Wolne działanie systemu oraz wyskakujące reklamy w przeglądarce internetowej

[Corsodyl]

Witam.

 

Dzisiaj zwracam się do Pani z problemem, który pojawił się u mojego taty na pc. Tato ostatnio ściągał jakieś programy i jak się okazało korzystał m.in. ze strony "dobreprogramy". Podejrzewam, że jest to coś podobnego to sytuacji, która miała miejsce w moim przypadku (https://www.fixitpc.pl/topic/25028-nagłe-pojawienie-się-reklam-hold-page-ads-podczas-przeglądania-stron-internetowych/#entry157974).

 

System bardzo wolno działa (choć w sumie nie musi mieć to związku ze sprawą, ponieważ komputer jest już wiekowy), a włączając przeglądarkę (Google Chrome), która też bardzo długo się ładuje, pojawiają się okienka reklamowe. Zdarza się też tak, że podczas surfowania nagle samoczynnie otwiera się nowe okno przeglądarki z dziwnym adresem, podejrzewam, że prowadzącym do jakiejś reklamy. Podczas szukania informacji na stronie google.pl, po wpisaniu hasła i wyszukaniu odpowiedzi, po chwili nad tymi odpowiedziami wyskakuje kilka nowych "odpowiedzi", które też raczej są jakimiś reklamami.

 

[odnośnie wolno działającej przeglądarki, to to  także może nie mieć związku z tą sprawą. otóż, od dłuższego czasu borykam się z problemem dot. ładowania się stron, o czym piszę tutaj: https://www.fixitpc.pl/topic/25278-problem-z-ładowaniem-się-stron-internetowych/#entry159547 . Co prawda nie otrzymałem jeszcze odpowiedzi, to nie wymagam tego od Pani, bo zdaję sobie sprawę, że być może nie jest to Pani działka.]

 

Zrobiłem na pc logi, które poniżej załączam.

Bardzo proszę o pomoc. 

Addition.txt

Extras.Txt

FRST.txt

GMER.txt

OTL.Txt

Shortcut.txt

[picasso]

