picasso

W systemie działa infekcja, w starcie uruchamia się podrobiony "Flash Player" (fffplayer32.exe), a obiekt wygląda na załadowany z jakiś lewych paczek do Tibia. Prócz tego są też różne obiekty adware. A system wygląda na nieoryginalny i scrackowany via "KMSpico" - nie jest wykluczone, że usługa "Service KMSELDI" jest problematyczna i będzie usuwana. Przeprowadź następujące działania: 1. Deinstalacje: - Przez Panel sterowania odinstaluj adware BlueSprig Toolbar v9.7. Pozbądź się także wszystkich dodatków do Tibia ostatnio pobieranych. - Jeśli chodzi o niemożliwy do odinstalowania AVG, spróbuj AVG Remover. Program zastosuj z poziomu Trybu awaryjnego Windows. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [Adobe Gamma Colors] => C:\Program Files\Common Files\Flash Player\fffplayer32.exe [2763838 2014-05-11] (CipSoft GmbH) S2 Service KMSELDI; C:\Program Files\KMSpico\Service_KMS.exe [974016 2014-03-02] () [File not signed] Task: {639CC502-F377-4F41-96AF-118E0E1AD569} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe Task: {8CC26BBF-7820-475B-91DC-2BDFFDB5BDA6} - System32\Tasks\SW_Booster-S-1467139175 => c:\programdata\rightapp software\sw_booster\SW_Booster.exe Task: C:\Windows\Tasks\SW_Booster-S-1467139175.job => c:\programdata\rightapp software\sw_booster\SW_Booster.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\wtu-secure-search.xml HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120140911 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120140911 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120140911 SearchScopes: HKCU - {170F9CDF-2C69-456A-8202-9A8D3B5EC17E} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=925777&p={searchTerms} BHO: No Name -> {6EA0EA94-709E-DEAE-4EE4-3680D16DD2A8} -> No File C:\Program Files\Common Files\Flash Player C:\Program Files (x86)\BlueSprig Toolbar C:\Program Files (x86)\Temp C:\Program Files\KMSpico C:\ProgramData\MFAData C:\ProgramData\TEMP C:\Users\Konrad\OSBuddy C:\Users\Konrad\AppData\Roaming\BlueSprig C:\Users\Konrad\AppData\Roaming\rmi C:\Users\Konrad\Downloads\*(*)-dp*.exe C:\Users\Konrad\Downloads\ipchanger.exe C:\Users\Konrad\Downloads\OSBuddy*.* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przeglądarka Google Chrome jest zaśmiecona adware, ale dodatkowo została przekonwertowana przez adware z wersji stabilnej do development. Wymagana kompletna reinstalacja: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus i MEGA) trzeba będzie przeinstalować. 5. W systemie są dwa konta: ========================= Accounts: ========================== Ewa (S-1-5-21-3503546630-2230702639-2809708747-1001 - Administrator - Enabled) => C:\Users\Ewa Konrad (S-1-5-21-3503546630-2230702639-2809708747-1000 - Administrator - Enabled) => C:\Users\Konrad Dostarczone zostały logi z konta Konrad, potrzebne logi FRST z obu kont. Po kolei zaloguj się na każde z nim poprzez pełny restart omputea (a nie opcję Wyloguj czy Przełącz użytkownika) i i zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały po dwa logi na każdym koncie. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). Wypowiedz się czy jest jakaś poprawa. .

Czy po wykonaniu operacji nastąpiła poprawa? Poprawki: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj FromDocToPDF (powiązany z ask.com). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Users\Tomek\AppData\Roaming\*.ex* C:\Users\Tomek\Downloads\setup.exe RemoveDirectory: C:\FRST\Quarantine EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Dostarcz wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz log wynikowy z foderu C:\AdwCleaner. .

