Znikające biblioteki, sterowniki, pojawiające się reklamy i brak możliwości wyłączenia

[dejko]

Problem dotyczy laptopa używanego do pracy. Ze względu na charakter wykonywanej pracy (oprogramowanie analityczne) nie może być na nim zainstalowany antywirus (konflikty z oprogramowaniem). Jednocześnie laptop musi być połączony z siecią. Połączenie z siecią wymagane jest do sprawdzania aktualizacji i licencji uruchamianych programów, czasem mail - żadnego porno ani warezów.

W pewnym momencie zaczęły się dziać rzeczy dziwne. Zanim wezmę się za naprawę, chciałbym dowiedzieć się, czy nie ma jakiegoś syfu.

 

Objawy:

1. Wycięte pliki bibliotek, brak możliwości uruchomienia części oprogramowania, błędy wskazujące na brak bibliotek. Problem naprawiony, przez pobranie i ponowną instalację IE8.

2. Jakiś reklamiarz zainstalowany. Nie wiem skąd się wziął, być może pominąłem jakiś ptaszek przy instalacji. Reklamiarz został odinstalowany.

3. Znikające sterowniki. Nagle urządzenia przestają działać, w managerze widać, że sterownik nie został zainstalowany. Usunięcie urządzenia i ponowna jego instalacja załatwia sprawę.

4. Brak możliwości zamknięcia systemu. Sprzęt zawisa na "trwa zamykanie systemu", nie da się go również "uśpić".

Addition.txt

Extras.Txt

FRST.txt

gmer.txt

OTL.Txt

[jessica]

Reklamiarz został odinstalowany.

@Picasso jest nieobecna, więc musisz poczekać.

Ale to, co widzę w logach, nie zgadza się z tym "odinstalowaniem" Wprawdzie "eSafe" nie ma już na liście Twoich programów, ale w logach są jego resztki:

 

[2013-10-08 18:54:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\eSafe

SRV - [2013-10-02 15:00:56 | 000,825,920 | ---- | M] (Wsys Co., Ltd.) [Auto | Running] -- C:\Documents and Settings\All Users\Dane aplikacji\eSafe\eGdpSvc.exe -- (WsysSvc)

Ze względu na tę uciążliwą usługę radzę użyć Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbiór-narzędzi-usuwających/#entry118323 - kliknij najpierw na "Skan", a potem, po uaktywnieniu się przycisk CLEAN.

 

Adw-Cleaner może usunie też:

IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}

IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=SAMSUNGXHM320II_S230J56SC01821&ts=1379585702&type=default&q={searchTerms}

IE - HKU\S-1-5-21-839522115-746137067-1801674531-1003\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}

IE - HKU\S-1-5-21-839522115-746137067-1801674531-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=SAMSUNGXHM320II_S230J56SC01821&ts=1379585702&type=default&q={searchTerms}

[2013-09-19 12:15:02 | 000,000,000 | ---D | C] -- C:\Documents and Settings\pdejko\Ustawienia lokalne\Dane aplikacji\Lollipop

[2013-09-19 12:15:05 | 000,000,000 | ---D | C] -- C:\Documents and Settings\pdejko\Ustawienia lokalne\Dane aplikacji\DProtect

Może i inne, ale to oceni już @Picasso.

[dejko]

Dzięki.

AdwCleaner wykonał następujące akcje:

 

# AdwCleaner v3.006 - Report created 08/10/2013 at 21:20:48

# Updated 01/10/2013 by Xplode

# Operating System : Microsoft Windows XP Dodatek Service Pack 3 (32 bits)

# Username : pdejko - PAWEL-NOTEBOOK

# Running from : C:\Documents and Settings\pdejko\Pulpit\adwcleaner_www.INSTALKI.pl.exe

# Option : Clean

 

***** [ Services ] *****

 

Service Deleted : WsysSvc

 

***** [ Files / Folders ] *****

 

Folder Deleted : C:\Documents and Settings\All Users\Dane aplikacji\eSafe

Folder Deleted : C:\Documents and Settings\pdejko\Ustawienia lokalne\Dane aplikacji\DProtect

