picasso

Temat przenoszę do działu Sieci. Brak oznak infekcji. Upewnij się, że problemu nie tworzy Kaspersky Internet Security bardzo silnie ingerujący w układ sieciowy. W przypadku braku rezultatów dostarcz dane orientowane sieciowo: KLIK. PS. W spoilerze minimalna korekta odpadkowych wpisów oraz likwidacja poniższych błędów w Dzienniku zdarzeń: Application errors: ================== Error: (12/10/2014 05:01:15 AM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 System errors: ============= Error: (12/12/2014 02:17:10 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: HP CUE DeviceDiscovery Service%%2

Komenda którą podałam tworzy plik C:\Windows\system32\sfc.txt. Poza tym, komenda automatycznie otwiera plik w Notatniku, więc skoro Ty teraz nie możesz tego znaleźć, coś nie tak zrobiłeś i komenda się nie wykonała. Komendę wklejasz (jak powiedziałam) czy wpisujesz ręcznie? W związku z tym, że nie potrafisz tego wykonać, komendę dołączę poniżej. Jeśli chodzi o Fix, to poszło gładko. Kolejne poprawki na odpadki programów. Otwórz Notatnik i wklej w nim: FF SelectedSearchEngine: AVG Secure Search HKU\S-1-5-21-1638586216-2184293915-2867409737-1000\...\RunOnce: [Adobe Speed Launcher] => 1418422989 BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File C:\Program Files\AVG SafeGuard toolbar C:\Program Files\AVG Web TuneUp C:\Program Files\FreeTime C:\Program Files\Glary Utilities 4 C:\Program Files\iSafe C:\Program Files\Paltalk Messenger C:\Program Files\R.G. Mechanics C:\Program Files\Speedial C:\Program Files\Universal Updater C:\ProgramData\2308189059 C:\ProgramData\AVG Security Toolbar C:\ProgramData\AVG2014 C:\ProgramData\EPSON C:\ProgramData\McAfee C:\ProgramData\Movavi C:\ProgramData\Roaming C:\ProgramData\TuneUp Software C:\ProgramData\Visan C:\ProgramData\VMware C:\Users\ViVeg77\AppData\Local\cache C:\Users\ViVeg77\AppData\Local\genienext C:\Users\ViVeg77\AppData\Local\Movavi C:\Users\ViVeg77\AppData\LocalLow\KMPlayer C:\Users\ViVeg77\AppData\LocalLow\Temp C:\Users\ViVeg77\AppData\Roaming\eCyber C:\Users\ViVeg77\AppData\Roaming\ESET C:\Users\ViVeg77\AppData\Roaming\GoforFiles C:\Users\ViVeg77\AppData\Roaming\iSafe C:\Users\ViVeg77\AppData\Roaming\newnext.me C:\Users\ViVeg77\AppData\Roaming\OpenCandy C:\Users\ViVeg77\AppData\Roaming\rmi C:\Users\ViVeg77\AppData\Roaming\RocketUpdater C:\Users\ViVeg77\AppData\Roaming\SmootherWeb C:\Users\ViVeg77\AppData\Roaming\Systweak C:\Users\ViVeg77\AppData\Roaming\TuneUp Software C:\Users\ViVeg77\AppData\Roaming\VMware Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Salus /f CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >C:\Users\ViVeg77\Downloads\sfc.txt Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W katalogu Pobrane powstaną dwa pliki fixlog.txt + sfc.txt - oba dołącz.

Nie ma żadnych zmian, od góry do dołu brak podpisów cyfrowych. W systemie jest następujący punkt Przywracania systemu: ==================== Restore Points ========================= 02-12-2014 14:52:00 Windows Update Przy starcie komputera F8 > Napraw komputer > Przywracanie systemu > wybierz ten punkt. Po przywróceniu systemu zrób nowy log FRST.

