picasso

Wszystko wykonane. Na zakończenie: 1. Usuń z Pulpitu folder FRST. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zastąp najnowszymi wersjami następujące programy: Adobe Reader 9.5.5 - Polish, Internet Explorer 10, Java 8 Update 60, OpenOffice.org 3.3. Pobieranie również w w/w linku.

GMER nic nie dodaje nowego sprawy. Czy jest jakaś poprawa w działaniu? Nie wątpię, że zrobił, bo wspominałeś o tym. Tylko trudno stwierdzić czy były to pożądane aktualizacje. Jeśli problemy "mulenia" nadal występują, wcale nie są wykluczone te instalacje "boostera" jako przyczyna.

Drobna poprawka, gdyż za późno zedytowałam komendę Reg (brak parametru /f), co powstrzymało dokończenie skryptu. Do Notatnika wklej: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart. Powstanie kolejny fixlog.txt. Przedstaw go.

O kurcze, jakoś pominęłam wyniki z Shortcut, nie wkleiłam ich do skryptu. Poprawki. Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1445978202&z=e68d9e8317f0816c944a11dg4z9z1w1t2mbm8t8z7w&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC02804 ShortcutWithArgument: C:\Users\Fabian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1445978202&z=e68d9e8317f0816c944a11dg4z9z1w1t2mbm8t8z7w&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC02804 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1445978202&z=e68d9e8317f0816c944a11dg4z9z1w1t2mbm8t8z7w&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC02804 DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\UpdateStar DeleteKey: HKLM\SOFTWARE\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\FFPluginHp DeleteKey: HKLM\SOFTWARE\WdsManPro Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Spodziewałam się jakiś problemów. Ten błąd to kolejny dowód, że jest uszkodzona struktura systemu plików i to czego nie widać nie istnieje na dysku (GMER widzi nieistniejące obiekty, bo ma specjalny dostęp do struktury plików). Pomiń więc punkt 1 całkowicie, punkt 2 powinien skorygować to wszystko. Wynikowo powinny na dobre zniknąć wszystkie niewidoczne obiekty, powstanie ukryty folder FOUND.000 ze ścinkami wadliwych danych.

Wszystko zgodnie z planem. Na wszelki wypadek jeszcze: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log z folderu C:\AdwCleaner

To co widzisz to stan prezentowany właśnie w USBFix. Natomiast w GMER rzeczywiście widać więcej oraz pliki infekcji (to wygląda na pliki wirusa Sality). Z tym, że ukrycie folderów to prawdopodobnie nie jest robota infekcji, to może być uszkodzenie struktury plików. Typuję tę usterkę na podstawie tego, że GMER widzi podwójny katalog System Volume Information (Przywracania systemu), co w normalnych okolicznościach jest niemożliwe (nie mogą istnieć dwa foldery o identycznej nazwie), za to przy błędach struktury plików "duplikat" jest wykonalny. Wstępnie: 1. W GMER podświetl po kolei wszystkie pliki exe i scr, każdy poczęstuj opcją Usuń. 2. Następnie zrób sprawdzanie dysku pod kątem błędów. W Komputerze prawoklik na dysk J > Właściwości > Narzędzia > Sprawdzanie błędów > Sprawdź > zaznacz obie opcje i uruchom naprawę. 3. Po wykonaniu punktu 2 sprawdź czy są zmiany na urządzeniu. Jeśli tak, dostarcz nowy raport USBFix z opcji Listing. Wtedy będzie można usunąć stare foldery Koszy i System Volume Information. O ile nie zmasakruje ich checkdisk.

Na zakończenie: 1. Usuń z Pulpitu folder Stare dane programu Firefox. Odinstaluj USBFix, następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji Adobe Reader XI oraz systemowy Internet Explorer (mimo, że z niego nie korzystasz). Pobieranie również w powyższym linku. Kwestia preferencji użytkownika. Avast jest w porządku. Nie widzę powodów do zmiany. Nie jestem pewna czy dobrze rozumiem "cienką widoczność czcionki", ale kojarzy mi się to z: Panel sterowania > Wygląd i personalizacja > Ekran > Dopasuj tekst ClearType > zaznaczone Włącz technologię ClearType

