picasso

Temat przenoszę do działu Windows. Nic podejrzanego w raportach. Stare odpadkowe zadania używane przez jakiś instalator uruchamiany z płyty. Jest mnóstwo instalatorów, które zostawiają podobne ślady. Odpadkowe, gdyż brak dysku E. - WMP używany czy nie, i tak działa usługa współdzielenia multimediów w sieci domowej. Usługę możesz wyłączyć. - "Windows Start-Up Application" czyli systemowy wininit.exe. Nie ma tu za dużo detali na obrazku i nie wiem czego to pochodna. Proces wininit.exe inicjuje całą strukturę procesów, w obrębie której mógł być jakiś inny program. Czyli tylko akcje "kosmetyczne": 1. Do wywalenia para Adobe Flash Player 10 Plugin + Gadu-Gadu 10. To stare Gadu będzie w kółko reinstalować niebezpieczną wersję Flash (aktualnie używa jej też Firefox), bo potrzebuje jej do wyświetlania reklam, niezależnie od tego że te reklamy się czymś "wytnie". W zamian GG12 + najnowszy Adobe Flash NPAPI linkowany w przyklejonym: KLIK. 2. W kwestii błędów z Dziennika: Dziennik System: ============= Error: (11/20/2015 02:44:26 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 z powodu następującego błędu: %%1053 Error: (11/20/2015 02:44:26 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0. Zobacz tu: KLIK. Dziennik Aplikacja: ================== Error: (12/21/2015 10:34:03 AM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Zastosuj narzędzie Fix-it: KLIK. 3. Drobny skrypt do FRST usuwający wpisy puste: CloseProcesses: CreateRestorePoint: Task: {8C5340CE-1B7C-4A37-95E0-20E0AA729BD4} - System32\Tasks\{73AB7E02-787E-483A-98A3-0DE5BC130027} => E:\SETUP.EXE Task: {9B8D6073-3E12-4C34-8117-F57F6BAE2F90} - System32\Tasks\{A7D70721-58AB-4D0D-A096-527B7A9ACE95} => E:\SETUP.EXE Task: {B75953AF-CD43-430D-94B0-32E8A15616AB} - System32\Tasks\{88DB7233-50A8-4EB7-B294-DC4C322061C0} => E:\SETUP.EXE HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32.dll [brak pliku] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 CMD: netsh advfirewall reset EmptyTemp:

Twoją domyślną przeglądarką jest Firefox, który już domyślnie ustawia wtyczki Java w stanie "click-to-play" i będziesz potwierdzać jak poprzednio. I jeszcze ostrzeżenie: do końca roku 2016 dla bezpieczeństwa zostanie całkowicie usunięta obsługa wtyczk NPAPI (czyli i Java) w Firefox, nie będzie już możliwa instalacja żadnej wersji Java, nawet najnowszej. Czyli jedyna przeglądarka która Ci zostanie do obsługi tego banku (o ile nie zaktualizują metody) to stary Internet Explorer lub ewentualnie instalacja Opery (nie wiadomo jednak czy obsługa NPAPI się utrzyma do tego czasu)...

W żadnym wypadku nie pobierać z Softonic, czym to grozi: KLIK. W przyklejonym temacie pierwszy link oracle.com podaje na spodzie link do archiwum Java. Interesuje Cię Java SE Runtime Environment 7u80 - Windows x86 Offline (jre-7u80-windows-i586.exe): KLIK. Miej na uwadze, że jest to niezabezpieczona i niewspierana wersja.