Temat przenoszę do działu Software. To nie jest problem infekcji. Mówisz o "4 plikach", przy czym są tu tylko 2 pliki oraz 4 foldery. Włącz w Opcjach folderów pokazywanie wszystkich obiektów, tzn. odptaszkuj Ukryj chronione pliki systemu operacyjnego. Wszystko co jest na urządzeniu to: E:\ -> Fixed disk # 466 Gb (382 Gb free - 82%) [ADATA CH94] # FAT32 ################## | E:\ - Fixed drive (FAT32) | [23/02/2011 - 09:42:00 | SHD] - E:\$RECYCLE.BIN [01/03/2011 - 16:00:56 | RA | 1 Ko] - E:\MediaID.bin [24/10/2013 - 19:53:06 | SHD] - E:\FOUND.001 [14/09/2013 - 16:11:08 | SHD] - E:\FOUND.000 [10/03/2009 - 16:57:06 | SHD] - E:\System Volume Information [01/03/2011 - 16:00:54 | R | 32 Ko] - E:\WINDOWS7 Kolejno są to: Folder Kosza E:\$RECYCLE.BIN Folder Przywracania systemu E:\System Volume Information. Folder jest zapewne pokazany jako zerobajtowy, bo brak uprawnień, ale tam nie spodziewaj się żadnych danych osobistych. Foldery Checkdiska E:\FOUND.000 + E:\FOUND.001. To ścinki danych po naprawie błędów struktury plików. Foldery mają stare daty, więc to nie powinno być związane ze świeżymi wydarzeniami. Odpadkowe pliki E:\MediaID.bin (ten plik identyfikacyjny tworzy Kopia zapasowa Windows) + E:\WINDOWS7 (nie wiadomo co to za dziwo) Jeśli brakuje tu danych, to owszem wyparowały. Wypytaj kolegę co robił z dyskiem (czy były jakieś błędy, czy czegoś nie usuwał), a w sytuacji braku obiektów pozostaje już tylko program do odzyskiwania danych np. TestDisk. PS. W Google Chrome otwierają się adresy adware. Usuń je: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie wystąpienia adresu istart.webssearches.com.

Naprawdę niepotrzebnie odwracałeś deinstalację ACE Mega CoDecS Pack. Jest to dziadostwo - archaiczny pakiet zawierający zbyt dużo kodeków i mogący tworzyć problemy w eksploratorze. Odinstaluj. Sprawę kodeków będziesz rozwiązywał na końcu. Np. instalacja najnowszej wersji bazowego K-Lite. Albo w ogóle zrezygnować z kodeków, przecież spokojnie można używać odtwarzacz mający wbudowane kodeki (np. VLC Media Player). O tym pogadamy po pozbyciu się próchna z systemu. Mój Fix nie ma nic wspólnego z deinstalacjami kodeków. To jest po prostu uszkodzona instalacja, a od kiedy uszkodzona to nie wiadomo, program strasznie stary. Ten martwy wpis spróbuj usunąć za pomocą Revo Uninstaller Freeware. To standardowy komunikat tam pokazywany w chwili obecnej. Microsoft usunął przecież wsparcie dla XP i skrzętnie usunął też wszystkie oczywiste odnośniki pobierania IE8. Nie pobieraj z PC Word, bezpośredni instalator IE8 (Polski) z serwera Microsoftu jest w przyklejonym: KLIK. Z linka pobierzesz IE8-WindowsXP-x86-PLK.exe. A ten plik IE8-Setup-Full.exe z PC Word to raczej nie jest polski instalator, bo we Właściwościach pliku stoi "Język: Angielski". Nawiasem mówiąc kierowałam Cię przecież na Windows update (powinno wszystko podstawić) uruchomione z poziomu Twojego systemu, bo tu nie tylko SP3 i IE8 jest wymagane. System ma potężne zaległości. Naprawa XP z płytki a kysz, zdegradujesz jeszcze bardziej aktualizacje. Tu instalacja SP3 będzie "naprawą" (przeładowanie prawie wszystkich plików Windows i nowe wersje plików). Na razie to tu jest system w rozsypce, nie wykonałeś jeszcze aktualizacji systemu (nadal SP2 + IE6). Avast owszem też będzie do reinstalacji, bo to wersja 8.0.1483.0. Najnowszy Avast to 10.0.2208: KLIK. W podsumowaniu: robisz pełną aktualizację systemu, deinstalujesz wymienione programy, wstawiasz najnowszy Avast, a na koniec log FRST (z Addition) do wglądu.

Próbujesz dołączać inny plik niż powiedziane. Cały plik CBS.LOG mnie nie interesuje (zawiera wiele zbędnych informacji). Miałeś przefiltrować wyniki i dołączyć wynikowy sfc.txt: To osobny wątek. Natomiast: Sprawa jest jasna. Log z FRST wskazuje konkretnie gdzie leży problem. Na proces tvsu.exe jest nałożony Debugger AVG PC TuneUp: IFEO\chrome.exe: [Debugger] "C:\Program Files\AVG\AVG PC TuneUp\TUAutoReactivator32.exe" IFEO\tvsu.exe: [Debugger] "C:\Program Files\AVG\AVG PC TuneUp\TUAutoReactivator32.exe" IFEO\tvsukernel.exe: [Debugger] "C:\Program Files\AVG\AVG PC TuneUp\TUAutoReactivator32.exe" AVG PC TuneUp został odinstalowany, niestety pozostawiając po sobie odpadkowe wpisy, czyli w tym momencie procesy zakreślone powyżej są filtrowane przez nieistniejący plik, stąd "nie można odznaleźć pliku". Google Chrome też powinno zwracać ten sam błąd. Rzecz jasna będę usuwać martwe wpisy Debugger, ale nie tylko to - w systemie są liczne ślady adware. Akcja: 1. Odinstaluj zbędny pasek AVG Web TuneUp. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw; C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw.sys [52880 2014-08-11] (StdLib) R2 UniversalUpdater; C:\Program Files\0ca45c95134d\cf3e08d747e4.exe [653888 2014-11-05] () S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] IFEO\chrome.exe: [Debugger] "C:\Program Files\AVG\AVG PC TuneUp\TUAutoReactivator32.exe" IFEO\tvsu.exe: [Debugger] "C:\Program Files\AVG\AVG PC TuneUp\TUAutoReactivator32.exe" IFEO\tvsukernel.exe: [Debugger] "C:\Program Files\AVG\AVG PC TuneUp\TUAutoReactivator32.exe" BootExecute: autocheck autochk * Task: {398DD4EA-7A00-4F53-A2F1-B0EE0F2FD5B0} - System32\Tasks\GoforFilesUpdate => C:\Program Files\GoforFiles\GFFUpdater.exe Task: {53ED3A31-D5D7-47BE-9EC2-855FE837C7EE} - System32\Tasks\{130A3D9C-D3F2-472E-AB60-2197694C02A8} => pcalua.exe -a C:\Users\ViVeg77\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=slbnew Task: {689D163D-1EB5-4F57-9335-D4B63650AA77} - \Program aktualizacji online firmy Adobe. No Task File Task: {A9C3E22F-EAE5-4A4F-8986-CFF5D541E813} - System32\Tasks\{AD61421D-9408-488F-9AD2-896DF0943434} => pcalua.exe -a "C:\Users\ViVeg77\Downloads\uninstall (1).exe" -d C:\Users\ViVeg77\Downloads Task: {B7C802BC-099A-4228-AB8E-86B2A310277E} - System32\Tasks\GU4SkipUAC => C:\Program Files\Glary Utilities 4\Integrator.exe Task: {BBB52CC3-8316-4884-A3DF-91AAEFC2D683} - System32\Tasks\{5CB78F99-D37F-44B9-B8F7-D7213BF68A7B} => pcalua.exe -a C:\Ross-Tech\VCDS\VCDSA.exe -d C:\Ross-Tech\VCDS\ Task: {FE4DEB9F-D076-4E3E-A84B-A462438E0528} - System32\Tasks\{115E2B5C-19D7-476A-A398-84F33C78248C} => C:\Program Files\The KMPlayer\KMPlayer.exe HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-1638586216-2184293915-2867409737-1000\...\RunOnce: [Adobe Speed Launcher] => 1418411320 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1415350141&from=slbnew&uid=HITACHIXHTS723232A7A364_E3834563GJU12NGJU12NX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1415350141&from=slbnew&uid=HITACHIXHTS723232A7A364_E3834563GJU12NGJU12NX&q={searchTerms} SearchScopes: HKLM -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_50_ch&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCyEtCyCzyyDtDtD0E0BtAtN0D0Tzu0SzyyDyEtN1L2XzutAtFtDtFtCtDtFtBtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyDyB0B0AtA0FyBtDtGzzyD0CtBtGzyyDyCyDtGtBtD0A0BtGyE0Czy0F0D0FtB0E0B0FyDyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyEtD0D0BzztCyEtDtGtCtC0FyCtG0CyE0F0AtG0CtC0CtAtGyCyBtC0ByByDtAyCtBtAyC0B2Q&cr=1311317102&ir= SearchScopes: HKLM -> {2E00D31D-D171-423D-836D-1A4D7EA7F1A9} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_38_ch&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCyEtCyCzyyDtDtD0E0BtAtN0D0Tzu0SzyzyyEtN1L2XzutAtFtBtFtCtFyDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyBzy0F0B0A0Azz0FtG0FyE0BzztGzyyCtC0CtGzy0DtBtAtGtB0EyB0EzyyD0D0DzyzyyD0E2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyBzyyDzz0EtAtB0DtGyB0E0F0FtGyE0BtB0FtG0ByEyB0CtG0FtA0FtCtA0C0DyE0BtCzyyB2Q&cr=552600740&ir= SearchScopes: HKLM -> {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_22_ch&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCyEtCyCzyyDtDtD0E0BtAtN0D0Tzu0SzzzztDtN1L2XzutBtFtBtDtFtCzytFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StBzyyC0AyD0BtA0CtG0CzztDyDtGzz0DtD0DtG0B0F0EtCtGtA0C0FyEzytAtDtB0FtCyE0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyEtD0D0BzztCyEtDtGtCtC0FyCtG0CyE0F0AtG0CtC0CtAtGyCyBtC0ByByDtAyCtBtAyC0B2Q&cr=1994925878&ir= SearchScopes: HKU\S-1-5-21-1638586216-2184293915-2867409737-1000 -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_50_ch&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCyEtCyCzyyDtDtD0E0BtAtN0D0Tzu0SzyyDyEtN1L2XzutAtFtDtFtCtDtFtBtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyDyB0B0AtA0FyBtDtGzzyD0CtBtGzyyDyCyDtGtBtD0A0BtGyE0Czy0F0D0FtB0E0B0FyDyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyEtD0D0BzztCyEtDtGtCtC0FyCtG0CyE0F0AtG0CtC0CtAtGyCyBtC0ByByDtAyCtBtAyC0B2Q&cr=1311317102&ir= SearchScopes: HKU\S-1-5-21-1638586216-2184293915-2867409737-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = SearchScopes: HKU\S-1-5-21-1638586216-2184293915-2867409737-1000 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_50_ch&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCyEtCyCzyyDtDtD0E0BtAtN0D0Tzu0SzyyDyEtN1L2XzutAtFtDtFtCtDtFtBtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyDyB0B0AtA0FyBtDtGzzyD0CtBtGzyyDyCyDtGtBtD0A0BtGyE0Czy0F0D0FtB0E0B0FyDyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyEtD0D0BzztCyEtDtGtCtC0FyCtG0CyE0F0AtG0CtC0CtAtGyCyBtC0ByByDtAyCtBtAyC0B2Q&cr=1311317102&ir= SearchScopes: HKU\S-1-5-21-1638586216-2184293915-2867409737-1000 -> {2E00D31D-D171-423D-836D-1A4D7EA7F1A9} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_38_ch&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCyEtCyCzyyDtDtD0E0BtAtN0D0Tzu0SzyzyyEtN1L2XzutAtFtBtFtCtFyDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyBzy0F0B0A0Azz0FtG0FyE0BzztGzyyCtC0CtGzy0DtBtAtGtB0EyB0EzyyD0D0DzyzyyD0E2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyBzyyDzz0EtAtB0DtGyB0E0F0FtGyE0BtB0FtG0ByEyB0CtG0FtA0FtCtA0C0DyE0BtCzyyB2Q&cr=552600740&ir= SearchScopes: HKU\S-1-5-21-1638586216-2184293915-2867409737-1000 -> {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_22_ch&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCyEtCyCzyyDtDtD0E0BtAtN0D0Tzu0SzzzztDtN1L2XzutBtFtBtDtFtCzytFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StBzyyC0AyD0BtA0CtG0CzztDyDtGzz0DtD0DtG0B0F0EtCtGtA0C0FyEzytAtDtB0FtCyE0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyEtD0D0BzztCyEtDtGtCtC0FyCtG0CyE0F0AtG0CtC0CtAtGyCyBtC0ByByDtAyCtBtAyC0B2Q&cr=1994925878&ir= SearchScopes: HKU\S-1-5-21-1638586216-2184293915-2867409737-1000 -> {95204CBC-45A2-4711-A284-66AACCE5EDAE} URL = https://nl.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=888596&p={searchTerms} SearchScopes: HKU\S-1-5-21-1638586216-2184293915-2867409737-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={30121728-272F-4168-9004-63068345FF31}&mid=505879c781ed47d29cbd59d6bc0ac4fb-ff0c4c83824c79a26dedff1454cf2ba86c85c5bd&lang=pl&ds=AVG&coid=avgtbavg&cmpid=1214tb&pr=fr&d=2014-11-06 19:18:04&v=4.0.5.7&pid=wtu&sg=&sap=dsp&q={searchTerms} Toolbar: HKU\S-1-5-21-1638586216-2184293915-2867409737-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\18.2.0\\npsitesafety.dll No File FF SearchPlugin: C:\Users\ViVeg77\AppData\Roaming\Mozilla\Firefox\Profiles\8n0uhhrr.default\searchplugins\avg-secure-search.xml FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\wtu-secure-search.xml C:\Program Files\0ca45c95134d C:\Program Files\f552dd4c52e3 C:\ProgramData\DSearchLink C:\Users\ViVeg77\AppData\Local\Mobogenie C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_UI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BRS" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CrashMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Salus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Salus CrashMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\smoother" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WSE_Astromenda" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\ViVeg77\AppData\Local CMD: dir /a C:\Users\ViVeg77\AppData\LocalLow CMD: dir /a C:\Users\ViVeg77\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\ViVeg77\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\ViVeg77\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz zaległy sfc.txt. .

Wszystko zrobione, w nowym raporcie czysto oraz usterka braku podpisów cyfrowych jest rozwiązana. Pytania: - Na pewno zabezpieczyłeś router - czy podany test zwraca stosowny komunikat: KLIK? - Czy wiesz skąd tu się znalazł folder C:\Program Files (x86) z mnóstwem podfolderów relatywnych do gier? To folder 64-bitowego Windows, a Ty posiadasz system 32-bit, więc folder kompletnie nie działa i jest do usunięcia. Kolejne czynności: 1. Odinstaluj stare wersje: ESET NOD32 Antivirus (tragicznie stara wersja - komponenty z lat 2007/2008!), HiJackThis, Java 7 Update 45, Java 8 Update 20, Java SE Development Kit 8. Nie potrzebujesz też Adobe Flash Player 15 Plugin (to wtyczka dla Firefox i Opera). Od razu też zaktualizuj Adobe Flash dla IE oraz Thunderbird KLIK. 2. Jeden ze skrótów Internet Explorer jest uszkodzony (utrata specjalnego atrybutu): Shortcut: C:\Users\Bakoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Bakoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Doczyszczenie martwych skrótów. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android SDK Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVS4YOU C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Illusion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyFree Codec C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat C:\Users\Bakoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\1-click run C:\Users\Bakoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AVS4YOU C:\Users\Bakoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Portable Programs C:\Users\Bakoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SmartTweak Software CMD: ipconfig /flushdns EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Podsumuj jak działa system.

Czy na dysku na pewno jest plik C:\Program Files\Lenovo\System Update\tvsu.exe? Koleżanka, a nie kolega picasso. Tam jest zupełnie inny problem. A narzędzie SFC służy do weryfikacji komponentów Windows a nie producentów trzecich (Lenovo), więc SFC nie wykryje usterki programu zewnętrznego. 1. Skoro jednak SFC wykrył jakieś naruszenia, pokaż raport wynikowy tego skanu: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. 2. Ponadto, poproszę też o raporty z FRST.

Na początek, od góry do dołu jest odczyt [File not signed] (brak podpisów cyfrowych sterowników). To musi być rozwiązane w pierwszej kolejności, zanim przejdziemy dalej. 1. Sprawdź czy nie masz zainstalowanej felernej łaty KB3004394: KLIK. Znalezioną odinstaluj. 2. Następnie uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Wypowiedz się jakie problemy notujesz.

Brakuje pliku FRST Shortcut. Ponadto, skoro chodzi o problem danych na dysku przenośnym, podczas gdy dysk jest podpięty zrób jeszcze log USBFix z opcji Listing.

Kolejność punktów = kolejność zadań. Skoro nie wspominam Trybu awaryjnego, operacje idą tradycyjnie w normalnym. Możesz oczywiście odinstalować i inne nieużywane aplikacje.

