Spowolnienie pracy kompa i komunikat przy zamykaniu kompa - kończeniu pracy rundll32.exe

[facet]

Witam, 

Bardzo proszę o pomoc!

 

Przy wyłączaniu komputera wyskakuje mi komunikat o kończeniu pracy rundll32.exe, po czym aby zamknąć komputer muszę nacisnąć "zakończ teraz". Oprócz tego komputer wolniej pracuje i uruchamia się długo, jeszcze tydzień temu nie było tych problemów. Z góry dziękuje za fachową pomoc.

 

Pozdrawiam

[picasso]

Proszę przeczytać zasady działu jakie raporty są obowiązkowe: KLIK. OTL jest cholernie przestarzały i w ogóle tu nie brany już pod uwagę. Usuwam jego log.

[facet]

Witam ponownie i dziękuję za cenne wskazówki.

Problem i temat oczywiście pozostaje bez zmian tj.:

Przy wyłączaniu komputera wyskakuje mi komunikat o kończeniu pracy rundll32.exe, po czym aby zamknąć komputer muszę nacisnąć "zakończ teraz". Oprócz tego komputer wolniej

pracuje i uruchamia się długo, jeszcze tydzień temu nie było tych problemów

 

Zgodnie z poradą wykonałem skan programem FRST.

Informacyjnie!

W  trakcie skanowania programem FRST wyskoczyło okno z nazwą ,, System Windows-Brak Dysku" w treści okna czerwone kólko z 

krzyżykiem i komunikat ExceptionProcesing Message c0000013 Parameters 75b3bf7c 4 75b3bf7c z opcją wyboru:Anuluj,Ponów 

próbę, kontynuj. Wybrałem Kontynuj- brak rakcji, wybrałem ponów próbe -btak reakcji, wybrałem anuluj i program FRST 

wznowił skanowanie.W trakcie skanowania dwa razy wyskoczyło takie okno !

W załączeniu pliki txt.

 

Dziękuje i pozdrawiam.

 

Addition.txt FRST.txt Shortcut.txt

[picasso]

System jest zainfekowany adware, ten komunikat o kończeniu procesu rundll32 wygląda na związany z zadaniem adware PriceFountain, które posługuje się systemowym rozrusznikiem rundll32, by załadować własny moduł:

 

Task: C:\WINDOWS\Tasks\MarekMMorainePapyrusV2.job => C:\WINDOWS\system32\rundll32.exeIsologTeacherage.dll

==================== Załadowane moduły (filtrowane) ==============

2016-04-10 21:01 - 2016-04-10 21:01 - 00370688 _____ () C:\Documents and Settings\MarekM\Ustawienia lokalne\Dane aplikacji\MorainePapyrus\IsologTeacherage.dll

 

Powinieneś więc widzieć też reklamy "PriceFountain" na serwisach typu Allegro czy Ceneo. To świeży nabytek. Natomiast w systemie są także inne kwiatki adware, np. zmodyfikowane skróty LNK przeglądarek, niektóre bardzo stare i trzymane w systemie od dwóch lat. Wszystko przypuszczalnie nabyte przy udziale "Asystenta pobierania" serwisu dobreprogramy.pl: KLIK.

 

Dodatkowo stary pakiet ESET oraz różne stare wersje narażające bezpieczeństwo systemu. I dużo uruchomionych programów, co może być powodem dla spowolnienia.

 

 

Cytat

W trakcie skanowania programem FRST wyskoczyło okno z nazwą ,, System Windows-Brak Dysku" w treści okna czerwone kólko z krzyżykiem i komunikat ExceptionProcesing Message c0000013 Parameters 75b3bf7c 4 75b3bf7c z opcją wyboru:Anuluj,Ponów próbę, kontynuj. Wybrałem Kontynuj- brak rakcji, wybrałem ponów próbe -btak reakcji, wybrałem anuluj i program FRST wznowił skanowanie.W trakcie skanowania dwa razy wyskoczyło takie okno !