GNU ls for Microsoft Windows Strona domowa Platforma: Windows 9x do Windows 10 32-bit i 64-bit Licencja: GNU General Public License (GPL) Narzędzie ls / msls dla Windows to klon Uniksowego LS i rozbudowana alternatywa dla systemowego narzędzia DIR. Uwzględnia wszystko co nie jest dostępne w podstawowym odczycie DIR: ukryte strumienie NTFS, Hard linki / punkty połączeń NTFS, skróty, uprawnienia dostępu DACLs/SACLs, szyfrowanie, kompresowanie NTFS, poziomy integralności, status offline. Potrafi też listować zawartość kluczy rejestru. Możliwe jest kolorowanie listingu wg typu obiektów, domyślnie kolorowanie nie jest włączone (przyglądnąć się na parametr --color), a także można przekonfigurować presety za pomocą dołączonego do zestawu narzędzia dircolors. Listę można sortować, również wg wielkości liternictwa (parametr --sort=case), mimo że sama platforma Windows nie jest case-sensitive. Także egzekwować inne ustawienia formatowania wyświetlania. Co ważne: narzędzie jest kompatybilne z systemem przekierowań na platformach 64-bit, tzn. widzi prawidłową zawartość katalogu system32 a nie SysWOW64 (parametry --32 i --64), oraz z techniką wirtualizacji plików i rejestru na systemach Vista i nowszych (parametr --virtual). Lista poleceń jest bardzo bogata, kompletny zestaw obejrzycie przez wprowadzenie polecenia ls --help. Do przejrzenia pełna dokumentacja narzędzia. W paczce zostało załączone też narzędzie grep w wersji dla Windows. Bardzo fajny alternatywny DIR, tylko trzeba się przyzwyczaić do unixowatego typu przełączników. D:\Download\msls310>ls --help Usage: ls [OPTION]... [FILE]... List information about the FILEs (the current directory by default). ls version 4.5.310 2015/12 for Microsoft Windows. Microsoft Windows extensions by Alan Klietz Get the latest version at https://u-tools.com/msls.asp -a, --all do not hide entries starting with . -A, --almost-all do not list implied . and .. --acls[=STYLE] show the file Access Control Lists (ACL): STYLE may be `none', `short', `long', `very-long', or `exhaustive' --ansi-cp use the ANSI code page for output -b, --escape print octal escapes for nongraphic characters --block-size=SIZE use SIZE-byte blocks. See -s -B, --ignore-backups do not list implied entries ending with ~ -c with -lt: sort by, and show, ctime (time of file creation instead of modification) with -l: show ctime and sort by name otherwise: sort by ctime -C list entries by columns --color[=WHEN] control whether color is used to distinguish file types. WHEN may be `never', `always', or `auto' --compressed indicate compressed files with distinct color (requires --color) -d, --directory list directory entries instead of contents -D, --dired generate output designed for Emacs' dired mode --encryption-users show names of users with encryption keys for file -f do not sort, enable -aU, disable -lst -F, --classify append indicator (one of *\@$) to entries --fast do not get extended information from slow media such as networks, diskettes, or CD-ROMs --format=WORD across -x, commas -m, horizontal -x, long -l, single-column -1, verbose -l, vertical -C --full-time list both full date and full time -g, --groups[=y/n] show POSIX group information -G do not show POSIX group information --gids[=STYLE] show POSIX group security identifiers: STYLE may be `long', `short', or `none' -h, -H, --human-readable print sizes in human readable format (1K 234M 2G) --si likewise, but use powers of 1000 not 1024 -i, --inode print index number of each file -I, --ignore=PATTERN do not list implied entries matching shell PATTERN --indicator-style=WORD append indicator with style WORD to