picasso

"4 KB w uszkodzonych sektorach" = proszę załóż temat w dziale Hardware podając wymagane do diagnostyki dysku dane: KLIK. Zlinkuj im do tutejszego tematu, by było wiadome skąd się wziął wątek.

Proszę nie podpinajcie się do wątku, każdy problem jest tu rozwiązywany indywidualnie w osobnych tematach, a obowiązkiem jest dostarczenie raportów, które mają potwierdzić, że infekcja została usunięta. PS. moonman e-mail wycięty, to proszenie się o spam.

Przypominam zasady działu, podbijanie tematu jest niemile widziane i nie przyśpiesza spraw, przetwarzam temat gdy jestem w stanie. Post poleciał do śmieci. Temat przenoszę do działu Windows. Brak oznak infekcji. Był uruchamiany GMER, więc na wszelki wypadek do sprawdzenia transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 1. Rzucający się w oczy podejrzany to stary 4 letni ESET NOD32 Antivirus. Program zazębia się ze wskazywanymi sferami (filtrowanie sieci). Na próbę odinstaluj i sprawdź czy będą zmiany. 2. A na dalszą metę kompleksowa aktualizacja Windows (SP3, IE8 i reszta łat z Windows Update): KLIK. Tu jest bomba zegarowa: Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) OS Language: Polski Internet Explorer Version 6

Spróbuj zresetować przeglądarkę. Panel sterowania > Sieć i Internet > Opcje internetowe > Zaawansowane > Resetuj. Po tym ponów próbę pobierania Adobe Flash. Prawoklik na plik > Edytuj i otworzy się w Notatniku > przeklej treść do posta. .

Niestety w FRST jest błąd odczytu polskich znaków w ścieżce profilu Firefox (już zgłosiłam autorowi), co powoduje że w ogóle nie pobrał danych i nie można stwierdzić co siedzi w przeglądarce. Sprawdzę ręcznie zawartość plik prefs.js, a jeśli nic nie znajdę, zadam globalny reset Firefox. Na razie więc skopiuj na Pulpit poniższy plik: C:\Users\Shiver\AppData\Roaming\mozilla\Firefox\Profiles\l5qtrcm4.Domyślny użytkownik\prefs.js Shostuj gdzieś i podaj mi link do niego. Zrób mi jeszcze zrzut ekranu z menedżera rozszerzeń, tak by było widać całą listę.

Przeklej mi tu do posta zawartość pliku C:\Users\Agata\Desktop\Kopia.reg. Powinno być wręcz odwrotnie (dużo wpisów startowych wyłączone)... Co się konkretnie wolniej wczytuje? Poza tym, pytałam czy to się nadal pojawia: "Długie zamykanie systemu, komunikat oczekiwanie na zamknięcie programu task host windows" Sprawa z wersjami Flash się zgadza. Masz zainstalowaną tylko wtyczkę dla Firefox: ==================== Installed Programs ====================== Adobe Flash Player 15 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 15.0.0.223 - Adobe Systems Incorporated) Wtyczkę dla Internet Explorer (czyli Adobe Flash Player 15 ActiveX) trzeba zainstalować osobno. Otwierasz ręcznie Internet Explorer (a nie Firefox) w sposób tradycyjny a nie via linki Centrum HP, wchodzisz na adres pobierania Adobe Flash, pobierasz i instalujesz: KLIK. Owszem, niektóre usługi drukarki i Centrum były wyłączane, ale to nie powinno naruszyć możliwości wydruku. Przecież wg raportu FRST (zarówno pierwszego przed jakimikolwiek działaniami, jak i ostatniego po wszystkich akcjach) drukarka jest nieczynna - urządzenie jest wyłączone na poziomie menedżera urządzeń - This device is disabled: ==================== Faulty Device Manager Devices ============= Name: Photosmart C7200 series Description: Photosmart C7200 series Class Guid: {4d36e971-e325-11ce-bfc1-08002be10318} Manufacturer: HP Service: Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Name: Photosmart C7200 series Description: Photosmart C7200 series Class Guid: {6bdd1fc6-810f-11d0-bec7-08002be2092f} Manufacturer: HP Service: StillCam Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. .

