picasso

Fix wykonany. Tak jak w poprzednim temacie, skasuj ręcznie pobrany GMER i zastosuj DelFix.

Pokaż zrzut ekranu. Opis sugeruje, że sprawdzasz nie ten plik co trzeba. Mnie nie chodzi o sprawdzanie właściwości pliku C:\Program Files\Internet Explorer\iexplore.exe, lecz o plik C:\Users\lupus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk.

Fix wykonany. Czy na pewno sprawdzasz drugą kartę Skrót a nie pierwszą Ogólne? .

Podaj mi jszcze skan SFC. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. .

Nie to miałam na myśli. Ja mówiłam, iż widać, że przeglądarką z której korzystasz jest Opera (bo jest uruchomiona w procesach), ale nie widać jej konfiguracji, gdyż FRST i OTL po prostu nie skanują jej traktując jako wyrób niszowy. "Wypowiedz się czy są jakieś zmiany." Poprzednie zadania wykonane, choć problem niesygnowanych plików jest nadal i będę rozważać potem o co tu chodzi. Drobne poprawki: 1. Specjalny skrót IE jest uszkodzony: Shortcut: C:\Users\lupus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\lupus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v newtab /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Zestaw logów nie do końca taki jak oczekiwane: brak plików FRST Shortcut i OTL Extras, a GMER zrobiony przy czynnym sterowniku SPTD od emulacji napędów wirtualnych. Ale zostaw to już. Temat przenoszę do działu Software. Brak oznak infekcji. Odinstaluj tylko zbędny Akamai NetSession Interface (downloader produktów np. AutoCAD). W spoilerze dodatkowe kosmetyczne doczyszczanie szczątkowych wpisów i Tempów, ale to nie ma związku z problemami. Nadal mi nie podałeś w jakiej ścieżce ESET wykrył infekcję. Natomiast zgłaszane problemy mogą być powiązane z ... ESET. Wg raportów jest to świeża instalaja, bądź aktualizacja. Na próbę odinstaluj go całkowicie i sprawdź które objawy nadal występują. .

