Błędy systemowe

[kwidzi]

Witajcie. Dostałem polecenie założenie tematu tutaj z innego forum. Więc mój problem polega na tym że sypie mi się system. Nie mogę zainstalować większości programów, przeglądarki działają niestabilnie. Nie mogę zaaktualizować firefoxa, jego dodatków czy rozszerzeń. W załączniku log OTL. Proszę o pomoc.

 

Dodam jeszcze że większość plików które ściągam przez przeglądarke jest nieprawidłowe. Przed momentem ściągnąłem archiwum zip i jest nieprawidłowe.

OTL.Txt

[Zappa]

Wstaw raporty z FRST

 

https://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/

[kwidzi]

Właśnie problem w tym że nie mogę uruchomić aplikacji. Pojawia się błąd 'FRST64.exe nie jest prawidłową aplikacją systemu Win32.

[Zappa]

Według OTL masz system 64bit. Spróbuj odpalic FRST w trybie awaryjnym, zakładam że pobierałeś wersje 64bit?

[picasso]

Właśnie problem w tym że nie mogę uruchomić aplikacji. Pojawia się błąd 'FRST64.exe nie jest prawidłową aplikacją systemu Win32.

Program nie został poprawnie pobrany, plik jest uszkodzony. Należy pobrać ponownie. Ale zanim to zrobisz, przygotuj grunt:

 

- Odinstaluj wątpliwy YAC (Yet Another Cleaner) - to jest podejrzany program i może tworzyć problemy. Temat z forum: KLIK. Deinstalacja szkodnika YAC już może pomóc usprawnić system.

- Odinstaluj przestarzały Spybot - Search & Destroy 2.

- Wyłącz osłony Avast. Heurystyka Avast obecnie uniemożliwia pobranie FRST (klasyfikuje jako "malware" i blokuje ściąganie).

[kwidzi]

Usunąłem YAC, wyłączyłem Avasta i muszę przyznać że FRST udał się uruchomić. W załączniku logi.

FRST.txt

[picasso]

Do usunięcia jeszcze przestarzały Spybot - Search & Destroy 2. Następnie wróć do instrukcji tworzenia raportów i dostarcz komplet logów. FRST tworzy trzy logi.

[kwidzi]

Zrobione.

 

Muszę przyznać że odinstalowanie tego YAC i ponowne uruchomienie komputera pomogło. Błędy które pojawiały się w działaniu przeglądarek zniknęły.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Jeśli nikt jeszcze nie odpisał, a chcesz uzupełnić post, stosuj opcję Edytuj. Posty skleiłam. Proszę trzymaj się konfiguracji FRST opisanej w przyklejonym - opcje "Drivers MD5" i "List BCD" nie miały być zaznaczone.

 

 

Muszę przyznać że odinstalowanie tego YAC i ponowne uruchomienie komputera pomogło. Błędy które pojawiały się w działaniu przeglądarek zniknęły.

Deinstalacja YAC pomogła, ale tu jeszcze są roboty do przeprowadzenia. Deinstalując Spybota nie skonfigurowałeś go, by odwrócił modyfikację pliku HOSTS (archaiczna metoda zabezpieczeń). Obecnie plik parsuje kilka tysięcy wpisów. To nie jest zdrowe i obciąża usługę Klient DNS. W krytycznym przypadku może prowadzić do gorszych efektów, jak zawieszenie aplikacji i całego systemu. Przykład: KLIK.

Jest notowane także naruszenie WMI systemowego:

 

==================== Restore Points =========================
 

Check "winmgmt" service or repair WMI.