 

To do zignorowania. W rejestrze jest jakaś ścieżka odwołująca się do nieistniejącego dysku. Np. może chodzić o klucze MountPoints zawierające historię mapowania wcześniej podpinanych urządzeń USB:

 

HKU\S-1-5-21-725345543-117609710-1801674531-1003\...\MountPoints2: {36102cf8-51c8-11e2-b910-40618606fd9a} - K:\AutoRun.exe
HKU\S-1-5-21-725345543-117609710-1801674531-1003\...\MountPoints2: {9b2d9936-7b75-11e3-bbd7-40618606fd9a} - K:\AutoRun.exe
HKU\S-1-5-21-725345543-117609710-1801674531-1003\...\MountPoints2: {baee8cd7-18ee-11e0-9d29-40618606fd9a} - H:\NokiaPCIA_Autorun.exe
HKU\S-1-5-21-725345543-117609710-1801674531-1003\...\MountPoints2: {d319fc58-908b-11e1-b653-40618606fd9a} - N:\AutoRun.exe
HKU\S-1-5-21-725345543-117609710-1801674531-1003\...\MountPoints2: {d319fc5b-908b-11e1-b653-40618606fd9a} - J:\AutoRun.exe

 

 

---

 

Następujące operacje czyszczące do wdrożenia:

 

1. Przez Dodaj/Usuń programy odinstaluj:

- Adware: BatBrowse 1.0.0, MySearchDial, PriceFountain, Search Provided by Yahoo, Update for PriceFountain. Gdyby coś zwróciło błąd lub nie było widoczne, kontynuuj.

- Stare wersje: Adobe Flash Player 20 ActiveX, Gadu-Gadu 7.7, Gadu-Gadu 10 , Java 6 Update 33, OpenOffice.org 3.2, Opera 12.16, Skype™ 3.8, Skype™ 5.0.

 