vs. Podane nie bez powodu do deinstalacji, w domyśle miały być zastąpione najnowszymi (o ile potrzebne). I jeden z programów był uwzględniony od razu. Wyraźnie podałam instrukcję tyczącą reinstalacji Adobe Flash w Operze. Adobe Flash Player 15 Plugin to wtyczka dla Firefox i Opera (Google Chrome ma własny wewnętrzny nie instalowany zewnętrznie). W procesach była Opera, toteż było przewidziane, by uzupełnić wtyczkę po deinstalacji starej wersji: Skutki zmodyfikowania mojej instrukcji to dwie pozycje Adobe Flash a nie jedna, pojawił się Pepper, a ten starszy nadal wisi: ==================== Installed Programs ====================== Adobe Flash Player 15 Pepper (HKLM-x32\...\Adobe Flash Player Pepper) (Version: 15.0.0.215 - Adobe Systems Incorporated) Adobe Flash Player 15 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 15.0.0.152 - Adobe Systems Incorporated) Widocznie to nieczynny odpadek. Dokończ to + inne korekty: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: type "C:\Windows\System32\Tasks\P4G Sidebar" Task: {5B59D958-F818-48FE-BDF0-53C5A130F79C} - System32\Tasks\P4G Sidebar => C:\Program Files\Windows Sidebar\sidebar.exe [2010-11-20] (Microsoft Corporation) Task: {865C1D08-B155-4071-B5F3-347C6FD3B20A} - System32\Tasks\P4GIntlCtrl => \IntlCtrl.exe HKLM\...\Run: [EeeStorageBackup] => C:\Program Files (x86)\ASUS\Asus WebStorage\BackupService.exe Handler: livecall - No CLSID Value Handler: ms-help - No CLSID Value Handler: msnim - No CLSID Value Handler: wlmailhtml - No CLSID Value C:\Users\Agata\AppData\Roaming\Asus WebStorage C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkomkajifikmkfnjgphkjcfeepbnojok C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Preferences Reg: reg add HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\javascript /v CLSID /t REG_SZ /d {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} /f Reg: reg add HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\mailto /v CLSID /t REG_SZ /d {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} /f Reg: reg add HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\res /v CLSID /t REG_SZ /d {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Kończymy: 1. Skasuj pobrane narzędzia z D:\FIXITPC. Po tym zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Poniższe pozycje do deinstalacji i zastąpienia najnowszemi wersjami (to m.in. luki są przyczyną tej infekcji): KLIK ==================== Installed Programs ====================== Adobe Flash Player 13 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 13.0.0.214 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 13 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 13.0.0.214 - Adobe Systems Incorporated) ----> wtyczka dla FF Adobe Reader X (10.1.11) - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AA1000000001}) (Version: 10.1.11 - Adobe Systems Incorporated) Java 7 Update 55 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.550 - Oracle) 3. Proponuję do zestawu zabezpieczeń dorzucić darmową wersję Malwarebytes Anti-Exploit. To tyle.

Ten hotfix rozwiązał sprawę, bo Devcon zawiadomił, iż nie zostały usunięte żadne urządzenia, a Winsock tym razem bez trudu się zresetował i zbiło 160 wejść do 56 wejść. Winsock wygląda już normalnie. Końcowe kroki: 1. Minimalne korekty. Otwórz Notatnik i wklej w nim: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-72358669-1429459929-3882325455-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt. Po jego pokazaniu skasuj pobrany FRST + folder C:\FRST oraz Devcon wstawiony do katalogu Windows. 2. I jak mówiłam, cały Windows jest do aktualizacji: instalacja SP1, IE11 i reszty łat. .

Nie został wykonany ten punkt: Zrób to, następnie dostarcz nowy log FRST z opcji Scan (bez Addition i Shortcut). .

Gładko poszło. Jeszcze mini poprawka. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: del /q "C:\Documents and Settings\Młody\Pulpit\0swv3fui.exe" RemoveDirectory: C:\MATS DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Infekcja pomyślnie usunięta, ale tu nie koniec działań. Jak mówiłam, notowalne problemy ze strukturą plików na dysku. Teraz czas na sprawdzanie powierzchni: Start > Uruchom > cmd, wklep komendę chkdsk /f /r i ENTER, na pytanie o dezinstalację woluminu odpowiedz twierdząco z klawiatury i zresetuj system. Podczas restartu powinno się wykonać sprawdzanie dysku. Podaj jego statystyki, są one dostępne w Dzienniku zdarzeń w sekcji Aplikacja jako zdarzenie Winlogon numer 1001. Wyszukaj ten rekord, pobierz jego Szczegóły, skopiuj je i wklej do posta. .

Diagnoza AdwCleaner poprawna, on wykrywa sterownik adware grupy Sambreel/Yontoo, prezentowany w FRST w następujący sposób: R1 {7012eec1-4f37-42d4-a2cd-26727494d248}Gw64; C:\Windows\System32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}Gw64.sys [48792 2014-10-17] (StdLib) To jest szkodliwy element, który powoduje problemy z funkcjonowaniem sieci i inne. Ale nie używaj AdwCleaner już, bo on wykrywa inną poprawną rzecz, czyli klucz komponentów (0FF2AEFF45EEA0A48A4B33C1973B6094), jego usunięcie może odpalić jakieś błędy Instalatora Windows. Zamiennie przeprowadź ręczne operacje podane poniżej. Niewiele tu zostało do czyszczenia. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {7012eec1-4f37-42d4-a2cd-26727494d248}Gw64; C:\Windows\System32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}Gw64.sys [48792 2014-10-17] (StdLib) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] Task: {7A43B03D-BDC1-4636-B59C-B2055CB83084} - \AutoKMS No Task File HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3451067720-2788103086-828839546-1002\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141011 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141011 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141011 SearchScopes: HKU\S-1-5-21-3451067720-2788103086-828839546-1002 -> DefaultScope {FB36B692-51DD-4A1F-AD43-783AF1E6F206} URL = SearchScopes: HKU\S-1-5-21-3451067720-2788103086-828839546-1002 -> {045D75F0-107B-4FCB-AD94-7460795E53D9} URL = SearchScopes: HKU\S-1-5-21-3451067720-2788103086-828839546-1002 -> {FB36B692-51DD-4A1F-AD43-783AF1E6F206} URL = FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File C:\Program Files (x86)\mozilla firefox\plugins C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP C:\Windows\System32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}Gw64.sys Reg: reg delete "HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{FB36B692-51DD-4A1F-AD43-783AF1E6F206}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{045D75F0-107B-4FCB-AD94-7460795E53D9}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

