Safefinder i prawdopodobnie inne badziewia

[yutek]

Witam, 

 

Złapałem safefinder a wcześniej istartsurf - tego drugiego wywaliłem z dodaj/usuń programy - safefinder, gdy próbuje go odinstalować zamyka przeglądarkę internetową i na tym koniec z reakcją na próby usunięcia.

 

 

Pozdrawiam!

Addition.txt

Shortcut.txt

FRST.txt

[picasso]

Obowiązkowym raportem jest też GMER.

 

W systemie są aktywne procesy adware oraz różne ustawienia przejęte przez niepożądane adresy. Do przeprowadzenia następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 Danlax; C:\Documents and Settings\All Users\Dane aplikacji\\Danlax\\Danlax.exe [441856 2015-09-17] () [brak podpisu cyfrowego]
AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Danlax\Holdzap.dll => C:\Documents and Settings\All Users\Dane aplikacji\Danlax\Holdzap.dll [384512 2015-09-21] ()
HKLM\...\Run: [GEST] => =
HKLM\...\Run: [Web Protector Plus Agent] => "C:\Program Files\WebProtectorPlus\WebProtectorPlus.exe"
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGSNUjrwY1y6yS7vkz8roO8peJ4F9SYM4HOhApitXQUOItRk9MpwBiCqZBDkjNCK8Cx2rdsM3dSaoYg,,
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms}
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms}
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms}
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGSNUjrwY1y6yS7vkz8roO8peJ4F9SYM4HOhApitXQUOItRk9MpwBiCqZBDkjNCK8Cx2rdsM3dSaoYg,,
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms}
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms}
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms}
HKU\S-1-5-21-343818398-602162358-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGSNUjrwY1y6yS7vkz8roO8peJ4F9SYM4HOhApitXQUOItRk9MpwBiCqZBDkjNCK8Cx2rdsM3dSaoYg,,
HKU\S-1-5-21-343818398-602162358-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms}
HKU\S-1-5-21-343818398-602162358-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms}
HKU\S-1-5-21-343818398-602162358-1801674531-1004\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms}
URLSearchHook: HKLM -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKLM -> DefaultScope {ielnksrch} URL =
CHR HKLM\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-343818398-602162358-1801674531-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx
C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Documents and Settings\All Users\Dane aplikacji\Danlax
C:\Documents and Settings\All Users\Dane aplikacji\Danlaxs
C:\Documents and Settings\CoolPizza\SetupComponents.exe
C:\Documents and Settings\CoolPizza\Ustawienia lokalne\Dane aplikacji\updater.log
C:\Documents and Settings\CoolPizza\Ustawienia lokalne\Dane aplikacji\UserProducts.xml
C:\Program Files\Common Files\Subgodom
C:\WINDOWS\system32\findit.xml
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0B451150-3691-41C6-9AD0-B7CC164A02C2} /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Google Chrome z adware:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystkie niedomyślne przeglądarki zostawiając tylko Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Documents and Settings\CoolPizza\Menu Start\Programy\Akcesoria\Narzędzia systemowe

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz na wszelki wypadek też brakujący GMER. Dołącz też plik fixlog.txt.

[yutek]

Dziękuję za instrukcje!

 

przeprowadziłem to co zostało zalecone - niestety komputer nie chciał zakończyć zamykania systemu i po 20 min. musiałem go ręcznie (hard reset) zamknąć bo potrzebuję go do sprzedaży w firmie. 

Po resecie wykonałem zalecone czynności i malware zniknął. 

 

Czy mogę prosić o polecenie jakiegoś  sensownego antywirusa? - jak najmniej obciążającego system i nieblokującego VNC serwer

 

Pozwoliłem sobie również na małą dotację projektu.

 

Pozdrawiam serdecznie

Yutek

Fixlog.txt

FRST.txt

gemer.txt

[picasso]

Wszystko pomyślnie wykonane. Końcowe poprawki:

 

1. W Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń taki dziwny długi adres.

 

2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj Adobe Reader + Internet Explorer: KLIK.

 

3. W związku z tym, że został uruchomiony GMER upewnij się, że nie powstał nowy problem. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

 

Czy mogę prosić o polecenie jakiegoś sensownego antywirusa? - jak najmniej obciążającego system i nieblokującego VNC serwer

Obecnie wszystkie główne antywirusy są bardzo złożone, uruchamiają mnóstwo usług, trudno przewidzieć jak się zachowają na danej konfiguracji. Do końca jest loteria, bo ktoś mówi "lekki", a po instalacji na szczególnym komputerze okazuje się, że nie do końca tak jest. Czy próbowałeś jakieś określone antywirusy i je już wykluczyłeś, jeśli tak to które (bym się nie powtarzała)?