Temat przenoszę do działu diagnostyki infekcji, bo też ów TheHDvid-Codec V10 to adware i to nie jedyna pozycja tego typu w systemie. Problem z deinstalacją adware TheHDvid-Codec V10 może wynikać z faktu użycia MBAM lub podobnego skanera przed poprawną deinstalacją, zaś deinstalator Python wygląda na uszkodzony: Application errors: ================== Error: (11/01/2014 05:48:06 PM) (Source: MsiInstaller) (EventID: 11722) (User: Maciej-Komputer) Description: Product: Python 3.4.1 (64-bit) -- Error 1722. There is a problem with this Windows Installer package. A program run as part of the setup did not finish as expected. Contact your support personnel or package vendor. Action RemovePip, location: D:\python.exe, command: -B -m ensurepip._uninstall Nie podałeś w ogóle co to za tajemnicze błędy "zaraz po włączeniu Windowsa i zalogowaniu się na konto". Zaś ogólne zamulenie systemu niekoniecznie wynika z obecności adware, równie dobrze może być to produkowane przez instalację Norton. Wstępne działania: 1. Deinstalacje: - Przez Panel sterowania odinstaluj YTD Video Downloader 4.8.3 (ma adware w instalatorze). - Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście Python 3.4.1 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-21] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-21] (globalUpdate) [File not signed] Task: {10BB80B3-A877-475A-9655-B8A45DFC6AFF} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-7 => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-7.exe Task: {192B786B-8D6C-4B2F-AE6F-4F9AE3204417} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-5_user => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-5.exe Task: {4E1A9397-07F1-4DB8-9CBF-CF701EDD4966} - System32\Tasks\Driver Booster SkipUAC (Maciej) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {659296DA-B9BF-464B-AFD7-2F525F122DE0} - System32\Tasks\Driver Booster Scan => C:\Program Files (x86)\IObit\Driver Booster\Scheduler.exe Task: {6F9AAF76-A5FC-479D-9B33-273B81FE5679} - System32\Tasks\Driver Booster Update => C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe Task: {906EEE0A-D41D-409D-842B-1D312036DC1A} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-5 => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-5.exe Task: {92865B50-0725-4D00-AF0E-33AC75FCF1BE} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-11 => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-11.exe Task: {BB7D4E2A-034A-4040-8938-3CF3DEB3C8E5} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-6 => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-6.exe Task: {BDD33E08-9BAD-419F-BF04-E538B1A7BDB0} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-21] (globalUpdate) Task: {C0137A32-B184-409E-9841-B084182CC2A1} - System32\Tasks\6101c87c-669b-4932-912b-9afbbf3bb7f3-6 => C:\Program Files (x86)\TheHDvid-Codec V10\6101c87c-669b-4932-912b-9afbbf3bb7f3-6.exe Task: {C6B24364-86B5-4CD3-A7A0-4E2337197252} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-21] (globalUpdate) Task: {E1DF252E-6E92-474E-8566-6F8661AE304D} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-4 => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-4.exe Task: {E2DB448D-6F49-44E9-B321-8FDC1865D2F4} - System32\Tasks\Installer_yta => C:\Users\Maciej\AppData\Local\Installer\Installyta_18071\DCytaiesmt.exe [2014-10-21] () Task: {F1BAEEDD-321B-4C16-BACE-2D87808E423B} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-1 => C:\Program Files (x86)\Apps Hat\Apps Hat-codedownloader.exe Task: C:\Windows\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-1.job => C:\Program Files (x86)\Apps Hat\Apps Hat-codedownloader.exe Task: C:\Windows\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-11.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-11.exe Task: C:\Windows\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-4.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-4.exe Task: C:\Windows\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-5.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-5.exe Task: C:\Windows\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-5_user.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-5.exe Task: C:\Windows\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-6.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-6.exe Task: C:\Windows\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-7.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-7.exe Task: C:\Windows\Tasks\6101c87c-669b-4932-912b-9afbbf3bb7f3-6.job => C:\Program Files (x86)\TheHDvid-Codec V10\6101c87c-669b-4932-912b-9afbbf3bb7f3-6.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe S3 MWAC; \??\C:\Windows\system32\drivers\ [0 ] () [File not signed] S3 MWAC; \??\C:\Windows\SysWOW64\drivers\ [0 ] () [File not signed] S3 atillk64; \??\C:\Program Files (x86)\AMD\System Monitor\atillk64.sys [X] R4 ausbmon; \??\C:\Windows\system32\drivers\ausbmon.sys [X] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 ShortcutWithArgument: C:\Users\Maciej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 ShortcutWithArgument: C:\Users\Maciej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 ShortcutWithArgument: C:\Users\Maciej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 ShortcutWithArgument: C:\Users\Maciej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 ShortcutWithArgument: C:\Users\Maciej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&q={searchTerms} BHO: TheHDvid-Codec V10 -> {11111111-1111-1111-1111-110611331115} -> C:\Program Files (x86)\TheHDvid-Codec V10\TheHDvid-Codec V10-bho64.dll (home) CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1410103289&from=ild&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231 CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-09-07] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) C:\Program Files (x86)\Apps Hat C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\TheHDvid-Codec V10 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AppsHat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Python 3.4 C:\Users\Maciej\AppData\Local\CrashRpt C:\Users\Maciej\AppData\Local\Installer C:\Users\Maciej\AppData\Local\WebPlayer C:\Users\Maciej\AppData\Roaming\3909 C:\Users\Maciej\AppData\Roaming\IObit C:\Users\Maciej\AppData\Roaming\Opera Software C:\Users\Maciej\AppData\Roaming\RegistryCleanMaster EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany w kwestiach "Zamulony komputer" + "kilku błędów zaraz po włączeniu Windowsa". .

1. Wyniki SystemLook: sprawdź czy na dysku widzisz poniżej wymienione pliki. C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14.manifest C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab.manifest C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7.manifest 2. Wyniki setupapi.dev.log: jest kolejny wadliwy sterownik. !!! sto: Failed to find driver update 'C:\Windows\WinSxS\amd64_usbstor.inf_31bf3856ad364e35_6.1.7600.16778_none_a48918bfb179469a\usbstor.inf' in Driver Store. Error = 0x00000490 W cmd uruchomionym jako Administrator aplikujesz komendę: pnputil -a C:\Windows\WinSxS\amd64_usbstor.inf_31bf3856ad364e35_6.1.7600.16778_none_a48918bfb179469a\usbstor.inf Przedstaw wyniki z okna. I nie wiadomo ile jeszcze takich trefnych sterowników jest w systemie. Na razie zrób co powyżej. .

