Wyskakujące okno Explorer.EXE prosi o pozwolenie

[TOMEK94]

Witam. 

Borykam się z problemem, którego rozwiązania nie potrafię znaleźć. Mianowicie chodzi o wyskakujące okno explorer.EXE prosi o pozwolenie. Pojawia się ono za każdym razem gdy chcę odinstalować jakiś program, zainstalować aktualizację bądź wykonać jakąkolwiek zmianę w systemie. Wygląda to tak. 

http://imgur.com/T46nkSY

 

Problem z tym oknem może mieć coś wspólnego z programem Sunrise Seven. Okno zaczęło pojawiać się po instalacji programu i zmiany w widoku ikony skrótu na pulpicie (brak strzałki). 

 

Poniżej załączam wszystkie wymagane logi. 

Addition.txt FRST.txt GMER.txt Shortcut.txt

 

Pozdrawiam.

[picasso]

Mianowicie chodzi o wyskakujące okno explorer.EXE prosi o pozwolenie. Pojawia się ono za każdym razem gdy chcę odinstalować jakiś program, zainstalować aktualizację bądź wykonać jakąkolwiek zmianę w systemie.

(...)

Problem z tym oknem może mieć coś wspólnego z programem Sunrise Seven. Okno zaczęło pojawiać się po instalacji programu i zmiany w widoku ikony skrótu na pulpicie (brak strzałki).

Jeśli chodzi o modyfikację strzałek skrótów, to jest omawiane w tym temacie: KLIK. W owym momencie sprawdzany przeze mnie Sunrise, choć w ogóle tu nie polecany, tworzył poprawną edycję. I nie tu leży problem, gdyż:

 

Popatrz dokładnie na obrazek, on mówi co jest nie tak: explorer.exe = Wydawca: Nieznany. Wygląda na to, że posunąłeś się w Sunrise Seven znacznie dalej i użyłeś prawdopodobnie funkcji wymiany przycisku Start, co edytuje plik explorer.exe. Plik utracił sygnaturę cyfrową producenta. Mówi o tym zarówno zrzut ekranu, jak i log z FRST:

 

==================== Bamital & volsnap Check =================
 

C:\Windows\explorer.exe

[2010-11-21 04:24] - [2013-09-22 10:45] - 2872320 ____A (Microsoft Corporation) A6104413A0E1276878ABFFB3D6B10A12

 

Przywróć oryginalny sygnowany plik. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER:

 

sfc /scanfile=C:\Windows\explorer.exe

 

Jeśli komunikat potwierdzi przywrócenie oryginału, zresetuj system i przetestuj czy nadal są problemy.

 

 

PS. Do usunięcia czynny sterownik adware, "downloadery" portalowe oraz puste wpisy. W spoilerze instrukcja. I przeczytaj czego unikać: KLIK.

 

 

 

Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {df8eec40-f909-439c-9ffe-3fee212f71b9}Gw64; C:\Windows\System32\drivers\{df8eec40-f909-439c-9ffe-3fee212f71b9}Gw64.sys [48784 2015-01-31] (StdLib)
S3 cpuz135; \??\C:\Users\TOMEK\AppData\Local\Temp\cpuz135\cpuz135_x64.sys [X]
S3 cpuz137; \??\C:\Users\TOMEK\AppData\Local\Temp\cpuz137\cpuz137_x64.sys [X]
S3 massfilter_lte; \??\C:\Windows\system32\drivers\massfilter_lte.sys [X]
S3 zgdcat; system32\DRIVERS\zgdcat.sys [X]
S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X]
S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X]
S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X]
S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X]
Task: {026E78E7-9DA1-4A23-A579-020D063F2F95} - System32\Tasks\{4090094B-6816-4529-8CF0-6C02EB7EF5A6} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.7.0.102&LastError=12007
Task: {DEDC2598-68D7-455F-849B-4E9568EBB242} - System32\Tasks\MaxigetMasterUpdate => C:\Users\TOMEK\AppData\Roaming\Maxiget\Master\Updater\MasterUpdater.exe
Task: {E54CABF9-7E91-4514-894A-29C99411F63E} - System32\Tasks\{9B3FD89C-60F0-4D61-A57A-42AF752DAB4B} => pcalua.exe -a "C:\Program Files\AVAST Software\Avast\aswRunDll.exe" -c "C:\Program Files\AVAST Software\Avast\Setup\setiface.dll" RunSetup
Task: {F438F9BA-6849-4E55-A9C6-E76FBF22E744} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe
Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS\AutoKMS.exe
HKU\S-1-5-21-3718346503-4284574425-1885734499-1000\...\Run: [MaxigetMasterUpdate] => "C:\Users\TOMEK\AppData\Roaming\Maxiget\Master\Updater\MasterUpdater.exe" -autorun
HKU\S-1-5-21-3718346503-4284574425-1885734499-1000\...\MountPoints2: {3512a6f5-1df3-11e3-8d94-a41731b7b037} - H:\AutoRun.exe /s
HKU\S-1-5-21-3718346503-4284574425-1885734499-1000\Software\Classes\exefile: 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
C:\Program Files (x86)\ESET
C:\Program Files (x86)\MaxiGet Software Manager
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\Opera
C:\ProgramData\Mozilla
C:\Users\TOMEK\AppData\Local\Mozilla
C:\Users\TOMEK\AppData\Local\Opera Software
C:\Users\TOMEK\AppData\Roaming\Easeware
C:\Users\TOMEK\AppData\Roaming\Mozilla
C:\Users\TOMEK\AppData\Roaming\Opera Software
C:\Users\TOMEK\Downloads\*(*)-dp*.exe
C:\Users\TOMEK\Downloads\keywordrequest__11424_il1389021.exe
C:\Users\TOMEK\Downloads\Tasker 4.110.exe
C:\Users\TOMEK\Downloads\Tasker 4.110 [1].exe
C:\Windows\System32\drivers\{df8eec40-f909-439c-9ffe-3fee212f71b9}Gw64.sys
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedtaw ten plik.