[yutek]

Dziękuję za pomoc. Wszytko hula elegancko. 

 

Co do antywirusa to nie miałem żadnego - na drugim komputerze mam ESET NOD'a, ale tamten komputer strasznie wolno chodzi (max 3. zakładki w przeglądarce, przy większej ilości szału idzie dostać) można coś z tym zrobić ? 

[picasso]

Co do antywirusa to nie miałem żadnego - na drugim komputerze mam ESET NOD'a, ale tamten komputer strasznie wolno chodzi (max 3. zakładki w przeglądarce, przy większej ilości szału idzie dostać) można coś z tym zrobić ?

1. Do wypróbowania przykładowe propozycje:

- Darmowe antywirusy: Avast Free Antivirus, Panda Free Antivirus. Przy instalacjach odznaczyć bonusy (toolbary, Dropbox i podobne).

- Komercyjne pakiety: Emsisoft Internet Security.

- Skaner wspomagający na żądanie: multisilnikowy Reason Core Security (wersja Free) lub Malwarebytes Anti-Malware (wersja Free).

 

Poczytaj też o tym jak ogólnie unikać instalacji adware/PUP: KLIK.

 

2. Możesz dostarczyć tu raporty do oceny z drugiego komputera. Ale jeśli to ESET jest przyczyną, wątpliwe by dało się coś uzyskać bez wymiany antywirusa.

[yutek]

Dzięki!

zainstalowałem pandę, zobaczę ja będzie się spisywać i może wezmę w przyszłości pełną wersję. 

 

W załącznikach pliki skanu drugiego kompa. 

 

Jeżeli problemem jest eset to mogę go bez problemu odinstalować - zależy mi tylko na open office, chociaż moduł szybkiego uruchamianie nie jest konieczny. 

 

Pozdrawiam!

Shortcut.txt

Addition.txt

FRST.txt

gmer.txt

[yutek]

Czy jest możliwe, że ktoś mi pomoże w tym temacie ? 

[picasso]

Przetwarzam tematy, gdy jestem w stanie. Obecnie jestem znów jedyną osobą, która zajmuje się tym działem.

 

Jeśli chodzi o ten drugi komputer:

- Nie ma tu oznak czynnej infekcji, tylko szczątki w mapowaniu MountPoints2 oznajmiające, że kiedyś podpinano zainfekowane USB oraz instalacje adware (Ask Toolbar i Mobogenie).

- Jest tu poważna usterka, czyli od dołu do góry usługi/sterowniki Windows oznaczone etykietą [brak podpisu cyfrowego]. To oznacza uszkodzenie bazy Usług kryptograficznych (catroot2 lub catroot).

- ESET do deinstalacji niezależnie od tego czy ma cokolwiek wspólnego ze spowolnieniem. To koszmarnie stara wersja z 2008 i to jeszcze scrackowana! Fatamorgana z zabezpieczaniem, tak stary antywirus jest w ogóle nie odporny na bieżący infekcje. Poza tym, Dziennik zdarzeń jest upstrzony błędami tego typu:

 

Dziennik System:

=============

Error: (10/16/2015 10:01:02 AM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Nie można uruchomić usługi Eset Nod32 Boot z powodu następującego błędu:

%%1053
 

Error: (10/16/2015 10:01:02 AM) (Source: Service Control Manager) (EventID: 7009) (User: )

Description: Limit czasu (30000 milisekund) podczas oczekiwania na połączenie się z usługą Eset Nod32 Boot.

 

 

Akcje do przeprowadzenia:

 

1. Był uruchamiany GMER. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

2. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny - w jego skład wchodzi reset bazy catroot2.

 

3. Deinstalacje / aktualizacje:

----> Przez Dodaj/Usuń programy odinstaluj adware, wszystkie stare wersje i nieszczęsnego cracka: Adobe Shockwave Player 11.5, Ask Toolbar, ESET NOD32 Antivirus, Gadu-Gadu 10, Gadu-Gadu 7.7, Java™ 6 Update 22, Java™ 6 Update 3, Java™ 6 Update 5, Mobogenie, NOD32 v3.0.642 FiX1.2 by TemDono (31 days remaining forever up, OpenOffice.org 3.3, Skaner on-line mks_vir.

----> Zainstaluj najnowszą wersję OpenOffice 4.1.1: KLIK. Zaktualizuj Mozilla Thunderbird 24.6.0 do najnowszej wersji 38.3.0: KLIK.