Czy problem reklam nadal występuje? Wszystko wykonane pomyślnie. Drobniutka porawka - otwórz Notatnik i wklej w nim: HKU\S-1-5-21-515967899-1958367476-725345543-1007\...\Run: [CW] => [X] RemoveDirectory: C:\AdwCleaner DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowyfixlog.txt.

Na zakończenie usuń używane narzędzia za pomocą DelFix, wyczyść foldery Przywracania systemu i porównaj co wymaga aktualizacji: KLIK.

Fix został pomyślnie wykonany. - Na koncie "4" nic już nie widać do usuwania. - Na koncie "siwek" w Firefox w rozszerzeniach odinstaluj HomeTab. Czy problem nadal występuje po przeprowadzonym usuwaniu? Trzecim kontem jest wbudowany w system Administrator, konto jest włączone. Prawdopodobnie aktywowałeś je podczas wchodzenia w Tryb awaryjny, gdyż konto to pokazuje się tylko na ekranie awaryjnego (o ile nie ma żadnych innych lokalnych administratorów). Logi z Administratora sobie darujmy. .

Problem tworzy wpis "CMD" w starcie kierujący do otwierania strony "extendedunlimited.org". Przeprowadź następujące działania: 1. Na początek jednak odinstaluj via Panel sterowania wątpliwy program SpyHunter. 2. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1007308674-706615955-2750518701-1000\...\Run: [CMD] => cmd.exe /c start http://extendedunlimited.org && exit HKLM-x32\...\Run: [] => [X] StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .

Proszę dostosuj się do zasad działu: KLIK. OTL to narzędzie przestarzałe i logi sprawdzane tylko jak krok dodatkowy. Uzupełnij obowiązkowe logi z FRST.

W raportach FRST widać podejrzane zadania Harmonogramu "InfiniteCrisis" kierujące do iexplore.exe i to jedyne co można powiązać. I jeszcze plik HOSTS ma podejrzane atrybuty (jest ukryty, a jego zawartość odpowiada systemowi Vista a nie XP). Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: C:\WINDOWS\Tasks\InfiniteCrisis TW1.job => C:\Program Files\Internet Explorer\iexplore.exe Task: C:\WINDOWS\Tasks\InfiniteCrisis TW2.job => C:\Program Files\Internet Explorer\iexplore.exe BootExecute: 콈м괵粑 S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction C:\Documents and Settings\All Users\Pulpit\Free Offers.lnk C:\Documents and Settings\4\Dane aplikacji\DVDVideoSoft C:\Documents and Settings\4\Dane aplikacji\Elex-tech C:\Documents and Settings\4\Dane aplikacji\GameOff C:\Documents and Settings\4\Dane aplikacji\InfiniteCrisis486 C:\Documents and Settings\4\Menu Start\Programy\InfiniteCrisis C:\Documents and Settings\4\Pulpit\Nieużywane skróty pulpitu\Free Offers.lnk C:\Documents and Settings\4\Pulpit\Nieużywane skróty pulpitu\Samsung Kies.lnk C:\Documents and Settings\4\Ustawienia lokalne\Dane aplikacji\com C:\Documents and Settings\4\Ustawienia lokalne\Dane aplikacji\CRE C:\Documents and Settings\4\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ICSharpCode.net Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FlashGet 3" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesAirMessage" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPreload" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mbot_pl_10" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W systemie są aż 3 czynne konta: ========================= Accounts: ========================== 4 (S-1-5-21-776561741-706699826-682003330-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\4 Administrator (S-1-5-21-776561741-706699826-682003330-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator siwek (S-1-5-21-776561741-706699826-682003330-1008 - Limited - Enabled) => %SystemDrive%\Documents and Settings\siwek Wymagane logi FRST z każdego z osobna. Zaloguj się po kolei na każde poprzez pełny reset komputera (nie przez Wyloguj lub Przełącz użytkownika) i zrób nowy log FRST (bez Addition i Shortcut). Dorzuć też zaległy GMER oraz plik fixlog.txt. .

