picasso

GMER w awaryjnym też nie przechodzi? Jeśli chodzi o to co widać w raportach FRST, to do czyszczenia tylko drobnostki (szczątki infekcji w mapowaniu MountPoints2 i puste skróty zgłoszone w Shortcut). Otwórz Notatnik i wklej w nim: CloseProcesses: S3 ESEADriver2; \??\C:\DOCUME~1\Przemek\USTAWI~1\Temp\ESEADriver2.sys [X] S3 RivaTuner32; \??\C:\Program Files\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner32.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{F9FE453B-C190-4756-B966-A4909821B45F} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{AB9F473D-749A-45CF-9AC6-2DC91DA2B928} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{8DFDDDFC-9549-4A96-9AF1-58E0DE4E5CB9} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{5F1ED611-A061-4007-BF6C-C1989264D4A1} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{59F7B6C3-E094-45C9-A3C1-CFFEF07D4DA2} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{30F6A86B-7CCB-4FC8-9055-E3D30D05B532} C:\Documents and Settings\All Users\Menu Start\Programs\Accessories\Media Center\Media Center Programs\Crysis.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Football Manager 2014.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Codemasters\GRID\Readme.lnk C:\Documents and Settings\All Users\Menu Start\Programy\HD Tune\HD Tune Manual.lnk C:\Documents and Settings\All Users\Menu Start\Programy\K-Lite Codec Pack\Help\Frequently Asked Questions.lnk C:\Documents and Settings\All Users\Menu Start\Programy\League of Legends C:\Documents and Settings\All Users\Menu Start\Programy\Sony\Vegas Movie Studio Platinum 9.0\Vegas Movie Studio Platinum 9.0 Readme.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Sony\Vegas Movie Studio Platinum 9.0\Video Capture 6.0 Readme.lnk C:\Documents and Settings\All Users\Menu Start\Programy\This War of Mine C:\Documents and Settings\All Users\Menu Start\Programy\Ulead VideoStudio 11\CzytajTo.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Warner Bros. Interactive Entertainment\LEGO® Przygoda - Gra Wideo DEMO\Pierwsza pomoc.lnk C:\Documents and Settings\All Users\Pulpit\Play League of Legends.lnk C:\Documents and Settings\All Users\Pulpit\This War of Mine.lnk C:\Documents and Settings\Przemek\xxpoof.exe C:\Documents and Settings\Przemek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox (*).lnk C:\Documents and Settings\Przemek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Skype*.lnk C:\Documents and Settings\Przemek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\WoTBooster.exe.lnk C:\Documents and Settings\Przemek\Dane aplikacji\Microsoft\PowerPoint\Moje biblioteki slajdów\Pobieranie na C.lnk C:\Documents and Settings\Przemek\Menu Start\Programy\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition C:\Documents and Settings\Przemek\Menu Start\Programy\The long Dark ENG 1.36 C:\Documents and Settings\Przemek\Menu Start\Programs\THQ C:\Documents and Settings\Przemek\Menu Start\Programy\VirtualDJ C:\Documents and Settings\Przemek\Pulpit\VirtualDJ Home FREE.lnk C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\GameExplorer\{50C78784-5DFA-46ED-A267-05DBED178AA2} Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Większość zrobiona, nie usunęły się poniższe pliki, zapewne blokuje tam dostęp Avira. Zdeaktywuj antywirusa i ręcznie te pliki dokończ. C:\Program Files\Avira\AntiVir Desktop\eula.TXT.scqwxua Odmowa dostępu. C:\Program Files\Avira\AntiVir Desktop\readme.TXT.scqwxua Odmowa dostępu. C:\Program Files\Avira\AntiVir Desktop\sweb.ZIP.scqwxua Odmowa dostępu. C:\Program Files\Avira\AntiVir Desktop\toolbar_eula.TXT.scqwxua Odmowa dostępu. Dodatkowa uwaga: usunięcie zaszyfrowanych plików z C oznacza teraz określone braki w folderach różnych aplikacji. To nie jest wybitnie duży problem, ale może się zdarzyć, że brak jakiegoś pliku objawi się w widoczny sposób (np. ubytki w GUI) i wtedy należy daną aplikację przeinstalować.

Skasuj pobrany GMER, następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Czyszczenie skończone, jak mówiłam, to były sprawy poboczne.

