Zaśmiecony komp, wolno chodzi, 14GB usuniętych śmieci...

[miniMALA]

Witam,

 

Skierował mnie do Was kumpel. który też zdalnie przeprowadził wstepne czyszczenie.

Podczas włączania komp potrafił uruchamiać się nawet 20 min; restartować bez ostrzeżenia.

CCleaner oraz TFC usuneły w sumie ok. 14GB śmieci - po tej akcji laptop uruchomił sie bezproblemowo.
Możliwe, że problem związany jest z płytą główną (z powodu której jakiś czas temu lapek wylądował w serwisie - niestety nie mam dokładnych danych dot. naprawy)

 

AdwCleaner pokazuje troche smieci ale póki co nie czyściłem nim nic.
Temperatura procesora do 70 stopni, reszta w normie - nie wygląda na to by laptop się grzał.

 

Dodaję logi, skan dysku HDTune: quick skan na zielono, health: wszedzie ok.

 

Proszę o sprawdzenie logów i doczyszczenie pozostałych śmieci.

 

GMER.txt

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Niezbyt dużo tu jest do czyszczenia - trochę adware (raczej stare obiekty) oraz wpisy puste.

 

1. Rozpocznij od deinstalacji starych wersji oraz obiektów sponsoringowych i adware: Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader XI - Polish, AVG SafeGuard toolbar, Foxtab, Image Composite Editor Packages, Skype Packages, Update for Video Converter, Video Converter Packages, WPM17.8.0.3297

 

2. Specjalny skrót Internet Explorer jest uszkodzony:

 

Shortcut: C:\Users\Paulinka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\Paulinka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1383316283&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WX90A992232122321
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383316283&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WX90A992232122321&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383316283&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WX90A992232122321&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383316283&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WX90A992232122321&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383316283&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WX90A992232122321&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
SearchScopes: HKU\S-1-5-21-3453456924-2562164534-3920574783-1000 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119370&babsrc=SP_ss&mntrId=5452fb47000000000000000000000000
SearchScopes: HKU\S-1-5-21-3453456924-2562164534-3920574783-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119370&babsrc=SP_ss&mntrId=5452fb47000000000000000000000000
SearchScopes: HKU\S-1-5-21-3453456924-2562164534-3920574783-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={B9C74FB1-DD8A-4892-8118-D2EE4A246833}&mid=ab371f49cd7147d398a4d16f642adaf7-e161a93104eaf741d93155fade9eef6dced24665&lang=en&ds=co011&coid=&cmpid=&pr=sa&d=2013-06-22 21:33:18&v=18.1.9.799&pid=safeguard&sg=0&sap=dsp&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKU\S-1-5-21-3453456924-2562164534-3920574783-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
Toolbar: HKU\S-1-5-21-3453456924-2562164534-3920574783-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files (x86)\T-Mobile\InternetManager_Z\Bin\addon
FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG SafeGuard toolbar\FireFoxExt\18.1.9.799
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3453456924-2562164534-3920574783-1000\...\Run: [AdobeBridge] => [X]
Task: {08375E42-536C-4832-A95F-CF6F509D3FE1} - System32\Tasks\FoxTab => C:\Users\Paulinka\AppData\Roaming\FoxTab\UpdateProc\UpdateTask.exe [2013-04-12] () 
Task: {4376E3BC-071B-4267-BCA7-6D1E3F0FEA97} - System32\Tasks\{DF4CA663-8A7D-42D4-8420-D5404A0CE79B} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.6.0.106&LastError=12002
Task: {D31288D5-3695-4795-92B9-06FE3B03A72F} - System32\Tasks\DSite => C:\Users\Paulinka\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe [2013-02-20] () 
Task: C:\Windows\Tasks\FoxTab.job => C:\Users\Paulinka\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE 
C:\Program Files (x86)\Mozilla Firefoxsafeguard-secure-search.xml
C:\Program Files (x86)\mozilla Firefox\browser\searchplugins\safeguard-secure-search.xml
C:\ProgramData\WPM
C:\Users\Paulinka\AppData\Roaming\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I
C:\Users\Paulinka\AppData\Roaming\0F1F1C2Y1H1P1C0I0T
C:\Users\Paulinka\AppData\Roaming\Babylon
C:\Users\Paulinka\AppData\Roaming\DSite
C:\Users\Paulinka\AppData\Roaming\FoxTab
C:\Users\Paulinka\AppData\Roaming\Video Converter Packages
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[miniMALA]

Gotowe, wszystko zrobione zgodnie ze wskazówkami.

 

podpinam fixlog oraz FRST z dziś.

 

jeszcze przed wprowadzeniem tych zmian (poprzedniej nocy) komp samoczynnie się wyłączył.

FRST.txt

Fixlog.txt

[picasso]

Poprzednie akcje pomyślnie wykonane, ale:

 

jeszcze przed wprowadzeniem tych zmian (poprzedniej nocy) komp samoczynnie się wyłączył.

Wyłączył (efekt "odciętego prądu") czy automatycznie zresetował? W raporcie widoczna nowa usterka - wszystkie usługi i sterowniki Microsoftu są oznaczone jako niepodpisane cyfrowo [File not signed]. Uległa uszkodzeniu baza Usług kryptograficznych (catroot2 lub catroot), przy czym tylko catroot2 można zresetować.