Fix wykonany. Tak jak w poprzednim temacie, skasuj ręcznie pobrany GMER i zastosuj DelFix.

Pokaż zrzut ekranu. Opis sugeruje, że sprawdzasz nie ten plik co trzeba. Mnie nie chodzi o sprawdzanie właściwości pliku C:\Program Files\Internet Explorer\iexplore.exe, lecz o plik C:\Users\lupus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk.

Fix wykonany. Czy na pewno sprawdzasz drugą kartę Skrót a nie pierwszą Ogólne? .

Podaj mi jszcze skan SFC. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. .

Nie to miałam na myśli. Ja mówiłam, iż widać, że przeglądarką z której korzystasz jest Opera (bo jest uruchomiona w procesach), ale nie widać jej konfiguracji, gdyż FRST i OTL po prostu nie skanują jej traktując jako wyrób niszowy. "Wypowiedz się czy są jakieś zmiany." Poprzednie zadania wykonane, choć problem niesygnowanych plików jest nadal i będę rozważać potem o co tu chodzi. Drobne poprawki: 1. Specjalny skrót IE jest uszkodzony: Shortcut: C:\Users\lupus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\lupus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v newtab /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Zestaw logów nie do końca taki jak oczekiwane: brak plików FRST Shortcut i OTL Extras, a GMER zrobiony przy czynnym sterowniku SPTD od emulacji napędów wirtualnych. Ale zostaw to już. Temat przenoszę do działu Software. Brak oznak infekcji. Odinstaluj tylko zbędny Akamai NetSession Interface (downloader produktów np. AutoCAD). W spoilerze dodatkowe kosmetyczne doczyszczanie szczątkowych wpisów i Tempów, ale to nie ma związku z problemami. Nadal mi nie podałeś w jakiej ścieżce ESET wykrył infekcję. Natomiast zgłaszane problemy mogą być powiązane z ... ESET. Wg raportów jest to świeża instalaja, bądź aktualizacja. Na próbę odinstaluj go całkowicie i sprawdź które objawy nadal występują. .

