picasso

AdwCleaner znalazł strony prekonfigurowane przez Lenovo (widziałam je w raporcie FRST). Spokojnie można to zignorować, ale ich "naprawa" też nie przyniesie szkód. Czyli kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\MATS od używanego narzędzia Microsoftu. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Skasuj z dysku plik raportu C:\delfix.txt. To wszystko. Temat rozwiązany. Zamykam.

Widzę, że wystąpił jakiś błąd, Fix był uruchamiany aż dwa razy i w drugim podejściu "dokańczał" od miejsca gdzie poprzednio padł. Wszystko zrobione, problem rozwiązany. Niemniej jeszcze uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner (o ile program coś wykryje, w przeciwnym wypadku log zbędny).

Fix FRST pomyślnie wykonany. Na koniec: 1. Przez SHIFT+DEL (omija Kosz) skasuj FRST i jego logi z folderu E:\Moje dokumenty\Pobrane\Nowy folder. 2. Uruchom DelFix, następnie wyczyść foldery Przywracania systemu: KLIK.

SpyHunter to niepożądany program wątpliwej reputacji! Jeśli rzecz o SafeFinder, to w raportach widzę tylko jakieś szczątki. Rozszerzenie chce się non stop reinstalować w Google Chrome, gdyż jest jego reinstalator w rejestrze (tak, rozszerzenie ściąga się z ... Chrome Web Store): CHR HKLM-x32\...\Chrome\Extension: [knnaihaddpogmkclkahpcnhppgapinpe] - hxxps://clients2.google.com/service/update2/crx Identyfikator knnaihaddpogmkclkahpcnhppgapinpe należy do SafeFinder, tu z cudzego raportu: CHR Extension: (SafeFinder New Tab) - C:\Users\ludwik\AppData\Local\Google\Chrome\User Data\Default\Extensions\knnaihaddpogmkclkahpcnhppgapinpe [2016-04-29] Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj niepotrzebny program Lenovo App Services oraz SpyHunter 4. Niezależnie od tego czy poprawnie się odinstaluje, czy wręcz przeciwnie, zastosuj też SpyHunterCleaner. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń wpis Metric Collection SDK 35. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Quotenamron\Freshin.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Zummalax.dll => Brak pliku S2 PlaysService; "C:\Program Files (x86)\Raptr Inc\PlaysTV\plays_service.exe" [X] S2 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe shuz -f "C:\ProgramData\\Quotenamron\\Quotenamron.dat" -l -a S3 SwitchBoard; "C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [X] S3 GPU-Z; \??\C:\Users\Lenovo\AppData\Local\Temp\GPU-Z.sys [X] HKLM\...\Run: [] => [X] HKLM\...\Run: [MacroKeyManager] => WTMKM.exe HKLM-x32\...\Run: [switchBoard] => C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe HKLM-x32\...\Run: [AdobeCS6ServiceManager] => "C:\Program Files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" -launchedbylogin HKLM-x32\...\Run: [PlaysTV] => "C:\Program Files (x86)\Raptr Inc\PlaysTV\playstv_launcher.exe" --startup HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKLM-x32 -> DefaultScope - brak wartości Task: {04E48B32-0E81-49EB-908F-74F5B1E06CCE} - \LenovoCorrosivesDeadeyeV2 -> Brak pliku Task: {4FE8D83D-BC1A-46FF-ADF7-1B0F699214D1} - System32\Tasks\{1A748E4B-E00B-C73B-42C6-4A6753D95421} => C:\Users\Lenovo\AppData\Roaming\{1A748~1\PRICEF~1.EXE Task: {59745619-9E0D-485E-8BCA-80557345034C} - System32\Tasks\TVT\TVSUUpdateTask => C:\Program Files (x86)\Lenovo\System Update\tvsuShim.exe Task: {5CEB14D5-79F2-4341-95DB-1F9315864453} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {7A8513FA-C7A3-4C8B-9AA1-1F763375150B} - System32\Tasks\AdobeAAMUpdater-1.0-BRZYDAL-PC-Lenovo => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe Task: {95FB4B7A-A627-46EF-8158-D0C51921F8C4} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe Task: {E24756EE-57F6-486E-9CF7-5CC0324DD2CF} - System32\Tasks\PDVDServ Task => C:\Program Files (x86)\Lenovo\PowerDVD10\PDVD10Serv.EXE Task: {E266D70D-8709-45B2-82B6-9C7D6F2ABDC9} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-12-10] (Lenovo) Task: C:\WINDOWS\Tasks\{1A748E4B-E00B-C73B-42C6-4A6753D95421}.job => C:\ProgramData\HitmanPro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PlaysTV DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v MacroKeyManager /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v Raptr /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AdobeCS6ServiceManager /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SwitchBoard /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v PlaysTV /f CMD: netsh advfirewwall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Chew7Hale to miernej jakości bardzo stary i problematyczny crack, który będzie obciążał mocno zasoby. Należy uruchomić dokładnie ten sam plik Chew7.exe, którym zaprawiłeś system. Gdy crack jest aktywny, instalator cracka podstawia opozycyjną opcję deinstalacji. Jeśli nie posiadasz już instalatora cracka, z oczywistych względów nie zostanie tu zlinkowany. A sfc /scannow naprawiał skutki cracka aktywacji, który modyfikuje te pliki systemowe: C:\Windows\system32\winlogon.exe [2015-06-23 10:53] - [2016-05-20 14:43] - 0389632 ____A (Microsoft Corporation) 87A00ED70FEC36D0DD968E5058C29AA1 C:\Windows\system32\User32.dll [2010-11-21 05:24] - [2016-05-20 14:43] - 1008128 ____A (Microsoft Corporation) D186BABDFAE7C0D93C9F6AE63957EE96

