picasso

To nie wirusy, to adware/PUP i to nabyte podczas instalacji programów własnoręcznie przez nieuwagę na jeden z tych sposobów: KLIK. Definitywnie widać na dysku, że conajmniej w obrotach był "Softonic Downloader". Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {75afa305-1b32-4464-a5e2-f606c80b73a4}Gw64; C:\Windows\System32\drivers\{75afa305-1b32-4464-a5e2-f606c80b73a4}Gw64.sys [48784 2014-11-09] (StdLib) R2 70e6ca8c; c:\Program Files (x86)\Optimizer Pro\OptProCrash.dll [3113040 2014-11-09] () R2 Update BrowseStudio; C:\Program Files (x86)\BrowseStudio\updateBrowseStudio.exe [526064 2014-11-10] () R2 Util BrowseStudio; C:\Program Files (x86)\BrowseStudio\bin\utilBrowseStudio.exe [526064 2014-11-10] () HKU\S-1-5-21-743176339-2179438372-1338448093-1001\...\Run: [Optimizer Pro] => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe [148048 2014-10-28] (PC Utilities Software Limited) HKU\S-1-5-21-743176339-2179438372-1338448093-1001\...\MountPoints2: {61c30387-6419-11e4-8256-b0104163d09a} - "G:\setup.exe" HKLM\...\Policies\Explorer: [NoControlPanel] 0 CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Task: {920593E3-BE79-4B20-B1A2-7D51A361976C} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RCP\RegCleanPro.exe [2014-10-06] () Task: {ACB16352-6B97-4250-BC28-B4C6C104C46F} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RCP\RegCleanPro.exe [2014-10-06] () Task: {E103A4F8-7D53-4457-AD5E-2DD025CDD484} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RCP\RegCleanPro.exe [2014-10-06] () Task: C:\Windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files (x86)\RCP\RegCleanPro.exe Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files (x86)\RCP\RegCleanPro.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141109 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141109 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141109 BHO: savernet -> {dbe6eeb8-4e75-456e-9244-98a91f84863f} -> C:\ProgramData\savernet\DqwNJivpzSZ5Co.x64.dll () BHO-x32: BrowseStudio -> {1e9e0e98-4ab7-40b0-a0ce-69105c1b7c92} -> C:\Program Files (x86)\BrowseStudio\BrowseStudiobho.dll (BrowseStudio) BHO-x32: savernet -> {dbe6eeb8-4e75-456e-9244-98a91f84863f} -> C:\ProgramData\savernet\DqwNJivpzSZ5Co.dll () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro C:\Users\bungar\AppData\Roaming\WebExtend C:\Users\bungar\Downloads\DirectX*.exe C:\Users\bungar\Downloads\SoftonicDownloader*.exe C:\Windows\system32\roboot64.exe C:\Windows\system32\Drivers\{75afa305-1b32-4464-a5e2-f606c80b73a4}Gw64.sys Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\bungar\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\bungar\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware BrowseStudio, CheapCoupon, Optimizer Pro v3.2, RegClean-Pro, savernet. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

W systemie jest ogłuszająca liczba obiektów adware zainstalowana, ale nie mogę przejść do podania instrukcji, gdyż dostarczony log główny z FRST jest pusty (waży tylko 97 bajtów). Proszę zrób go ponownie, a przejdziemy do dzieła.

