Markiz Opublikowano 5 Lipca 2015 Zgłoś Udostępnij Opublikowano 5 Lipca 2015 Witam.Od czasu infekcji trojanem Sirefef.0 minęły 3 lata już - temat https://www.fixitpc.pl/topic/5798-trojan-win32sirefefo/i jednak nie zrobiłem reinstalacji Windows po prostu z braku czasu i tego, że komputer pracuje stabilnie.Jednak doskwiera mi brak możliwości instalowania aktualizacji.Spróbujemy powalczyć czy też raczej się poddać i nie wracać do tematu?Pozdrawiam Addition.txt FRST.txt FSS.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2015 Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Od czasu Twojego tematu już dawno rozpracowałam o co chodzi z błędem 80096001 (TRUST_E_SYSTEM_ERROR) jako konsekwencją ingerencji tej starej wersji ZeroAccess. Generują go uszkodzone przez ZeroAccess uprawnienia w obrębie katalogu: C:\Windows\System32\config\systemprofile\AppData. Problem Windows Update jest notowany w Process Monitor w taki oto sposób: 19:38:55,9588240 svchost.exe 984 CreateFile C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates ACCESS DENIED Desired Access: Read Data/List Directory, Synchronize, Disposition: Open, Options: Directory, Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a Żaden z podanych tu logów nie wykrywa tego rodzaju usterki. Dane należy pobrać ręcznie: Otwórz Notatnik i wklej w nim: ListPermissions: C:\Windows\System32\config\systemprofile\AppData ListPermissions: C:\Windows\System32\config\systemprofile\AppData\Local ListPermissions: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft ListPermissions: C:\Windows\System32\config\systemprofile\AppData\LocalLow ListPermissions: C:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft ListPermissions: C:\Windows\System32\config\systemprofile\AppData\Roaming ListPermissions: C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft Folder: C:\Windows\System32\config\systemprofile\AppData Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. PS. A potem zajmę się innymi śmieciami widocznymi w raportach. Odnośnik do komentarza
Markiz Opublikowano 13 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Witaj. Plik w załączniku. A przy okazji - nie mogę utworzyć skrótu w żadnym folderze ani na Pulpicie - po prostu po kliknięciu PPM i wybraniu Nowy i Skrót nic się nie dzieje. Natomiast jeżeli wyedytuję istniejący już skrót i pozmieniam w nim dane to jest ok. I druga rzecz - nie pokazują się dymki z informacjami o pliku po ustawieniu na nim kursora a w pasku folderu na dole zamiast szczegółowych danych o wielkości pliku czy długości i wielkości filmu pokazuje się tylko "Wybrano jeden element". Pozdrawiam Fixlog.txt Odnośnik do komentarza
marcin878787 Opublikowano 14 Lipca 2015 Zgłoś Udostępnij Opublikowano 14 Lipca 2015 Picasso możesz odpowiedzieć skąd uzyskałaś informacje o błędzie "80096001 (TRUST_E_SYSTEM_ERROR)"? Szukałem informacji o nim na google i nie znalazłem jednoznacznej odpowiedzi. Odnośnik do komentarza