Log nie pokazuje żadnych zmian: 1. Router nadal zainfekowany: Tcpip\Parameters: [DhcpNameServer] 94.249.192.181 8.8.8.8 Co Ty właściwie robiłeś? To nie jest infekcja w Windows tylko w routerze i tu nie pomogą żadne skrypty / skany / fixy w Windows, musisz wyczyścić router i go zabezpieczyć wg podanych wcześniej kroków. Wszystko z poprzedniego pierwszego punktu nadal aktualne. 2. Nadal jest masowe [File not signed]. Jeśli to stan po użyciu narzędzia Fix-it, upewnij się, że nie masz zainstalowanej felernej łaty KB3004394: KLIK. Jeśli w zainstalowanych aktualizacjach ona występuje, odinstaluj, ponów reset narzędziem Fix It 50202. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

To potem, tylko wyklucz od razu instalację krytycznej łaty KB3004394, o ile Ci się pokazuje: KLIK. "Opróżnij gałązki" to nie była nazwa funkcji, tylko moje własne słowa opisowe co tam zrobić. Oczywiście to miało być wyczyszczenie Dzienników. Czyszczenie miało na celu odsiać błędy już nieaktualne po deinstalacji Kasperskiego. Pojawiły się nowe wtręty, aczkolwiek nie jest pewne czy wszystko jest aktualne: Application errors: ================== Error: (12/12/2014 05:21:56 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 257) (User: ) Description: Zainicjowanie bazy danych wykazu przez Usługi kryptograficzne nie powiodło się. Błąd ESENT: -1305. Error: (12/12/2014 05:04:44 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 512) (User: ) Description: Zainicjowanie obiektu System Writer kopii zapasowej VSS przez Usługi kryptograficzne nie powiodło się. Details: Could not query the status of the EventSystem service. System Error: Trwa proces zamykania systemu. Error: (12/11/2014 11:03:40 PM) (Source: System Restore) (EventID: 8210) (User: ) Description: Wystąpił nieokreślony błąd podczas przywracania systemu: (Windows Update). Informacje dodatkowe: 0x8000ffff. System errors: ============= Error: (12/12/2014 06:48:26 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Google Update Service (gupdate) z powodu następującego błędu: %%1053 Error: (12/12/2014 06:48:26 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Google Update Service (gupdate). Error: (12/12/2014 06:46:06 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi WebcamMax, WDM Video Capture z powodu następującego błędu: %%1058 Error: (12/12/2014 05:27:35 AM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Windows Update zakończyła działanie; wystąpił następujący błąd: %%-2147467243 1. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny. 2. Proponuję jeszcze pozbyć się innych zbędnych zintegrowanych programów ASUS, np. AsusVibe2.0, Bing Bar (odpadnie kilka procesów startowych), Google Toolbar for Internet Explorer. 3. Uruchom Autoruns. - W karcie Services odznacz pozycje gupdate, gupdatem, NvNetworkService, NvStreamSvc, Stereo Service - W karcie Scheduled Tasks odznacz pozycje związane z Google. 4. Ponownie wyczyść Dzienniki zdarzeń (Aplikacja + System). Następnie otwórz Notatnik i wklej w nim: CloseProcesses: S3 esihdrv; C:\Users\asus\AppData\Local\Temp\esihdrv.sys [122240 2014-12-09] (ESET) S3 cpuz135; \??\C:\Users\asus\AppData\Local\Temp\cpuz135\cpuz135_x64.sys [X] C:\ProgramData\F-Secure C:\ProgramData\Temp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by dwa logi powstały. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal występuje efekt "mulenia". .

Nie przeczytałeś najważniejszego, zasad działu: KLIK. Obowiązkowe raporty to FRST (raport główny), OTL (przestarzałe narzędzie, sprawdzany tylko pobocznie) oraz GMER. Raportów proszę nie wklejaj w poście, sieczka. Załącz oryginalne pliki w postaci załączników forum.

Zanim wykonasz to co powyżej upewnij się, że nie masz zainstalowanej felernej łaty KB3004394: KLIK. Jeśli w zainstalowanych aktualizacjach ona występuje, odinstaluj - popatrz i na aktualizację KB3024777 mającą się tym zająć: KLIK. Ponów reset narzędziem Fix It 50202 i zrób nowy log FRST.