entry names: none (default), classify (-F), file-type (-p) -k, --kilobytes like --block-size=1024 -K, --registry show registry keys: hklm, hkcu, hku, hkcr -l use a long listing format -L, --dereference list entries pointed to by symbolic links -m fill width with a comma separated list of entries -M, --more Pause output to the console between each screenful -n, --numeric-uid-gid list numeric UIDs and GIDs instead of names and show Security Identifiers (SIDs) in raw form -N, --literal print raw entry names (don't treat e.g. control characters specially) -o use long listing format without POSIX group info --object-id show the object ID for the file (if any) --oem-cp use the OEM code page for output -p, --file-type append indicator (one of \@$) to entries --phys-size report the physical size if the file is compressed or sparse -q, --hide-control-chars print ? instead of non graphic characters --show-control-chars show non graphic characters as-is (default unless program is `ls' and output is a terminal) -Q, --quote-name enclose entry names in double quotes --quoting-style=WORD use quoting style WORD for entry names: literal, locale, shell, shell-always, c, escape -r, --reverse reverse order while sorting -R, --recursive list subdirectories recursively --recent[=#] highlight files changed in the last # minutes using a distinctive color --short-names show short 8.3 letter file names, a la MS-DOS --sids[=STYLE] show file owner Security Identifiers (SIDs): STYLE may be `long', `short', or `none'. See -n -s, --size print size of each file in blocks -S sort by file size --slow get extended information from slow media such as networks, diskettes, or CD-ROMs (see --fast) --sort=WORD sort by: none -U, size -S, time -t, version -v, extension -X, case status -c, time -t, atime -u, access -u, use -u --streams[=y/n] report files containing streams (-F -p --color) with -l: print the names of the streams --time=WORD show time as WORD instead of modification time: atime, access, use, or ctime (creation time) specified time is sort key if --sort=time --time-style=STYLE with -l, show times using style STYLE: full-iso, long-iso, iso, +FORMAT. FORMAT is based on strftime; if FORMAT is FORMAT1!FORMAT2, FORMAT1 applies to non-recent files and FORMAT2 to recent files -t sort by modification time -T, --tabsize=COLS assume tab stops at each COLS instead of 8 --token show the process token -u with -lt: sort by, and show, access time with -l: show access time and sort by name otherwise: sort by access time -U do not sort; list entries in directory order --user=NAME report permissions from the viewpoint of user NAME -v sort by version --view-security view the file's security, a la Windows Explorer --virtual show the virtual view of files and the registry as seen by pre-Vista legacy applications -w, --width=COLS assume screen width instead of current value -x list entries by lines instead of by columns -X sort alphabetically by entry extension -1 list one file per line --32 show 32-bit view of files and the registry --64 show 64-bit view of files and the registry (default is --64 on 64-bit operating systems) --help display this help and exit --version output version information and exit By default, color is not used to distinguish types of files. This is equivalent to using --color=none. Using the --color option without an argument is equivalent to --color=always. When using --color=auto, color codes are generated only if the output is a display console. Use the environment variable LS_OPTIONS to set default options. Example: -bhAC --more --color=auto --recent --streams D:\Download\msls310>