Rucek Opublikowano 14 Lipca 2015 Zgłoś Udostępnij Opublikowano 14 Lipca 2015 Od czasu Twojego tematu już dawno rozpracowałam o co chodzi z błędem 80096001 (TRUST_E_SYSTEM_ERROR) Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2015 Zgłoś Udostępnij Opublikowano 15 Lipca 2015 marcin878787 Rozwiązanie powstało tu na forum. Kilka lat temu były tu tematy z tym problemem i na skutek diagnostyki Process Monitor został wyłuskany klucz. Wszystkie późniejsze tematy niż Markiza z tymi uszkodzeniami po ZeroAccess zostały tu rozwiązane. Markiz Uprawnienia są uszkodzone conajmniej w kilku miejscach: "C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft" -> Getting permissions failed. Access Denied. "C:\Windows\System32\config\systemprofile\AppData\LocalLow" -> Getting permissions failed. Access Denied. =================================== permissions of "C:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft": Owner: BUILTIN\Administrators DACL(AI): {EMPTY} =================================== "C:\Windows\System32\config\systemprofile\AppData\Roaming" -> Getting permissions failed. Access Denied. "C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft" -> Getting permissions failed. File/Folder not found. Od razu też będę likwidować inne śmieci widziane w raportach FRST, w tym odpadki źle odinstalowanych aplikacji. Druga sprawa: układ zainstalowanych programów wygląda podejrzanie - brak na liście zainstalowanych wielu programów, które najwyraźniej są obecne na dysku i nie są to wersje "portable" (powinny mieć wejścia Uninstall). W kwestii niektórych aplikacji są też duże wątpliwości, np. w ogóle nie widzę Acronisa jako zainstalowanego, a w tle uruchamia się jego usługa (możliwe że są też sterowniki, tylko filtrowane przez FRST). Pozostałymi zgłoszonymi problemami zajmę się potem. Akcja wstępna: 1. W systemie są czynne sterowniki po niepoprawnie odinstalowanym ESET. Zastosuj narzędzie ESET Uninstaller - narzędzie musi być uruchomione z poziomu Trybu awaryjnego Windows. 2. Opuść Tryb awaryjny. Przeglądarka Google Chrome występuje w wersji "development" i prawdopodobnie to adware ją przekonwertowało, gdyż są też polityki Google (normalnie w systemie takich brak). Zresetuj synchronizację (o ile włączona): KLIK. Następnie odinstaluj przeglądarkę, przy deinstalacji zaznacz Usuń także dane przeglądarki. 3. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Winsock: Catalog5 01 C:\Windows\system32\mswsock.dll [232448 2011-02-23] (Microsoft Corporation) ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Task: {0A36378C-E030-4334-838F-D5BAF7F3B146} - \RealPlayerRealUpgradeScheduledTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {0E3C05D5-F338-4764-8F8C-75E563E28F97} - \{DDA28B75-1A94-4722-851A-08F006AC722E} No Task File Task: {11EE491C-ACD3-4466-BFC3-9C2961AB8A04} - \Update Service YourFileDownloader No Task File Task: {1439D69F-3B1F-43FC-BADB-B0F78F5A1538} - \RealDownloaderRealUpgradeLogonTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {1CD9CC3F-A321-4D47-B2C1-C0A9E3575252} - \{51FAF599-CCB5-4008-AC8D-7C04486ED45B} No Task File Task: {1E059657-4A8C-4AB1-AC01-7BA51C591431} - \IHUninstallTrackingTASK No Task File Task: {22F320F1-3ACC-4D4F-99A2-EC577DAB55B7} - \{39081E02-A958-4838-8930-A56290DE5A0B} No Task File Task: {2314A513-769C-4FD8-AB32-7F18235845CE} - \Driver Booster SkipUAC (Włodek) No Task File Task: {2FC1444D-A4F6-447C-B240-61253D34CF80} - \RealDownloaderRealUpgradeScheduledTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {346BF516-45C6-4A40-A741-C0E98A3B1257} - \GoogleUpdateTaskUserS-1-5-21-287265340-2162033715-3200400593-1001Core No Task File Task: {422ACBCF-AF3B-4E6C-8A7F-1F67A3E5F4D5} - \GoogleUpdateTaskMachineUA1cff08013b0803d No Task File Task: {4466524B-F383-4A35-9EB5-943C46E74AA1} - \Java Update Scheduler No Task File Task: {4F6EF71A-9CFA-4E7D-AFE6-762B742A43D2} - \Czyszczenie dysku No Task File Task: {50C7F83F-0603-4F4C-BD58-66D3DE0439DA} - \{2018CBF5-F285-41A0-ACC5-F03804DA4901} No Task File Task: {532A66D4-D0D0-423F-B13A-6923AD55DF79} - \{69A0E8F2-2F0B-40C2-80D5-4B5D20D23BE3} No Task File Task: {54DD2F75-E525-42A9-B48A-B82C48491945} - \{27183F03-F422-4258-AB26-70FB870685DC} No Task File Task: {56D8A254-7496-4012-9688-20DED08A4E45} - \GoogleUpdateTaskUserS-1-5-21-287265340-2162033715-3200400593-1001UA1cf6bb4a4e102af No Task File Task: {57A03158-59F1-4B92-8CBF-CE56FBAA1B49} - \RealUpgradeLogonTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {5D077313-58DC-4EB7-A5E4-48AE18121DC8} - \LuckyTab No Task File Task: {5FDB5732-6EC5-42B6-ABF9-C217C3A7F8DC} - \{B57B6D90-E4F0-47E5-8598-3B31C52DD49B} No Task File Task: {621084AB-0B5E-4244-9AED-72223A0CB676} - \{49396C17-83DE-42BF-BDD6-48F57F658EBD} No Task File Task: {66D17CCD-7611-4BDF-9B6F-1165C6B0CEAB} - \{104C05D8-8A0E-45CD-882A-34EFE0CA2F95} No Task File Task: {6871EF3B-CA32-4592-BBEE-5E0D8A037C40} - \{94C356A5-9E6A-4D7D-BAF6-B2B7A031AF1A} No Task File Task: {784D5DF4-2F27-461A-BC1C-2B6361E1453E} - \{55DD3151-0A90-4515-B51F-08CF09501E35} No Task File Task: {79869914-905D-4361-A4F5-D4D6AC98E883} - \GoogleUpdateTaskMachineUA1cf4b86568f057d No Task File Task: {7F33F1D1-DAD5-4E12-82B5-5C578585BB7D} - \{A253B073-536B-483D-8B37-9BE1372613D2} No Task File Task: {89D8349A-B399-4BF7-823B-6FE48AC7D332} - \{D5F027D9-B068-400F-8D27-97B091679729} No Task File Task: {8A0590FD-8DBA-408B-8C10-89BFB1F35A8E} - \{F7E633FF-9C35-4E9B-821D-C66E729A74D1} No Task File Task: {92D982E2-96E5-4F2F-89A6-B04FCB13024C} - \{75A83929-ADF6-46B0-8E48-329A3869F0CC} No Task File Task: {97F4616C-5E0F-495C-A95C-61EC2F6851AA} - \SidebarExecute No Task File Task: {9CC77333-A6C6-4DE3-8551-62CEB5B55255} - \RealPlayerRealUpgradeLogonTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {A5AD95F1-8262-4F3B-A4F9-D7AC96A5FC24} - \{DADA96E0-C9B8-480B-BB1A-A881039DD469} No Task File Task: {ABA40052-725D-4F60-8F2A-A55B2743D7B9} - \RealDownloaderDownloaderScheduledTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {AFC1D271-4D7C-45D8-B6D0-D38E7EFE80BB} - \Program aktualizacji online produktu Real Player. No Task File Task: {CB2785DB-FAFC-47E4-9044-9A7986E66482} - \{E4D5261F-BA1D-4E38-B62C-15F0D5476E6C} No Task File Task: {CBE2F9FF-59E5-41A0-9092-15B7331A587C} - \{5BCB4CC6-D71A-46EF-A9AA-9A0129F8F699} No Task File Task: {D485911B-EF3E-49F4-818E-1FC6E809AED3} - \User_Feed_Synchronization-{7FED5C06-C862-466E-906A-571B236BA1E1} No Task File Task: {D9CE7519-7D66-4354-BF43-5F6BA90EC9BC} - \GlaryUpdate No Task File Task: {DAC0EEB8-C5C4-45BE-B97D-633E79F7D4F7} - \GoogleUpdateTaskMachineCore No Task File Task: {E390EF55-34BE-4227-B073-40424E9FA63B} - \{DBC1F9B0-19EA-4AFD-BB92-64D42370DB8F} No Task File Task: {E9566D84-0832-4756-AE84-54D16F24E0DD} - \{FCF5B68F-8115-4DD9-9DE7-716973A23C6C} No Task File Task: {EAD7FB03-99F2-4966-BCE1-13956E55B8D4} - \GlaryInitialize No Task File Task: {EC8112B8-0604-46AE-9EA0-CFFF2B120F36} - \RealUpgradeScheduledTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {EC8A1876-EA63-45A8-BB07-4472993091D8} - \{0F1147D8-58B7-42E2-B549-A882FD45B900} No Task File Task: {F0D691ED-5F2C-4294-95CB-F8E96058D347} - \{36DE1835-4A42-4861-B4A4-FF3D4B433110} No Task File Task: {F0F5DABD-12F1-4511-BC1D-8B71BE285458} - \{164A9143-7427-44D8-BFDF-3251712C8A1E} No Task File Task: {F92F5CF6-8844-4ABB-8C73-28F6EBEF60D7} - \Program aktualizacji online firmy Adobe. No Task File Task: C:\Windows\Tasks\GlaryInitialize.job => C:\Program Files\Glary Utilities\initialize.exe Task: C:\Windows\Tasks\GlaryUpdate.job => C:\Program Files\Glary Utilities\webupdate.exe DisableService: UleadBurningHelper R1 Avgdiskx; C:\Windows\System32\DRIVERS\avgdiskx.sys [120120 2013-08-01] (AVG Technologies CZ, s.r.o.) S3 hamachi; C:\Windows\System32\DRIVERS\hamachi.sys [26176 2009-03-18] (LogMeIn, Inc.) S3 cpuz134; \??