2. Uruchom Program Install and Uninstall Troubleshooter i usuń Google Update Helper (to resztki adware BonanzaDeals a nie Google) oraz RealUpgrade 1.1 (odpadkowy wpis pozostawiony po odinstalowanym RealPlayer) . Narzędzie nie umożliwia akcji hurtowej, więc trzeba je uruchomić dwa razy.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\MarekM\DANEAP~1\MYSEAR~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA
Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\NETWOR~1\DANEAP~1\MYSEAR~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA
Task: C:\WINDOWS\Tasks\At3.job => C:\DOCUME~1\Grzegorz\DANEAP~1\MYSEAR~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA
Task: C:\WINDOWS\Tasks\At4.job => C:\DOCUME~1\Asia\DANEAP~1\MYSEAR~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA
Task: C:\WINDOWS\Tasks\At5.job => C:\DOCUME~1\NETWOR~1\USTAWI~1\DANEAP~1\{38C20~1\UNINST~1.EXE
Task: C:\WINDOWS\Tasks\At6.job => C:\DOCUME~1\MarekM\DANEAP~1\PRICEF~1\SYNCVE~1.EXE
Task: C:\WINDOWS\Tasks\MarekMMorainePapyrusV2.job => C:\WINDOWS\system32\rundll32.exeIsologTeacherage.dll
Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-725345543-117609710-1801674531-1003.job => D:\Program Files\Real\RealUpgrade\realupgrade.exe
Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-725345543-117609710-1801674531-1003.job => D:\Program Files\Real\RealUpgrade\realupgrade.exe
S4 Update BatBrowse; C:\Program Files\BatBrowse\updateBatBrowse.exe [316704 2014-05-04] ()
S4 Util BatBrowse; C:\Program Files\BatBrowse\bin\utilBatBrowse.exe [316704 2014-05-04] ()
S2 pds-srv1; "C:\Program Files\soft Xpansion\Private Data Safe\pds-srv1.exe" [X]
S1 msw_fs1; \??\C:\Program Files\soft Xpansion\Private Data Safe\Kernel\msw_fs1.sys [X]
S3 msw_pds1; \??\C:\Program Files\soft Xpansion\Private Data Safe\Kernel\msw_pds1.sys [X]
S2 msw_ssp1; \??\C:\Program Files\soft Xpansion\Private Data Safe\Kernel\msw_ssp1.sys [X]
S1 SuperMounter; Brak ImagePath
S3 xp; \??\C:\Documents and Settings\MarekM\xp.sys [X]
HKLM\...\Run: [] => [X]
HKU\S-1-5-18\...\RunOnce: [tscuninstall] => %systemroot%\system32\tscupgrd.exe
HKU\S-1-5-18\...\RunOnce: [Del1378656] => cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" <===== UWAGA
HKU\S-1-5-18\...\RunOnce: [Del1085921] => cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" <===== UWAGA
HKU\S-1-5-18\...\RunOnce: [Del1258375] => cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" <===== UWAGA
HKU\S-1-5-18\...\RunOnce: [Del16357093] => cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" <===== UWAGA
HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_20_0_0_286_pepper.exe -update pepperplugin
AppInit_DLLs: sx-prt.dll => Brak pliku
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
ShortcutWithArgument: C:\Documents and Settings\MarekM\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?type=ll&uid=88fc2265-b9ba-40c3-a603-7aca43aed9bc
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?type=ll&uid=88fc2265-b9ba-40c3-a603-7aca43aed9bc
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\SRWare Iron\SRWare Iron.lnk -> C:\Program Files\SRWare Iron\chrome.exe (SRWare) -> hxxp://www.so-v.com/?type=ll&uid=88fc2265-b9ba-40c3-a603-7aca43aed9bc
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.mysearchdial.com/?f=1&a=irmsd103&cd=2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=1719256000&ir=
HKU\S-1-5-21-725345543-117609710-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.mysearchdial.com/?f=1&a=irmsd103&cd=2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=1719256000&ir=
HKU\S-1-5-21-725345543-117609710-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxps://us.search.yahoo.com/yhs/web?hspart=elm&hsimp=yhs-001&type=hdr_s_15_44_orgnl&param1=1&param2=f%3D2%26b%3DIE%26cc%3Dpl%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0StCtAzyyBtN1L2XzutAtFtCtAtFyBtFtAtN1L1Czu1M1Q1CtCzytN1L1G1B1V1N2Y1L1Qzu2SyBtDyC0DyB0FtBtDtGyBtA0DtBtG0FyEzztAtGtC0ByCyEtGyBzyyEtAyEtCzy0DyC0EyDtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAzyyE0AyDtCyCyDtG0EtAyE0CtGyE0E0AtAtGzyzy0CtBtGtAyCtDyEzz0EtCzzzz0AtCtD2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtCyEzy%26cr%3D584656388%26a%3Dhdr_s_15_44_orgnl%26os%3DWindows%2BXP" <======= UWAGA
SearchScopes: HKLM -> DefaultScope {1b31c9d2-7135-442b-bb93-7c002172adc6} URL = hxxps://us.search.yahoo.com/yhs/search?hspart=elm&hsimp=yhs-001&type=hdr_s_15_44_orgnl&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0StCtAzyyBtN1L2XzutAtFtCtAtFyBtFtAtN1L1Czu1M1Q1CtCzytN1L1G1B1V1N2Y1L1Qzu2SyBtDyC0DyB0FtBtDtGyBtA0DtBtG0FyEzztAtGtC0ByCyEtGyBzyyEtAyEtCzy0DyC0EyDtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAzyyE0AyDtCyCyDtG0EtAyE0CtGyE0E0AtAtGzyzy0CtBtGtAyCtDyEzz0EtCzzzz0AtCtD2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtCyEzy%26cr%3D584656388%26a%3Dhdr_s_15_44_orgnl%26os%3DWindows%2BXP&p={searchTerms}
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=1719256000&ir=
SearchScopes: HKLM -> {1b31c9d2-7135-442b-bb93-7c002172adc6} URL = hxxps://us.search.yahoo.com/yhs/search?hspart=elm&hsimp=yhs-001&type=hdr_s_15_44_orgnl&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0StCtAzyyBtN1L2XzutAtFtCtAtFyBtFtAtN1L1Czu1M1Q1CtCzytN1L1G1B1V1N2Y1L1Qzu2SyBtDyC0DyB0FtBtDtGyBtA0DtBtG0FyEzztAtGtC0ByCyEtGyBzyyEtAyEtCzy0DyC0EyDtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAzyyE0AyDtCyCyDtG0EtAyE0CtGyE0E0AtAtGzyzy0CtBtGtAyCtDyEzz0EtCzzzz0AtCtD2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtCyEzy%26cr%3D584656388%26a%3Dhdr_s_15_44_orgnl%26os%3DWindows%2BXP&p={searchTerms}
SearchScopes: HKU\S-1-5-21-725345543-117609710-1801674531-1003 -> DefaultScope {CC555D01-0911-4134-8381-EEF93F56C625} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=1719256000&ir=
SearchScopes: HKU\S-1-5-21-725345543-117609710-1801674531-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=51FC00FF9D7A666D&affID=119357&tsp=5021
SearchScopes: HKU\S-1-5-21-725345543-117609710-1801674531-1003 -> {CC555D01-0911-4134-8381-EEF93F56C625} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=1719256000&ir=
SearchScopes: HKU\S-1-5-21-725345543-117609710-1801674531-1003 -> {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = hxxp://mystart.incredimail.com/?search={searchTerms}&loc=search_box
Toolbar: HKU\S-1-5-21-725345543-117609710-1801674531-1003 -> Brak nazwy - {00000000-5736-4205-0008-F7ED0776FB27} - Brak pliku
Toolbar: HKU\S-1-5-21-725345543-117609710-1801674531-1003 -> Brak nazwy - {00000000-5736-4205-0008-781CD0E19F00} - Brak pliku
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
StartMenuInternet: FIREFOX.EXE - firefox.exe
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Google
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Konnekt
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WINSWEEP Popupblocker
DeleteKey: HKCU\Software\Mozilla\SeaMonkey
DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions
DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\MarekM\Dane aplikacji\PriceFountainUpdateVer
C:\Documents and Settings\MarekM\Ustawienia lokalne\Dane aplikacji\mysearchdial-speeddial.crx
C:\Documents and Settings\MarekM\Ustawienia lokalne\Dane aplikacji\cache
C:\Documents and Settings\MarekM\Ustawienia lokalne\Dane aplikacji\Google
C:\Documents and Settings\MarekM\Ustawienia lokalne\Dane aplikacji\MorainePapyrus
C:\Program Files\BatBrowse
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
DisableService: PLAY ONLINE. RunOuc
Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files\SRWare Iron\chrome.exe"" /f
Reg: reg query HKCU\Software\Classes\http\shell\open\command /s
Reg: reg query HKLM\SOFTWARE\Classes\http\shell\open\command /s
CMD: netsh firewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wygląda na to, że korzystasz z przeglądarki SRWare Iron, ale jest tu także Firefox zanieczyszczony adware. Do wyczyszczenia:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy są zmiany.

