Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Menedżer zadań - podejrzenie infekcji wirusowej albo błąd systemu

Artek_łódź 15 Gru 2014 15:07 768 12
  • #1 15 Gru 2014 15:07
    Artek_łódź
    Poziom 17  

    Witam serdecznie,

    Na początki przepraszam, jeśli zamieściłem post w nie tym dziale co trzeba.

    Mam problemy z którymi nie mogę sobie poradzić, Koledzy poradźcie coś.

    Pracuję na Windows Vista Home Premium, SP 2.
    Albo mój system został zainfekowany wirusem, albo mam usterkę programową.

    1. Nie działa mi Menedżer Zadań Windows. Kombinacja Ctr+Alt+Del nie działa (wyświetla się ekran logowania z wyborem m.in. właśnie Menedżera ale jak się go kliknie to nic się nie dzieje), Ctr+Shift+Esc tak samo, Kliknięcie z paska zadań również. Plik TaskMgr.exe znajduje się w folderze C:\Windows\System32. Loguję się z konta z uprawnieniami administratora. Sprawdziłem rejestr, Menedżer nie jest w nim zablokowany, jednak jakby usunęły się wszystkie wartości z HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System.

    Utworzyłem je według poradnika na stronie Microsoftu – nic.
    Co ciekawe, Menedżer Zadań ładnie działa w trybie awaryjnym.

    2. W menu start dublują się pozycje. Przykład: po kliknięciu na Wszystkie programy rozwija się lista folderów: Autostart, Akcesoria, Narzędzia systemowe itd. Gdy cokolwiek nowego zainstaluje, wpisy te jakby się dublują, czyli mam nagle dodatkowy folder Programy i mogę go rozwinąć jak pierwotne Menu Start. Gdy wybiorę na moment klasyczne menu i przełączę z powrotem na obecny widok – wszystko jest ok. Dziwne jest również to, że nie znika podświetlenie dla niektórych programów, zainstalowanych wiele miesięcy temu.

    3. Nie zapisują się komendy w menu Uruchom. Kiedyś wpisywałem np. msconfig i wpis ten zostawał tam, mogłem wybrać inne. Teraz nic z tego. Sprawdziłem rejestr, przeniosłem z innego systemu wartość RunMRU i teraz jest tak, że polecenia są, ale dopiero muszę wpisać daną literkę aby pojawiła się cała. Nie działa dodawanie żadnej innej.

    Dodam, że nie mam żadnych innych problemów z systemem, wszystko śmiga, czas uruchomienia systemu niecałe 35 sekund. Sprawdziłem system kolejno:

    ComboFix
    OTL
    SuperAntispyware
    Kaspersky Rescue Disk (z poziomu bootowania),
    Malwarebytes Anti-Malware
    AdwCleaner,
    Ccleaner,
    Glary Utilities,
    Wise Registry Cleaner.

    Nie mam punktów przywracania. Opcja naprawy systemu z płyty Windows nic nie daje – nie wykrywa błędów. Funkcja sfc /scannowa również nic nie znajduje. Pamiętam też, że użyłem softu Registry Life, i chyba po jego pracy mogło się to pojawić.

    Zamieszczam logi z OTL. Proszę o wszelkie wskazówki :cry:

    0 12
  • Pomocny post
    #2 15 Gru 2014 17:31
    mati211p
    Specjalista - HDD i odzyskiwanie danych

    Wymagane są logi z FRST.

    0
  • #4 15 Gru 2014 17:55
    mati211p
    Specjalista - HDD i odzyskiwanie danych

    Pokaż też jeszcze SMART dysku.

    0
  • Pomocny post
    #5 15 Gru 2014 18:57
    Kolobos
    Spec od komputerów

    W logu widac:
    Error: (12/15/2014 05:36:27 PM) (Source: Ntfs) (EventID: 55) (User: )
    Description: Struktura systemu plików na dysku jest uszkodzona i nie do użytku.
    Uruchom narzędzie chkdsk na woluminie System.