W karcie Scheduled Tasks jest kilka kolumn, w kolumnie Image Path jest podana ścieżka dostępu. Jeżeli mówię, że masz szukać ścieżek zawierających określone frazy, to ich po prostu szukasz tam. Chodzi o te ścieżki dostępu, niektóre są wyliczone więcej niż raz: C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe C:\Program Files (x86)\Corel\Corel Graphics 12\Programs\CorelPP.exe C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe (powinno być 9 wpisów wyliczających tę ścieżkę) C:\Program Files (x86)\Microsoft Office\OFFICE11\POWERPNT.EXE (powinny być 2 wpisy z taką ścieżką) C:\Program Files (x86)\Nufsoft\NatureStudio\NatureStudio.exe C:\Program Files\Samsung\Samsung Update Plus\SUPBackground.exe C:\Program Files (x86)\Samsung\Samsung Support Center\SSCKbdHk.exe C:\Program Files (x86)\Skype\Phone\Skype.exe C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (powinny być 2 wpisy z taką ścieżką)

Nic się nie wypowiadasz czy są jakieś zmiany. Statystyki znacznie lepsze: ==================== Drives ================================ Drive c: (OS) (Fixed) (Total:58.22 GB) (Free:14.61 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: (DATA) (Fixed) (Total:160.02 GB) (Free:77.86 GB) NTFS Ale nie wszystko zostało wykonane. 1. Na liście zainstalowanych nadal widać te pozycje: ==================== Installed Programs ====================== Adobe Flash Player 15 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 15.0.0.152 - Adobe Systems Incorporated) Adobe Reader X (10.1.11) (HKLM-x32\...\{AC76BA86-7AD7-1033-7B44-AA1000000001}) (Version: 10.1.11 - Adobe Systems Incorporated) ASUS Splendid Video Enhancement Technology (HKLM-x32\...\{0969AF05-4FF6-4C00-9406-43599238DE0D}) (Version: 1.02.0028 - ASUS) ASUS Virtual Camera (HKLM-x32\...\{EC8BD21F-0CA0-4BBF-97D9-4A52B30041A1}) (Version: 1.0.17 - asus) Asus WebStorage (HKLM\...\Asus WebStorage) (Version: 2.0.31.477 - eCareme Technologies, Inc.) ffdshow v1.2.4486 [2012-08-25] (HKLM-x32\...\ffdshow_is1) (Version: 1.2.4486.0 - ) Czy był jakiś konkretny powód pozostawienia tego lub problem przy deinstalacji? 2. W Google Chrome nadal widać adware PriceGong - czy tego nie widać w interfejsie rozszerzeń? Po wyjaśnieniu powyższego podam kosmetyczne akcje. .

Szukasz tych fragmentów ścieżek w kolumnie Image Path. Zaś "Adobe Flash" ma oczywistą nazwę zadania.

MBAM = Malwarebytes Anti-Malware. I raczej powinieneś to wiedzieć, pomijając że to znany skrót, uruchamiałeś przecież instalator programu zawierający tę nazwę: 2014-11-19 22:19 - 2014-11-19 22:19 - 19828376 _____ (Malwarebytes Corporation ) C:\Users\Marta\Desktop\mbam-setup-2.0.3.1025.exe

Skoro RARy mogą iść na ubój, to czemu nie, spróbuj czy ich usunięcie przyśpieszy pracę checkdisk. Wiem o tym, wszystko mam od dawna w logach (precyzyjny podział głównego dysku twardego w FRST Addition + lista dodatkowa w USBFix). Ten podział nie ma znaczenia w przypadku infekcji w wykonalnych typu Sality. Sality atakuje wszystkie partycje i dyski, które były dostępne w trakcie inicjacji i trwania infekcji. Dla bezpieczeństwa musisz przeskanować wszystkie partycje (nawet jeśli SalityKiller niektóre wcześniej obrabiał). Wystarczy jeden plik z genem Sality pozostawiony gdzieś na dysku i przypadkowo uruchomiony, a infekcja rozpocznie są od nowa i wszystkie wcześniej podjęte działania stracą sens. Szybkość skanu zależy też od zawartości partycji. I czy na pewno obliczenia wstępne się pokrywają z przelicznikiem już po uruchomieniu skanu? .

Tryb awaryjny chodzi poprawnie, toteż zainteresuj się deinstalacją oprogramowania zabezpieczającego, czyli tu ESET Smart Security + MBAM (ten ostatni doinstalowany dzień przed założeniem tematu), bo to główna różnica między trybami, a typ programów pasuje do efektu. Z tym że: - Zacznij od deinstalacji MBAM (bo świeżo dostawiony), ale nie pamiętam na czym jest oparty jego instalator i czy da się to zrobić z poziomu awaryjnego. - ESET jest oparty na Instalatorze Windows i domyślnie nie jest możliwa deinstalacja z poziomu awaryjnego (nie działa usługa Instalatora). W takim przypadku do wykorzystania ESET Uninstaller.

