Yavien Opublikowano 28 Października 2014 Zgłoś Udostępnij Opublikowano 28 Października 2014 (edytowane) Komputer cioci. Zgłosiła się z problemem, że co jakiś czas (bez związku z tym, jak dużo/co dokładnie jest uruchomione na komputerze) pojawia się niebieski ekran. Przejrzałam laptop z grubsza: nie ma podmian stron startowych, programy działają normalnie. W zainstalowanych programach zobaczyłam, m. in: sweet page uninstaler (ciocia nie pamięta, pewnie odinstalowała sama) supTab - odinstalowałam z panelu dodaj/usuń programy wprotectmanager (WPM17.8.0.33442) - odinstalowałam z panelu dodaj/usuń programy zrestartowałam komputer po restarcie otworzyłam ponownie przeglądarkę, by sięgnąć tu na forum do narzędzi diagnostycznych Komputer dosłownie chwilę później pokazał niebieski ekran, uruchomiłam system normalnie, szczególy problemu w załączniku "komunikat po bluescreen.txt" Po uruchomieniu sprawdziłam - w panelu sterowania/programach nie było już supTab ani WPM odpaliłam fixitpc, zaczęłam produkować logi do diagnostyki FRST i OTL przeszły, zaraz po pierwszym uruchomieniu GMERa, zgłosił komunikat "UWAGA!!! Gmer odnalazł modyfikacje systemu, które mogły zostać dokonane przez ROOTKIT'a, czy chcesz przeszukać dokładnie system?" Kliknęłam na "taK i zaraz znowu zrobił się blescreen. Znów zbyt szybki był niebieski ekran, by przeczytać, zrobić zdjęcie (mimo, ze miałam komórkę z odpalonym aparatem na podorędziu) po ponownym uruchomieniu komputera (normalnie, nie awaryjnie), systemowe komunikaty w załączniku "bluescreen w trakcie gmer-a.txt" Kolejne uruchomienie GMER-a (z tego samego execa, ktory ściągnęłam wcześniej), znów komunikat o modyfikacjach systemu przez ROOTkity, znów kliknęłam na TAK i po jakimś czasie "program przestał działać (załączony screen) Zaraz spróbuję uruchomić system i GMERa w trybie awaryjnym. Załączam dotychczas wyprodukowane logi. Czy dołączać dumpy systemowe które windows zrobił po blesceenach? Edit: w trybie awaryjnym (bez sieci) również nie udało się przejść przez prescan GMERa (po komunikacie o obecności rootkita kliknęłam na tak i znów był bluescreen). Po kliknięciu na "Nie" - komunikat, który zaraz wkleję z tamtego laptopa, po włączeniu sieci. W tej chwili puściłam przeszukiwanie dysku C: (pełne), w trybie awaryjnym. Zobaczymy, co się stanie Edit2: po kilkunastu minutach skanowania, znowu niebieski ekran. Zaraz wkleję to, co się na tamtym komputerze zapisało, tylko się uruchomi Edit3: był jeszcze raz niebieski ekran (po uruchomieniu normalnie, po odpaleniu przeglądarki). Teraz piszę z trybu awaryjnego z siecią. w załączeniu komunikaty systemowe o błędach bluescreen w trakcie gmer-a.txt komunikat po bluescreen.txt Extras.Txt OTL.Txt Addition.txt FRST.txt Shortcut.txt bluescreen_kolejny2_po_awaryjnym.txt bluescreen_kolejny_po_awaryjnym.txt Edytowane 28 Października 2014 przez Yavien Odnośnik do komentarza
picasso Opublikowano 29 Października 2014 Zgłoś Udostępnij Opublikowano 29 Października 2014 System jest nadal zaśmiecony mocno adware. Jeśli chodzi o komunikat zgłaszający rootkita, to nie wiem o co chodzi, ale jest tu goła Vista bez żadnego Service Packa i były przypadki na forum, że GMER na takim typie systemu wykrywał rootkita-fantoma. Platform: Microsoft® Windows Vista™ Home Basic (X86) OS Language: Polski (Polska) Internet Explorer Version 7 Przeprowadź następujące działania: 1. Przygotuj skrypt do FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {c83c7c03-36f9-4f8f-aa6d-c837575d4eca}t; C:\Windows\System32\drivers\{c83c7c03-36f9-4f8f-aa6d-c837575d4eca}t.sys [55232 2014-04-24] (StdLib) S3 cpuz134; \??