picasso

Proszę przeczytaj czego unikać, skąd nie pobierać: KLIK. No cóż, adware znów się pojawiło w systemie. Poza tym, będę usuwać obiekty Firefox i Google Chrome, obie przeglądarki wyglądają na odinstalowane (ale z pozostawieniem profilów na dysku). I przechodzimy do czyszczenia systemu: 1. Przez Panel sterowania odinstaluj adware DiscountLocator, Optimizer Pro v3.2. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/default Task: {C11F0B9C-B0CB-4002-BAFA-9D3F2625E209} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x95000000 C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\Program Files (x86)\Optimizer Pro C:\ProgramData\26a8f481a0ac6502 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2 C:\Users\pc\AppData\Local\{*} C:\Users\pc\AppData\Local\Google C:\Users\pc\AppData\Roaming\Mozilla C:\Users\pc\AppData\Roaming\Optimizer Pro C:\Users\pc\Documents\Optimizer Pro C:\windows\system32\SET*.tmp Reg:reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Nie wiadomo co się stało z wadliwymi komponentami IE10 (czy na pewno zostały zlikwidowane), ale skoro IE11 udało się zainstalować i działa, to zakończmy na tym. Końcowe kroki do wdrożenia: KLIK.

Brak oznak infekcji, tylko z Pulpitu skasuj skrót adware Continue HijackThis installation.lnk. Temat przenoszę na razie do działu Software, ale może i do Sieci wskoczy w zależności od odpowiedzi na to pytanie: Czy problem występuje tylko w Firefox? W tle jest uruchomiona Opera, czy tam są podobne objawy? .

Skrypt do FRST w ogóle nie został wykonany. Powtarzaj punkt 2 z poprzedniej instrukcji, dostarcz wynikowy fixlog.txt, a po tym zrób nowy log z FRST (bez Addition i Shortcut). Tu mi chodziło, iż jest to tak stara wersja (z 2006), zresztą instalowana na nowoczesnym Windows 8, że aż strach korzystać. Przeterminowane oprogramowanie ma luki zabezpieczeń i może być używane do infekowania systemu. Ten stary Adobe Reader to chodząca bomba zegarowa. Nie wiem dlaczego takie wersje zostały pobrane, bo w czasie gdy je pobierałaś były z pewnością nowsze dostępne pod tymi linkami... .

Czyli błąd jest całkowicie inny niż "Odmowa dostępu". Czy przypadkiem dysk C z Windows nie jest tam wyliczany dwa razy: pozycja C (SYSTEM) + C (BRAK)?

Nie, w Trybie awaryjnym miał być zastosowany tylko Norton Removal Tool. Reszta operacji (włączając w to log z FRST) w Trybie normalnym. Wszystko wygląda na wykonane. Czy po przeprowadzonych działaniach jest poprawa? I drobne poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-734105705-3626116736-685646401-1000\...\Run: [GoogleDriveSync] => "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKCU - No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 Task: {2658CF9F-C69D-4694-ACA4-22BF2D49E36E} - System32\Tasks\Norton 360\Norton Error Analyzer => C:\Program Files (x86)\Norton 360\Engine\21.6.0.32\SymErr.exe [2014-01-30] (Symantec Corporation) Task: {A86F9031-DD5A-41B7-AB85-116375CB4A96} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton 360\Engine\21.6.0.32\WSCStub.exe [2014-09-21] (Symantec Corporation) Task: {EDAA73BD-FA3F-4259-A6DC-B954A5ADF79A} - System32\Tasks\Norton 360\Norton Error Processor => C:\Program Files (x86)\Norton 360\Engine\21.6.0.32\SymErr.exe [2014-01-30] (Symantec Corporation) RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\Users\dib\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\System32\Tasks\Norton 360 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Akcja pomyślnie wykonana. Kończymy. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Wszystko wykonane. Kolejne poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Program Files (x86)\BrowseStudio C:\Program Files (x86)\savernet C:\ProgramData\374311380 C:\ProgramData\45b2954f6a0b4fc3 C:\ProgramData\ddc24aa9-6c5d-44d0-8c40-9bed83bb2ab7 C:\ProgramData\CheapCoupon C:\ProgramData\savernet C:\Users\bungar\AppData\Roaming\Systweak C:\Windows\msdownld.tmp CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\bungar\AppData\Local CMD: dir /a C:\Users\bungar\AppData\LocalLow CMD: dir /a C:\Users\bungar\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt. .