Poproszę o przedstawienie pliku fixlog.txt z wynikami oraz dostarczenie nowych raportów FRST (FRST.txt i Addition.txt).

Jak sądzę już wykonałeś podane instrukcje, więc wymagane są raporty przedstawiające zmiany (log z MBAM oraz nowe logi FRST).

A rzeczywiście "Download" kieruje teraz do nikąd. Czyli do wykonania ręczne instrukcje rozpisane tam w sekcji Let me fix it myself. I skasuj plik raportu C:\delfix.txt z dysku.

Wpis był, teraz go nie ma, więc albo deinstalacja była sprzężona z usunięciem głównego programu, albo czyściciel firmowy Adobe to upłynnił. Tej pozycji w ogóle nie ma w FRST Addition. Poproszę o przesłanie mi na PW spakowanego i shostowanego gdzieś folderu C:\FRST\Hives. To po to by ewentualnie podrzucić autorowi materiał. Czyli mam rozumieć, że ten problem cały czas występuje? Kolejna porcja doczyszczania: 1. Załaduj kolejny fixlist.txt do FRST usuwający szczątki po deinstalacjach. Do Notatnika wklej: AS: Lavasoft Ad-Watch Live! (Disabled - Up to date) {61CDFD9D-3CAC-9270-C6FC-52325ACB795B} HKU\S-1-5-18\...\RunOnce: [AutoLaunch] => C:\Program Files\Lavasoft\Ad-Aware\AutoLaunch.exe monthly Toolbar: HKU\S-1-5-21-529066224-3218515000-3466368205-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku S0 Lbd; system32\DRIVERS\Lbd.sys [X] FF Plugin: @java.com/DTPlugin,version=10.9.2 -> C:\Windows\system32\npDeployJava1.dll [2012-11-21] (Oracle Corporation) CustomCLSID: HKU\S-1-5-21-529066224-3218515000-3466368205-1000_Classes\CLSID\{1FD1FE74-9E3C-4C1C-AEEB-AAB592AD770F}\localserver32 -> C:\Users\Jurek\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.) CustomCLSID: HKU\S-1-5-21-529066224-3218515000-3466368205-1000_Classes\CLSID\{5E71E4F3-E8C7-4906-9626-973E418762B6}\InprocServer32 -> C:\Users\Jurek\AppData\Local\Facebook\Update\1.2.205.0\goopdate.dll (Facebook Inc.) Task: {6B9E2D58-0354-4080-9E1B-8DE5E6813367} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-529066224-3218515000-3466368205-1000Core => C:\Users\Jurek\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-11-21] (Facebook Inc.) Task: {881BB7FC-9309-47A8-959E-2EC2E4760677} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-529066224-3218515000-3466368205-1000UA => C:\Users\Jurek\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-11-21] (Facebook Inc.) Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-529066224-3218515000-3466368205-1000Core.job => C:\Users\Jurek\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-529066224-3218515000-3466368205-1000UA.job => C:\Users\Jurek\AppData\Local\Facebook\Update\FacebookUpdate.exe C:\Program Files\Gadu-Gadu 10 C:\Program Files\Java C:\Program Files\Spybot - Search & Destroy C:\Program Files\Common Files\Symantec Shared C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Symantec C:\Users\Jurek\AppData\Local\Facebook C:\Windows\Sun 2. Uruchom Program Install and Uninstall Troubleshooter. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście Ask Shopping Toolbar (o ile widoczny) > Dalej. 3. Przeinstaluj Avast, gdyż nie jest zintegrowany z Centrum zabezpieczeń, a na dodatek są dwie wybrakowane usługi sandboxa. Czyli na początek tradycyjna deinstalacja, ale niezależnie od tego czy się powiedzie przejdź w tryb awaryjny Windows i zastosuj Avast Uninstall Utility. Po akcji zainstaluj Avast ponownie. 4. Likwidacja drobnego błędu WMI. Uruchom ten skrypt: KLIK. Wklej do Notatnika skrypt podany na stronie, zapisz pod nazwą FIX.VBS, plik umieść na C:\, następnie Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator > wklep C:\FIX.VBS. 5. Wyczyść Dzienniki zdarzeń: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. W sekcji Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku wyczyść Operational. Po akcji zresetuj system, by nagrały się nowe błędy w Dzienniku zdarzeń. 6. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dostarcz też fixlog.txt.