\C:\Users\Gosia\AppData\Local\Temp\cpuz134\cpuz134_x32.sys [X] S3 IntcAzAudAddService; system32\drivers\RTKVHDA.sys [X] S2 savesenselive; C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [146920 2014-03-10] (SaveSense) S3 savesenselivem; C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [146920 2014-03-10] (SaveSense) Task: {06508FAB-11F0-4DF4-85DB-E728B66CB494} - System32\Tasks\EPUpdater => C:\Users\Gosia\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-12-12] () Task: {0E78B473-D3F5-4CA6-8725-704288C75661} - System32\Tasks\HDvid Codec V1-updater => C:\Program Files\HDvid Codec V1\HDvid Codec V1-updater.exe Task: {216FE8A7-3E1E-4AAE-B0CC-4F137CD828E9} - System32\Tasks\SaveSense => C:\Users\Gosia\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE Task: {2A6C57CF-B959-486B-8B5B-781CD9186372} - System32\Tasks\DSite => C:\Users\Gosia\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: {43B969A2-0009-4936-859D-55A429D700AE} - System32\Tasks\0214dUpdateInfo => C:\ProgramData\Avg_Update_0214d\0214d_AVG-Secure-Search-Update.exe [2014-03-24] () Task: {4BB2F95F-0809-41B0-BBF6-E45FB6C921E9} - System32\Tasks\SaveSenseLiveUpdateTaskMachineCore => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [2014-03-10] (SaveSense) Task: {5611C3D0-6A0D-40C5-BB4B-E7162BBCCE7C} - System32\Tasks\SomotoUpdateCheckerAutoStart => C:\Users\Gosia\AppData\Local\FilesFrog Update Checker\update_checker.exe Task: {5EA5BB33-5448-45F8-A81D-20F4572478DD} - System32\Tasks\Digital Sites => C:\Users\Gosia\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE Task: {70BD6F7B-BE47-4B3C-8CBF-804604A15F7C} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{66E8FD3B-95CE-4617-AF01-12BA940258CB}.exe Task: {78DF095A-5158-4FFE-A51C-F5BA69F41CF7} - System32\Tasks\WinThruster => C:\Program Files\WinThruster\WinThruster.exe Task: {87AEFBA3-EBAB-4C0E-9FF6-AC3930395F2C} - System32\Tasks\SaveSenseLiveUpdateTaskMachineUA => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [2014-03-10] (SaveSense) Task: {A9688860-6B3C-463E-BCCD-FC8FF3274317} - System32\Tasks\HDvid Codec V1-codedownloader => C:\Program Files\HDvid Codec V1\HDvid Codec V1-codedownloader.exe Task: {D7252E30-B4DB-4216-B108-14BBA264DA04} - System32\Tasks\HDvid Codec V1-enabler => C:\Program Files\HDvid Codec V1\HDvid Codec V1-enabler.exe Task: C:\Windows\Tasks\0214dUpdateInfo.job => C:\ProgramData\Avg_Update_0214d\0214d_AVG-Secure-Search-Update.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{66E8FD3B-95CE-4617-AF01-12BA940258CB}.exe Task: C:\Windows\Tasks\Digital Sites.job => C:\Users\Gosia\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\DSite.job => C:\Users\Gosia\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\HDvid Codec V1-codedownloader.job => C:\Program Files\HDvid Codec V1\HDvid Codec V1-codedownloader.exe Task: C:\Windows\Tasks\HDvid Codec V1-enabler.job => C:\Program Files\HDvid Codec V1\HDvid Codec V1-enabler.exe Task: C:\Windows\Tasks\HDvid Codec V1-updater.job => C:\Program Files\HDvid Codec V1\HDvid Codec V1-updater.exe Task: C:\Windows\Tasks\SaveSense.job => C:\Users\Gosia\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineCore.job => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe Task: C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineUA.job => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-559585761-812252448-234664116-1000\...\Run: [LiveSupport] => "C:\Program Files\LiveSupport\LiveSupport.exe" /noshow /log HKU\S-1-5-21-559585761-812252448-234664116-1000\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x95000000 HKU\S-1-5-21-559585761-812252448-234664116-1000\...