 

 

Dodatkowo, jest tu ogromna ilość kont, na razie sprawdzany tylko Marek, wypadałoby zrobić skany FRST z pozostałych kont. Ale najpierw skończymy z Markiem.

 

==================== Konta użytkowników: =============================

Administrator (S-1-5-21-725345543-117609710-1801674531-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator
Agnieszka (S-1-5-21-725345543-117609710-1801674531-1006 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Agnieszka
Asia (S-1-5-21-725345543-117609710-1801674531-1007 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Asia
Grzegorz (S-1-5-21-725345543-117609710-1801674531-1005 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Grzegorz
Mama (S-1-5-21-725345543-117609710-1801674531-1004 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Mama
MarekM (S-1-5-21-725345543-117609710-1801674531-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\MarekM

 

[facet]

Witam serdecznie,

Zrobiłem, starałem SIĘ zrobić rady wyzej opisane i wskazane czynności. Efekt już widze - po zalogowaniu w ciągu 7 sekund Widze juz ambona, Przy zamykaniu Nie trzeba Już nic klikać ponieważ nie nie wyskakuje okno z komunikatem Już ,, kończenie PROGRAMU - Procesu rundll32 exe.

W załączeniu przesyłam dwa logi po zakończeniu naprawy kompa.

Jesteście Wielcy, chyle czoło i Bardzo dziękuję za Już!

 

Fixlog.txt FRST.txt

[picasso]

Ależ ... prawie nic się nie wykonało z punktu 3! Zdewastowałeś skrypt do FRST, uruchomiłeś na stronie forum translator przeglądarki, która niepotrzebnie "przetłumaczyła na polski" mój post, w konsekwencji do Notatnika wkleiłeś bzdury! Skrypt nie może być poddawany żadnym manipulacjom, ma być wklejony tak jak go widać na stronie nie przetłumaczonej. Powtarzaj punkt 3. Po tym nowe logi FRST, miałeś dostarczyć dwa: FRST + Addition.