Odtwórz klucz usunięty przez AdwCleaner. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /f Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v 8358123696A4F79448550924160B9E4E /t REG_SZ /d C:\?WINDOWS\SysWOW64\msvcr71.dll /f Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Możliwe, iż infekcja zablokowała foldery usuwając wszystkie uprawnienia. Pokaż mi uprawnienia i zawartość folderów AVG, czyli otwórz Notatnik i wklej w nim: Folder: C:\Program Files (x86)\AVG Folder: C:\ProgramData\AVG ListPermissions: C:\Program Files (x86)\AVG ListPermissions: C:\Program Files (x86)\AVG\AVG PC TuneUp ListPermissions: C:\ProgramData\AVG Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Parametr /a = pokazywanie wszystkich atrybutów (czyli także HS), parametr /s = skan rekursywny uwzględniający rozwinięcie podfolderów. Są spacje w ścieżce, dlatego należy ująć całą ścieżkę w cudzysłów.

Nie wszystko jest w porządku. W systemie nadal jest adware, więc należy to doczyścić. Przeprowadź następujące działania: 1. Na początek deinstalacje: - Przez Panel sterowania odinstaluj starą niebezpieczną Java 6 Update 22. - Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaintainerSvc4.07.4104264; C:\ProgramData\398c0b96-ebd3-4f67-a5c7-1899a15c12be\maintainer.exe [123680 2014-11-11] () R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}Gw; C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw.sys [52928 2014-06-19] (StdLib) R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}w; C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w.sys [52928 2014-06-23] (StdLib) S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] AppInit_DLLs: c:\progra~2\bitguard\271832~1.68\{c16c1~1\bitguard.dll => c:\progra~2\bitguard\271832~1.68\{c16c1~1\bitguard.dll File Not Found Task: {2AC9DCD1-04DF-4B6F-87C8-F038D8DEB958} - System32\Tasks\{8E2AD033-553E-4C15-9C68-F860947658DB} => Firefox.exe http://ui.skype.com/ui/0/6.0.0.126/pl/abandoninstall?page=tsProgressBar Task: {F34BC672-FA10-40E4-8260-B9C908A9203B} - System32\Tasks\{86976A0B-9403-4687-8BB6-E512C68DF19F} => Firefox.exe http://ui.skype.com/ui/0/6.6.0.106/pl/go/help.faq.installer?LastError=1604 GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=128 HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140620 SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear BHO: Jump Flip -> {b630c560-975d-41a3-9a95-cbc23ad991e4} -> C:\Program Files\Jump Flip\JumpFlipBHO.dll (Jump Flip) Toolbar: HKLM - No Name - {48586425-6bb7-4f51-8dc6-38c88e3ebb58} - No File FF Plugin: @VideoDownloadConverter_4z.com/Plugin -> C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll No File FF Plugin: @VideoDownloadConverter_ScriptHelper.com/Plugin -> C:\Program Files\VideoDownloadConverter\npVDCPlugin.dll No File FF HKLM\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files\RelevantKnowledge\firefox C:\Program Files\Greener Web C:\Program Files\Jump Flip C:\ProgramData\398c0b96-ebd3-4f67-a5c7-1899a15c12be C:\Users\madziola\AppData\Local\Google\Chrome C:\Users\madziola\AppData\Local\Torpedo C:\Users\madziola\Downloads\*_Sciagnij.pl.exe C:\Users\madziola\Downloads\TorpedoSetup.exe C:\Users\madziola\Downloads\Torpedo C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw.sys C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: for /d %f in (C:\Users\madziola\AppData\Local\{*}) do rd /s /q "%f" CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\madziola\AppData\Local CMD: dir /a C:\Users\madziola\AppData\LocalLow CMD: dir /a C:\Users\madziola\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus i Ghostery) trzeba będzie potem przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Komenda cmd: dir /a /s "C:\Users\nazwa uzytkownika\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5"

Odznacz w Opcjach folderów Ukryj chronione pliki systemu operacyjnego, a pewnie zobaczysz te brakujące obiekty. I poproszę o log z USBFix z opcji Listing zrobiony przy podpiętym urządzeniu. .

