Skocz do zawartości
Nadchodzące zmiany w logowaniu

picasso

Administratorzy
 Pokaż profil  Zobacz aktywność

  • Postów

    36 516

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Treść opublikowana przez picasso

  1. picasso
    rudyesq, nie przejrzałam dokładnie raportu z Process Monitor, bo nawet nie doszłam do tego Silverlight. Od razu mnie zatrzymała widoczna tam lista procesów i aktywni delikwenci: Description: IePlugin Service Company: Cherished Technololgy LIMITED Name: PluginService.exe Version: 13.27.0.746 Path: C:\ProgramData\IePluginServices\PluginService.exe Command Line: C:\ProgramData\IePluginServices\PluginService.exe -service PID: 1604 Parent PID: 736 Session ID: 0 User: ZARZĄDZANIE NT\SYSTEM Auth ID: 00000000:000003e7 Architecture: 32-bit Virtualized: False Integrity: Etykieta obowiązkowości\Poziom obowiązkowości — system Started: 2014-11-25 18:08:16 Ended: (Running) Modules: PluginService.exe 0xc40000 0xb2000 C:\ProgramData\IePluginServices\PluginService.exe Cherished Technololgy LIMITED 13.27.0.746 Description: WindowsProtectManger Service Company: Fuyu LIMITED Name: ProtectWindowsManager.exe Version: 20.0.0.1270 Path: C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe Command Line: C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service PID: 1680 Parent PID: 736 Session ID: 0 User: ZARZĄDZANIE NT\SYSTEM Auth ID: 00000000:000003e7 Architecture: 32-bit Virtualized: False Integrity: Etykieta obowiązkowości\Poziom obowiązkowości — system Started: 2014-11-25 18:08:18 Ended: (Running) Modules: ProtectWindowsManager.exe 0x820000 0x7b000 C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe Fuyu LIMITED 20.0.0.1270 2014-11-12 07:38:46 System znów został zainfekowany adware. Proszę o nowy komplet wszystkich logów FRST (z najnowszej wersji).
  2. picasso
    Sprawdź co widzi Autoruns w karcie Scheduled Tasks (włączone pokazywanie wpisów Microsoftu) - czy widać tam ścieżkę: \Microsoft\Windows\Defrag\ScheduledDefrag Moduł Defragmentatora dysków Microsoft Corp. c:\windows\system32\defrag.exe 2009-07-14 00:23
  3. picasso
    Czy na pewno podejmowałeś się próby deinstalacji obu programów? Adware "Search Protection" nadal widnieje na liście zainstalowanych i na dodatek czynnie uruchamia się w tle. Jeśli na 100% była próba deinstalacji nie tylko "Browser Extensions", ale i "Search Protection", to ręczne poprawki na tego śmiecia oraz szczątki po odinstalowanym Auslogic: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1064554875-340528550-2733695748-1000\...\Run: [search Protection] => C:\Users\ADMIN\AppData\Roaming\Search Protection\SP.EXE [1127224 2014-12-04] () Task: {01B13DEE-0EBC-44E7-875D-60A3AC10B86B} - System32\Tasks\Auslogics\BoostSpeed\Start BoostSpeed оn ADMIN logon => C:\Program Files (x86)\Auslogics\BoostSpeed\BoostSpeed.exe Task: {E6B59B20-BBC7-4F70-9C08-16201FBD99A5} - System32\Tasks\Auslogics\BoostSpeed\Scan and Repair => Rundll32.exe TaskSchedulerHelper.dll,RunTask "BoostSpeed.exe" "-UseTray -Schedule" HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-1064554875-340528550-2733695748-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1064554875-340528550-2733695748-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = BHO: Browser Extensions -> {34A0D84B-CDDC-4EC4-AFDD-4F1DDE1D14E5} -> C:\Users\ADMIN\AppData\Roaming\BrowserExtensions\Coupons64.dll No File C:\Program Files (x86)\Auslogics C:\ProgramData\Auslogics C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Auslogics C:\Users\ADMIN\AppData\Roaming\Search Protection C:\Windows\System32\Tasks\Auslogics RemoveDirectory: C:\Users\ADMIN\Desktop\Stare dane programu Firefox Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Protection" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, aż nastąpi restart systemu. Powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Opisz jak się zachowuje system. .
  4. picasso
    Jeśli chodzi o adware, to uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. PS. Jakoś nie zauważyłam tego komentarza: Ad-Aware SE Personal owszem tak, ale tu była nowoczesna wersja Ad-Aware Antivirus chodząca na silniku BitDefender, nie tak dużo starsza od najnowszej dostępnej wersji. Ad-Aware Antivirus (HKLM\...\{E39A80AE-0CC0-43EE-AB6B-BE11DC4F969F}_AdAwareUpdater) (Version: 11.3.6321.0 - Lavasoft) R1 BdfNdisf; c:\program files\lavasoft\ad-aware antivirus\firewall engine\1.6.0.0\drivers\bdfndisf6.sys [93160 2014-04-22] (BitDefender LLC) R1 bdfwfpf; C:\Program Files\Lavasoft\Ad-Aware Antivirus\Firewall Engine\1.6.0.0\Drivers\bdfwfpf.sys [102992 2014-04-22] (BitDefender LLC) R3 gzflt; C:\Program Files\Lavasoft\Ad-Aware Antivirus\Antimalware Engine\3.0.0.56\gzflt.sys [150256 2014-04-22] (BitDefender LLC)
  5. picasso
    Skan checkdisk wykonany spod działającego systemu jest niewiarygodny, gdyż wolumin nie jest zablokowany i aktywność rozmaitych procesów może tworzyć fałszywe alarmy. Tu problem z "mapą bitową" może być jednym z nich. Wg raportu w BootExecute siedzą następujące komendy (PDBoot.exe pochodzi od PerfectDisk): BootExecute: autocheck autochk /p \??\C: PDBoot.exe autocheck autochk * Spróbujmy to zresetować do postaci domyślnej i ponowisz operację. Przy okazji usuwanie szczątków adware "DeltaFix" gerujących błędy w Dzienniku: System errors: ============= Error: (12/06/2014 10:48:56 AM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą DeltaFix. 1. Otwórz Notatnik i wklej w nim: BootExecute: autocheck autochk /p \??\C:PDBoot.exeautocheck autochk * S2 fc67e7a0; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\DeltaFix\DeltaFix.dll",serv CHR HKLM\SOFTWARE\Policies\Google: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 -> DefaultScope value is missing. C:\ProgramData\TEMP EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. W cmd ruchomionym jako adminitrator wklep chkdsk /f /r, zatwierdź i zresetuj system. PS. I jeszcze do korekty uszkodzony skrót Internet Explorer. W pasku adresów eksploratora wklej ścieżkę C:\Users\stefel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff .
  6. picasso
    Brak danych o systemie. Poproszę o dostarczenie raportów FRST.
  7. picasso
    Temat założony w niewłaściwym dziale. Przenoszę do działu diagnostyki infekcji, gdyż mamy tu do czynienia z problemem paskudnych i mnogich instalacji adware. Usuwanie będzie podzielone na kilka etapów. Wstępnie przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {0c6ad4fc-d56b-44cb-a06e-debba12bf68a}w64; C:\Windows\System32\drivers\{0c6ad4fc-d56b-44cb-a06e-debba12bf68a}w64.sys [48824 2014-10-19] (StdLib) R1 {1de0dec0-675e-482f-a756-fd24c6796c8e}w64; C:\Windows\System32\drivers\{1de0dec0-675e-482f-a756-fd24c6796c8e}w64.sys [48832 2014-12-05] (StdLib) R1 {3c9eada7-386c-4a04-ab1e-4eb122397ced}w64; C:\Windows\System32\drivers\{3c9eada7-386c-4a04-ab1e-4eb122397ced}w64.sys [48824 2014-10-21] (StdLib) R1 {44b76908-31ad-4fdd-90ce-abbdbb78f175}w64; C:\Windows\System32\drivers\{44b76908-31ad-4fdd-90ce-abbdbb78f175}w64.sys [48824 2014-10-15] (StdLib) R1 {6191cc23-5db4-4079-aaac-546c45b08af1}w64; C:\Windows\System32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}w64.sys [48824 2014-10-23] (StdLib) R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64.sys [61112 2014-07-08] (StdLib) R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}w64; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys [61624 2014-08-06] (StdLib) R1 {9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64; C:\Windows\System32\drivers\{9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64.sys [48824 2014-10-17] (StdLib) R1 {a00759f4-8f6e-4f04-880d-18a7306588c3}w64; C:\Windows\System32\drivers\{a00759f4-8f6e-4f04-880d-18a7306588c3}w64.sys [48824 2014-10-13] (StdLib) R1 {b66d62b0-ebea-42c8-88c7-71cdab32919e}w64; C:\Windows\System32\drivers\{b66d62b0-ebea-42c8-88c7-71cdab32919e}w64.sys [48832 2014-11-30] (StdLib) R1 {b7f87806-4a32-46e7-ad9b-12f73fb810a9}w64; C:\Windows\System32\drivers\{b7f87806-4a32-46e7-ad9b-12f73fb810a9}w64.sys [48832 2014-11-28] (StdLib) R1 {cb987b80-b481-4623-9e86-1b830e33479a}w64; C:\Windows\System32\drivers\{cb987b80-b481-4623-9e86-1b830e33479a}w64.sys [48832 2014-11-27] (StdLib) R1 {cfbbf934-a234-4282-8ef3-310abb84c3e4}w64; C:\Windows\System32\drivers\{cfbbf934-a234-4282-8ef3-310abb84c3e4}w64.sys [48824 2014-10-19] (StdLib) R1 {df8d93ab-56ab-414d-b711-87b0e2749bbd}w64; C:\Windows\System32\drivers\{df8d93ab-56ab-414d-b711-87b0e2749bbd}w64.sys [48824 2014-10-17] (StdLib) R1 {f916f162-d4e9-413b-95d2-589769dc98ff}w64; C:\Windows\System32\drivers\{f916f162-d4e9-413b-95d2-589769dc98ff}w64.sys [48824 2014-10-15] (StdLib) S4 F06DEFF2-5B9C-490D-910F-35D3A9119622; C:\Program Files (x86)\Settings Manager\systemk\x64\systemkmgrc2.cfg [41872 2014-07-16] (Aztec Media Inc) R3 SPBIUpdd; C:\Program Files\Common Files\ShopperPro\spbiw.sys [41856 2014-12-02] () R2 SPDRIVER_1.37.0.486; C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.486\jsdrv.sys [52584 2014-11-24] () S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-08-11] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-08-11] (globalUpdate) [File not signed] R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [759688 2014-07-09] (Cherished Technololgy LIMITED) R2 MaintainerSvc2.04.9173792; C:\ProgramData\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4\maintainer.exe [123680 2014-12-06] () R2 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe [2346880 2014-12-02] (ShopperPro) R2 Update NetCrawl; C:\Program Files (x86)\NetCrawl\updateNetCrawl.exe [523552 2014-12-06] () R2 Util NetCrawl; C:\Program Files (x86)\NetCrawl\bin\utilNetCrawl.exe [524064 2014-12-06] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [535936 2014-07-09] (Fuyu LIMITED) R2 YouTubeAcceleratorService; C:\Program Files (x86)\YouTube Accelerator\YouTubeAcceleratorService.exe [1510248 2014-08-11] (GOOBZO) Task: {16D317AB-8E0C-4AE4-B313-7AE6781B405F} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5 => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.exe [2014-08-11] (iWebar) Task: {1A20BD29-3D03-45A4-B549-B0FB5C474CFC} - System32\Tasks\UNELEVATE_18933 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.486\jsdrv.exe [2014-11-24] () Task: {21109AF4-CD87-43DE-BCAC-5D754546BB29} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-08-11] (globalUpdate) Task: {3AFC1BCB-DF81-46E1-A4FB-1A2F670F63A9} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4 => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.exe [2014-08-11] (iWebar) Task: {44D96133-C53F-46CF-8E5F-179390774BEE} - System32\Tasks\YTAHelper => C:\Program Files (x86)\YTAHelper\YTAHelper.exe [2014-06-15] (Goobzo LTD) Task: {4BBA6643-3770-4ADB-9A73-5FC93F515F36} - System32\Tasks\Yahoo! Search Updater => C:\Users\Kuba\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrsetup.exe [2014-10-28] (Pay By Ads LTD) Task: {53F8F166-C56D-4062-BB51-015770B787E2} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe [2014-12-02] (Goobzo) Task: {621B6E71-DAD1-45FF-9DAD-8B22219B93F1} - System32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2 => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2.exe [2014-08-11] (Object Browser) Task: {6A508869-4DE6-434C-ACDB-A7C06FC076FB} - System32\Tasks\UNELEVATE_1370 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.486\jsdrv.exe [2014-11-24] () Task: {6D6AA47E-413C-4DFB-B24F-847072268C01} - System32\Tasks\SPDriver => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.486\jsdrv.exe [2014-11-24] () Task: {76AE72D9-603B-44C5-B22C-6DEDED81886D} - System32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4 => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.exe [2014-08-11] (Object Browser) Task: {7AF6F753-D989-417E-BB27-1E37EEAFE134} - System32\Tasks\AppCloudUpdater => C:\Users\Kuba\AppData\Roaming\AppCloudUpdater\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {7B9805F7-8EF3-49A0-A714-B04065FF857C} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe Task: {7F715724-02F0-49E1-9FAC-BA7B93AF1F7E} - System32\Tasks\AppSafe => C:\Program Files (x86)\AppSafe\AppSafe.exe Task: {866DA713-6504-4DA3-94E0-3E565DC3A1C1} - System32\Tasks\SPBIW_UpdateTask_Time_323235303931333934342d414a34413734452a786c5a5a => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {86F309FB-169D-47DA-A46A-CF97B7F9E67B} - System32\Tasks\UNELEVATE_462 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.486\jsdrv.exe [2014-11-24] () Task: {8D70FD3A-56C5-4111-A335-1C180DE08BC9} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2 => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2.exe [2014-08-11] (iWebar) Task: {933B8981-251D-4824-8CEC-87A8CA4114AD} - System32\Tasks\Yahoo! Search => C:\Users\Kuba\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe [2014-10-28] (Pay By Ads LTD) Task: {97BDF87A-DCC5-49E2-81A9-32F37B08704D} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-08-11] (globalUpdate) Task: {A4E34F8C-3834-4A6D-B2F7-77CE9DC3F783} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: {A5C58D27-CE98-49F4-A37E-EA806F438A8E} - System32\Tasks\Math Problem Solver CPU => C:\Users\Kuba\AppData\Local\Math Problem Solver\cpu\Solve.exe [2014-01-23] () Task: {AECEF5CE-757A-4ECC-8366-A0EF3C756ACD} - System32\Tasks\YTAUpdate_logon => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: {C8A5E979-23D1-4D94-BD26-C5B23FBB9730} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-6 => C:\Program Files (x86)\iWebar\iWebar-novainstaller.exe [2014-08-11] (iWebar) Task: {D37B20AD-823E-4F50-BF9D-EBAD57607660} - System32\Tasks\Math Problem Solver Optimize => C:\Users\Kuba\AppData\Local\Math Problem Solver\Optimize.exe [2014-01-20] () Task: {DC91D712-4AA3-437F-9BD6-A84EBAFDCEE3} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-7 => C:\Program Files (x86)\iWebar\iWebar-nova.exe [2014-08-11] (iWebar) Task: {FC2DAA8F-87AB-4BA1-B5B7-8AAB194A2763} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-1 => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe [2014-08-11] (iWebar) Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-1.job => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2.job => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2.exe Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.job => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.exe Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.job => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.exe Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-6.job => C:\Program Files (x86)\iWebar\iWebar-novainstaller.exe Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-7.job => C:\Program Files (x86)\iWebar\iWebar-nova.exe Task: C:\Windows\Tasks\AppCloudUpdater.job => C:\Users\Kuba\AppData\Roaming\APPCLO~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\AppSafe.job => C:\Program Files (x86)\AppSafe\AppSafe.exe Task: C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2.job => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2.exe Task: C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.job => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe HKLM-x32\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.486\jsdrv.exe [3224064 2014-11-24] () HKU\S-1-5-21-633783451-1812332228-2872719219-1000\...\Run: [AppSafe] => C:\Program Files (x86)\AppSafe\AppSafe.exe HKU\S-1-5-21-633783451-1812332228-2872719219-1000\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.486\jsdrv.exe [3224064 2014-11-24] () HKU\S-1-5-21-633783451-1812332228-2872719219-1000\...\Run: [Yahoo! Search] => C:\Users\Kuba\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe [533352 2014-10-28] (Pay By Ads LTD) HKU\S-1-5-21-633783451-1812332228-2872719219-1000\...\MountPoints2: {576c0ff0-1279-11e4-964d-485ab603288a} - F:\LGAutoRun.exe AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => C:\PROGRA~2\SupTab\SEARCH~2.DLL File Not Found AppInit_DLLs-x32: c:\progra~2\suptab\search~1.dll => "c:\progra~2\suptab\search~1.dll" File Not Found IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\S-1-5-21-633783451-1812332228-2872719219-1000\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - No Path ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=scpp&ts=1405077162&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939 ShortcutWithArgument: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=scpp&ts=1405077162&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939 ShortcutWithArgument: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=scpp&ts=1405077162&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939 ShortcutWithArgument: C:\Users\Kuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=scpp&ts=1405077162&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939 ShortcutWithArgument: C:\Users\Kuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=scpp&ts=1405077162&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=scpp&ts=1405077162&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939 HKU\S-1-5-21-633783451-1812332228-2872719219-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1404925820&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp4 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1404925820&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1404925820&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp4 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1404925820&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13396&tm=414&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13396&tm=414&src=ds&p={searchTerms} SearchScopes: HKU\S-1-5-21-633783451-1812332228-2872719219-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13396&tm=414&src=ds&p={searchTerms} BHO: iWebar -> {11111111-1111-1111-1111-110311551110} -> C:\Program Files (x86)\iWebar\iWebar-bho64.dll (iWebar) BHO: Sense -> {11111111-1111-1111-1111-110411821192} -> C:\Program Files (x86)\Sense\Sense-bho64.dll (Object Browser) BHO: Linkey -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> C:\Users\Kuba\AppData\Local\Linkey\IEExtension\iedll64.dll (Aztec Media Inc) BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll (Goobzo Ltd.) BHO: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper64.dll (Goobzo Ltd.) BHO-x32: Linkey -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> C:\Users\Kuba\AppData\Local\Linkey\IEEXTE~1\iedll.dll No File BHO-x32: NetCrawl 1.0.0.5 -> {769a91da-209f-47fe-88b9-b0321b0982c8} -> C:\Program Files (x86)\NetCrawl\NetCrawlBHO.dll (NetCrawl) BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll (Goobzo Ltd.) BHO-x32: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper.dll (Goobzo Ltd.) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) C:\Program Files (x86)\globalUpdate C:\ProgramData\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4 C:\ProgramData\TEMP C:\Users\Kuba\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Kuba\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Kuba\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Kuba\Desktop\_\*.lnk C:\Users\Kuba\Downloads\battlelog-web-plugins_*.exe C:\Users\Kuba\Downloads\InstallFlashPlayerUpdate*.exe C:\Users\Kuba\Downloads\UnityWebPlayer*.exe C:\Users\Kuba\Downloads\yet_another_cleaner*.exe C:\Windows\System32\drivers\{0c6ad4fc-d56b-44cb-a06e-debba12bf68a}w64.sys C:\Windows\System32\drivers\{1de0dec0-675e-482f-a756-fd24c6796c8e}w64.sys C:\Windows\System32\drivers\{3c9eada7-386c-4a04-ab1e-4eb122397ced}w64.sys C:\Windows\System32\drivers\{44b76908-31ad-4fdd-90ce-abbdbb78f175}w64.sys C:\Windows\System32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}w64.sys C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64.sys C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys C:\Windows\System32\drivers\{9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64.sys C:\Windows\System32\drivers\{a00759f4-8f6e-4f04-880d-18a7306588c3}w64.sys C:\Windows\System32\drivers\{b66d62b0-ebea-42c8-88c7-71cdab32919e}w64.sys C:\Windows\System32\drivers\{b7f87806-4a32-46e7-ad9b-12f73fb810a9}w64.sys C:\Windows\System32\drivers\{cb987b80-b481-4623-9e86-1b830e33479a}w64.sys C:\Windows\System32\drivers\{cfbbf934-a234-4282-8ef3-310abb84c3e4}w64.sys C:\Windows\System32\drivers\{df8d93ab-56ab-414d-b711-87b0e2749bbd}w64.sys C:\Windows\System32\drivers\{f916f162-d4e9-413b-95d2-589769dc98ff}w64.sys CMD: C:\Windows\SysWOW64\regsv32.exe /u "C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll" CMD: C:\Windows\SysWOW64\regsv32.exe /u C:\ProgramData\YTAHelper\YTAHelper.dll CMD: netsh winsock reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart systemu - opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: AppCloudUpdater, iWebar, Linkey, Math Problem Solver, My Program version 1.5, NetCrawl, Remote Desktop Access, Sense, Settings Manager, Shopper-Pro, WindowsMangerProtect20.0.0.502, Yahoo! Search. - Stare wersje: Adobe Flash Player 11, Java™ 6 Update 17. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj NetCrawl (o ile będzie nadal widoczny po w/w deinstalacjach) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Żadne z narzędzi nie skanuje konfiguracji Opery - zweryfkuj samodzielnie w rozszrzeniach czy są jakieś podejrzane dodatki, a znalezione odinstaluj. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .
  8. picasso
    Czarny, następnym razem załóż własny temat. Jeśli pijesz do G Data, to w tym temacie wyszło na jaw, że problem otwierania SysWOW64 tworzy poniższy wpis: KLIK. HKLM-x32\...\Run: [G Data ASM] - C:\Program Files (x86)\G Data\InternetSecurity\DelayLoader\AutorunDelayLoader.exe [472016 2013-02-25] (G Data Software AG)
  9. picasso

    KnownDLL failed

    picasso odpowiedział(a) na Dombear temat w Windows 7

    Końcowe uwagi: - W skanie było widać zbędnik McAfee Security Scan. Odinstaluj. - Przez SHIFT+DEL (omija Kosz) usuń folder C:\FRST oraz używane materiały na pendrive. Temat rozwiązany. Zamykam.
  10. picasso
    Uzupełniłeś dane, więc mogę przejść do analizy: Zaprezentuj raport z narzędzia - w czym (ścieżka dostępu) jest widziany rootkit i jak narzędzie go nazywa. O jakim ukrytym pliku mowa? Wyjaśnij o co Ci chodzi. Dodatkowo objaśnij "15 folderów Appdata" - czy przypadkim nie chodzi o to: KLIK? Jeśli chodzi o dostarczone logi: - Widzę że stosowałeś jak szalony rozmaite oprogramowanie do skanów i resetów. HijackThis: zapomnij o tym narzędziu. Masz system 64-bit, HijackThis to program 32-bit, nie ma żadnej zgodności z systemem 64-bit (brak dostępu do natywnie 64-bitowej wersji) i pokazuje głupoty (fałszywe "file missing"). Próbując coś nim "naprawiać" można uszkodzić system. - Nie ma żadnych oznak czynnej infekcji. Do korekty tylko sztuczne obiekty dorobione przez ComboFix, odpadki określonych skanerów oraz usunięcie folderu C:\Recycled (taki folder Kosza nie powinien występować na Windows 7). Otwórz Notatnik i wklej w nim: CloseProcesses: U3 catchme; \??\C:\ComboFix\catchme.sys [X] HKU\S-1-5-21-2376877967-2081922626-2068000606-1000\...\Run: [HijackThis startup scan] => C:\Users\Mariusz\Desktop\HijackThis\HijackThis.exe [1306624 2011-04-11] (Trend Micro Inc.) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2376877967-2081922626-2068000606-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2376877967-2081922626-2068000606-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe Handler: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\system32\urlmon.dll (Microsoft Corporation) C:\Recycled C:\ProgramData\Spybot - Search & Destroy C:\Windows\system32\Drivers\etc\hosts.*.backup C:\Windows\system32\Drivers\is-GJ4SP.tmp C:\Windows\system32\Drivers\is-HRU1D.tmp Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .
  11. picasso
    W systemie występuje poprawna kopia pliku disk.sys mająca identyczną sumę kontrolną MD5 jak w moim XP SP3 PL i tę kopię "przesunę" do głównego wystąpienia w drivers. Przy okazji kolejna runda usuwania szczątków odinstalowanych aplikacji. 1. Odinstalowałeś Nero 9 Essentials, wpis nadal widoczny na liście zainstalowanych. Posłuż się tym samym narzędziem które użyłeś do likwidacji Java: KLIK. 2. Podmiana disk.sys i usunięcie pozostałych szczątków. Otwórz Notatnik i wklej w nim: Replace: C:\WINDOWS\ServicePackFiles\i386\disk.sys C:\WINDOWS\system32\drivers\disk.sys R1 cdrbsdrv; C:\WINDOWS\system32\Drivers\cdrbsdrv.sys [38944 2010-03-07] (B.H.A Corporation) S3 mcdbus; C:\WINDOWS\System32\DRIVERS\mcdbus.sys [116736 2009-02-24] (MagicISO, Inc.) [File not signed] S3 CrystalSysInfo; \??\C:\Program Files\MediaCoder\SysInfo.sys [X] S3 Nero BackItUp Scheduler 4.0; C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe [X] S3 SgtSch2Svc; "C:\Program Files\Common Files\Seagate\Schedule2\schedul2.exe" [X] ShortcutWithArgument: C:\Documents and Settings\macio\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC ShortcutWithArgument: C:\Documents and Settings\macio\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC ShortcutWithArgument: C:\Documents and Settings\macio\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC ShortcutWithArgument: C:\Documents and Settings\macio\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera (2).lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC ShortcutWithArgument: C:\Documents and Settings\macio\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC ShortcutWithArgument: C:\Documents and Settings\macio\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC C:\Documents and Settings\All Users\Dane aplikacji\Autodesk C:\Documents and Settings\All Users\Dane aplikacji\GG C:\Documents and Settings\All Users\Dane aplikacji\muzo C:\Documents and Settings\All Users\Dane aplikacji\Nero C:\Documents and Settings\All Users\Dane aplikacji\Seagate C:\Documents and Settings\All Users\Menu Start\Programy\FotoFerst C:\Documents and Settings\All Users\Menu Start\Programy\PDFCreator Toolbar C:\Documents and Settings\macio\Dane aplikacji\Ahead C:\Documents and Settings\macio\Dane aplikacji\Autodesk C:\Documents and Settings\macio\Dane aplikacji\Broad Intelligence C:\Documents and Settings\macio\Dane aplikacji\Cool Record Edit Pro C:\Documents and Settings\macio\Dane aplikacji\FileZilla C:\Documents and Settings\macio\Dane aplikacji\FTPRush C:\Documents and Settings\macio\Dane aplikacji\GlobalSCAPE C:\Documents and Settings\macio\Dane aplikacji\MusicBee C:\Documents and Settings\macio\Dane aplikacji\muzo C:\Documents and Settings\macio\Dane aplikacji\Nero C:\Documents and Settings\macio\Dane aplikacji\Pegasys Inc C:\Documents and Settings\macio\Dane aplikacji\UpdateStar Drivers C:\Documents and Settings\macio\Dane aplikacji\XBMC C:\Documents and Settings\macio\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Avidemux 2.5.lnk C:\Documents and Settings\macio\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Foxit Reader 5.1.lnk C:\Documents and Settings\macio\Menu Start\Gadu-Gadu.lnk C:\Documents and Settings\macio\Menu Start\Google Desktop.lnk C:\Documents and Settings\macio\Menu Start\Ignite C:\Documents and Settings\macio\Menu Start\Uninstall Programs.lnk C:\Documents and Settings\macio\Menu Start\Programy\Gadu-Gadu C:\Documents and Settings\macio\Menu Start\Programy\Superstar Racing C:\Documents and Settings\macio\Menu Start\Programy\PULPIT\pulpit2\*.lnk C:\Documents and Settings\macio\SendTo\AVS Mobile Uploader.lnk C:\Documents and Settings\macio\SendTo\AVS Video Burner.lnk C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Autodesk C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\GlobalSCAPE C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\LocalLow C:\Program Files\GUMA9.tmp C:\Program Files\settings.dat C:\Program Files\ADINA C:\Program Files\Alldj_Video_Converter C:\Program Files\Ashampoo C:\Program Files\AutoCAD 2008 C:\Program Files\Borland C:\Program Files\CGArchive.com C:\Program Files\Common Files\Borland Shared C:\Program Files\Common Files\Nero C:\Program Files\Ekierowca C:\Program Files\Firebird C:\Program Files\FotoLab C:\Program Files\FotoSmart C:\Program Files\Foxit Software C:\Program Files\free-downloads.net C:\Program Files\GetRight C:\Program Files\GPLGS C:\Program Files\Grisoft C:\Program Files\iPod C:\Program Files\MagicDisc C:\Program Files\MTVVideoConverter_Ver1.12.11.7 C:\Program Files\muzo C:\Program Files\Nowe Gadu-Gadu C:\Program Files\OpenOffice.org 3 C:\Program Files\PDFCreator Toolbar C:\Program Files\River C:\Program Files\Seagate C:\Program Files\SkanerOnline C:\Program Files\Spybot - Search & Destroy C:\Program Files\Tlen.pl C:\Program Files\Ufoto C:\Program Files\WinRAR C:\Program Files\ZAR C:\WINDOWS\system32\Drivers\cdrbsdrv.sys C:\WINDOWS\System32\DRIVERS\mcdbus.sys E:\Program Files\MagicDisc Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Zaprezentuj wynikowy fixlog.txt. 3. Jeśli po w/w działaniach nie będzie żadnych wyraźnych zmian: już tu było wiele obcinane ze startu i nie wiem czy da się więcej bez ruszenia Avast (najbardziej rozbudowany układ serwisów z programów producentów trzecich). W przypadku braku rezultatów na próbę go odinstaluj, by sprawdzić jakie to ma skutki dla startu systemu. .
  12. picasso
    Zmienne skorygowane, więc dokończ pozostałe puste wpisy, choć nadal mnie niepokoi ich "wygląd". Otwórz Notatnik i wklej w nim: ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File BHO-x32: RealPlayer Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll No File BHO-x32: PDF Architect Helper -> {3A2D5EBA-F86D-4BD3-A177-019765996711} -> C:\Program Files (x86)\PDF Architect\PDFIEHelper.dll No File BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File BHO-x32: Pomocnik logowania za pomocą identyfikatora Windows Live -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll No File BHO-x32: Windows Live Messenger Companion Helper -> {9FDDE16B-836F-4806-AB1F-1455CBEFF289} -> C:\Program Files (x86)\Windows Live\Companion\companioncore.dll No File BHO-x32: Skype add-on for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll No File Toolbar: HKLM-x32 - PDF Architect Toolbar - {25A3A431-30BB-47C8-AD6A-E1063801134F} - C:\Program Files (x86)\PDF Architect\PDFIEPlugin.dll No File Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll No File ShellExecuteHooks-x32: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File [ ] FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.30514.0\npctrl.dll No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Jak mówiłam: Problemem może być też Avast per se. Na razie wyłącz zbędne wpisy ze startu i zobaczymy czy będzie jakaś poprawa. W Autoruns odznacz poniższe pozycje (by widzieć niektóre wpisy, należy włączyć pokazywanie wpisów Microsoftu): - W karcie Logon: Adobe ARM, GrooveMonitor, TkBellExe, Toshiba Registration, Toshiba TEMPRO, ToshibaServiceStation, TosNC, TosReelTimeMonitor, WinampAgent, Windows Mobile Device Center - W karcie Services: AdobeARMservice, LMS, SkypeUpdate, SVPWUTIL, TemproMonitoringService, TMachInfo, WinDefend Zresetuj system.
  13. picasso
    Jak mówię, to fałszywe alarmy i należy pliki wykluczyć z detekcji. Jeśli chodzi o ich "usuwanie": ASUS FancyStart to aplikacja do modyfikowania ekranu startowego ASUS. To jest owszem firmowy zbędnik i jeśli z tego nie korzystasz, możesz się całkowicie tego pozbyć po prostu poprawnie deinstalując cały program (do deinstalacji wymagane obiekty z Installer które dręczy Avast). Poboczne akcje czyszczące pomyślnie wykonane i w tym zakresie kończymy. Zastosuj DelFix, wyczyść folder Przywracania systemu oraz zainstaluj najnowszą wersję Java (o ile potrzebna): KLIK.
  14. picasso
    Wpisy infekcji niby pomyślnie przetworzone, a one wróciły = infekcja jest nadal czynna. Powtórka: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\McAfee HKLM Group Policy restriction on software: C:\Program Files\ESET HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Lavasoft HKU\S-1-5-21-300751917-3985659210-3560172915-1003\...\Run: [EucubEpivn] => regsvr32.exe "C:\ProgramData\EucubEpivn\EucubEpivn.dat" FF Homepage: hxxp://www.gazeta.pl/0,0.html C:\ProgramData\EucubEpivn C:\Program Files\Java C:\Program Files\Windows Live Toolbar Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run File: C:\Program Files\ThinkPad\Utilities\BTVLOGEX.DLL Folder: C:\Program Files\Common Files\Nokia\MPlatform EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart - opuść Tryb awaryjny. Powstanie kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. - Adobe Flash: czy chodzi cały czas o ten efekt "jakby zaczynał coś wczytywać ale nigdy nie rusza"? - Silverlight: co się pokazuje? Na razie to zostawiam, bo w pierwszej kolejności musi zostać usunięta infekcja, nie wiadomo jaki ona ma wpływ i musi być czyste pole do rozważań.
  15. picasso
    Wymagane poprawki: 1. Nie ma żadnych oznak wykonania tego działania i Firefox jest potwornie zaśmiecony adware. Do wykonania. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 f1f78e38; "C:\Windows\system32\rundll32.exe" "c:\progra~3\winspeed\WinSpeedSvc.dll",service SearchScopes: HKLM-x32 -> DefaultScope value is missing. BHO: dealster -> {8a50050f-c1c8-4dae-9140-8934d58c8872} -> C:\ProgramData\dealster\9mdo1sKJkyDT8i.x64.dll No File BHO-x32: dealster -> {8a50050f-c1c8-4dae-9140-8934d58c8872} -> C:\ProgramData\dealster\9mdo1sKJkyDT8i.dll No File C:\Program Files\Google C:\Program Files\Opera x64 C:\Program Files (x86)\Alcohol Soft C:\Program Files (x86)\dealster C:\Program Files (x86)\DiscouunntuLocator C:\Program Files (x86)\DownloadManager C:\Program Files (x86)\Google C:\Program Files (x86)\GreenTree Applications C:\Program Files (x86)\Java C:\Program Files (x86)\McAfee Security Scan C:\Program Files (x86)\OpenOffice.org 2.4 C:\Program Files (x86)\PriceDoWNlooadeer C:\Program Files (x86)\shopndrop C:\Program Files (x86)\SmarttCompAre C:\Program Files (x86)\Temp C:\ProgramData\374311380 C:\ProgramData\Ashampoo C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\GoldenCoupon C:\ProgramData\Google C:\ProgramData\Logs C:\ProgramData\McAfee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 2.4 C:\ProgramData\NortonInstaller C:\ProgramData\OpenFM C:\ProgramData\Sun C:\ProgramData\Symantec C:\ProgramData\Temp C:\Users\Karolina\AppData\Local\ashampoo C:\Users\Karolina\AppData\Local\avgchrome C:\Users\Karolina\AppData\Local\cache C:\Users\Karolina\AppData\Local\ChomikBox C:\Users\Karolina\AppData\Local\Chromium C:\Users\Karolina\AppData\Local\CrashDumps C:\Users\Karolina\AppData\Local\Facebook C:\Users\Karolina\AppData\Local\Opera C:\Users\Karolina\AppData\LocalLow\BBrroWse2seaveo C:\Users\Karolina\AppData\LocalLow\Broiwwsey2esauve C:\Users\Karolina\AppData\LocalLow\Browyse2Saave C:\Users\Karolina\AppData\LocalLow\SSEyaarch-NNewTaab C:\Users\Karolina\AppData\LocalLow\Sun C:\Users\Karolina\AppData\LocalLow\Temp C:\Users\Karolina\AppData\Roaming\*.txt C:\Users\Karolina\AppData\Roaming\temp.ini C:\Users\Karolina\AppData\Roaming\Apple Computer C:\Users\Karolina\AppData\Roaming\Ashampoo C:\Users\Karolina\AppData\Roaming\ASUS WebStorage C:\Users\Karolina\AppData\Roaming\Gadu-Gadu 10 C:\Users\Karolina\AppData\Roaming\Google C:\Users\Karolina\AppData\Roaming\OpenFM C:\Users\Karolina\AppData\Roaming\OpenOffice.org2 C:\Users\Karolina\AppData\Roaming\Opera C:\Users\Karolina\AppData\Roaming\TeamViewer C:\Users\Karolina\Desktop\Programy\Search.lnk C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Administrator\Desktop\Żulionerzy NG.lnk Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webget /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{f1f78e38} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d C:\Windows\system32\nvinitx.dll /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d C:\Windows\SysWOW64\nvinit.dll /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .
  16. picasso
    Tematy skleiłam. Czy wykonałeś Fix? Czy obecnie synchronizacja jest włączona? Jeśli tak, to za szybko została włączona ponownie, za mało czasu zostawione, by wyczyścić dane z serwera. Usuń ten adres adware z otwierania: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres astromenda.com. Po prostu sprawdź koncepcję z antywirusem, bo tu nic się na razie nie nasuwa innego jako "podejrzane".
  17. picasso
    1. W AdwCleaner zastosuj sekwencję Szukaj + Usuń. Log nie jest mi już potrzebny. 2. Usuń pobrane narzędzia z folderów D:\Download + D:\Programy\Na awarie z kompem. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.
  18. picasso
    1. Jeśli chodzi o urządzenie: Obecnie na urządzeniu wszystkie składniki to obiekty infekcji: ################## | I:\ - Removable drive (FAT32) |[/b] [08/12/2014 - 11:45:14 | A | 2 Ko] - I:\Removable Disk (8GB).lnk [08/12/2014 - 11:45:14 | RASH | 3 Ko] - I:\desktop.ini [08/12/2014 - 11:45:14 | RASH | 248 Ko] - I:\Thumbs.db [05/12/2014 - 08:09:58 | SHD] - I:\ Ta ostatnia pozycja, czyli folder "bez nazwy": jak rozumiem dane już stamtąd wyłowiłeś, w związku z tym można usunąć wszystko z urządzenia przez SHIFT+DEL (omija Kosz). 2. Jeśli chodzi o system: Brak oznak infekcji. Przyczyna opisywanego zachowania jest więc inna, może ArcaBit (antywirusy zawsze są podejrzane), może inne procesy pracujące w tle. Widzę że sporo już wyłączyłeś ze startu via Menedżer zadań Windows 8 oraz msconfig: W msconfig mógłbyś jeszcze odznaczyć usługi LiveUpdateSvc, NvNetworkService, NvStreamSvc (te pozycje od nVidia niby były już wyłączane, ale obecnie znów są w stanie "Uruchomiono"). I podejrzewam tu głównie ArcaBit, w Dzienniku zdarzeń są błędy zawieszenia jednej z usług i inne: System errors: ============= Error: (12/08/2014 07:35:54 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi ABMainSV. Application errors: ================== Error: (12/07/2014 07:23:39 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: arcamainsv.exe, wersja: 1.0.5441.25867, sygnatura czasowa: 0x5473311b Nazwa modułu powodującego błąd: ns.dll, wersja: 2014.0.0.255, sygnatura czasowa: 0x545b3878 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000000000002889a Identyfikator procesu powodującego błąd: 0x60 Godzina uruchomienia aplikacji powodującej błąd: 0xarcamainsv.exe0 Ścieżka aplikacji powodującej błąd: arcamainsv.exe1 Ścieżka modułu powodującego błąd: arcamainsv.exe2 Identyfikator raportu: arcamainsv.exe3 Pełna nazwa pakietu powodującego błąd: arcamainsv.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: arcamainsv.exe5 PS. I jeszcze wykonaj kosmetykę (czyszczenie wpisów pustych i Tempów). Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF Plugin: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelogx64.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelog.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe R3 cpuz137; \??\C:\Users\Dawid\AppData\Local\Temp\cpuz137\cpuz137_x64.sys [X] S2 LMIInfo; \??\C:\Program Files (x86)\LogMeIn\x64\RaInfo.sys [X] S4 LMIRfsClientNP; No ImagePath S3 MBfilt; \SystemRoot\system32\drivers\MBfilt64.sys [X] Task: {B50B1E51-83E1-4BDF-B403-62E44A1CD2D0} - System32\Tasks\Driver Booster Beta SkipUAC (Dawid) => C:\Program Files (x86)\IObit\Driver Booster Beta\DriverBooster.exe C:\Program Files (x86)\Klip Pal C:\Users\Dawid\AppData\Local\CrashRpt C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\y7mfx2lg.default\extensions.ini C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\y7mfx2lg.default\user.js Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Reader Speed Launcher" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "LogMeIn GUI" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "LogMeIn Hamachi Ui" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v Gameiki /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v fabulous_08181036.lnk /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v RGSC /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Facebook Update" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v fabulous_08181036 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Advanced SystemCare 7" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v REPORT /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - przedstaw go.
  19. picasso
    Wszystko zrobione. Kończymy: 1. Skasuj ręcznie folder C:\MATS oraz pobrane narzędzia z folderu Dokumenty. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.
  20. picasso
    Proszę dostosuj się do zasad działu w kwestii obowiązujących raportów: KLIK. OTL to przestarzały program, logi weryfikowane tylko pobocznie. Proszę dostarcz logi z FRST - wstaw je jako załączniki forum, by oryginalny nie przetwarzany przez serwisy wklejkowe format został zachowany. EDIT: Tu nie raczyłeś podać logów zgodnych z zasadami, ale na dobrychprogramach (KLIK) wręcz przeciwnie? I zakładanie tematu równocześnie na dwóch forach (moje zasady wyraźnie o tym mówią) to nie tędy droga - tylko sobie zaszkodzić możesz (podanie sprzecznych instrukcji). Nie będę przetwarzać tematu rówolegle, musisz zdecydować od kogo chcesz otrzymać pomoc. Poziomy pomocy nie są tożsame. EDIT2: Decyzję podjąłeś. Temat zamykam. Dla Twojej informacji: w systemie była infekcja Sathurbot z przyległościami.