Jest zainfekowany router. Pierwszy adres jest szkodliwy: KLIK. Tcpip\Parameters: [DhcpNameServer] 94.249.192.181 8.8.8.8 Dodatkowo, w systemie jest grubsza usterka, tzn. uszkodzenie jednej z baz Usług kryptograficznych - masowy odczyt [File not signed] usług i sterowników. 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, gdyż to on m.in. zawiera reset bazy catroot2. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] Task: {746C72F3-2176-481A-8154-B2AF245CD7E5} - System32\Tasks\{D34A98BF-BA88-48F7-A375-278F9FD3E4C4} => pcalua.exe -a C:\Users\Bakoma\chomikbox\ero\Patricia\Patricia.exe -d C:\Users\Bakoma\chomikbox\ero\Patricia Task: {818B788E-0326-4781-840D-EE043A8FF409} - System32\Tasks\{E2034237-061F-4EC1-ACAB-F600B145FC8B} => pcalua.exe -a "C:\Users\Bakoma\chomikbox\ero\Sativa\VirtualFem v3.0.2b (Vista & 7).exe" -d C:\Users\Bakoma\chomikbox\ero\Sativa Task: {91F1E87D-E1A4-4D3C-9C4F-4EBBEFF86407} - System32\Tasks\{49365A3B-6144-4919-9B46-8C93F52DBF42} => C:\Program Files\Origin Games\The Sims 2 Ultimate Collection\Fun with Pets\SP9\TSBin\Sims2EP9.exe Task: {AFD08FF5-31A1-43F3-B749-41BBD30A600A} - System32\Tasks\{CDBE3CB2-77CC-4703-B5CA-96ADE8C1FE2F} => pcalua.exe -a J:\GDFTHR_inst.exe -d J:\ CHR HKLM\...\Chrome\Extension: [acaoakiamfeidcmgooclgeleejkbaecf] - C:\Program Files\WinToFlash Suggestor\WinToFlashSuggestor.crx [Not Found] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKLM -> DefaultScope value is missing. FF Plugin: @microsoft.com/Lync,version=15.0 -> C:\Program Files\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) C:\Program Files\Mozilla Firefox C:\Users\Bakoma\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Bakoma\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Bakoma\AppData\Roaming\Mozilla\Firefox C:\Windows\msdownld.tmp Folder: C:\Program Files (x86) Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Adobe Flash Player ActiveX Packages" /f CMD: ipconfig /flushdns cmd: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition, ale zaznacz pole Shortcut, bo zapomniałeś ten log podać). Dołącz też plik fixlog.txt.

Na początek sprawdź czy system samodzielnie potrafi odbudować pliki Windows Defender na dysku. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. PS. Jak mówię, mogłeś to ewentualnie widzieć na searchengines.pl - tam przez 7 lat byłam aktywna.

Działasz na karcie dedykowanej, Intel został wyłączony i nie żyje. Brak urządzenia, powiązane oprogramowanie jest martwe i nic nie robi - wspominałam też, że plik usługi igfxCUIService1.0.0.0 jest podejrzanie stary i nie wiem skąd tu taki wtręt. Po co to trzymać, odinstaluj powiązany program. Wszystko wygląda na wykonane. Zasadnicze pytanie: czy po przeprowadzonych czynnościach jest notowana poprawa w działaniu systemu?

Co dokładnie usuwałeś za pomocą Revo, jakie klucze rejestru, czy jest kopia zapasowa tego? Jak mówię, trzeba będzie wszystko zrekonstruować, bo będą problemy. Mylisz się. Jedyne obce forum, na którym działałam, to było searchengines.pl - miałam tam inny avatar. Nigdy nie udzielałam się na wymienianych przez Ciebie forach, nie mam tam nawet kont, z wyjątkiem dobrychprogramów (konto picasso_ = zero postów). Mój avatar nigdy nie był używany poza tym forum, bo dla swojego forum go przypisałam. Jeśli widziałeś mój avatar na innym forum, ktoś bezprawnie wykorzystał moje zdjęcie. Jeśli widziałeś nick "picasso" na tamtych forach, to nie jest moje konto.

mag1492, przecież to zupełnie inny program Advanced System Care. To coś w ogóle nie zostało tu zalecone, nie nadaje się do zadania, które jest na widoku. Na dodatek wspominałam co sądzę o programach IOBit już na samym początku, to jak mogłabym zalecać używanie tego w swoich instrukcjach czyszczących. Wyraźnie podałam, że masz uruchomić program AdwCleaner: Proszę kliknij w niebieski link, przekieruje Cię do tematu z opisem narzędzia i linkiem pobierania.

