picasso

Zaprezentuj log MBAM pokazujący te detekcje. Natomiast jest jeszcze drobnostka z jednym kluczem - w trakcie przetwarzania Fix został zablokowany i nie wiem dlaczego, może to blokada na poziomie procesów. Proszę zresetuj system, następnie zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Brakuje pliku fixlog.txt, który powstał podczas przetwarzania skryptu - dołącz go.

Zasady działu, zestaw obowiązkowych logów jest inny: KLIK. Dostarcz brakujące raporty FRST i GMER.

W obu przeglądarkach siedzi adware. Dodatkowo, adware przekonwertowało typ przeglądarki Google Chrome z wersji "stabilnej" do "development" i jest wymagana kompleksowa reinstalacja przeglądarki. Akcja: 1. Przez Panel sterowania odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki, a resztę doczyści mój skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 fc67e7a0; "C:\Windows\system32\rundll32.exe" "c:\program files (x86)\DeltaFix\DeltaFix.dll",serv S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 avchv; \SystemRoot\system32\DRIVERS\avchv.sys [X] S3 dcdbas; \SystemRoot\System32\drivers\dcdbas64.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S2 SPDRIVER_1.37.0.1390; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.1390\jsdrv.sys [X] Task: {1703254E-577D-49D9-8544-2F194C53670E} - System32\Tasks\Installer_sense => C:\Users\ja\AppData\Local\Installer\Installsense_20461\delay.exe Task: {37E92B47-93B1-423C-9A64-62CC68596203} - \SPBIW_UpdateTask_Time_3533393736323933332d232d783232575b5a34452d2a No Task File Task: {4DC026B3-1D1E-4525-9320-BCB396891C2C} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {743BA98E-D148-4C8F-85ED-DC4B29A15F08} - \Installer_iwebar No Task File Task: {76E47D0A-CC68-4D0E-85F6-BA670738EF9E} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {EA7F0DCC-B2C9-419B-8FD9-F220B885FA41} - \Microsoft\Windows\Shell\FamilySafetyUpload No Task File Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.25.5\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.25.5\npGoogleUpdate3.dll No File FF Plugin HKU\S-1-5-21-527024006-3297479484-4194791215-1002: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\ja\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\mystartsearch.xml C:\Program Files (x86)\DeltaFix C:\Program Files (x86)\Google C:\ProgramData\6d276c3130bd3996 C:\ProgramData\Malwarebytes C:\ProgramData\TEMP C:\Users\ja\scan_results C:\Users\ja\AppData\Local\Comodo C:\Users\ja\AppData\Local\Google C:\Users\ja\AppData\Roaming\AVG C:\Users\ja\AppData\Roaming\driver C:\Users\ja\AppData\Roaming\Genieo C:\Users\ja\AppData\Roaming\LavasoftStatistics C:\Users\ja\AppData\Roaming\Opera Software C:\Users\ja\AppData\Roaming\Orbit C:\Users\ja\AppData\Roaming\ProgSense C:\Users\ja\Downloads\*_downloader-*.exe C:\Users\Administrator C:\Users\Gość C:\Users\HomeGroupUser$ C:\Windows\msdownld.tmp C:\Windows\SysWOW64\GroupPolicy\GPT.INI Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\ja\AppData\Local CMD: dir /a C:\Users\ja\AppData\LocalLow CMD: dir /a C:\Users\ja\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 4. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .

Tak, jest w systemie zainstalowane adware, które na dodatek przekonwertowało typ przeglądarki Google Chrome z wersji bezpiecznej "stabilnej" do otwartej na modyfikacje adware "development" i będzie wymagana reinstalacja całej przeglądarki. Dodatkowo, używany skaner SpyHunter - to skaner wątpliwej reputacji z czarnej listy, reklamiarz naciskający na instalacje, po czym się okazuje, że opłaty należy uiszczać. On niby został odinstalowany, a ja go nadal widzę na liście zainstalowanych.... Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware App Lid, Minecraft Packages, nieszczęsne Google Chrome oraz SpyHunter. Przy deinstalacji przeglądarki zaznacz Usuń także dane przeglądarki, a resztę doczyści mój skrypt. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-3448794057-2279744148-3698898670-1000\Software\Classes\.exe: exefile => HKU\S-1-5-21-3448794057-2279744148-3698898670-1000\Software\Classes\exefile: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3448794057-2279744148-3698898670-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1415133035&from=cor&uid=HitachiXHTS547550A9E384_J2100050DPN3VBDPN3VBX&q={searchTerms HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1415133035&from=cor&uid=HitachiXHTS547550A9E384_J2100050DPN3VBDPN3VBX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3448794057-2279744148-3698898670-1000 -> {724893F4-3AC6-4B99-8599-45F2BDBB2D42} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.18.0.82&apn_uid=20202F2B-4269-4607-8DD3-D93BA14CE88B&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=Launcher.exe_0_25.0.1614.68&doi=2014-11-05&trgb=IE&q={searchTerms}&psv=&pt=tb BHO: couponpeak -> {04c4d6ff-f8fd-42b5-b48f-35fc4b933822} -> C:\ProgramData\couponpeak\zkLHllg5dyPZdJ.x64.dll No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKU\S-1-5-21-3448794057-2279744148-3698898670-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-3448794057-2279744148-3698898670-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-3448794057-2279744148-3698898670-1000 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} - No File Task: {67734A5B-CB63-4097-A58F-54178EED332E} - System32\Tasks\{634D9B69-1634-4909-87C5-2D5E59B31A0A} => Iexplore.exe http://ui.skype.com/ui/0/5.10.0.115/pl/go/help.faq.installer?source=lightinstaller&LastError=1618 C:\Program Files\Google C:\Program Files (x86)\App Lid C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\ProgramData\ee67026fc86de1d C:\ProgramData\APN C:\ProgramData\boost_interprocess C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AppsHat C:\ProgramData\Norton C:\ProgramData\Partner C:\ProgramData\Symantec C:\Users\Gizela\AppData\Local\Google C:\Users\Gizela\AppData\Local\Opera Software C:\Users\Gizela\AppData\Roaming\0I0M0D1F2W1G1I1F1T1Q1P1C C:\Users\Gizela\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain C:\Users\Gizela\AppData\Roaming\Mozilla C:\Users\Gizela\AppData\Roaming\Opera Software C:\Users\Gizela\AppData\Roaming\PriceFountain C:\Users\Gizela\AppData\Roaming\Systweak C:\Users\Gizela\Downloads\*(*)-dp*.exe C:\Users\Gizela\Downloads\*.opdownload C:\Users\Gizela\Downloads\chromeinstall*.exe C:\Users\Gizela\Downloads\farming_simulator_*.exe C:\Users\Gizela\Downloads\minecraft*.exe C:\Users\Gizela\Downloads\Niepotwierdzony*.crdownload C:\Users\Gizela\Downloads\pobierz_*.exe C:\Users\Gizela\Downloads\SpyHunter 4.17.6.4336 + SCREEN.rar C:\Users\Gizela\Downloads\SpyHunter 4.17.6.4336 + SCREEN C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP C:\Windows\system32\Drivers\kgpcpy.cfg C:\Windows\SysWOW64\Drivers\kgpfr2.cfg Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {00C9AC02-9004-431F-A2EB-9E912595B2CA} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {00C9AC02-9004-431F-A2EB-9E912595B2CA} /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Gizela\AppData\Local CMD: dir /a C:\Users\Gizela\AppData\LocalLow CMD: dir /a C:\Users\Gizela\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Temat porządkuję. Zestaw dostarczonych raportów jest niekompletny, brak plików FRST Addition i Shortcut oraz OTL Extras. Wracaj ponownie do instrukcji tworzenia raportów FRST i dostarcz komplet. Dodatkowo, poproszę też o log z Farbar Service Scanner.

Jeśli nikt jeszcze nie odpisał, a chcesz uzupełnić post, stosuj opcję Edytuj, a nie post pod postem. Posty skleiłam. Brak danych o systemie. Proszę dostarczyć raporty z FRST. Aczkolwiek Ty już sugerujesz, że jest problem z dyskiem twardym: F1 - czyli widzisz komunikat rodzaju "...Hard Disk S.M.A.R.T Command Failed. Press F1 to Resume."? W takim przypadku temat przesunę do działu Hardware, a dane wymagane działem są inne: KLIK. .

Jeśli chodzi o instalację Adobe Flash w IE, to skorzystaj z innego instalatora typu "offline". Pobierz go za pomocą Firefox, bo przeglądarka w tym przypadku nie odgrywa roli: KLIK (Internet Explorer > Download EXE Installer). Pobrany plik uruchom, a po instalacji sprawdź czy Centrum HP nadal ma zastrzeżenia do braku / dysfunkcji Adobe Flash w IE.