  21. picasso
    Nie podałeś skanu MBAM, by można było ocenić co to były za wyniki te "300 pozycji", ale ja osobiście wątpię, że były to "wirusy" - przypuszczalnie chodziło o typ PUP/adware (czyli reklamodawcy / sponsorzy), gdyż pośrednie ślady w logu to sugerują. Nic tu jednak nie wskazuje na problem infekcji jako przyczyny zgłaszanych kłopotów. Temat przenoszę do działu Windows. W spoilerze kosmetyka, usunięcie szczątkowych wpisów i czyszczenie Temp - to nie ma związku z problemami: 1. Dziennik zdarzeń: System errors: ============= Error: (12/06/2014 07:23:35 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 z powodu następującego błędu: %%1053 Error: (12/06/2014 07:23:35 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0. Powtarza się powyższy zestaw błędów. Rozpocznij od tego tematu: KLIK. Application errors: ================== Error: (12/08/2014 08:46:43 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 A to drobnostka, ale możesz użyć narzędzie Fix it usuwające błąd: KLIK. 2. Wyłącz zbędne wpisy ze startu. W Autoruns odfajkuj poniżej wyliczone pozycje i zresetuj system. - W karcie Logon: Adobe ARM, IAStorIcon, iTunesHelper, Skype, Spotify, Spotify Web Helper, SunJavaUpdateSched - W karcie Services: AdobeARMservice, c2cautoupdatesvc, c2cpnrsvc, igfxCUIService1.0.0.0 *, SkypeUpdate, WinDefend (by widzieć ten ostatni, należy włączyć pokazywanie wpisów Microsoftu) - w karcie Scheduled Tasks wyłącz obiekty Adobe, Google i SlimDrivers. 3. * Dodatkowy aspekt związany z powyższą usługą. Z treści na tamtym forum oraz układu zainstalowanych aplikacji widzianych tu w raporcie wynika, że masz dwie karty graficzne. Zintegrowany Intel ma w tle uruchomione wszystkie składniki (sterownik + usługę pomocniczą), usługa igfxCUIService1.0.0.0 na dodatek jest związana z jakimś potwornie starym plikiem datowanym na prawie 15 lat wstecz: ==================== Installed Programs ====================== Intel® Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 10.18.10.3960 - Intel Corporation) DRV:64bit: - [2014-10-03 17:36:38 | 004,753,336 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\igdkmd64.sys -- (igfx) SRV:64bit: - [2000-01-01 01:00:00 | 000,328,296 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Windows\SysNative\igfxCUIService.exe -- (igfxCUIService1.0.0.0) Proponuję zdeaktywować zintegrowaną kartę Intel na poziomie BIOS, odinstalować Intel® Processor Graphics. 4. W przypadku braku rezultatów po powyższych działaniach: zwraca tu również uwagę instalacja Avast 9.0.2018 - inwazyjny program (jak każdy antywirus obecnie) i nie jest to najnowsza wersja. Changelog Avast: KLIK. W ramach testu całkowicie odinstaluj, po deinstacji nie instaluj żadnego innego antywirusa czy najnowszej wersji Avast, dopóki nie sprawdzisz jak system działa bez inwazyjnych sterowników. PS. Wyszukiwanie aktualizacji za pomocą automatów typu SlimDrivers to więcej może szkody niż pożytku przynieść. Sterowniki powinny być aktualizowane precyzyjnie ręcznie, z automatu możesz się dorobić niepoprawnych / zbędnych wersji. .
  22. picasso
    Nie za bardzo widzę tu szerokie pole do popisu, obiekty startowe już są okrojone. Możesz jeszcze wyłączyć niektóre usługi Acer i Skype, co obetnie kilka procesów z tła. W Autoruns w karcie Services wyłącz GREGService, Live Updater Service, RS_Service, SkypeUpdate i zresetuj system. Windows 7 ma wbudowane natywne zabezpieczenie zapobiegające wykonaniu autorun.inf z USB: KLIK. TFC owszem możesz użyć, by usunąć nowe obiekty, bo czyszczenie Tempów już tu było na samym początku (komenda EmptyTemp: w skrypcie FRST - robi ciut więcej niż stary TFC). Możesz oczywiście już usunąć log Delfix z dysku.
  23. picasso
    Mnie chodzi o test jak system zachowuje się bez tej konkretnej instalacji COMODO (i bez wstawiania zamienników zbyt raptownie), bo aplikacja może wyczyniać różne rzeczy, np. KLIK. Po przekonaniu się czy COMODO ma coś do rzeczy wstawisz sobie innego firewalla lub przywrócisz COMODO (jeśli nie okaże się powiązany). Fix wykonany. W zakresie czyszczenia systemu to już koniec. Zastosuj DelFix i wyczyść foldery Przywracania systemu (o ile jakieś powstały, bo na początku zero punktów): KLIK.
  24. picasso
    Wszystkie logi są archiwizowane w C:\FRST\Logs i tam powinien być starszy Fixlog_data_czas.txt. Ale już to sobie darujmy, on musiał się wykonać, bo w drugim przeszło gładko usuwanie plików Dziennika zdarzeń wstawionych przez Dr. Web. Na zakończenie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.
  25. picasso
    Fix wykonany, natomiast jeśli chodzio o wyniki AdwCleaner: Przed użyciem AdwCleaner odinstaluj Skype Click to Call w poprawny sposób, bo AdwCleaner go uszkodzi, a nie mam czasu dokładnie przewertować raportu w poszukiwaniu wszystkich kluczy tej instalacji, by je wykluczyć z czyszczenia AdwCleaner. Następnie w AdwCleaner zastosuj sekwencję Szukaj + Usuń. Po tym zainstaluj ponownie Skype Click to Call, o ile potrzebny: KLIK.
×
×
  • Dodaj nową pozycję...