Zaśmiecony laptop - ponad 20GB śmieci - PriceFountain, Mobogenie, BonanzaDealsLive, BrowseMark, SupTab, OpenCandy...

[Rucek]

Dzień dobry,

 

Trafił się rodzynek od znajomej.

Lapek nie był czyszczony ok 4 lata, kupa śmieci. Dodatkowo osiągał ponad 90st w stanie spoczynku - wyczyszczony, nowe pasty termoprzewodzące, już się nie grzeje.

Część śmieci usunąłem ale widzę, że AdwCleaner jeszcze się przyczepia do sporej ilości wpisów.

AdwCleanerem nie czyscilem, zrobiłem tylko skan.

 

Log z Gmera jak na moje oko jest za duży.

Kaspersky się skończył ale to nie problem - komputer odcięty od sieci, będzie aktywowany jak już będzie poczyszczone.

Programy dodaj/usuń - widzę wpisy ukryte, to co dało się odinstalować - odinstalowałem.

Wadliwe urządzenia w Menedżerze urządzeń...

Błędy w Dzienniku zdarzeń (dużo)...

Dziennik Systemu - błędy...

[system z komponentami startowymi (pozyskano odczytując dysk)] - nie wiem czy to dobrze czy źle...

Po logach widzę, że przeglądarki też chyba zaśmiecone...

Śmieci w rejestrze...

 

Proszę o usunięcie wszystkiego co zbędne/niepotrzebne/stare/zużyte/zamula/powoduje błędy itp...

Proszę o info czy było jakieś poważne zagrożenie - czy kumpela ma zmieniać hasła.

 

Temat może chwilę poczekać, póki zaległości na forum nie zostaną nadrobione, nie śpieszy się.

 

FRST.txt Addition.txt Shortcut.txt GMER.txt AdwCleanerS1.txt

[picasso]

Niezbyt dużo tu widać, po prostu adware (BingSvc w starcie oraz inne w Firefox i Internet Explorer), żadnych oznak innego typu malware, więc nie widzę potrzeby wymiany haseł. Czyli:

 

1. Odinstaluj: Codecs for Windows 7 Pack 4.0.5 (uszkodzony, AdwCleaner wykrywa powiązane z nim komponenty), Google Chrome (strasznie stara wersja!), Java 7 Update 45 (wiadomo). Jeśli chodzi o programy integrowane z ASUS i inne dodatkowe, to można byłoby się pozbyć tego wszystkiego (wykluczając te z których użytkownik korzysta):

 

ASUS FancyStart (HKLM-x32\...\{2B81872B-A054-48DA-BE3B-FA5C164C303A}) (Version: 1.0.8 - ASUSTeK Computer Inc.) ----> wymiana grafiki ekranu bootowania
ASUS LifeFrame3 (HKLM-x32\...\{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}) (Version: 3.1.7 - ASUS) ----> zrzuter ekranu / edytor powiązany z kamerą
ASUS Live Update (HKLM-x32\...\{FA540E67-095C-4A1B-97BA-4D547DEC9AF4}) (Version: 3.0.6 - ASUS) ----> autoaktualizacja sterowników i BIOS
ASUS Power4Gear Hybrid (HKLM\...\{9B6239BF-4E85-4590-8D72-51E30DB1A9AA}) (Version: 1.1.43 - ASUS) ----> tweaker zasilania
ASUS SmartLogon (HKLM-x32\...\{64452561-169F-4A36-A2FF-B5E118EC65F5}) (Version: 1.0.0008 - ASUS) ----> logowanie za pomocą rozpoznawania twarzy
ASUS Splendid Video Enhancement Technology (HKLM-x32\...\{0969AF05-4FF6-4C00-9406-43599238DE0D}) (Version: 1.02.0030 - ASUS) ----> "polepszanie jakości" ekranu
CyberLink LabelPrint (HKLM-x32\...\InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}) (Version: 2.5.1908 - CyberLink Corp.)
CyberLink Power2Go (HKLM-x32\...\InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}) (Version: 6.1.3602c - CyberLink Corp.)
Fast Boot (HKLM\...\{13F4A7F3-EABC-4261-AF6B-1317777F0755}) (Version: 1.0.8 - ASUS) ----> menedżer startu
Nuance PDF Reader (HKLM-x32\...\{B480904D-F73F-4673-B034-8A5F492C9184}) (Version: 6.00.0041 - Nuance Communications, Inc.)
NVIDIA GeForce Experience 2.1.2 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.GFExperience) (Version: 2.1.2 - NVIDIA Corporation)
syncables desktop SE (HKLM-x32\...\{341697D8-9923-445E-B42A-529E5A99CB7A}) (Version: 5.5.746.11492 - syncables) ----> synchronizacja między urządzeniami
Windows Live Essentials (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3502.0922 - Microsoft Corporation)