Temat przenoszę do działu diagnostyki infekcji, bo też ów TheHDvid-Codec V10 to adware i to nie jedyna pozycja tego typu w systemie. Problem z deinstalacją adware TheHDvid-Codec V10 może wynikać z faktu użycia MBAM lub podobnego skanera przed poprawną deinstalacją, zaś deinstalator Python wygląda na uszkodzony: Application errors: ================== Error: (11/01/2014 05:48:06 PM) (Source: MsiInstaller) (EventID: 11722) (User: Maciej-Komputer) Description: Product: Python 3.4.1 (64-bit) -- Error 1722. There is a problem with this Windows Installer package. A program run as part of the setup did not finish as expected. Contact your support personnel or package vendor. Action RemovePip, location: D:\python.exe, command: -B -m ensurepip._uninstall Nie podałeś w ogóle co to za tajemnicze błędy "zaraz po włączeniu Windowsa i zalogowaniu się na konto". Zaś ogólne zamulenie systemu niekoniecznie wynika z obecności adware, równie dobrze może być to produkowane przez instalację Norton. Wstępne działania: 1. Deinstalacje: - Przez Panel sterowania odinstaluj YTD Video Downloader 4.8.3 (ma adware w instalatorze). - Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście Python 3.4.1 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-21] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-21] (globalUpdate) [File not signed] Task: {10BB80B3-A877-475A-9655-B8A45DFC6AFF} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-7 => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-7.exe Task: {192B786B-8D6C-4B2F-AE6F-4F9AE3204417} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-5_user => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-5.exe Task: {4E1A9397-07F1-4DB8-9CBF-CF701EDD4966} - System32\Tasks\Driver Booster SkipUAC (Maciej) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {659296DA-B9BF-464B-AFD7-2F525F122DE0} - System32\Tasks\Driver Booster Scan => C:\Program Files (x86)\IObit\Driver Booster\Scheduler.exe Task: {6F9AAF76-A5FC-479D-9B33-273B81FE5679} - System32\Tasks\Driver Booster Update => C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe Task: {906EEE0A-D41D-409D-842B-1D312036DC1A} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-5 => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-5.exe Task: {92865B50-0725-4D00-AF0E-33AC75FCF1BE} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-11 => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-11.exe Task: {BB7D4E2A-034A-4040-8938-3CF3DEB3C8E5} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-6 => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-6.exe Task: {BDD33E08-9BAD-419F-BF04-E538B1A7BDB0} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-21] (globalUpdate) Task: {C0137A32-B184-409E-9841-B084182CC2A1} - System32\Tasks\6101c87c-669b-4932-912b-9afbbf3bb7f3-6 => C:\Program Files (x86)\TheHDvid-Codec V10\6101c87c-669b-4932-912b-9afbbf3bb7f3-6.exe Task: {C6B24364-86B5-4CD3-A7A0-4E2337197252} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-21] (globalUpdate) Task: {E1DF252E-6E92-474E-8566-6F8661AE304D} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-4 => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-4.exe Task: {E2DB448D-6F49-44E9-B321-8FDC1865D2F4} - System32\Tasks\Installer_yta => C:\Users\Maciej\AppData\Local\Installer\Installyta_18071\DCytaiesmt.exe [2014-10-21] () Task: {F1BAEEDD-321B-4C16-BACE-2D87808E423B} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-1 => C:\Program Files (x86)\Apps Hat\Apps Hat-codedownloader.exe Task: C:\Windows\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-1.job => C:\Program Files (x86)\Apps Hat\Apps Hat-codedownloader.exe Task: C:\Windows\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-11.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-11.exe Task: C:\Windows\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-4.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-4.exe Task: C:\Windows\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-5.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-5.exe Task: C:\Windows\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-5_user.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-5.exe Task: C:\Windows\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-6.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-6.exe Task: C:\Windows\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-7.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-7.exe Task: C:\Windows\Tasks\6101c87c-669b-4932-912b-9afbbf3bb7f3-6.job => C:\Program Files (x86)\TheHDvid-Codec V10\6101c87c-669b-4932-912b-9afbbf3bb7f3-6.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe S3 MWAC; \??\C:\Windows\system32\drivers\ [0 ] () [File not signed] S3 MWAC; \??\C:\Windows\SysWOW64\drivers\ [0 ] () [File not signed] S3 atillk64; \??\C:\Program Files (x86)\AMD\System Monitor\atillk64.sys [X] R4 ausbmon; \??\C:\Windows\system32\drivers\ausbmon.sys [X] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 ShortcutWithArgument: C:\Users\Maciej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 ShortcutWithArgument: C:\Users\Maciej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 ShortcutWithArgument: C:\Users\Maciej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 ShortcutWithArgument: C:\Users\Maciej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 ShortcutWithArgument: C:\Users\Maciej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} BHO: TheHDvid-Codec V10 -> {11111111-1111-1111-1111-110611331115} -> C:\Program Files (x86)\TheHDvid-Codec V10\TheHDvid-Codec V10-bho64.dll (home) CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-09-07] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) C:\Program Files (x86)\Apps Hat C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\TheHDvid-Codec V10 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AppsHat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Python 3.4 C:\Users\Maciej\AppData\Local\CrashRpt C:\Users\Maciej\AppData\Local\Installer C:\Users\Maciej\AppData\Local\WebPlayer C:\Users\Maciej\AppData\Roaming\3909 C:\Users\Maciej\AppData\Roaming\IObit C:\Users\Maciej\AppData\Roaming\Opera Software C:\Users\Maciej\AppData\Roaming\RegistryCleanMaster EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany w kwestiach "Zamulony komputer" + "kilku błędów zaraz po włączeniu Windowsa". .