Folder Deleted : C:\Documents and Settings\pdejko\Ustawienia lokalne\Dane aplikacji\lollipop

 

***** [ Shortcuts ] *****

 

Shortcut Disinfected : C:\Documents and Settings\pdejko\Menu Start\Programy\Internet Explorer.lnk

Shortcut Disinfected : C:\Documents and Settings\pdejko\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk

Shortcut Disinfected : C:\Documents and Settings\pdejko\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk

 

***** [ Registry ] *****

 

Key Deleted : HKLM\SOFTWARE\Google\Chrome\Extensions\ifohbjbgfchkkfhphahclmkpgejiplfo

Key Deleted : HKLM\SOFTWARE\Classes\AppID\secman.DLL

Key Deleted : HKLM\SOFTWARE\Classes\S

Key Deleted : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WsysSvc

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}

Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}

Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}

Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}

Data Restored : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command

Value Deleted : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [C:\Documents and Settings\pdejko\Ustawienia lokalne\Dane aplikacji\DProtect\DProtectSvc.exe]

Value Deleted : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [C:\Documents and Settings\All Users\Dane aplikacji\eSafe\eGdpSvc.exe]

Key Deleted : HKCU\Software\APN PIP

Key Deleted : HKCU\Software\Conduit

Key Deleted : HKCU\Software\InstallCore

Key Deleted : HKCU\Software\lollipop

Key Deleted : HKCU\Software\UpdateStar

Key Deleted : HKLM\Software\eSafeSecControl

Key Deleted : HKLM\Software\PIP

Key Deleted : HKLM\Software\qvo6Software

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WSysControl

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WSysControl

 

***** [ Browsers ] *****

 

-\\ Internet Explorer v8.0.6001.18702

 

Setting Restored : HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls [Tabs]

 

*************************

 

AdwCleaner[R0].txt - [4251 octets] - [08/10/2013 21:19:27]

AdwCleaner[s0].txt - [3482 octets] - [08/10/2013 21:20:48]

 

########## EOF - C:\AdwCleaner\AdwCleaner[s0].txt - [3542 octets] ##########

Wyłączanie czy restart nadal zawiesza się na "trwa zamykanie systemu Windows".

[dejko]

Rzuci ktoś okiem na te logi? Bo chciałbym zacząć działać dalej, a nie wiem czy już wszystko w porządku.

[picasso]

dejko, sprawa z adware to sprawa podrzędna i nie powinno mieć to żadnego związku z innymi objawami. AdwCleaner dokończył sprawy, tylko że mam zastrzeżenie do tego skąd go pobierałeś: z Instalek a nie strony domowej, a jak biję tu na alarm tylko na stronie domowej jest gwarant najnowszej wersji. Dodatkowa uwaga: GMER robiony w niewłaściwym środowisku (czynny sterownik SPTD od emulatora napędów wirtualnych).

 

Temat przenoszę do działu Windows.

 

3. Znikające sterowniki. Nagle urządzenia przestają działać, w managerze widać, że sterownik nie został zainstalowany. Usunięcie urządzenia i ponowna jego instalacja załatwia sprawę.

4. Brak możliwości zamknięcia systemu. Sprzęt zawisa na "trwa zamykanie systemu", nie da się go również "uśpić".

1. Sterowniki: nie objaśniłeś o jakie konkretnie chodzi. Ja tu z raportów nie jestem w stanie konkretnie się tego dowiedzieć, widzę tylko tyle, że aktualnie w Menedżerze urządzeń jest taki defekt Ericsson:

 

==================== Faulty Device Manager Devices =============
 

Name: Ericsson F3507g Mobile Broadband Minicard Composite Device

Description: Ericsson F3507g Mobile Broadband Minicard Composite Device

Class Guid: {4D36E97E-E325-11CE-BFC1-08002BE10318}

Manufacturer:

Service:

Problem: : The drivers for this device are not installed. (Code 28)

Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

 

... oraz że rzuca błędami czytnika:

 

System errors:

=============
 

Error: (10/08/2013 00:55:30 PM) (Source: Service Control Manager) (User: )

Description: Usługa AuthenTec Fingerprint Service niespodziewanie zakończyła pracę. Wystąpiło to razy: 1.
 