Fix wykonany, kończymy: 1. Usuń pobrany FRST z C:\Users\Tomek\Downloads\Nowy folder (2). 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Cały system do aktualizacji, jest tu łysy Windows 7, brak SP1 + IE11 + reszty łat: Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: FF) 4. Na koniec zainstaluj najnowszą wersję AVG 2015. Przy instalacji pomiń AVG Web TuneUp. Instalacja antywirusa podana jako krok ostatni, by antywirus nie przeszkadzał aktualizacjom Windows, których tu będzie ogromna ilość do uzupełnienia.

Fix wykonany - zastosuj DelFix. Nie ma potrzeby zakładania nowych tematów. Wyraźnie napisałam, że temat już został przeniesiony do działu Hardware ze względu na błędy (potem może być przeniesiony jeszcze raz do działu Sieci). Miałeś podać raporty orientowane sprzętowo.

Spokojnie, antywirusa przywrócisz, gdy zakończymy czyszczenie. Na razie do wykonania: 1. Uruchom AdwCleaner ponownie, tym razem wybierz opcje Szukaj + Usuń. Gdy AdwCleaner ukończy działanie: 2. Otwórz Notatnik i wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Tomek\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\System32\log RemoveDirectory: C:\Windows\SysWOW64\Drivers\AVG Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

- Nie musisz wszystkich instalatorów usuwać, ale sugeruję to zrobić. Niektóre nawet nie są od najnowszych wersji. Wyjątkiem są dwa pliki: LinuxLive-USB-Creator-LiLi(31072).exe - to nie jest poprawny instalator, to śmieć, czyli "Asystent pobierania": KLIK Total Uninstall Pro 5.10.2.1416 Final.exe - to coś nie wygląda zdrowo, albo jakiś podejrzany crack (nie wiadomo czy nie ładuje czegoś bardzo niepożądanego), albo inne dziadostwo. - Mówimy o wynikach skanu ESET - w skanie jedyne komponenty, które są zainstalowane, to te dwa, a reszta to są instalatory (nie ma znaczenia czy dana aplikacja jest zainstalowana). Fix wykonany. Zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Java: KLIK. To tyle z zakresu czyszczenia.