Na temat używanych narzędzi: - ComboFix - do czytania dlaczego nie jest to narzędzie domowego użytku: KLIK - SpyHunter to program wątpliwej reputacji, który stosuje naciski reklamodawcze, by go zainstalować, a okazuje się że należy uiszczać opłaty. Z daleka od niego. Sathurbot jest ładowany metodą ShellIconOverlayIdentifiers (wszczepienie do explorer.exe), antywirusy zwykle mają problem z usunięciem. Dodatkowo w systemie są ślady innych infekcji, w tym adware. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll () HKU\S-1-5-21-1945458797-3222738139-3082091542-1001\...\Run: [ubrmedia] => regsvr32.exe C:\Users\Marek\AppData\Local\Ubrmedia\uspDevNetM24.dll HKU\S-1-5-21-1945458797-3222738139-3082091542-1001\...\Command Processor: "C:\Users\Marek\AppData\Roaming\Microsoft\Windows\IEUpdate\FlashPlayerApp.exe" Task: {044EABD2-1F9E-4488-89EA-8C1AB6D2FB50} - System32\Tasks\temp_384d0f0d-cb30-4fd7-8aaf-247ba66c370f-2 => C:\Users\Marek\AppData\Local\Temp\nss1616.tmp\384d0f0d-cb30-4fd7-8aaf-247ba66c370f-2.exe Task: {07E56D64-AA9C-4D59-B5DA-90D40A7A0D1C} - System32\Tasks\temp_3e42890a-afa6-437f-a0a6-92b4499535bd-2 => C:\Users\Marek\AppData\Local\Temp\nsj28E5.tmp\3e42890a-afa6-437f-a0a6-92b4499535bd-2.exe Task: {0F068341-F9C2-4142-B668-6857BE072966} - System32\Tasks\temp_5860a4a6-3bf8-4ecd-b747-a98b890310a7-7 => C:\Program Files (x86)\Torntv V9.0\Torntv V9.0-nova.exe Task: {189B8409-28DB-4AFE-9EC1-41E36B7D8611} - System32\Tasks\3e42890a-afa6-437f-a0a6-92b4499535bd-11 => C:\Program Files (x86)\Total-1.8\3e42890a-afa6-437f-a0a6-92b4499535bd-11.exe Task: {2D60F39D-83E8-4A88-9FAC-56409DF7178B} - System32\Tasks\5860a4a6-3bf8-4ecd-b747-a98b890310a7-4 => C:\Program Files (x86)\Torntv V9.0\5860a4a6-3bf8-4ecd-b747-a98b890310a7-4.exe Task: {2EB746E1-2258-40DE-9667-AD434640397A} - System32\Tasks\temp_d0605fba-a5ed-40e9-a885-aa967c0f117d-6 => C:\Program Files (x86)\TheTorntv V10\d0605fba-a5ed-40e9-a885-aa967c0f117d-6.exe Task: {489C609E-59FF-4F5C-A312-8C11E17B6B09} - System32\Tasks\MJ => C:\Users\Marek\AppData\Roaming\MJ.exe Task: {54EE5254-6C39-4C7F-9D74-A6967A8F0E82} - System32\Tasks\temp_5860a4a6-3bf8-4ecd-b747-a98b890310a7-2 => C:\Users\Marek\AppData\Local\Temp\nsn9A91.tmp\5860a4a6-3bf8-4ecd-b747-a98b890310a7-2.exe Task: {759B5800-DAAA-4298-BDCA-1D52E7C044C2} - System32\Tasks\GPUP => C:\Program Files (x86)\GetPrivate\gpup.exe Task: {79C5ECA1-00AD-4509-B98F-6655EBB9F628} - System32\Tasks\LVOSUX => C:\Users\Marek\AppData\Roaming\LVOSUX.exe Task: {7D1A5466-1002-4E88-A035-B080FF14AB3E} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {7D424699-BFC1-4B63-B840-EC791ED91094} - System32\Tasks\384d0f0d-cb30-4fd7-8aaf-247ba66c370f-11 => C:\Program Files (x86)\Total-1.8\384d0f0d-cb30-4fd7-8aaf-247ba66c370f-11.exe Task: {8EFCF1CA-C5D6-4717-87EB-3D9CA9E1641D} - System32\Tasks\384d0f0d-cb30-4fd7-8aaf-247ba66c370f-6 => C:\Program Files (x86)\Total-1.8\Total-1.8-novainstaller.exe Task: {9018D495-73F4-4CB1-9434-FE9068C1DDC2} - \temp_Torntv V6.0-enabler No Task File Task: {9B401F3A-79E8-4F23-BE95-EF2E9EFEE271} - System32\Tasks\temp_3e42890a-afa6-437f-a0a6-92b4499535bd-6 => C:\Program Files (x86)\Total-1.8\3e42890a-afa6-437f-a0a6-92b4499535bd-6.exe Task: {A4F3D85A-4FED-4C37-B15D-E9905030EA96} - System32\Tasks\5860a4a6-3bf8-4ecd-b747-a98b890310a7-6 => C:\Program Files (x86)\Torntv