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms}
HKU\S-1-5-21-729949790-563291647-4237402503-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=SL5M&ocid=SL5MDHP&osmkt=pl-pl
HKU\S-1-5-21-729949790-563291647-4237402503-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms}
SearchScopes: HKU\S-1-5-21-729949790-563291647-4237402503-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms}
SearchScopes: HKU\S-1-5-21-729949790-563291647-4237402503-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms}
SearchScopes: HKU\S-1-5-21-729949790-563291647-4237402503-1002 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
BHO: Partner BHO Class -> {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} -> C:\ProgramData\Partner\Partner64.dll [2011-03-01] (Google Inc.)
BHO-x32: Partner BHO Class -> {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} -> C:\ProgramData\Partner\Partner.dll [2011-03-01] (Google Inc.)
BHO-x32: PriceFountain -> {b608cc98-54de-4775-96c9-097de398500c} -> C:\Users\Ania\AppData\Local\PriceFountain\PriceFountainIE.dll [2015-01-11] ()
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66
FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Ania\AppData\Roaming\Mozilla\Firefox\Profiles\nbsr4833.default\extensions\faststartff@gmail.com
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [Brak pliku]
FF Plugin HKU\S-1-5-21-729949790-563291647-4237402503-1002: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [Brak pliku]
HKLM\...\Run: [ASUS WebStorage] => C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe
HKU\S-1-5-21-729949790-563291647-4237402503-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\Ania\AppData\Local\Akamai\netsession_win.exe"
HKU\S-1-5-21-729949790-563291647-4237402503-1002\...\Run: [BingSvc] => C:\Users\Ania\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation)
HKU\S-1-5-21-729949790-563291647-4237402503-1002\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE ->
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\BonanzaDealsLive
DeleteKey: HKCU\Software\BrowseMark
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\ForumerIT
DeleteKey: HKCU\Software\Google
DeleteKey: HKCU\Software\InstallCore
DeleteKey: HKCU\Software\MaxiGet
DeleteKey: HKCU\Software\Mozilla\Extends
DeleteKey: HKCU\Software\PriceFountain
DeleteKey: HKCU\Software\SupHpUISoft
DeleteKey: HKCU\Software\UpdateStar
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B608CC98-54DE-4775-96C9-097DE398500C}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B608CC98-54DE-4775-96C9-097DE398500C}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DirectX Packages
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\V9Software
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{D0EC4142-5808-41D2-A4DC-6081CF1A9693}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\BrowseMark
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mystartsearchSoftware
DeleteKey: HKLM\SOFTWARE\Wow6432Node\PriceMeterLiveUpdate
DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupDp
DeleteKey: HKLM\SOFTWARE\Wow6432Node\V9Software
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\kt_bho_dll.dll
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{28A88B70-D874-4F73-BBBA-9B2B222FB7D6}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{B608CC98-54DE-4775-96C9-097DE398500C}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D0EC4142-5808-41D2-A4DC-6081CF1A9693}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{396ECD31-EDF7-489F-BDA1-83DBA4C36E81}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd
deleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Partner Service
RemoveDirectory: C:\Program Files\WinRAR
RemoveDirectory: C:\Program Files (x86)\BrowseMark
RemoveDirectory: C:\Program Files (x86)\Garmin
RemoveDirectory: C:\Program Files (x86)\Google
RemoveDirectory: C:\Program Files (x86)\SupTab
RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins
RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins
RemoveDirectory: C:\Program Files (x86)\Mozilla Thunderbird
RemoveDirectory: C:\ProgramData\Adobe
RemoveDirectory: C:\ProgramData\ALLPlayer
RemoveDirectory: C:\ProgramData\BonanzaDealsLive
RemoveDirectory: C:\ProgramData\Electronic Arts
RemoveDirectory: C:\ProgramData\Garmin
RemoveDirectory: C:\ProgramData\Origin
RemoveDirectory: C:\ProgramData\Partner
RemoveDirectory: C:\ProgramData\Skype
RemoveDirectory: C:\ProgramData\WindowsMangerProtect
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avalon
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codecs for Windows 7 Pack
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra
RemoveDirectory: C:\Users\Ania\AppData\Local\BonanzaDealsLive
RemoveDirectory: C:\Users\Ania\AppData\Local\Facebook
RemoveDirectory: C:\Users\Ania\AppData\Local\Garmin
RemoveDirectory: C:\Users\Ania\AppData\Local\genienext
RemoveDirectory: C:\Users\Ania\AppData\Local\Google
RemoveDirectory: C:\Users\Ania\AppData\Local\Mobogenie
RemoveDirectory: C:\Users\Ania\AppData\Local\PriceFountain
RemoveDirectory: C:\Users\Ania\AppData\Local\PriceMeter
RemoveDirectory: C:\Users\Ania\AppData\Local\Thunderbird
RemoveDirectory: C:\Users\Ania\AppData\Local\Microsoft\BingSvc
RemoveDirectory: C:\Users\Ania\AppData\Local\Microsoft\Windows\GameExplorer\{F16DF3ED-1A45-4966-8A2A-ED2D02E279EE}
RemoveDirectory; C:\Users\Ania\AppData\Roaming\BitComet
RemoveDirectory: C:\Users\Ania\AppData\Roaming\Garmin
RemoveDirectory: C:\Users\Ania\AppData\Roaming\mystartsearch
RemoveDirectory: C:\Users\Ania\AppData\Roaming\newnext.me
RemoveDirectory: C:\Users\Ania\AppData\Roaming\OpenCandy
RemoveDirectory: C:\Users\Ania\AppData\Roaming\Systweak
RemoveDirectory: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie
RemoveDirectory: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain
RemoveDirectory: C:\Windows\SysWOW64\AI_RecycleBin
RemoveDirectory: C:\Windows\SysWOW64\C2MP
C:\ProgramData\*.*
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS Utility\e-Driver.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS Utility\eManual.Lnk
C:\Users\Ania\daemonprocess.txt
C:\Users\Ania\AppData\Local\WebpageIcons.db
C:\Users\Ania\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk
C:\Windows\SIERRA.INI
C:\Windows\system32\roboot64.exe
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Wyczyść Dzienniki zdarzeń (gałęzie Aplikacja + System) i po tym zresetuj Windows, by się nagrały nowe błędy. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

