picasso

Raport FRST potwierdza, zniknęły masowe odczyty braku podpisów cyfrowych. Teraz możemy się zabawić w kosmetykę - wpisy śmieciowe do likwidacji. Otwórz Notatnik i wklej w nim: CloseProcesses: Reg: reg delete HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\gopher /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IAAnotif" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Foxy Secure" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Protection" /f CMD: type C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\pt5exhs9.default\user.js StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-360347071-2745981148-392569559-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://de.search.yahoo.com/search?p={searchTerms}&fr=vc_trans_8140&type=foxysecurity SearchScopes: HKU\S-1-5-21-360347071-2745981148-392569559-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://de.search.yahoo.com/search?p={searchTerms}&fr=vc_trans_8140&type=foxysecurity SearchScopes: HKU\S-1-5-21-360347071-2745981148-392569559-1000 -> {22128D7B-B49C-49EE-90CB-C8EF5636E836} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=201117&p={searchTerms} FF Keyword.URL: https://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=201117&p= FF SearchPlugin: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\pt5exhs9.default\searchplugins\yahoo_ff.xml EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Przedstaw wynikowy fixlog.txt. Akcja zbędna. Ta łata robi aktualizację sterowników, która została tu już wykonana: vs. 2014-11-27 19:59 - 2009-12-17 10:42 - 00538136 _____ (Intel Corporation) C:\Windows\system32\Drivers\iaStor.sys Widocznie rzeczywiście brak zgodności, strzelałam na oko (brak danych o chipsecie), a nie potrafiłam też wyszukać u nich na stronie wersji podobnej do tej ze strony HP. Pro forma możesz jeszcze sprawdzić co powie Intel Chipset Identification Utility, czy zaserwuje jakieś konkretne linki.

No tak, ale wg dołączonego zrzutu ekranu Ty wklejasz w oknie cmd ze schowka całkiem inne rzeczy, czyli treść przeklejonego rekordu Dziennika zdarzeń! W oknie masz wkleić tylko i wyłącznie tę linię i ENTER: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt W moim poście z prawokliku skopiuj tę frazę, następnie w oknie cmd z prawowoklik opcja wklej (ma zostać wklejona powyższa fraza, jeśli wkleja się coś innego, schowek nie zapamiętał skopiowanych danych). Z czym konkretnie jest problem w Autoruns? I zrób nowe logi z FRST mające obrazować zmiany. .

To nie jest Fixlog z pierwszego podejścia Fix tylko już trzecie uruchomienie: Ran by Kamil at 2014-11-27 18:38:32 Run:3 Skryptów nie wolno powtarzać, są jednorazowe, nie przetworzą po raz drugi tego samego. Poproszę o pierwszy plik z serii - czyli najstraszy zarchiwizowany plik o nazwie C:\FRST\Logs\Fixlog_data_czas.txt.

Akcja pomyślnie wykonana. Poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Temp C:\ProgramData\ChampionDeals C:\ProgramData\CLicKForSalee C:\ProgramData\FlashCoupoon C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\QeuueeenCoupon C:\ProgramData\topDeeal C:\Users\TDK\AppData\Local\CrashDumps C:\Users\TDK\AppData\Local\CrashRpt C:\Users\TDK\AppData\LocalLow\Temp C:\Users\TDK\AppData\LocalLow\{3C848861-A7B8-7675-A37E-503FD4A18E63} C:\Users\TDK\AppData\LocalLow\{5CA171C3-21BB-C492-5495-4A9B432D8E51} C:\Users\TDK\AppData\LocalLow\{A0CAF048-28BF-6B2C-D6BE-F0F69807432C} C:\Users\TDK\AppData\LocalLow\{ED3BE0F8-7644-86D0-A181-EC07F68D55CC} C:\Users\TDK\AppData\Roaming\*.txt C:\Users\TDK\AppData\Roaming\appdataFr2.bin Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner . .

Fix niby wykonany, tylko że jakoby "świeże logi" FRST pokazują wszystko to co było wcześniej i absolutnie żadnych zmian, tak jakby były zrobione przed fixem lub coś odkręciło dokumentnie wszystko. Proszę zresetuj komputer i zrób nowe logi FRST.

Adware przekonwertowało przeglądarkę Google Chrome z bezpieczniejszej wersji wersji stabilnej do nieszczelnej "development" i wymagana kompletna reinstalacja przeglądarki. Dodatkowy problem: mnóstwo usług / sterowników Windows jest oznaczonych jako niepodpisane cyfrowo, co oznacza uszkodzenie bazy Usług kryptograficznych. Akcja: 1. Przez Panel sterowania odinstaluj zdefektowane Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki, a resztę dokończy mój skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172 HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms} HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172 HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172 SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> {F6B87845-9547-487B-A2CC-58612A44B1AA} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=55E4012F-A795-465B-BE01-DD344BFB784E&apn_sauid=D4FD2967-5691-4C1D-BEB7-2E311A5C3E58 SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> {FB2B751E-4CEE-4725-B4B4-9CDA1A263192} URL = http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=343 Toolbar: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File S3 clwvd; system32\DRIVERS\clwvd.sys [X] S3 DKbFltr; system32\DRIVERS\DKbFltr.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] AlternateDataStreams: C:\WINDOWS\Temp:temp C:\Documents and Settings\All Users\Dane aplikacji\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\Documents and Settings\All Users\Dane aplikacji\137f477d710f7352 C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\HitmanPro C:\Documents and Settings\All Users\Dane aplikacji\install_clap C:\Documents and Settings\All Users\Dane aplikacji\Temp C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\Fabisiak\ltvn.exe C:\Documents and Settings\Fabisiak\Dane aplikacji\AVG C:\Documents and Settings\Fabisiak\Dane aplikacji\DVDVideoSoft C:\Documents and Settings\Fabisiak\Dane aplikacji\Mozilla C:\Documents and Settings\Fabisiak\Dane aplikacji\omiga-plus C:\Documents and Settings\Fabisiak\Dane aplikacji\Opera Software C:\Documents and Settings\Fabisiak\Dane aplikacji\RHEng C:\Documents and Settings\Fabisiak\Dane aplikacji\Sudeki C:\Documents and Settings\Fabisiak\Dane aplikacji\Systweak C:\Documents and Settings\Fabisiak\Menu Start\FoxTab FLV Player C:\Documents and Settings\Fabisiak\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\LocalService\Dane aplikacji\AVG C:\Program Files\Google C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\roboot.exe Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSConfig" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f reg: reg delete "HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Specjalny skrót IE jest uszkodzony: Shortcut: C:\Documents and Settings\Fabisiak\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\Fabisiak\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Uruchom narzędzie Fix It 50202 (zaznacz tryb agresywny): KLIK. 5. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 6. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + zaległy GMER (przed uruchomieniem należy odinstalować sterownik SPTD). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .

Nie szkodzi, kontynuuj. Przewidziałam to i resztki tej instalacji i tak adresuje skrypt do FRST.

Zaznacz pole o tej nazwie w oknie programu > Scan > dostarcz brakujący log. I brakuje pliku fixlog.txt, który powstał podczas przetwarzania skryptu - uzupełnij.

Są tu różne czynne elementy adware - jeśli chodzi o Google Chrome to siedzi w nim adware shopndrop, a dodatkowo adware przekonwertowało typ przeglądarki z wersji "stabilnej" do "development" i będzie konieczna kompleksowa reinstalacja przeglądarki. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware LiveSupport, Optimizer Pro v3.2, SharkManCoupon oraz Google Chrome. Przy deinstalacji Google Chrome zaznacz Usuń także dane przeglądarki, a resztę doczyści mój skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 70e6ca8c; c:\program files (x86)\Optimizer Pro\OptProCrashSvc.dll [186496 2014-03-29] () HKU\S-1-5-21-2617819357-3465552758-715086167-1000\...\Run: [Optimizer Pro] => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe [135160 2014-01-28] (PC Utilities Software Limited) AppInit_DLLs: C:\Program Files (x86)\OPTIMI~1\OPTPRO~2.DLL => C:\Program Files (x86)\OPTIMI~1\OPTPRO~2.DLL File Not Found AppInit_DLLs-x32: c:\program files (x86)\optimi~1\optpro~1.dll => c:\program files (x86)\Optimizer Pro\OptProCrash.dll [2961368 2014-03-29] () HKU\S-1-5-21-2617819357-3465552758-715086167-1000\...\MountPoints2: {ec3030c5-b39f-11e3-a194-806e6f6e6963} - D:\Run.exe HKU\S-1-5-21-2617819357-3465552758-715086167-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p BHO: LeuckyCoupOn -> {7F4D3423-9FF0-17DF-B7DF-8E3D4DD93CA9} -> C:\ProgramData\LeuckyCoupOn\eaUnk.x64.dll () BHO: LucKyShoopper -> {ED3BE0F8-7644-86D0-A181-EC07F68D55CC} -> C:\ProgramData\LucKyShoopper\UXo.x64.dll () BHO-x32: LeuckyCoupOn -> {7F4D3423-9FF0-17DF-B7DF-8E3D4DD93CA9} -> C:\ProgramData\LeuckyCoupOn\eaUnk.dll () CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\S-1-5-21-2617819357-3465552758-715086167-1000\SOFTWARE\Policies\Google: Policy restriction C:\program files (x86)\Optimizer Pro C:\ProgramData\ec691b4734542d85 C:\ProgramData\LeuckyCoupOn C:\ProgramData\LucKyShoopper C:\ProgramData\SharkManCoupon C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LiveSupport C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2 C:\Users\TDK\AppData\Local\Google Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\LiveSupport_is1 /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Optimizer Pro_is1" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\TDK\AppData\Local CMD: dir /a C:\Users\TDK\AppData\LocalLow CMD: dir /a C:\Users\TDK\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Nie tak szybko, wymagana weryfikacja i to nie koniec działań. Dostarcz:

Obecnie jest bardzo niezdrowa sytuacja, pracują w tle dwa programy antywirusowe, czyli Microsoft Security Essentials oraz AVG. Niezależnie od innych czynników i tak jeden z nich musi zostać odinstalowany, bo to za dużo. Ostatnie dwa zrzuty z 18 i 26 listopada: Prawie wszystkie pozostałe zrzuty Minidump z przeciągu kilku miesięcy kręcą się w kółko wokół tego samego: 0x1000008e - "Probably caused by: Ntfs.sys". W załadowanych sterownikach są też wszędzie sterowniki AVG. Jeśli chodzi o błędy tam zgłoszone: 1. "Klasyfikacja wydajności Grafika w grach tego systemu jest niska i może być przyczyną problemów z wydajnością podczas korzystania z aplikacji multimedialnych lub gier. Wyłączenie trybu Aero Glass może zwiększyć wydajność w aplikacjach multimedialnych i grach. Jeśli problem będzie nadal występował, może być konieczne zaktualizowanie sterownika karty graficznej lub uaktualnienie jej." Być może należy skorzystać z tych podpowiedzi. 2. "Wystąpił problem z konfiguracją urządzenia, który uniemożliwia jego poprawne uruchomienie. Szczegóły: Nie można poprawnie uruchomić urządzenia Karta Microsoft ISATAP. Być może nie zainstalowano poprawnego sterownika lub wystąpił błąd sprzętowy. Identyfikator Plug and Play tego urządzenia: ROOT\*ISATAP\0XXX. Nie można poprawnie uruchomić urządzenia Karta Microsoft 6to4. Być może nie zainstalowano poprawnego sterownika lub wystąpił błąd sprzętowy. Identyfikator Plug and Play tego urządzenia: ROOT\*6TO4MP\0XXX." Te wirtualne urządzenia związane z protokołem IPv6 widziałam już wcześniej w Addition. To nie powinno być jednak problemem: KB932520. Na teraz proponuję: 1. Odinstalować zbędnik Bing Bar (kilka procesów zejdzie). Wyłączyć kolejne zbędne wpisy ze startu via Autoruns: - W karcie Logon odfajkować CanonSolutionMenu, IPLA!, LG Intelligent Update, MGSysCtrl, OpwareSE4, SSBkgdUpdate, SunJavaUpdateSched, Windows Defender - W karcie Scheduled Tasks odfajkować VistaSP1CEIP - W karcie Services odfajkować IJPLMSVC.EXE, NishService, WinDefend. Wyłączenie NishService może spowodować niedziałanie określonych kombinacji specjalnych przycisków, ale ten soft MSI jest stary i podobno wpływa negatywnie na zasoby. By widzieć wpisy Windows Defender, należy włączyć pokazywanie plików Microsoftu. 2. Odinstalować wszystkie wirtualne interfejsy 6to4 i ISATAP oraz zapobiec ich tworzeniu: KLIK. Tych urządzeń jest dużo, więc można je masowo zlikwidować via DevCon: KB311272. Pobrany plik Devcon.exe rozpakuj tak jak tradycyjny ZIP, po rozpakowaniu z folderu i386 przekopiuj plik Devcon.exe do katalogu C:\Windows. Otwórz Notatnik i wklej w nim: CMD: devcon remove *6to4mp CMD: devcon remove *ISATAP* CMD: netsh winsock reset Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart systemu. Przedstaw fixlog.txt. 3. Odinstalować wszystkie antywirusy i zostawić system na obserwacji (nie instalować żadnego antywirusa). Jeśli BSODy już nie powtórzą się, wypróbować całkiem innego antywirusa np. Avast. 4. Zorientować się czy można zaktualizować określone sterowniki sprzętowe. PS. A ten odczyt "rootkit" w GMER według spodziewań zniknął po aktualizacji systemu. Tak samo było we wszystkich innych przypadkach z nieaktualizowanymi systemami Vista. .

adela, ciągle podajesz mi logi FRST skonfigurowane nie tak jak trzeba (usuwam), już nie mam sił powtarzać tego samego. Uruchamiasz FRST, oczywiście on z powrotem zaznacza pewne pola, a Ty masz: odptaszkować (czyli nie zaznaczać, mają być puste) pola Services + Drivers MD5 + List BCD + Addition, klik w Scan i podać wynikowy plik FRST.txt (tylko jeden). Użytkownik słabo zorientowany powinien mieć antywirusa. Tu jest niejasny problem z wydajnością i póki co instalacja antywirusa obciąży ten system. Są rzeczy, których nie rozwiąże się za pośrednictwem internetu w domu będąc użytkownikiem niedoświadczonym. Tu są trudności nawet z konfiguracją podstawowego programiku FRST, a co dopiero testy sprzętowe, rozkręcanie laptopa i podmiana części sprzętowych zakupionymi nowymi na własną rękę. Ja tego po prostu nie wyobrażam sobie - tu jest potrzebna osoba doświadczona, obznajomiona ze sprzętem, mająca bezpośredni dostęp do tego laptopa (a nie instrukcje na odległość "na piśmie"), która zdiagnozuje laptop pod kątem sprzętowym i ewentualnie go rozbuduje. .

Nie jest tu znane środowisko i różnice między komputerami, nie wiadomo czego się spodziewać (czy komputer będzie startował tylko w awaryjnym, czy pojawią się jakieś nowe BSODy) i ile roboty jest na widoku z deinstalacją niekompatybilnych sterowników i zamianą pasującymi wersjami. Być może Reperacja nakładkowa Windows też będzie wymagana. Trudno powiedzieć cokolwiek, na razie jest na tapecie sprawa aktualizacji kontrolera dysku.

Apropos AdwCleaner, na przyszłość: zawsze zaczyna się od poprawnej deinstalacji podejrzanych / nieznanych programów via Panel sterowania. a po tym powtórka w menedżerach rozszerzeń przeglądarek, na końcu AdwCleaner i podobne. Odwrotna metoda może mieć skutki uboczne i zostawienie większej ilości wpisów, które mogłyby ulotnić się deinstalacją. Zadania prawie wykonane, z wyjątkiem tego: Do wdrożenia i po tym zrób nowy log FRST (bez Addition i Shortcut).