Zacznij od deinstalacji starych wersji, ASUSowych zbędników oraz Avast (najnowsza wersja to 11.1.2245): ==================== Zainstalowane programy ====================== „Windows Live Mesh ActiveX“ nuotolinių ryšių valdiklis (HKLM-x32\...\{9024FE65-46B8-4C8A-9D98-8DCB6BD5F598}) (Version: 15.4.5722.2 - Microsoft Corporation) ActiveX контрола на Windows Live Mesh за отдалечени връзки (HKLM-x32\...\{B3BA4D1C-23EF-4859-9C11-1B2CCB7FADBB}) (Version: 15.4.5722.2 - Microsoft Corporation) Adobe Flash Player 10 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 10.0.32.18 - Adobe Systems Incorporated) Adobe Flash Player 18 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 18.0.0.194 - Adobe Systems Incorporated) ASUS WebStorage (HKLM-x32\...\ASUS WebStorage) (Version: 3.0.108.222 - eCareme Technologies, Inc.) AsusVibe2.0 (HKLM-x32\...\Asus Vibe2.0) (Version: 2.0.7.142 - ASUSTEK) Avast Free Antivirus (HKLM-x32\...\Avast) (Version: 10.2.2218 - AVAST Software) Bing Bar (HKLM-x32\...\{3365E735-48A6-4194-9988-CE59AC5AE503}) (Version: 7.3.132.0 - Microsoft Corporation) Control ActiveX Windows Live Mesh pentru conexiuni la distanță (HKLM-x32\...\{260E3D78-94E6-47EC-8E29-46301572BB1E}) (Version: 15.4.5722.2 - Microsoft Corporation) CyberLink LabelPrint (HKLM-x32\...\InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}) (Version: 2.5.3624 - CyberLink Corp.) CyberLink Media Suite (HKLM-x32\...\InstallShield_{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}) (Version: 8.0.2926 - CyberLink Corp.) CyberLink Power2Go (HKLM-x32\...\InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}) (Version: 7.0.0.1126 - CyberLink Corp.) Fast Boot (HKLM\...\{13F4A7F3-EABC-4261-AF6B-1317777F0755}) (Version: 1.0.10 - ASUS) Formant ActiveX programu Windows Live Mesh odpowiedzialny za obsługę połączeń zdalnych (HKLM-x32\...\{B04A0E2F-1E4C-4E61-B18E-3B2BD6779CA7}) (Version: 15.4.5722.2 - Microsoft Corporation) HP Customer Participation Program 13.0 (HKLM\...\HPExtendedCapabilities) (Version: 13.0 - HP) K-Lite Codec Pack 10.2.0 Full (HKLM-x32\...\KLiteCodecPack_is1) (Version: 10.2.0 - ) Kontrola Windows Live Mesh ActiveX za daljinske veze (HKLM-x32\...\{19CBDE24-2761-49A5-816B-D2BA65D0CA8D}) (Version: 15.4.5722.2 - Microsoft Corporation) Kontrolnik Windows Live Mesh ActiveX za oddaljene povezave (HKLM-x32\...\{CA227A9D-09BE-4BFB-9764-48FED2DA5454}) (Version: 15.4.5722.2 - Microsoft Corporation) Nuance PDF Reader (HKLM-x32\...\{B480904D-F73F-4673-B034-8A5F492C9184}) (Version: 6.00.0041 - Nuance Communications, Inc.) Real Alternative 2.0.2 (HKLM-x32\...