\MountPoints2: {d3865cea-d104-11e2-91fd-fbb37fab426d} - E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=2938&st=bs&q= HKCU\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=41460&st=home&tid=2938 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=2938&st=bs&q= HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=2938&st=bs&q= HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=D6E10015AF704DD2&affID=119357&tsp=5009 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1394463553&from=cor&uid=HitachiXHTS542516K9A300_071224BB0300WCJ7HXUCX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1394463553&from=cor&uid=HitachiXHTS542516K9A300_071224BB0300WCJ7HXUCX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1394463553&from=cor&uid=HitachiXHTS542516K9A300_071224BB0300WCJ7HXUCX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1394463553&from=cor&uid=HitachiXHTS542516K9A300_071224BB0300WCJ7HXUCX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1394463553&from=cor&uid=HitachiXHTS542516K9A300_071224BB0300WCJ7HXUCX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=41460&st=home&tid=2938 HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=2938&st=bs&q= URLSearchHook: HKCU - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=41460&st=bs&tid=2938&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1394463553&from=cor&uid=HitachiXHTS542516K9A300_071224BB0300WCJ7HXUCX&q={searchTerms} SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.buenosearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=D6E10015AF704DD2&affID=127886&tsp=5180 SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://www.search.ask.com/web?tpid=ORJ-V7-SAT&o=APN11461&pf=V7&p2=^BE7^OSJ000^YY^PL&gct=sb&itbv=12.10.6.53&apn_uid=6AAFB0B1-AC35-474F-9FB3-0551CF6D6FF4&apn_ptnrs=BE7&apn_dtid=^OSJ000^YY^PL&apn_dbr=Opera.exe_0_12.17.1863.0&doi=2014-05-22&trgb=IE&q={searchTerms}&psv= SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1394463553&from=cor&uid=HitachiXHTS542516K9A300_071224BB0300WCJ7HXUCX&q={searchTerms} SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://www.yd.delta-search.com/?q={searchTerms}&affID=119535&tt=030213_yd&babsrc=SP_ss&mntrId=d6e1c958000000000000000000000000 BHO: Babylon toolbar helper -> {2EECD738-5844-4a99-B4B6-146BF802613B} -> C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.11.10\bh\BabylonToolbar.dll (Babylon BHO) BHO: SaveSense -> {71e129ff-6c2a-4984-818c-7e2c998b8d99} -> C:\Users\Gosia\AppData\Local\SaveSense\SaveSenseIE.dll (SaveSense) Toolbar: HKLM - Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.11.10\BabylonToolbarTlbr.dll (Babylon Ltd.) Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKCU - No Name - {434D452D-5637-006A-76A7-7A786E7484D7} - No File Toolbar: HKCU - No Name - {4F524A2D-5637-2D53-4154-7A786E7484D7} - No File CHR Extension: (Buenosearch Toolbar) - C:\Users\Gosia\AppData\Local\Google\Chrome\User Data\Default\Extensions\acfoobbgoakpihljnfedbcfaipcdlfhk [2014-10-25] CHR HKLM\...\Chrome\Extension: [acfoobbgoakpihljnfedbcfaipcdlfhk] - C:\Users\Gosia\AppData\Roaming\BabSolution\CR\bueno.crx [2014-03-08] CHR HKLM\...\Chrome\Extension: [dnllcmllkjofnojidnaknldfehfhehoo] - C:\Program Files\HDvidCodec.com\HDvidCodec10.crx [2013-06-30] CHR HKLM\...