1. Wyniki SystemLook: sprawdź czy na dysku widzisz poniżej wymienione pliki. C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14.manifest C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab.manifest C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7.manifest 2. Wyniki setupapi.dev.log: jest kolejny wadliwy sterownik. !!! sto: Failed to find driver update 'C:\Windows\WinSxS\amd64_usbstor.inf_31bf3856ad364e35_6.1.7600.16778_none_a48918bfb179469a\usbstor.inf' in Driver Store. Error = 0x00000490 W cmd uruchomionym jako Administrator aplikujesz komendę: pnputil -a C:\Windows\WinSxS\amd64_usbstor.inf_31bf3856ad364e35_6.1.7600.16778_none_a48918bfb179469a\usbstor.inf Przedstaw wyniki z okna. I nie wiadomo ile jeszcze takich trefnych sterowników jest w systemie. Na razie zrób co powyżej. .

Brakuje trzeciego pliku FRST Shortcut. No cóż, w systemie działa inwazyjne adware. Uruchomioną przeglądarką jest Opera, żadne z narzędzi jej nie skanuje, więc nie wiadomo czy aby w niej również czegoś brzydkiego nie ma, ale to będę sprawdzać ręcznie. Poza tym, jest tu coś nie tak z usługami Windows, pozycje Microsoftu są oznaczone jako niesygnowane. Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64; C:\Windows\System32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64.sys [61112 2014-06-27] (StdLib) R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64.sys [61112 2014-06-30] (StdLib) R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}w64; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys [61112 2014-07-12] (StdLib) U4 EIO64; No ImagePath S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S2 Update NetCrawl; "C:\Program Files (x86)\NetCrawl\updateNetCrawl.exe" [X] HKU\S-1-5-21-4204224380-3008712290-589102612-1000\...\Run: [Yahoo! Search] => C:\Users\lupus\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe [438632 2014-09-20] (Pay By Ads LTD) Task: {19A38E22-9C48-4A7D-A54B-98D65DE74CAB} - System32\Tasks\Yahoo! Search => C:\Users\lupus\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe [2014-09-20] (Pay By Ads LTD) Task: {42AE3AF9-3338-4748-ABB0-73D42891DDD9} - System32\Tasks\CCleanerSkipUAC => D:\cleaner\CCleaner.exe Task: {4D2B4A56-B7BF-4B68-8FA8-D6B96C213FF7} - \VuuPCUpdate No Task File Task: {E4008827-2D5F-4707-A292-53D903540FA9} - \VuuPCUpdateLogin No Task File Task: {ECD0394C-2E45-4565-8CFB-89ADCA862D99} - System32\Tasks\Yahoo! Search Udpater => C:\Users\lupus\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrsetup.exe [2014-09-20] (Pay By Ads LTD) Task: {F7A259D9-3AA4-4BDC-9D7E-E974FE13E115} - System32\Tasks\{77F7012F-8D72-4E17-A708-C03A5A1B15F8} => Chrome.exe http://ui.skype.com/ui/0/5.8.0.154/pl/abandoninstall?source=lightinstaller&page=tsInstall GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na SearchScopes: HKLM-x32 - DefaultScope value is missing. FF Plugin-x32: @esn/esnlaunch,version=1.104.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.104.0\npesnlaunch.dll No File FF Plugin-x32: @esn/esnlaunch,version=1.110.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.110.0\npesnlaunch.dll No File FF Plugin-x32: @esn/esnlaunch,version=1.118.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.118.0\npesnlaunch.dll No File FF Plugin-x32: @esn/esnlaunch,version=1.132.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.132.0\npesnlaunch.dll No File CustomCLSID: HKU\S-1-5-21-4204224380-3008712290-589102612-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\lupus\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-4204224380-3008712290-589102612-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\lupus\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-4204224380-3008712290-589102612-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\lupus\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File C:\Users\lupus\AppData\Local\Pay-By-Ads C:\Windows\System32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64.sys C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64.sys C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\fst_pl_6_is1 /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\VLC Player GPU+11.041.44" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\lupus\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\lupus\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany. .