To nie jest problem infekcji. W spoilerze tylko drobnostki, tzn. usunięcie szczątków adware / wpisów pustych i Temp, to nie ma żadnego związku z Twoimi problemami. Przenoszę temat z działu diagnostyki infekcji do właściwszego działu, najpierw Hardware, potem pójdzie do Sieci. Kto inny prawdopodobnie się zajmie obydwoma wątkami, to nie jest moja specjalizacja. 1. Dział Hardware, gdyż w Dzienniku zdarzeń są błędy natury sprzętowej-sterownikowej. Zasady działu Hardware: KLIK. System errors: ============= Error: (02/09/2015 05:27:09 PM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 20) (User: ZARZĄDZANIE NT) Description: Wystąpił krytyczny błąd sprzętowy. Składnik: mostek północny firmy AMD Źródło błędu: 3 Typ błędu: 7 Identyfikator procesora: 0 Widok szczegółów tego wpisu zawiera dodatkowe informacje. Error: (02/09/2015 05:26:45 PM) (Source: BugCheck) (EventID: 1001) (User: ) Description: 0x00000124 (0x0000000000000000, 0xfffffa8007b308f8, 0x0000000000000000, 0x0000000000000000)C:\Windows\Minidump\020915-18969-01.dmp020915-18969-01 Error: (02/09/2015 05:26:43 PM) (Source: EventLog) (EventID: 6008) (User: ) Description: Poprzednie zamknięcie systemu przy 17:25:45 na ‎2015-‎02-‎09 było nieoczekiwane. Error: (02/08/2015 03:51:27 PM) (Source: nvlddmkm) (EventID: 13) (User: ) Description: \Device\Video7Graphics Exception: ESR 0x408030=0x80000003 Error: (02/08/2015 03:51:27 PM) (Source: nvlddmkm) (EventID: 13) (User: ) Description: \Device\Video7Graphics Exception: Const out of Bound 2. Dział Sieci również ma inne wymagania: KLIK. Sugeruję jednak przed rzuceniem się w dalszą diagnostykę sprawdzić czy przypadkiem problemów nie tworzy usługa nVidia o charakterze sieciowym: R2 NvNetworkService; C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe [1706128 2015-01-16] (NVIDIA Corporation) Swoją drogą, w Dzienniku zdarzeń są błędy usług nVidia. To mogą być tylko skutki uboczne innej usterki, ale możesz tymczasowo część usług wyłączyć. Uruchom msconfig, w karcie Usługi odznacz pozycje NvNetworkService, NvStreamSvc, Stereo Service i zresetuj system. Można też odinstalować całe NVIDIA GeForce Experience 2.2.2 zostawiając tylko sterowniki. Error: (02/08/2015 00:03:32 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: NvNetworkService.exe, wersja: 2.2.0.50, sygnatura czasowa: 0x54b0652e Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x73e871fc Identyfikator procesu powodującego błąd: 0x610 Godzina uruchomienia aplikacji powodującej błąd: 0xNvNetworkService.exe0 Ścieżka aplikacji powodującej błąd: NvNetworkService.exe1 Ścieżka modułu powodującego błąd: NvNetworkService.exe2 Identyfikator raportu: NvNetworkService.exe3 Error: (02/08/2015 00:03:31 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: nvSCPAPISvr.exe, wersja: 7.17.13.4725, sygnatura czasowa: 0x54b0549a Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x73e871fc Identyfikator procesu powodującego błąd: 0x340 Godzina uruchomienia aplikacji powodującej błąd: 0xnvSCPAPISvr.exe0 Ścieżka aplikacji powodującej błąd: nvSCPAPISvr.exe1 Ścieżka modułu powodującego błąd: nvSCPAPISvr.exe2 Identyfikator raportu: nvSCPAPISvr.exe3 Dodatkowa uwaga na temat edycji pliku HOSTS, dwie ostatnie linie do wywalenia z pliku (błędna edycja lokalny IP kieruje na inny IP, plik HOSTS akceptuje tylko pary lokalny IP > nazwa hosta): ==================== Hosts content: ========================== 2009-07-14 03:34 - 2015-02-09 17:22 - 00000970 ____A C:\Windows\system32\Drivers\etc\hosts 127.0.0.1 activation.cloud.techsmith.com 127.0.0.1 oscount.techsmith.com 127.0.0.1 65.52.240.48 127.0.0.1 69.167.144.18

Skan SFC nie wykrył żadnych naruszeń. Czy była deinstalowana Avira? Na pierwszym obrazku jest pokazana wyraźnie "odłączona" lokalizacja F: > ostrzeżenie "Sprawdź ustawienia kopii zapasowej" i Opcje. Tam masz sprawdzić co widać i przekonfigurować. Nie o to chodzi. To co pokazujesz to jest konfiguracja Przywracania systemu. I nie chodzi tu o usunięcie kopii, tylko usunięcie wadliwej konfiguracji punktującej nieistniejący dysk.