V9.0\Torntv V9.0-novainstaller.exe Task: {B0EEBE0D-30A2-4137-98DC-90FD99163E7C} - System32\Tasks\384d0f0d-cb30-4fd7-8aaf-247ba66c370f-1 => C:\Program Files (x86)\Total-1.8\Total-1.8-codedownloader.exe Task: {BCCB6299-2F63-4ADA-A65E-76DC6978B77F} - System32\Tasks\384d0f0d-cb30-4fd7-8aaf-247ba66c370f-3 => C:\Program Files (x86)\Total-1.8\384d0f0d-cb30-4fd7-8aaf-247ba66c370f-3.exe Task: {BD2C8204-6940-454D-B928-5539E19D3632} - \Torntv V6.0-firefoxinstaller No Task File Task: {C4B61EE0-D178-4F8F-AECF-752F388CFE1A} - System32\Tasks\d0605fba-a5ed-40e9-a885-aa967c0f117d-7 => C:\Program Files (x86)\TheTorntv V10\d0605fba-a5ed-40e9-a885-aa967c0f117d-7.exe Task: {C5487414-7E8D-47DE-9E04-114A97A83C04} - System32\Tasks\temp_384d0f0d-cb30-4fd7-8aaf-247ba66c370f-7 => C:\Program Files (x86)\Total-1.8\Total-1.8-nova.exe Task: {D80A644C-6CCC-447B-842C-BDCD19D8C962} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: {DE05B422-7EB1-4B1D-9863-3D4C83F43DED} - System32\Tasks\ZJ => C:\Users\Marek\AppData\Roaming\ZJ.exe Task: {DEBAAA6F-BE4B-4BD7-BB3A-B0742FBCDE18} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: {E02906DB-FADA-4180-AE0C-AEDE24C5FC7B} - \Torntv V6.0-updater No Task File Task: {E916A8F7-F3D1-473F-A2A5-0AED5AB57E74} - \Torntv V6.0-enabler No Task File Task: {F3D3394E-537D-4BC5-B60D-A19C1A82208A} - System32\Tasks\384d0f0d-cb30-4fd7-8aaf-247ba66c370f-7 => C:\Program Files (x86)\Total-1.8\Total-1.8-nova.exe Task: {F9DECE2A-EBD4-4F04-A793-60F349F69AF6} - System32\Tasks\BDKKXJM => C:\Users\Marek\AppData\Roaming\BDKKXJM.exe Task: C:\WINDOWS\Tasks\BDKKXJM.job => C:\Users\Marek\AppData\Roaming\BDKKXJM.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\LVOSUX.job => C:\Users\Marek\AppData\Roaming\LVOSUX.exe Task: C:\WINDOWS\Tasks\MJ.job => C:\Users\Marek\AppData\Roaming\MJ.exe Task: C:\WINDOWS\Tasks\ZJ.job => C:\Users\Marek\AppData\Roaming\ZJ.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=166 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1945458797-3222738139-3082091542-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Toolbar: HKCU - No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - No File Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - No File CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1414270443&from=cor&uid=WDCXWD2500BEVT-35ZCT0_WD-WXE908CJ8860J8860" C:\Program Files\GridinSoft Trojan Killer C:\Program Files (x86)\GetPrivate C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Temp C:\Program Files (x86)\Torntv V9.0 C:\Program Files (x86)\Total-1.8 C:\Program Files (x86)\VLC Player GPU+ C:\ProgramData\GridinSoft C:\ProgramData\MFAData C:\ProgramData\Microsoft\Secure C:\ProgramData\NCOTEMP C:\ProgramData\Norton C:\ProgramData\TEMP C:\Users\Marek\AppData\Local\Avg2015 C:\Users\Marek\AppData\Local\ESET C:\Users\Marek\AppData\Local\MFAData C:\Users\Marek\AppData\Local\Mozilla C:\Users\Marek\AppData\Local\NPE C:\Users\Marek\AppData\Local\Ubrmedia C:\Users\Marek\AppData\Roaming\*.exe C:\Users\Marek\AppData\Roaming\Microsoft\Windows\IEUpdate C:\Users\Marek\AppData\Roaming\Mozilla C:\WINDOWS\System32\Tasks\Norton Identity Safe C:\sh4_service.log C:\spyhunter.log C:\shldr.mbr Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: type C:\ComboFix.txt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. .