W systemie są niepożądane rzeczy ładowane (niejaki "Wincert" i kilka innych). Do wdrożenia następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: AppInit_DLLs: c:\progra~2\wincert\win32c~1.dll => c:\ProgramData\Wincert\win32cert.dll [7168 2013-02-07] () HKLM\...\Run: [DATAMNGR] => C:\Program Files\Search Results Toolbar\Datamngr\datamngrUI.exe [1683456 2013-02-14] (Bandoo Media Inc) HKU\S-1-5-21-1186718744-3189103823-2131972119-1001\...\Run: [QtraxNotification] => C:\Users\Tomek\Qtrax\Player\Notification.exe [118568 2013-08-04] () CMD: type C:\Windows\System32\Tasks\QtraxPlayer Task: {1C68D78A-C732-408A-83C0-705C9B310C63} - System32\Tasks\QtraxPlayer => C:\Program Files\Microsoft Silverlight\sllauncher.exe [2014-05-13] (Microsoft Corporation) Task: {8E21B4F9-9F21-4D36-9E99-2762C8341A2B} - System32\Tasks\EPUpdater => C:\Users\Tomek\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-05-09] () Task: {94B1D90C-92E3-49EB-8434-601778964CEC} - System32\Tasks\DSite => C:\Users\Tomek\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe [2013-06-06] () Task: {E8A88ED6-68F8-4B0B-A20F-8B927A48D1FA} - System32\Tasks\Digital Sites => C:\Users\Tomek\AppData\Roaming\DigitalSites\UpdateProc\UpdateTask.exe [2013-04-12] () Task: C:\Windows\Tasks\Digital Sites.job => C:\Users\Tomek\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE R2 HPSLPSVC; C:\Users\Tomek\AppData\Local\Temp\7zS094D\hpslpsvc32.dll [701288 2013-02-06] (Hewlett-Packard Co.) HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=119357&babsrc=HP_ss_din2g&mntrId=C2A6001FE104CC26 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=119357&babsrc=HP_ss&mntrId=C2A6001FE104CC26 SearchScopes: HKLM - DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=366&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=3650213835504956&q={searchTerms} SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=366&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=3650213835504956&q={searchTerms} SearchScopes: HKCU - DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=366&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=3650213835504956&q={searchTerms} SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119357&babsrc=SP_ss&mntrId=C2A6001FE104CC26 SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=366&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=3650213835504956&q={searchTerms} BHO: Search-Results Toolbar -> {377e5d4d-77e5-476a-8716-7e70a9272da0} -> C:\Program Files\Search Results Toolbar\Datamngr\SRTOOL~1\searchresultsDx.dll (APN LLC) BHO: delta Helper Object -> {C1AF5FA5-852C-4C90-812E-A7F75E011D87} -> C:\Program Files\Delta\delta\1.8.21.5\bh\delta.dll (Delta-search.com) BHO: DataMngr -> {C1ED9DA0-AFD0-4b90-AC6A-D3874F591014} -> C:\Program Files\Search Results Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media Inc) BHO: Bing Bar BHO -> {d2ce3e00-f94a-4740-988e-03dc2f38c34f} -> C:\Program Files\MSN Toolbar\Platform\6.3.2291.0\npwinext.dll No File Toolbar: HKLM - @C:\Program Files\MSN Toolbar\Platform\6.3.2291.0\npwinext.dll,-100 - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files\MSN Toolbar\Platform\6.3.2291.0\npwinext.dll No File Toolbar: HKLM - Search-Results Toolbar - {377e5d4d-77e5-476a-8716-7e70a9272da0} - C:\Program Files\Search Results Toolbar\Datamngr\SRTOOL~1\searchresultsDx.dll (APN LLC) Toolbar: HKLM - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.21.5\deltaTlbr.dll (Delta-search.com) CHR HKLM\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Tomek\AppData\Roaming\BabSolution\CR\Delta.crx [] CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.99\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.79\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.24.15\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.149\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.115\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.22.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.111\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.24.7\psuser.dll No File C:\ProgramData\Wincert C:\Users\Tomek\AppData\Roaming\*.* C:\Users\Tomek\AppData\Roaming\BabSolution C:\Users\Tomek\AppData\Roaming\Delta C:\Users\Tomek\AppData\Roaming\Mozilla Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware i odpadki: Delta Chrome Toolbar, Delta toolbar, iLivid, Qtrax Connection Manager, Qtrax Player, Search-Results Toolbar, Update for Video Converter, Video Converter Packages, Windows Media Player Firefox Plugin. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Nic podejrzanego tu nie widzę. Podobnie jak w poprzednim temacie jest rosyjskie proxy w Firefox, jak sądzę również celowo ustawione. Minimalne poprawki możesz wdrożyć. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\06823385.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\09830036.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\47564120.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\06823385.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\09830036.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\47564120.sys => ""="Driver" HKLM\...\Policies\Explorer: [NoViewContextMenu] 0 HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-3484390013-3890596361-3067502036-1000\...\Policies\Explorer: [NoCDBurning] 0 U3 DfSdkS; No ImagePath C:\ProgramData\TEMP Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: sc config "Mobile Partner. RunOuc" start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny, by programy zabezpieczające nie przeszkadzały. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przedstaw wynikowy fixlog.txt. .