Powiedz mi gdzie się pokazuje to: Wg dir zrobionego przez FRST ten folder jest pusty, ale to może być owszem brak uprawnień, by wejść dalej. S-1-5-21-3177431358-1015821002-1608614537-1000 to prawdopodobnie SID konta już dawno nie istniejącego w systemie, dlatego brak dostępu. 2012-10-24 03:02 - 2015-01-23 12:36 - 0000000 __SHD () Q:\$RECYCLE.BIN\S-1-5-21-3177431358-1015821002-1608614537-1000 1. Jeśli chcesz odblokować wgląd do tego konkretnego folderu, to do Notatnika wklej: Unlock: Q:\$RECYCLE.BIN\S-1-5-21-3177431358-1015821002-1608614537-1000 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. A jeśli chcesz w całości usunąć ten Kosz (sugeruję to od razu zrobić, to są na pewno archaiczne skasowane kiedyś obiekty, tylko Kosz nie został opróżniony), to do Notatnika wklej: RemoveDirectory: Q:\$RECYCLE.BIN Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Wszystko zrobione. Poprawki: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3233527848-828038961-4074897931-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=dspp&ts=1418761835&from=exp&uid=WDCXWD7501AALS&q={searchTerms} HKU\S-1-5-21-3233527848-828038961-4074897931-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=dspp&ts=1418761835&from=exp&uid=WDCXWD7501AALS&q={searchTerms} SearchScopes: HKU\S-1-5-21-3233527848-828038961-4074897931-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = C:\Program Files (x86)\AVG C:\Program Files (x86)\MediaPlayerV1 C:\Program Files (x86)\MediaViewerV1 C:\Program Files (x86)\MediaViewV1 C:\Program Files (x86)\MediaWatchV1 C:\Program Files (x86)\Temp C:\Program Files (x86)\VVaudix C:\ProgramData\AVG Security Toolbar C:\ProgramData\Avg_Update_1214tb C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\IHProtectUpDate C:\ProgramData\Logs C:\ProgramData\LogSys C:\ProgramData\MFAData C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\OpenFM C:\ProgramData\Orbit C:\ProgramData\Oracle C:\ProgramData\Sun C:\ProgramData\Temp C:\Users\Tomek\AppData\Local\cache C:\Users\Tomek\AppData\Local\CrashDumps C:\Users\Tomek\AppData\Local\CrashRpt C:\Users\Tomek\AppData\Local\id Software C:\Users\Tomek\AppData\Local\Lollipop C:\Users\Tomek\AppData\Local\NPE C:\Users\Tomek\AppData\Local\OpenFM C:\Users\Tomek\AppData\Local\SwvUpdater C:\Users\Tomek\AppData\LocalLow\id Software C:\Users\Tomek\AppData\LocalLow\Sun C:\Users\Tomek\AppData\Roaming\Gadu-Gadu 10 C:\Users\Tomek\AppData\Roaming\GoforFiles C:\Users\Tomek\AppData\Roaming\iSafe C:\Users\Tomek\AppData\Roaming\LogSys C:\Users\Tomek\AppData\Roaming\OpenFM C:\Users\Tomek\AppData\Roaming\Oracle C:\Users\Tomek\AppData\Roaming\TuneUp Software C:\Windows\system32\Drivers\AVG Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (jeszcze nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Brak oznak czynnej infekcji. Skaner ESET nie wykrył nic istotnego, większość wyników to są po prostu instalatory z adware. Instalatory próbują instalować to co jest w nazwie kodowej: toolbary Ask/Google, platforma reklamodawcza OpenCandy, a Win32/DobreProgramy to "Asystent pobierania" dobrychprogramów a nie instalator właściwy. Możesz usunąć wszystko z wyjątkiem tych dwóch wyników (to już zainstalowany program): C:\Program Files (x86)\Cheat Engine 6.2\cheatengine-i386.exe odmiana zagrożenia Win32/HackTool.CheatEngine.AB potencjalnie niebezpieczna aplikacja C:\Program Files (x86)\Cheat Engine 6.2\standalonephase1.dat odmiana zagrożenia Win32/HackTool.CheatEngine.AF potencjalnie niebezpieczna aplikacja I jeszcze możesz wykonać kosmetyczne poprawki na wpisy puste / zbędne: 1. Odinstaluj stary Adobe Shockwave Player 11.6. To samo powinno tyczyć Gadu-Gadu 10 (to najgorsza i nabardziej zasobożerna wersja) - albo zastąpić najnowszym GG12 (jest lepsze i ma mniej reklam), albo alternatywą WTW: KLIK. 2. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Do Notatnika wklej: HKLM-x32\...