 

[Rucek]

Ze sporym opóźnieniem, ale w końcu dobrałem się ponownie do lapka.

Więc tak:

- Śmieci wywalone.

- Codecs for Windows 7 Pack 4.0.5 - wywalone
- Google Chrome - był problem z odinstalowaniem, nie wiem czy nic nie zostało.
- Java 7 Update 45 - wywalone,
- Battle.net - nie mogę odinstalować, wyskakuje błąd i potem już w ogóle nic nie chce się odinstalować, bo niby cały czas jest zaczęte odinstalowywanie Battlenetu...trzeba robić restart. W trybie awaryjnym też nie chce się odinstalować - proszę o pomoc.
- Nuance PDF Reader - był problem z odinstalowaniem, nie wiem czy nic nie zostało.
- syncables desktop SE  - był problem z odinstalowaniem, nie wiem czy nic nie zostało.
- Windows Live Essentials - nie mam tego na liście w programy dodaj/usuń - zakładam że to to samo co: Podstawowe programy windows live 2011? - jeśli tak to chyba musi zostać, bo przestały działać przyciski funkcyjne w laptopie... Musiałem zainstalować jeszcze raz sterowniki od przycisków funkcyjnych...

 

Reszta też zrobiona chyba poprawnie. Dołączam nowe logi.

 

Fixlog.txt Addition.txt FRST.txt

[picasso]

Cytat

- Google Chrome - był problem z odinstalowaniem, nie wiem czy nic nie zostało.