\Chrome\Extension: [ieadcoanfjloocmfafkebdnfefmohngj] - C:\Program Files\BonanzaDeals\BonanzaDeals.crx [2013-06-30] CHR HKLM\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Gosia\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2013-06-30] C:\Program Files\BabylonToolbar C:\Program Files\BonanzaDeals C:\Program Files\Common Files\Java(1) C:\Program Files\HDvid Codec V1 C:\Program Files\HDvidCodec.com C:\Program Files\Java(3) C:\Program Files\Mozilla Firefox C:\Program Files\RegClean Pro C:\Program Files\Protected Search C:\Program Files\SaveSenseLive C:\Program Files\SupTab C:\ProgramData\IePluginService C:\ProgramData\SaveSenseLive C:\ProgramData\TEMP C:\ProgramData\WPM C:\Users\Gosia\.android C:\Users\Gosia\Adobe-Reader(12627).exe C:\Users\Gosia\FileScoutInstall.zip C:\Users\Gosia\SaveAsPDFandXPS.exe C:\Users\Gosia\AppData\Local\Babylon C:\Users\Gosia\AppData\Local\cache C:\Users\Gosia\AppData\Local\genienext C:\Users\Gosia\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Gosia\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences C:\Users\Gosia\AppData\Local\Mobogenie C:\Users\Gosia\AppData\Local\Mozilla C:\Users\Gosia\AppData\Local\Opera Software C:\Users\Gosia\AppData\Local\SaveSense C:\Users\Gosia\AppData\Local\SaveSenseLive C:\Users\Gosia\AppData\Roaming\BabSolution C:\Users\Gosia\AppData\Roaming\Babylon C:\Users\Gosia\AppData\Roaming\DigitalSites C:\Users\Gosia\AppData\Roaming\DSite C:\Users\Gosia\AppData\Roaming\Mozilla C:\Users\Gosia\AppData\Roaming\newnext.me C:\Users\Gosia\AppData\Roaming\Opera C:\Users\Gosia\AppData\Roaming\Opera Software C:\Users\Gosia\AppData\Roaming\PDF Writer Packages C:\Users\Gosia\AppData\Roaming\PerformerSoft C:\Users\Gosia\AppData\Roaming\SaveSense C:\Users\Gosia\AppData\Roaming\Solvusoft C:\Users\Gosia\AppData\Roaming\SupTab C:\Users\Gosia\AppData\Roaming\sweet-page C:\Users\Gosia\AppData\Roaming\Systweak C:\Users\Gosia\AppData\Roaming\Updater C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\hdvidcodec.com C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Norton C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SaveSense C:\Users\Gosia\Desktop\Programy\HDVidCodec.lnk C:\Users\Gosia\Desktop\Programy\McAfee Security Scan Plus.lnk C:\Users\Gosia\Desktop\Programy\Pliki instalacyjne Norton.lnk C:\Users\Gosia\Desktop\Programy\RegClean Pro.lnk C:\Windows\Reimage.ini C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\System32\sqlite3.dll C:\Windows\System32\unrar.dll C:\Windows\System32\drivers\{c83c7c03-36f9-4f8f-aa6d-c837575d4eca}t.sys Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PDF Writer Packages" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1ClickDownload /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HDvid Codec V1" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sweet-page uninstaller" /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users CMD: dir /a C:\Users\Gosia\AppData\Local CMD: dir /a C:\Users\Gosia\AppData\LocalLow CMD: dir /a C:\Users\Gosia\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 2. Z poziomu Trybu normalnego spróbuj odinstalować następujące aplikacje: - Adware: HDvid Codec V1, HDVidCodec, PDF Writer Packages, sweet-page uninstaller - Starsze wersje: Adobe Reader 9.5.5 - Polish, AVG 2014, Windows Media Player Firefox Plugin Jeśli coś z zakresu adware nie będzie widoczne lub zwróci błąd, nie szkodzi, i tak skrypt do FRST to wykończy. 2. Przejdź w Tryb awaryjny Windows i wykonaj po kolei te akcje: - Zastosuj specjalne usuwacze: AVG Remover, Norton Removal Tool. - Uruchom FRST i kliknij w Fix. System zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
Yavien Opublikowano 19 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Niestety na razie nie miałam kiedy pojechać do Cioci, więc nie wykonałam powyższych zaleceń. Planuję w tym tygodniu wziąć laptop do siebie na kilka dni, nie zarzucam tematu Wrócę za kilka dni z nowymi danymi. Odnośnik do komentarza