Odpowiedź na to pytanie przecież już cytowałam z FAQ programu, dla większej ilości komputerów jest inny program tej samej firmy:

Fix się zapętlił, bo zrobiłam literówkę w zamknięciach ' vs. ". Powtórz tę część, która się nie udała, przy okazji wydrukuję sobie zawartość raportu ComboFix.txt z którym masz problemy (nie musisz go umieszczasz na serwisie hostingowym): 1. Otwórz Notatnik i wklej w nim: CMD: type C:\Users\Serge_2\Downloads\ComboFix.txt Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PCMService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spybot-S&D Cleaning" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WarReg_PopUp" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Hosts: EmptyTemp: Plik zapisz pod nazwą fixlist.txt w katalogu Pobrane tam gdzie jest FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W katalogu Pobrane powstanie plik fixlog.txt. Przedstaw go. 2. Poprzednie logi FRST to nie to o co mi chodzi i je usuwam. Skan miał być zrobiony skan na ustawieniu: Pola Services, Drivers MD5, List BCD, Addition mają być ODZNACZONE. Wynikowo ma powstać jeden plik FRST.txt. .

Tak jest, kontynuuj rundy z wszystkimi "Ważnymi" i "Zalecanymi". Natomiast "Opcjonalne" sobie darujmy. I sądzę, że nie trzeba będzie nic już weryfikować w sposób szczególny, o ile nie wystąpi jakiś błąd. Po aktualizacjach upewnij się, że w Panel sterowania > System i konserwacja > System pokazuje się napis "Windows Vista™ Home Basic Service Pack 2"

Tu jeszcze nie koniec. W systemie są na pewno re-infektory Brontok. Robak przelatuje po wielu katalogach i dorabia w nich pliki mające nazwę folderu w którym siedzą i ikonkę folderu - te falsyfikaty mają w zamiarze sprowokować omyłkowe kliknięcie (wydaje się, że jest otwierany folder, a to plik) i infekcja startuje od nowa. Takich plików Brontok dorabia ogromną ilość, ale logi są już zbyt ograniczone, by to wykryć. Wymagany pełny skan systemu. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /s ListPermissions: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes ListPermissions: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{38C8F117-18A0-4921-8814-69158DBC5A52} RemoveDirectory: C:\32788R22FWJFW RemoveDirectory: C:\_OTL RemoveDirectory: C:\AdwCleaner DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom Malwarebytes Anti-Malware - przy instalacji odznacz trial. Wybierz skan pełny a nie szybki. MBAM wykrywa Brontok pod nazwą kodową Trojan.Dropper. .

Prócz robaka Brontok są jeszcze odpadki adware. Akcja: 1. W Notatniku przygotuj skrypt do FRST o treści: CloseProcesses: HKLM\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\bronstab.exe [47697 2010-08-13] () HKLM\...\Winlogon: [shell] Explorer.exe "C:\Windows\eksplorasi.exe" [x ] () HKU\S-1-5-21-2181966677-460633389-2470704602-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Szkola\AppData\Local\smss.exe [47697 2010-08-13] () HKU\S-1-5-21-2181966677-460633389-2470704602-1000\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-2181966677-460633389-2470704602-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-2181966677-460633389-2470704602-1000\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\Users\Szkola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () S2 WebCake Desktop Updater; C:\Program Files\WBDesktop.Updater.1.0.0.16.exe [51992 2013-08-29] (cake bake) S2 Updater Service for StartNow Toolbar; C:\Program Files\StartNow Toolbar\ToolbarUpdaterService.exe [X] Task: {0923F066-1448-4230-AC37-301736557386} - System32\Tasks\QtraxPlayer => 2982869494.portal.qtrax.com SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2181966677-460633389-2470704602-1000 -> DefaultScope {B224AA02-F7C8-3A2B-859F-560B80767E4A} URL = http://kl.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130410&user_guid=F8119AAAEE254BDB8BCF5A34C9BA0A4D&machine_id=d33ffeb22ac337a48bdb644c92cb162a&browser=IE&os=win&os_version=6.1-x86-SP1&iesrc={referrer:source} SearchScopes: HKU\S-1-5-21-2181966677-460633389-2470704602-1000 -> {B224AA02-F7C8-3A2B-859F-560B80767E4A} URL = http://kl.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130410&user_guid=F8119AAAEE254BDB8BCF5A34C9BA0A4D&machine_id=d33ffeb22ac337a48bdb644c92cb162a&browser=IE&os=win&os_version=6.1-x86-SP1&iesrc={referrer:source} C:\Users\Szkola\AppData\Local\*.bin C:\Users\Szkola\AppData\Local\*.exe C:\Users\Szkola\AppData\Local\*.txt C:\Users\Szkola\AppData\Roaming\Systweak C:\Users\Szkola\Downloads\Niepotwierdzony*.crdownload C:\Windows\eksplorasi.exe C:\Windows\ShellNew\bronstab.exe C:\Windows\pss\Empty.pif.Startup C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup CMD: for /d %f in (C:\Users\Szkola\AppData\Local\*bron*) do rd /s /q "%f" Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Szkola^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bron-Spizaetus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 2. Przejdź do Trybu awaryjnego, uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przez Panel sterowania odinstaluj śmieci Qtrax Player, WebCake 3.00, od razu też stare wersje Adobe Reader 8 - Polish, Java 7 Update 51. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