\Run: [] => [X] CustomCLSID: HKU\S-1-5-21-339540346-3109504209-938711790-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\DOMOWY\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File Task: {09BC3A3E-6376-4D8C-A06C-27E2DD4ED820} - System32\Tasks\{74672ACB-F84A-4247-AA4F-EC5B05AE3952} => pcalua.exe -a "C:\Users\DOMOWY\Desktop\wszystko co związane z areo2\Driver_4.23.13.00\DriverUninstall.exe" -d "C:\Users\DOMOWY\Desktop\wszystko co związane z areo2\Driver_4.23.13.00" Task: {1A71CFC5-641F-40B5-A75E-D778F11F492D} - System32\Tasks\{4AEDB217-4E36-414A-BB5A-6885464E850E} => pcalua.exe -a "C:\Users\DOMOWY\Desktop\wszystko co związane z areo2\Driver_4.23.13.00\DriverSetup.exe" -d "C:\Users\DOMOWY\Desktop\wszystko co związane z areo2\Driver_4.23.13.00" Task: {2DFD0A60-5AD3-4DCA-BC04-48C7B3E3E1AD} - System32\Tasks\{02584DEB-7A83-45D8-8730-FB8AAB7832AA} => pcalua.exe -a C:\Users\DOMOWY\Desktop\Driver_4.23.13.00\DriverUninstall.exe -d C:\Users\DOMOWY\Desktop\Driver_4.23.13.00 Task: {3EE03CB9-7894-4700-8491-F9841512B14F} - System32\Tasks\{0B6859AD-E432-46E5-87DE-9D1BA3618EDA} => pcalua.exe -a C:\Users\DOMOWY\Desktop\Driver_4.23.13.00\DriverSetup.exe -d C:\Users\DOMOWY\Desktop\Driver_4.23.13.00 Task: {46314A3B-091B-44A1-A904-89670C55AB72} - System32\Tasks\{130E0415-69AF-461A-AD42-767A08C95F24} => pcalua.exe -a C:\Users\DOMOWY\Downloads\WinSetupFromUSB-0.1.1.exe -d C:\Users\DOMOWY\Downloads Task: {4A8391C7-5E84-465C-9CBB-2917595F0F67} - System32\Tasks\{298D5FDD-667E-47A3-AFB6-F662CAA6A7A7} => pcalua.exe -a "C:\Program Files (x86)\PdaNet for Android\drvins.exe" -d "C:\Program Files (x86)\PdaNet for Android" -c /dr Task: {7EFB7C4F-0137-41B2-BC34-00DD578BC36B} - System32\Tasks\{21A162A1-AC12-4FCC-BD78-A5A0C024D1D0} => pcalua.exe -a C:\Users\DOMOWY\Downloads\TForce4_186_manual.exe -d C:\Users\DOMOWY\Downloads Task: {801CF207-385F-4FB3-844D-07DDE879851C} - System32\Tasks\{3A1B6200-876B-40AD-B7B5-C71E2495CCD3} => pcalua.exe -a "C:\Users\DOMOWY\Desktop\Nowy folder\DriverSetup.exe" -d "C:\Users\DOMOWY\Desktop\Nowy folder" Task: {8F186446-24F0-4B90-8E43-DA316A261489} - System32\Tasks\{6920412B-10E8-44FB-96AD-EAC1E2B1BD81} => pcalua.exe -a C:\Users\DOMOWY\Downloads\Setup_1.0.0.250.exe -d C:\Users\DOMOWY\Desktop Task: {929FD6BE-9E4D-4F3C-8FF3-F9A7E8EE6950} - System32\Tasks\{96A77388-0835-4F56-999A-D6706580786B} => pcalua.exe -a "C:\Users\DOMOWY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JMXQJVBD\AdobeAIRInstaller.exe" -d C:\Users\DOMOWY\Desktop Task: {92AEE613-7C73-4C71-B699-74A5A0795F65} - System32\Tasks\{AB91BC68-572C-4CEC-BA2B-65F06EFF45C2} => pcalua.exe -a C:\Users\DOMOWY\Desktop\Driver\DriverSetup.exe -d C:\Users\DOMOWY\Desktop\Driver Task: {9CDB81AA-24BB-443B-B51D-DD634F9E8F03} - System32\Tasks\{9E37B89C-C830-439A-B8A5-3CAE618EEA55} => pcalua.exe -a C:\Users\DOMOWY\Desktop\mflpro\Data\Disk1\setup.exe -d C:\Users\DOMOWY\Desktop\mflpro\Data\Disk1 Task: {A1551443-4A31-4466-A424-F134EBAB6589} - System32\Tasks\{B1F5599D-F1CC-4DE5-A96D-7CB7C3E11CFA} => pcalua.exe -a C:\Users\DOMOWY\Desktop\Driver\DriverUninstall.exe -d C:\Users\DOMOWY\Desktop\Driver Task: {A5FEBF6D-0953-4254-90F2-703ED199DFA9} - \BatteryCareAuto No Task File Task: {B8DB9242-7FA9-49A2-9DA0-BC704A5CD549} - System32\Tasks\{3B7C1BCF-8B7D-462C-BE74-AEBCE640E191} => pcalua.exe -a "C:\Users\DOMOWY\Desktop\Nowy folder\DriverUninstall.exe" -d "C:\Users\DOMOWY\Desktop\Nowy folder" Task: {C0A500CF-8365-4459-AC69-E8E3CE542084} - System32\Tasks\{6EE67B2C-F5B9-4318-98D9-43FE63E46143} => pcalua.exe -a C:\Users\DOMOWY\Downloads\VirtualBox-4.1.12-77245-Win.exe -d C:\Users\DOMOWY\Desktop Task: {E1DE0B88-28C0-43CA-BA76-5B4645E67836} - System32\Tasks\{11843F18-8D16-4C54-9CF1-773589D56BF5} => pcalua.exe -a "C:\Program Files\BOA\UnInstall.exe" -d "C:\Program Files\BOA" DPF: HKLM {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: HKLM {233C1507-6A77-46A4-9443-F871F945D258} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: HKLM {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab C:\ProgramData\{*}.log C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite C:\Users\DOMOWY\AppData\Roaming\VS Revo Group\Revo Uninstaller Pro\ADAU\HP Digital Imaging Monitor.lnk C:\Users\DOMOWY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\Uninstall.lnk C:\Windows\pss\Serviio.lnk.Startup C:\Windows\System32\Adobe\Shockwave 11 C:\Windows\SysWOW64\Adobe\Director Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^DOMOWY^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Serviio.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Logitech Download Assistant" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Skasuj pobrany FRST z D:\Naprawa\Naprawa. Nasdtępnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