W systemie widać aktywne niepożądane usługi. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 nethfdrv; C:\WINDOWS\system32\drivers\nethfdrv.sys [49152 2014-10-20] () [File not signed] R2 NetHttpService; C:\WINDOWS\system32\nethtsrv.exe [180224 2014-10-20] () [File not signed] R2 ServiceUpdater; C:\WINDOWS\system32\netupdsrv.exe [162304 2014-10-20] () [File not signed] S3 ATP; system32\DRIVERS\cmdatp.sys [X] S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X] Winlogon\Notify\WgaLogon: WgaLogon.dll [X] Task: C:\WINDOWS\Tasks\WinThruster_DEFAULT.job => C:\Program Files\WinThruster\WinThruster.exe Task: C:\WINDOWS\Tasks\WinThruster_UPDATES.job => C:\Program Files\WinThruster\WinThruster.exe M:\AUTORUN.FCB C:\awh*.tmp C:\Documents and Settings\All Users\Dane aplikacji\YTD Video Downloader C:\Documents and Settings\All Users\Menu Start\Programy\YTD Video Downloader C:\Documents and Settings\Bednarr\Dane aplikacji\3943 C:\Documents and Settings\Bednarr\Dane aplikacji\Solvusoft C:\WINDOWS\pss\fabulous_09271114.lnkStartup C:\WINDOWS\system32\hfnapi.dll C:\WINDOWS\system32\hfpapi.dll C:\WINDOWS\system32\installd.exe C:\WINDOWS\system32\nethtsrv.exe C:\WINDOWS\system32\netupdsrv.exe C:\WINDOWS\system32\Drivers\nethfdrv.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Bednarr^Menu Start^Programy^Autostart^fabulous_09271114.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fabulous_09271114" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UnlockerAssistant" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinThrusterReminder" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner. .

Tak, proszę o te dane. Ponadto, czy błąd podczas instalacji SP1 jest tej samej formy, tzn. "0x80070490 - ERROR_NOT_FOUND"? Jeśli tak, to dostarcz ponownie plik C:\Windows\inf\setupapi.dev.log. Jeśli nie, to wymagane także dostarczenie całego CBS.

Fix wykonany, natomiast: Skoro po deinstalacji COMODO aktualizacje nadal są problemem, proszę o dodatkowe dane: 1. Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy pracę: 2. Skopiuj na Pulpit plik C:\Windows\inf\setupapi.dev.log + folder C:\Windows\Logs\CBS. Wszystkie materiały zzipuj, rzuć na jakiś hosting i podaj tu link do paczki. .