Zastosuj DelFix, a co nie zostanie usunięte ręcznie dokończ. I na koniec zaktualizuj Windows, bo stan obecny to brak SP1, IE11 i reszty łat: Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8

W systemie są trzy tradycyjne konta: ========================= Accounts: ========================== Administrator (S-1-5-21-1243414327-560936753-16861620-500 - Administrator - Disabled) => C:\Users\Administrator Gość (S-1-5-21-1243414327-560936753-16861620-501 - Limited - Disabled) PC (S-1-5-21-1243414327-560936753-16861620-1000 - Administrator - Enabled) => C:\Users\PC Natomiast w kluczy ProfileList jest więcej obiektów, które wyglądają jak odpadki / szczątkowe konta, a taki typ produkuje efekt "Innego użytkownika". Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1243414327-560936753-16861620-1001" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1243414327-560936753-16861620-1002" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1243414327-560936753-16861620-1003" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1243414327-560936753-16861620-1004" /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart systemu. Przedstaw wynikowy plik fixlog.txt i potwierdź, że "Inny użytkownik" zniknął z ekranu logowania. .

Logi z DDS nie są obowiązkowe, usuwam. Temat przenoszę do działu Windows. Oznak infekcji wirusami / trojanami brak, jest tu owszem w systemie niepożądany obiekt typu PUP, czyli niejaki "Przyśpiesz komputer", plus adware PriceGong, ale wątpliwe by produkowały objawy. Tu się rysuje przyczyna systemowa, katastrofalny poziom wolnego miejsca na dysku systemowym, 1GB z hakiem: ==================== Drives ================================ Drive c: (OS) (Fixed) (Total:58.22 GB) (Free:1.76 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: (DATA) (Fixed) (Total:160.02 GB) (Free:77.86 GB) NTFS Musi zostać zwolniona większa ilość miejsca na dysku. Ponadto, jest to komputer ASUS z preintegrowanymi aplikacjami, w tym problematycznym Asus WebStorage. Wstępnie: 1. Rozpocznij od deinstalacji wymienionych wyżej delikwentów, starych wersji oraz zbędnych programów ASUS preintegrowanych przez producenta. Tu cała lista czego można się pozbyć: ==================== Installed Programs ====================== Acrobat.com (Version: 1.6.65 - Adobe Systems Incorporated) Adobe AIR (Version: 2.5.1.17730 - Adobe Systems Inc.) Adobe Flash Player 12 ActiveX (Version: 12.0.0.77 - Adobe Systems Incorporated) Adobe Flash Player 15 Plugin (Version: 15.0.0.152 - Adobe Systems Incorporated) Adobe Reader X (10.1.11) (Version: 10.1.11 - Adobe Systems Incorporated) Adobe Shockwave Player 11.5 (Version: 11.5.9.615 - Adobe Systems, Inc.) Akamai NetSession Interface (Version: - Akamai Technologies, Inc) ASUS AP Bank (Version: 1.0.0.0 - ASUSTEK) ----> podsuwanie ofert trial ASUS FancyStart (Version: 1.0.6 - ASUSTeK Computer Inc.) ----> wymiana grafiki ekranu bootowania ASUS LifeFrame3 (Version: 3.0.20 - ASUS) ----> zrzuter ekranu / edytor powiązany z kamerą ASUS Live Update (Version: 2.5.9 - ASUS) ----> autoaktualizacja sterów/BIOS ASUS MultiFrame (Version: 1.0.0019 - ASUS) ----> system dzielenia okien ASUS Power4Gear Hybrid (Version: 1.1.24 - ASUS) ----> tweaker zasilania ASUS SmartLogon (Version: 1.0.0007 - ASUS) ----> logowanie do komputera za pomocą rozpoznawania twarzy ASUS Splendid Video Enhancement Technology (Version: 1.02.0028 - ASUS) ----> "poprawianie" jakości obrazu ASUS Virtual Camera (Version: 1.0.17 - asus) ----> dostęp więcej niż jednej aplikacji równolegle do kamery Asus WebStorage (Version: 2.0.31.477 - eCareme Technologies, Inc.) ----> wirtualny dysk w chmurze, produkuje problemy w eksploratorze Asystent rejestracji usługi Windows Live (Version: 5.000.818.6 - Microsoft Corporation) CyberLink Power2Go (Version: 6.1.2713 - CyberLink Corp.) Fast Boot (Version: 1.0.4 - ASUS) ----> menedżer startowy ASUS ffdshow v1.2.4486 [2012-08-25] (Version: 1.2.4486.0 - ) Java 7 Update 9 (Version: 7.0.90 - Oracle) Narzędzie do przekazywania usługi Windows Live (Version: 14.0.8014.1029 - Microsoft Corporation) Podstawowe programy Windows Live (Version: 14.0.8117.0416 - Microsoft Corporation) PriceGong 2.6.8 (Version: 2.6.8 - PriceGong) Przyspiesz Komputer (Version: 3.6.6.0 - Speedchecker Limited) Windows Live Sync (Version: 14.0.8117.416 - Microsoft Corporation) Windows Media Player Firefox Plugin (Version: 1.0.0.8 - Microsoft Corp) Omiń te pozycje ASUS, z których korzystasz. 2. Po deinstalacjach: - W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware PriceGong (o ile nadal będzie widoczne po głównej deinstalacji). - W Operze w pasku adresów wklep opera:plugins i ENTER. Wyłącz wtyczki Google, Microsoft, Real i VideoLAN. Następnie z poziomu Opery zainstaluj najnowszą wersję Adobe Flash: KLIK. - Specjalny skrór IE jest uszkodzony. W pasku adresów eksploratora wklej ścieżkę C:\Users\Agata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Mozilla\Firefox\Extensions" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f HKU\S-1-5-21-2125692971-86071360-3323723947-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm CHR HKLM-x32\...\Chrome\Extension: [bkomkajifikmkfnjgphkjcfeepbnojok] - C:\Program Files (x86)\PriceGong\2.6.8\pricegong.crx [2012-10-21] C:\Program Files (x86)\Przyspiesz Komputer C:\Program Files (x86)\PriceGong C:\Users\Agata\AppData\Roaming\Crash Reports C:\Users\Agata\AppData\Roaming\driver C:\Users\Agata\AppData\Roaming\EurekaLog C:\Users\Agata\AppData\Roaming\NetMedia Providers C:\Users\Agata\AppData\Roaming\OpenCandy C:\Users\Agata\AppData\Roaming\Opera RemoveDirectory: C:\FRST\Quarantine EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt Po deinstalacjach i czyszczeniu Temp + Przywracania systemu powinno się zwolnić nieco miejsca na dysku, ale wątpię, by było różowo na dłuższą metę. To są działania doraźne, problem może wrócić. Niestety partycja przeznaczona na system 64-bit może być jednak za mała. .