W systemie jest infekcja, tego cichego Internet Explorera inicjuje szkodnik moters - dokładnie tak samo jak w tym temacie: KLIK. ==================== Installed Programs ====================== moters (HKLM\...\{c8730ca5-3f82-41cc-65e2-01b87600cd89}) (Version: 1.0.0 - ningsup) ==================== Custom CLSID (selected items): ========================== CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> c:\Users\dom\AppData\Roaming\moters\mentste.dll () ==================== Loaded Modules (whitelisted) ============= 2014-10-07 21:27 - 2014-10-07 21:27 - 00117760 _____ () c:\Users\dom\AppData\Roaming\moters\mentste.dll Przeprowadź następujące działania: 1. Odinstaluj moters, zbędnik COMODO GeekBuddy oraz starsze wersje Adobe Flash Player 10 Plugin, Adobe Reader X (10.1.12) - Polish, Adobe Shockwave Player 12.0, Java 7 Update 51. Wykorzystaj zwykły Panel sterowania, nie stosuj w tym przypadku Revo. 2. Doczyszczanie pustych wpisów. Otwórz Notatnik i wklej w nim: CloseProcesses: CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.25.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.23.9\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> c:\Users\dom\AppData\Roaming\moters\mentste.dll () CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.24.15\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.21.149\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.22.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.24.7\psuser.dll No File Task: {02962626-36C8-4834-A55F-886307C6BCBA} - System32\Tasks\{90A7A78F-2EC5-47B6-A71C-4B8517C360ED} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe Task: {14915804-8F5B-4575-9BD8-A39919301955} - System32\Tasks\{32915F96-A3DA-456E-A10D-D61ADEE074B1} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe Task: {1975FCAD-1A1D-414A-9BF1-54B5AB9CE630} - System32\Tasks\{E02C1615-A13A-4A06-8108-E53A1E26BA45} => C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST.exe [2014-11-26] (Farbar) Task: {2FACE3B0-B17C-41B4-8A4A-4492BBE11032} - System32\Tasks\{EC00D059-2320-4618-A44F-3650742E6660} => C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST.exe [2014-11-26] (Farbar) Task: {30F16754-2729-4E04-9CF0-96D950D71B42} - System32\Tasks\{6D67C421-E759-4F2E-B196-DF6E265467FF} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe Task: {3B10BE4A-F6A4-4310-A766-2888C6E4C41F} - System32\Tasks\{4DE2A50C-DEA4-44F6-BF50-5967835718F4} => C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST.exe [2014-11-26] (Farbar) Task: {43446A14-561C-45AB-9A2B-9CEF78D49329} - System32\Tasks\{D17EFA07-E262-4CB7-9F38-052CB683B4D9} => C:\TEMP\acro_rd_dir\Motorola v3.23 Unlock_ALL MODEL(Via USB-COM PORT)\unlock\FlashBackup 2.61\PDSEditor.exe Task: {436CB643-FE90-4565-90E1-7C788C7907D5} - System32\Tasks\{49DA0E48-7F59-4BC3-887E-5EF1C9DA1348} => C:\TEMP\acro_rd_dir\Motorola v3.23 Unlock_ALL MODEL(Via USB-COM PORT)\unlock\Motorola_unlocker_2005\P2K_Easy_Tool_v39.exe Task: {48E17C3A-553A-45F9-9E68-FC5D263CD02B} - System32\Tasks\{C02ED746-8A91-47DC-9FFC-5BE1443599C2} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe Task: {49E542C3-434B-431E-940F-5946D0299409} - System32\Tasks\{7988FE2F-9C1C-4FA5-83E2-EECD818CE45C} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe Task: {5796D5E5-656F-4707-A24F-FA82ABD82F2E} - System32\Tasks\{6E6383E9-68C5-4FD9-B35F-8E8308BEF523} => C:\TEMP\acro_rd_dir\Motorola v3.23 Unlock_ALL MODEL(Via USB-COM PORT)\unlock\Motorola_unlocker_2005\Mot_unlocker.exe Task: {5D28D2E4-EC90-4D58-8832-B1778D952243} - System32\Tasks\{9BEEE590-7931-4BA5-844C-4C33C2F7A02C} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe Task: {68F2E973-65BA-4617-8384-26040F3A5DCE} - System32\Tasks\{C6E2C7C1-9BDA-4C07-A826-33CC91A25B90} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe Task: {6B53F591-8A71-4832-BA39-A368A268E114} - System32\Tasks\{B44EB6FE-548B-4CD7-AAF7-FAA783B54120} => C:\TEMP\acro_rd_dir\P2K Easy Tool v3.7\P2K_Easy_Tool_v37.exe Task: {7EE15068-C548-408B-9682-E55BDED70000} - System32\Tasks\{F9F4A78D-C932-44A4-945F-A04CB6D2431A} => C:\TEMP\acro_rd_dir\Motorola v3.23 Unlock_ALL MODEL(Via USB-COM PORT)\unlock\Motorola_unlocker_2005\Mot_unlocker.exe Task: {9701DF1D-04F0-4798-B7C2-DFE262D72DE2} - System32\Tasks\{86835054-A9B5-4DEE-8C9D-4889EF10967B} => C:\TEMP\acro_rd_dir\Motorola v3.23 Unlock_ALL MODEL(Via USB-COM PORT)\unlock\FlashBackup 2.61\FlashBackup.exe Task: {B9B7F717-C235-40DD-8250-5117810CB78A} - System32\Tasks\{37087575-A35A-47B0-BDA8-7BA4D0C13D5D} => C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST.exe [2014-11-26] (Farbar) Task: {CC94D82A-86A5-4A56-B841-BB0E5841B87E} - System32\Tasks\{464F30DB-D9C6-4785-84D1-8DE8D5C450B2} => C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST.exe [2014-11-26] (Farbar) Task: {E3319AB6-0AD3-409B-A148-12CD654AC312} - System32\Tasks\{50A9DA52-5256-48F2-810F-181C955BE81F} => C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST.exe [2014-11-26] (Farbar) HKU\S-1-5-21-3916604919-2912353607-3506189148-1000\...\Run: [] => [X] BootExecute: autocheck autochk * sdnclean.exe ShortcutWithArgument: C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1416406979&from=amt&uid=SAMSUNGXHM500JI_S20CJD0SC36258 ProxyServer: [s-1-5-21-3916604919-2912353607-3506189148-1000] => localhost:8080 HKLM\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = StartMenuInternet: IEXPLORE.EXE - FF StartMenuInternet: FIREFOX.EXE - S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 motccgp; system32\DRIVERS\motccgp.sys [X] S3 motccgpfl; system32\DRIVERS\motccgpfl.sys [X] S3 MotDev; system32\DRIVERS\motodrv.sys [X] S3 motmodem; system32\DRIVERS\motmodem.