Na początek poproszę o log z GMER (nawiasem mówiąc to powinno być już podane na początku).

Tym razem Fixlist nie miał być w Unicode, w przeciwnym wypadku bym to zaznaczyła - to kodowanie jest wymagane tylko gdy są linie z obcymi znakami (chińskie krzaki, cyrylica, etc). Jest tu dziwny przypadek, niby wszystko się usuwa, ale się odtwarza. Jeszcze jedno podejście, tym razem w nieco innym układzie procesów i inna metoda modyfikacji AppInit_DLLs. Jeśli to nie zadziała, trzeba będzie się zastanowić czy przypadkiem nie jest to jakaś nowa wersja mająca ukryty inny loader w miejscu którego nie skanuje FRST. Na razie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 xifs; C:\ProgramData\\xifs\\xifs.exe [400896 2016-07-12] () [brak podpisu cyfrowego] Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBtydo4tvZOMtZG43EE93YffAUcnuWgbrIySzScRd4UBvlgR0sAeWt5i4skNfU4HYj0xIAo8n49u-2SmqxKV6slsAMZdpAQ, HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl Reg: reg delete HKCU\Environment /v SNF /f Reg: reg delete HKCU\Environment /v SNP /f C:\ProgramData\xifs C:\ProgramData\xifss C:\Windows\SysWOW64\findit.xml EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Punkty 2 do 4 z mojego poprzedniego posta nadal aktualne.

To wskazuje na problem routera / urządzenia rozdzielającego sieć, a nie na problem w Windows przedstawionym tu w raportach. Tak więc zasadne w pierwszej kolejności skontaktować się z dostawcą, bo może tu nie ma co szukać w innych sferach. Pozostałe zgłoszone problemy są za to po stronie Windows: Jedna z ostatnich akcji to crackowanie aktywacji Windows, są zmodyfikowane pliki systemowe, a Dziennik zdarzeń pluje poniższymi błędami. Tak więc sugerowane odkręcenie działania cracka. Dziennik Aplikacja: ================== EError: (06/26/2016 04:08:21 PM) (Source: Winlogon) (EventID: 4103) (User: ) Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005. Dziennik System: ============= Error: (06/26/2016 05:42:56 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Usługa powiadomień SPP zakończyła działanie; wystąpił następujący błąd: %%5 = Odmowa dostępu. Dodatkowo, nie jest wykluczone, że te problemy są wynikiem aktywności antywirusa Panda. Na przyszłość: diagnostyka infekcji w innym dziale. Owszem infekcja tu była, są ślady adware oraz trojanów załadowanych za pomocą cracka RemoveWAT. Niemniej to nie są aktywne obiekty, nie powinny mieć związku z innymi problemami. W spoilerze doczyszczanie tego i inne poboczne działania.

Na koniec: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. PS. Ad "podałeś" = jestem kobietą.

Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\xifs\Groovelam.dll => C:\ProgramData\xifs\Groovelam.dll [363008 2016-07-08] () AppInit_DLLs-x32: C:\ProgramData\xifs\Scottech.dll => C:\ProgramData\xifs\Scottech.dll [257536 2016-07-08] () S2 xifs; C:\ProgramData\\xifs\\xifs.exe [400896 2016-07-08] () [brak podpisu cyfrowego] Task: {E0641DFE-A70B-43A4-861F-FC85C068AA40} - System32\Tasks\Driver Booster SkipUAC (Bolec) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms} HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBtydo4tvZOMtZG43EE93YYX2PCO0QP0vNPzGCB-1ZjjwS5KmrjpCbiodksEu1bCkYh2nCk7odGwWj2liHuI5vj2ZK-mBFo, HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms} HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms} SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms} SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl Reg: reg delete HKCU\Environment /v SNF /f Reg: reg delete HKCU\Environment /v SNP /f C:\Program Files\Common Files\uwqb4avd.exe C:\ProgramData\xifs C:\ProgramData\xifss C:\Users\Bolec\AppData\Roaming\ProxySettings.dll C:\Users\Bolec\AppData\Roaming\uninstall_temp.ico C:\Windows\SysWOW64\findit.xml C:\Windows\SysWOW64\temp.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną usunięte. Nie polecam blokera AdBlocker Ultimate, jest to niejasny produkt, tu mój opis po angielsku dlaczego są wątpliwości: KLIK. A zamiast Adblock Plus proponuję uBlock Origin. Menu Historia > Wyczyść całą historię przeglądania. 3. Prócz problemu zasadniczego, jest w tle uruchomiony też moduł reklamodawczy uTorrent, niejaki "utorrentie.exe": KLIK. Sugeruję rezygnację z tego klienta torrent, który od dawna jest siedliskiem adware i dziwnych zagrywek. W zamian np. qBittorrent. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, bez Shortcut. Dołącz też plik fixlog.txt.

Jest tu owszem aktywny obiekt adware SearchmeToolbar w starcie, ale to być może nie ma związku z problemem. Wstępnie usuń tego dziada i zobaczymy co się stanie. USUWANIE ADWARE: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj SearchmeToolbar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3398741477-1664561108-1094157638-1002\...\Run: [searchmeToolbarST] => C:\Users\Ja\AppData\Roaming\SearchmeToolbar\SearchmeToolbar.exe [1607712 2016-06-02] () C:\Users\Ja\AppData\Roaming\SearchmeToolbar HKU\S-1-5-21-3398741477-1664561108-1094157638-1002\...\Run: [] => [X] Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "BlueStacks Agent" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Secunia PSI Tray.lnk" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. JEŚLI POWYŻSZE NIE POPRAWI SYTUACJI: Sugestie: 1. Wykonaj test z czystym rozruchem: KLIK. 2. Sprawdź czy deinstalacja AVG coś wniesie do sprawy. Nawiasem mówiąc, Avast przejął AVG, nie wiadomo co się stanie na dalszą metę z antywirusem AVG. 3. W przypadku braku rezultatów wykonaj specjalny log wg tych instrukcji: KLIK. Zgłoś się na PW do moderatora mgrzeg, by się przyjrzał mu.

Powiedz mi z jakiego profilu korzysta Light i w której lokalizacji - tzn. potwierdź mi, że profil przeglądarki jest w C:\Users\LG\AppData\Roaming\Light. W tym przypadku możesz całkowicie przez SHIFT+DEL (omija Kosz) skasować z dysku foldery standardowego Firefoxa z adware: C:\Users\LG\AppData\Local\Mozilla C:\Users\LG\AppData\Roaming\Mozilla C:\Users\LG\AppData\Roaming\Profiles