Do wdrożenia są jeszcze dodatkowe operacje zamykające czyszczenie, ale na razie nic nie podaję, bo starasz się odzyskać pliki. Jeszcze zagaję na temat Przywracania systemu: czy ta funkcja została celowo wyłączona? Przykro mi, że ucierpiałeś, ale tu jest kwestia interpretacji co to są "ważne dane": - Cookies odpowiada za automatyczne logowanie, ale nie za pamiętanie haseł. Loginy / hasła (zlokalizowane w innym pliku) nie są ruszane. - Historia to jest rodzaj niepermanentnego "śmietnika". Jeśli coś jest "ważne", to czy na pewno powinno być to tylko na poziomie ulotnej historii a nie w stałych zakładkach? OTL ogranicza się do cache przeglądarek. W FRST funkcja poszerzona o Cookies i Historię, ponieważ infekcje zostawiają tam ślady.

Nie odpowiedziałeś mi na to pytanie. To nie ja. Jedyne forum, na którym działałam, to było searchengines. Obecnie prowadzę własne tutejsze fixitpc.pl i to jedyne forum na którym działam.

Sprawdź jeszcze: - Czy pomoże następująca edycja: uruchom Firefox w awaryjnym Windows, w pasku adresów wklep about:config, wyszukaj wartość layers.offmainthreadcomposition.enabled i przestaw na false. - Czy działa poprawnie klon Firefoxa Cyberfox. A w zakresie czyszczenia systemu ze śmieci skończyliśmy. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Niestety brak zmian, nadal masowy odczyt "[File not signed]". Jest prawdopodobne, że to uszkodzenie catroot, a to jest niemożliwe do zresetowania (folder jest nieodtwarzalny). Na początku tematu były tu dwa punkty Przywracania systemu: ==================== Restore Points ========================= 09-12-2014 09:25:31 Removed Corel Graphics - Windows Shell Extension. 10-12-2014 08:55:48 Removed Corel Graphics - Windows Shell Extension. O ile one magicznie nie zniknęły, spróbuj z nich selektywnie wyciągnąć starszą postać catroot: 1. Uruchom Shadow Explorer (portable). Z menu rozwijanego wybierz najstarszą datę z dnia 09-12-2014. Następnie z boku w eksploratorze wyszukaj folder C:\Windows\system32\catroot (nie catroot2). Z prawokliku na ten folder opcja Export i wskaż jako miejsce docelowe Pulpit. Na Pulpicie pojawi się folder catroot. 2. Następnie zpoziomu normalnego eksploratora Windows otwórz folder C:\Windows\system32\catroot. W folderze tym są dwa podfoldery: {127D0A1D-4EF2-11D1-8608-00C04FC295EE} {F750E6C3-38EE-11D1-85E5-00C04FC295EE} Z prawokliku zmień im nazwy dopisując przedrostek OLD (przy pytaniu o podnoszenie uprawnień zatwierdź): OLD{127D0A1D-4EF2-11D1-8608-00C04FC295EE} OLD{F750E6C3-38EE-11D1-85E5-00C04FC295EE} Następnie z folderu catroot na Pulpicie przekopiuj foldery {127D0A1D-4EF2-11D1-8608-00C04FC295EE} + {F750E6C3-38EE-11D1-85E5-00C04FC295EE} do C:\Windows\system32\catroot (przy pytaniu o podnoszenie uprawnień zatwierdź). Upewnij się, że oba foldery się wstawiły, bez nich katastrofa przy restarcie nastąpi. Jeśli pojawią się jakiekolwiek błędy przy kopiowaniu, STOP i nie resetuj komputera, zgłaszasz się na forum i opisujesz dokładnie gdzie jest błąd. Natomiast jeśli nie będzie żadnego błędu, możesz przejść dalej: 3. Wejdź do folderu C:\Windows\system32\CodeIntegrity i zmień nazwę pliku bootcat.cache dopisując mu OLD. 4. Zresetuj system i zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). .

Brakuje raportu FRST Shortcut oraz OTL Extras. Posługujesz się ciut starszą wersją FRST. Pobierz najnowszą z linka w przyklejonym: KLIK. Zrób nowe raporty (pola Addition + Shortcut zaznaczone).