 

Wstępnie do korekty HOSTS, WMI, stare aplikacje i śmieci (puste wpisy i Tempy):

 

1. Odinstaluj starocie: Adobe Flash Player 11 ActiveX, Adobe Flash Player 15 Plugin, Java™ 6 Update 31, Microsoft Silverlight, OpenOffice.org 3.3. Na razie nic nowego nie instaluj, to na końcu.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
"DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204"
"ObjectName"="localSystem"
"ErrorControl"=dword:00000000
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"ServiceSidType"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:


Task: {02342BA8-1F97-4486-B73F-CCCFB6EAB614} - System32\Tasks\{A3ADDE34-A69A-443E-868B-1157B8650D50} => C:\Program Files (x86)\uTorrent\uTorrent.exe

Task: {08CA7C71-9203-4DB5-B98F-744DE3664F9F} - System32\Tasks\{49AB9473-0DA4-4438-A335-938FB4E6277D} => pcalua.exe -a F:\Setup.exe -d F:\

Task: {0E647A55-E4D5-4428-A945-48A43E1B6394} - System32\Tasks\{4F99C9D9-7C34-4232-A9D7-7504419865E6} => C:\Program Files (x86)\Ubisoft\Gearbox Software\BrothersInArms\System\bia.exe

Task: {11199485-6F04-44C8-9F2F-E78B46F26D3E} - System32\Tasks\{D3CE1147-71A8-4872-8D83-3E4C1F5876E3} => Firefox.exe http://ui.skype.com/ui/0/6.14.0.104/pl/go/help.faq.installer?LastError=1603

Task: {191A5B15-3DCE-4D94-8996-4DFA13C2B2C3} - \Microsoft\a3d90235e1136671ab1195c6078184ff No Task File 

Task: {1EFE367F-B190-4C82-A94C-CF5637158907} - System32\Tasks\{F1FF7067-69CC-49D9-BEB0-5358CA94C3A1} => pcalua.exe -a C:\Users\samuel\Desktop\WDM_R256.exe -d C:\Users\samuel\Desktop

Task: {21D3EF7E-4F67-4C5E-A56F-35CB707134F1} - System32\Tasks\{2D4353D4-60E6-439C-AD19-76A6547FF299} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe

Task: {2457ABC6-EB07-48E9-9EBF-3E0C9260F1CD} - System32\Tasks\{C665546C-DF02-4E92-BEB6-813D16334E3D} => pcalua.exe -a "C:\Users\samuel\Downloads\Foxit PDF Editor(1).exe" -d "C:\Program Files (x86)\Mozilla Firefox"

Task: {24E3E8C9-E9FB-4097-9091-4BD30CEB0514} - System32\Tasks\{5B6E5AFA-B9AD-4D55-AFC7-BE56532FF56F} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe

Task: {3D5F7AD1-F88B-4BB7-877B-E3ECF6233414} - System32\Tasks\{313A6ECC-109E-4AE3-B793-A18CCEF0DD85} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe

Task: {5764AD4A-0586-4F21-8EC0-841BC49FEC17} - System32\Tasks\{E7BD2750-ACB0-4066-AC6C-48FBB50F1DC7} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2sp_s.exe

Task: {57A75B0B-C7A9-4F11-A5B8-BA54D58A9898} - System32\Tasks\{AF56E460-FF57-4969-8597-8794D4D515E6} => pcalua.exe -a F:\autorun.exe -d F:\

Task: {81BECB83-7570-4718-B024-FBC5071E87AF} - System32\Tasks\{FF881A25-8E88-4169-BFC2-EE27CC6DEB25} => pcalua.exe -a C:\Users\samuel\Downloads\LCVA_PCDrv_US_1_11_02.exe -d "C:\Program Files (x86)\Mozilla Firefox"

Task: {8A61FF7C-D949-47FC-9172-A46415DFE2F2} - System32\Tasks\{C22A0D16-2044-40D4-AF92-23EF5EA1BB51} => C:\Program Files (x86)\Team17\Worms Armageddon\WA.exe