Yavien Opublikowano 22 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2014 Mam laptop w domu, działam. Zastanawia mnie tylko, czy na pewno mam usunąć AVG 2014? Widzę, że Ciocia ma licencję, zapisać numer licencji przed deinstalacją? Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2014 Zgłoś Udostępnij Opublikowano 22 Listopada 2014 Tak, to celowe, to zresztą starsza edycja. Aktualna wersja to 2015. Odnośnik do komentarza
Yavien Opublikowano 22 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2014 OK, a potem zainstalować najnowszą wersję? OK, już widzę, jak to zrobić. Ale na pewno nie instalować po prostu najnowszej wersji na obecną? według strony AVG to jest zalecany sposób? Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2014 Zgłoś Udostępnij Opublikowano 22 Listopada 2014 Na razie nie instaluj żadnych antywirusów, w pierwszej kolejności posprzątaj sytem > potem będzie kompleksowa aktualizacja Windows > na szarym końcu antywirus. Odnośnik do komentarza
Yavien Opublikowano 22 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2014 Ok, po prostu deinstalator proponuje aktualizację ;-) stąd pytanie Odnośnik do komentarza
Yavien Opublikowano 23 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2014 Nie wiem, czy to ma znaczenie, ale piszę. Remover AVG dokończył swoją robotę dopiero po uruchomieniu w trybie normalnym. Czyli kolejność czynności z punktu 2 była taka: - tryb awaryjny - Norton removal tool + restart (do awaryjnego) - AVG remover - FRST z fixem - restart do normalnego - restart wymuszony przez narzędzie AVG - skan logi w załączeniu. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2014 Zgłoś Udostępnij Opublikowano 23 Listopada 2014 Poprawki doczyszczające, bo Fix FRST został wykonany nową wersją FRST (format wpisów się w międzyczasie zmienił i Fix nie wszystko przetworzył) + są jeszcze katalogi szczątkowe: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe -service [X] HKU\S-1-5-21-559585761-812252448-234664116-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=2938&st=bs&q= HKU\S-1-5-21-559585761-812252448-234664116-1000\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=41460&st=home&tid=2938 HKU\S-1-5-21-559585761-812252448-234664116-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=2938&st=bs&q= HKU\S-1-5-21-559585761-812252448-234664116-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=2938&st=bs&q= HKU\S-1-5-21-559585761-812252448-234664116-1000\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=D6E10015AF704DD2&affID=119357&tsp=5009 HKU\S-1-5-21-559585761-812252448-234664116-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1394463553&from=cor&uid=HitachiXHTS542516K9A300_071224BB0300WCJ7HXUCX URLSearchHook: HKU\S-1-5-21-559585761-812252448-234664116-1000 - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=41460&st=bs&tid=2938&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1394463553&from=cor&uid=HitachiXHTS542516K9A300_071224BB0300WCJ7HXUCX&q={searchTerms} SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = SearchScopes: HKU\.DEFAULT -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-559585761-812252448-234664116-1000 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-559585761-812252448-234664116-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.buenosearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=D6E10015AF704DD2&affID=127886&tsp=5180 SearchScopes: HKU\S-1-5-21-559585761-812252448-234664116-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://www.search.ask.com/web?tpid=ORJ-V7-SAT&o=APN11461&pf=V7&p2=^BE7^OSJ000^YY^PL&gct=sb&itbv=12.10.6.53&apn_uid=6AAFB0B1-AC35-474F-9FB3-0551CF6D6FF4&apn_ptnrs=BE7&apn_dtid=^OSJ000^YY^PL&apn_dbr=Opera.exe_0_12.17.1863.0&doi=2014-05-22&trgb=IE&q={searchTerms}&psv= SearchScopes: HKU\S-1-5-21-559585761-812252448-234664116-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1394463553&from=cor&uid=HitachiXHTS542516K9A300_071224BB0300WCJ7HXUCX&q={searchTerms} SearchScopes: HKU\S-1-5-21-559585761-812252448-234664116-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-559585761-812252448-234664116-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://www.yd.delta-search.com/?q={searchTerms}&affID=119535&tt=030213_yd&babsrc=SP_ss&mntrId=d6e1c958000000000000000000000000 BHO: No Name -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> No File BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\SupTab\SupTab.dll No File Toolbar: HKU\S-1-5-21-559585761-812252448-234664116-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKU\S-1-5-21-559585761-812252448-234664116-1000 -> No Name - {434D452D-5637-006A-76A7-7A786E7484D7} - No File Toolbar: HKU\S-1-5-21-559585761-812252448-234664116-1000 -> No Name - {4F524A2D-5637-2D53-4154-7A786E7484D7} - No File C:\Program Files\AVG C:\Program Files\Common Files\Java(47) C:\Program Files\Common Files\Symantec Shared C:\Program Files\File Scout C:\Program Files\FileViewPro C:\Program Files\GUMBFF4.tmp C:\Program Files\GUMD622.tmp C:\Program Files\GUTC024.tmp C:\Program Files\GUTD623.tmp C:\Program Files\Java(73) C:\Program Files\Norton AntiVirus C:\Program Files\Opera C:\ProgramData\APN C:\ProgramData\Avg_Update_0214d C:\ProgramData\Avg_Update_0814avt C:\ProgramData\Babylon C:\ProgramData\IBUpdaterService C:\ProgramData\McAfee C:\ProgramData\Mozilla C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Ꮘƶ繀ƴ C:\ProgramData\㾐ü㯨ü C:\ProgramData\ᏈƯ繀Ö C:\ProgramData\Ꮘư繀Ǎ C:\ProgramData\㾐Ţ㯨Ţ C:\ProgramData\㾐ś㯨ś C:\ProgramData\㾐ß㯨ß C:\ProgramData\㾐Ş㯨Ş C:\ProgramData\㾐Š㯨Š C:\ProgramData\㾐ŝ㯨ŝ C:\ProgramData\㾐s㯨s C:\ProgramData\㾐ř㯨ř C:\ProgramData\㾐Ŗ㯨Ŗ C:\ProgramData\ᏈƟ繀Ư C:\ProgramData\㾐ő㯨ő C:\ProgramData\㾐õ㯨õ C:\ProgramData\㾐ŏ㯨ŏ C:\ProgramData\㾐Ò㯨Ò C:\ProgramData\㾐Œ㯨Œ C:\ProgramData\ᏈƠ繀Ĉ C:\ProgramData\ᏈƠ繀ƹ C:\ProgramData\㾐Ń㯨Ń C:\ProgramData\㾐ň㯨ň C:\ProgramData\㾐Ņ㯨Ņ C:\ProgramData\㾐Ł㯨Ł C:\ProgramData\㾐ľ㯨ľ C:\ProgramData\㾐Ĺ㯨Ĺ C:\ProgramData\㾐ļ㯨ļ C:\ProgramData\Ꮘƚ繀ƪ C:\ProgramData\㾐Ĵ㯨Ĵ C:\ProgramData\㾐ī㯨ī C:\ProgramData\㾐Ĭ㯨Ĭ C:\ProgramData\㾐ı㯨ı C:\ProgramData\㻈Ħ㮠Ħ574F14BCÄĦ㓠Ħ C:\ProgramData\㾐Ğ㯨Ğ C:\ProgramData\ᏈƑ繀ơ C:\ProgramData\㾐ę㯨ę C:\ProgramData\㾐Đ㯨Đ C:\ProgramData\㺈ƀ㬸ƀ C:\ProgramData\㾐Á㯨Á C:\ProgramData\㾐À㯨À C:\ProgramData\㾐8㯨8 C:\ProgramData\㾐4㯨4 C:\ProgramData\㾐0㯨0 C:\ProgramData\㾐㯨 C:\ProgramData\㾐×㯨× C:\ProgramData\㾐¸㯨¸ C:\ProgramData\㾐}㯨} C:\ProgramData\ᏈƱ繀Ư C:\ProgramData\ᏈƔ繀Ư C:\ProgramData\ᏈƢ繀Ŝ C:\ProgramData\ᏈƲ繀ő C:\ProgramData\Ꮘƞ繀Õ C:\ProgramData\ᏈƜ繀ő C:\ProgramData\Ꮘƨ繀ĥ C:\ProgramData\Ꮘƛ繀ģ C:\ProgramData\ᏈƝ繀c C:\ProgramData\ᏈƏ繀Ă C:\ProgramData\Ꮘǁ繀6 C:\ProgramData\胀Ɠ跘Ɠrogram Files C:\ProgramData\㾐ŋ㯨ŋ C:\ProgramData\㾐Ŀ㯨Ŀ C:\ProgramData\㾐㯨 C:\ProgramData\㾐㯨 C:\ProgramData\㾐㯨 C:\ProgramData\㾐㯨 C:\ProgramData\㾐㯨 C:\ProgramData\㾐㯨 C:\ProgramData\㾐㯨 C:\ProgramData\ᏈƲ繀nj C:\ProgramData\ᏈƱ繀ǁ C:\ProgramData\ᏈƩ繀ƿ C:\ProgramData\ᏈƧ繀ƻ C:\ProgramData\Ꮘƥ繀ƣ C:\ProgramData\Ꮘƙ繀ƴ C:\ProgramData\ᏈƖ繀Ɣ C:\ProgramData\Ꮘƕ繀Ƴ C:\ProgramData\ᏈƋ繀Ɯ C:\ProgramData\ᏈƋ繀ƛ C:\ProgramData\ᏈƊ縨Ʀ C:\ProgramData\Ꮘƅ繀Ɩ C:\ProgramData\㾐$㯨$ C:\Users\Gosia\AppData\Local\Avg C:\Users\Gosia\AppData\Local\avgchrome C:\Users\Gosia\AppData\Local\DownTango C:\Users\Gosia\AppData\Local\Google\Chrome\User Data\Default\Extensions\dnllcmllkjofnojidnaknldfehfhehoo C:\Users\Gosia\AppData\Local\Opera C:\Users\Gosia\AppData\LocalLow\BabylonToolbar C:\Users\Gosia\AppData\LocalLow\buenosearch LTD C:\Users\Gosia\AppData\LocalLow\Delta C:\Users\Gosia\AppData\LocalLow\holasearch C:\Users\Gosia\AppData\Roaming\*_log.txt C:\Users\Gosia\AppData\Roaming\TuneUp Software EmptyTemp: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