Brakuje trzeciego pliku FRST Shortcut. No cóż, w systemie działa inwazyjne adware. Uruchomioną przeglądarką jest Opera, żadne z narzędzi jej nie skanuje, więc nie wiadomo czy aby w niej również czegoś brzydkiego nie ma, ale to będę sprawdzać ręcznie. Poza tym, jest tu coś nie tak z usługami Windows, pozycje Microsoftu są oznaczone jako niesygnowane. Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64; C:\Windows\System32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64.sys [61112 2014-06-27] (StdLib) R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64.sys [61112 2014-06-30] (StdLib) R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}w64; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys [61112 2014-07-12] (StdLib) U4 EIO64; No ImagePath S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S2 Update NetCrawl; "C:\Program Files (x86)\NetCrawl\updateNetCrawl.exe" [X] HKU\S-1-5-21-4204224380-3008712290-589102612-1000\...\Run: [Yahoo! Search] => C:\Users\lupus\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe [438632 2014-09-20] (Pay By Ads LTD) Task: {19A38E22-9C48-4A7D-A54B-98D65DE74CAB} - System32\Tasks\Yahoo! Search => C:\Users\lupus\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe [2014-09-20] (Pay By Ads LTD) Task: {42AE3AF9-3338-4748-ABB0-73D42891DDD9} - System32\Tasks\CCleanerSkipUAC => D:\cleaner\CCleaner.exe Task: {4D2B4A56-B7BF-4B68-8FA8-D6B96C213FF7} - \VuuPCUpdate No Task File Task: {E4008827-2D5F-4707-A292-53D903540FA9} - \VuuPCUpdateLogin No Task File Task: {ECD0394C-2E45-4565-8CFB-89ADCA862D99} - System32\Tasks\Yahoo! Search Udpater => C:\Users\lupus\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrsetup.exe [2014-09-20] (Pay By Ads LTD) Task: {F7A259D9-3AA4-4BDC-9D7E-E974FE13E115} - System32\Tasks\{77F7012F-8D72-4E17-A708-C03A5A1B15F8} => Chrome.exe http://ui.skype.com/ui/0/5.8.0.154/pl/abandoninstall?source=lightinstaller&page=tsInstall GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na SearchScopes: HKLM-x32 - DefaultScope value is missing. FF Plugin-x32: @esn/esnlaunch,version=1.104.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.104.0\npesnlaunch.dll No File FF Plugin-x32: @esn/esnlaunch,version=1.110.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.110.0\npesnlaunch.dll No File FF Plugin-x32: @esn/esnlaunch,version=1.118.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.118.0\npesnlaunch.dll No File FF Plugin-x32: @esn/esnlaunch,version=1.132.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.132.0\npesnlaunch.dll No File CustomCLSID: HKU\S-1-5-21-4204224380-3008712290-589102612-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\lupus\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-4204224380-3008712290-589102612-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\lupus\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-4204224380-3008712290-589102612-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\lupus\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File C:\Users\lupus\AppData\Local\Pay-By-Ads C:\Windows\System32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64.sys C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64.sys C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\fst_pl_6_is1 /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\VLC Player GPU+11.041.44" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\lupus\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\lupus\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany. .