 

4. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKU\S-1-5-21-1078081533-2139871995-725345543-1004\...\Run: [PhoneDaemon] => F:\Iphone\Pc_Suite\iPhonePCSuite\PhoneDaemon.exe
HKU\S-1-5-21-1078081533-2139871995-725345543-1004\...\Run: [LightShot] => C:\Documents and Settings\CoolPizza\Ustawienia lokalne\Dane aplikacji\Skillbrains\lightshot\Lightshot.exe
HKU\S-1-5-21-1078081533-2139871995-725345543-1004\...\Policies\Explorer: [NoDriveAutoRun] 0xFFFFFFFF
HKU\S-1-5-21-1078081533-2139871995-725345543-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-1078081533-2139871995-725345543-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-1078081533-2139871995-725345543-1004\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.gazeta.pl/0,0.html
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = hxxp://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-2139871995-725345543-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1078081533-2139871995-725345543-1004 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL =
BHO: Brak nazwy -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> Brak pliku
Handler: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - Brak pliku
S3 HPFXBULK; system32\drivers\hpfxbulk.sys [X]
S3 HPFXFAX; system32\drivers\hpfxfax.sys [X]
C:\Documents and Settings\CoolPizza\Ustawienia lokalne\Dane aplikacji\updater.log
C:\Program Files\GUM6F.tmp
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Mozilla\Firefox /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla\Firefox /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKU\S-1-5-18\Software\Mozilla /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh firewall reset
CMD: net user ASPNET /delete
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

5. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

6. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Opisz czy jest poprawa w działaniu.

[yutek]

Dzięki za odpowiedź. Słowo daję, że moje pytanie nie miało pośpieszania a jedynie zasięgnięcie informacji. Jestem naprawdę bardzo wdzięczny za udzielaną dotychczas pomoc! 

 

Po przeprowadzeniu zalecanych czynności, komp zdecydowanie przyśpieszył.

 

Usunąłem więcej programów niż było zalecone ale uznałem, że tych których już nie używam mogę spokojnie wywalić.

 

Z zauważalnych problemów  to wyskakujące po uruchomieniu komunikaty - w załączniku screen.

Oraz niemożliwość usunięcia programu archicad za pomocą dodaj/usuń programy - w załączniku screen

FRST.txt

Addition.txt

Fixlog.txt

[yutek]

Problem z iTunes zniknął po dokończonej reinstalacji i restarcie programu. 

[picasso]

Z zauważalnych problemów to wyskakujące po uruchomieniu komunikaty - w załączniku screen.

Odinstalowałeś zestaw programów Apple związany z iTunes: Apple Application Support, Apple Mobile Device Support, Apple Software Update. Ten pierwszy jak widać był kluczowy dla iTunes i program nie chce się bez niego uruchomić. Reinstalacja iTunes na widoku. Doedytowałeś, już zrobione.

 

 

Oraz niemożliwość usunięcia programu archicad za pomocą dodaj/usuń programy - w załączniku screen

Zainstaluj najnowszą wersję Java i sprawdź czy to pomoże: KLIK. Jeśli nie, zainstaluj tymczasowo starą wersję Java dopasowaną do Twojej wersji ArchiCAD 12 i ponów deinstalacje: KLIK. Gdyby się udało, ta stara Java dla bezpieczeństwa musi wylecieć.

 

 

---

Fix FRST uruchomiłeś dwa razy, dlatego prawie wszystko figuruje jako "not found". Co się działo, że Fix uruchomiony podwójnie? Drobne poprawki:

 

1. Deinstalacje:

----> Zapomniałeś odinstalować stary Adobe Shockwave Player 11.5.

----> Odinstalowane Corel i Nero, zostały po nich ukryte komponenty. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei wpisy FontNav, PL, Update Manager, VBA, VCRedistSetup > Dalej. Program należy uruchomić tyle razy ile wpisów, nie da się zrobić akcji hurtowej.

 

2. Otwórz Notatnik i wklej:

 

SearchScopes: HKU\S-1-5-21-1078081533-2139871995-725345543-1004 -> DefaultScope {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=GLSV5&o=10168&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^GL&apn_dtid=^YYYYYY^YY^PL&apn_uid=8AFF9162-2F10-4C8E-8A16-E64FC9ABEC8C&apn_sauid=E6672CEF-5FED-4389-91F5-8E9CB55938F5
SearchScopes: HKU\S-1-5-21-1078081533-2139871995-725345543-1004 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=GLSV5&o=10168&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^GL&apn_dtid=^YYYYYY^YY^PL&apn_uid=8AFF9162-2F10-4C8E-8A16-E64FC9ABEC8C&apn_sauid=E6672CEF-5FED-4389-91F5-8E9CB55938F5
Toolbar: HKU\S-1-5-21-1078081533-2139871995-725345543-1004 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku
DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18Core.job => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18UA.job => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe
C:\Documents and Settings\All Users\Dane aplikacji\Nero
C:\Documents and Settings\All Users\Dane aplikacji\Skype
C:\Documents and Settings\All Users\Menu Start\Programy\OpenOffice.org 3.3
C:\Documents and Settings\CoolPizza\Dane aplikacji\Corel
C:\Documents and Settings\CoolPizza\Ustawienia lokalne\Dane aplikacji\Mobogenie
C:\Program Files\ALLPlayer
C:\Program Files\Corel
C:\Program Files\NAPI-PROJEKT
C:\Program Files\Nero
C:\Program Files\OpenOffice.org 3
C:\Program Files\PokerStars.EU
C:\Program Files\SkanerOnline
C:\Program Files\Common Files\Ahead
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google
Reg: reg delete HKU\S-1-5-18\Software\MozillaPlugins /f
Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run /f
Reg: reg delete "HKU\S-1-5-18Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Photos Backup" /f
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstaje kolejny fixlog.txt. Przedstaw go.

[yutek]

Dwa razy uruchomiałem FRST bo udało mi się odinstalować itunes'a po pierwszym skanie FRSTem i pomyślałem że to mogło coś zmienić.

 

Niestety próba naprawy czegokolwiek za pomocą microsoftowego fixita spełzła na niczym bo programik nie wykrył żadnych problemów - screen 

 

Po instalacji JAVA dedykowanej dla mojej wersji archicada, udało mi się go wreszcie wywalić - nie wywaliłem jeszcze tej javy ale zaraz to zrobię. 

 

Niestety komunikat o AdobeRM.EXE nadal wyskakuje. 

 

Komp śmiga bardzo fajnie!

Fixlog.txt

[picasso]

Fix prawie wykonany. Była jedna literówka i jeszcze drobna poprawka. Do Notatnika wklej:

 

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Photos Backup" /f
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

 

 

Niestety próba naprawy czegokolwiek za pomocą microsoftowego fixita spełzła na niczym bo programik nie wykrył żadnych problemów - screen

Ale narzędzie miało być uruchomione w trybie ręcznym a nie automatycznym:

 

Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > ma się pojawić lista zainstalowanych programów, na której zaznaczasz daną pozycję

 

 

Niestety komunikat o AdobeRM.EXE nadal wyskakuje.

Nie zauważyłam, że na obrazku były dwa komunikaty. Ten błąd świadczy, że wspominany na błędzie plik XP jest za stary - może brakuje jakiejś aktualizacji z Windows Update. To sprawdzisz potem. Na razie po prostu wyłącz wpis ze startu: Start > Uruchom > msconfig > w karcie Uruchamianie odptaszkuj Adobe ARM.

[yutek]

Fixit - zrobiłem opcje ręcznego wybierania ale nie zareagowało tak jak pisałaś. Spróbuje jutro powtórzyć czynnosc i dam znać co wyszło.

[yutek]

Odhaczyłem adobe i już nie wyskakuje. 

 

Fixit ciągle nie chce współpracować niezależnie którą opcje kliknę zawsze stwierdza że błędów brak i nie podaje listy wpisów. Myślę że skoro komp śmiga jak mała wyścigówka to nie trzeba sobie tym chyba głowy zawracać ? 

FRSTem wykonałem naprawę - log w załączniku.

 

Mam dostępne aktualizacje windowsa - wykonać ?

 

 

Fixlog.txt

[picasso]

Fixit ciągle nie chce współpracować niezależnie którą opcje kliknę zawsze stwierdza że błędów brak i nie podaje listy wpisów. Myślę że skoro komp śmiga jak mała wyścigówka to nie trzeba sobie tym chyba głowy zawracać ?

Uruchom Zoek. W oknie wklej:

 

FontNav;u
PL;u
Update Manager;u
VBA;u
VCRedistSetup;u

 

Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log).

[yutek]

Zoek.

 

zoek.txt

[picasso]

Akcja pomyślnie ukończona. Kończymy:

 

1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

2. Uruchom Windows Update i upewnij się, że masz wszystkie aktualizacje zainstalowane. Być może jest jakaś aktualizacja mająca nowszą wersję ADVAPI32.dll.

[yutek]

Serdecznie dziękuję za pomoc !