\RealAlt_is1) (Version: 2.0.2 - ) Shop for HP Supplies (HKLM\...\Shop for HP Supplies) (Version: 13.0 - HP) Ovládací prvek ActiveX platformy Windows Live Mesh pro vzdálená připojení (HKLM-x32\...\{B6190387-0036-4BEB-8D74-A0AFC5F14706}) (Version: 15.4.5722.2 - Microsoft Corporation) Ovládací prvok ActiveX programu Windows Live Mesh pre vzdialené pripojenia (HKLM-x32\...\{C2FD7DB5-FE30-49B6-8A2F-C5652E053C31}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Essentials (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3538.0513 - Microsoft Corporation) Windows Live Mesh ActiveX Control for Remote Connections (HKLM-x32\...\{2902F983-B4C1-44BA-B85D-5C6D52E2C441}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX kontrola za daljinske veze (HKLM-x32\...\{8985AE5E-622A-4980-8BF8-0A1830643220}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX vadīkla attālajiem savienojumiem (HKLM-x32\...\{A3A775C9-5A63-4C55-8FDD-427A5B8F5D2B}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX-i juhtelement kaugühendustele (HKLM-x32\...\{216ACEC1-4556-4717-A8DE-3F7F5F9C6F63}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX-vezérlő távoli kapcsolatokhoz (HKLM-x32\...\{6E29C4F7-C2C2-4B18-A15C-E09B92065F15}) (Version: 15.4.5722.2 - Microsoft Corporation) + można też wyciąć wszystkie pozycje oznaczone jako "Oberon". 1. Jak mówiłam, usunięty sterownik ATK0100. Należy udać się na stronę ASUS i dla tego modelu wyszukać pasującą instalację ATK Package lub coś brzmiącego podobnie. Obecnie FRST Addition potwierdza brak tej instalacji. I ogólnie poszukać na stronie ASUS aktualizacji wszystkich sterowników. 2. TrayApp należy do instalacji oprogramowania drukarki Hewlett-Packard, a objaw oznacza uszkodzone powiązane dane Instalatora Windows. ==================== Zainstalowane programy ====================== TrayApp (x32 Version: 130.0.376.000 - Hewlett-Packard) Hidden Dziennik Aplikacja: ================== Error: (12/21/2015 11:56:22 AM) (Source: MsiInstaller) (EventID: 11706) (User: Asus-Komputer) Description: Product: TrayApp -- Error 1706. An installation package for the product TrayApp cannot be found. Try the installation again using a valid copy of the installation package 'TrayApp.msi'. Doraźnie można usunąć dane MSI tego konkretnego obiektu, ale to będzie oznaczać naruszenie instalacji pakietu i na dalszą metę do reinstalacji cały majdan HP (i tu też poszukać nowszej wersji, bo wszystko stare). Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis TrayApp > Dalej.

Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy skan, skopiuj na Pulpit cały katalog C:\Windows\Logs\CBS, zapakuj do ZIP i shostuj gdzieś podając link do paczki. Raczej nie sprawdzę tego szybko, bo jutro wyjeżdżam na dwa tygodnie na święta. Czy po jego deinstalacji ustąpił objaw tytułowy "Uruchomienie dowolnego programu powoduje 100% CPU usage"? Spróbuj się posłużyć Wise Program Uninstaller.

Podobny temat już był na forum, też program nagle "zniknął", a próba ponownej instalacji zwróciła taki właśnie komunikat, więc może to jest jakiś automatyczny mechanizm programu po upłynięciu okresu próbnego. I ta sprawa kwalifikuje się do bezpośredniego kontaktu z supportem producenta. Jedyne czego możesz spróbować, to użycie Przywracania systemu do czasu, gdy program jeszcze w systemie działał, chociaż wątpię czy to coś da, jeżeli powyższe objawy są związane z zabezpieczeniem triala.

Dzięki. Temat rozwiązany. Zamykam.

Pośpieszyłeś się, miałeś tylko uruchomić Skanuj i nic nie usuwać jeszcze... Na koniec: 1. Przez SHIFT+DEL (omija Kosz) skasuj następujące foldery: C:\MATS C:\Users\Admin\Desktop\Stare dane programu Firefox 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Wszystkie operacje wykonane, infekcje nie są już czynne. Kolejna porcja zadań: 1. Pod kątem Singapurskiego OpenDNS pobieranego z routera: Tcpip\Parameters: [DhcpNameServer] 213.241.79.38 208.67.220.220 Zaloguj się do routera: W ustawieniach DNS wymaż pole adresu Zapasowego (Secondary) kierujące na 208.67.220.220. Pole można zostawić puste lub zastąpić adesem Google 8.8.4.4 Zmień hasło oraz upewnij się, że jest zamknięty dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} Task: {DABE8C50-4D7A-4BA6-B8C6-2F0F5523E4EC} - System32\Tasks\{10A7449D-6C38-4704-89B4-86FCD2629ED7} => pcalua.exe -a "C:\Program Files (x86)\Hard Case\HardCaseUn.exe" -c OFS_ RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\FRST-OlderVersion RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Google RemoveDirectory: C:\Program Files\Software Informer RemoveDirectory: C:\Program Files\Common Files\mcafee RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Informer Technologies, Inc RemoveDirectory: C:\ProgramData\Sun RemoveDirectory: C:\ProgramData\Unchecky RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Software Informer RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unchecky RemoveDirectory: C:\uninst RemoveDirectory: C:\Users\fff\AppData\Local\Adobe RemoveDirectory: C:\Users\fff\AppData\Local\CyberLink RemoveDirectory: C:\Users\fff\AppData\Local\Macromedia RemoveDirectory: C:\Users\fff\AppData\LocalLow\Adobe RemoveDirectory: C:\Users\fff\AppData\LocalLow\Company RemoveDirectory: C:\Users\fff\AppData\LocalLow\Oracle RemoveDirectory: C:\Users\fff\AppData\LocalLow\Sun RemoveDirectory: C:\Users\fff\AppData\LocalLow\Microsoft\Silverlight\is\luhqr5vb.die RemoveDirectory: C:\Users\fff\AppData\Roaming\Adobe RemoveDirectory: C:\Users\fff\AppData\Roaming\CyberLink RemoveDirectory: C:\Users\fff\AppData\Roaming\Macromedia RemoveDirectory: C:\Users\fff\Desktop\Old Firefox Data RemoveDirectory: C:\Users\fff\Documents\Optimizer Pro RemoveDirectory: C:\Users\Public\Pokki CMD: del /q C:\lhq11jj2.exe CMD: del /q C:\Users\fff\Desktop\48z28tmn.exe CMD: del /q C:\Users\fff\Desktop\AdwCleaner.exe CMD: del /q C:\Users\fff\Desktop\RepairDNS.txt CMD: del /q C:\Users\fff\Documents\fixlist.txt CMD: del /q C:\Users\fff\Documents\gmer.txt CMD: del /q C:\Users\fff\Downloads\adwcleaner_5.025.exe CMD: del /q C:\Users\fff\Downloads\lhq11jj2.exe CMD: del /q C:\Users\fff\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe CMD: del /q C:\Users\fff\Downloads\RepairDNS.exe CMD: del /q C:\Users\fff\Downloads\rkill.exe CMD: del /q C:\Windows\system32\Drivers\{1792ab0b-c92b-49ed-ad87-bb9f82f84827}Gw64.sys CMD: ipconfig /flushdns EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 3. Zrób logi z Farbar Service Scanner oraz najnowszego AdwCleaner z opcji Skanuj.