W systemie są niepożądane rzeczy ładowane (niejaki "Wincert" i kilka innych). Do wdrożenia następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: AppInit_DLLs: c:\progra~2\wincert\win32c~1.dll => c:\ProgramData\Wincert\win32cert.dll [7168 2013-02-07] () HKLM\...\Run: [DATAMNGR] => C:\Program Files\Search Results Toolbar\Datamngr\datamngrUI.exe [1683456 2013-02-14] (Bandoo Media Inc) HKU\S-1-5-21-1186718744-3189103823-2131972119-1001\...\Run: [QtraxNotification] => C:\Users\Tomek\Qtrax\Player\Notification.exe [118568 2013-08-04] () CMD: type C:\Windows\System32\Tasks\QtraxPlayer Task: {1C68D78A-C732-408A-83C0-705C9B310C63} - System32\Tasks\QtraxPlayer => C:\Program Files\Microsoft Silverlight\sllauncher.exe [2014-05-13] (Microsoft Corporation) Task: {8E21B4F9-9F21-4D36-9E99-2762C8341A2B} - System32\Tasks\EPUpdater => C:\Users\Tomek\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-05-09] () Task: {94B1D90C-92E3-49EB-8434-601778964CEC} - System32\Tasks\DSite => C:\Users\Tomek\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe [2013-06-06] () Task: {E8A88ED6-68F8-4B0B-A20F-8B927A48D1FA} - System32\Tasks\Digital Sites => C:\Users\Tomek\AppData\Roaming\DigitalSites\UpdateProc\UpdateTask.exe [2013-04-12] () Task: C:\Windows\Tasks\Digital Sites.job => C:\Users\Tomek\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE R2 HPSLPSVC; C:\Users\Tomek\AppData\Local\Temp\7zS094D\hpslpsvc32.dll [701288 2013-02-06] (Hewlett-Packard Co.) HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=119357&babsrc=HP_ss_din2g&mntrId=C2A6001FE104CC26 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=119357&babsrc=HP_ss&mntrId=C2A6001FE104CC26 SearchScopes: HKLM - DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=366&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=3650213835504956&q={searchTerms} SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=366&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=3650213835504956&q={searchTerms} SearchScopes: HKCU - DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=366&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=3650213835504956&q={searchTerms} SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119357&babsrc=SP_ss&mntrId=C2A6001FE104CC26 SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=366&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=3650213835504956&q={searchTerms} BHO: Search-Results Toolbar -> {377e5d4d-77e5-476a-8716-7e70a9272da0} -> C:\Program Files\Search Results Toolbar\Datamngr\SRTOOL~1\searchresultsDx.dll (APN LLC) BHO: delta Helper Object -> {C1AF5FA5-852C-4C90-812E-A7F75E011D87} -> C:\Program Files\Delta\delta\1.8.21.5\bh\delta.dll (Delta-search.com) BHO: DataMngr -> {C1ED9DA0-AFD0-4b90-AC6A-D3874F591014} -> C:\Program Files\Search Results Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media Inc) BHO: Bing Bar BHO -> {d2ce3e00-f94a-4740-988e-03dc2f38c34f} -> C:\Program Files\MSN Toolbar\Platform\6.3.2291.0\npwinext.dll No File Toolbar: HKLM - @C:\Program Files\MSN Toolbar\Platform\6.3.2291.0\npwinext.dll,-100 - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files\MSN Toolbar\Platform\6.3.2291.0\npwinext.dll No File Toolbar: HKLM - Search-Results Toolbar - {377e5d4d-77e5-476a-8716-7e70a9272da0} - C:\Program Files\Search Results Toolbar\Datamngr\SRTOOL~1\searchresultsDx.dll (APN LLC) Toolbar: HKLM - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.21.5\deltaTlbr.dll (Delta-search.com) CHR HKLM\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Tomek\AppData\Roaming\BabSolution\CR\Delta.crx [] CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.99\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.79\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.24.15\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.149\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.115\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.22.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.21.111\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1186718744-3189103823-2131972119-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Google\Update\1.3.24.7\psuser.dll No File C:\ProgramData\Wincert C:\Users\Tomek\AppData\Roaming\*.* C:\Users\Tomek\AppData\Roaming\BabSolution C:\Users\Tomek\AppData\Roaming\Delta C:\Users\Tomek\AppData\Roaming\Mozilla Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware i odpadki: Delta Chrome Toolbar, Delta toolbar, iLivid, Qtrax Connection Manager, Qtrax Player, Search-Results Toolbar, Update for Video Converter, Video Converter Packages, Windows Media Player Firefox Plugin. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Nic podejrzanego tu nie widzę. Podobnie jak w poprzednim temacie jest rosyjskie proxy w Firefox, jak sądzę również celowo ustawione. Minimalne poprawki możesz wdrożyć. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\06823385.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\09830036.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\47564120.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\06823385.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\09830036.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\47564120.sys => ""="Driver" HKLM\...\Policies\Explorer: [NoViewContextMenu] 0 HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-3484390013-3890596361-3067502036-1000\...\Policies\Explorer: [NoCDBurning] 0 U3 DfSdkS; No ImagePath C:\ProgramData\TEMP Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: sc config "Mobile Partner. RunOuc" start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny, by programy zabezpieczające nie przeszkadzały. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przedstaw wynikowy fixlog.txt. .