Jest tu kupa instalacji adware, pochodzenie raczej rozmaite, nie tylko dobreprogramy.pl (choć ten serwis tu owszem może być przyczyną zagnieżdżenia się obiektów Click Caption 1.10.0.4 i DigiHelp - te dwa widziałam w logach jako produkt "Asystenta pobierania"). Operacje wstępne:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint:
R2 ccsvc_1.10.0.4; C:\Program Files\ClickCaption_1.10.0.4\Service\ccsvc.exe [277584 2014-12-04] (ClickCaption)
S2 CouponMonkeyService; C:\Program Files\D51D0083-1C6B-4CB4-8FA1-7CF891242EBD\auhhlzqovx.exe [150528 2014-11-26] () [File not signed]
R2 nkdytjtjsw32; C:\Program Files\007\nkdytjtjsw32.exe [683848 2014-11-26] ()
R2 serverca; C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\ConvertAd\CASrv.exe [143360 2014-12-19] () [File not signed]
R2 servervo; C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Dane aplikacji\VOPackage\VOsrv.exe [137216 2014-12-19] () [File not signed]
R2 Update DigiHelp; C:\Program Files\DigiHelp\updateDigiHelp.exe [518888 2014-12-20] ()
R1 ccnfd_1_10_0_4; C:\WINDOWS.1\System32\drivers\ccnfd_1_10_0_4.sys [52728 2014-12-04] (ClickCaption)
R1 {993baf86-643c-42e9-95e5-094f337533f0}Gt; C:\WINDOWS.1\System32\drivers\{993baf86-643c-42e9-95e5-094f337533f0}Gt.sys [55816 2014-12-18] (StdLib)
S1 ASPI32; No ImagePath
S3 GarenaPEngine; \??\C:\DOCUME~1\TOMASZ\USTAWI~1\Temp\OGHC9.tmp [X]
S3 GGSAFERDriver; \??\C:\Garena\plugins\UI\safedrv.sys [X]
S1 netfilter; system32\drivers\netfilter.sys [X]
S2 npf; system32\drivers\npf.sys [X]
Task: C:\WINDOWS.1\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RCP\RegCleanPro.exe 
Task: C:\WINDOWS.1\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RCP\RegCleanPro.exe 
HKLM\...\Run: [ADSTOP] => C:\Documents and Settings\STANISAAW SKRZYPCZAK\Pulpit\ADSTOP.exe
HKLM\...\Run: [gmsd_pl_8] => [X]
HKLM\...\Run: [upgmsd_pl_8.exe] => C:\Documents and Settings\STANISAAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\gmsd_pl_8\upgmsd_pl_8.exe -runhelper
HKLM\...\Run: [rec_pl_1] => C:\Program Files\rec_pl_1\rec_pl_1.exe [3977384 2014-12-16] ()
HKU\S-1-5-21-2052111302-920026266-1177238915-1004\...\Run: [softonicAssistant] => "C:\Documents and Settings\STANISAAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\SoftonicAssistant\SoftonicAssistant.exe"
HKU\S-1-5-21-2052111302-920026266-1177238915-1004\...\Run: [eMuleAutoStart] => C:\eMule\emule.exe [5758976 2010-04-07] (http://www.emule-project.net)
HKU\S-1-5-21-2052111302-920026266-1177238915-1004\...\MountPoints2: {fa893f62-d951-11df-8b59-00e04caed27f} - "G:\WD SmartWare.exe" autoplay=true
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141219
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1414682347&from=cor&uid=WDCXWD400EB-75CPF0_WD-WMAATE180550&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1414682347&from=cor&uid=WDCXWD400EB-75CPF0_WD-WMAATE180550&q={searchTerms}
HKU\S-1-5-21-2052111302-920026266-1177238915-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1814311
URLSearchHook: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 - Max EN Toolbar - {867dd841-5bf7-44ca-8426-c5a6eda00735} - C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.)
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1414682347&from=cor&uid=WDCXWD400EB-75CPF0_WD-WMAATE180550
SearchScopes: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL =
SearchScopes: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1814311
BHO: BitComet Helper -> {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -> C:\Documents and Settings\TOMASZ\Pulpit\Konrad\BitComet\tools\BitCometBHO_1.2.2.28.dll No File
BHO: DigiHelp 1.0.0.6 -> {5bee7be9-df29-4c14-a18e-2bdd06205e29} -> C:\Program Files\DigiHelp\DigiHelpBHO.dll (DigiHelp)
BHO: Max EN Toolbar -> {867dd841-5bf7-44ca-8426-c5a6eda00735} -> C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.)
BHO: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\Documents and Settings\All Users.WINDOWS.1\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll No File
Toolbar: HKLM - Max EN Toolbar - {867dd841-5bf7-44ca-8426-c5a6eda00735} - C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.)
Toolbar: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> Max EN Toolbar - {867DD841-5BF7-44CA-8426-C5A6EDA00735} - C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.)
DPF: {00000161-0000-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/msaudio.cab
DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab
FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File
FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://www.sweet-page.com/?type=sc&ts=1414682347&from=cor&uid=WDCXWD400EB-75CPF0_WD-WMAATE180550
C:\Program Files\007
C:\WINDOWS.1\system32\Drivers\{993baf86-643c-42e9-95e5-094f337533f0}Gt.sys
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń programy odinstaluj:

- Adware: Click Caption 1.10.0.4, ConvertAd, coupon monkey, DigiHelp, Games-desktop 008.1, Max_EN Toolbar, Remote Desktop Access (VuuPC), Softonic Assistant, WindowsMangerProtect20.0.0.1064.

- Stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader XI (11.0.08) - Polish, Adobe Shockwave Player 11.5, AutoUpdate, Gadu-Gadu 10, Google Chrome, Java™ 6 Update 22, Mozilla Firefox 14.0.1 (x86 pl), OpenOffice.org 3.0. Przy deinstalacji przeglądarek zaznacz opcję usuwania danych użytkownika.

