technologies CZ, s.r.o.)

R1 avgKbd; C:\Windows\System32\drivers\avgKbd.sys [43560 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R2 avgMonFlt; C:\Windows\System32\drivers\avgMonFlt.sys [175472 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R1 avgRdr; C:\Windows\System32\drivers\avgRdr2.sys [111144 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R0 avgRvrt; C:\Windows\System32\drivers\avgRvrt.sys [84096 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R1 avgSnx; C:\Windows\System32\drivers\avgSnx.sys [849256 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R1 avgSP; C:\Windows\System32\drivers\avgSP.sys [459168 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R2 avgStm; C:\Windows\System32\drivers\avgStm.sys [235280 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R0 avgVmm; C:\Windows\System32\drivers\avgVmm.sys [316840 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

EDIT:

Centrum Zabezpieczeń chyba powinno wyglądać inaczej

Z logu FRST wynika, że Centrum Zabezpieczeń nie jest ukryte:

HKLM\...\Policies\Explorer: [HideSCAHealth] 0

Być może jest uszkodzone, ale ja nie wiem, jak to naprawić.

W ostateczności możesz zarejestrować się na forum https://www.fixitpc.pl/

i napisać Prywatną Wiadomość do https://www.fixitpc.pl/profile/2-picasso/

(Ona na razie z powodu choroby nie pomaga na oficjalnym forum, ale czasem pomaga poprzez Prywatne Wiadomości).

To najlepszy fachowiec w sprawie WINDOWS.

 

F.

Edytowane 30 Marca 2020 przez filutka78

[TheMonteResso 0]

Wyskoczyło kilka logów, że nie może usunąć. Hmmm dobrze... przeczytałem teraz EDIT wyżej. No Centrum wygląda na uszkodzone lub ukryte, zapisałem sobie link do profilu a Tobie serdecznie dziękuję za wspieranie. Ale żeby nie robić problemów bo chyba rozsypało się dużo rzeczy, może lepiej format? Bo nawet nie chodzi o czas jaki poświęcimy na to ale sam spokój z tyłu głowy. Bo widać są jakieś dziwne resztki AVG, które leżą po kątach plus ustawienia uszkodzone. Co polecasz? Czy warto jeszcze powalczyć i spróbować u Niej?

Fixlog.txt

Edytowane 30 Marca 2020 przez TheMonteResso

[filutka78 11]

Wyskoczyło kilka logów, że nie może usunąć.

Tego się spodziewałam, bo AVG ma specjalne zabezpieczenia.

AVG powinno się usuwać tylko przy pomocy AVG Remover - https://www.avg.com/pl-pl/utilities

 

F.

Edytowane 30 Marca 2020 przez filutka78

[TheMonteResso 0]

Jestem wybacz, trochę zaskoczyło mnie hasło w trybie awaryjnym i musiałem chwile przypominać sobie ;P Dobra teoretycznie usunięte AVG. Jaki dalszy krok, powtórzyć tamtą próbę usuwania?

Co do samego centrum zabezpieczeń nawet jeśli nie działa to chyba nie jest potrzebne jeśli defender działa (tak mi się zdaje). Teraz tylko nie jestem pewny gdzie zrobiłem błąd, że to się tak posypało dziwnie.

[filutka78 11]

nie jestem pewny gdzie zrobiłem błąd, że to się tak posypało dziwnie.

To wina infekcji, a nie Twoja - ta infekcja zawsze tak robi, to nic nowego.

 

F.

[Gość]

Co do samego centrum zabezpieczeń nawet jeśli nie działa to chyba nie jest potrzebne jeśli defender działa (tak mi się zdaje).

Jeśli nie będzie kontaktu z @picasso, sprawdź u siebie czy struktura klucza usługi centrum zabezpieczeń

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc

 

jest identyczna (powinna być) jak w jej poradniku Mój link.

[TheMonteResso 0]

Zrobiłem rekonstrukcje jednak nic nie pomogło, napisałem już wiadomość jednak z większością rzeczy sobie poradziliśmy Malwarebytes nic nie wykrywa już, zero błędów oprócz tego Centrum zabezpieczeń. Jeszcze zaraz sprawdzę czy nadal restartuje mi komputer przy programie od Microsoft ale mam nadzieję wszystko poszło dobrze. Teraz tylko poszukam jakieś testy aktualnych AV bo nawet nie pamiętam żebym usuwał AVG a wolę mieć jakąś dodatkową warstwę ochrony. Dziękuję za uratowanie mnie przed formatem i pomoc

 

PS. Już nie restartuje mi komputera narzędzie do tworzenia nośnika Windowsa. Więc chyba coś AVG blokował, nie wiem.

Edytowane 31 Marca 2020 przez TheMonteResso

[filutka78 11]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC} /v AutoStart /t REG_SZ

Czy masz któryś z tych kluczy w Rejestrze?

 

F.

[TheMonteResso 0]

Mam tylko ten pierwszy klucz Security and Maintenance Shell Service Object. Drugiego nie ma.

[filutka78 11]

Mam tylko ten pierwszy klucz Security .. Drugiego nie ma.

To dobrze - tylko jeden z tych kluczy powinien być (drugi jest chyba tylko w Systemie VISTA). I w okienku po prawej stronie, po "Autostart" powinno być pusto. Jeśli tak jest, to OK.

Choć ja dalej nie wiem, co jest "nie tak" z tym Centrum Zabezpieczeń.

Ale to rozgryzie @Picasso.

 

F.