W systemie widać aktywne niepożądane usługi. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 nethfdrv; C:\WINDOWS\system32\drivers\nethfdrv.sys [49152 2014-10-20] () [File not signed] R2 NetHttpService; C:\WINDOWS\system32\nethtsrv.exe [180224 2014-10-20] () [File not signed] R2 ServiceUpdater; C:\WINDOWS\system32\netupdsrv.exe [162304 2014-10-20] () [File not signed] S3 ATP; system32\DRIVERS\cmdatp.sys [X] S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X] Winlogon\Notify\WgaLogon: WgaLogon.dll [X] Task: C:\WINDOWS\Tasks\WinThruster_DEFAULT.job => C:\Program Files\WinThruster\WinThruster.exe Task: C:\WINDOWS\Tasks\WinThruster_UPDATES.job => C:\Program Files\WinThruster\WinThruster.exe M:\AUTORUN.FCB C:\awh*.tmp C:\Documents and Settings\All Users\Dane aplikacji\YTD Video Downloader C:\Documents and Settings\All Users\Menu Start\Programy\YTD Video Downloader C:\Documents and Settings\Bednarr\Dane aplikacji\3943 C:\Documents and Settings\Bednarr\Dane aplikacji\Solvusoft C:\WINDOWS\pss\fabulous_09271114.lnkStartup C:\WINDOWS\system32\hfnapi.dll C:\WINDOWS\system32\hfpapi.dll C:\WINDOWS\system32\installd.exe C:\WINDOWS\system32\nethtsrv.exe C:\WINDOWS\system32\netupdsrv.exe C:\WINDOWS\system32\Drivers\nethfdrv.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Bednarr^Menu Start^Programy^Autostart^fabulous_09271114.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fabulous_09271114" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UnlockerAssistant" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinThrusterReminder" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner. .

Tak, proszę o te dane. Ponadto, czy błąd podczas instalacji SP1 jest tej samej formy, tzn. "0x80070490 - ERROR_NOT_FOUND"? Jeśli tak, to dostarcz ponownie plik C:\Windows\inf\setupapi.dev.log. Jeśli nie, to wymagane także dostarczenie całego CBS.

Fix wykonany, natomiast: Skoro po deinstalacji COMODO aktualizacje nadal są problemem, proszę o dodatkowe dane: 1. Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy pracę: 2. Skopiuj na Pulpit plik C:\Windows\inf\setupapi.dev.log + folder C:\Windows\Logs\CBS. Wszystkie materiały zzipuj, rzuć na jakiś hosting i podaj tu link do paczki. .

Posługujesz się strasznie przestarzałym FRST pozbawionym nowych skanów, komend i poprawek. FRST jest aktualizowany tak często, iż tylko pobieranie za każdym razem na nowo gwarantuje najnowszą wersję. Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 17-08-2014 01 (ATTENTION: ====> FRST version is 75 days old and could be outdated) Brakuje też trzeciego pliku FRST Shortcut. "Kalkulator" i "Paint" to nazwy obiektów w Menu Start, zaś calc i mspaint to nazwy plików w system32. Nasuwa się pytanie czy w ogóle istnieją "Akcesoria" w Menu Start z owymi składnikami (czyli ścieżka C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories z tymi skrótami LNK) i czy skróty są wyświetlane w postaci polonizowanej. W przypadku braku tej ścieżki lub braku skrótów w niej lub innej nazwy owych skrótów wyszukiwanie nie złapie nazw, które wspominasz, co najwyżej podsunie link do w(y)łączania komponentów Windows. Nie podałeś FRST Shortcut, to i stwierdzić dokładnie nie mogę czy są jakieś ubytki w Menu Start. W jakiej ścieżce dostępu? Skutki pobierania jakiegoś programu z adware. Brak jednak związku z problemami przedstawionymi w temacie. .

+ Platform: Windows 7 Ultimate Service Pack 1 (X64) OS Language: English (United States) Internet Explorer Version 8 Rozpocznij od aktywacji komponentu Internet Explorer i jego aktualizacji do najnowszej dostępnej wersji czyli IE11 i zobaczymy czy problemy ustąpią. IE8 jest strasznie stary, aktualizacje silnika wiele zmieniły, m.in. w kwestii zachowań ustawień AttachmentExecute (powiązane z dialogami podobnymi do prezentowanych na obrazkach). Stary silnik IE może być też ogólnie problemem dla różnych aplikacji, które z niego korzystają. .