Ten chkdsk trzeba zrobić, ale to na razie odsuńmy na dalszy plan. Nie jestem pewna czy dobrze rozumiem, to "14 godzin" tyczy checkdiska czy skanu Kaspersky Virus Removal Tool: Pokazujesz mi skan tylko z F, jak rozumiem skanowanie pozostałych partycji (C, D, I) jest nadal w planie, bo wszystkie dyski po kolei należy przeskanować. Tak, nawet jeśli SalityKiller był wcześniej używany na którejś z partycji. Jak mówiłam: tu na forum były tematy, w których po użyciu SalityKiller pełny skan antywirusowy wykonany na tym samym dysku i tak wykazał pliki Sality. Po to jest robiony skan innym skanerem teraz. Jeśli trwa długo, trudno, nie chcesz robić formatu, to wykaż cierpliwość. Pliki wykazane jako zainfekowane Kaspersky ma poddać leczeniu, a jeśli się nie uda, pliki są do wyrzucenia. Właścicie to nie trudziłabym się z leczeniem tych pokazanych tu w logu tylko od razu SHIFT+DEL (kasowanie z omijaniem Kosza), bo to głównie instalki, które na świeżo możesz sobie pobrać ponownie. .

Proszę czytaj uważniej instrukcje tworzenia raportów. W FRST opcja "Drivers MD5" nie miała być zaznaczona. Temat przenoszę do działu Windows. Tytułowy problem nie jest pochodną infekcji. 1. Zacznij od wyłączenia zbędnych elementów startowych. Uruchom Autoruns i odznacz następujące obiekty: ----> W karcie Services pozycje AdobeARMservice, c2cautoupdatesvc, c2cpnrsvc, hpqcxs08, hpqddsvc, HPSLPSVC, Net Driver HPZ12, PMBDeviceInfoProvider. ----> W karcie Logon poniżej zakreślone pozycje (szukasz nazwa w [nawiasach]): HKLM-x32\...\Run: [uCam_Menu] => C:\Program Files (x86)\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe [222504 2009-05-19] (CyberLink Corp.) HKLM-x32\...\Run: [iSUSScheduler] => C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe [81920 2004-06-16] (InstallShield Software Corporation) HKLM-x32\...\Run: [PMBVolumeWatcher] => C:\Program Files (x86)\Sony\PMB\PMBVolumeWatcher.exe [648032 2010-11-26] (Sony Corporation) HKLM-x32\...\Run: [HP Software Update] => C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe [49208 2011-05-10] (Hewlett-Packard) HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959176 2014-08-21] (Adobe Systems Incorporated) HKLM-x32\...\Run: [hpqSRMon] => C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSRMon.exe [150528 2008-07-22] (Hewlett-Packard) HKLM-x32\...\Run: [sunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [507776 2014-10-07] (Oracle Corporation) HKU\S-1-5-21-233006258-18527085-3623643150-1000\...\Run: [iSUSPM Startup] => C:\Program Files (x86)\Common Files\InstallShield\UpdateService\ISUSPM.exe [221184 2004-06-16] (InstallShield Software Corporation) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk ----> W karcie Scheduled Tasks wszystkie zadania kierujące do "HP\Digital Imaging", "Samsung Update Plus", "Samsung Support Center", "Microsoft Office", "Common Files\Microsoft Shared", Nufsoft, Skype, Corel, Adobe Flash: ==================== Scheduled Tasks (whitelisted) ============= Task: {0EDBB0DE-F879-4DF5-82F4-DE68A0AB0BE2} - System32\Tasks\{6D57F10C-7C6F-47E9-AA40-25FA5112970E} => C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe [2009-05-21] (Hewlett-Packard Company) Task: {1110BEC6-03EB-476F-AED1-AB363D9EF47A} - System32\Tasks\{502EDDC4-8358-4606-9FF6-7D8EF3B4A2CB} => C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe [2009-05-21] (Hewlett-Packard Company) Task: {21A9FD56-5FA3-4564-9FAE-068A55177FF5} - System32\Tasks\{1B205510-0FC7-4854-A639-2277CA1D3BAF} => C:\Program Files (x86)\Skype\Phone\Skype.exe [2014-10-01] (Skype Technologies S.A.) Task: {424CA60A-2587-4BE4-B091-0399A26DBA40} - System32\Tasks\{34883709-96A0-4266-A8B1-36FF487DDA53} => C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe [2009-05-21] (Hewlett-Packard Company) Task: {4C617067-C474-4A6D-A1DD-F0F59CE6F555} - System32\Tasks\{FF520B28-D09C-4329-9B51-8517F7A15021} => C:\Program Files (x86)\Microsoft Office\OFFICE11\POWERPNT.EXE [2011-04-20] (Microsoft Corporation) Task: {5BFA9C3D-3C3D-4516-8F77-D4A08EC02AF6} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2014-11-20] (Adobe