Wszystko jest OK. Możesz na koncie administracyjnym wykonać pobocze działania i drobny skrypt kosmetyczny usuwający puste wpisy i czyszczący lokalizacje tymczasowe: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Odinstaluj stare wersje Adobe AIR, Adobe Flash Player 15 ActiveX. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-562281720-3894058892-620674494-1005\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\* License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerMenu EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany nie są już potrzebne.

Wszystko wykonane, problem rozwiązany nie tylko "na wierzchu". Ale jeszcze na wszelki wypadek: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Zgłaszany problem tworzą wpisy "Soloeco", ale cała przeglądarka Google Chrome ma kwalifikację do reinstalacji od zera (znaki pośrednie infekcji modułów DLL). Akcja: 1. Odinstaluj Adobe Flash Player 20 NPAPI (wersja dla nieistniejącego tu Firefox), Java 8 Update 45 (starsza wersja). Operacje związane z Google Chrome: Upewnij się, że nie masz włączonej synchronizacji. Opcja 2: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Nie instaluj Google Chrome dopóki nie wykonasz punktu 2 (skrypt usuwa elementy Google). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Soloeco\Vilastring.dll => C:\ProgramData\Soloeco\Vilastring.dll [883200 2015-10-01] () AppInit_DLLs-x32: C:\ProgramData\Soloeco\Freshdom.dll => C:\ProgramData\Soloeco\Freshdom.dll [738816 2015-10-01] () R2 Soloeco; C:\ProgramData\\Soloeco\\Soloeco.exe [441856 2015-09-20] () [brak podpisu cyfrowego] S2 WajInterEnhancer Service; C:\Program Files (x86)\WajInterEnhancer\WajInterEnhancer Internet Enhancer\InternetEnhancerService.exe [X] HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-2837671372-3707443137-3094779737-1001\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) HKU\S-1-5-21-2837671372-3707443137-3094779737-1001\...\Run: [bigFatVoiceSystem] => C:\Users\Michal\Desktop\BOL\BoL+Studio\BoL+Studio\Scripts\BigFatVoiceSystem.exe Task: {8842B8C8-9477-4A20-9CDF-44B409C55D3E} - System32\Tasks\Driver Booster SkipUAC (Michal) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe BootExecute: autocheck autochk * sdnclean64.exe CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-2837671372-3707443137-3094779737-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqx6qf2uqUBUFjZB9empTuO0A9QFOmvLgK8s60vUDDNmY8SZarkaINFbPy403_eakWboU-JGA2BZtCAAZFKjD5s7HKIc64sDnSiWUADMhQtls7viM8HDyeVxynM6h7ckS2Mwbc6y-qClD1L&q={searchTerms} HKU\S-1-5-21-2837671372-3707443137-3094779737-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqx6qf2uqUBUFjZB9empTuO0A9QFOmvLgK8s60vUDDNmY8SZarkaINFbPy403_eakWboU-JGA2BZtCAAZFKjD5s7HKIc64sDnSiWUADMhQtls7viM8HDyeVxynM6h7ckS2Mwbc6y-qClD1L&q={searchTerms} HKU\S-1-5-21-2837671372-3707443137-3094779737-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqx6qf2uqUBUFjZB9empTuO0A9QFOmvLgK8s60vUDDNmY8SZarkaINFbPy403_eakWboU-JGA2BZtCAAZFKjD5s7HKIc64sDnSiWUADMhQtls7viM8HDyeVxynM6h7ckS2Mwbc6y-qClD1L&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = IE Session Restore: HKU\S-1-5-21-2837671372-3707443137-3094779737-1001 -> [funkcja włączona] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\ProgramData\Soloeco RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader RemoveDirectory: C:\Users\Michal\AppData\Local\Google C:\Users\Michal\AppData\Local\FL6FSOXUY0.dll RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zainstaluj Google Chrome. Następnie zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Ten błąd sugeruje, że usunięto sterownik ATK0100 wymieniany na komunikacie. Z raportu FRST nic nie wynika. Spróbuj z poziomu WinRE przywrócić system do czasu, gdy się uruchamiał. Punktów Przywracania sporo: ==================== Punkty Przywracania systemu ========================= Data punktu przywracania: 2015-09-01 09:44 Data punktu przywracania: 2015-09-01 10:26 Data punktu przywracania: 2015-09-02 11:17 Data punktu przywracania: 2015-09-02 11:34 Data punktu przywracania: 2015-09-04 15:45 Data punktu przywracania: 2015-09-04 15:51 Data punktu przywracania: 2015-09-04 16:34 Data punktu przywracania: 2015-12-18 20:52 Data punktu przywracania: 2015-12-18 20:56 Data punktu przywracania: 2015-12-18 20:57 Data punktu przywracania: 2015-12-18 21:00 Data punktu przywracania: 2015-12-18 21:02 Data punktu przywracania: 2015-12-18 21:03 Data punktu przywracania: 2015-12-18 21:04

Log DelFix jest tu: C:\delfix.txt. I podane powyżej akcje to były ostatnie zadania.

Być może był nadpisany MBR eliminując możliwość uruchomienia programu Recovery. I sama partycja Recovery powinna być jednak ukryta, nie jestem pewna czy to D to była właściwa zawartość. Są specjalne programy dedykowane temu zagadnieniu: KLIK.

Tak jest, plik poprawnie podmieniony. Możemy zakończyć temat: 1. Przez SHIFT+DEL (omija Kosz) skasuj plik C:\Windows\system32\sfc.txt oraz folder E:\FRST. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Jeśli potrzebna najnowsza dostępna dla Vista wersja Adobe Reader, bądź Java, to także linki w tym samym przyklejonym: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Wszystko zrobione. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj foldery C:\MATS + D:\Diana\Desktop\FRST. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Po akcji jest potrzebny inny log, czyli specyfikacja kopii tego pliku. Tzn. uruchom FRST, w polu Szukaj wklej: aelupsvc.dll.mui Klik w Szukaj plików i dostarcz wynikowy log.