adela proszę nie cytuj całego poprzedniego posta, powycinałam cytaty. Zamiast korzystać z opcji "Odpowiedz" przy każdym poście (to funkcja cytatu), korzystaj z pola szybkiej odpowiedzi na spodzie strony i opcji "Napisz". Tak, chodzi o zwyczajny "dokument tekstowy", tylko że ten dokument ma mieć nazwę fixlist.txt, w przeciwnym wypadku nie zadziała opcja Fix w FRST. .

Nazwy logów FRST mi sugerują, że je wyciągasz z folderu C:\FRST\Logs - to archiwum logów, tam się nie grzebie. Bieżący log zawsze jest w tej lokalizacji skąd uruchamiano FRST, czyli w Twoim przypadku C:\Users\User\Desktop\KONSERWACJA. PS. Na liście zainstalowanych są wpisy programów adware (Browser Extensions, Foxy Secure, Search Protection), ale to sprawa podrzędna i nieistotna w obliczu: Wiele rzeczy nie funkcjonuje poprawnie, w systemie jest usterka tego rodzaju: KLIK. Prawie wszystkie usługi i sterowniki są pokazane jako niepodpisane cyfrowo - masowo od góry do dołu [File not signed]. Padł system usług kryptograficznych. Wg FRST w tle działa usługa CryptSvc, toteż problemem jest uszkodzenie którejś z baz - C:\Windows\system32\catroot2 (to resetują te fixy Microsoftu i zawartość można regenerować przez kasacje) i/lub C:\Windows\system32\catroot (folderu nie można opróżnić / skasować, jest nieodtwarzalny). Dziennik zgłasza tylko tyle: Application errors: ================== Error: (11/25/2014 09:38:00 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 257) (User: ) Description: Zainicjowanie bazy danych wykazu przez Usługi kryptograficzne nie powiodło się. Błąd ESENT: -583. Od razu zainteresuj się tymi wątkami: Tu jednak jest staroć, czyli Intel Matrix Storage Manager (nowsze wersje występują pod nazwą "Intel Rapid Storage Technology"): ==================== Installed Programs ====================== Intel® Matrix Storage Manager (HKLM\...\{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}) (Version: - Intel Corporation) 1. Zaktualizuj sterowniki Intel. 2. Zresetuj bazę kryptograficznych za pomocą narzędzia Fix It 50202 (zaznacz tryb agresywny): KLIK. Poprzednio stosowałeś Fix it 50123 do czegoś innego. 3. Zrób nowe raporty FRST.

Przejdź w Tryb awaryjny Windows i ponów próbę z FRST i GMER.

+ O ile problem jeszcze aktualny.... Nagraj log za pomocą Process Monitor co się dzieje w tych momentach. Czyli uruchom program, następnie spróbuj uruchomić Windows Defender, a po tym Windows Update doprowadzając do błędów. Zatrzymaj nagrywanie w Process Monitor klikając na ikonkę lupki na pasku narzędzi. Z menu File zapisz plik PML, plik spakuj do ZIP, shostuj gdzieś i podaj do tego link. Nie wygląda na to, że masz włączone wszystkie opcje Widoku. W Opcjach folderów odfajkuj "Ukryj chronione pliki systemu operacyjnego", a powinien się ujawnić NTUSER.DAT. Windows Defender to zintegrowany komponent Vista i nie jest możliwa jego "reinstalacja" z instalatora pobranego z portalu. To co linkują dobreprogramy to Windows Defender dla systemów XP i Windows 2003, pomimo że napisali "Windows XP / Vista / 2003 / 7". Nie, Windows Defender na Vista i wyżej to część systemu operacyjnego, podany instalator nie aplikuje się. To już stosowałeś wcześniej (log C:\Windows\Logs\CBS\Checksur.log był sprawdzany - posty #6 i #8). .

Proszę dostosuj się do zasad działu w kwestii obowiązkowych raportów: KLIK. OTL to przestarzałe narzędzie weryfikowane tylko pobocznie, proszę o dostarczenie logów z FRST i GMER. Wszystko opisane w linku. Na temat używania ComboFix: KLIK.