Error: (09/13/2013 08:41:29 AM) (Source: SCardSvr) (User: )

Description: Obiekt Czytnik kart inteligentnych „ACS ACR38U 0” odrzucił IOCTL EJECT: Żądanie nie jest obsługiwane.
 

Error: (09/13/2013 08:41:28 AM) (Source: SCardSvr) (User: )

Description: Obiekt Czytnik kart inteligentnych „ACS ACR38U 0” odrzucił IOCTL POWER: Karta inteligentna nie odpowiada na resetowanie.
 

Error: (09/13/2013 08:41:28 AM) (Source: 0) (User: )

Description: IOCTL POWER failed with status 0xc0000014
 

Error: (09/13/2013 08:41:27 AM) (Source: SCardSvr) (User: )

Description: Obiekt Czytnik kart inteligentnych „ACS ACR38U 0” odrzucił IOCTL POWER: Karta inteligentna nie odpowiada na resetowanie.
 

Error: (09/13/2013 08:41:27 AM) (Source: 0) (User: )

Description: IOCTL POWER failed with status 0xc0000014
 

Error: (09/13/2013 08:41:26 AM) (Source: SCardSvr) (User: )

Description: Obiekt Czytnik kart inteligentnych „ACS ACR38U 0” odrzucił IOCTL POWER: Karta inteligentna nie odpowiada na resetowanie.
 

Error: (09/13/2013 08:41:26 AM) (Source: 0) (User: )

Description: IOCTL POWER failed with status 0xc0000014
 

Error: (08/27/2013 01:31:37 PM) (Source: SCardSvr) (User: )

Description: Obiekt Czytnik kart inteligentnych „ACS ACR38U 0” odrzucił IOCTL GET_STATE: Urządzenie zostało usunięte.

 

W kwestii czytnika proponuję przeczytać wstępnie ten wątek: KLIK.

 

2. Problem z zamykaniem systemu: prawdopodobnie jest to związane z owym czytnikiem. Dodatkowo możesz też przeprowadzić inne działania:

 

- Zrób klasyczny test z czystym rozruchem (KB310353), by sprawdzić czy to wniesie coś do sprawy.

- W Dzienniku zdarzeń widzę też takie błędy:

 

Application errors:

==================

Error: (10/08/2013 01:06:16 PM) (Source: Bonjour Service) (User: )

Description: Task Scheduling Error: m->NextScheduledSPRetry 328375
 

Error: (10/08/2013 01:06:16 PM) (Source: Bonjour Service) (User: )

Description: Task Scheduling Error: m->NextScheduledEvent 328375
 

Error: (10/08/2013 01:06:16 PM) (Source: Bonjour Service) (User: )

Description: Task Scheduling Error: Continuously busy for more than a second

 

Odinstaluj Bonjour.

 

 

 

.

[dejko]

 

tylko że mam zastrzeżenie do tego skąd go pobierałeś

 

Ze stroną domową miałem wtedy jakiś problem, niewykluczone, że nie chciała się załadować. Dlatego pobrałem alternatywnie.

Nie wiem skąd wziął mi się sterownik SPTD, nie instalowałem niczego do emulacji napędów.

 

Obecnie sterowniki nie znikają. To z Ericssonem to moduł GPS i czytnik kart SIM. Po prostu jest mi niepotrzebny na tym systemie, więc nie instalowałem sterowników.

 

Z czytnikiem faktycznie coś jest nie tak - nie działa, powoduje błędy. Bonjour odinstalowane.

 

System nie zamyka się z powodu sterowników do kamery internetowej. Odinstalowanie jej przywraca prawidłowe zamykanie. Problem w tym, że po restarcie instaluje się na nowo. Na tym systemie kamera nie jest mi potrzebna, ale używam jej na drugim systemie, na innym dysku podłączonym do laptopa. Toteż wywalenie z biosu nie wchodzi w rachubę.

 

EDIT: O właśnie prowizorycznie rozwiązałem problem. Wystarczyło w głównym kontrolerze USB wyłączyć możliwość wyłączania go w celu oszczędzania energii.

To teraz popróbuję coś zrobić z tym czytnikiem.