Brakuje pliku FRST Shortcut. I dlaczego FSS został pobrany z innej strony niż domowa? Te narzędzia pobiera się tylko ze stron domowych, tylko tam gwarancja najnowszej dostępnej wersji. 2014-11-12 16:28 - 2014-11-12 16:28 - 00415232 _____ (Farbar) C:\Users\Gregor\Downloads\FSS_www.INSTALKI.pl.exe Tu jeszcze nie koniec napraw. ZeroAccess zdewastował Winsock oraz usługi Windows, są do usunięcia też inne odpadki. Zaś instalacje AVG konkretnie uszkodziłeś, nie działają wcale, tylko mnie dziwi, że AVG Remover nie był w stanie usunąć niektórych elementów. Do przeprowadzenia kolejne działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 06 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5-x64 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 06 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Task: {1A634002-A737-4D27-A600-6CC5806A047C} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{CBE2B3B2-C7B4-4E42-A141-B9F00CF7D24E}.exe Task: {1C96B53A-0A40-43E5-8867-0764CFE7E759} - System32\Tasks\{6A71A16E-6AB2-4768-A162-6C8BD6538585} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?source=lightinstaller&page=tsProgressBar Task: {B397A0A3-C5D3-4FC0-9114-4E3A7E1AAC16} - System32\Tasks\{861CA96E-70DB-4152-A5B1-F0AF3F0432E3} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?source=lightinstaller&page=tsProgressBar Task: {B3B0FC60-976C-41D2-96B9-3B5226C0EE2D} - System32\Tasks\{104AC7CE-EFE8-444E-959A-03A104099E48} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?source=lightinstaller&page=tsBing Task: {C322016C-CDCD-49C5-9BCE-4C3861CB945A} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{A3CC968A-58FB-42A9-9589-FB6C05B630C0}.exe Task: {C55F4DF9-3E8A-47D6-B97D-E183441ABB14} - System32\Tasks\{0FEC809B-F74A-4283-914D-2428B424C43E} => D:\AfterFX.exe Task: {CB929F5D-E560-4264-B139-C7264E876C87} - System32\Tasks\{D2D9B148-468B-4019-8B9D-41FC44738BEE} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?source=lightinstaller&page=tsProgressBar HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=128 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={3C153BBE-6337-4B1B-98EC-C681B1868B8B}&mid=42760d473b5647d0895099127fe0394e-f098aa263336bb89bd3031ed9a2eb476dabd5051&lang=pl&ds=xn011&pr=sa&d=2012-09-23 08:58:38&v=14.2.0.1&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={3C153BBE-6337-4B1B-98EC-C681B1868B8B}&mid=42760d473b5647d0895099127fe0394e-f098aa263336bb89bd3031ed9a2eb476dabd5051&lang=pl&ds=xn011&pr=sa&d=2012-09-23 08:58:38&v=14.2.0.1&pid=avg&sg=0&sap=dsp&q={searchTerms} BHO-x32: AVG Security Toolbar -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files (x86)\AVG Secure Search\18.1.9.799\AVG Secure Search_toolbar.dll No File BHO-x32: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll No File Toolbar: HKLM-x32 - AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\18.1.9.799\AVG Secure Search_toolbar.dll No File Toolbar: HKU\S-1-5-21-2594288395-2575548641-1274416727-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKU\S-1-5-21-2594288395-2575548641-1274416727-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab Handler-x32: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\18.1.9\ViProtocol.dll (AVG Secure Search) FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\18.1.9\\npsitesafety.dll No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\18.1.9.799 FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\avg-secure-search.xml FF user.js: detected! => C:\Users\Gregor\AppData\Roaming\Mozilla\Firefox\Profiles\bcxsag28.default\user.js FF user.js: detected! => C:\Users\Gregor\AppData\Roaming\Mozilla\Firefox\Profiles\8lm0pfex.default-1354916507328\user.js C:\Program Files (x86)\AVG C:\Program Files (x86)\Common Files\AVG Secure Search C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\AVG Secure Search C:\ProgramData\MFAData C:\ProgramData\Temp C:\Users\Gregor\AppData\Local\Avg2015 C:\Users\Gregor\AppData\Local\Google\Chrome C:\Users\Gregor\AppData\Roaming\Systweak CMD: netsh winsock reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei wpisy AVG 2013 i AVG Security Toolbar > Dalej 3. Uruchom ServicesRepair i zresetuj system. 4. Zrób nowe logi: FRST z opcji Scan (zaznacz pola Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. .

Proszę dostosuj się do zasad działu w kwestii obowiązujących tu raportów: KLIK. OTL (zresztą niekompletny - brak pliku Extras) jest przestarzały i sprawdzany tu tylko pobocznie. Dostarcz obowiązkowe raporty z FRST.