Systems Incorporated) Task: {7105A300-27A0-46CE-9955-AA9820E31DF6} - System32\Tasks\{CD6345FD-ACE9-4A8D-AF8C-A2419552B51F} => C:\Program Files (x86)\Corel\Corel Graphics 12\Programs\CorelPP.exe [2004-06-10] (Corel Corporation) Task: {7DFF0858-6550-49BD-AC24-B7F7774D9A0F} - System32\Tasks\{DD28E022-F582-4FE4-9201-DAB6427BC1B7} => C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe [2009-05-21] (Hewlett-Packard Company) Task: {82A03798-CC53-41FD-9DEE-7BC81EC9C476} - System32\Tasks\{5DA41BDA-2967-4AA0-A634-9A16BEB82369} => C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe [2009-05-21] (Hewlett-Packard Company) Task: {8E5E464B-C465-405C-95D8-2482ADB87EDD} - System32\Tasks\{EED0292C-518C-4293-84E2-EAAED2BB3C80} => C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe [2009-05-21] (Hewlett-Packard Company) Task: {90443662-86C8-4261-86BA-25CDBFBEA3F8} - System32\Tasks\{D2DDAA20-2561-4625-851C-CFF1BB87F5C3} => C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe [2009-05-21] (Hewlett-Packard Company) Task: {9F8313F3-41C2-4772-AF77-B9EC08FE6145} - System32\Tasks\SUPBackground => C:\Program Files\Samsung\Samsung Update Plus\SUPBackground.exe Task: {A8351280-B4B1-4B3E-86D8-82EB8BAD9710} - System32\Tasks\SamsungSupportCenter => C:\Program Files (x86)\Samsung\Samsung Support Center\SSCKbdHk.exe [2010-05-06] (SAMSUNG Electronics) Task: {B1405C25-C651-4508-B8B1-60C384548FA7} - System32\Tasks\Microsoft\Windows\TabletPC\InputPersonalization => C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe [2009-07-14] (Microsoft Corporation) Task: {BA404A94-0207-4466-B7AA-9733A601BB76} - System32\Tasks\{5B2AEA1E-C42D-4DBB-A265-B36CE63A0BC8} => C:\Program Files (x86)\Microsoft Office\OFFICE11\POWERPNT.EXE [2011-04-20] (Microsoft Corporation) Task: {ED2DF751-B92E-4298-B757-CCDB92B25565} - System32\Tasks\{1D31D6CB-A908-40CF-9AAE-AF2AACD0947C} => C:\Program Files (x86)\Nufsoft\NatureStudio\NatureStudio.exe [2010-05-20] (Nufsoft) Task: {F262112D-53AD-43BC-AEBC-D1D1D40B93DC} - System32\Tasks\{F78A2664-E1A9-4B7E-8F72-CFF719347989} => C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe [2009-05-21] (Hewlett-Packard Company) Task: {FF6554B1-DAA2-4D59-B45E-28835F1548C4} - System32\Tasks\{D74CF746-1014-4D2F-816B-CD2162E30EFD} => C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe [2009-05-21] (Hewlett-Packard Company) Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe 2. Widzę w Dzienniku zdarzeń dodatkowy problem z jednym z dostawców cieniowania woluminu: Error: (11/17/2014 00:50:10 PM) (Source: VSS) (EventID: 8193) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas wywoływania procedury CoCreateInstance. hr = 0x80040154, Klasa niezarejestrowana. Operacja: Tworzenie wystąpienia serwera VSS Error: (11/17/2014 00:50:10 PM) (Source: VSS) (EventID: 22) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: Krytyczny składnik wymagany przez Usługę kopiowania woluminów w tle nie jest zarejestrowany. Mogło to nastąpić, jeżeli podczas instalacji systemu Windows lub dostawcy kopii w tle wystąpił błąd. Funkcja CoCreateInstance wykonywana na klasie z identyfikatorem CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} i nazwą IVssCoordinatorEx2 zwróciła błąd [0x80040154, Klasa niezarejestrowana.]. Operacja: Tworzenie wystąpienia serwera VSS Otwórz Notatnik i wklej w nim: Reg: reg export HKLM\SYSTEM\CurrentControlSet\services\VSS\Providers C:\Users\Agata\Desktop\Kopia.reg Reg: reg delete HKLM\SYSTEM\CurrentControlSet\services\VSS\Providers\{e579ab5f-1cc4-44b4-bed9-de0991ff0623} /f Reg: reg delete HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\gopher /f CMD: del /q C:\DelFix.txt Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dodatkowo, na Pulpicie powstał plik Kopia.reg, zachowaj go. 3. Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. W sekcji Dzienniki zdarzeń systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. 4. Zresetuj system. Zrób nowy log FRST z opcji Scan, zaznacz ponownie Addition, natomiast Shortcut zbędny. Dołącz też plik fixlog.txt. Wypowiedz się czy są pozytywne zmiany. .