 

Rozważ też czy inne zainstalowane programy są potrzebne i odinstaluj.

 

3. W systemie są dwa konta:

- Poziomu STANISŁAWA zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut, by powstały trzy logi.

- Zaloguj się na GRAŻKĘ poprzez pełny restart komputera (a nie opcje Wyloguj czy Przełącz użytkownika) i też zrób log FRST (z Addition, ale bez Shortcut).

 

Dołącz też plik fixlog.txt.

[Corsodyl]

Niestety nie jestem w stanie otrzymać pliku fixlog.txt , ponieważ uruchamiając FRST i klikając w Fix, pojawia się niebieski ekran z informacją: "Pojawił się problem i system Windows został zamknięty, aby zapobiec uszkodzeniu komputera. Proces lub wątek kluczowy dla działania systemu został nieoczekiwanie zamknięty (... tutaj pojawia się instrukcja, jak należy postąpić ...). Informacje techniczne: STOP: 0x000000F4 ( 0x00000003, 0x826861E0, 0x82686354, 0x805FB0E4 ) Rozpoczynanie zrzucania fizycznej pamięci." W sumie stało się tak 3 razy. Za trzecim razem przy informacji technicznej pojawił się taki ciąg: STOP: 0x000000F4 ( 0x00000003, 0x82B2DBE8, 0x82B2DD5C, 0x805FB0E4 ).

 

Czy w tej sytuacji mam przejść do kroku 2 (usuwanie programów), a dalej do kroku 3?

[Corsodyl]

Witam.

 

Chciałbym odświeżyć ten temat i przy okazji dodać nowe informacje, które w ciągu tych 2 tygodni się pojawiły.

Otóż, tak jak w poprzednim poście pisałem, komputer resetował się podczas uruchamiania w programie FRST funkcji Fix. Dlatego też nie podejmowałem żadnych innych działań, które Pani podała.

 

Jednak od pewnego czasu na pasku zadań zaczęła pojawiać się ikonka o nazwie "BlockAndSurf". Mój tata, szukając jakichś informacji w internecie na temat tej aplikacji, znalazł jakąś stronę, która polecała użyć programu AdwCleaner w celu pozbycia się wyskakujących reklam. I tak 28.12.2014 tato zeskanował komputer przy pomocy tego programu i usunął pozycje, które program zaliczył jako szkodliwe. Z tego co sprawdziłem, to z listy Dodaj/Usuń programy zniknęły takie adware jak: ConvertAd, coupon monkey, DigiHelp, Remote Desktop Access (VuuPC), WindowsMangerProtect20.0.0.1064.

 

Oczywiście program zostawił logi, które poniżej załączam. Moje pytanie jest takie, czy w związku z użyciem tego programu, potrzebne są nowe logi z programu FRST, OTL, GMER oraz, mając na uwadze sytuację, którą dokładnie opisałem w poprzednim poście, można przejść do kroku 2 i 3, który wcześniej Pani zamieściła.

 

Logi z programu AdwCleaner:

AdwCleanerR1.txtAdwCleanerS0.txt

[picasso]

Jednak od pewnego czasu na pasku zadań zaczęła pojawiać się ikonka o nazwie "BlockAndSurf". Mój tata, szukając jakichś informacji w internecie na temat tej aplikacji, znalazł jakąś stronę, która polecała użyć programu AdwCleaner w celu pozbycia się wyskakujących reklam. I tak 28.12.2014 tato zeskanował komputer przy pomocy tego programu i usunął pozycje, które program zaliczył jako szkodliwe. Z tego co sprawdziłem, to z listy Dodaj/Usuń programy zniknęły takie adware jak: ConvertAd, coupon monkey, DigiHelp, Remote Desktop Access (VuuPC), WindowsMangerProtect20.0.0.1064.

