picasso

Po dokładnym przyjrzeniu się na skan detaliczny, nie widzę nic dziwnego w Winsock. Moim zdaniem tu nie ma problemu. Zgłoszę problem braku filtracji wpisów autorowi. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Zadanie wykonane. Możesz usunąć plik C:\DelFix.txt z dysku. To już koniec działań. Na przyszłość: - Czego unikać, skąd nie pobierać, by ograniczyć występowanie problemów podobnych do "TornTV": KLIK. - Jeśli pojawi się jakiś problem z adware / reklamami, poprawna metoda usuwania to: w pierwszej kolejności deinstalacja via Panel sterowania podejrzanych / nieznanych programów, następnie w przeglądarce w menedżerze rozszerzeń powtórzenie tego procesu, dopiero na koniec użycie automatów typu AdwCleaner czy Malwarebytes Anti-malware. - ComboFix unikać, to nie jest program domowego użytku. .

Na przyszłość: proszę nie powtarzaj skryptu więcej niż jeden raz, niezależnie od tego czy FRST się zawiesi / będzie jakiś inny problem. Potem otrzymuję niewiarygodne logi nie pokazujące co tak naprawdę zostało usunięte przy pierwszym podejściu (przecież może być jakiś bug). Ale co widzisz, jaki konkretnie błąd? Z tego powtórnego Fixlog w konfrontacji z ogólnym logiem FRST wynika, że skrypt wykonał się tylko do komendy RemoveDirectory. Poprawka z pominięciem owej komendy, ale uwzględnieniem zmian: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [50464 2014-07-02] (AVG Technologies) S2 bonanzadealslive; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe /svc [X] S3 bonanzadealslivem; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe /medsvc [X] S2 Updater Service for AMZN; C:\Program Files (x86)\Amazon Browser Bar\ToolbarUpdaterService.exe [X] S2 vToolbarUpdater18.1.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\18.1.0\ToolbarUpdater.exe [X] BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File Toolbar: HKLM-x32 - No Name - {95B7759C-8C7F-4BF1-B163-73684A933233} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File C:\Program Files (x86)\AVG Nation toolbar C:\Program Files (x86)\BonanzaDeals C:\Windows\system32\drivers\avgtpx64.sys Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /s CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\christian\AppData\Local CMD: dir /a C:\Users\christian\AppData\LocalLow CMD: dir /a C:\Users\christian\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ma nastąpić restart i powstać nowy plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Temat przenoszę do działu Windows, tytuł zmieniam. Brak oznak infekcji. Podejrzani: - Pod kątem długiego uruchamiania, ogólnego spowolnienia i problemów startu aplikacji: mocarna rozbudowana instalacja Norton Internet Security. - Pod kątem zawieszeń eksploratora: prócz powyższego, rzuca się w oczy multum rejestracji ShellIconOverlayIdentifiers utworzonych przez firmowy ASUS Webstorage (zbędnik) oraz doinstalowany TortoiseSVN. Jest tam jeszcze rejestracja AutoCAD, ale to na razie pomojam. Sugeruję zacząć od testowej deinstalacji po kolei po jednym sofcie na raz (zaczynając od najgrubszego Nortona) > restart systemu > sprawdzasz wyniki. .

Temat przenoszę do działu Windows. Brak oznak infekcji. Potem ewentualnie zajmę się korektą wpisów odpadkowych, obecnie nie ma to najmniejszego znaczenia. O ile to nie jest problem sprzętowy, za znaczący uznaję fakt, iż ComboFix (którego notabene nie powinno się uruchamiać w takiej sytuacji) "pomógł" do następnego restartu. To sugeruje blokadę na poziomie procesów. I jest tu bardzo dobry podejrzany, tzn. zdefektowany McAfee. Pozorowana deinstalacja (fakt deinstalacji miał miejsce, bo brak już wejścia na liście zainstalowanych), w tle hula cała grupa przeterminowanych usług i sterowników: ==================== Processes (Whitelisted) ================= (McAfee, Inc.) C:\Windows\System32\mfevtps.exe (McAfee, Inc.) C:\Program Files\Common Files\mcafee\systemcore\mfefire.exe (McAfee, Inc.) C:\Program Files\Common Files\mcafee\systemcore\mcshield.exe ==================== Services (Whitelisted) ================= U2 McShield; C:\Program Files\Common Files\McAfee\SystemCore\\mcshield.exe [237920 2012-06-22] (McAfee, Inc.) R2 mfefire; C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe [218320 2012-06-22] (McAfee, Inc.) R2 mfevtp; C:\Windows\system32\mfevtps.exe [177144 2012-06-22] (McAfee, Inc.) ==================== Drivers (Whitelisted) ==================== S3 cfwids; C:\Windows\System32\drivers\cfwids.sys [69672 2012-06-22] (McAfee, Inc.) S3 mfeapfk; C:\Windows\System32\drivers\mfeapfk.sys [169320 2012-06-22] (McAfee, Inc.) R3 mfeavfk; C:\Windows\System32\drivers\mfeavfk.sys [300392 2012-06-22] (McAfee, Inc.) S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [66712 2012-06-18] (McAfee, Inc.) R3 mfefirek; C:\Windows\System32\drivers\mfefirek.sys [513456 2012-06-22] (McAfee, Inc.) R0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [752672 2012-06-22] (McAfee, Inc.) S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [106112 2012-06-22] (McAfee, Inc.) R0 mfewfpk; C:\Windows\System32\drivers\mfewfpk.sys [335784 2012-06-22] (McAfee, Inc.) Zacznij od próby użycia McAfee Consumer Product Removal Tool, zresetuj system i zrób nowy log FRST (bez Addition i Shortcut). Problemem jest tu, że narzędzie będzie zapuszczone z poziomu trybu normalnego (czynny McAfee może przeszkodzić), bo awaryjny jest niesiągalny. Ale zobaczymy. Inne metody wejścia w awaryjny na Windows 8: - Z poziomu systemu: Użycie msconfig. Lub edycja BCD, by uaktywnić stary typ menu znany z Windows 7: KLIK. Niemniej przy syndromach blokady systemu nie wydaje mi się, by to przeszło i raczej odradzam próby. - Start z płyty instalacyjnej DVD Windows 8, o ile nośnik jest dostępny. .

To pytanie o aktywnego antywirusa może się zdarzyć nawet, jeśli antywirus jest wyłączony z poziomu obszaru powiadomień. Wszystko wykonane. Teraz zastosuj DelFix i pokaż wynikowy log: KLIK.

Nie masz nic zaznaczać czy usuwać ręcznie. Po prostu kliknij na Clean, poczekaj aż narzędzie ukończy pracę i dostarcz wynikowe logi z folderu C:\AdwCleaner. EDIT: Posty skleiłam, by nam się nie dłużył temat. Tak, to te logi. Wszystko zrobione. Już prawie kończymy. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f DeleteQuarantine: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\MATS RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\family RemoveDirectory: C:\Users\Guest\AppData\Local\Google CMD: C:\Users\Gabriel\Desktop\ComboFix.exe /uninstall Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix, powinnaś zobaczyć okno z pytaniem o deinstalację i ją potwierdzić. Powstanie kolejny plik fixlog.txt i go pokaż. .

Jeśli jest podłączany inny typ niż "Windows Mobile", to można pozbyć się tej instalacji.

Skan SFC służy tylko do sprawdzania plików systemowych i uszkodzone są pliki Windows - one się nie naprawią samodzielnie, jak mówiłam = brak kopii zapasowych. To nie są pliki wprowadzone przez i należące do tych określonych programów i ich reinstalacja nic nie da. Tym się nie zajmuj, bo tak problemu nie rozwiążesz. Problem występuje podczas uruchamiania różnych programów, gdyż one korzystają z bibliotek Windows. Np. raptowne wyłączenie komputera w niepoprawny posób (tu był BSOD) skutkujące uszkodzeniem danych. .

Ja nadal nie wiem co było wcześniej i czy ręcznie wskazałaś pozycję "swMSM". Czy zrobiłaś to? A to co pokazujesz nie jest już istotne: ekran "Did this fix your problem" to tylko pytanie pomocnicze do supportu i możesz wybrać "I don't know" , ekran "Fixed" oznacza ukończenie napraw.

Nie wiem co widzisz, zaprezentuj zrzuty ekranu. A po treści mi się wydaje, że wybrałaś nie tę opcję co trzeba, czyli automatyczną naprawę. Mnie chodzi o wybranie opcji ręcznej naprawy, wybór deinstalacji i na liście zaznaczenie konkretnego wpisu o nazwie "swMSM".

Po tej akcji miałaś po prostu ręcznie zresetować system, to miałam na myśli cytując własne słowa. Wszystko pomyślnie wykonane. Jedziemy z poprawkami: 1. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Adobe swMSM > Dalej. 2. Otwórz Notatnik i wklej w nim: Task: {7171F5EF-DF88-4D9F-BF99-6C662B337439} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe C:\Program Files\Common Files\Lavasoft C:\Program Files\Lavasoft C:\Program Files (x86)\Iminent C:\Program Files (x86)\IminentToolbar C:\Program Files (x86)\Java C:\Program Files (x86)\LSHunter.TV C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\MyPC Backup C:\Program Files (x86)\SymSilent C:\ProgramData\Adobe C:\ProgramData\APN C:\ProgramData\Ask C:\ProgramData\AVAST Software C:\ProgramData\Avira C:\ProgramData\Babylon C:\ProgramData\BitDefender C:\ProgramData\BitGuard C:\ProgramData\IBUpdaterService C:\ProgramData\iWing C:\ProgramData\Lavasoft C:\ProgramData\McAfee C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Oracle C:\ProgramData\Sun C:\ProgramData\Tarma Installer C:\Users\Gabriel\AppData\Local\Adobe C:\Users\Gabriel\AppData\Local\avgchrome C:\Users\Gabriel\AppData\Local\cache C:\Users\Gabriel\AppData\Local\cookies.ini C:\Users\Gabriel\AppData\Local\globalUpdate C:\Users\Gabriel\AppData\Local\Supreme Savings C:\Users\Gabriel\AppData\LocalLow\Adobe C:\Users\Gabriel\AppData\LocalLow\Delta C:\Users\Gabriel\AppData\LocalLow\mixidj C:\Users\Gabriel\AppData\LocalLow\Sun C:\Users\Gabriel\AppData\LocalLow\Temp C:\Users\Gabriel\AppData\Roaming\_MDLogs C:\Users\Gabriel\AppData\Roaming\Adobe C:\Users\Gabriel\AppData\Roaming\BabSolution C:\Users\Gabriel\AppData\Roaming\Babylon C:\Users\Gabriel\AppData\Roaming\IminentToolbar C:\Users\Gabriel\AppData\Roaming\iWing C:\Users\Gabriel\AppData\Roaming\LavasoftStatistics C:\Users\Gabriel\AppData\Roaming\OpenCandy C:\Users\Gabriel\AppData\Roaming\PerformerSoft C:\Users\Gabriel\AppData\Roaming\player C:\Users\Gabriel\AppData\Roaming\SeeSimilar02 C:\Users\Gabriel\AppData\Roaming\speedanalysis.ico C:\Users\Gabriel\AppData\Roaming\SpeedAnalysis2 C:\Users\Gabriel\AppData\Roaming\Systweak C:\Users\Gabriel\AppData\Roaming\TuneUp Software C:\Windows\SysWOW64\Macromed CMD: for /d %f in (C:\Users\Gabriel\AppData\Local\{*}) do rd /s /q "%f" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Przedstaw logi z folderu C:\AdwCleaner. .

To jest wyraźnie zaznaczone w tym punkcie:

Wątpię, że jest skonfigurowany poprawnie wg zaleceń w przyklejonym: KLIK. Tak duży plik sugeruje jedno z dwóch: - Wszystkie opcje ustawiłeś na Wszystko zamiast Użyj filtrowania. - Pliki utworzone / zmodyfikowane w przeciągu zostały ustawione na Wszystkie a nie Młodsze niż. Już plik Extras pokazuje, że jest zła konfiguracja, wybrane opcje Wszystko, a nie Użyj filtrowania. Oba logi z OTL masz zrobić od początku. EDIT: Logi uzupełnione. Problemy są widoczne: szczątki adware (w tym czynny sterownik {be5bf058-a067-4076-8c2e-22b9345a0260}Gw64.sys, który może powodować problemy z szybkością) oraz uszkodzony łańcuch Winsock (niepoprawna metoda usuwania Bonjour + coś jakby ślady pobytu infecji ZeroAccess). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {be5bf058-a067-4076-8c2e-22b9345a0260}Gw64; C:\Windows\System32\drivers\{be5bf058-a067-4076-8c2e-22b9345a0260}Gw64.sys [48784 2014-10-06] (StdLib) S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () [File not signed] S4 Bonjour Service; "C:\Program Files (x86)\Bonjour\mDNSResponder.exe" [X] S3 MSICDSetup; \??\H:\CDriver64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Winsock: Catalog5 01 C:\Windows\SysWOW64\mswsock.dll [231424] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 07 C:\Program Files (x86)\Bonjour\mdnsNSP.dll File Not found () Winsock: Catalog5-x64 01 %SystemRoot%\System32\mswsock.dll [327168] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Task: {5976D8FB-32EA-42BC-A4DC-BB1EEC49403D} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe CustomCLSID: HKU\S-1-5-21-357157574-974508199-1160413659-1000_Classes\CLSID\{CB58FF31-2539-11D0-BDEE-0020AFE14B84}\localserver32 -> G:\PROGRA~2\WEBDES~1\WEBDES~1\WEBDES~1.EXE No File CustomCLSID: HKU\S-1-5-21-357157574-974508199-1160413659-1000_Classes\CLSID\{CB58FF32-2539-11D0-BDEE-0020AFE14B84}\localserver32 -> G:\PROGRA~2\WEBDES~1\WEBDES~1\WEBDES~1.EXE No File HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-357157574-974508199-1160413659-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 - DefaultScope value is missing. SearchScopes: HKCU - URL http://search.conduit.com/Results.aspx?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=ISID_ID&SearchSource=58&CUI=&UM=5&UP=SP84B78B04-3701-44A0-ADCF-83E85FECEEF9&q={searchTerms}&SSPV= SearchScopes: HKCU - SuggestionsURL_JSON http://suggest.search.conduit.com/CSuggestJson.ashx?prefix={searchTerms} C:\Program Files (x86)\mozilla firefox\browser\searchplugins\sweet-page.xml C:\ProgramData\TEMP C:\Users\xxxxx\AppData\Roaming\AVG C:\Users\xxxxx\AppData\Roaming\OpenCandy C:\Windows\System32\drivers\{be5bf058-a067-4076-8c2e-22b9345a0260}Gw64.sys C:\Windows\SysWow64\Drivers\StarOpen.sys Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, DownloadHelper, Wiktionary and Google Translate) trzeba będzie przeinstalować. 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt i wypowiedz się czy są pozytywne zmiany. Odpisujesz mi już w nowym poście, nie edytuj poprzednich. .

Różnica językowa jest minimalna. W pasku adresów wpisujesz chrome://plugins i ENTER. Jedyna różnica językowa to nazwa opcji Wyłącz/Włącz, tzn. Disable/Enable.

Komputer został już wyczyszczony ze śmieci, więc pod tym kątem koniec działań i finalizacja. Usuń używane narzędzia z folderu C:\Users\Tomek\Desktop\Nowy folder i zastosuj DelFix: KLIK. Twoją przeglądarką jest Google Chrome, które ma wbudowany własny wewnętrzny Flash, aczkolwiek masz tu jeszcze wersję dla Firefox/Opera zainstalowaną: ==================== Installed Programs ====================== Adobe Flash Player 15 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 15.0.0.167 - Adobe Systems Incorporated) ----> wersja dla IE Adobe Flash Player 15 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 15.0.0.189 - Adobe Systems Incorporated) ----> wersja dla Firefox/Opera Ta wtyczka "Adobe Flash Player 15 Plugin" może być także używana przez Chrome, a jeśli jest włączona równolegle z wewnętrzną Chrome, nie są wykluczone kłopoty i konflikty. Wstępnie do sprawdzenia: 1. W pasku adresów wpisz chrome://plugins i ENTER, rozwiń Szczegóły. Na liście wtyczek powinna być grupa "Adobe Flash" pokazująca dwie wtyczki: - Wewnętrzny Flash Chrome: C:\Program Files\Google\Chrome\Application\38.0.2125.111\PepperFlash\pepflashplayer.dll. - Zewnętrzny Flash dla Firefox/Opera: C:\Windows\system32\Macromed\Flash\NPSWF32_15_0_0_189.dll. I to tę wtyczkę wyłącz, a po tym przeładuj przeglądarkę. 2. Lub odinstaluj całkowicie pozycję "Adobe Flash Player 15 Plugin". Nie wiem, może być to problem po stronie komputera (wersja sterowników / sprzęt), a może i problem u dostawcy. Ten wątek to już do działu Sieci się nadaje. I w Dzienniku zdarzeń pojawia się taki oto błąd: System errors: ============= Error: (11/05/2014 09:16:58 PM) (Source: NetBT) (EventID: 4321) (User: ) Description: Nie można zarejestrować nazwy „TOMEK-KOMPUTER :20” w interfejsie o adresie IP 10.8.4.183. Komputer o adresie IP 10.8.0.252 nie zezwolił na przejęcie tej nazwy przez ten komputer. .

Tutaj logi to raczej na nic się nie przydadzą, one są koncentrowane na infekcjach, a tu brak śladów. Z tego co rozumiem zawartość dysku jest w porządku, z wyjątkiem braku kilku określonych obiektów. Zaznaczanie plików w eksploratorze to jest niedobra metoda, by obliczyć faktyczną wagę zaznaczanych obiektów. Ta metoda pomija np. obiekty zablokowane przez uprawnienia (tu powinien opór stawić System Volume Information od Przywracania systemu). Mógłbyś sprawdzić jak widzi przestrzeń tego dysku SpaceSniffer (prawoklik i "Uruchom jako Administrator", a przed uruchomieniem skanu dysku ustaw z menu Edit > Configure > Show Unknown Space). Mówiłeś jeszcze o plikach typu "cassis.mp4" - gdzie one konkretnie leżały? Na wszelki wypadek upewnij się, że nic nie wylądowało w Koszu dysku, a są tu dwa foldery: $RECYCLE.BIN i RECYCLER. No cóż, skoro Gdata jednak usunął ten folder i na dodatek nie pozwala go odtworzyć, to ja nie widzę innej możliwości niż jakiś soft typu "Recovery". Np. sprawdź czy widzi te usunięte obiekty Recuva Portable - program należy uruchomić z innego dysku niż poszkodowany, a na poszkodowanym nie wykonać żadnych nowych zapisów (wstawianie nowych plików, usuwanie plików, zmiany nazw folderów etc.). .

Wszystko zrobione, więc kroki końcowe. Usuń ręcznie folder C:\ProgramData\Kaspersky Lab oraz narzędzia z H:\instalki\RATUNKOWE, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Czy hasło logowania było domyślne? Po wyczyszczeniu routera problem powinien ustąpić na pozostałych komputerach, aczkolwiek jest możliwe, że bufor DNS czy cache przeglądarki nadal będzie produkować objawy i należy je wyczyścić. Czyszczenie tych sfer już uwzględniłam w skrypcie FRST dla tego komputera (komendy ipconfig /flushdns i EmptyTemp:). Na wszelki wypadek możesz podać logi z pozostałych komputerów. Nie mam zastrzeżeń.

Log z FRST nie pokaże zadań Harmonogramu w Addition, które należą do Microsoftu. FRST filtruje wszystkie domyślne zadania wbudowane w system i w tym konkretnym przypadku nie można wyłączyć białej listy, by sprawdzić jak wyglądają zadania Microsoftu oraz czy są one włączone.

Wg Microsoftu nie ma możliwości całkowitego wyłączenia "Sync Center". Ikona się u Ciebie pojawia, bo masz czynną określoną funkcję, która utylizuje to centrum. Zapobieganie uruchamianiu procesu mobsync.exe jest składową deaktywacji kilku funkcji: - Pliki Offline: KLIK. U mnie funkcja z opisu nie jest wyłączona, ale mam z kolei nieaktywne powiązane zadania w Harmonogramie. W Autoruns po włączeniu pokazywania wpisów MS w karcie Scheduled Tasks powinny być widoczne dwa zadania \Microsoft\Windows\Offline Files\Background Synchronization + \Microsoft\Windows\Offline Files\Logon Synchronization. Odfajkować, o ile nie są już w takim stanie. - Podłączanie określonych urządzeń mobilnych oraz oprogramowanie ich obsługi, np. "Windows Mobile Device Center". Jeśli nie korzystasz z tego, można to całkowicie odinstalować via Panel sterowania. W przypadku braku rezultatów można spróbować ręcznie przekonfigurować uchwyty synchronizacji na poziomie rejestru. Tzn.: 1. W kluczu: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\SyncMgr Wartość StartAtLogin ustawić na 0. Sądzę, że to już jest wystarczające, ale na wszelki wypadek jeszcze kolejne punkty: 2. Klucz SyncMgr ma podklucze o nazwie {klasy} związanej z danym obiektem synchronizacyjnym. U mnie jest tylko klasa Plików Offline, ale na innych systemach mogą występować także dodatkowe klasy związane z innymi funkcjami (np. jeśli jest zainstalowany SQL). HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\SyncMgr\HandlerInstances\{750FDF10-2A26-11D1-A3EA-080036587F03} W tym kluczu wartość Active ustawić na 0. 3. Jeśli występuje kolejny podklucz (u mnie brak), skasować: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\SyncMgr\HandlerInstances\{750FDF10-2A26-11D1-A3EA-080036587F03}\SyncItems Przy czym i tak jest możliwe, że uruchomienie czegoś co korzysta z synchronizacji może ponownie załadować proces mobsync.exe. C:\Windows\Tasks to stara lokalizacja na pliki *.job i tam to spodziewaj się tylko zadań firm trzecich (np. Adobe Flash czy Google Update). Zadania systemowe uruchamiają się z C:\Windows\system32\Tasks, są w formacie XML a nie JOB i są zarejestrowane także na poziomie rejestru. Usuwanie samego pliku z dysku nie jest poprawną metodą, trzeba uwzględnić także usuwanie z klucza TaskCache.

Grillaz, o ile zamianę archaicznego i pozbawionego wsparcia XP na nowszy Windows 7 uznaję za słuszną, to już oczywiste, że kombinacje, by obejść aktywację są poza skalą moich rozważań. O "Loaderach" nie powinnam się tu wypowiadać, forum nie może wspierać takich działań. W skrócie powiem, że: - "Loader" jest inwazyjny. Przeważnie sprawa się kręci wokół modyfikacji bootowania / plików Windows, ale sposób wykonania tego może być różny w zależności od "produkcji". - W żadnym wypadku nie próbuj ładować obiektu o nazwie "Chew7Hale" - jest to element wpływający bardzo negatywnie na system (radykalne obniżenie wydajności) i tu na forum liczne tematy z systemami poszkodowanymi (deinstalacja pomogła przywrócić stan pierwotny). - Trudno mi ocenić zagrożenie, bo są różne loadery i nie dam żadnych gwarancji, że coś jest bezpieczne i nie ma jakiegoś backdoora doczepionego.

Wg SFC jest mnóstwo uszkodzonych plików nienaprawialnych przez system (brak zgodnych kopii zapasowych). Robota ręczna jest skomplikowana i pracochłonna: trzeba wyszukać wszystkie kopie plików zgłoszone przez SFC i podstawić ich idealnie zgodne odpowiedniki (identyczna suma kontrolna, to nie może być plik tylko o określonej nazwie) z innego niezdefektowanego komputera. Wypadałoby zrobić Przywracanie systemu, tylko że tu niestety brak jakichkolwiek punktów Przywracania (w FRST Addition pusty spis) .... Przykro mi, ale na razie tym nie jestem w stanie się zająć, tych plików jest ogromna ilość.

Hajasz, to nie ten log i go usuwam. Podałeś mi kopię skanu głównego FRST_data_czas.txt, a ja mówię o pliku z wynikami skryptu Fixlog_data_czas.txt.

Strzelczanin To są po prostu skróty od wartości AntiVirusProduct, FirewallProduct, AntiSpywareProduct w obszarze nazw WMI: KLIK.

Tak, tu już będzie finisz, tylko mi potwierdź, że modyfikacja adresu Nowej karty zadana w skrypcie powyżej się wykonała.