Task: {976C87CF-DF58-4847-8AA2-7E8173A83929} - System32\Tasks\{28417D02-EBFD-41EA-B0E8-0B5F8F1ADA8D} => pcalua.exe -a C:\Users\samuel\Desktop\xampp-win32-1.7.4-VC6-installer.exe -d C:\Users\samuel\Desktop

Task: {A7DC78F7-0BE7-447E-A160-5BFFD1B4AF78} - System32\Tasks\{07D26930-5FD6-4823-A585-C3859560237B} => pcalua.exe -a C:\Users\samuel\Desktop\hookanalyzer.exe -d C:\Users\samuel\Desktop

Task: {AB0F3DE5-A4C1-49B5-8F64-95830E4364DC} - System32\Tasks\{B82254B4-0D89-4F34-85B2-0DC1E9C3737A} => pcalua.exe -a C:\Users\samuel\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=amt

Task: {B09C147F-D510-4D7E-8A93-619213A2A2BE} - \QtraxPlayer No Task File 

Task: {BB001966-9469-4BB0-B351-4F2773E57A57} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask No Task File 

Task: {CABC753A-19C2-4EDA-9A57-B18F2C040742} - System32\Tasks\{27C34344-F5D7-4B1C-947A-76C691E7525C} => pcalua.exe -a C:\Users\samuel\Downloads\xampp-win32-1.7.4-VC6-installer.exe -d C:\Users\samuel\Downloads

Task: {D71E0FAD-2E0B-4329-B1FE-193666669EB8} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline No Task File 

Task: {D810D586-B7EB-4647-9342-2614B6B70338} - System32\Tasks\Games\UpdateCheck_S-1-5-21-1222532900-2107887203-1818822403-1001

Task: {D93856B1-BDAC-4B9D-B078-75CD068192D7} - System32\Tasks\{5872F498-6809-4661-B77B-EEC5C706781C} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe

Task: {E5903908-6724-42EE-9EE0-FEDF24A7D0ED} - System32\Tasks\{48918098-EC4C-41E7-B2C3-C8452722B4C3} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe

Task: {EA834288-635E-4327-9996-A60CBE2D5546} - System32\Tasks\{B926C8C1-52B1-480A-A448-7612E5C2B4A6} => msiexec.exe /package "C:\Users\samuel\Downloads\eav_nt64_plk.msi"

Task: {EB9AAAD2-475F-46BA-BA85-B5DAFAC98A22} - System32\Tasks\{F85E9ECB-762F-48CD-8E26-BF2E147CB6BF} => C:\Program Files (x86)\uTorrent\uTorrent.exe

Task: {F59D6180-9127-4189-B324-66E77FD61BE2} - System32\Tasks\{38B14F9A-AD01-400F-ADA8-1B21C4F47B85} => C:\Program Files (x86)\Team17\Worms Armageddon\WA.exe

HKU\S-1-5-21-1222532900-2107887203-1818822403-1001\...\Run: [HW_OPENEYE_OUC_PLAY ONLINE] => C:\Program Files (x86)\PLAY ONLINE\UpdateDog\ouc.exe [110592 2009-04-14] (Huawei Technologies Co., Ltd.)

BootExecute: autocheck autochk * sdnclean64.exe

S3 dgderdrv; System32\drivers\dgderdrv.sys [X]

S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]

S3 VGPU; System32\drivers\rdvgkmd.sys [X]

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =

HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =

FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\npctrl.dll No File

FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird

CHR HKLM-x32\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\Users\samuel\AppData\Local\Temp\crx8C1D.tmp [Not Found]

CHR HKLM-x32\...\Chrome\Extension: [hidjnkeodmholilgafgdlgmgggbhnigl] - C:\Users\samuel\AppData\Roaming\SimilarSites\similarsites.crx [Not Found]