Jak mówię, wg USBFix nie ma widocznych oznak ukrywania danych, ani żadnych śladów infekcji tego typu na urządzeniu. Podaj o jakie foldery i w którym miejscu ścieżki dostępu chodzi (czy bezpośrednio w root dysku, czy w którymś podkatalogu). Zaprezentuj też zrzut ekranu z tego:

Pokłosie instalacji adware. Przypuszczalnie załatwił Cię plik stosujący technikę "downloadera" ze sponsorami: 2015-10-27 21:21 - 2015-10-27 21:21 - 01014928 _____ (Web Program Installer ) C:\Users\Fabian\Downloads\easy-display-manager.exe Obecnie widoczne tylko szczątki adware. Do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: SearchScopes: HKU\S-1-5-21-1656078074-662784795-2507075442-1001 -> DefaultScope {6E895921-1BC1-4729-90B3-68B9183EEB3E} URL = SearchScopes: HKU\S-1-5-21-1656078074-662784795-2507075442-1001 -> {6E895921-1BC1-4729-90B3-68B9183EEB3E} URL = BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445978202&z=e68d9e8317f0816c944a11dg4z9z1w1t2mbm8t8z7w&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC02804 FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Fabian\AppData\Roaming\Mozilla\Firefox\Profiles\sh8sse2o.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Fabian\AppData\Roaming\Mozilla\Firefox\Profiles\sh8sse2o.default\extensions\deskCutv2@gmail.com => nie znaleziono HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" S2 KMSServerService; C:\WINDOWS\KMSServerService\KMS Server Service.exe [X] C:\$360Section C:\Program Files (x86)\360 C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\360Quarant C:\ProgramData\yWMiniProy C:\Users\Fabian\AppData\Roaming\istartsurf C:\Users\Fabian\Downloads\easy-display-manager.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z przekierowań: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale zainstalowane rozszerzenia (Adblock Plus, NoScript, ReminderFox) trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Nie jest to sperawa infekcji. Był używany ComboFix i jestem przekonana, że tylko system "potarmosił", a wyniki żadne. Na temat używania tej aplikacji: KLIK. Dodam też, że obecnie to jest dość słabe narzędzie w kontekście tego co jest aktualnie w obiegu. Rozpocznij od deinstalacji Bitdefender Antivirus Free Edition, który jak najbardziej zazębia się z objawami. To stara wersja na sterownikach z 2012/2013. Sugeruję się też pozbyć tego cudaka Driver Booster 2.4 od IOBit. Takie automaty do aktualizacji sterowników mogą pogorszyć sytuację, mogą zostać zainstalowane nie te wersje które są rzeczywiście wymagane. Tu na forum było wiele tematów, w których użytkownik się załatwił takim rodzajem automatów i trzeba było odkręcać stan systemu. Naturalna sprawa. Google Chrome ma architekturę separacji komponentów do osobnych procesów, co m.in. ma działanie prewencyjne, by awaria jednej karty nie spowodowała awarii całej przeglądarki. Uruchomienie programu "na czysto" to już więcej niż jeden proces, a im więcej kart otwierasz, tym procesy się mnożą. Przykład: na moim systemie Google Chrome z pustą kartą to już 3 procesy, a z 6 otwartymi kartami aż 11 procesów. Tak samo działa Internet Explorer i Opera, a wkrótce dołączy do nich i Firefox (Multiprocess Firefox).

Temat przenoszę do właściwego działu Windows. Oczywiście reinstalacja systemu przywraca integracje producenta, typowo ASUSowe programy oraz partnerskie oprogramowanie zabezpieczające. Jeśli chodzi o nakreślony problem, to rozpocznij od deinstalacji zintegrowanych McAfee LiveSafe – Internet Security oraz WebStorage (znany z generowania błędów przy nawigacji po folderach). Podaj rezultaty czy jest jakaś poprawa.

Nie wiem o co chodzi z brakiem resetu. Czyli za każdym razem musisz go robić ręcznie. Pierwszy Fix FRST wyłącza Dziennik zdarzeń, by móc usunąć odpadkowy Dziennik Comodo, więc mogą być tymczasowe skutki uboczne. Drugi Fix FRST ponownie włącza Dziennik zdarzeń i po resecie wszystko wraca do normy. Zgodnie z powyższym drugi Fix jest konieczny. Do wykonania.