Posługujesz się strasznie przestarzałym FRST pozbawionym nowych skanów, komend i poprawek. FRST jest aktualizowany tak często, iż tylko pobieranie za każdym razem na nowo gwarantuje najnowszą wersję. Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 17-08-2014 01 (ATTENTION: ====> FRST version is 75 days old and could be outdated) Brakuje też trzeciego pliku FRST Shortcut. "Kalkulator" i "Paint" to nazwy obiektów w Menu Start, zaś calc i mspaint to nazwy plików w system32. Nasuwa się pytanie czy w ogóle istnieją "Akcesoria" w Menu Start z owymi składnikami (czyli ścieżka C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories z tymi skrótami LNK) i czy skróty są wyświetlane w postaci polonizowanej. W przypadku braku tej ścieżki lub braku skrótów w niej lub innej nazwy owych skrótów wyszukiwanie nie złapie nazw, które wspominasz, co najwyżej podsunie link do w(y)łączania komponentów Windows. Nie podałeś FRST Shortcut, to i stwierdzić dokładnie nie mogę czy są jakieś ubytki w Menu Start. W jakiej ścieżce dostępu? Skutki pobierania jakiegoś programu z adware. Brak jednak związku z problemami przedstawionymi w temacie. .

+ Platform: Windows 7 Ultimate Service Pack 1 (X64) OS Language: English (United States) Internet Explorer Version 8 Rozpocznij od aktywacji komponentu Internet Explorer i jego aktualizacji do najnowszej dostępnej wersji czyli IE11 i zobaczymy czy problemy ustąpią. IE8 jest strasznie stary, aktualizacje silnika wiele zmieniły, m.in. w kwestii zachowań ustawień AttachmentExecute (powiązane z dialogami podobnymi do prezentowanych na obrazkach). Stary silnik IE może być też ogólnie problemem dla różnych aplikacji, które z niego korzystają. .

satman, beużyteczny post o treści "Czy ktoś może mi pomóc?" kasuję. To nie przyśpieszy spraw i nie wymusi odpowiedzi. Absencja, brak czasu lub nikt nie wie jak to rozwiązać. Poza tym, jeśli nikt jeszcze nie odpisał, post poprawia się poprzez Edycję, zamiast tworzyć post pod postem. Posty w serii "odświeżające" datę nie spowodują większego zainteresowania, mogą być też traktowane jako spamowanie. Pole szybkiej odpowiedzi na spodzie tematu > Więcej opcji > jest możliwość załączenia pliku tekstowego. Z raportu FRST nic nie wynika: - Fałszywe alarmy: Suma kontrolna MD5 pliku winlogon.exe jest poprawna, po prostu FRST nie ma tej sumy w bazie. A powiadomienie "ATTENTION ===> 0 byte partition bootkit" raczej do zignorowania, gdyż tyczy innego dysku niż systemowy (przenośny). - Widać tu bardzo rozbudowaną instalację Panda oraz śmieci (wątpliwy i stary skaner SpyHunter, a także niedoczyszczone adware). Te sprawy jednak nie wydają się powiązane z usterką, gdyż sterowniki Panda nie powinny się ładować w Trybie awaryjnym, a usterka występuje we wszystkich trybach. Uściślij jakie akcje prowadziłeś, konkretnie jakie opcje naprawcze "Recovery" były uruchamiane? Odwołując się do "Recovery" masz na myśli opcję "Napraw komputer" Windows 7? Tu są ślady też innego "Recovery", tzn. ukryta partycja 15GB mająca flagę "Acer Recovery". W jaki sposób system się zamknął? Samoczynnie, w sposób wymuszony, czy "po Bożemu"? Wstępnie sugeruję uruchomić moduł Napraw komputer > Wiersz polecenia > komendę chkdsk /f /r sprawdzającą dysk. .