Yavien Opublikowano 23 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2014 Wykonane, logi w załączeniu. Rzeczywiście wersja FRST z końca października się gdzieś zagubiła, zanim dorwałam laptop w swoje ręce (albo nie pamiętam, gdzie wtedy zapisałam ;-)), dlatego teraz skanowałam najnowszą. Zresztą dziś też był jakiś update. PS. Chyba zrozumiałam, dlaczego jest to: goła Vista bez żadnego Service Packa Ciocia, jako remedium na bluescreeny, stosowała przywrócenie punktu systemowego (do początkowego chyba), na jakiś czas działało. Koniecznie muszę pamiętać, by pousuwać wszystkie punkty poza tym najnowszym (który jeszcze przed nami), odpowiednim. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2014 Zgłoś Udostępnij Opublikowano 23 Listopada 2014 Wszystko wygląda dobrze, ale jeszcze skany dodatkowe. Uruchom AdwCleaner, zastosuj Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. Rzeczywiście wersja FRST z końca października się gdzieś zagubiła, zanim dorwałam laptop w swoje ręce (albo nie pamiętam, gdzie wtedy zapisałam ;-)), dlatego teraz skanowałam najnowszą. Zresztą dziś też był jakiś update. Tu nie było pretensji w Twoim kierunku. Dziś to tylko jeden z updatów był. Od czasu, gdy post został napisany, było mnóstwo aktualizacji. Wersja "nie zaginęła" (została przesunięta do folderu C:\Users\Gosia\Downloads\FRST-OlderVersion i ten folder do śmieci), FRST automatycznie nadpisuje stare wersje i tak ma być. Zawsze należy używać tylko i wyłącznie najnowszej wersji. Tu tylko przez to, że temat założony dawno, nastąpiło zamieszanie z formatami raportu. Chyba zrozumiałam, dlaczego jest to Nie sądzę. Punkty Przywracania systemu są efemeryczne i system sam opróżnia stare w określonych sekwencjach czasowych, więc dwa punkty z dwoma odrębnymi aktualizacjami SP1 i SP2 (w Vista pakiety SP się nie zastępują, SP2 nie można zainstalować nie posiadając zainstalowanego SP1) musiałyby być dostatecznie blisko czasowo założenia tematu, by użycie Przywracania zniwelowało wszystkie aktualizacje i wyzerowało oba pakiety. Poza tym, mam szczegółowy spis punktów. Na początku tematu były dostępne następujące punkty: ==================== Restore Points =========================09-10-2014 03:59:50 Zaplanowany punkt kontrolny10-10-2014 22:59:07 Zaplanowany punkt kontrolny15-10-2014 03:57:31 Zaplanowany punkt kontrolny15-10-2014 19:18:55 Zaplanowany punkt kontrolny16-10-2014 17:39:39 Windows Update23-10-2014 18:50:28 Windows Update25-10-2014 04:12:51 Installed Java 7 Update 7128-10-2014 16:26:27 Installed Java 7 Update 71 Żaden z nich nie ma opisu "Service Pack". Tu po prostu jest nieaktualizowana Vista od nie wiadomo jak dawna, może od samego początku. Jak mówiłam, przed jakimikolwiek instalacjami będzie masowa aktualizacja Windows, konieczne nałożenie po kolei pakietów SP1, SP2 i reszty łat. Ale tym zajmiemy się po wyczyszczeniu systemu. Odnośnik do komentarza