Akcje czyszczące pomyślnie wykonane. Kończąc w tym zakresie: 1. Przez SHIFT+DEL (omija Kosz) dokasuj jakiś dziwny ukryty lecz pusty folder C:\Users\Admin\wc. By go widzieć, należy mieć odfajkowaną opcję "Ukryj chronione pliki systemu operacyjnego" w Opcjach folderów. 2. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. I jak mówiłam, obciążenie zasobów + zawias podczas zamykania to bardziej się kojarzy z ESET, więc dla świętego spokoju sprawdź testową deinstalację (tylko to odcina aktywność sterowników ESET) czy coś wniesie do sprawy. Wtedy będziesz wiedział na 100% co (nie)jest przyczyną tych zachowań.

1. A to bardzo upraszcza sprawę. Usuń je od razu. Przy usuwaniu padnie pytanie czy usuwać też pliki na dysku i to potwierdź. 2. Możesz go zainstalować. Mam wątpliwości jakie było źródło yoursites123. Nowe logi wykażą czy program coś dodatkowego wprowadził. 3. Tak, linki Java w przyklejonym: KLIK. 4. Po wszystkim zrób dla pewności nowy log FRST z opcji Skanuj (Scan), włącznie z Addition i Shortcut.

No to spróbuj usunąć wpisy z rejestru, by wymusić ich aktualizację, a po tym ponowna rekonfiguracja: 1. Skrypt do FRST: Tcpip\Parameters: [DhcpNameServer] 192.168.1.20 172.19.5.1 Tcpip\Parameters: [NameServer] 199.203.131.145 82.163.143.167 Tcpip\..\Interfaces\{2583ED45-891F-436E-B637-2DE714215E0A}: [NameServer] 199.203.131.145 82.163.143.167,8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{2583ED45-891F-436E-B637-2DE714215E0A}: [DhcpNameServer] 192.168.1.20 172.19.5.1 Tcpip\..\Interfaces\{F609D45B-B2ED-4CB9-9173-A7AEF8B78674}: [NameServer] 199.203.131.145 82.163.143.167 Tcpip\..\Interfaces\{F609D45B-B2ED-4CB9-9173-A7AEF8B78674}: [DhcpNameServer] 199.203.131.145 CMD: ipconfig /flushdns Reboot: Ma nastąpić restart. 2. Następnie to: Ręczny restart systemu po w/w rekonfiguracji. 3. Na koniec nowe logi FRST (włącznie z Addition) i wyraźna wypowiedź czy problemy przekierowań nadal występują.

Nie, nie było wirusa. To co wykrył program MBAM to drobne odpadki adware/PUP w Internet Explorer, a Backdoor.Bot był nieaktywny (tylko plik na dysku i brak punktu ładowania, plik mógł być na dysku od dłuższego czasu). Zaś detekcja McAfee podczas usuwania FRST bez znaczenia, to wygląda na wykrycie czegoś w Temp (czyszczonych skryptem FRST). Skrypt FRST wykonany, zastosuj DelFix (wyłączyć antywirusa na czas jego pobierania i uruchamiania). I powyższe w ogóle nie ma żadnego związku z problemami karty graficznej. Zacząłeś od najmniej istotnej rzeczy, czyli Fixa FRST, podczas gdy ustawiłam odpowiednio priorytety: Gdy dostarczysz te dane, mam nadzieję zanalizuje je ktoś inny. To nie jest moja specjalizacja.

Mam wątpliwości czy tu jest jakakolwiek partycja Recovery... Na dysku systemowym są 3 partycje. Przy czym tylko pierwsza jest ukryta (tam są pewnie systemowe pliki startowe) i jest za mała (tylko 400MB), by był tam kompletny obraz systemu. Dwie pozostałe są widoczne, C z systemem i D, D nie wygląda na Recovery. Tak więc pozostaje pytanie do kolegi czy nie robił czegoś z partycjami wcześniej.

Żadnych zmian w konfiguracji serwerów DNS. Czy na pewno wykonałeś to: To najważniejsza akcja, by zaktualizować NameServer.