Sytuacja jest inna niż poprzednio. Te nieczytelne miejsca na dysku musiały blokować dokładną weryfikację komponentów poprzez Checksur. Obecnie powiązane komponenty zostały sprawdzone, narzędzie wykryło kolejne błędy i prawie wszystkie z wyjątkiem jednego zostały naprawione. Narzędzie nie było w stanie naprawić tego defektu: (f) CSI Payload File Missing 0x00000000 cfgbkend.dll.mui x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14 SFC opowiada dokładnie to samo tylko innymi słowami: 2014-11-10 20:59:57, Info CSI 000005cd [sR] Cannot repair member file [l:32{16}]"cfgbkend.dll.mui" of Microsoft-Windows-TerminalServices-ConfigBackend.Resources, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture = [l:10{5}]"pl-PL", VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing 2014-11-10 20:59:57, Info CSI 000005ce [sR] Cannot repair member file [l:32{16}]"cfgbkend.dll.mui" of Microsoft-Windows-TerminalServices-ConfigBackend.Resources, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture = [l:10{5}]"pl-PL", VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing 2014-11-10 20:59:57, Info CSI 000005cf [sR] This component was referenced by [l:266{133}]"Microsoft-Windows-WindowsFoundation-LanguagePack-Package~31bf3856ad364e35~amd64~pl-PL~6.1.7600.16385.Windows Foundation Language Pack" Należy uzupełnić plik ręcznie. Pobierz: KLIK. Skorzystaj z Kaspersky Rescue Disk, by wstawić plik do katalogu: ...\Windows\winsxs\x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14 Uruchom "Narzędzie analizy gotowości aktualizacji systemu" - w świeżym pliku C:\Windows\Logs\CBS\Checksur.log nie powinno być już relatywnego błędu. Kolejne wadliwe wystąpienie: !!! sto: Failed to find driver update 'C:\Windows\WinSxS\amd64_nvraid.inf_31bf3856ad364e35_6.1.7600.16778_none_95dd8d30d8a4cfbe\nvraid.inf' in Driver Store. Error = 0x00000490 Ładujesz w cmd komendę: pnputil -a C:\Windows\WinSxS\amd64_nvraid.inf_31bf3856ad364e35_6.1.7600.16778_none_95dd8d30d8a4cfbe\nvraid.inf Sprawa zaczyna pachnieć masową usterką. Nie wiadomo ile jeszcze takich lewych sterowników jest w systemie, a może być tego od groma. Przypuszczalnie po kolejnym niepowodzeniu zrobię już BAT na oko publikujący wszystkie przetwarzane wystąpienia w CBS. I jest tu stanowczo zbyt dużo uszkodzeń. Nie wiemy jeszcze jaki jest stan dysku i czy przypadkiem nie szykuje się grubsza operacja. Ta zagadka jak mówię do działu Hardware. .