Nagraj mi log czasu rzeczywistego co się dzieje podczas tej instalacji. Uruchom Process Monitor, a następnie uruchom instalację Silverlight i dojdź do wyplucia błędu, w tym momencie zatrzymaj nagrywanie w Process Monitor klikając na ikonkę lupki na pasku narzędzi. Z menu File zapisz plik PML, plik spakuj do ZIP, shostuj gdzieś i podaj do tego link.

Duplikat w dziale Windows kasuję. Przeklejam stamtąd informację o migracji katalogów. Nie wiem o co chodzi ze SpeedyShare, ale oczywistym jest, że w takim przypadku dobiera się inny hosting... Nie rozumiem też jaki masz problem z Autoruns - program pozwala zapisać do pliku TXT, a domyślny format ARN odpada. Poza tym, log Autoruns nie jest mi tu potrzebny, podobnie jak pozostałe raporty, których nie byłeś w stanie shostować. 1. Pierwsza sprawa, to owa nędza z miejscem na dysku: ==================== Drives ================================ Drive c: () (Fixed) (Total:78.37 GB) (Free:2.42 GB) NTFS Tak mało wolnego może być przyczyną ogólnego spowolnienia. Do diagnostyki miejsca skorzystaj z programu SpaceSniffer (z prawokliku na pobrany plik "Uruchom jako Administrator"). Pokaż zrzut ekranu z ogólnego widoku dysku C. Musi zostać zwolnione więcej miejsca na dysku, a gdy to nie wpłynie wydatnie na zmianę stanu: 2. Druga sprawa to obecność COMODO Internet Security. Proponuję go testowo odinstalować i ocenić czy nadal występują określone objawy. 3. Dodatkowo, na trwałe pozbądź się Norton Online Backup - to pewnie preintegrowany zbędnik. I jeszcze w Autoruns w karcie Scheduled Tasks skasuj zbędne zadania: Facebook, HPCustParticipation HP, Real Player oraz wyłącz aktualizator Samsung Update Plus. O ile tu nie bruździ COMODO, sprawdź czy coś pomoże przestawienie trybu kompatybilności: Start > w polu szukania wklep nazwę programu > prawoklik na skrót > karta Zgodność > zaznacz "Uruchom ten program w trybie zgodności z" > z listy na początek próbuj Windows 7, a jeśli brak takiej pozycji lub brak efektów, to wybierz Windows Vista (Service Pack 2). EDIT W Twoim spisie zainstalowanych programów nie widać żadnej nie ukrytej polskiej pozycji związanej z galerią. Jedyny widoczny wpis to z chińskimi krzakami i dużo ukrytych wpisów różnojęzycznych: ==================== Installed Programs ====================== „Windows Live Essentials“ (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden „Windows Live Mail“ (x32 Version: 15.4.3502.0922 - „Microsoft Corporation“) Hidden „Windows Live Messenger“ (x32 Version: 15.4.3502.0922 - „Microsoft Corporation“) Hidden „Windows Live“ fotogalerija (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Fotogalerija Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galeria de Fotografias do Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galería fotográfica de Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galeria fotografii usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galerie de photos Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galerie foto Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Mesh Runtime (x32 Version: 15.4.5722.2 - Microsoft Corporation) Hidden Poczta usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Podstawowe programy Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Pošta Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Raccolta foto di Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live 程式集 (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3508.1109 - Microsoft Corporation) Συλλογή φωτογραφιών του Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Основные компоненты Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Почта Windows Live (x32 Version: 15.4.3502.0922 - Корпорация Майкрософт) Hidden Фотоальбом Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Фотогалерия на Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden גלריית התמונות של Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden بريد Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden معرض صور Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Proponuję przeczyścić sprawę: - Pozycję Windows Live 程式集 odinstaluj via Panel sterowania, a resztę potraktuj tym narzędziem Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > na liście po kolei zaznaczaj wymienione wpisy > Dalej. - Zainstaluj program ponownie: KLIK. .