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\70144062.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CLPSLS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\70144062.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CLPSLS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\Program Files\mozilla firefox\plugins C:\Program Files\globalUpdate C:\Program Files\predm C:\ProgramData\Temp C:\ProgramData\Spybot - Search & Destroy C:\Users\dom\AppData\Roaming\.# C:\Users\dom\AppData\Roaming\moters C:\Users\dom\AppData\Roaming\QuickScan C:\Users\dom\AppData\Roaming\Wandoujia2 C:\Users\dom\AppData\Roaming\YourFileDownloader Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: type C:\Windows\System32\Tasks\{EFADC6C0-73EC-4DA0-98F2-A10461BD60B2} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, gdyż COMODO będzie bruździł i uniemożliwi pracę FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Specjalny skrót Internet Explorer jest uszkodzony (nieumiejętne doczyszczanie przypuszczalnie przekierowań mystartsearch.com): Shortcut: C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Logi są limitowane do określonych sfer, na ich podstawie nie będzie 100% gwarancji. Tylko tyle co mogę powiedzieć to: brak widocznych oznak czynnej infekcji. W Firefox jest adware SweetPacks Toolbar for Firefox, zajmę się tym potem. O niczym to nie świadczy. A ten system jest wprost obładowany softami i procesami, wpływ ESET Endpoint Antivirus też nieznany. Komputer typu ASUS z multum firmowych integracji - niektóre całkowicie zbędne i jeszcze produkujące problemy, np. ASUS WebStorage robiący takie oto "sztuczki": KLIK. 1. Rozpocznij od redukcji zbędnego oprogramowania oraz starych wersji. Tu lista co możesz odinstalować (zostaw tylko to z czego definitywnie korzystasz): ==================== Installed Programs ====================== „Windows Live Mesh ActiveX“ nuotolinių ryšių valdiklis (Version: 15.4.5722.2 - Microsoft Corporation) Acrobat.com (Version: 1.2.443 - Adobe Systems Incorporated) ActiveX контрола на Windows Live Mesh за отдалечени връзки (Version: 15.4.5722.2 - Microsoft Corporation) Adobe AIR (Version: 1.1.0.5790 - Adobe Systems Inc.) Adobe Media Player (Version: 1.1 - Adobe Systems Incorporated) Adobe Reader X (10.1.3) - Polish (Version: 10.1.3 - Adobe Systems Incorporated) Adobe Reader X (10.1.4) (Version: 10.1.4 - Adobe Systems Incorporated) Apple Mobile Device Support (Version: 6.0.0.59 - Apple Inc.) Apple Software Update (Version: 2.1.3.127 - Apple Inc.) ASUS FancyStart (Version: 1.1.1 - ASUSTeK Computer Inc.) ----> wymiana grafiki ekranu bootowania ASUS LifeFrame3 (Version: 3.0.25 - ASUS) ----> zrzuter ekranu / edytor powiązany z kamerą ASUS Live Update (Version: 3.0.6 - ASUS) ----> autoaktualizacja sterów/BIOS ASUS Music Maker (Version: 17.0.2.22 - MAGIX AG) ASUS Power4Gear Hybrid (Version: 1.1.45 - ASUS) ----> tweaker zasilania ASUS SmartLogon (Version: 1.0.0011 - ASUS) ----> logowanie do komputera za pomocą rozpoznawania twarzy ASUS Splendid Video Enhancement Technology (Version: 1.02.0033 - ASUS) ----> "poprawianie" jakości obrazu ASUS Video Magic (Version: 6.0.4710 - CyberLink Corp.) ASUS Virtual Camera (Version: 1.0.21 - asus) ----> dostęp więcej niż jednej aplikacji równolegle do kamery ASUS WebStorage (Version: 3.0.84.161 - eCareme Technologies, Inc.) AsusVibe2.0 (Version: 2.0.4.617 - ASUSTEK) Bing Bar (Version: 7.0.610.0 - Microsoft Corporation) Control ActiveX Windows Live Mesh pentru conexiuni la distanță (Version: 15.4.5722.2 - Microsoft Corporation) CyberLink LabelPrint (Version: 2.5.1908 - CyberLink Corp.) CyberLink MediaEspresso (Version: 6.0.1123_32710 - CyberLink Corp.) CyberLink Power2Go (Version: 6.1.3602c - CyberLink Corp.) CyberLink PowerDirector (Version: 8.0.3327 - CyberLink Corp.) CyberLink PowerDVD 10 (Version: 10.0.2312.52 - CyberLink Corp.) Fast Boot (Version: 1.0.9 - ASUS) ---- Formant ActiveX programu Windows Live Mesh odpowiedzialny za obsługę połączeń zdalnych (Version: 15.4.5722.2 - Microsoft Corporation) Gadu-Gadu 10 (Version: - GG Network S.A.) Google Toolbar for Internet Explorer (Version: 7.5.5111.1712 - Google Inc.) Java 7 Update 40 (64-bit) (Version: 7.0.400 - Oracle) Java 7 Update 40 (Version: 7.0.400 - Oracle) Java™ 6 Update 30 (64-bit) (Version: 6.0.300 - Oracle) Kontrola Windows Live Mesh ActiveX za daljinske veze (Version: 15.4.5722.2 - Microsoft Corporation) Kontrolnik Windows Live Mesh ActiveX za oddaljene povezave (Version: 15.4.5722.2 - Microsoft Corporation) Music Now! (Version: 1.0.5.0 - Splashtop Inc.) Ovládací prvek ActiveX platformy Windows Live Mesh pro vzdálená připojení (Version: 15.4.5722.2 - Microsoft Corporation) Ovládací prvok ActiveX programu Windows Live Mesh pre vzdialené pripojenia (Version: 15.4.5722.2 - Microsoft Corporation) Podstawowe programy Windows Live (Version: 15.4.3555.0308 - Microsoft Corporation) Windows Live Mesh ActiveX Control for Remote Connections (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX kontrola za daljinske veze (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX vadīkla attālajiem savienojumiem (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX-i juhtelement kaugühendustele (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX-vezérlő távoli kapcsolatokhoz (Version: 15.4.5722.2 - Microsoft Corporation) A stare zasobożerne GG10 wymienić najnowszą wersją (nieco lżejsza i mniej reklam ciągnących "prąd") lub zamienić lekkim nowoczesnym WTW: KLIK. 2. Po tym zrób nowy log FRST (włącznie z Addition) i będziemy oceniać jaki jest "stan kursora" i prowadzić dodatkowe akcje. .