To nie była poprawna metoda deinstalacji, a nowe logi FRST (wszystie 3) są konieczne, gdyż poprzednie są zupełnie nieaktualne po uruchomieniu AdwCleaner.

[Corsodyl]

Załączam logi z programu FRST.

Chciałbym tylko jeszcze zaznaczyć, że podczas scanowania włączony był antywirus. Jeżeli jednak powinien być on wyłączony to proszę dać znać, zrobię te logi ponownie.

 

edit #1 :

 

Załączam nowe logi, wykonane przy wyłączonym antywirusie:

 

Addition 2.txtFRST 2.txtShortcut 2.txt

[picasso]

Zostawiam tylko jeden komplet logów. Sprawa nie jest rozwiązana, nadal dużo obiektów adware.

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Task: C:\WINDOWS.1\Tasks\BlockAndSurf Update.job => C:\Program Files\ver0BlockAndSurf\J6BlockAndSurfR79.exe 
Task: C:\WINDOWS.1\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RCP\RegCleanPro.exe 
Task: C:\WINDOWS.1\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RCP\RegCleanPro.exe 
R1 ccnfd_1_10_0_4; C:\WINDOWS.1\System32\drivers\ccnfd_1_10_0_4.sys [52728 2014-12-04] (ClickCaption)
R2 ccsvc_1.10.0.4; C:\Program Files\ClickCaption_1.10.0.4\Service\ccsvc.exe [277584 2014-12-04] (ClickCaption)
S2 CouponMonkeyService; C:\Program Files\D51D0083-1C6B-4CB4-8FA1-7CF891242EBD\auhhlzqovx.exe [150528 2014-11-26] () [File not signed]
S2 serverca; C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\ConvertAd\CASrv.exe [X]
S2 Update DigiHelp; "C:\Program Files\DigiHelp\updateDigiHelp.exe" [X]
S1 ASPI32; No ImagePath
S3 GarenaPEngine; \??\C:\DOCUME~1\TOMASZ\USTAWI~1\Temp\OGHC9.tmp [X]
S3 GGSAFERDriver; \??\C:\Garena\plugins\UI\safedrv.sys [X]
S1 netfilter; system32\drivers\netfilter.sys [X]
S2 npf; system32\drivers\npf.sys [X]
HKLM\...\Run: [adblock pro] => C:\Adblock Pro\abpmain.exe [372736 2010-06-28] (Adblock Pro Team)
HKLM\...\Run: [ADSTOP] => C:\Documents and Settings\STANISAAW SKRZYPCZAK\Pulpit\ADSTOP.exe
HKLM\...\Run: [gmsd_pl_8] => [X]
HKLM\...\Run: [upgmsd_pl_8.exe] => C:\Documents and Settings\STANISAAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\gmsd_pl_8\upgmsd_pl_8.exe -runhelper
HKLM\...\Run: [rec_pl_1] => C:\Program Files\rec_pl_1\rec_pl_1.exe [3977384 2014-12-16] ()
HKLM\...\Run: [rec_pl_2] => C:\Program Files\rec_pl_2\rec_pl_2.exe [3979432 2014-12-24] ()
HKU\S-1-5-21-2052111302-920026266-1177238915-1004\...\Run: [softonicAssistant] => "C:\Documents and Settings\STANISAAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\SoftonicAssistant\SoftonicAssistant.exe"
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
SearchScopes: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: BitComet Helper -> {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -> C:\Documents and Settings\TOMASZ\Pulpit\Konrad\BitComet\tools\BitCometBHO_1.2.2.28.dll No File
BHO: Max EN Toolbar -> {867dd841-5bf7-44ca-8426-c5a6eda00735} -> C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.)
BHO: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\Documents and Settings\All Users.WINDOWS.1\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll No File
Toolbar: HKLM - Max EN Toolbar - {867dd841-5bf7-44ca-8426-c5a6eda00735} - C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.)
Toolbar: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> Max EN Toolbar - {867DD841-5BF7-44CA-8426-C5A6EDA00735} - C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.)
DPF: {00000161-0000-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/msaudio.cab
DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab
FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File
FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
c:\Documents and Settings\All Users.WINDOWS.1\Dane aplikacji\TEMP
C:\Documents and Settings\All Users.WINDOWS.1\Menu Start\Programy\Picasa 3
C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk
C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Dane aplikacji\Opera Software
C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\Opera Software
C:\Program Files\CouponMonkey
C:\Program Files\D51D0083-1C6B-4CB4-8FA1-7CF891242EBD
C:\Program Files\DigiHelp
C:\WINDOWS.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Folder: C:\WINDOWS.1\system32\dwjobs
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń programy odinstaluj:

 

- Adware: Click Caption 1.10.0.4, Games-desktop 008.1, Games-desktop 008.2, Max_EN Toolbar, Softonic Assistant.

- Stare wersje: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader XI (11.0.08) - Polish, Adobe Shockwave Player 11.5, AutoUpdate, Gadu-Gadu 10, Google Chrome, Java™ 6 Update 22, Mozilla Firefox 14.0.1 (x86 pl), OpenOffice.org 3.0. Przy deinstalacji przeglądarek zaznacz opcję usuwania danych użytkownika.

I co uznasz jeszcze za stosowne.

 

3. AdwCleaner błędnie naprawił skrót IE:

 

Shortcut: C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

Przejdź do pokazanej powyżej ścieżki "Narzędzia systemowe". Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Po kolei loguj się na konta STANISŁAW i GRAŻKA poprzez pełny restart komputera (a nie opcje Wyloguj czy Przełącz użytkownika). Na każdym zrób po dwa logi FRST, tzn. Główny + Addition (Shortcut już nie jest potrzebny).

 

Dołącz też plik fixlog.txt.

[Corsodyl]

Niestety, powtarza się poprzednia sytuacja. Nawet przy uruchomionym komputerze w trybie awaryjnym, wchodząc w program FRST i klikając w Fix, pojawia się niebieski ekran, a na nim informacja, tak jak wcześniej: "Pojawił się problem i system Windows został zamknięty, aby zapobiec uszkodzeniu komputera. Proces lub wątek kluczowy dla działania systemu został nieoczekiwanie zamknięty (... instrukcja jak należy postąpić ...). Informacje techniczne: STOP: 0x000000F4 ( 0x00000003, 0x82A50BE0, 0x82A50D54, 0x805FB0E4) Rozpoczynanie zrzucania fizycznej pamięci.", po czym komputer uruchamia się ponownie. Dwukrotnie uruchomiłem komputer w trybie awaryjnym i dwukrotnie miała miejsce ta sytuacja, przy czym podczas drugiej akcji pojawił się ciąg: STOP: 0x00000F4, ( 0x00000003, 0x8292BBE0, 0x8292BD54, 0x805FB0E4).

[picasso]

Spróbuj w Trybie awaryjnym wersji okrojonej:

 