    W msconfig wlacz:
    MSCONFIG\Services: globalUpdate => 2
    MSCONFIG\Services: globalUpdatem => 3
    MSCONFIG\Services: IePluginServices => 2
    MSCONFIG\Services: WindowsMangerProtect => 2

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    CustomCLSID: HKU\S-1-5-21-2075060896-2526419449-1496918879-1000_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
    CustomCLSID: HKU\S-1-5-21-2075060896-2526419449-1496918879-1000_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
    CustomCLSID: HKU\S-1-5-21-2075060896-2526419449-1496918879-1000_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
    CustomCLSID: HKU\S-1-5-21-2075060896-2526419449-1496918879-1000_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
    CustomCLSID: HKU\S-1-5-21-2075060896-2526419449-1496918879-1000_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
    CustomCLSID: HKU\S-1-5-21-2075060896-2526419449-1496918879-1000_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
    CustomCLSID: HKU\S-1-5-21-2075060896-2526419449-1496918879-1000_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
    CustomCLSID: HKU\S-1-5-21-2075060896-2526419449-1496918879-1000_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
    CustomCLSID: HKU\S-1-5-21-2075060896-2526419449-1496918879-1000_Classes\CLSID\{0BE35200-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
    CustomCLSID: HKU\S-1-5-21-2075060896-2526419449-1496918879-1000_Classes\CLSID\{0BE35201-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
    CustomCLSID: HKU\S-1-5-21-2075060896-2526419449-1496918879-1000_Classes\CLSID\{0BE35202-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
    CustomCLSID: HKU\S-1-5-21-2075060896-2526419449-1496918879-1000_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
    CustomCLSID: HKU\S-1-5-21-2075060896-2526419449-1496918879-1000_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
    CustomCLSID: HKU\S-1-5-21-2075060896-2526419449-1496918879-1000_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> No File Path
    CustomCLSID: HKU\S-1-5-21-2075060896-2526419449-1496918879-1000_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> No File Path
    Task: {04699375-5AFB-4BAF-9F2A-09D8C0497F4E} - \Microsoft\Windows\Media Center\ehDRMInit No Task File <==== ATTENTION
    Task: {1CC81347-6204-4B83-900C-01E02F50F067} - \Microsoft\Windows\MobilePC\TMM No Task File <==== ATTENTION
    Task: {1DB8EA01-2788-487E-A586-8D10D352AD66} - \GlaryInitialize 4 No Task File <==== ATTENTION
    Task: {48909068-64F9-4B29-8C14-6957F35923C3} - \Microsoft\Windows\MobilePC\HotStart No Task File <==== ATTENTION
    Task: {4D7BC85C-5A41-4963-8CDD-6D9D55F757DB} - \Microsoft\Windows\Bluetooth\UninstallDeviceTask No Task File <==== ATTENTION
    Task: {57030356-4699-4E1F-9939-F9D4460CD4DA} - \Microsoft\Windows\Media Center\OCURDiscovery No Task File <==== ATTENTION
    Task: {5936C79A-731F-4716-BE59-35B58194ECE5} - \Microsoft\Windows\Media Center\OCURActivate No Task File <==== ATTENTION
    Task: {858BD5FB-61C3-4D83-8392-B9855BE4DF1D} - \Microsoft\Windows\Media Center\mcupdate No Task File <==== ATTENTION
    Task: {B0C3FDC1-6390-43BE-927C-2CCE6A3E7B91} - \Microsoft\Windows\Media Center\UpdateRecordPath No Task File <==== ATTENTION
    Task: {BD37FB1D-9737-424F-BA88-173AA5458A89} - \GlaryInitialize 3 No Task File <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-2075060896-2526419449-1496918879-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    SearchScopes: HKLM -> DefaultScope value is missing.
    2014-12-15 13:58 - 2011-06-26 07:45 - 00256000 _____ () C:\Windows\PEV.exe
    2014-12-15 13:58 - 2010-11-07 18:20 - 00208896 _____ () C:\Windows\MBR.exe
    2014-12-15 13:58 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
    2014-12-15 13:58 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2014-12-15 13:58 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2014-12-15 13:58 - 2000-08-31 01:00 - 00098816 _____ () C:\Windows\sed.exe
    2014-12-15 13:58 - 2000-08-31 01:00 - 00080412 _____ () C:\Windows\grep.exe
    2014-12-15 13:58 - 2000-08-31 01:00 - 00068096 _____ () C:\Windows\zip.exe
    2014-12-15 13:57 - 2014-12-15 14:09 - 00000000 ____D () C:\ComboFix
    2014-12-15 13:56 - 2014-12-15 14:09 - 00000000 ____D () C:\Qoobox

    W FRST wybierz Fix.