Jak mówiłam: na spodzie strony w polu szybkiej odpowiedzi i opcja Napisz (wysyła post). Jeśli post już napiszesz, a chcesz go poprawić, wtedy używasz opcję Edytuj zlokalizowaną przy danym poście. Tak, bo nadal nie została wykonana naprawa zawarta w handler.reg. Podaj mi jeszcze jeden skan pokazujący uprawnienia miejsca, które ma modyfikować handler.reg. Otwórz Notatnik i wklej w nim: ListPermissions: HKLM\SOFTWARE\Classes\PROTOCOLS\Handler Przypominam: w Notatniku nie mają być wklejane tagi formatujące forum, ma być tylko treść widziana w poście na szarym tle. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.

Rozpracowałam o co tu chodzi i zgodnie z moją sugestią FRST już jest zaktualizowany, by ukryć te wpisy Microsoftu ale z komunikatem ostrzeżeniowym, iż jest atypowa ilość wejść Winsock. Otóż masz tak potężną ilość wejść Winsock, gdyż w systemie jest masowa ilość urządzeń Microsoft 6to4 Adapter. Przypuszczalnie jest to rezultat tego bugu: KB980486. Twój Windows jest kompletnie nieaktualizowany (brak SP1, IE11 i reszty łat): Platform: Microsoft Windows 7 Ultimate (X86) OS Language: Angielski (Stany Zjednoczone) Internet Explorer Version 8 Wdróż te akcje: 1. Doraźnie zainstaluj ten hotfix Microsoftu, by zapobiec generowaniu większej ilości urządzeń: KB980486. Potem w spokoju zrobisz kompleksową aktualizację systemu. W podanym linku klik w "Hotfix download available" i lecisz zgodnie z dialogami. 2. Pobierz DevCon: KB311272. Pobrany plik Devcon.exe to archiwum, rozpakuj tak jak tradycyjny ZIP. Po rozpakowaniu z folderu i386 przekopiuj plik Devcon.exe do katalogu C:\Windows. 3. Otwórz Notatnik i wklej w nim: CMD: devcon remove *6to4mp CMD: netsh winsock reset Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart systemu. Powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) na niestandardowym ustawieniu: odfajkuj pole Internet, by wyłączyć białą listę. Dołącz też plik fixlog.txt.

Rozumiem, że to się dzieje przy każdym restarcie. Czy da się wejść do opcji startowych, by wybrać Przywracanie systemu? http://pcsupport.about.com/od/windows-8/a/open-advanced-startup-options-windows-8.htm Lista punktów: ==================== Restore Points ========================= 18-10-2014 12:02:10 Installed AVG 2015 28-10-2014 08:48:10 Scheduled Checkpoint 06-11-2014 19:31:47 Scheduled Checkpoint 08-11-2014 16:52:55 Removed Java 7 Update 67 .

leliwka proszę skup się na obsłudze edytora forum, kilka postów w serii, znów cytujących poprzednie posty. Wszystko skleiłam, cytaty wymazałam. Ale jaki błąd? Poza tym: - Plik handler oczepiony w poście: tam są ścieżki HKEY_LOCAL_MACHINE\Temp, a miałaś zamienić wszystkie na HKEY_LOCAL_MACHINE\SOFTWARE. Po zamianie ścieżek importujesz plik do rejestru. - Plik Fixlog to nie wiadomo ile razy uruchamiany i pokazuje, że nic w tym podejściu nie wykonało się, bo na opak wkleiłaś wprost z posta tagi formatujące forum (tego nie ma być w pliku). To już zostaw w spokoju, nie wolno skryptu uruchamiać więcej niż raz, a sam fakt obecności pliku handler wskazuje, że pierwsze podejście było poprawne.

Brakuje pliku fixlog.txt, który powstał podczas wykonywania skryptu FRST. Proszę uzupełnij. Z oficjalnej strony Mozilla Add-ons: Adblock Plus, FEBE, LastPass. .

Proszę nie używaj opcji "Odpowiedz" zlokalizowanej przy każdym poście, to funkcja cytowania i pakujesz cały poprzedni post do treści (edytuję tu w kółko posty). Korzystaj z pola szybkiej odpowiedzi na spodzie i opcji "Napisz". Sprawdź jak się zachowuje Opera Portable. Jeśli również w tej przeglądarce będzie problem, problem z ładowaniem stron nie jest zależny od przeglądarki ani jej ustawień / wtyczek i nasuwa się kontakt z dowstawcą sieciowym, by zweryfikować czy przypadkiem to tam nie leży przyczyna. Jeśli chodzi o uszkodzenia, to trzeba przywrócić z kopii zapasowej FRST uszkodzony klucz: 1. Otwórz Notatnik i wklej: Reg: reg load HKLM\Temp C:\FRST\Hives\SOFTWARE Reg: reg export HKLM\Temp\Classes\PROTOCOLS\Handler C:\Users\Agata\Desktop\handler.reg Reg: reg unload HKLM\Temp Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Na Pulpicie powstanie plik handler.reg. Otwórz go do edycji w Notatniku i zamień wszystkie frazy: [HKEY_LOCAL_MACHINE\Temp\Classes\PROTOCOLS\Handler] ... na: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler] Zapisz zmiany w pliku. Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz plik fixlog.txt. .

Komenda zwróciła błąd, mówiąc że inna akcja dism jest w toku. Zresetuj komputer, powtórz komendę.

Proszę dostosuj się do zasad działu malware. OTL to przestarzałe narzędzie sprawdzane tylko pobocznie, obowiązkowe są raporty z FRST.

IE9? Wg raportu FRST w systemie jest wersja IE10. Na pewno mówimy o Włącz / wyłącz komponenty? Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator > wklej komendę listowania komponentów i ENTER: dism /Online /Get-Packages /Format:Table > C:\log.txt Dostarcz wynikowy C:\log.txt. .

Proszę o nowy log z Farbar Service Scanner.

Sprawdź czy Firefox uruchomiony w tzw. "trybie awaryjnym" wykazuje różnicę. Zamknij Firefox, upewnij się, że nie ma go w procesach, klawisz z flagą Windows+R i w polu Uruchom wklej komendę: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode O ile Fixy wykonane, pojawiło się nowe uszkodzenie (wpisy "no CLSID value") nie wiadomo z jakiej racji. Dodaj skan. Otwórz Notatnik i wklej w nim: Reg: reg query HKCR\PROTOCOLS\Handler /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. .

Fix wykonany, możesz usunąć D:\Adam\axpan\FRST i zastosować DelFix: KLIK. MBAM nie jest antywirusem lecz uzupełnieniem takowego. Oczywiście nie jest niezbędny i skoro tworzy błędy przy starcie, możesz go odinstalować. Objaw sugeruje, że podczas bezczynności systemu startuje jakieś zadanie. Jedną z możliwości mógłby być skan lub inna akcja AVG zaplanowana do wykonania w trakcie bezczynności. Nie mam pod ręką AVG, by sprawdzić jakie proponuje ustawienia, ale szukaj opcji związanych z planowaniem zadań. Również do sprawdzenia czy wyłączenie osłon AVG wpłynie na efekt. .

Wspominasz o "resecie przeglądarki", a tam są dwie akcje w artykule, czyli jest podana reinstalacja poprzez Włącz/Wyłącz komponenty Windows. I dopiero jeśli to nie pomoże, może być grubsza sprawa do rozwiązania. Jak mówię, objawy świadczą o uszkodzeniu silnika IE.

System ma zdewastowany klucz sterownika związanego z obsługą Przywracania systemu: sr Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open sr registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open sr registry key. The service key does not exist. Checking LEGACY_sr: ATTENTION!=====> Unable to open LEGACY_sr\0000 registry key. The key does not exist. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr] "Type"=dword:00000002 "Start"=dword:00000000 "ErrorControl"=dword:00000001 "Tag"=dword:00000004 "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,73,00,72,00,2e,00,73,00,79,00,73,\ 00,00,00 "DisplayName"="Sterownik filtru Przywracania systemu" "Group"="FSFilter System Recovery" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters] "FirstRun"=dword:00000000 "DontBackup"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Enum] "0"="Root\\LEGACY_SR\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Uruchom plik poprzez dwuklik, zatwierdź import do rejestru. Zresetuj system i zweryfikuj czy ustąpił błąd Przywracania systemu. .

Pokaż log z Farbar Service Scanner.

Czyszczenie wykonane. Teraz możemy przejść do tego: vs. Czyszczenie adware nie ma związku z tym. Maszyna IE jest uszkodzona. Wstępnie wykonaj kroki z KB967896. .

Temat zostanie przeniesiony do innego działu. Brak oznak czynnej infekcji, problem z ładowaniem stron ma inną przyczynę niż infekcja. Czy na pewno nie są to problemy po stronie dostawcy internetu? Ale doczyść szczątki adware / wpisy puste i skoryguj uszkodzoną ścieżkę Windows Defender: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google] [-HKEY_CURRENT_USER\Software\Google] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: IFEO: [Debugger] svchost.exe Task: {0DBB631F-9983-42BD-99E7-A644AC5B0FEA} - \HDvid Codec V1-enabler No Task File Task: {E22003B4-E3EE-4296-8D57-27B663B9B9BF} - \HDvid Codec V1-codedownloader No Task File Task: {F01377D5-FEE3-4AFA-87DB-4C17EACCD54E} - System32\Tasks\{BFF62FED-5B99-48E1-ABB6-EA7461A0AD9C} => C:\Corel\Graphics8\programs\photopnt.exe Task: {FC11F483-B35F-41EA-9E61-5DAADDB9403D} - System32\Tasks\{770B2EC5-9253-4CF6-8090-F270E01BF1A7} => C:\Corel\Graphics8\programs\photopnt.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKCU - URL http://search.conduit.com/Results.aspx?ctid=CT3323737&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=5&UP=SPD6FDE2BD-096C-4EB9-967D-D49D14D72155&q={searchTerms}&SSPV= SearchScopes: HKCU - SuggestionsURL_JSON http://suggest.search.conduit.com/CSuggestJson.ashx?prefix={searchTerms} SearchScopes: HKCU - {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File Handler: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - No File Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - No File FF Plugin: @java.com/DTPlugin -> C:\Program Files\Java\jre6\bin\npDeployJava1.dll No File FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\Temp C:\Users\Agata\aushelper.dll C:\Users\Agata\AppData\Local\Google C:\Users\Agata\Downloads\adwcleaner*.exe C:\Windows\pss\*.CommonStartup C:\Windows\pss\*.Startup RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Na tematach sprzętowych się nie znam. Wątek do działu Hardware. "Usprawnić", ponieważ dzieje się coś konkretnego? Widzę w systemie czynny sterownik odpadkowy od adware ({dda91daf-e6f8-4453-88d1-df18d861c904}Gw), tenże może produkować różne problemy (wolniejszy start, zaburzone funkcjonowanie sieci). 1. Usuń szczątki adware i wpisy puste: Dodatkowo w Google Chrome Ustawienia > karta Rozszerzenia > odinstaluj zbędny sponsoringowy Avast SafePrice. 2. Wyłącz zbędne wpisy ze startu. Uruchom Autoruns i w poniżej wyliczonych kartach odfajkuj podane wpisy. Po akcji zresetuj system. - Logon: HP Software Update. - Services: c2cautoupdatesvc, c2cpnrsvc, NAUpdate. - Scheduled Tasks: zadania Adobe, AutoKMS (crack do Office), Google, HPCustParticipation, Nero, IObit, Opera. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Zabrakło raportu końcowego FRST, cytuję ostatni punkt z poprzedniej instrukcji:

Nie prosiłam o nowe skany, tylko o podjęcie decyzji co robić, reinstalować system czy ewentualnie długo czekać: To nie było zadanie dla Ciebie, to miała być ewentualnie moja rola. Tylko plików jest tak dużo w skanie SFC, że nie mam sił i czasu tym się zająć. Trzeba: wyekstraktować nazwy i wersje komponentów ze skanu SFC, następnie wyszukać odpowiedniki (identyczna suma kontrolna MD5) do zamiany na innym (tzn. moim) niezdefektowanym systemie, te pliki dostarczyć i podać komendy zamiany. I nie wiadomo czy to rozwiąże sprawę Windows Update (jest możliwość, iż jest więcej uszkodzeń spoza obszaru weryfikacji SFC). Proszę otwórz wyniki skanu SFC i zacznij szukać fraz "Cannot verify component files" (uszkodzone manifesty) oraz "Cannot repair member file" + "Could not reproject corrupted file" (uszkodzone pliki bez poprawnych kopii w systemie i konieczność dostarczenia plików z innego systemu). Masz około kilkudziesięciu uszkodzonych plików. Uwierz mi, że próba ręcznej naprawy jest mozolna i czasochłonna. Ja nie jestem w stanie tego zrobić szybko. Nie wiem. Przyczyny mogą być różne np.: błędy na dysku, gwałtowne niepoprawne zamknięcie systemu. .

Nic już nie kombinuj z tym plikiem. On jest potrzebny (choćby najmniejszy), by wszystkie aplikacje poprawnie działały.