To jest Kosz - czyli dane były usunięte wcześniej do owego Kosza (skasowałeś je i zostały tam przeniesione, ale Kosz nie został opróżniony), o to mi chodzi. Proszę o oryginalny plik fixlog.txt, który powstał podczas opcji Fix.

Po pierwsze: mówiłam wyraźnie "Podaj mi dodatkowy skan" - to jest pobór danych w trybie tylko do odczytu. Popatrz na komendy co robią = nic nie usuwają tylko listują dane z rejestru i dysku (konfiguracja Widoku, uprawnienia + atrybuty + zawartość folderu Kosza). Po drugie: folder $RECYCLE.BIN to jest Kosz, i tu nie rozważamy czy bezpiecznie go usunąć, bo to śmietnik, tylko dlaczego tego nie widzisz w eksploratorze, mimo odpowiedniej konfiguracji. Wszystko co w nim jest to usunięte dane (skasowałeś te obiekty raz wcześniej i poszły do Kosza), a te na obrazku wskazują, że usunięcie odbyło się bardzo dawno temu (znacznik czasowy na rok 2012).

Podaj mi dodatkowy skan. Pobierz FRST. Do Notatnika wklej: Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden CMD: attrib Q:\$RECYCLE.BIN Folder: Q:\$RECYCLE.BIN ListPermissions: Q:\$RECYCLE.BIN Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Uwaga na przyszłość: nazwy logów FRST wskazują, że je wyciągasz z folderu C:\FRST\Logs - to archiwum logów i tam się głównie nie grzebie, bieżące logi są zawsze nagrywane tam skąd uruchamiasz FRST, czyli tu: C:\Documents and Settings\ja\Moje dokumenty\AntyVir i podobne\FRST. Ten wątek już zostaw. Temat przenoszę do działu Windows XP. Tu nie ma problemów infekcji. W spoilerze masz doczyszczanie szczątków / wpisów pustych i korektę drobniejszych błędów w Dzienniku zdarzeń, ale to tylko poboczne działania nie powiązane z Samsung Kies. Błąd definitywnie pochodzi od wpisu startowego Samsung Kies: ==================== Installed Programs ====================== Samsung Kies (HKLM\...\InstallShield_{758C8301-2696-4855-AF45-534B1200980A}) (Version: 2.0.0.11011_16 - Samsung Electronics Co., Ltd.) Samsung Kies (Version: 2.0.0.11011_16 - Samsung Electronics Co., Ltd.) Hidden MyFreeCodec (HKU\S-1-5-21-3955640507-3710774182-547434246-1006\...\MyFreeCodec) (Version: - ) ==================== Registry (Whitelisted) ================== HKU\S-1-5-21-3955640507-3710774182-547434246-1006\...\Run: [] => C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe [845120 2014-07-25] (Samsung) HKU\S-1-5-21-3955640507-3710774182-547434246-1006\...\Run: [KiesPreload] => C:\Program Files\Samsung\Kies\Kies.exe [1562264 2014-07-25] (Samsung) Czy mam rozumieć, że błąd Kies występuje już od czasu jego instalacji? Czy po wyłączeniu wszystkich osłon Kasperskiego również pojawiają się błędy Kies oraz niemożność jego aktualizacji? Skąd ta wersja była instalowana? Możesz spróbować odinstalować program i załadować najnowszą wersję stąd: KLIK. Swoją drogą ten Kaspersky nie jest nowy, są też ślady zamieszania wersji, gdyż na liście zainstalowanych są dwie pozycje, KIS (odpadek - usuwam w skrypcie FRST) i PURE: ==================== Installed Programs ====================== Kaspersky Internet Security 2013 (HKLM\...\InstallWIX_{560985FB-4B76-4121-9189-7A2CDC7886D6}) (Version: 13.0.1.4190 - Kaspersky Lab) Kaspersky PURE 3.0 (HKLM\...\InstallWIX_{D0702EE9-9DE4-419A-9C6C-4730B1C985BA}) (Version: 13.0.2.558 - Kaspersky Lab) Ale w jakim folderze? Z tej biblioteki mogą korzystasz różne programy do nagrywania.