\C:\TEMP\cpuz134\cpuz134_x32.sys [X] S4 LMIRfsClientNP; No ImagePath S3 NLNdisMP; system32\DRIVERS\nlndis.sys [X] S3 NLNdisPT; system32\DRIVERS\nlndis.sys [X] S3 Pcouffin; System32\Drivers\Pcouffin.sys [X] S3 wanatw; system32\DRIVERS\wanatw4.sys [X] S3 WFSONORA; system32\drivers\wfsonora.sys [X] FF DefaultSearchEngine,S: WebSearch FF DefaultSearchUrl: hxxp://websearch.searchfix.info/?unqvl=63&idate=2014/11/19&l=1&q= FF SearchEngineOrder.1: WebSearch FF SearchEngineOrder.1,S: WebSearch FF SelectedSearchEngine: Allegro FF SelectedSearchEngine,S: WebSearch FF Keyword.URL: hxxp://websearch.searchfix.info/?unqvl=63&idate=2014/11/19&l=1&q= FF Plugin: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1214154.dll [2014-11-07] (Adobe Systems, Inc.) CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-287265340-2162033715-3200400593-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchfix.info/?unqvl=63&idate=2014/11/19 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-287265340-2162033715-3200400593-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com SearchScopes: HKLM -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchfix.info/?unqvl=63&idate=2014/11/19&l=1&q={searchTerms} SearchScopes: HKLM -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchfix.info/?unqvl=63&idate=2014/11/19&l=1&q={searchTerms} SearchScopes: HKU\S-1-5-21-287265340-2162033715-3200400593-1001 -> {46622C9B-B6D3-4f77-9CFA-5762BC9A722F} URL = http://home.speedbit.com/search.aspx?aff=206&q={searchTerms} SearchScopes: HKU\S-1-5-21-287265340-2162033715-3200400593-1001 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchfix.info/?unqvl=63&idate=2014/11/19&l=1&q={searchTerms} Toolbar: HKU\S-1-5-21-287265340-2162033715-3200400593-1005 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No File CustomCLSID: HKU\S-1-5-21-287265340-2162033715-3200400593-1001_Classes\CLSID\{39125640-8D80-11DC-A2FE-C5C455D89593}\InprocServer32 -> C:\Users\Włodek\AppData\Local\Google\Google Talk Plugin\googletalkax.dll No File CustomCLSID: HKU\S-1-5-21-287265340-2162033715-3200400593-1001_Classes\CLSID\{AB9F4455-E591-4132-A386-0B91EAEDB96C}\InprocServer32 -> C:\Users\Włodek\AppData\Local\Google\Google Talk Plugin\o1dax.dll No File C:\ProgramData\mxnhytee.feu C:\Users\UpdatusUser\Desktop\*.lnk C:\Users\Włodek\AppData\Local\{AA15A737-1359-4DC7-857E-B73A86715A29} C:\Users\Włodek\AppData\Roaming\CrashRpt1402.dll C:\Users\Włodek\AppData\Roaming\Microsoft\Windows\SendTo\Foxit Readera.lnk C:\Users\Włodek\AppData\Roaming\Microsoft\Windows\SendTo\Foxmail.LNK C:\Users\Włodek\AppData\Roaming\Microsoft\Windows\SendTo\PDFXC viewer.lnk C:\Windows\System32\DRIVERS\avgdiskx.sys C:\Windows\System32\DRIVERS\hamachi.sys RemoveDirectory: C:\Program Files\Mozilla Firefox\extensions RemoveDirectory: C:\Program Files\Mozilla Firefox\plugins RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\Users\UpdatusUser\AppData\Local\Google RemoveDirectory: C:\Users\Włodek\AppData\Roaming\Opera Software RemoveDirectory: C:\Windows\system32\Adobe RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Local\AOL RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Local\Avg2014 RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Local\ESET RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Local\GNU RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Local\Google RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\LocalGoogle Unlock: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft Unlock: C:\Windows\System32\config\systemprofile\AppData\LocalLow Unlock: C:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft Unlock: C:\Windows\System32\config\systemprofile\AppData\Roaming Folder: C:\Windows\System32\config\systemprofile\AppData Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Google /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005_Classes\CLSID /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Windows\CurrentVersion\Uninstall /f Reg: reg delete "HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\egui" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan - dla Drivers + Services odznacz pole Whitelist, ponadto zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy Acronis, RealPlayer oraz Sandboxie to programy faktycznie "zainstalowane". Również potwierdź mi czy w Firefox w spisie wtyczek pozycje pochodzące od RealPlayer oraz Real Alternative nie są aby zablokowane przez Firefox "z powodu niezgodności". Odnośnik do komentarza
Markiz Opublikowano 15 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2015 Od razu też będę likwidować inne śmieci widziane w raportach FRST, w tym odpadki źle odinstalowanych aplikacji. Staram się odinstalowywać aplikacje zawsze za pomocą programu Revo Uninstaler. Druga sprawa: układ zainstalowanych programów wygląda podejrzanie - brak na liście zainstalowanych wielu programów, które najwyraźniej są obecne na dysku i nie są to wersje "portable" (powinny mieć wejścia Uninstall). Mam folder z zebranymi różnymi programami które czasem uruchamiam - nie są instalowane tylko przekopiowywane po zmianie systemu - jeżeli jakiś nie działa to jest usuwany. 1. W systemie są czynne sterowniki po niepoprawnie odinstalowanym ESET. Zastosuj narzędzie ESET Uninstaller - narzędzie musi być uruchomione z poziomu Trybu awaryjnego Windows. Zrobione. 2. Opuść Tryb awaryjny. Przeglądarka Google Chrome występuje w wersji "development" i prawdopodobnie to adware ją przekonwertowało, gdyż są też polityki Google (normalnie w systemie takich brak). Zresetuj synchronizację (o ile włączona): KLIK. Następnie odinstaluj przeglądarkę, przy deinstalacji zaznacz Usuń także dane przeglądarki. Nie była włączona. Chrome odinstalowane. 3. Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Niestety FRST zawiesił się - po półtorej godzinie czekania zamknąłem go - plik fixlog.txt w załączniku. Restart nie nastąpił. Wypowiedz się czy Acronis, RealPlayer oraz Sandboxie to programy faktycznie "zainstalowane". Acronis był kiedys - obecnie odinstalowany. Real Player jest zainstalowany. Sandboxie jest zainstalowany. Również potwierdź mi czy w Firefox w spisie wtyczek pozycje pochodzące od RealPlayer oraz Real Alternative nie są aby zablokowane przez Firefox "z powodu niezgodności". Real Alternative nie ma wtyczki w Firefoxie - skan w załączniku. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2015 Zgłoś Udostępnij Opublikowano 16 Lipca 2015 Niestety FRST zawiesił się - po półtorej godzinie czekania zamknąłem go - plik fixlog.txt w załączniku. Za późno zedytowałam Fixlist. W 14 linii od dołu był brak parametru cichego (to blokuje wykonanie komendy Reg): Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Google /f Skrypt zatrzymał się na nieskończoności, dlatego też nie nastąpił reset. Edytowałam post zmieniając i inne rzeczy w skrypcie. Niestety Ty już przetwarzałeś skrypt w wersji pierwotnej. Mam folder z zebranymi różnymi programami które czasem uruchamiam - nie są instalowane tylko przekopiowywane po zmianie systemu - jeżeli jakiś nie działa to jest usuwany. W logu są także ślady niepoprawnych deinstalacji. Np. na liście zainstalowanych w ogóle nie figuruje Adobe Shockwave Player czy Java, a stare wtyczki Adobe Shockwave + Java 7 są ładowane w Firefox, na dysku są też foldery Java 8. Misz masz. I może przyczyną jest to: Staram się odinstalowywać aplikacje zawsze za pomocą programu Revo Uninstaler. Są pewne aplikacje, które lepiej usuwać za pomocą natywnych deinstalatorów oraz pomocniczych specjalnych firmowych usuwaczy. Do tej kategorii należą m.in. programy zabezpieczające (antywirusy / firewalle). Real Alternative nie ma wtyczki w Firefoxie - skan w załączniku. Wg raportu FRST są dwa rodzaje w Firefox - RealPlayer oraz Real Alternative. To wersja 6.0.12.69 widziana na obrazku pochodzi od Real Alternative. Notabene, wszystko cholernie stare, może być naruszeniem bezpieczeństwa: FF Plugin: @real.com/nppl3260;version=16.0.3.51 -> c:\program files\real\realplayer\Netscape6\nppl3260.dll [2013-10-06] (RealNetworks, Inc.) FF Plugin: @real.com/nprjplug;version=15.0.0.198 -> c:\program files\real\realplayer\Netscape6\nprjplug.dll [2011-11-29] (RealNetworks, Inc.) FF Plugin: @real.com/nprpchromebrowserrecordext;version=15.0.0.198 -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll [2011-11-29] (RealNetworks, Inc.) FF Plugin: @real.com/nprphtml5videoshim;version=15.0.0.198 -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll [2011-11-29] (RealNetworks, Inc.) FF Plugin: @real.com/nprpjplug;version=15.0.0.198 -> c:\program files\real\realplayer\Netscape6\nprpjplug.dll [2011-11-29] (RealNetworks, Inc.) FF Plugin: @real.com/nprpjplug;version=6.0.12.69 -> C:\Program Files\Real Alternative\browser\plugins\nprpjplug.dll [2008-09-10] (RealNetworks, Inc.) FF Plugin: @real.com/nprpplugin;version=16.0.3.51 -> c:\program files\real\realplayer\Netscape6\nprpplugin.dll [2013-10-06] (RealPlayer) Foldery Microsoftu z uszkodzonymi uprawnieniami pomyślnie odblokowane. Poza tym, pojawił się nowy odczyt detekcji skryptów startowych ustawionych via GPO - nie było wcześniej tego widać, gdyż to nowa detekcja którą zaproponowałam, wprowadzona co dopiero w FRST. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: GroupPolicyScripts: Group Policy detected GroupPolicyScripts\User: Group Policy detected R2 AcrSch2Svc; C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe [804560 2010-12-21] (Acronis) S3 hamachi; C:\Windows\System32\DRIVERS\hamachi.sys [26176 2009-03-18] (LogMeIn, Inc.) HKLM\...