Fix wykonany. A wg raportu ComboFix widać, że program był uruchamiany wiele razy... Ale ta kwestia już została omówiona. Tu się wszystko zgadza. Java (starsza wersja) przecież była deinstalowana - post numer #7. Teraz widać w logach, że zainstalowałaś nowszą wersję Java 8 i OK. Może to jest po prostu problem sprzętowy, tzn. należałoby oddać laptopa do serwisu i polepszyć określone parametry. System jest krojony i krojony z oprogramowania, bo parametry pamięci wskazywały, że jest jej bardzo mało dostępnej. Pozbyłyśmy się m.in. instalacji Microsoft Security Essentials i nastąpiła poprawa, teraz ponownie pogorszenie. Wstawienie innego antywirusa w ogóle nie wydaje się zasadne w obecnej sytuacji. Bez żadnego antywirusa obecnie statystyki pamięci są nadal marne (80% zajęte): ==================== Memory info =========================== Processor: Intel® Celeron® CPU 530 @ 1.73GHz Percentage of memory in use: 80% Total physical RAM: 1013.27 MB Available physical RAM: 197.24 MB Total Pagefile: 2284.87 MB Available Pagefile: 1059.32 MB Total Virtual: 2047.88 MB Available Virtual: 1910.23 MB Tu jeszcze widzę, że w Dzienniku zdarzeń są takie oto odczyty: Application errors: ================== Error: (11/25/2014 10:04:01 AM) (Source: VSS) (EventID: 8194) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas szukania interfejsu IVssWriterCallback. hr = 0x80070005. To jest często spowodowane przez niepoprawne ustawienia zabezpieczeń w procesie zapisującym lub żądającym. Operacja: Zbieranie danych modułu zapisującego Kontekst: Identyfikator klasy modułu zapisującego: {e8132975-6f93-4464-a53e-1050253ae220} Nazwa modułu zapisującego: System Writer Identyfikator wystąpienia modułu zapisującego: {ce803227-491d-4f46-824a-b35e2937c3a3} System errors: ============= Error: (11/26/2014 11:10:37 PM) (Source: LSM) (EventID: 1048) (User: ) Description: Uruchamianie usługi terminalowej nie powiodło się. Odpowiedni kod stanu: Dane konfiguracyjne tego produktu są uszkodzone. Skontaktuj się z działem Pomocy technicznej. Error: (11/26/2014 00:00:22 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: 30000Schedule I prosiłam Cię, byś mi podała log FRST skonfigurowany w następujący sposób: Pola Services, Drivers MD5, List BCD, Addition mają być ODZNACZONE. Wynikowo ma powstać jeden plik FRST.txt. A Ty konsekwentnie podajesz mi log na innych ustawieniach. Proszę podaj mi nowy log FRST zrobiony przy odfajkowanej opcji Services, by było wiadome jak wyglądają usługi Windows, bo były wcześniej ślady mieszania w usługach systemu i może coś co jest potrzebne jest wyłączone. .