[facet]

Witam ponownie,

Powtórzyłem pkt.3 zgodnie z opisem. W załączeniu przesyłam logi . według mnie Komputer działa już poprawnie.

Pozdrawiam

 

FRST.txt Addition.txt Fixlog.txt

[picasso]

Tym razem skrypt wykonany. Poprawki:

 

1. Nie odinstalowałeś starych niebezpiecznych wersji: Gadu-Gadu 7.7, Gadu-Gadu 10, Java 6 Update 33, OpenOffice.org 3.2, Opera 12.16, Skype™ 3.8, Skype™ 5.0. Notabene, skróty tej Opery są zainfekowane adware, ale nie naprawiam tego wskazując całkowitą deinstalację przeglądarki.

 

2. Profil Firefox nie został zresetowany, nadal widać w nim preferencje adware. Wdróż zadanie.

 

3. Drobne doczyszczanie. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{48704EAC-685D-B774-0DED-35B8B9E36F21}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YahooProvidedSearch
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\MySearchDial
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

[facet]

Witam,

Dalsza kontynuacja wczorajszego tematu. Zgodnie z wytycznymi odinstalowałem wskazane programy oraz usunąłem profil oo Firefox. W załączeniu fixlog.

Pozdrawiam

 

Fixlog.txt

[picasso]

facet, znowu te same błędy z tworzeniem pliku skryptu, znów uruchomiłeś translator przeglądarki SRWare Iron, który zepsuł skrypt. Wyłącz translator lub nie reaguj na próby tłumaczenia strony fixitpc.pl. Powtarzaj punkt 3. Następnie dla pewności jeszcze zrób nowy log FRST z opcji Skanuj (Scan) z Addition, mający potwierdzić wykonanie wszystkich operacji.

[facet]

Witam,

Zgodnie ze wskazówkami wyłączyłem tłumacz w przeglądarce i powtórzyłem czynności z pkt. 3. W załączeniu logi.

 

pozdrawiam

 

FRST.txt Addition.txt

[picasso]

Nie dostarczyłeś pliku fixlog.txt z wynikami powtórzonej akcji, a dostarczone raporty FRST są stare z wczoraj. Zrób nowe logi FRST z chwili obecnej.

[facet]

Witam,

W załączeniu logi zrobione kilka minut temu

 

Fixlog.txt FRST.txt Addition.txt

[picasso]

1. Ostatnia poprawka na puste wpisy po świeżych deinstalacjach. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera
BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku
FF Plugin: @java.com/DTPlugin,version=1.6.0_33 -> C:\WINDOWS\system32\npdeployJava1.dll [2012-08-09] (Sun Microsystems, Inc.)
CustomCLSID: HKU\S-1-5-21-725345543-117609710-1801674531-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-725345543-117609710-1801674531-1003_Classes\CLSID\{3A348AFF-1337-0420-A942-B5011F78DA33}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-725345543-117609710-1801674531-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-725345543-117609710-1801674531-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Skype
RemoveDirectory: C:\Documents and Settings\Mama\Dane aplikacji\Skype

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. Wracam do tego wątku:

 

picasso napisał:

Dodatkowo, jest tu ogromna ilość kont, na razie sprawdzany tylko Marek, wypadałoby zrobić skany FRST z pozostałych kont. Ale najpierw skończymy z Markiem.

 

==================== Konta użytkowników: =============================

Administrator (S-1-5-21-725345543-117609710-1801674531-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator
Agnieszka (S-1-5-21-725345543-117609710-1801674531-1006 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Agnieszka
Asia (S-1-5-21-725345543-117609710-1801674531-1007 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Asia
Grzegorz (S-1-5-21-725345543-117609710-1801674531-1005 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Grzegorz
Mama (S-1-5-21-725345543-117609710-1801674531-1004 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Mama
MarekM (S-1-5-21-725345543-117609710-1801674531-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\MarekM

 

 

Dotychczas było sprawdzane tylko jedno konto użytkownika MarekM. Jeśli system ma być porządnie sprawdzony, wypadałoby dostarczyć także logi FRST z pozostałych kont po kolei (tzn. będąc na nich zalogowanym), o ile masz dostęp do tych kont.