Rozumiem, że cały czas dręczy "0x80070490 - ERROR_NOT_FOUND". W takim układzie zrobię BAT publikujący hurtem sterowniki, tylko potrzebuję na to czasu, bo muszę wrócić do ogólnego kompletnego raportu CBS.LOG i z odpowiedniej sekcji zbudować listę sterowników.

Ten błąd oznacza, iż jest wyłączona usługa Dziennik zdarzeń (nadrzędna zależność dla Harmonogramu). Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog] "Start"=dword:00000002 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. .

O ile dobrze rozumiem, na tym etapie dysk z Windows 7 był obecny podczas próby instalacji XP. Objaw sugeruje, że instalator XP nadpisał obszar startowy dysku z Windows 7. Poproszę o log z FRST. On przynajmniej pokaże jaki jest rozkład partycji i jaka obecnie sygnatura jest w MBR (kod zgodny z XP czy z Windows 7). Tam jest podana również naprawa przy udziale środowiska RE systemu Windows 7 (czyli bez korzystania z żadnych dodatkowych rozwiązań), do którego przecież masz dostęp, bo uruchamiałeś "Narzędzie do naprawy systemu". Czy w ogóle próbowałeś komendy bootrec (z przełącznikami /FixMbr /FixBoot i /RebuildBcd)? .

Ów "Fix" był bez sensu jak mówię, on nic nie usunął, bo brak takich ścieżek / elementów w Twoim systemie. Poza tym, to jakiś lewy skrypt, od góry do dołu błędy formatowania (brak ukośników w ścieżkach) i on się by nawet nie wykonał na sytemie na którym te ścieżki występują. Jedyne co u Ciebie się wykonało to komenda czyszczenia Tempów, ale to nie miało związku z rozwiązaniem problemu. Problem stanowiło rozszerzenie adware w Firefox i to reset Firefox pomógł. Poprawki na szczątki adware oraz odinstalowanych programów: 1. Odinstaluj zbędny McAfee Security Scan Plus. To instalacja sponsorowana przeszmuglowana z instalatorem Adobe Flash (KLIK) nie związana z główną instalacją McAfee LiveSafe – Internet Security. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 Update AppEnable; "C:\Program Files (x86)\AppEnable\updateAppEnable.exe" [X] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\...\Policies\Explorer: [NoControlPanel] 0 C:\Program Files (x86)\AppEnable C:\Program Files (x86)\Google C:\Program Files (x86)\Opera C:\ProgramData\1b9456f179c8542c C:\ProgramData\e25f457c-9287-4f2d-b5a8-8cd714c55009 C:\Users\Monika\AppData\Local\Google C:\Users\Monika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk C:\Users\Monika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\Monika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk C:\Users\Monika\Downloads\*.part RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Monika\Downloads\FRST-OlderVersion Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Akcje wykonane, ale AdwCleaner omyłkowo usunął poniższy klucz, który jest ogólnym kluczem komponentu i jeśli był związany z poprawnym programem, nastąpiło uszkodzenie: Klucz Usunięto : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 Poproszę o wgląd do kopii zapasowej co w nim było. Otwórz Notatnik i wklej w nim: Reg: reg load HKLM\Temp C:\FRST\Hives\SOFTWARE Reg: reg query HKLM\Temp\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /s Reg: reg unload HKLM\Temp Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw fixlog.txt. .

Na temat pobranych / używanych narzędzi: - Od ComboFix z daleka: KLIK - HijackThis to przestarzałe narzędzie. Coś za jego pomocą usuwałeś, co to było? W przeglądarce Google Chrome jest zainstalowane lewe rozszerzenie "Video download helper" produkujące reklamy. Dla porównania ten temat: KLIK. CHR Extension: (Video download helper) - C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Extensions\dbkchnicaiglcjpgbmpfmoafckkomdcm [2014-08-04] Kolejna sprawa: lista zainstalowanych programów jest podejrzanie krótka, a Java jest niby zainstalowana, a kompletny brak wejścia na liście zainstalowanych. Do wykonania: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Video download helper Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Deinstalacje: - Przez Panel sterowania odionstaluj YTD Video Downloader (ma adware w instalatorze). - Zastosuj narzędzie Java Uninstall Tool: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {B7240AFC-09D0-4727-87CD-D3CB8392E575} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files\Optimizer Pro\OptProLauncher.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-4031139651-2253220957-3423017622-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://uk.yahoo.com?fr=hp-avast&type=avastbcl HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = https://uk.yahoo.com?fr=hp-avast&type=avastbcl SearchScopes: HKLM - DefaultScope {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://uk.search.yahoo.com/yhs/search?type=avastbcl&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKLM - {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://uk.search.yahoo.com/yhs/search?type=avastbcl&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKCU - DefaultScope {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://uk.search.yahoo.com/yhs/search?type=avastbcl&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKCU - {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://uk.search.yahoo.com/yhs/search?type=avastbcl&hspart=avast&hsimp=yhs-001&p={searchTerms} C:\Program Files\Settings Manager C:\Program Files\TuneUp Utilities 2014 C:\ProgramData\21df37dcfea74d1 C:\ProgramData\HTC C:\ProgramData\Performance Optimizer C:\ProgramData\TuneUp Software C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TuneUp Utilities 2014 C:\Users\Kamil\AppData\Local\Linkey C:\Users\Kamil\AppData\Local\SearchProtect C:\Users\Kamil\AppData\Local\TuneUp Software C:\Users\Kamil\AppData\Roaming\Search Protection C:\Users\Kamil\AppData\Roaming\TuneUp Software C:\Users\Kamil\Downloads\*(*)-dp*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Podsumuj co się dzieje w Google Chrome. .

Fix został uruchomiony więcej niż raz, skrypty są jednorazowanego użytku, nie wolno ich powtarzać (nie zostaną ponownie przetworzone te same rekordy). Tu w wynikach połowa "not found". Co się działo, że skrypt był powtarzany? I kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Opera C:\Users\Iza\AppData\Local\LSC C:\Users\Iza\AppData\Local\Opera Software C:\Users\Iza\AppData\LocalLow\Protect C:\Users\Iza\AppData\LocalLow\Temp C:\Users\Iza\AppData\Roaming\CUGUOZ C:\Users\Iza\AppData\Roaming\STKMWBD C:\Users\Iza\AppData\Roaming\ZEU C:\Users\Iza\AppData\Roaming\Opera Software RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 1. Był używany wcześniej stary AdwCleaner v3.311. Pobierz najnowszą wersję z przyklejonego: KLIK. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowy log z folderu C:\AdwCleaner. .

Nie wiem skąd były pobierane narzędzia, ale użyte wersje nie są najnowsze: - Posługujesz się wersją FRST z 4 listopada, bieżąca wersja jest wczoraj. Link w przyklejonym: KLIK. - Zastosowany AdwCleaner v3.214, a najnowsza wersja to v4.101. Link w przyklejonym: KLIK. Rozszerzenie ZIP jest niedopuszczalne w załącznikach, każdy by sobie mógł ładować paczki niewiadomego pochodzenia (nawet z wirusami). Jedyne dopuszczalne formaty to TXT. Logi AdwCleaner należy dołączać z osobna. Proszę o dostarczenie wszystkich raportów z oznaczeniem S: AdwCleaner[s0].txt - [4438 octets] - [01/07/2014 15:00:45] AdwCleaner[s1].txt - [1595 octets] - [23/07/2014 13:07:15] AdwCleaner[s2].txt - [1082 octets] - [29/07/2014 22:10:46] AdwCleaner[s3].txt - [1888 octets] - [13/08/2014 19:38:00] AdwCleaner[s4].txt - [1323 octets] - [14/08/2014 23:53:22] AdwCleaner[s5].txt - [1443 octets] - [02/10/2014 13:58:22] AdwCleaner[s6].txt - [3553 octets] - [09/11/2014 22:43:27] Skan OTL przestawia opcje Widoku związane z pokazywaniem ukrytych. Ma to na celu uproszczenie pomocy, gdyby była konieczność ręcznego skasowania czegoś. Po prostu w Opcjach folderów zaznacz z powrotem Ukryj chronione pliki systemu operacyjnego. Jeśli chodzi o stan systemu, to są odpadki adware wiodoczne, Proxy w Internet Explorer nadal czynne, a system jest zgwałcony instalacjami antywirusowymi, tu należy się dziwić, że się uruchomił i nie został zablokowany. W tle działają mocarne pakiety kolidujące ze sobą: avast! Free Antivirus i McAfee Internet Security. To jest z pewnością conajmiej jedna z przyczyn spowolnienia. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware WindowsMangerProtect20.0.0.502, nadwyżkową instalację McAfee Internet Security oaz stare dziurawe wersje Adobe Reader 6.0.2 CE, Java 7 Update 55 (ten Adobe Reader to przegięcie!). 2. Pobierz najnowszy FRST z przyklejonego. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1415565385&from=amt&uid=ST1000LM014-1EJ164_W380KHNAXXXXW380KHNA" CHR DefaultSearchKeyword: Default -> mystartsearch ProxyEnable: Internet Explorer proxy is enabled. ProxyServer: http=127.0.0.1:51404;https=127.0.0.1:51404 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe BHO-x32: NetCrawl -> {769a91da-209f-47fe-88b9-b0321b0982c8} -> C:\Program Files (x86)\NetCrawl\NetCrawlbho.dll No File Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 Task: {A55B8F54-709F-4B58-B239-456B51DE9BD1} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe Task: {E86A6D5D-F91B-4E18-8470-C2EB8CAF2FBB} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [535936 2014-07-01] (Fuyu LIMITED) C:\ProgramData\WindowsMangerProtect C:\Users\KAROLINA\CD95F661A5C444F5A6AAECDD91C240E0.TMP C:\Users\KAROLINA\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\KAROLINA\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\KAROLINA\AppData\Roaming\LookThisUp C:\Users\KAROLINA\AppData\Roaming\mystartsearch Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0261933D-98CF-45FA-A42A-09272D60CF6B} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0261933D-98CF-45FA-A42A-09272D60CF6B} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy mystartsearch (o ile nadal będzie widzialny). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Sprawa jest oczywista. Problem BSOD wyprodukowała infekcja ZeroAccess, a konkretnie ten wpis błędnie naprawiony przez antywirusa (usunięcie pliku infekcji bez korekty rejestru): SubSystems: [Windows] ATTENTION! ====> ZeroAccess Przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: SubSystems: [Windows] ATTENTION! ====> ZeroAccess DeleteJunctionsIndirectory: C:\Windows\system64 HKLM-x32\...\Run: [setwallpaper] => c:\programdata\SetWallpaper.cmd HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [vProt] => "C:\Program Files (x86)\AVG Secure Search\vprot.exe" HKLM-x32\...\Run: [AVG_UI] => "C:\Program Files (x86)\AVG\AVG2013\avgui.exe" /TRAYONLY HKU\Gregor\...\Run: [AdobeBridge] => [X] HKU\Gregor\...\Run: [urenqaagny] => C:\Users\Gregor\AppData\Roaming\Ucef\doyhz.exe S2 vToolbarUpdater18.1.9; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\18.1.9\ToolbarUpdater.exe [1820184 2014-08-12] (AVG Secure Search) S2 avgfws; "C:\Program Files (x86)\AVG\AVG2013\avgfws.exe" [X] S2 AVGIDSAgent; "C:\Program Files (x86)\AVG\AVG2013\avgidsagent.exe" [X] S2 avgwd; "C:\Program Files (x86)\AVG\AVG2013\avgwdsvc.exe" [X] S1 Avgfwfd; system32\DRIVERS\avgfwd6a.sys [X] S1 AVGIDSDriver; system32\DRIVERS\avgidsdrivera.sys [X] S0 AVGIDSHA; system32\DRIVERS\avgidsha.sys [X] S1 Avgldx64; system32\DRIVERS\avgldx64.sys [X] S0 Avgloga; system32\DRIVERS\avgloga.sys [X] S0 Avgmfx64; system32\DRIVERS\avgmfx64.sys [X] S0 Avgrkx64; system32\DRIVERS\avgrkx64.sys [X] S1 Avgtdia; system32\DRIVERS\avgtdia.sys [X] S1 avgtp; \??\C:\Windows\system32\drivers\avgtpx64.sys [X] S2 TMAgent; No ImagePath S3 tmlwf; No ImagePath S3 tmwfp; No ImagePath C:\Users\Gregor\AppData\Local\Temp C:\Users\Gregor\AppData\Roaming\skype.ini C:\Users\Gregor\Downloads\*(*)-dp*.exe C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\Windows\assembly\temp C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job C:\Windows\Tasks\RegClean Pro_UPDATES.job C:\Windows\Tasks\RegClean Pro_DEFAULT.job C:\Windows\System32\roboot64.exe C:\Windows\System32\Tasks\RegClean Pro C:\Windows\System32\Tasks\RegClean Pro_UPDATES C:\Windows\System32\Tasks\RegClean Pro_DEFAULT Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść tam skąd uruchamiasz FRST, czyli na dysku F:\. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Błąd powinien ustąpić, zaloguj się normalnie do Windows i przeprowadź deinstalacje: - Przez Panel sterowania odinstaluj niepożądany program RegClean Pro. - Zastosuj AVG Remover. 3. Zrób nowe logi spod uruchomionego Windows: FRST (mają powstać trzy logi) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. .