Yavien Opublikowano 23 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2014 Log z adwcleaner w załączeniu. Paniałam, czyścimy, aktualizujemy, doprowadzamy do użytku. Mam nadzieję, że też wyedukujemy trochę. Chyba nic, co napiszesz, nie odbiorę jako pretensję ;-) Kłaniam się przed wiedzą i chęcią pomocy. Chapeau bas! Naprawę przez przywracanie punktów, jak się dowiedziałam, Ciocia stosowała od dłuższego czasu (a laptop ma od kilku lat, podejrzewam, że za każdym razem cofała cię o krok wcześniej, usuwając kolejne aktualizacje, a nie instalując nowych, bo "przecież już były"). Jak usunę wszystkie punkty przywracania, poza końcowym, wyczyszczonym, zabawa straci na zdolnościach niszczycielskich Bo - z drugiej strony - Ciocia starała się aktualizacje robić, z tego, co mówiła.Choć widzę też, że jest niepewna w tym, które rzeczywiście trzeba (i jak) robić. I tak, jak na starszą panią, moim zdaniem, wykazuje się orientacją co najmniej przyzwoitą AdwCleanerR0.txt Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2014 Zgłoś Udostępnij Opublikowano 23 Listopada 2014 Kolejne czynności: 1. Uruchom AdwCleaner i tym razem zastosuj sekwencję Szukaj, a po tym Usuń. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu (+ ręcznie utwórz nowy ze stanu obecnego): KLIK. 3. Otwórz Windows Update, wyszukaj aktualizacje i zainstaluj. Rundy z wyszukiwaniem powtarzaj aż do momentu, gdy zostanie zakomunikowane, iż brak aktulizacji. W razie błędów zgłoś się tu i opisz dokładnie jaki błąd. Naprawę przez przywracanie punktów, jak się dowiedziałam, Ciocia stosowała od dłuższego czasu (a laptop ma od kilku lat, podejrzewam, że za każdym razem cofała cię o krok wcześniej, usuwając kolejne aktualizacje, a nie instalując nowych, bo "przecież już były"). Jak usunę wszystkie punkty przywracania, poza końcowym, wyczyszczonym, zabawa straci na zdolnościach niszczycielskich Bo - z drugiej strony - Ciocia starała się aktualizacje robić, z tego, co mówiła.Choć widzę też, że jest niepewna w tym, które rzeczywiście trzeba (i jak) robić. Tu jest też możliwe, że jest jakaś usterka, błąd powodujący, że aktualizacje są instalowane tylko częściowo i nie dochodzi nawet do instalacji pakietów SP1 i SP2. O tym się przekonamy w punkcie 3 podanym powyżej. Odnośnik do komentarza
Yavien Opublikowano 23 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2014 Na razie jestem po wykonaniu punktów 1 i 2. Leci wyszukiwanie aktualizacji i aktualizacja SP1. Logi z ADW cleaner w załączeniu AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2014 Zgłoś Udostępnij Opublikowano 23 Listopada 2014 Tylko log AdwCleanerS0.txt (opcja Usuń) zostawiam, reszta jest już wiadoma (dwa logi z opcji Szukaj - ta sama treść). Oczekuję na sprawozdanie z kompleksowego Windows Update. Odnośnik do komentarza
Yavien Opublikowano 23 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2014 Przypuszczam, że punkt 2 (Delfix pewnie?) usunął katalog C\Adwcleaner, a kopiowałam logi do bocznej lokalizacji (usunę na koniec), nie spojrzałam na daty (także) w treściach logów. Przepraszam za nadmiarowy upload. A na tamtym laptopie lecą aktualizacje... Oczekuję na sprawozdanie z kompleksowego Windows Update. to jakieś konkretne sprawozdanie zrobić, jak? Czy tylko info "wszystko OK" lub też "nie zainstalowało się to i to (tfu tfu)? Odnośnik do komentarza
picasso Opublikowano 24 Listopada 2014 Zgłoś Udostępnij Opublikowano 24 Listopada 2014 to jakieś konkretne sprawozdanie zrobić, jak? Czy tylko info "wszystko OK" lub też "nie zainstalowało się to i to (tfu tfu)? Chodzi mi o krótkie podsumowanie czy wszystkie rundy aktualizacji się udały i czy wszystko zainstalowane, a w przypadku błędów wyszczególnienie jakie i podczas której operacji (wtedy podam inne działania diagnostyczne). EDIT: Temat aktualizacji wydzielam do działu systemowego (KLIK). Tu temat zamykam, gdyż czyszczenie ukończone. Odnośnik do komentarza
Rekomendowane odpowiedzi