Task: C:\WINDOWS.1\Tasks\BlockAndSurf Update.job => C:\Program Files\ver0BlockAndSurf\J6BlockAndSurfR79.exe 
Task: C:\WINDOWS.1\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RCP\RegCleanPro.exe 
Task: C:\WINDOWS.1\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RCP\RegCleanPro.exe 
S2 CouponMonkeyService; C:\Program Files\D51D0083-1C6B-4CB4-8FA1-7CF891242EBD\auhhlzqovx.exe [150528 2014-11-26] () [File not signed]
S2 serverca; C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\ConvertAd\CASrv.exe [X]
S2 Update DigiHelp; "C:\Program Files\DigiHelp\updateDigiHelp.exe" [X]
S1 ASPI32; No ImagePath
S3 GarenaPEngine; \??\C:\DOCUME~1\TOMASZ\USTAWI~1\Temp\OGHC9.tmp [X]
S3 GGSAFERDriver; \??\C:\Garena\plugins\UI\safedrv.sys [X]
S1 netfilter; system32\drivers\netfilter.sys [X]
S2 npf; system32\drivers\npf.sys [X]
HKLM\...\Run: [adblock pro] => C:\Adblock Pro\abpmain.exe [372736 2010-06-28] (Adblock Pro Team)
HKLM\...\Run: [ADSTOP] => C:\Documents and Settings\STANISAAW SKRZYPCZAK\Pulpit\ADSTOP.exe
HKLM\...\Run: [gmsd_pl_8] => [X]
HKLM\...\Run: [upgmsd_pl_8.exe] => C:\Documents and Settings\STANISAAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\gmsd_pl_8\upgmsd_pl_8.exe -runhelper
HKLM\...\Run: [rec_pl_1] => C:\Program Files\rec_pl_1\rec_pl_1.exe [3977384 2014-12-16] ()
HKLM\...\Run: [rec_pl_2] => C:\Program Files\rec_pl_2\rec_pl_2.exe [3979432 2014-12-24] ()
HKU\S-1-5-21-2052111302-920026266-1177238915-1004\...\Run: [softonicAssistant] => "C:\Documents and Settings\STANISAAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\SoftonicAssistant\SoftonicAssistant.exe"
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
SearchScopes: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: BitComet Helper -> {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -> C:\Documents and Settings\TOMASZ\Pulpit\Konrad\BitComet\tools\BitCometBHO_1.2.2.28.dll No File
BHO: Max EN Toolbar -> {867dd841-5bf7-44ca-8426-c5a6eda00735} -> C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.)
BHO: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\Documents and Settings\All Users.WINDOWS.1\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll No File
Toolbar: HKLM - Max EN Toolbar - {867dd841-5bf7-44ca-8426-c5a6eda00735} - C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.)
Toolbar: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> Max EN Toolbar - {867DD841-5BF7-44CA-8426-C5A6EDA00735} - C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.)
DPF: {00000161-0000-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/msaudio.cab
DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab
FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File
FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
c:\Documents and Settings\All Users.WINDOWS.1\Dane aplikacji\TEMP
C:\Documents and Settings\All Users.WINDOWS.1\Menu Start\Programy\Picasa 3
C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk
C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Dane aplikacji\Opera Software
C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\Opera Software
C:\Program Files\CouponMonkey
C:\Program Files\D51D0083-1C6B-4CB4-8FA1-7CF891242EBD
C:\Program Files\DigiHelp
C:\WINDOWS.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Folder: C:\WINDOWS.1\system32\dwjobs
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
Reboot:

[Corsodyl]

Ok, teraz zadziałało. Rozumiem, że teraz mogę przejść do kolejnych kroków?

[picasso]

Tak, kontynuujesz zgodnie z planem.

[Corsodyl]

Załączam nowe logi:

 

Fixlog.txtAddition - S.txtFRST - S.txtAddition - g.txtFRST - g.txt

[picasso]

Poprzednie zadania wykonane. Zostały poprawki (podane poniżej). Natomiast tu jest dodatkowy problem ze strukturą plików na dysku (być może i z dyskiem jako takim), zobrazowany jako powielenia katalogów / tworzenie ich kopii. Na razie dokończ sprzątanie:

 

 

NA KONCIE STANISŁAW:

 

1. Kolejne deinstalacje:

- Przez Dodaj/Usuń programy: Spelling Dictionaries Support For Adobe Reader 9 (jakoś go pominęłam).

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper > Dalej

 

2. Otwórz Notatnik i wklej w nim:

 