C:\Program Files (x86)\Spybot - Search & Destroy 2

C:\ProgramData\APN

C:\ProgramData\Spybot - Search & Destroy

C:\Users\admin\AppData\Roaming\Elex-tech

C:\Users\admin\Desktop\install_flashplayer16x32_mssd_aaa_aih.exe

C:\Users\admin\Downloads\jxpiinstall.exe

C:\Users\samuel\AppData\Local\{1DD15D88-7754-4AD0-A18C-27393E714A3B}

C:\Users\samuel\AppData\Local\Google\Chrome\User Data\Default\Preferences

C:\Users\samuel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci (2).lnk

C:\Users\samuel\Downloads\spybot-2.4.exe

C:\Windows\pss\fabulous_08150939.lnk.Startup

C:\Windows\system32\Drivers\etc\hosts.*.backup

Hosts:

Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f

Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\fabulous_08150939 /f

Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc" /f

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\FirebirdGuardianDefaultInstance" /f

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\FirebirdServerDefaultInstance" /f

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\OMSI download service" /f

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^samuel^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^fabulous_08150939.lnk" /f

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fabulous_08150939" /f

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f

Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

CMD: sc config FoxitCloudUpdateService start= demand

CMD: sc config WinDefend start= demand

EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

 

5. W Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

6. Zrób nowy log FRST z opcji Scan, zaznacz ponowie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Poza tym, tu było coś kombinowane, są ślady uruchamiania jakiegoś skryptu do OTL - proszę mi podać link do tematu na tym innym forum oraz log z folderu C:\_OTL (by log wszedł w załącznik, należy mu zmienić nazwę z *.LOG na *.TXT).

[kwidzi]

Wygląda na to że już wszystko działa poprawnie. Chrome odinstalowałem a Firefox nareszcie poprawnie wyświetla google. W załączniku logi.

Addition.txt

FRST.txt

Fixlog.txt

[picasso]

Nie chodziło mi o log OTL (usuwam), tylko log z wynikami skryptu OTL z folderu C:\_OTL. Co było robione już jednak wiem z tematu na innym forum. Uwaga co do tego co próbowano robić wcześniej:

 

 

 

Ten skrypt OTL i tak się nie wykonał w części adresującej aktywne komponenty YAC, tylko nie został podany log wynikowy to dowodujący. Na przyszłość: nie próbować przetwarzać czynnych komponentów i sterowników kernel od YAC w skryptach, podczas gdy jest on w pełni zainstalowany. To nie jest poprawna metoda (nawet gdyby się wykonała, pozostają śmieci w rejestrze nie objęte po prostu widocznością logów), a sterowniki stawiają opór. YAC należy po prostu odinstalować. Dopiero gdy nie jest to możliwe, należy podjąć bardziej agresywne kroki w środowisku, w którym sterowniki się nie uruchamiają (Tryb awaryjny) lub zastosować w pierwszej kolejności komendy DisableService: + reboot.

 

 

 

Wracając tu do tematu:

 

1. Mówiłam, by na razie tylko odinstalować stare wersje Adobe i Java, nie instalować jeszcze nowych. Pośpieszyłeś się, a poprzednie zadanie nie zostało wykonane do końca. Na liście zainstalowanych widać nadal starą niebezpieczną wersję Java™ 6 Update 31. To do deinstalacji.

 

2. Google Chrome wprawdzie odinstalowany, ale i tak niekompletnie (pozostał ukryty aktualizator oraz cały profil na dysku). Pod tym kątem + inne drobnostki:

 

----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście Google Update Helper > Dalej.

 

----> Otwórz Notatnik i wklej w nim:

 

C:\Program Files (x86)\Google
C:\Users\samuel\AppData\Local\Google
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

3. Nadal jest notowane uszkodzenie WMI. Czy na pewno importowałeś plik FIX.REG? Nie widzę śladów w logu, byś nawet zapisywał ten plik.

 

==================== Restore Points =========================
 

Check "winmgmt" service or repair WMI.

[kwidzi]

Plik fix.reg oczywiście został zaimportowany wcześniej. W załączniku Fixlog.

Fixlog.txt