\Run: [usBuga Acronis Scheduler2] => C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe [390760 2010-12-21] (Acronis) FF Plugin: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1214154.dll [2014-11-07] (Adobe Systems, Inc.) FF Plugin: @java.com/DTPlugin,version=10.72.2 -> C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll [2014-11-19] (Oracle Corporation) FF Plugin: @java.com/JavaPlugin,version=10.72.2 -> C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll [2014-11-19] (Oracle Corporation) C:\Program Files\Common Files\Acronis C:\ProgramData\mxnhytee.feu C:\Users\Włodek\AppData\Local\{AA15A737-1359-4DC7-857E-B73A86715A29} C:\Users\Włodek\AppData\Roaming\CrashRpt1402.dll C:\Windows\System32\DRIVERS\hamachi.sys RemoveDirectory: C:\Windows\system32\Adobe RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Roaming\Softland RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 DisableService: UleadBurningHelper Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005_Classes\CLSID /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Google /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Windows\CurrentVersion\Uninstall /f Reg: reg delete "HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\egui" /f CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny fixlog.txt. 2. (De)instalacje: - Wejdź do folderu C:\Program Files\Java i poszukaj czy jest tam deinstalator - znaleziony "Uruchom jako administrator". jeśli deinstalatora brak, wywal cały folder. Następnie, jeśli Java ma być czynna w Firefox, zainstaluj najnowszą wersję - link w przyklejonym: KLIK. - Sugeruję też wywalić Real Player. 3. Zrób nowy log FRST z opcji Scan - nie odznaczaj już pól Whitelist, ale zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. I powiedz mi czy Windows Update zaczęło działać, oraz które z problemów w systemie nadal są obiecne. Odnośnik do komentarza
Markiz Opublikowano 16 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2015 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny fixlog.txt. Zrobione - system się zrestartował. 2. (De)instalacje: - Wejdź do folderu C:\Program Files\Java i poszukaj czy jest tam deinstalator - znaleziony "Uruchom jako administrator". jeśli deinstalatora brak, wywal cały folder. Następnie, jeśli Java ma być czynna w Firefox, zainstaluj najnowszą wersję - link w przyklejonym: KLIK. Nie było deinstalatora - usunąłem cały folder. Zainstalowałem najnowszą wersję. - Sugeruję też wywalić Real Player. Z menu Start nie było deinstalatora, w Panelu Sterowania > Programy i funkcje nie ma w ogóle Real Playera dopiero Revo Uninstaler sobie poradził poprzez Wymuszoną Deinstalację bo też go nie "widział". 3. Zrób nowy log FRST z opcji Scan - nie odznaczaj już pól Whitelist, ale zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Zrobione. I powiedz mi czy Windows Update zaczęło działać, oraz które z problemów w systemie nadal są obiecne. Jeśli chodzi o Windows Update to pewna poprawa jest - kazał zainstalować najnowszą wersję Windows Update co też zrobiłem i rozpoczął wyszukiwanie aktualizacji - niestety ekran wyszukiwania z paskiem postępu sobie trwał i trwał i trwał... po półgodzinie zamknąłem bo niczego nie wyszukał. Pozostałe wszystkie problemy nadal występują. Edit: 17.07.2015 Po uruchomieniu dzisiaj komputera system zaczął ściągać aktualizacje w tle (ikonka w Trayu). Po jej kliknięciu nic się nie dzieje. po uruchomieniu Windows Update z Panelu Sterowania wyświetla się okno z przyciskiem "Sprawdz czy są dostępne aktualizcje" - w Trayu cały czas są pobierane. EDIT: 21.07.2015 Windows ściągnął 206 aktualizacji (ponad 1 GB danych) i powoli je instaluje. EDIT: 02.08.2015 Jeszcze pozostało 17 aktualizacji - z tym, że niektóre zakończyły się niepowodzeniem. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
Rekomendowane odpowiedzi