 

1. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny - opcja uwględnia reset bazy kryptograficznych.

 

2. Zresetuj system. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

[miniMALA]

Wyłączył (efekt "odciętego prądu") czy automatycznie zresetował?

Zresetował się i po ponownym uruchomieniu chciał naprawiać system.

Dzisiaj nie resetował się samodzielnie, nie chciał naprawiać systemu po ręcznym restarcie.

 

Pozycje 1 i 2 zrobione. w załączeniu log.

FRST.txt

[picasso]

Niestety brak zmian, nadal masowy odczyt "[File not signed]". Jest prawdopodobne, że to uszkodzenie catroot, a to jest niemożliwe do zresetowania (folder jest nieodtwarzalny). Na początku tematu były tu dwa punkty Przywracania systemu:

 

==================== Restore Points =========================
 

09-12-2014 09:25:31 Removed Corel Graphics - Windows Shell Extension.

10-12-2014 08:55:48 Removed Corel Graphics - Windows Shell Extension.

 

O ile one magicznie nie zniknęły, spróbuj z nich selektywnie wyciągnąć starszą postać catroot:

 

1. Uruchom Shadow Explorer (portable). Z menu rozwijanego wybierz najstarszą datę z dnia 09-12-2014. Następnie z boku w eksploratorze wyszukaj folder C:\Windows\system32\catroot (nie catroot2). Z prawokliku na ten folder opcja Export i wskaż jako miejsce docelowe Pulpit. Na Pulpicie pojawi się folder catroot.

 

2. Następnie zpoziomu normalnego eksploratora Windows otwórz folder C:\Windows\system32\catroot. W folderze tym są dwa podfoldery:

 

{127D0A1D-4EF2-11D1-8608-00C04FC295EE}

{F750E6C3-38EE-11D1-85E5-00C04FC295EE}

 

Z prawokliku zmień im nazwy dopisując przedrostek OLD (przy pytaniu o podnoszenie uprawnień zatwierdź):

 

OLD{127D0A1D-4EF2-11D1-8608-00C04FC295EE}

OLD{F750E6C3-38EE-11D1-85E5-00C04FC295EE}

 

Następnie z folderu catroot na Pulpicie przekopiuj foldery {127D0A1D-4EF2-11D1-8608-00C04FC295EE} + {F750E6C3-38EE-11D1-85E5-00C04FC295EE} do C:\Windows\system32\catroot (przy pytaniu o podnoszenie uprawnień zatwierdź).

 

Upewnij się, że oba foldery się wstawiły, bez nich katastrofa przy restarcie nastąpi. Jeśli pojawią się jakiekolwiek błędy przy kopiowaniu, STOP i nie resetuj komputera, zgłaszasz się na forum i opisujesz dokładnie gdzie jest błąd. Natomiast jeśli nie będzie żadnego błędu, możesz przejść dalej:

 

3. Wejdź do folderu C:\Windows\system32\CodeIntegrity i zmień nazwę pliku bootcat.cache dopisując mu OLD.

 

4. Zresetuj system i zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

 

 

 

.

[picasso]

Zanim wykonasz to co powyżej upewnij się, że nie masz zainstalowanej felernej łaty KB3004394: KLIK. Jeśli w zainstalowanych aktualizacjach ona występuje, odinstaluj - popatrz i na aktualizację KB3024777 mającą się tym zająć: KLIK. Ponów reset narzędziem Fix It 50202 i zrób nowy log FRST.

[miniMALA]

Aktualizację KB3004394 - odinstalowałem bez problemu.

Aktualizacja KB3024777 - nie jest zainstalowana, pobrałem obie wersje: "All supported x86-based versions of Windows 7" oraz "All supported x64-based versions of Windows 7 and Windows Server 2008 R2" - nie mogę ich zainstalować, instalator się nie pojawia, nie ma żadnego procesu, nie pojawiła się w aktualizacjach.

zrobiłem reset po odinstalowaniu KB3004394; log zrobiony po nim w załączeniu.

 

FRST.txt

[picasso]

Usterka naprawiona. Załaduj jeszcze minimalne poprawki. Otwórz Notatnik i wklej w nim:

 

BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\ProgramData\Avg_Update_1214tb
RemoveDirectory: C:\Windows\SysWOW64\catroot2.bak

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

[miniMALA]

Zrobione. Do weryfikacji fixlog.

Fixlog.txt

[picasso]

Usuń ręcznie używane narzędzia z D:\PC_HELP_RU. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

To tyle.

[Rucek]

Usuń ręcznie używane narzędzia z D:\PC_HELP_RU

EDIT: To mój folder, usuniete wszystkie smieci

reszta też wykonana, dziekujemy za pomoc!

[miniMALA]

wielkie dzięki za pomoc!

[picasso]

To mój folder

Ale co to ma za znaczenie czyj. Miał zostać usunięty FRST z niego:

 

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 13-12-2014

Ran by Paulinka (administrator) on MALUTKA on 13-12-2014 13:55:32

Running from D:\PC_HELP_RU

 

FRST należy pobierać za każdym razem od początku. Wbudowany system autoaktualizacji czasami zawodzi i nie jest ściągana nowsza wersja. U mnie w systemie conajmniej kilka razy to miało miejsce, mimo czynnego połączenia z internetem.