Lista sterowników zbudowana w oparciu o poniższy fragment (z pominięciem trzech, które już były publikowane ręcznie): 1. Otwórz Notatnik i wklej w nim: pnputil -a C:\Windows\WinSxS\amd64_1394.inf_31bf3856ad364e35_6.1.7600.16385_none_572448461f98f8b9\1394.inf pnputil -a C:\Windows\WinSxS\amd64_acpi.inf_31bf3856ad364e35_6.1.7600.16385_none_7e7db5aae7b8d5ef\acpi.inf pnputil -a C:\Windows\WinSxS\amd64_acpipmi.inf_31bf3856ad364e35_6.1.7600.16385_none_0373a89dda2cfd45\acpipmi.inf pnputil -a C:\Windows\WinSxS\amd64_amdsata.inf_31bf3856ad364e35_6.1.7600.16778_none_a86fa1499b91322f\amdsata.inf pnputil -a C:\Windows\WinSxS\amd64_atiilhag.inf_31bf3856ad364e35_6.1.7600.16385_none_019357585ef99a63\atiilhag.inf pnputil -a C:\Windows\WinSxS\amd64_bth.inf_31bf3856ad364e35_6.1.7600.16385_none_ce39b5e2d5423e3c\bth.inf pnputil -a C:\Windows\WinSxS\amd64_bth.inf_31bf3856ad364e35_6.1.7600.17058_none_ce5d0a0ad527589a\bth.inf pnputil -a C:\Windows\WinSxS\amd64_cdrom.inf_31bf3856ad364e35_6.1.7600.16385_none_bb9e4d89bd7870f1\cdrom.inf pnputil -a C:\Windows\WinSxS\amd64_compositebus.inf_31bf3856ad364e35_6.1.7600.16385_none_154dc573087a0f57\compositebus.inf pnputil -a C:\Windows\WinSxS\amd64_dot4prt.inf_31bf3856ad364e35_6.1.7600.16385_none_c930151d86679f65\dot4prt.inf pnputil -a C:\Windows\WinSxS\amd64_hdaudbus.inf_31bf3856ad364e35_6.1.7600.16385_none_d3168488a0382790\hdaudbus.inf pnputil -a C:\Windows\WinSxS\amd64_hdaudio.inf_31bf3856ad364e35_6.1.7600.16385_none_7155277681210fe2\hdaudio.inf pnputil -a C:\Windows\WinSxS\amd64_hpsamd.inf_31bf3856ad364e35_6.1.7600.16385_none_592be18ba710a0a9\hpsamd.inf pnputil -a C:\Windows\WinSxS\amd64_iastorv.inf_31bf3856ad364e35_6.1.7600.16385_none_0b06441fa1790136\iastorv.inf pnputil -a C:\Windows\WinSxS\amd64_iastorv.inf_31bf3856ad364e35_6.1.7600.16778_none_0b141c81a16e25e6\iastorv.inf pnputil -a C:\Windows\WinSxS\amd64_input.inf_31bf3856ad364e35_6.1.7600.16385_none_7c648b6e39ceb682\input.inf pnputil -a C:\Windows\WinSxS\amd64_ipmidrv.inf_31bf3856ad364e35_6.1.7600.16385_none_579de39905436081\ipmidrv.inf pnputil -a C:\Windows\WinSxS\amd64_iscsi.inf_31bf3856ad364e35_6.1.7600.16385_none_98b8b75b0d57b8d5\iscsi.inf pnputil -a C:\Windows\WinSxS\amd64_keyboard.inf_31bf3856ad364e35_6.1.7600.16385_none_f3435f7ff2a9f325\keyboard.inf pnputil -a C:\Windows\WinSxS\amd64_mdmcpq.inf_31bf3856ad364e35_6.1.7600.16385_none_cf098f98ce7c53f4\mdmcpq.inf pnputil -a C:\Windows\WinSxS\amd64_mchgr.inf_31bf3856ad364e35_6.1.7600.16385_none_70ef9bc772fd4ddf\mchgr.inf pnputil -a C:\Windows\WinSxS\amd64_modemcsa.inf_31bf3856ad364e35_6.1.7600.16385_none_7620f8db64823fb5\modemcsa.inf pnputil -a C:\Windows\WinSxS\amd64_mpio.inf_31bf3856ad364e35_6.1.7600.16385_none_7927ce42a9054615\mpio.inf pnputil -a C:\Windows\WinSxS\amd64_msdsm.inf_31bf3856ad364e35_6.1.7600.16385_none_263c345bf53c9824\msdsm.inf pnputil -a C:\Windows\WinSxS\amd64_ntprint.inf_31bf3856ad364e35_6.1.7600.16385_none_96f58ea8d463e7df\ntprint.inf pnputil -a C:\Windows\WinSxS\amd64_nvraid.inf_31bf3856ad364e35_6.1.7600.16385_none_95cfb4ced8afab0e\nvraid.inf pnputil -a C:\Windows\WinSxS\amd64_prnms002.inf_31bf3856ad364e35_6.1.7600.16385_none_ae3b5810d472cfda\prnms002.inf pnputil -a C:\Windows\WinSxS\amd64_sbp2.inf_31bf3856ad364e35_6.1.7600.16385_none_a12d96940fd44015\sbp2.inf pnputil -a C:\Windows\WinSxS\amd64_sdbus.inf_31bf3856ad364e35_6.1.7600.16385_none_cdd7ae6ae4081881\sdbus.inf pnputil -a C:\Windows\WinSxS\amd64_sffdisk.inf_31bf3856ad364e35_6.1.7600.16385_none_00307aaa039afa70\sffdisk.inf pnputil -a C:\Windows\WinSxS\amd64_transfercable.inf_31bf3856ad364e35_6.1.7600.16385_none_bc9494d8ab88ddb0\transfercable.inf pnputil -a C:\Windows\WinSxS\amd64_tsprint.inf_31bf3856ad364e35_6.1.7600.16385_none_c7ead9b55f005f5e\tsprint.inf pnputil -a C:\Windows\WinSxS\amd64_umbus.inf_31bf3856ad364e35_6.1.7600.16385_none_67d0ba7ede50ad04\umbus.inf pnputil -a C:\Windows\WinSxS\amd64_usb.inf_31bf3856ad364e35_6.1.7600.16788_none_26f0611328209ab7\usb.inf pnputil -a C:\Windows\WinSxS\amd64_usb.inf_31bf3856ad364e35_6.1.7600.16385_none_26ed589d28235a16\usb.inf pnputil -a C:\Windows\WinSxS\amd64_usbcir.inf_31bf3856ad364e35_6.1.7600.16385_none_fa3c88e716331440\usbcir.inf pnputil -a C:\Windows\WinSxS\amd64_usbport.inf_31bf3856ad364e35_6.1.7600.16788_none_19ba59901d3be89e\usbport.inf pnputil -a C:\Windows\WinSxS\amd64_usbport.inf_31bf3856ad364e35_6.1.7600.16385_none_19b7511a1d3ea7fd\usbport.inf pnputil -a C:\Windows\WinSxS\amd64_usbstor.inf_31bf3856ad364e35_6.1.7600.16385_none_a47b405db18421ea\usbstor.inf pnputil -a C:\Windows\WinSxS\amd64_usbvideo.inf_31bf3856ad364e35_6.1.7600.16385_none_89f0e22bd444d0e7\usbvideo.inf pnputil -a C:\Windows\WinSxS\amd64_usbvideo.inf_31bf3856ad364e35_6.1.7600.16543_none_8a1a2513d42628c3\usbvideo.inf pnputil -a C:\Windows\WinSxS\amd64_vhdmp.inf_31bf3856ad364e35_6.1.7600.16385_none_0285500ee34e5401\vhdmp.inf pnputil -a C:\Windows\WinSxS\amd64_volume.inf_31bf3856ad364e35_6.1.7600.17122_none_71e96d3e15982d1c\volume.inf pnputil -a C:\Windows\WinSxS\amd64_volume.inf_31bf3856ad364e35_6.1.7600.16385_none_71aba92815c60174\volume.inf pnputil -a C:\Windows\WinSxS\amd64_wdma_usb.inf_31bf3856ad364e35_6.1.7600.16385_none_c90ccd48d08bec08\wdma_usb.inf pnputil -a C:\Windows\WinSxS\amd64_winusb.inf_31bf3856ad364e35_6.1.7600.16385_none_53e9d62d2f5260f8\winusb.inf pnputil -a C:\Windows\WinSxS\amd64_wpdcomp.inf_31bf3856ad364e35_6.1.7600.16385_none_d5863399252fe49e\wpdcomp.inf pnputil -a C:\Windows\WinSxS\amd64_wudfusbcciddriver.inf_31bf3856ad364e35_6.1.7600.16385_none_be6ea1501b65c8c9\wudfusbcciddriver.inf pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Zweryfikuj w oknie czy nie wystąpiły żadne błędy. 2. Zresetuj system i ponów próbę instalacji SP1.