Dodałeś obrazki. Na obrazku widać, że ścieżka to dysk Q: - czy przypadkiem nie jest to po prostu wirtualny dysk (np. od instalacji Office)? Tu podobny temat: KLIK.

To nie są pliki tylko foldery, nie utworzył ich XP tylko Windows 7. To są Kosze systemu Windows 7 (na Pulpicie to tylko wirtualny skrót) i są tworzone na każdej dostępnej partycji. Foldery można usunąć. Ich usunięcie jest tylko tymczasowe, gdyż system odtworzy te foldery (jakopuste) i zacznie zapełniać, gdy będzie coś usuwane. Kosze systemu XP to X:\RECYCLER (jeśli partycja stoi na NTFS) lub X:\Recycled (jeśli partycja stoina FAT32). Czy na pewno opcja Ukryj chronione pliki systemu operacyjnego jest odznaczona (a nie zaznaczona)?

Spróbuj przypisać uprawnienia do root D: za pomocą FRST. Do Notatnika wklej: Unlock: D:\ ListPermisions: D:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Na razie zostaw deinstalacje w spokoju, uszkodzony 32-bitowy msi.dll uniemożliwia to. Checksur wykrył usterkę manifestów, ale nic nie naprawił, bo brak plików potrzebnych do naprawy: Unavailable repair files: winsxs\manifests\x86_microsoft-windows-packager_31bf3856ad364e35_6.1.7601.18645_none_eff7f4132f17bb15.manifest winsxs\manifests\amd64_microsoft-windows-packager_31bf3856ad364e35_6.1.7601.18645_none_4c168f96e7752c4b.manifest winsxs\manifests\amd64_microsoft-windows-packager_31bf3856ad364e35_6.1.7601.22853_none_4c935dc8009cb27f.manifest winsxs\manifests\x86_microsoft-windows-packager_31bf3856ad364e35_6.1.7601.22853_none_f074c244483f4149.manifest W tej kwestii musisz poczekać, gdyż muszę dopiero wyszukać na swoim systemie pasujące pliki.

Wątek rozbijam, problemy uszkodzeń w plikach są tu: KLIK. Dopiero po uporaniu się z nimi podasz tutaj nowy log FRST.

Jeśli chodzi o czyszczenie z adware, to na koniec: Usuń używane narzędzia z F:\Pobieralnia\Programy narzędziowe\Diagnostyka oraz zastosuj DelFix. Jest tu dużo obiektów startowych. Wstępnie sprawdź czy efekt występuje w stanie tzw. "czystego rozruchu": KLIK.

Czy wskazywałeś konkretną partycję do skanu czy goła komenda "chkdsk /f /r"? Pytam ponownie: co się dzieje przy próbie ręcznego asygnowania uprawnień?

Ale jakich raportów? Przecież w powyższym poście nie podałeś żadnego z logów, o które prosiłam (nowy fixlog.txt i log z AdwCleaner). Również nie odpowiedziałeś na pytanie: