picasso

Tu zwracają uwagę stare wersje programów zabezpieczających Avast (8.0.1497.0), Malwarebytes Anti-Malware (1.75.0.1300) i WinPatrol (26.0.2013.0). To może być przyczyna mozolnego inicjowania aplikacji. 1. Odinstaluj stare programy: Adobe Flash Player 13 ActiveX, Adobe Flash Player 13 Plugin, Adobe Shockwave Player 12.0, avast! Free Antivirus, Java 7 Update 40 (64-bit), Java 7 Update 40, Malwarebytes Anti-Malware, WinPatrol. Nie używaj do tego Revo tylko normalnie przez Panel sterowania. Następnie w Trybie awaryjnym zastosuj jeszcze firmowy Avast Uninstall Utility. Na razie nie instaluj żadnych zabezpieczeń, należy się upewnić jak system pracuje po deinstalacjach. 2. Po deinstalacji doczyść jeszcze śmieci (wpisy puste oraz wejścia adware - głównie przekierowania "aartemis"): 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Podaj czy są jakieś zmiany. .

Spróbujmy usunąć te nieczytelne pliki (nie wiem czy da radę, może jest jakiś błąd na dysku) i podstawić je świeżymi. Pliki będą zamieniane z poziomu środowiska zewnętrznego. 1. Pobierz FRST + paczkę Pliki.zip: KLIK / KLIK. Utwórz tymczasowy katalog C:\Temp i w nim umieść te trzy rozpakowane pliki oraz FRST. Otwórz Notatnik i wklej w nim: Unlock: C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14.manifest Unlock: C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab.manifest Unlock: C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7.manifest C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14.manifest C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab.manifest C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7.manifest CMD: copy /y C:\Temp\x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14.manifest C:\Windows\winsxs\Manifests CMD: copy /y C:\Temp\x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab.manifest C:\Windows\winsxs\Manifests CMD: copy /y C:\Temp\x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7.manifest C:\Windows\winsxs\Manifests Plik zapisz pod nazwą fixlist.txt w katalogu C:\Temp. 2. F8 > Napraw komputer > Wiersz polecenia > uruchom zgodnie z opisem FRST: KLIK. Wklepujesz oczywiście komendę C:\Temp\FRST64.exe. Po uruchomieniu FRST klik w Fix. W C:\Temp powstanie plik fixlog.txt. 3. Zaloguj się z powrotem do Windows i przedstaw wynikowy fixlog.txt. .

vs. Równie dobrze problemy może tworzyć oprogramowanie zabezpieczające lub inny soft. Jak mówiłam, zacznij od deinstalacji Nortona i podaj czy są zmiany. .

Jak mówię, nie uruchamiaj ComboFix, to nie jest program do rozwiązywania tego rodzaju problemów. Narzędzie usunęło prawie wszystko od McAfee, ostała się jedna usługa, ale jest ona w stanie "Zatrzymano", więc raczej brak wpływu na system. Może to jednak jest problem sprzętowy, tzn. problem z dyskiem. W logu są ślady uruchamiania checkdiska i obcinania wadliwych danych: 2014-11-05 18:04 - 2014-11-06 13:49 - 00000000 ____D () C:\found.003 2014-11-06 13:49 - 2014-07-03 15:25 - 00000000 ____D () C:\found.002 2014-11-06 13:49 - 2014-06-24 18:57 - 00000000 ____D () C:\found.000 Podaj mi jeszcze spis uprawnień root dysku, przy okazji usunę odpadkowe wpisy, choć to jak mówiłam nie powinno w niczym pomóc. Otwórz Notatnik i wklej w nim: ListPermissions: C:\ S3 McComponentHostServiceSony; C:\Program Files (x86)\Sony\MSS\3.8.130\McCHSvc.exe [235216 2013-10-16] (McAfee, Inc.) S3 catchme; \??\C:\ComboFix\catchme.sys [X] FF Plugin-x32: @mcafee.com/McAfeeMssPlugin -> C:\Program Files (x86)\Sony\MSS\3.8.130\npMcAfeeMss.dll No File HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-4106931729-1466076011-650411161-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\ProgramData\*.bin C:\ProgramData\Temp C:\Users\Magda\AppData\Roaming\QuickScan C:\Windows\system32\netcfg-*.txt Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. + Dodatkowe pytanie: czy da się wejść do ustawień Windows 8? .

Zadania pomyślnie wykonane i linki zostały zamknięte. Dodatkowy skan DIR wykazuje, że są kolejne rekordy do naprawy. Druga (i mam nadzieję, że ostatnia) tura zamykania linków: 1. Zakładam, że SetACL.exe nadal jest w folderze C:\Windows, a FRST w tym samym miejscu co poprzednio. Skasuj z Pulpitu poprzednie pliki fix*.txt i zrób w Notatniku nowe o następującej zawartości: ----> Pierwszy plik: "\\?\C:\Documents and settings",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Plik zapisz pod nazwą fix1.txt na Pulpicie. ----> Drugi plik: "\\?\C:\ProgramData\Documents",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Plik zapisz pod nazwą fix2.txt na Pulpicie. ----> Trzeci plik: "\\?\C:\Users\All Users\Documents",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Plik zapisz pod nazwą fix3.txt na Pulpicie. ----> Czwarty plik: "\\?\C:\Users\Default\AppData\Local\Application Data",1,"O:SYD:AI(D;;CC;;;WD)" Plik zapisz pod nazwą fix4.txt na Pulpicie. ----> Piąty plik: "\\?\C:\Users\Default\Local Settings",1,"O:SYD:AI(D;;CC;;;WD)" Plik zapisz pod nazwą fix5.txt na Pulpicie. ----> Szósty plik: "\\?\C:\Users\Default\My Documents",1,"O:SYD:AI(D;;CC;;;WD)" Plik zapisz pod nazwą fix6.txt na Pulpicie. 2. W Notatniku utwórz skrypt do FRST o następującej treści: DeleteJunctionsInDirectory: C:\Windows\SysWOW64\config\systemprofile DeleteJunctionsInDirectory: C:\Windows\SysWOW64\config\systemprofile\AppData\Local DeleteJunctionsInDirectory: C:\Windows\SysWOW64\config\systemprofile\Documents DeleteJunctionsInDirectory: C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu C:\Windows\system32\config\systemprofile\Documents C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Network Shortcuts C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Printer Shortcuts C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Recent C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\SendTo C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Templates C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu C:\Windows\SysWOW64\config\systemprofile\Documents CMD: SetACL -on "C:\Documents and settings" -ot file -actn restore -bckp "C:\Users\Marcin K\Desktop\fix1.txt" CMD: SetACL -on "C:\ProgramData\Documents" -ot file -actn restore -bckp "C:\Users\Marcin K\Desktop\fix2.txt" CMD: SetACL -on "C:\Users\All Users\Documents" -ot file -actn restore -bckp "C:\Users\Marcin K\Desktop\fix3.txt" CMD: SetACL -on "C:\Users\Default\AppData\Local\Application Data" -ot file -actn restore -bckp "C:\Users\Marcin K\Desktop\fix4.txt" CMD: SetACL -on "C:\Users\Default\Local Settings" -ot file -actn restore -bckp "C:\Users\Marcin K\Desktop\fix5.txt" CMD: SetACL -on "C:\Users\Default\My Documents" -ot file -actn restore -bckp "C:\Users\Marcin K\Desktop\fix6.txt" CMD: DIR /AL /S C:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST w folderze C:\Users\Marcin K\Desktop\Download. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. .

Ten objaw świadczy o uszkodzeniu Internet Explorer, jest tu na dodatek starsza wersja IE10. Tym się zajmę potem. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files\Java C:\Program Files (x86)\Foxtab C:\Program Files (x86)\McAfee C:\Program Files (x86)\MyPC Backup C:\Program Files (x86)\PC Speed Maximizer C:\Program Files (x86)\Symantec C:\Program Files (x86)\Temp C:\Program Files (x86)\TuneUp Utilities 2014 C:\Program Files (x86)\Uniblue C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 C:\ProgramData\Ask C:\ProgramData\AVG Nation toolbar C:\ProgramData\AVG Secure Search C:\ProgramData\AVG2014 C:\ProgramData\BonanzaDealsLive C:\ProgramData\eSafe C:\ProgramData\McAfee C:\ProgramData\MFAData C:\ProgramData\Partner C:\ProgramData\Simply Super Software C:\ProgramData\SiteAdvisor C:\ProgramData\Sun C:\ProgramData\Symantec C:\ProgramData\Systweak C:\ProgramData\TEMP C:\ProgramData\TuneUp Software C:\Users\christian\AppData\Local\Allin1Convert_8h C:\Users\christian\AppData\Local\Amazon Browser Bar C:\Users\christian\AppData\Local\AVG Nation toolbar C:\Users\christian\AppData\Local\BonanzaDealsLive C:\Users\christian\AppData\Local\MFAData C:\Users\christian\AppData\Local\SearchProtect C:\Users\christian\AppData\LocalLow\Allin1Convert_8h C:\Users\christian\AppData\LocalLow\AVG Nation toolbar C:\Users\christian\AppData\LocalLow\ge2268 C:\Users\christian\AppData\LocalLow\Sun C:\Users\MAX Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. 2. W kwestii: Pokaż mi zrzut ekranu co widzisz. .

"Spowiedź" pomyślna, Fix przetworzył co należy. Skan FSS pokazuje dodatkowe drobne uszkodzenie (jednak kiedyś był ZeroAccess), tzn. brakuje ikony Centrum Akcji. Drobne poprawki. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ /d "" /f RemoveDirectory: C:\Users\xxxxx\Desktop\Stare dane programu Firefox DeleteQuarantine: Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt. .

SpyHunter to program wątpliwej reputacji (był na czarnej liście), reklamiarz deprecjonujący konkurencyjne (i lepsze) skanery, stosujący naciski, by go zainstalować ("jestem usuwaczem infekcji A lub B"), po czym się okazuje, że wyniki owszem są, ale usuwanie już płatne. W raportach nie widać żadnego punktu ładowania infekcji, są owszem pliki infekcji na dysku wyglądające na typ Bitcoin miner, ale one nie wyglądają na czynne: 2014-10-19 09:15 - 2014-11-02 18:43 - 00000000 ____D () C:\Users\KiL\AppData\Roaming\rundll32.exe 2014-10-19 09:15 - 2014-10-04 12:10 - 02903280 _____ () C:\Users\KiL\AppData\Roaming\stubs.exe 2014-10-19 09:15 - 2014-10-02 11:34 - 00000027 _____ () C:\Users\KiL\AppData\Roaming\stubs.bat 2014-10-19 09:15 - 2014-10-01 21:28 - 00000078 _____ () C:\Users\KiL\AppData\Roaming\invisible.vbs 2014-10-19 09:15 - 2014-05-08 11:37 - 02831560 ____N (Adobe Systems Incorporated) C:\Users\KiL\AppData\Roaming\a.exe 2014-11-06 16:48 - 2014-03-22 22:41 - 00000000 ____D () C:\Program Files (x86)\PCData Bitcoin miner mógłby wyjaśniać 100% CPU i przegrzewanie, gdyby był czynny, tylko tu nic na to nie wskazuje. Czy na pewno problemy nadal występują? Ponadto, system nie wygląda na legalny i zdaje się, że był crackowany co dopiero. Za cracki nie daję żadnych gwarancji (mogłeś wprowadzić sobie jakieś nieprzyjemny dodatek). W Dzienniku jest błąd charakterystyczny dla manipulacji z aktywacją, a na dysku podejrzane paczki: Application errors: ================== Error: (11/06/2014 04:46:14 PM) (Source: Winlogon) (EventID: 4103) (User: ) Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005. 2014-11-03 23:14 - 2014-02-06 19:57 - 08190132 _____ () C:\Users\KiL\Downloads\Remove-WAT-2.2.6.0.rar 2014-11-03 23:14 - 2013-03-11 21:57 - 00021292 _____ () C:\Users\KiL\Downloads\RemoveWAT.2.2.5.rar 2014-11-03 23:13 - 2012-06-29 18:28 - 00041154 _____ () C:\Users\KiL\Downloads\W68indowsLoa78der2.1.4-elamigos.zip Wstępnie doczyść komputer z tego co widać: 1. Odmontuj cracki aktywacyjne. 2. Odinstaluj zbędniki i stare dziurawe aplikacje: Adobe Reader 9.4.0 - Polish, Java™ 6 Update 23, McAfee Security Scan Plus, SpyHunter 4. McAfee Security Scan Plus to przypuszczalnie instalacja sponsorowana: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 RL_10TION; System32\Drivers\rl10tionu.sys [X] S3 RL_10TION_A_WDM; system32\drivers\rl10tiona.sys [X] Startup: C:\Users\KiL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\10tion Control Panel.lnk HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=164 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe BHO-x32: Surftastic -> {c6673938-a52b-4dc6-af05-783e7e2c8b65} -> C:\Program Files (x86)\Surftastic\Surftasticbho.dll No File Folder: C:\Users\KiL\AppData\Roaming\rundll32.exe CMD: type C:\Users\KiL\AppData\Roaming\stubs.bat C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\PCData C:\Users\KiL\AppData\Local\Temp*.html C:\Users\KiL\AppData\Local\Google\Chrome C:\Users\KiL\AppData\Roaming\a.exe C:\Users\KiL\AppData\Roaming\stubs.exe C:\Users\KiL\AppData\Roaming\stubs.bat C:\Users\KiL\AppData\Roaming\invisible.vbs C:\Users\KiL\AppData\Roaming\rundll32.exe C:\Users\KiL\AppData\Roaming\Mozilla C:\Users\KiL\Downloads\SpyHunter-Installer.exe C:\Users\KiL\Downloads\Remove-WAT-2.2.6.0.rar C:\Users\KiL\Downloads\RemoveWAT.2.2.5.rar C:\Users\KiL\Downloads\W68indowsLoa78der2.1.4-elamigos.zip Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i wypowiedz się co się dzieje. .

Po dokładnym przyjrzeniu się na skan detaliczny, nie widzę nic dziwnego w Winsock. Moim zdaniem tu nie ma problemu. Zgłoszę problem braku filtracji wpisów autorowi. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Zadanie wykonane. Możesz usunąć plik C:\DelFix.txt z dysku. To już koniec działań. Na przyszłość: - Czego unikać, skąd nie pobierać, by ograniczyć występowanie problemów podobnych do "TornTV": KLIK. - Jeśli pojawi się jakiś problem z adware / reklamami, poprawna metoda usuwania to: w pierwszej kolejności deinstalacja via Panel sterowania podejrzanych / nieznanych programów, następnie w przeglądarce w menedżerze rozszerzeń powtórzenie tego procesu, dopiero na koniec użycie automatów typu AdwCleaner czy Malwarebytes Anti-malware. - ComboFix unikać, to nie jest program domowego użytku. .

Na przyszłość: proszę nie powtarzaj skryptu więcej niż jeden raz, niezależnie od tego czy FRST się zawiesi / będzie jakiś inny problem. Potem otrzymuję niewiarygodne logi nie pokazujące co tak naprawdę zostało usunięte przy pierwszym podejściu (przecież może być jakiś bug). Ale co widzisz, jaki konkretnie błąd? Z tego powtórnego Fixlog w konfrontacji z ogólnym logiem FRST wynika, że skrypt wykonał się tylko do komendy RemoveDirectory. Poprawka z pominięciem owej komendy, ale uwzględnieniem zmian: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [50464 2014-07-02] (AVG Technologies) S2 bonanzadealslive; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe /svc [X] S3 bonanzadealslivem; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe /medsvc [X] S2 Updater Service for AMZN; C:\Program Files (x86)\Amazon Browser Bar\ToolbarUpdaterService.exe [X] S2 vToolbarUpdater18.1.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\18.1.0\ToolbarUpdater.exe [X] BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File Toolbar: HKLM-x32 - No Name - {95B7759C-8C7F-4BF1-B163-73684A933233} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File C:\Program Files (x86)\AVG Nation toolbar C:\Program Files (x86)\BonanzaDeals C:\Windows\system32\drivers\avgtpx64.sys Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /s CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\christian\AppData\Local CMD: dir /a C:\Users\christian\AppData\LocalLow CMD: dir /a C:\Users\christian\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ma nastąpić restart i powstać nowy plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Temat przenoszę do działu Windows, tytuł zmieniam. Brak oznak infekcji. Podejrzani: - Pod kątem długiego uruchamiania, ogólnego spowolnienia i problemów startu aplikacji: mocarna rozbudowana instalacja Norton Internet Security. - Pod kątem zawieszeń eksploratora: prócz powyższego, rzuca się w oczy multum rejestracji ShellIconOverlayIdentifiers utworzonych przez firmowy ASUS Webstorage (zbędnik) oraz doinstalowany TortoiseSVN. Jest tam jeszcze rejestracja AutoCAD, ale to na razie pomojam. Sugeruję zacząć od testowej deinstalacji po kolei po jednym sofcie na raz (zaczynając od najgrubszego Nortona) > restart systemu > sprawdzasz wyniki. .

Temat przenoszę do działu Windows. Brak oznak infekcji. Potem ewentualnie zajmę się korektą wpisów odpadkowych, obecnie nie ma to najmniejszego znaczenia. O ile to nie jest problem sprzętowy, za znaczący uznaję fakt, iż ComboFix (którego notabene nie powinno się uruchamiać w takiej sytuacji) "pomógł" do następnego restartu. To sugeruje blokadę na poziomie procesów. I jest tu bardzo dobry podejrzany, tzn. zdefektowany McAfee. Pozorowana deinstalacja (fakt deinstalacji miał miejsce, bo brak już wejścia na liście zainstalowanych), w tle hula cała grupa przeterminowanych usług i sterowników: ==================== Processes (Whitelisted) ================= (McAfee, Inc.) C:\Windows\System32\mfevtps.exe (McAfee, Inc.) C:\Program Files\Common Files\mcafee\systemcore\mfefire.exe (McAfee, Inc.) C:\Program Files\Common Files\mcafee\systemcore\mcshield.exe ==================== Services (Whitelisted) ================= U2 McShield; C:\Program Files\Common Files\McAfee\SystemCore\\mcshield.exe [237920 2012-06-22] (McAfee, Inc.) R2 mfefire; C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe [218320 2012-06-22] (McAfee, Inc.) R2 mfevtp; C:\Windows\system32\mfevtps.exe [177144 2012-06-22] (McAfee, Inc.) ==================== Drivers (Whitelisted) ==================== S3 cfwids; C:\Windows\System32\drivers\cfwids.sys [69672 2012-06-22] (McAfee, Inc.) S3 mfeapfk; C:\Windows\System32\drivers\mfeapfk.sys [169320 2012-06-22] (McAfee, Inc.) R3 mfeavfk; C:\Windows\System32\drivers\mfeavfk.sys [300392 2012-06-22] (McAfee, Inc.) S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [66712 2012-06-18] (McAfee, Inc.) R3 mfefirek; C:\Windows\System32\drivers\mfefirek.sys [513456 2012-06-22] (McAfee, Inc.) R0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [752672 2012-06-22] (McAfee, Inc.) S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [106112 2012-06-22] (McAfee, Inc.) R0 mfewfpk; C:\Windows\System32\drivers\mfewfpk.sys [335784 2012-06-22] (McAfee, Inc.) Zacznij od próby użycia McAfee Consumer Product Removal Tool, zresetuj system i zrób nowy log FRST (bez Addition i Shortcut). Problemem jest tu, że narzędzie będzie zapuszczone z poziomu trybu normalnego (czynny McAfee może przeszkodzić), bo awaryjny jest niesiągalny. Ale zobaczymy. Inne metody wejścia w awaryjny na Windows 8: - Z poziomu systemu: Użycie msconfig. Lub edycja BCD, by uaktywnić stary typ menu znany z Windows 7: KLIK. Niemniej przy syndromach blokady systemu nie wydaje mi się, by to przeszło i raczej odradzam próby. - Start z płyty instalacyjnej DVD Windows 8, o ile nośnik jest dostępny. .

To pytanie o aktywnego antywirusa może się zdarzyć nawet, jeśli antywirus jest wyłączony z poziomu obszaru powiadomień. Wszystko wykonane. Teraz zastosuj DelFix i pokaż wynikowy log: KLIK.

Nie masz nic zaznaczać czy usuwać ręcznie. Po prostu kliknij na Clean, poczekaj aż narzędzie ukończy pracę i dostarcz wynikowe logi z folderu C:\AdwCleaner. EDIT: Posty skleiłam, by nam się nie dłużył temat. Tak, to te logi. Wszystko zrobione. Już prawie kończymy. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f DeleteQuarantine: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\MATS RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\family RemoveDirectory: C:\Users\Guest\AppData\Local\Google CMD: C:\Users\Gabriel\Desktop\ComboFix.exe /uninstall Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix, powinnaś zobaczyć okno z pytaniem o deinstalację i ją potwierdzić. Powstanie kolejny plik fixlog.txt i go pokaż. .

Jeśli jest podłączany inny typ niż "Windows Mobile", to można pozbyć się tej instalacji.

Skan SFC służy tylko do sprawdzania plików systemowych i uszkodzone są pliki Windows - one się nie naprawią samodzielnie, jak mówiłam = brak kopii zapasowych. To nie są pliki wprowadzone przez i należące do tych określonych programów i ich reinstalacja nic nie da. Tym się nie zajmuj, bo tak problemu nie rozwiążesz. Problem występuje podczas uruchamiania różnych programów, gdyż one korzystają z bibliotek Windows. Np. raptowne wyłączenie komputera w niepoprawny posób (tu był BSOD) skutkujące uszkodzeniem danych. .

Ja nadal nie wiem co było wcześniej i czy ręcznie wskazałaś pozycję "swMSM". Czy zrobiłaś to? A to co pokazujesz nie jest już istotne: ekran "Did this fix your problem" to tylko pytanie pomocnicze do supportu i możesz wybrać "I don't know" , ekran "Fixed" oznacza ukończenie napraw.

Nie wiem co widzisz, zaprezentuj zrzuty ekranu. A po treści mi się wydaje, że wybrałaś nie tę opcję co trzeba, czyli automatyczną naprawę. Mnie chodzi o wybranie opcji ręcznej naprawy, wybór deinstalacji i na liście zaznaczenie konkretnego wpisu o nazwie "swMSM".

Po tej akcji miałaś po prostu ręcznie zresetować system, to miałam na myśli cytując własne słowa. Wszystko pomyślnie wykonane. Jedziemy z poprawkami: 1. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Adobe swMSM > Dalej. 2. Otwórz Notatnik i wklej w nim: Task: {7171F5EF-DF88-4D9F-BF99-6C662B337439} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe C:\Program Files\Common Files\Lavasoft C:\Program Files\Lavasoft C:\Program Files (x86)\Iminent C:\Program Files (x86)\IminentToolbar C:\Program Files (x86)\Java C:\Program Files (x86)\LSHunter.TV C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\MyPC Backup C:\Program Files (x86)\SymSilent C:\ProgramData\Adobe C:\ProgramData\APN C:\ProgramData\Ask C:\ProgramData\AVAST Software C:\ProgramData\Avira C:\ProgramData\Babylon C:\ProgramData\BitDefender C:\ProgramData\BitGuard C:\ProgramData\IBUpdaterService C:\ProgramData\iWing C:\ProgramData\Lavasoft C:\ProgramData\McAfee C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Oracle C:\ProgramData\Sun C:\ProgramData\Tarma Installer C:\Users\Gabriel\AppData\Local\Adobe C:\Users\Gabriel\AppData\Local\avgchrome C:\Users\Gabriel\AppData\Local\cache C:\Users\Gabriel\AppData\Local\cookies.ini C:\Users\Gabriel\AppData\Local\globalUpdate C:\Users\Gabriel\AppData\Local\Supreme Savings C:\Users\Gabriel\AppData\LocalLow\Adobe C:\Users\Gabriel\AppData\LocalLow\Delta C:\Users\Gabriel\AppData\LocalLow\mixidj C:\Users\Gabriel\AppData\LocalLow\Sun C:\Users\Gabriel\AppData\LocalLow\Temp C:\Users\Gabriel\AppData\Roaming\_MDLogs C:\Users\Gabriel\AppData\Roaming\Adobe C:\Users\Gabriel\AppData\Roaming\BabSolution C:\Users\Gabriel\AppData\Roaming\Babylon C:\Users\Gabriel\AppData\Roaming\IminentToolbar C:\Users\Gabriel\AppData\Roaming\iWing C:\Users\Gabriel\AppData\Roaming\LavasoftStatistics C:\Users\Gabriel\AppData\Roaming\OpenCandy C:\Users\Gabriel\AppData\Roaming\PerformerSoft C:\Users\Gabriel\AppData\Roaming\player C:\Users\Gabriel\AppData\Roaming\SeeSimilar02 C:\Users\Gabriel\AppData\Roaming\speedanalysis.ico C:\Users\Gabriel\AppData\Roaming\SpeedAnalysis2 C:\Users\Gabriel\AppData\Roaming\Systweak C:\Users\Gabriel\AppData\Roaming\TuneUp Software C:\Windows\SysWOW64\Macromed CMD: for /d %f in (C:\Users\Gabriel\AppData\Local\{*}) do rd /s /q "%f" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Przedstaw logi z folderu C:\AdwCleaner. .

To jest wyraźnie zaznaczone w tym punkcie:

Wątpię, że jest skonfigurowany poprawnie wg zaleceń w przyklejonym: KLIK. Tak duży plik sugeruje jedno z dwóch: - Wszystkie opcje ustawiłeś na Wszystko zamiast Użyj filtrowania. - Pliki utworzone / zmodyfikowane w przeciągu zostały ustawione na Wszystkie a nie Młodsze niż. Już plik Extras pokazuje, że jest zła konfiguracja, wybrane opcje Wszystko, a nie Użyj filtrowania. Oba logi z OTL masz zrobić od początku. EDIT: Logi uzupełnione. Problemy są widoczne: szczątki adware (w tym czynny sterownik {be5bf058-a067-4076-8c2e-22b9345a0260}Gw64.sys, który może powodować problemy z szybkością) oraz uszkodzony łańcuch Winsock (niepoprawna metoda usuwania Bonjour + coś jakby ślady pobytu infecji ZeroAccess). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {be5bf058-a067-4076-8c2e-22b9345a0260}Gw64; C:\Windows\System32\drivers\{be5bf058-a067-4076-8c2e-22b9345a0260}Gw64.sys [48784 2014-10-06] (StdLib) S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () [File not signed] S4 Bonjour Service; "C:\Program Files (x86)\Bonjour\mDNSResponder.exe" [X] S3 MSICDSetup; \??\H:\CDriver64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Winsock: Catalog5 01 C:\Windows\SysWOW64\mswsock.dll [231424] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 07 C:\Program Files (x86)\Bonjour\mdnsNSP.dll File Not found () Winsock: Catalog5-x64 01 %SystemRoot%\System32\mswsock.dll [327168] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Task: {5976D8FB-32EA-42BC-A4DC-BB1EEC49403D} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe CustomCLSID: HKU\S-1-5-21-357157574-974508199-1160413659-1000_Classes\CLSID\{CB58FF31-2539-11D0-BDEE-0020AFE14B84}\localserver32 -> G:\PROGRA~2\WEBDES~1\WEBDES~1\WEBDES~1.EXE No File CustomCLSID: HKU\S-1-5-21-357157574-974508199-1160413659-1000_Classes\CLSID\{CB58FF32-2539-11D0-BDEE-0020AFE14B84}\localserver32 -> G:\PROGRA~2\WEBDES~1\WEBDES~1\WEBDES~1.EXE No File HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-357157574-974508199-1160413659-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 - DefaultScope value is missing. SearchScopes: HKCU - URL http://search.conduit.com/Results.aspx?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=ISID_ID&SearchSource=58&CUI=&UM=5&UP=SP84B78B04-3701-44A0-ADCF-83E85FECEEF9&q={searchTerms}&SSPV= SearchScopes: HKCU - SuggestionsURL_JSON http://suggest.search.conduit.com/CSuggestJson.ashx?prefix={searchTerms} C:\Program Files (x86)\mozilla firefox\browser\searchplugins\sweet-page.xml C:\ProgramData\TEMP C:\Users\xxxxx\AppData\Roaming\AVG C:\Users\xxxxx\AppData\Roaming\OpenCandy C:\Windows\System32\drivers\{be5bf058-a067-4076-8c2e-22b9345a0260}Gw64.sys C:\Windows\SysWow64\Drivers\StarOpen.sys Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, DownloadHelper, Wiktionary and Google Translate) trzeba będzie przeinstalować. 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt i wypowiedz się czy są pozytywne zmiany. Odpisujesz mi już w nowym poście, nie edytuj poprzednich. .

Różnica językowa jest minimalna. W pasku adresów wpisujesz chrome://plugins i ENTER. Jedyna różnica językowa to nazwa opcji Wyłącz/Włącz, tzn. Disable/Enable.

Komputer został już wyczyszczony ze śmieci, więc pod tym kątem koniec działań i finalizacja. Usuń używane narzędzia z folderu C:\Users\Tomek\Desktop\Nowy folder i zastosuj DelFix: KLIK. Twoją przeglądarką jest Google Chrome, które ma wbudowany własny wewnętrzny Flash, aczkolwiek masz tu jeszcze wersję dla Firefox/Opera zainstalowaną: ==================== Installed Programs ====================== Adobe Flash Player 15 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 15.0.0.167 - Adobe Systems Incorporated) ----> wersja dla IE Adobe Flash Player 15 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 15.0.0.189 - Adobe Systems Incorporated) ----> wersja dla Firefox/Opera Ta wtyczka "Adobe Flash Player 15 Plugin" może być także używana przez Chrome, a jeśli jest włączona równolegle z wewnętrzną Chrome, nie są wykluczone kłopoty i konflikty. Wstępnie do sprawdzenia: 1. W pasku adresów wpisz chrome://plugins i ENTER, rozwiń Szczegóły. Na liście wtyczek powinna być grupa "Adobe Flash" pokazująca dwie wtyczki: - Wewnętrzny Flash Chrome: C:\Program Files\Google\Chrome\Application\38.0.2125.111\PepperFlash\pepflashplayer.dll. - Zewnętrzny Flash dla Firefox/Opera: C:\Windows\system32\Macromed\Flash\NPSWF32_15_0_0_189.dll. I to tę wtyczkę wyłącz, a po tym przeładuj przeglądarkę. 2. Lub odinstaluj całkowicie pozycję "Adobe Flash Player 15 Plugin". Nie wiem, może być to problem po stronie komputera (wersja sterowników / sprzęt), a może i problem u dostawcy. Ten wątek to już do działu Sieci się nadaje. I w Dzienniku zdarzeń pojawia się taki oto błąd: System errors: ============= Error: (11/05/2014 09:16:58 PM) (Source: NetBT) (EventID: 4321) (User: ) Description: Nie można zarejestrować nazwy „TOMEK-KOMPUTER :20” w interfejsie o adresie IP 10.8.4.183. Komputer o adresie IP 10.8.0.252 nie zezwolił na przejęcie tej nazwy przez ten komputer. .

Tutaj logi to raczej na nic się nie przydadzą, one są koncentrowane na infekcjach, a tu brak śladów. Z tego co rozumiem zawartość dysku jest w porządku, z wyjątkiem braku kilku określonych obiektów. Zaznaczanie plików w eksploratorze to jest niedobra metoda, by obliczyć faktyczną wagę zaznaczanych obiektów. Ta metoda pomija np. obiekty zablokowane przez uprawnienia (tu powinien opór stawić System Volume Information od Przywracania systemu). Mógłbyś sprawdzić jak widzi przestrzeń tego dysku SpaceSniffer (prawoklik i "Uruchom jako Administrator", a przed uruchomieniem skanu dysku ustaw z menu Edit > Configure > Show Unknown Space). Mówiłeś jeszcze o plikach typu "cassis.mp4" - gdzie one konkretnie leżały? Na wszelki wypadek upewnij się, że nic nie wylądowało w Koszu dysku, a są tu dwa foldery: $RECYCLE.BIN i RECYCLER. No cóż, skoro Gdata jednak usunął ten folder i na dodatek nie pozwala go odtworzyć, to ja nie widzę innej możliwości niż jakiś soft typu "Recovery". Np. sprawdź czy widzi te usunięte obiekty Recuva Portable - program należy uruchomić z innego dysku niż poszkodowany, a na poszkodowanym nie wykonać żadnych nowych zapisów (wstawianie nowych plików, usuwanie plików, zmiany nazw folderów etc.). .