Problemu nie tworzy infekcja. Zanim temat przeniosę do innego działu: To co wykrył Avast to były obiekty adware, nabyte na jeden z tych sposobów: KLIK. Uruchomiłeś jakiś "downloader". Obecnie w systemie są tylko szczątki adware, które jednak nie mają w ogóle związku z głównym problemem. Centrum zabezpieczeń nie wykrywa poprawnie instalacji antywirusowych, gdyż jest tu inny problem - są znaki uszkodzenia WMI systemowego: ==================== Restore Points ========================= Could not list Restore Points. Check "winmgmt" service or repair WMI. ==================== Faulty Device Manager Devices ============= Could not list Devices. Check "winmgmt" service or repair WMI. ==================== Event log errors: ========================= Application errors: ================== Error: (11/20/2014 10:09:19 AM) (Source: SecurityCenter) (EventID: 3) (User: ) Description: Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić zapytań dotyczących zdarzeń z usługi WMI, aby monitorować program antywirusowy, program antyszpiegowski i zaporę innej firmy. Error: (11/20/2014 02:02:21 AM) (Source: Microsoft-Windows-WMI) (EventID: 28) (User: ZARZĄDZANIE NT) Description: Nie można zainicjować podstawowego składnika WMI, podsystemu dostawców lub podsystemu zdarzeń. Numer błędu: 0x80041002. Może to być spowodowane niepoprawną instalacją wersji usługi WMI, błędem uaktualniania repozytorium WMI albo niewystarczającą ilością pamięci lub miejsca na dysku. Error: (11/19/2014 00:53:15 PM) (Source: System Restore) (EventID: 8211) (User: ) Description: Nie można utworzyć zaplanowanego punktu przywracania. Informacje dodatkowe: (0x800423f3). Error: (11/19/2014 00:53:15 PM) (Source: System Restore) (EventID: 8193) (User: ) Description: Nie można utworzyć punktu przywracania (Proces = C:\WINDOWS\system32\srtasks.exe ExecuteScheduledSPPCreation; Opis = Zaplanowany punkt kontrolny; Błąd = 0x800423f3). Spoza powyższego tematu, dodatkowo sterownik związany z Alcohol / DAEMON Tools jest martwy: System errors: ============= Error: (11/20/2014 02:01:29 AM) (Source: sptd) (EventID: 4) (User: ) Description: Sterownik wykrył błąd wewnętrzny w swoich strukturach danych dla . Na razie szybkie doczyszczenie śmieci, usunięcie wadliwego sterownika SPTD oraz weryfikacja repozytorium WMI. Otwórz Notatnik i wklej w nim: CMD: winmgmt /salvagerepository S0 sptd; C:\Windows\System32\Drivers\sptd.sys [867064 2014-10-03] (Duplex Secure Ltd.) HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413621208&from=cor&uid=ST1000LM024XHN-M101MBB_S2WZJA0D411731411731&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413621208&from=cor&uid=ST1000LM024XHN-M101MBB_S2WZJA0D411731411731&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413621208&from=cor&uid=ST1000LM024XHN-M101MBB_S2WZJA0D411731411731&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413621208&from=cor&uid=ST1000LM024XHN-M101MBB_S2WZJA0D411731411731&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1413621208&from=cor&uid=ST1000LM024XHN-M101MBB_S2WZJA0D411731411731 FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK FF user.js: detected! => C:\Users\Oogamasennin\AppData\Roaming\Mozilla\Firefox\Profiles\ft4almei.default-1409728214410\user.js C:\Program Files (x86)\mozilla firefox\plugins S3 ewusbmbb; \SystemRoot\system32\DRIVERS\ewusbwwan.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] C:\Program Files (x86)\SupTab C:\ProgramData\IePluginServices C:\Users\Oogamasennin\Desktop\*(*)-dp*.exe C:\Windows\System32\Drivers\sptd.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

W CBS rzeczywiście cisza. W takim razie wrócę jednak do wcześniejszych rekordów: "A release version of SP1 must be installed or scheduled for installation hr=0x800f0a05". Spróbuj zainstalować SP1 inną metodą: 1. Pobierz pełny instalator SP1 na dysk: KLIK. 2. Utwórz foldery C:\Temp1, C:\Temp2, C:\Temp3, C:\Temp4. W folderze C:\Temp1 umieść pobrany instalator Windows6.0-KB936330-X86-wave1.exe. 3. Otwórz Notatnik i wklej w nim: C:\Temp1\Windows6.0-KB936330-X86-wave1.exe /x:C:\Temp1 start /w pkgmgr.exe /m:c:\Temp1\windows6.0-kb937287-X86.cab /ip /s:C:\Temp2 start /w pkgmgr.exe /m:c:\Temp1\windows6.0-kb938371-X86.cab /ip /s:C:\Temp3 start /w pkgmgr.exe /m:c:\Temp1\windows6.0-KB936330-X86.cab /ip /s:C:\Temp4 pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. BAT odpala sekwencję: ekstrakcja instalatora SP1, nałożenie dwóch łat wymaganych przed instalacją SP1, instalacja zasadnicza SP1. 4. Jeśli instalacja SP1 się rozpocznie i zakończy zgodnie z planem, ponawiasz szukanie łat na Windows Update. Powinien zostać podstawiony SP2 do instalacji. .