Fix wykonany pomyślnie, możesz przejść dalej.

Komenda EmptyTemp: czyści Cache i Historię głównych przeglądarek. Opisywany objaw jest normalny, gdyż dane w oparciu o które są wyświetlane te miniatury zostały usunięte, zbieranie danych zaczyna się od nowa. Odczyt ze skryptu FRST to potwierdza - usługa Dziennika jest ustawiona na Auto. Nie, nie znam. W temacie nie ma żadnych danych pomagających identyfikować problem, włączając w to podstawy w postaci raportów FRST. Raporty FRST były tu w temacie, ale je usunąłeś (czemu do diaska). To osobny temat i nie będzie omawiany tutaj. Na przyszłość: proszę nie usuwaj logów z tematu. Temat diagnostyki infekcji uznaję za zakończony. Możesz usunąć pobrany FRST oraz folder C:\FRST. .

- Powstrzymałabym się z tym, log Process Monitor będzie upstrzony aktywnościami, ciężej będzie odsiać niektóre rzeczy. O ile dojdzie tu do wytwarzania raportu ProcMon... - Narzędzia co najwyżej mogą skanować sektor rozruchowy, ale nie skanują zawartości partycji, która jest ukryta. Dopiero jej uwidocznienie poprzez tymczasowe przypisanie litery oraz konkretne jej wskazanie w skanerze umożliwi ręczną weryfikację. Wątpię jednak, byś tam coś znalazł. .

Weryfikacja repozytorium WMI nieudana: ========= winmgmt /salvagerepository ========= WMI repository verification failed Error code: 0x80041002 Facility: WMI Description: Not found Sprawdź czy da się wyegzekwować inną komendę. Otwórz Notatnik i wklej w nim: CMD: winmgmt /resetrepository Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Temat przenoszę do działu Windows, brak podstaw do podejrzewania infekcji. Do wyczyszczenia tylko wpisy puste (brak wpływu na system): O jakim progu spożycia w ogóle mowa? Na jakim procesie występuje "duże zużycie procesora"? póki co, tu tu na razie zwracają uwagę poniższe błędy z Dziennika zdarzeń: ==================== Faulty Device Manager Devices ============= Name: STORAGE DEVICE Description: STORAGE DEVICE Class Guid: {eec5ad98-8080-425f-922a-dabf3de3f69a} Manufacturer: Generic Service: WUDFRd Problem: : Windows has stopped this device because it has reported problems. (Code 43) Resolution: One of the drivers controlling the device notified the operating system that the device failed in some manner. For more information about how to diagnose the problem, see the hardware documentation. Name: STORAGE DEVICE Description: STORAGE DEVICE Class Guid: {eec5ad98-8080-425f-922a-dabf3de3f69a} Manufacturer: Generic Service: WUDFRd Problem: : Windows has stopped this device because it has reported problems. (Code 43) Resolution: One of the drivers controlling the device notified the operating system that the device failed in some manner. For more information about how to diagnose the problem, see the hardware documentation. Name: STORAGE DEVICE Description: STORAGE DEVICE Class Guid: {eec5ad98-8080-425f-922a-dabf3de3f69a} Manufacturer: Generic Service: WUDFRd Problem: : Windows has stopped this device because it has reported problems. (Code 43) Resolution: One of the drivers controlling the device notified the operating system that the device failed in some manner. For more information about how to diagnose the problem, see the hardware documentation. Name: STORAGE DEVICE Description: STORAGE DEVICE Class Guid: {eec5ad98-8080-425f-922a-dabf3de3f69a} Manufacturer: Generic Service: WUDFRd Problem: : Windows has stopped this device because it has reported problems. (Code 43) Resolution: One of the drivers controlling the device notified the operating system that the device failed in some manner. For more information about how to diagnose the problem, see the hardware documentation. Name: J:\ Description: Android Platform Class Guid: {eec5ad98-8080-425f-922a-dabf3de3f69a} Manufacturer: LGE Service: WUDFRd Problem: : This device is not working properly because Windows cannot load the drivers required for this device. (Code 31) Resolution: Update the driver ==================== Event log errors: ========================= Application errors: ================== Error: (11/26/2014 02:52:23 PM) (Source: Perflib) (EventID: 1010) (User: ) Description: EmdCacheC:\Windows\system32\emdmgmt.dll4 Error: (11/26/2014 01:02:34 PM) (Source: VSS) (EventID: 8194) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas szukania interfejsu IVssWriterCallback. hr = 0x80070005. To jest często spowodowane przez niepoprawne ustawienia zabezpieczeń w procesie zapisującym lub żądającym. Operacja: Zbieranie danych modułu zapisującego Kontekst: Identyfikator klasy modułu zapisującego: {e8132975-6f93-4464-a53e-1050253ae220} Nazwa modułu zapisującego: System Writer Identyfikator wystąpienia modułu zapisującego: {88cd85dc-ed24-4adb-a3d7-8b9bd62ac9f2} System errors: ============= Error: (11/26/2014 01:53:28 PM) (Source: PlugPlayManager) (EventID: 11) (User: ) Description: Urządzenie Root\LEGACY_SMR430\0000 zniknęło z systemu bez uprzedniego przygotowania go do usunięcia. Error: (11/26/2014 01:53:13 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: CyberGhost 5 Client Service%%1053 .

Temat przenoszę do działu Windows, choć może i do Hardware pójdzie. Opis mętny, rozwiń go. Co to znaczy "nie działa", co się pokazuje - czy jest jakiś błąd, co widać w menedżerze urządzeń. Wstępnie: 1. Są tu ślady zdewastowanych / niepoprawnie odinstalowanych aplikacji Norton Internet Security + Norton Security Scan. Obie pozycje nadal stoją na liście "zainstalowanych" + multum wadliwych wybrakowanych usług. Zastosuj Norton Removal Tool z poziomu Trybu awaryjnego Windows. 2. FRST nie umie ocenić stanu poniższego sterownika, co wskazuje na dewastację w kluczu usługi. Będę sprawdzać w skrypcie FRRT (punkt 4) zawartość tego klucza. U5 VWiFiFlt; C:\Windows\System32\Drivers\VWiFiFlt.sys [59904 2009-07-14] (Microsoft Corporation) 3. Dziennik zdarzeń łapie poniższe błędy, więc dostarcz jeszcze log z Farbar Service Scanner. System errors: ============= Error: (11/25/2014 08:27:29 PM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa Rozpoznawanie lokalizacji w sieci zakończyła działanie; wystąpił specyficzny dla niej błąd %%-1073741288. Error: (11/25/2014 08:27:29 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Usługa listy sieci zależy od usługi Rozpoznawanie lokalizacji w sieci, której nie można uruchomić z powodu następującego błędu: %%0 4. W spoilerze doczyszczanie pozostałych śmieci (szczątki adware oraz wpisy puste) oraz sprawdzenie zawartości klucza VWiFiFlt + klas związanych z USB na obecność ewentualnych filtrów: .