DisableService: sptd
S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X]
HKLM\...\Run: [rec_pl_1] => [X]
HKLM\...\Run: [rec_pl_2] => [X]
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Task: C:\WINDOWS.1\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\WINDOWS.1\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Documents and Settings\All Users.WINDOWS.1\Dane aplikacji\Adobe
C:\Documents and Settings\All Users.WINDOWS.1\Menu Start\Programy\OpenOffice.org 3.0
C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Dane aplikacji\Mozilla
C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\gmsd_pl_8
C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\Google
C:\Documents and Settings\GRAŻKA\Dane aplikacji\Mozilla
C:\Documents and Settings\GRAŻKA\Ustawienia lokalne\Dane aplikacji\Google
C:\Program Files\Adobe
C:\Program Files\ClickCaption_1.10.0.4
C:\Program Files\Common Files\Adobe
C:\Program Files\Common Files\Java
C:\Program Files\gmsd_pl_8
C:\Program Files\Java
C:\Program Files\Mozilla Firefox
C:\Program Files\OpenOffice.org 3
C:\Program Files\Opera
C:\Program Files\predm
C:\WINDOWS.1\system32\Adobe
C:\WINDOWS.1\system32\Macromed
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{18D10072035C4515918F7E37EAFAACFC} /f
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt.

 

 

NA KONCIE GRAŻKA:

 

Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-2052111302-920026266-1177238915-1012\...\Run: [H/PC Connection Agent] => "C:\Microsoft ActiveSync\wcescomm.exe"


HKU\S-1-5-21-2052111302-920026266-1177238915-1012\...\Run: [iSUSPM] => -scheduler

ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File

ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File

ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File

ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File

SearchScopes: HKU\S-1-5-21-2052111302-920026266-1177238915-1012 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL =

Toolbar: HKU\S-1-5-21-2052111302-920026266-1177238915-1012 -> No Name - {64D23501-5195-4224-9446-E2B0FB64E859} - No File

Toolbar: HKU\S-1-5-21-2052111302-920026266-1177238915-1012 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File

Reg: reg delete HKCU\Software\Google /f

Reg: reg delete HKCU\Software\Mozilla /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

[Corsodyl]

Załączam nowe logi:

 

Fixlog - S.txtFixlog - G.txt

 

 

Mam takie jeszcze pytanie, czy podany przez Panią program można używać do usuwania innych, nieznajdujących się na liście 'Dodaj/Usuń programy' programów?

[Corsodyl]

Witam.

Chciałbym odświeżyć wątek, bo być może zaginął gdzieś on Pani wśród natłoku tematów, a chciałbym choć wiedzieć, czy prace są jeszcze w toku, czy może to już koniec...

[picasso]

Corsodyl, nie ma potrzeby "odświeżania". Obecność tematu na dalszych stronach nie oznacza, że o nim nie wiem, w końcu cały czas siedzę w tym dziale. Odpowiadam gdy jestem w stanie, a kolejność wyboru tematów do przetwarzania jest uzależniona od różnych rzeczy. Po urlopie świątecznym mam tyle zaległości, że nie jestem w stanie odpowiadać wszystkim.

 

 

Mam takie jeszcze pytanie, czy podany przez Panią program można używać do usuwania innych, nieznajdujących się na liście 'Dodaj/Usuń programy' programów?

Tylko jeśli jest to odpadek / program z którym są trudności deinstalacyjne. Narzędzie Microsoftu nie deinstaluje programu w sposób tradycyjny, usuwa tylko rejestrację MSI, elementy startowe oraz foldery aplikacji nadal mogą zostać na dysku. Poza tym, jest wiele programów ukrytych celowo, na których nie należy podejmować żadnych działań.

 

 

Kończymy zadania czyszczące:

 

1. Był problem z usuwaniem dwóch katalogów, być może przez kontekst zalogowanego konta. Zaloguj się na GRAŻKĘ i sprawdź czy są na dysku poniższe foldery. Znalezione skasuj.

 

C:\Documents and Settings\GRAŻKA\Dane aplikacji\Mozilla

C:\Documents and Settings\GRAŻKA\Ustawienia lokalne\Dane aplikacji\Google

 

2. Usuń z obu kont pobrane narzędzia. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

3. Został ten problem:

 

Natomiast tu jest dodatkowy problem ze strukturą plików na dysku (być może i z dyskiem jako takim), zobrazowany jako powielenia katalogów / tworzenie ich kopii.