Problem z deinstalacją nie ma żadnych oznak w raporcie. Jakich programów tyczą te błędy? Sprawdzałeś jak to wygląda po deaktywacji Avast? Czy przypadkiem nie zaszkodziłeś sobie jakiś "czyszczeniem rejestru" (widzę w raporcie stare programy tego typu)? Natomiast jeśli chodzi o zmulenie, to jest tu połączenie aktywnych Avast i bardzo starego Ad-Aware, na dokładkę jeszcze szczątki Symantec (ale te nie są uruchomione). Nie. Wstępnie: 1. Zastosuj Norton Removal Tool. 2. Spróbuj odinstalować stare pogramy normalną drogą: Ad-Aware, Adobe Reader 8 - Polish, Adobe Reader 8.1.2 Security Update 1, Facebook Video Calling 3.1.0.521, Gadu-Gadu 10, Gadu-Gadu 7.7, Java 7 Update 9, Java™ 6 Update 22, Java™ 6 Update 6, McAfee Security Scan Plus, RegDoctor 1.67, Registry Mechanic 6.0, Spybot - Search & Destroy. W przypadku błędów deinstalacji: - Sprawdź czy coś się zmieni, jeśli wywołasz deinstalatory bezpośrednio z danego folderu programu w C:\Program files. Z prawokliku "Uruchom jako administrator". - Zastosuj specjalizowane usuwacze Adobe i Java linkowane w przyklejonym, a do reszty Wise Program Uninstaller. 3. Usunięcie wpisów szczątkowych: 4. Czyszczenie przeglądarek z niepodpisanych cyfrowo dodatków i martwych wpisów: - W Firefox: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. - W Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt ze spoilera. Opisz jaki jest stan, czy problem z deinstalacją występuje i w jakich konkretnie przypadkach.

To nie jest problem infekcji. Temat przenoszę do działu Software. Podane instrukcje nie miały związku z próbą rozwiązania problemu. Co oznacza tekst "bez logowania się na konto bez rozszerzeń Chrome", czy mam rozumieć, że testowałeś Chrome bez jakichkolwiek wtórnych rozszerzeń? Jeśli tak, to nie mam co rozważać co jest widziane w raporcie, w przeciwnym wypadku podejrzewałabym rozszerzenia manipulujące z połączeniem, czyli "DotVPN — a better way to VPN" oraz "Unlimited Free VPN - Betternet". Zastanawiają mnie też serwery Norton DNS, może to jest problem. Sprawdź czy coś się zmieni po zmianie serwerów DNS na te od Twojego dostawcy. Tcpip\..\Interfaces\{7e2ff2d4-4edc-4973-bb1e-cba5b6479854}: [NameServer] 199.85.126.10,199.85.127.10 AdwCleaner wykrywa w pliku Secure Preferences identyfikator elicpjhcidhpjomhibiffojpinpmmpil od rozszerzenia Video Downloader professional. Owszem, ten produkt nie jest godny zaufania, mocno podejrzany. Kiedyś sprawdzałam wersję Firefox, ten sam autor porobił kilka klonów o podobnej funkcji i wszystkie miały adware zintegrowane.

bolec poproszę o świeże raporty z FRST, wszystkie trzy (FRST.txt, Addition.txt, Shortcut.txt).

Określ które logi są właściwe i czy w ogóle jakiekolwiek są takimi, gdyż nie pochodzą z tego samego komputera: FRST (Windows 7, konto Stach, zainstalowany AVG), GMER (Vista, konto Jurek, zainstalowany Avast). Temat i tak przeniosę do działu Windows, problem raczej nie będzie powiązany z infekcją.

Jeśli chodzi o czyszczenie z adware, to tylko jeden martwy wpis deinstalacyjny pozostał. Na wszelki wypadek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Z końcowych raportów nic już nie wynika. Na razie to mi przychodzi na myśl, by przetestować deinstalację McAfee, czy to będzie mieć jakieś skutki pozytywne.

1. AdwCleaner dopatrzył się jeszcze szczątków adware, w tym komponentów świńskiego "Asystenta pobierania" dobrychprogramów: KLIK. Uruchom AdwCleaner ponownie, zastosuj po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\MATS narzędzia Microsoftu oraz GMER i jego log. Skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. W systemie jest stara niewspierana wersja IE8, zainstaluj IE11 który jest linkowany też w/w temacie. Następnie uruchom Windows Update, by dociągnąć resztę brakujących łat. Wyszukiwanie aktualizacji może długo trwać i obciążyć proces svchost. Przeczekać cierpliwie ten etap.

Trzeci skrypt pomyślnie wykonany. Na zakończenie na każdym kompie po kolei: Skasuj ręcznie FRST i jego logi. Następnie popraw jeszcze przy udziale DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Tematy sklejam razem, to nie jest problem infekcji i nie ma co szukać w tym kierunku. A rozwiązania zgłoszonego problemu aplikacji nie znam. Może poproś na PW moderatora mgrzeg o spojrzenie na temat, być może będzie miał jakiś pomysł na diagnostykę.