Rozwiń o który dysk chodzi i czego nie widać. Obecnie wg raportu USBFix dysk J nie wykazuje żadnego ukrywania danych: J:\ - Fixed drive (NTFS) [02/03/2015 - 18:11:13 | A | 11846 Ko] - J:\Firefox 36.0 (x86 pl) - 2015-03-02.pcv [15/05/2015 - 12:50:10 | D] - J:\GMT-MAX.ORG_Grand_Theft_Auto_V_RePack_MAXAGENT [04/05/2015 - 20:04:38 | SHD] - J:\$RECYCLE.BIN [30/09/2012 - 06:33:15 | D] - J:\FL [02/03/2015 - 17:42:35 | D] - J:\Downloads [20/08/2015 - 20:27:25 | D] - J:\FILMS Natomiast infekcja w systemie owszem jest, usługa udająca obiekt Microsoftu: R2 Time; C:\ProgramData\Microsoft\Windows\Time\Time-svc.exe [10752 2015-05-29] (Microsoft) [brak podpisu cyfrowego] Dodatkowo, działa sponsorowany Bing. Sam system miernie zabezpieczony: brak jakichkolwiek aktualizacji (pakiet SP1, IE11 i reszta wydana po), zainstalowany bardzo stary ESET z komponentami z 2011. Wstępnie do wykonania następujące działanie: 1. Odinstaluj stare wersje: Adobe Flash Player 18 NPAPI, Adobe Reader 9.5.0 - Polish, ESET NOD32 Antivirus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Time; C:\ProgramData\Microsoft\Windows\Time\Time-svc.exe [10752 2015-05-29] (Microsoft) [brak podpisu cyfrowego] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] HKU\S-1-5-21-2618943855-1042672543-875358389-1000\...\Run: [bingSvc] => C:\Users\admin\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-04-07] (© 2015 Microsoft Corporation) Task: {1DFF7F0B-6CE5-4D76-B0C6-455308FD3E85} - \SYSTEM -> Brak pliku Task: {611A5C28-37F5-407E-81B3-469A2EC5AB39} - System32\Tasks\{AA3930EC-DB94-4E40-898B-913D33BF1085} => pcalua.exe -a F:\PCM\Pro.Cycling.Manager.Le.Tour.de.France\PCM2012_Spolszczenie_v2.5.exe -d F:\PCM\Pro.Cycling.Manager.Le.Tour.de.France Task: {F89FFEAF-6B08-4AAE-9569-351C9553F3A5} - System32\Tasks\{1AB2E156-4A1F-428C-849F-78CB5B37BC66} => pcalua.exe -a "C:\Program Files (x86)\Xilisoft\Video Converter Ultimate\Uninstall.exe" FF Extension: Brak nazwy - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2015-10-08] [brak podpisu cyfrowego] C:\ProgramData\.sys C:\ProgramData\Microsoft\Windows\Time C:\ProgramData\TEMP C:\Users\admin\AppData\Local\Microsoft\BingSvc Folder: C:\Temp Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f CMD: netsh advfirewall reset CMD: type C:\Windows\System32\Tasks\{601F3C02-BA6D-493F-A32D-6B3136904479} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox ze śmieci: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus i Video DownloadHelper trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W systemie działa infekcja ładowana metodą AppInit_DLLs: AppInit_DLLs: C:\ProgramData\Itstock\Zamtraxfind.dll => C:\ProgramData\Itstock\Zamtraxfind.dll [883200 2015-09-14] () AppInit_DLLs-x32: C:\ProgramData\Itstock\Lamstock.dll => C:\ProgramData\Itstock\Lamstock.dll [738816 2015-09-14] () Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Itstock\Zamtraxfind.dll => C:\ProgramData\Itstock\Zamtraxfind.dll [883200 2015-09-14] () AppInit_DLLs-x32: C:\ProgramData\Itstock\Lamstock.dll => C:\ProgramData\Itstock\Lamstock.dll [738816 2015-09-14] () ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => Brak pliku SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku ProxyServer: [s-1-5-21-2585482010-961294686-2247796360-1000] => cerber:8080 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2585482010-961294686-2247796360-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2585482010-961294686-2247796360-1000\Software\Classes\.exe: exefile => HKU\S-1-5-21-2585482010-961294686-2247796360-1000\Software\Classes\exefile: Task: {D5C06C3A-756F-401D-8E9A-EF3831C2CDFB} - \Desk 365 RunAsStdUser -> Brak pliku Task: {DDFA0D7D-7BC4-43C1-A082-4E0A2BF78D63} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Baidu Security\Duplicaterecord.js" Task: {F59E3970-7688-482C-944B-1A8EADEA57C0} - \AmiUpdXp -> Brak pliku S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S1 epp64; \??\C:\EEK\bin\epp64.sys [X] S0 is3srv; SySWOW64\drivers\is3srv64.sys [X] S0 szkg5; SySWOW64\drivers\szkg64.sys [X] C:\Program Files (x86)\360 C:\ProgramData\360Quarant C:\ProgramData\AVAST Software C:\ProgramData\Itstock C:\Windows\system32\log C:\Windows\Tasks\360Disabled Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\annapcpro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem rozwiązany.

Logi z przestarzałego OTL nie są tu brane pod uwagę, usuwam je. Brakuje trzeciego pliku FRST Shortcut. Poza tym, zrób też log USBFix z opcji Listing przy podpiętym dysku przenośnym.

Tak, tym razem akcja pomyślnie wykonana. Czy obecnie odkryte dane na pendrive są w całości, niczego nie brakuje?

Oczywiście interferencja zewnętrznego rozszerzenia ingerującego w tryb transferu danych jest poza zasięgiem napraw po stronie forum. W kwestii logowania nic się nie zmieniło. Zmiany to dopiero nadejdą za jakiś czas, gdy zostanie wykonana aktualizacja do IPB4 (radykalna zmiana). Niemniej do tego daleka droga, jest zbyt dużo bugów i oczekuję na jakąś solidniejszą wersję końcową.

Mnie chodzi o użycie plików świeżo pobranych nie pochodzących z tego dysku, gdyż dane zapisane wcześniej i występujące na dysku poddanym awarii są wątpliwe, nie wiadomo czy uszkodzeń nie ma także i w kopii. System weryfikacji SFC szuka wg kolejności: katalog C:\Windows\system32\dllcache, sieciowa ścieżka instalacyjna, CD instalacyjne XP. Można więc spróbować tymczasowo zmienić wartość definiującą lokalizację folderu dllcache. Za to odpowiada wartość SFCDllCacheDir, domyślnie nieobecna. Import do rejestru ustawiający C:\SP\i386: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "SFCDllCacheDir"=hex(2):43,00,3a,00,5c,00,53,00,50,00,5c,00,69,00,33,00,38,00,\ 36,00,00,00 Po akcji usunięcie wartości: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "SFCDllCacheDir"=- Pomiędzy importami na wszelki wypadek restarty systemu.

Niestety akcja nie została wykonana na jednym z pendrive. Jak mówiłam: W międzyczasie nastąpiło przepinanie pendrive (podpięcie dwóch równocześnie), co zmieniło liternictwo i obecnie ten który był widziany we wcześniejszym raporcie UsbFix Listing 2 TAZ.txt pod literą F jest już pod literą G. Nie wypinaj na razie pendrive, trzymam się obecnego liternictwa. Poprawka: Otwórz Notatnik i wklej w nim: RemoveDirectory: G:\System Volume Information CMD: attrib /d /s -s -h G:\* CMD: del /q G:\Team.vbs Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

BITS tu owszem nie działa, stan "Zatrzymano": S2 BITS; C:\WINDOWS\system32\qmgr.dll [409088 2008-04-14] (Microsoft Corporation) [brak podpisu cyfrowego] W związku z błędem narzędzia Fix-it przejdź do kolejnych operacji rozpisanych w punktach 2 i 3, gdyż one mogą wpłynąć na naprawę usług na innej płaszczyźnie. Po ich wykonaniu powtórz akcję z narzędziem Fix-it.

Akcja pomyślnie wykonana. Kończymy: 1. Usuń używane narzędzia za pomocą DelFix. Pobrany GMER i jego log skasuj ręcznie. 2. Wyczyść foldery Przywracania systemu, oraz zainstaluj najnowsze wersje odinstalowanych produktów Adobe: KLIK.

W tej sytuacji nie rozumiem widzianego stanu urządzeń. Czyszczenie a następnie przywracanie wyczyszczonej Historii jest ze sobą sprzeczne. Jeśli nie chcesz czyścić całej Historii, to musisz ją przejrzeć ręcznie i pousuwać wszystkie nieznane / podejrzane adresy. Nie o to chodziło. Nazwy plików utworzonych przez USBFix były wyliczane tylko i wyłącznie jako wskazówka do której litery pendrive się odnoszę (czyli F). Pliki w Notatniku miały być utworzone od zera. Nie wiadomo co naprawdę zrobiłeś, ale opis wskazuje, że to się nie miało prawa wykonać. A dostarczony log USBFix został zrobiony bez podpiętych pendrivów, więc jest bezużyteczny. Powtarzaj całe zadanie, Fixy FRST oraz log USBFix mają być robione przy podpiętych urządzeniach. Skan FRST nie jest mi już potrzebny.

Brak zmian w kwestii masowego "Braku podpisu cyfrowego". Dodatkowo pojawiła się usterka Repozytorium WMI: Dziennik Aplikacja: ================== Error: (11/06/2015 12:28:46 AM) (Source: WinMgmt) (EventID: 4) (User: ) Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V4.0.30319\CLR.MOF w czasie odzyskiwania pliku składu. Error: (11/06/2015 12:28:44 AM) (Source: WinMgmt) (EventID: 4) (User: ) Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V4.0.30319\ASPNET.MOF w czasie odzyskiwania pliku składu. Error: (11/06/2015 12:28:43 AM) (Source: WinMgmt) (EventID: 4) (User: ) Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V4.0.30319\MOF\SERVICEMODEL.MOF w czasie odzyskiwania pliku składu. Error: (11/06/2015 12:28:30 AM) (Source: WinMgmt) (EventID: 4) (User: ) Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\CLR.MOF w czasie odzyskiwania pliku składu. Error: (11/06/2015 12:28:30 AM) (Source: WinMgmt) (EventID: 4) (User: ) Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\ASPNET.MOF w czasie odzyskiwania pliku składu. Error: (11/06/2015 12:28:29 AM) (Source: WinMgmt) (EventID: 4) (User: ) Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.0\WINDOWS COMMUNICATION FOUNDATION\SERVICEMODEL.MOF w czasie odzyskiwania pliku składu. Error: (11/06/2015 12:28:29 AM) (Source: WinMgmt) (EventID: 4) (User: ) Description: Nie udało się załadować pliku MOF C:\7BE7807CC2BD0AA00FA01DB8\I386\LICWMI.MOF w czasie odzyskiwania pliku składu. Error: (11/06/2015 12:19:04 AM) (Source: WinMgmt) (EventID: 28) (User: ) Description: Moduł WinMgmt nie może zainicjować części podstawowych. Powodem mogą być: źle zainstalowana wersja modułu WinMgmt, awaria uaktualnienia repozytorium modułu WinMgmt, za mało miejsca na dysku lub za mało pamięci. Error: (11/05/2015 09:42:26 PM) (Source: WinMgmt) (EventID: 4) (User: ) Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V4.0.30319\CLR.MOF w czasie odzyskiwania pliku składu. Nadal aktualna kwestia uszkodzonych plików. Były zgłaszane dwa przy próbie uruchamia OTL, ale nie wiadomo czy Przywracanie systemu to skorygowało, oraz ile uszkodzeń tak naprawdę jest. Obecnie w raporcie FRST widać dodatkowe uszkodzone pliki (brak sygnatury MS). Z tym że raport FRST jest bardzo mocno ograniczony i na jego podstawie nie da się stwierdzić gdzie jeszcze są uszkodzenia. S3 aec; C:\WINDOWS\System32\drivers\aec.sys [142592 2008-04-13] () [brak podpisu cyfrowego] S2 Alerter; C:\WINDOWS\system32\alrsvc.dll [17408 2008-04-14] () [brak podpisu cyfrowego] S2 HidServ; C:\WINDOWS\System32\hidserv.dll [0 2008-04-14] () S2 dmserver; C:\WINDOWS\System32\dmserver.dll [24064 2008-04-14] () [brak podpisu cyfrowego] S3 kmixer; C:\WINDOWS\System32\drivers\kmixer.sys [172416 2008-04-14] () [brak podpisu cyfrowego] S3 Parport; C:\WINDOWS\System32\DRIVERS\parport.sys [80256 2008-04-14] () [brak podpisu cyfrowego] S2 Schedule; C:\WINDOWS\system32\schedsvc.dll [193536 2008-04-14] () [brak podpisu cyfrowego] S2 WebClient; C:\WINDOWS\System32\webclnt.dll [68096 2008-04-14] () [brak podpisu cyfrowego] Name: Microsoft Kernel Acoustic Echo Canceller Description: Microsoft Kernel Acoustic Echo Canceller Class Guid: {4D36E96C-E325-11CE-BFC1-08002BE10318} Manufacturer: Microsoft Service: aec Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Name: Syntezator tablicy dźwięków WAVE Microsoft Kernel GS Description: Syntezator tablicy dźwięków WAVE Microsoft Kernel GS Class Guid: {4D36E96C-E325-11CE-BFC1-08002BE10318} Manufacturer: Microsoft Service: swmidi Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Name: Microsoft Kernel Wave Audio Mixer Description: Microsoft Kernel Wave Audio Mixer Class Guid: {4D36E96C-E325-11CE-BFC1-08002BE10318} Manufacturer: Microsoft Service: kmixer Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Mam szczere wątpliwości czy warto bawić się sztukowane naprawy, w pewnych scenariuszach należy po prostu podjąć bardziej racjonalną decyzję. W Twojej sytuacji lepiej byłoby przeinstalować system na czysto. Jeśli brniesz w próby reanimacji "trupa", to wstępna próba naprawy powyższych naruszeń: 1. Próba naprawy braku podpisów cyfrowych. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny - w jego skład wchodzi reset bazy catroot2. Po akcji zresetuj system. 2. Próba naprawy uszkodzonych plików: Ściągnij pakiet SP3: KLIK. Pobrany plik o nazwie WindowsXP-KB936929-SP3-x86-PLK.exe zapisz bezpośrednio na dysku C. Wyekstraktuj pakiet: Start > Uruchom > wklej komendę C:\WindowsXP-KB936929-SP3-x86-PLK.exe /x:C:\SP. Service Pack się rozpakuje do katalogu C:\SP. Uruchom sprawdzanie plików: Start > Uruchom > sfc /scannow > gdy zostaniesz poproszony o "płytę" / wskazanie ścieżki, nakieruj narzędzie na folder C:\SP\i386. 3. Siłowy reset repozytorium, przy okazji usunięcie odpadkowych zadań Comodo. Otwórz Notatnik i wklej w nim: Task: C:\WINDOWS\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805}.job => C:\DOCUME~1\Broda99\USTAWI~1\Temp\cisA.exe Task: C:\WINDOWS\Tasks\CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}.job => C:\DOCUME~1\Broda99\USTAWI~1\Temp\cisA.exe CMD: net stop winmgmt RemoveDirectory: C:\WINDOWS\system32\wbem\Repository CMD: net start winmgmt CMD: rundll32.exe setupapi,InstallHinfSection WBEM 132 %windir%\inf\wbemoc.inf Reboot: Plik zapisz pod nazwą fixlist.txt, w FRST opcja Napraw, nastąpi restart. 4. Wyczyść Dzienniki zdarzeń, by nagrały się tylko bieżące błędy. Start > Uruchom > eventvwr.msc > opróżnij gałęzie Aplikacja i SYSTEM. Zresetuj system. 5. Zrób nowy log FRST z Addition. Dodaj też fixlog.txt wyprodukowany w punkcie 3. Podsumuj co nadal nie działa, zgłasza błędy, etc.

Przekierowania Ask nadal są widoczne w Google Chrome. Zostanie więc to zadane w skrypcie FRST, który odpali reset przeglądarki. 1. Otwórz Notatnik i wklej: CHR HomePage: Default -> search.ask.com/?gct=hp CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms} CHR DefaultSearchKeyword: Default -> search.ask.com CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.