Start > Uruchom > cmd, wklep komendę chkdsk /f /r i ENTER, na pytanie o dezinstalację woluminu odpowiedz twierdząco z klawiatury i zresetuj system. Podczas restartu powinno się wykonać sprawdzanie dysku.

 

Start > Uruchom > eventvwr.msc, w sekcji Aplikacja wyszukaj zdarzenie Winlogon numer 1001, pobierz jego Szczegóły, skopiuj je i wklej do posta.

[Corsodyl]

Przepraszam, nie było moim zamiarem ponaglanie Pani czy zmuszanie do zajęcia się akurat moim tematem. Doskonale wiem i widzę, że ma Pani duże zainteresowanie i natłok spraw. Wystarczyłaby mi tylko informacja, że sprawa jest jeszcze nie do końca zrobiona, ale w tej chwili ma Pani np. zbyt dużo rozpoczętych spraw albo jest Pani zajęta czymś innym. Czekałbym wtedy dalej cierpliwie, a tak mam teraz wyrzuty sumienia

 

1. Nie znalazłem w folderze C:\Documents and Settings\GRAŻKA ani "Dane aplikacji", ani "Ustawienia lokalne". Znajdowały się one w C:\Documents and Settings\GRAZYNA, ale nie było w nich "Mozilla", ani "Google"

 

2. DelFix zastosowany: DelFix.txt

 

3. Szczegóły zdarzenia: winlogon.txt

[picasso]

Nie znalazłem w folderze C:\Documents and Settings\GRAŻKA ani "Dane aplikacji", ani "Ustawienia lokalne". Znajdowały się one w C:\Documents and Settings\GRAZYNA, ale nie było w nich "Mozilla", ani "Google"

Na pewno są, to ukryte foldery. W Mój komputer > Narzędzia > Opcje folderów > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. A folder GRAZYNA to nieczynny odpadek niepowiązany z żadnym kontem.

 

 

Wyniki checkdisk pochodzą z innego dysku, czyli F (a nie systemowego C: na którym jest problem):

 

Sprawdzanie systemu plików na F:

Typ systemu plików to FAT32.
 

==================== Drives ================================
 

Drive c: (VOBIS) (Fixed) (Total:37.27 GB) (Free:5.65 GB) NTFS ==>[Drive with boot components (Windows XP)]

Drive f: (My Passport) (Fixed) (Total:298.01 GB) (Free:40.13 GB) FAT32

 

Zdarzenie Winlogon pochodzi z 6 stycznia, skan zadałam dziś, więc to nie ten rekord. Szukaj kolejnego w Dzienniku, o ile zrobiłeś sprawdzanie dysku.

 

 

PS. A plik C:\Delfix.txt do kasacji.

[Corsodyl]

Faktycznie, foldery były ukryte. Obydwa przez Panią wskazane usunąłem.

 

Pomimo, że za pierwszym razem na pytanie o dezinstalację woluminu odpowiedziałem twierdząco, komputer po restarcie nie sprawdził dysku. Drugi raz powtórzyłem czynność i się udało - właśnie trwa sprawdzanie dysku. Zatrzymał się właśnie na 4 poziomie. Wykonał 14%. Ale idzie to baaardzo wolno. Obawiam się, że tak szybko tego nie skończy... 

[Corsodyl]

Zamieszczam winlogon, o który Pani prosiła: winlogon#2.txt

[picasso]

"System Windows wprowadzil poprawki do systemu plików" + "0 KB w uszkodzonych sektorach". Sądzę, że na tym możemy już poprzestać i temat jest ukończony.

[Corsodyl]

Sądzę, że na tym możemy już poprzestać i temat jest ukończony.

Tak więc wnioskuje, że można zainstalować już np. inną przeglądarkę...

 

W takim razie dziękuję bardzo za pomoc

[picasso]

Tak. Instalacja skoryguje również ustawienia domyślnej przeglądarki, gdyż ostatnie logi pokazywały ustawione na każdym z kont osobna nieistniejące już przeglądarki Google Chrome i Opera jako domyślne.

 

Temat rozwiązany. Zamykam.