- Battle.net - nie mogę odinstalować, wyskakuje błąd i potem już w ogóle nic nie chce się odinstalować, bo niby cały czas jest zaczęte odinstalowywanie Battlenetu...trzeba robić restart. W trybie awaryjnym też nie chce się odinstalować - proszę o pomoc.

 

Doczyszczanie w/w i drobnostek:

 

1. Uruchom Program Install and Uninstall Troubleshooter i usuń Google Update Helper.

 

2. Skrypt do FRST:

 

FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll [Brak pliku]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll [Brak pliku]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Battle.net
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome

 

Przedstaw wynikowy fixlog.txt.

 

 

Cytat

- Windows Live Essentials - nie mam tego na liście w programy dodaj/usuń - zakładam że to to samo co: Podstawowe programy windows live 2011? - jeśli tak to chyba musi zostać, bo przestały działać przyciski funkcyjne w laptopie... Musiałem zainstalować jeszcze raz sterowniki od przycisków funkcyjnych...

 

Tak, chodzi o Podstawowe programy Live. I ten pakiet nie ma związku z przyciskami funkcyjnymi w laptopie, to majdan Microsoftu z Pocztą, Messengerem i podobnymi. Jeśli użytkownik nie korzysta, odinstaluj ten pakiet. Po deinstalacji sprawdź za pomocą podanego powyżej narzędzia Microsoftu czy nadal są widoczne w nim wpisy określone w FRST Addition flagą Hidden:

 

==================== Zainstalowane programy ======================

„Messenger“ pagalbinė priemonė (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
„Windows Live Essentials“ (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
„Windows Live Mail“ (x32 Version: 15.4.3502.0922 - „Microsoft Corporation“) Hidden
„Windows Live Messenger“ (x32 Version: 15.4.3502.0922 - „Microsoft Corporation“) Hidden
„Windows Live“ fotogalerija (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Bing Rewards Client Installer (x32 Version: 16.0.345.0 - Microsoft Corporation) Hidden
Doplnok programu Messenger (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Fotogalerija Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Galeria fotografii usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Galerie foto Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Junk Mail filter update (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Mesh Runtime (x32 Version: 15.4.5722.2 - Microsoft Corporation) Hidden
Messenger Companion (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Messenger kísérő (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Messenger Pratilac (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Messenger Suradnik (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Messengeri kaaslane (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Poczta usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Podstawowe programy Windows Live (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3502.0922 - Microsoft Corporation)
Podstawowe programy Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Pomocnik Messenger (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Pošta Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Spremljevalec Messenger (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Помощник на Messenger (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Фотогалерия на Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden

 

Za przyciski odpowiada program ASUSa ATK Package, którego komponenty nie były ruszane przeze mnie, nie wskazywałam nic z tej paczki do deinstalacji czy usunięcia. Obecnie po Twojej reinstalacji program jest zainstalowany i uruchamia się w starcie:

 

==================== Zainstalowane programy ======================

ATK Package (HKLM-x32\...\{AB5C933E-5C7D-4D30-B314-9C83A49B94BE}) (Version: 1.0.0010 - ASUS)

==================== Rejestr (filtrowane) ===========================

HKLM-x32\...\Run: [ATKOSD2] => C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe [5732992 2010-08-17] (ASUS)
HKLM-x32\...\Run: [ATKMEDIA] => C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe [170624 2010-10-07] (ASUS)
HKLM-x32\...\Run: [HControlUser] => C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe [105016 2009-06-19] (ASUS)

==================== Zaplanowane zadania (filtrowane) =============

Task: {D7F3FD94-DB67-4DF6-8EEA-247BFE72D6BA} - System32\Tasks\ATKOSD2 => C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe [2010-08-17] (ASUS)

 

I te komponenty były też w poprzednich logach, więc nie wiem co się stało, że trzeba było reinstalować.

 

[Rucek]

- Narzędzie odpalone -  Google Update Helper: USUNIĘTE
- Battle.net - znikło
- Skrypt - zrobione - wszystko poprawnie z tego co widzę - w załączeniu log.

- Windows Live Essentials - Podstawowe programy Live: USUNIĘTE, już nie widzę chyba nic z tego na liście..., dużo mniej śmieci się zrobiło.
- "Za przyciski odpowiada program ASUSa ATK Package" - ok, olać, możliwe że sam to przez przypadek odinstalowałem... nie pamiętam, teraz działa normalnie już i nie wysypało się.

 

Rutynowo robię jeszcze komplet logów FRST (wywal jak nie ma już tam nic, albo sam je potem wywale)
- Widzę jeszcze jakieś śmieci: Internet Explorer - Search SCopes

- No i czy jeszcze coś mogę wywalić generalnie, wyczyścić, czy może coś z harmonogramu zadań jeszcze jest zbędne, np: RAC TASK, CONSOLIDATOR, USBCEIP, KERNEL CEIP TASK, SHEDULED...?

 

Fixlog.txt FRST.txt Addition.txt Shortcut.txt

[picasso]

Cytat

już nie widzę chyba nic z tego na liście...

 

Jeszcze ten rekord do upłynnienia za pomocą narzędzia MS:

 

Bing Rewards Client Installer (x32 Version: 16.0.345.0 - Microsoft Corporation) Hidden 

 

Po ukończeniu prac z narzędziem MS zlikwiduj folder C:\MATS. Dodatkowo, dokasuj te puste elementy:

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS Utility\SmartLogon
C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite
C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite

 

 

Cytat

Widzę jeszcze jakieś śmieci: Internet Explorer - Search SCopes

 

To jest OK:

 

SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox

 

Wyszukiwarki Internet Explorer firmowo ustawione na tym laptopie, Bing tak samo jak domyślnie w Windows niebrandowanym. ASUTDF - identyfikacyjny ciąg OEM Asusa. Widoczne w skanie FRST, ponieważ biała lista jest niepełna. Wiele takich OEM ciągów jest ukrytych, akurat nie ten. Zamiana tych wyszukiwarek na inne nie ma żadnego specjalnego znaczenia. Użytkownik może w Opcjach internetowych wybrać i ustawić jako domyślne dowolne inne, co i tak przebija w/w rekordy.

 

 

Cytat

No i czy jeszcze coś mogę wywalić generalnie, wyczyścić, czy może coś z harmonogramu zadań jeszcze jest zbędne, np: RAC TASK, CONSOLIDATOR, USBCEIP, KERNEL CEIP TASK, SHEDULED...?

 

Te zadania są domyślnymi Windows, więc ukryte w skanie FRST. Oczywiście możesz wyłączyć wszystkie związane z "uczestnictwem w poprawie obsługi":

• Start > w polu szukania wklep Program poprawy jakości obsługi klienta > przestaw opcję na "Nie chcę uczestniczyć w programie".
• W taskschd.msc w podgałęziach Application Experience + Customer Experience Improvement Program z prawokliku powyłączaj wszystkie zadania.

Ale "RAC Task" to inna para kaloszy, on jest związany z Monitorem wydajności: KLIK.

 

 

I skoro wszystko gra, już bym nie kombinowała więcej.

 

 

 

EDIT: Jakoś nie zauważyłam, że pojawiły się nowe rekordy (nie było ich w poprzednich plikach Addition):

 

==================== Punkty Przywracania systemu =========================

Niepowodzenie przy listowaniu punktów przywracania
Sprawdź usługę "winmgmt" lub napraw WMI.


==================== Wadliwe urządzenia w Menedżerze urządzeń =============

Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
"DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204"
"ObjectName"="localSystem"
"ErrorControl"=dword:00000000
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"ServiceSidType"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CLMLServer]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Wyczyść wszystkie Dzienniki zdarzeń (błędy wyglądają na nieaktualne) i zresetuj system. Przedstaw nowy log FRST Addition.

 

[Rucek]

Zadania wywalone.
Klucze zostały poprawnie wprowadzone do rejestru.
Podgląd zdarzeń -> Dzienniki systemu windows -> Aplikacja ( wyczyszczone) + System (wyczyszczone).
Puściłem jeszcze AdwCleaner i znalazł jakieś resztki.

 

Addition.txt AdwCleanerS1.txt

[picasso]

WMI naprawione. A te drobnostki w AdwCleaner to nowa sprawa (ale błaha i zero wpływu na działanie systemu), w poprzednim skanie tych kluczy nie było. Po prostu usuń te wyniki za pomocą AdwCleaner. A na koniec to wiadomo jakie działania.