satman, beużyteczny post o treści "Czy ktoś może mi pomóc?" kasuję. To nie przyśpieszy spraw i nie wymusi odpowiedzi. Absencja, brak czasu lub nikt nie wie jak to rozwiązać. Poza tym, jeśli nikt jeszcze nie odpisał, post poprawia się poprzez Edycję, zamiast tworzyć post pod postem. Posty w serii "odświeżające" datę nie spowodują większego zainteresowania, mogą być też traktowane jako spamowanie. Pole szybkiej odpowiedzi na spodzie tematu > Więcej opcji > jest możliwość załączenia pliku tekstowego. Z raportu FRST nic nie wynika: - Fałszywe alarmy: Suma kontrolna MD5 pliku winlogon.exe jest poprawna, po prostu FRST nie ma tej sumy w bazie. A powiadomienie "ATTENTION ===> 0 byte partition bootkit" raczej do zignorowania, gdyż tyczy innego dysku niż systemowy (przenośny). - Widać tu bardzo rozbudowaną instalację Panda oraz śmieci (wątpliwy i stary skaner SpyHunter, a także niedoczyszczone adware). Te sprawy jednak nie wydają się powiązane z usterką, gdyż sterowniki Panda nie powinny się ładować w Trybie awaryjnym, a usterka występuje we wszystkich trybach. Uściślij jakie akcje prowadziłeś, konkretnie jakie opcje naprawcze "Recovery" były uruchamiane? Odwołując się do "Recovery" masz na myśli opcję "Napraw komputer" Windows 7? Tu są ślady też innego "Recovery", tzn. ukryta partycja 15GB mająca flagę "Acer Recovery". W jaki sposób system się zamknął? Samoczynnie, w sposób wymuszony, czy "po Bożemu"? Wstępnie sugeruję uruchomić moduł Napraw komputer > Wiersz polecenia > komendę chkdsk /f /r sprawdzającą dysk. .

Nie wspominałam nic o aktualizacji, chodziło mi o wyszukanie analogicznych ustawień w panelu zarządzania Intel. Podlikowany artykuł odnosi się do innej wersji panelu, więc może się coś nie zgadzać. Nawiasem mówiąc artykuł nie wspomina o "zakładce" tylko o "przycisku". Zrób zrzuty ekranu z ustawień zarządzania Intel co jest dostępne w Twojej wersji. PS. Jeśli chodzi o to sprawdzanie aktualności sterowników, to prędzej na stronie producenta zasadniczego - czyli albo ASUS (sterowniki dostosowane), albo Intel (sterowniki ogólne) - niż via ograniczony interfejs Microsoftu. Wersja była już tu znana z raportów: ==================== Installed Programs ====================== Intel® Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 9.17.10.3347 - Intel Corporation) + powiązany plik sterownika: DRV:64bit: - [2013-11-07 02:52:44 | 005,363,200 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\igdkmd64.sys -- (igfx) Wg strony Intel wersja owszem wygląda na najnowszą z dostępnych (KLIK). .

Zadanie wykonane. Możesz skasować plik C:\DelFix.txt z dysku. Temat rozwiązany, zamykam. Hobby, pasja.

Ostatni post kasuję. Odpowiedź się pojawia, gdy ktoś jest obecny i ma czas oraz pomysł jak przetworzyć temat. Odpowiedź może się w ogóle nie pojawić i nie ma to związku z postępowaniem użytkownika. Kasuję te ostatnie logi, wyraźnie zaznaczyłam, iż brak zmian, więc nie są mi one teraz potrzebne. Te same dane są post wcześniej. Mały obrazek, ledwo odczytałam co jest napisane. Skoro Autoruns nie umie tego wyłączyć (prawdopodobnie próbuje tworzyć ponownie folder o tej samej nazwie), skorzystaj z systemowego msconfig - te wpisy powinny być w karcie Uruchamianie. Jeśli po wyłączeniu tych wpisów i restarcie komputera nadal będzie problem ("Przy starcie dalej muli i słychać te dźwięki."), to przetestuj tymczasową deinstalację Avast. Przykładowe tematy na forum: KLIK / KLIK. Nie jestem fanem pakietów kombinowanych, lepiej mieć pojedyncze aplikacje specjalizowane w danym zadaniu, niż kombajn do wszystkiego. .

OK, skrypt pomyślnie wykonany. Skasuj ręcznie pobrany GMER i zastosuj DelFix. To tyle.

Log z DelFix nie pokazuje żadnych kasacji... Sprawdź czy jest na dysku folder C:\FRST, ręcznie go skasuj, podobnie jak i inne narzędzia Skrypt do FRST wykonaj już teraz, nie można czekać, bo Brontok może się rozmnożyć. Natomiast logi z innych kont mogą poczekać. .

AdwCleanerR0.txt = opcja Szukaj, AdwCleanerS0.txt = opcja Usuń. Tylko drugi log potrzebny. Wszystko wykonane. Kończymy: 1. Skasuj ręcznie pobrany GMER oraz folder Stare dane programu Firefox z Pulpitu. Zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. To tyle.

PIERWSZY KOMPUTER: Na zakończenie: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK LAPTOP: Na laptopie zgodnie z podejrzeniem również grasuje Brontok. Wdróż podobne działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\RakyatKelaparan.exe [44417 2012-11-25] () HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\KesenjanganSosial.exe" [44417 ] () HKU\S-1-5-21-980471489-3258700235-4020359182-1003\...\Run: [Tok-Cirrhatus-2223] => C:\Users\KJAdmin\AppData\Local\br5469on.exe [44417 2012-11-25] () HKU\S-1-5-21-980471489-3258700235-4020359182-1003\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-980471489-3258700235-4020359182-1003\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-980471489-3258700235-4020359182-1003\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\Users\KJAdmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () AlternateShell: cmd-brontok.exe S3 IPCTYPE; \??\C:\ProgramData\Pro-face\GP-Pro EX 3.6\Simulator\IPCType.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File CustomCLSID: HKU\S-1-5-21-980471489-3258700235-4020359182-1003_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\KJAdmin\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1411311658&from=cor&uid=INTELXSSDSC2BB300G4_BTWL404105SG300PGN" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" CMD: for /d %f in (C:\Users\AZ\AppData\Local\*Bron*) do rd /s /q "%f" CMD: for /d %f in (C:\Users\KJ\AppData\Local\*Bron*) do rd /s /q "%f" CMD: for /d %f in (C:\Users\KJAdmin\AppData\Local\*Bron*) do rd /s /q "%f" CMD: for /d %f in (C:\Users\PBG\AppData\Local\*Bron*) do rd /s /q "%f" C:\Users\AZ\AppData\Local\*.exe C:\Users\AZ\AppData\Local\*.txt C:\Users\AZ\AppData\Local\*Bron* C:\Users\KJ\AppData\Local\*.exe C:\Users\KJ\AppData\Local\*.txt C:\Users\KJ\AppData\Local\*Bron* C:\Users\KJAdmin\AppData\Local\*.exe C:\Users\KJAdmin\AppData\Local\*.txt C:\Users\KJAdmin\AppData\Local\*Bron* C:\Users\PBG\AppData\Local\*.exe C:\Users\PBG\AppData\Local\*.txt C:\Users\PBG\AppData\Local\*Bron* C:\Windows\KesenjanganSosial.exe C:\Windows\ShellNew\RakyatKelaparan.exe C:\Windows\SysWOW64\cmd-brontok.exe Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\1ClickDownload /f Hosts: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. Powstanie plik fixlog.txt. 2. W systemie są aż 4 konta: ========================= Accounts: ========================== AZ (S-1-5-21-980471489-3258700235-4020359182-1002 - Administrator - Enabled) => C:\Users\AZ KJ (S-1-5-21-980471489-3258700235-4020359182-1001 - Limited - Enabled) => C:\Users\KJ KJAdmin (S-1-5-21-980471489-3258700235-4020359182-1003 - Administrator - Enabled) => C:\Users\KJAdmin PBG (S-1-5-21-980471489-3258700235-4020359182-1000 - Administrator - Enabled) => C:\Users\PBG Potrzebne są logi z każdego konta z osobna. Po kolei się na każde zaloguj poprzez pełny restart komputera (nie poprzez Wyloguj czy Przełącz użytkownika) i zrób na każdym nowy log FRST z opcji Scan (bez Addition i Shortcut). Na koncie limitowanym KJ uruchom FRST poprzez dwuklik a nie opcją "Uruchom jako Administrator". Dołącz też plik fixlog.txt. .

"Win32/HackTool.Crack.CC potencjalnie niebezpieczna aplikacja" w "C:\Gry\Władca Pierścieni Wojna na Północy\steam_api.dll" nie wygląda mi na rzeczywistą infekcję. Skrypt nie wykonał się wcale. Przejdź w Tryb awaryjny Windows (nie działają programy zabezpieczające) i ponów próbę.