adela, mdlejesz tutaj przy uruchamianiu FRST, a w obrotach był znacznie bardziej inwazyjny i trudny obsługowo program, tzn. ComboFix. Na przyszłość dlaczego ComboFix nie używa się w domu: KLIK. To nie jest program dla laików, a jeśli uruchamia go laik, musi być to skontrolowane i przeanalizowane przez kogoś, kto jest ekspertem. Tu jest mało pamięci, około 1GB RAM, ponad 90% pamięci zajęte: ==================== Memory info =========================== Processor: Intel® Celeron® CPU 530 @ 1.73GHz Percentage of memory in use: 92% Total physical RAM: 1013.27 MB Available physical RAM: 71.61 MB Total Pagefile: 2284.87 MB Available Pagefile: 558.23 MB Total Virtual: 2047.88 MB Available Virtual: 1920.78 MB Skoro Tryb awaryjny nie wykazuje problemów, zacznij od deinstalacji określonych programów, by stwierdzić czy będzie poprawa. Dodatkowa uwaga: były tu jakieś próby wyłączania "zbędnych" wpisów startowych i został wyłączony via msconfig Menedżer kont zabezpieczeń (SamSs). Skutki uboczne: sypie błędami w Dzienniku zdarzeń. Będę odkręcać tę wadę. Wstępne działania: 1. Przez Panel sterowania odinstaluj Microsoft Security Essentials (antywirus może stanowić problem), niektóre zbędne programy Acer (te aktywnie ładowane w procesach) oraz stare wersje. Tu spis co można wyrzucić: Acer Arcade (Version: 4.58N.4313 - CyberLink Corporation) ----> centrum multimedialne Acer eDataSecurity Management (Version: 2.5.4241 - HiTRUST Inc.) ----> soft do szyfrowania danych, do wyrzucenia, jeśli nic nie szyfrowano za jego pomocą Acer eLock Management (Version: 2.5.4005 - Acer Inc.) ----> ogranicza dostęp do zewnętrznych nośników magazynowania Adobe Flash Player 14 ActiveX (Version: 14.0.0.145 - Adobe Systems Incorporated) Adobe Flash Player 14 Plugin (Version: 14.0.0.145 - Adobe Systems Incorporated) Adobe Reader 8.1.0 (Version: 8.1.0 - Adobe Systems Incorporated) Java 7 Update 67 (Version: 7.0.670 - Oracle) Microsoft Security Essentials (HKLM\...\Microsoft Security Client) (Version: 4.6.305.0 - Microsoft Corporation) Instalacje Adobe Flash nie są Ci w ogóle potrzebne, bo używasz Google Chrome, które ma zainstalowany własny wewnętrzny. I na razie nic nie instaluj nowego, by było wiadome czy zaistniają zmiany. 2. Następnie wprowadź inne korekty. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-929553786-925988434-3115227362-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-929553786-925988434-3115227362-1002\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1407597502&from=cor&uid=WDCXWD1200BEVS-22UST0_WD-WXC90709687796877 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1407597502&from=cor&uid=WDCXWD1200BEVS-22UST0_WD-WXC90709687796877 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-929553786-925988434-3115227362-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1407597502&from=cor&uid=WDCXWD1200BEVS-22UST0_WD-WXC90709687796877&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1407597502&from=cor&uid=WDCXWD1200BEVS-22UST0_WD-WXC90709687796877&q={searchTerms} SearchScopes: HKU\S-1-5-21-929553786-925988434-3115227362-1002 -> {16E872E1-50B1-4BF9-99CA-0A10714FA03E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=6F247EE3-0276-4345-8493-43D91FE34D31&apn_sauid=4CDE46A3-3158-468A-96A1-93E6D68DDEE8 Toolbar: HKU\S-1-5-21-929553786-925988434-3115227362-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation) S3 catchme; \??\C:\Users\Serge_2\AppData\Local\Temp\catchme.sys [X] S1 DritekPortIO; \??\C:\PROGRA~1\LAUNCH~1\DPortIO.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S1 MpKslf0671de6; \??\C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{DF7B2038-272D-4756-A7D9-44EA1A45F0D3}\MpKslf0671de6.sys [X] Task: {4B3D42DB-F52C-4F96-BEAF-3B3A5230E74C} - System32\Tasks\{522D50C1-0E30-4865-BB1A-CDA65CEC6818} => Iexplore.exe http://ui.skype.com/ui/0/5.9.0.123/pl/abandoninstall?page=tsProgressBar Task: {8D8C4713-C35C-4EC2-AD06-809615B8A76C} - System32\Tasks\{008AA0E2-0804-46C0-A681-8FAB434B07F0} => Iexplore.exe http://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar C:\ProgramData\APN C:\ProgramData\Spybot - Search & Destroy C:\Program Files\Spybot - Search & Destroy 2 C:\Users\Serge_2\AppData\Roaming\Mozilla C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: sc config LightScribeService start= demand CMD: sc config SamSs start= auto Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0} /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MpsSvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SamSs" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Acer Tour Reminder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSC" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PCMService' /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spybot-S&D Cleaning" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WarReg_PopUp" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w katalogu Pobrane tam gdzie jest FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W katalogu Pobrane powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan na następującym ustawieniu: odznacz pole Services. Dołącz też plik fixlog.txt oraz plik C:\ComboFix.txt. Wypowiedz się czy są pozytywne zmiany. .