    0
  • #6 15 Gru 2014 19:02
    Artek_łódź
    Poziom 17  

    Uff troszkę to trwało ale w końcu mam odczyty z HDTune (załącznik) ;)

    Serdeczne dzięki za wskazówki, zaraz zabieram się do naprawy i napiszę czy coś wskórałem.

    0
  • Pomocny post
    #7 15 Gru 2014 19:10
    Kolobos
    Spec od komputerów

    Po wykonaniu skryptu daj nowe logi z FRST, ze skanowania.

    Uzyj tez chkdsk jak radzi system.

    Warto tez sprawdzic dysk przy pomocy mhdd (skanowanie), po zakonczeniu daj zdjecie ekranu z widocznym mhdd.

    0
  • #8 15 Gru 2014 20:24
    Artek_łódź
    Poziom 17  

    Sprawdzenie dysku wykonane - system wprowadził poprawki do systemu plików.

    W załączniku logi z FRST po zmianach.

    Proszę o radę, jak włączyć te wpisy w Msconfigu? Domniemam, że powinny sie one znajdować w zakładce uruchamianie, ale ich nie ma... Mam tylko wpis odnośnie Microsoft Security Essential oraz Glary Utilities. Pamiętam że tych wpisów było więcej, sam wyłączyłem m.in. tego kilenta ATI ale teraz nic więcej nie widzę. Dlaczego?

    Zaraz wykonam skan tym MHDD i dam znać po.

    0
  • #9 15 Gru 2014 20:33
    Kolobos
    Spec od komputerów

    Nie, wszystkie to uslugi jak widac.

    Instaluj dalej takie bedziewia...
    JetClean (HKLM\...\BlueSprig_JetClean_is1) (Version: 1.5.0 - BlueSprig)
    Registry Life version 2.09 (HKLM\...\Registry Life_is1) (Version: 2.09 - ChemTable Software)
    Wise Registry Cleaner 8.23 (HKLM\...\Wise Registry Cleaner_is1) (Version: 8.23 - WiseCleaner.com, Inc.)

    Wszystkie odinstaluj.

    Reszta wyglada ok.

    0
  • #10 15 Gru 2014 22:34
    Artek_łódź
    Poziom 17  

    Badziewny soft odinstalowany.

    Zamieszczam zdjęcia po skanowaniu tym MHDD - mam nadzieję, że o to chodziło.

    Proszę o pomoc z tymi usługami! Bo nie mogę ich odnaleźć w Msconfigu! Po prostu jakby ich nie było! :| Zamieszczam też screena wyłączonych obecnie usług.

    Póki co nic się nie zmieniło w sprawie Menedżera :(

    0
  • Pomocny post
    #11 15 Gru 2014 22:40
    Kolobos
    Spec od komputerów

    Zaznacz ukryj uslugi MS, nastepnie odszukaj te odznaczone.

    Dysk raczej do wymiany, 8 wolnych sektorow, dwa uszkodzone i przeniesione.

    0
  • Pomocny post
    #12 15 Gru 2014 22:41
    mati211p
    Specjalista - HDD i odzyskiwanie danych

    8 słabych sektorów jest na dysku w tej chwili.

    0
  • #13 15 Gru 2014 23:03
    Artek_łódź
    Poziom 17  

    Ojej to panowie trochę mnie podłamaliście ;(
    Sprawdziłem jak prosisz i jak kliknę na Ukryj wszystkie usługi firmy Microsoft....nie ma nic. Pustka. Coś jest nie tak!

    Sprawdziłem teraz jedną rzecz. Otóż jak zmienię swój typ konta na Standardowe, bez problemu mogę uruchomić Menedżera Zadań. Gdy tylko zmienię na Administratora albo utworzę nowe konto na takich warunkach problem powraca. Tak jakby coś się pomieszało z uprawnieniami też.

    Obecnie jedynym sposobem na uruchomienie Menedżera z konta z uprawnieniami Admina, to wpisanie w konsoli polecenia takeown /f C:\Windows\System32\taskmgr.exe - Enter - taskmgr.exe - Enter i uruchamia się, ale jak zamknę to nic innego poza wpisaniem na nowo tego polecenia nie zadziała.

    [Edit:]
    W wolnej chwili zainstalowałem system ponownie. Co się stało wtedy z Menu Start i Menedżerem? To pozostanie tajemnicą tamtej konfiguracji. Póki co mam okno na mój dysk. Temat zamykam.
    Dziękuję Wam serdecznie za pomoc.
    Pozdrawiam i życzę udanych Świąt! :D

    0