Brak zmian, sterownik nie został zaktualizowany, toteż reset bazy kryptograficznych nie zmienił stanu rzeczy, od góry do dołu [File not signed]. Niestety w takim stanie dysfunkcji Usług kryptograficznych dalsze operacje, takie jak instalacja sterowników czy poprawek MS, mogą być awykonalne *. I tu nie jest pewne gdzie właściwie jest usterka. Reset tyczył tylko katalogu catroot2, gdyż procedura nie aplikuje się dla catroot (nieresetowalny). Jeśli coś jest skopane w catroot, jedyny sposób to cofnięcie do poprzedniej wersji katalogu za pomocą Przywracania systemu, tylko nie wiadomo czy jakikolwiek z dostępnych punktów załatwi sprawę. * Jeśli chodzi o instalacje sterowników: Próbujesz instalować Intel® Rapid Start Technology (sterownik irstrtdv.sys dla dysków SSD), a tu chodzi o Intel Rapid Storage Technology (sterowniki iaStor*.sys). Intel Rapid Storage Technology zastępuje stary Intel Matrix Storage Manager. 1. Wyszukiwarka na stronie Intel nie podstawia wyników dla systemu x64, ale jest ich więcej. Tu najnowszy IRST: KLIK. Tylko jest tu pewien problem i nie wiem jak ta instalacja idzie w trybie rzeczywistym, w paczce przeznaczonej do instalacji spod Windows (SetupRST.exe) jest schowany pod-instalator typu MSI (RST_x64.msi), a wyegzekwowanie go może nie przejść przy usterce kryptograficznych... Są podane też wersje "flopowe", które z kolei można nałożyć z poziomu środowiska zewnętrznego WinRE. 2. Dodatkowo, tego typu problem rozwiązuje ta wersja starszych sterowników z 2010 (inny typ instalatora, nie MSI): KLIK. Tak, to są sterowniki Intel przepakowane pod przykrywką HP. Te sterowniki dało się zaaplikować na komputerze, który nie jest typu HP: KLIK. Informacje na temat wspieranych platform i ID urządzeń: Czyli sekwencja ma wyglądać następująco: usunięcie starego Intel Matrix Storage Manager na korzyść nowego Intel Rapid Storage Technology, a dopiero po tym użycie narzędzia Fix It 50202 resetującego bazy (zaznaczony tryb agresywny). .

Tak, Reperacja nakładkowa jest wykonalna tylko spod działającego systemu, o czym wyraźnie napisałam w linkowanym artykule. Fix_hdc to stara wersja dla XP/2003 (odmienna technika komponentów). Dla Windows 7 jest inna kompatybilna wersja Fix_7hdc, wspominana np. w tym temacie: KLIK. Masz płytę instalacyjną Windows 7 (wątek Reperacji), więc z biegu jest dostęp do środowiska RE, w którym można uruchomić skrypt Fix_7hdc, i nie ma potrzeby pobierać żadnych innych płyt. Może się za to okazać, że będzie wymagane pobranie stosownych sterowników mass storage (pod instalację offline, czyli rozbite do postaci pierwotnej, a nie instalator EXE) i podstawienie na pedrive jako źródło instalacji. Tu nie wiadomo jaki kontroler dysku jest w komputerze (jak bardzo się różni od tego na starym) i czy skrypt znajdzie pasujący rekord ze źródeł typowych. Ogólnikowo akcja jest prosta: Pobierasz z w/w linka Fix_7hdc i umieszczasz rozpakowany na pendrive, czyli ścieżka X:\fix_7hdc.vbs (X = litera pendrive jaką widzi RE) Boot z DVD Windows 7 > Napraw komputer > Wiersz polecenia > wklepujesz polecenie notepad i w menu Plik > Otwórz > z boku klik w Komputer upewnij się pod jaką literą jest zmapowany pendrive, bo to idzie do komendy poniżej jako "X:". W linii komend wklepujesz polecenie cscript X:\fix_7hdc.vbs /parametry (spis parametrów na zrzucie poniżej). /enable zakłada, że dany sterownik mass storage już jest zainstalowany tylko wyłączony i przełącza mu status, tu może być jednak wymagane /install ze wskazaniem gdzie szukać sterownika. Fix_7hdc może doprowadzić tylko do ewentualnego startu systemu (aktualizacja kontrolera dysków). Taki system skopiowany z innego komputera ma zbyt dużo innych odniesień sprzętowych niezgodnych z podkładem, na którym chcesz go umieścić, i nawet po wyciśnięciu tego startu mogą być problemy nie do przeskoczenia poprzez "doinstalowanie właściwych sterowników". A powiedz mi po co ten system ma być odpalany, czemu to ma służyć, a może coś chcesz z niego tylko skopiować?