Przepraszam gajowy, że to tak długo trwało, ale miałam limitowany czas i tylko instalację Vista x64, a SteadyState na tym nawet się nie zainstaluje. Musiałam skołować instalację 32-bit, zamontować wszystko i przeanalizować instalację SteadyState. Rozpracowałam bestię. SteadyState wprowadza nowego dostawcę i filtr poświadczeń: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{4C871ECB-8F3E-44b8-89F4-91AD74590F67}] @="WSS CP Filter" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{E45D4335-8E88-42de-BA59-653840B6CB08}] @="WSS Credential Provider" Po skasowaniu tych dwóch kluczy od ręki znika "Other user" / "Inny użytkownik" z ekranu logowania i to nawet bez kłopotania się z usunięciem dalszych powiązań i przy w pełni działającym SteadyState. Czyli: 1. Zaimportuj taki oto REG: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4C871ECB-8F3E-44b8-89F4-91AD74590F67}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E45D4335-8E88-42de-BA59-653840B6CB08}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{4C871ECB-8F3E-44b8-89F4-91AD74590F67}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{E45D4335-8E88-42de-BA59-653840B6CB08}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] "C:\\Windows\\system32\\WSSCredentialProvider.dll"=- "C:\\Windows\\system32\\WSSCPFilter.dll"=- 2. Skasuj z dysku poniższe pliki. Pliki te nie reagują na polecenie derejestracji regsvr32 /u. C:\Windows\system32\WSSCredentialProvider.dll C:\Windows\system32\WSSCPFilter.dll Aczkolwiek: Zrozumiałam, że była to uszkodzona instalacja, a nie że deinstalatora nie zauważyłeś... Zakreślony fragment: nie wiem co usuwałeś z rejestru, a nasz "Other user" sugeruje, że mogło zostać więcej niż się zdaje. W związku z tym jedno z dwóch: - Brniemy dalej w ręczne czyszczenie. Mam konkretny materiał porównawczy i spisałam już modyfikacje zrobione przez program, więc mógłbyś mi przesłać na PW do analizy folder C:\FRST\Hives. - Instalujesz > deinstalujesz program, co powinno lepiej odkręcić modyfikacje programu, niż zrobiłeś to ręcznie na początku. Nawiasem mówiąc: Owszem, zmiana statusu tej opcji w SteadyState powoduje znikanie / pojawianie się pozycji "Other user".

Może to się łączy z odpaleniem jakiegoś szczególnego programu? Tu znalazłam bardzo podobny efekt, tylko Ty nie posiadasz Bitcasy: KLIK. W tym przypadku aktywność procesów nieistotna, chodziło o pobranie spisu zakolejkowanych zadań BITS. Nic tam podejrzanego nie ma, ale kolejka związana z pobieraniem Windows Update jest spora. Czas utworzenia tych zadań jest daleki - sierpień 2014. Postaraj się dokończyć wszystkie odłożone w czasie instalacje aktulizacji, a jeśli niby wszystko jest zainstalowane, to możesz oczyścić kolejkę BITS egzekwując komendę czyszczenia Temp w FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Przedstaw wynikowy fixlog.txt. Sprawdź w linii poleceń Windows PowerShell czy kolejka jest pusta. Wątek na holenderskim forum jest na inny temat, nie chodziło mi o wykonywanie żadnych instrukcji. Z owego wątku tylko do wglądu była informacja z jakimi hostami jest związany ten adres IP 68.232.34.200 (zakreśliłam ją w spoilerze dla jasności). .