 

[facet]

W załączeniu Log

 

Fixlog.txt

[picasso]

Fix wykonany. Zostaje więc sprawa pozostałych kont użytkowników w Windows - czy masz do nich dostęp?

[facet]

Własnie uzyskałem dostęp i będe się przelogowywał. i po przelogowaniu wyślę logi

[picasso]

Dla porządku najpierw podaj logi tylko z jednego konkretnego konta. Dopiero gdy zostanie sprawdzone, z następnego.

[facet]

W zalączeniu logi z konta Asia

 

FRST.txt Addition.txt Shortcut.txt

[picasso]

Na koncie Asia następujące czynności do przeprowadzenia:

 

1. I tu Firefox jest zanieczyszczony adware. Czyli z poziomu Asi wykonaj podobne działania jak wcześniej dla Marka:

 

picasso napisał:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

 

2. Mini usuwanie odpadkowych wpisów. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-725345543-117609710-1801674531-1007\...\Run: [Gadu-Gadu] => "D:\Program Files\Gadu-Gadu\gg.exe" /tray
HKU\S-1-5-21-725345543-117609710-1801674531-1007\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=107
C:\Documents and Settings\Asia\Pulpit\Skrót do gg.lnk

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

3. I trzecia sprawa - widziałam to już wcześniej tylko czekałam na log Shortcut pobrany z innego konta, by wykluczyć błąd FRST. Prawie na wszystkich kontach użytkowników innych niż Marek wiele skrótów narzędzi systemowych w Menu Start jest pustych, gdyż kierują na D:\Program files zamiast C:\Program files. Trzebaby było ręcznie skróty poprawić we Właściwościach skrótu podmieniając literę D na C. Dla Asi są to następujące skróty:

 

Shortcut: C:\Documents and Settings\Asia\Menu Start\Programy\Outlook Express.lnk -> D:\Program Files\Outlook Express\msimn.exe (Brak pliku)
Shortcut: C:\Documents and Settings\Asia\Menu Start\Programy\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku)
Shortcut: C:\Documents and Settings\Asia\Menu Start\Programy\Akcesoria\Książka adresowa.lnk -> D:\Program Files\Outlook Express\wab.exe (Brak pliku)
Shortcut: C:\Documents and Settings\Asia\Menu Start\Programy\Akcesoria\Rozrywka\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku)
Shortcut: C:\Documents and Settings\Asia\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> D:\Program Files\Internet Explorer\iexplore.exe (Brak pliku)
Shortcut: C:\Documents and Settings\Asia\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> D:\Program Files\Internet Explorer\IEXPLORE.EXE (Brak pliku)

 

I niektóre skróty matrycy kont wykazują tę samą wadę, czyli każde nowo zakładane konto będzie mieć skróty kierowane na D. Na razie do poprawienia też te skróty:

 

Shortcut: C:\Documents and Settings\Default User\Menu Start\Programy\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku)
Shortcut: C:\Documents and Settings\Default User\Menu Start\Programy\Akcesoria\Rozrywka\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku)

 

[facet]

Witam,

 

Pozmieniałem literki w lokalizacjach, w załączeniu log

 

Fixlog.txt

[facet]

Witam, 

Picasso czy będziemy kontynuować dalsze sprawdzanie kompa na użytkowniku Asia ?

[picasso]

Jeśli wykonałeś też reset Firefox jak powiedziałam, to przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu Asi foldery FRST + Stare dane programu Firefox. I na Asi już skończyliśmy. Teraz dostarcz logi FRST z kolejnego konta.

[facet]

Witaj Picasso,

Dziękuję, że się odezwałaś w załączeniu logi z konta Agnieszka

 

FRST.txt Addition.txt Shortcut.txt

[picasso]

Nie odzywałam się, bo byłam chora, nie byłam w stanie siedzieć przed komputerem.

 

Na Asi nie skorygowałeś tego skrótu:

 

Shortcut: C:\Documents and Settings\Asia\Menu Start\Programy\Akcesoria\Rozrywka\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku)

 

Na Agnieszce identyczne akcje jak na Asi:

 

1. Czyszczenie Firefox z adware:

 

picasso napisał:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

 

Po akcji z Pulpitu przez SHIFT+DEL (omija Kosz) skasuj folder Stare dane programu Firefox. Nawiasem mówiąc, na Asi to nie zostało wykonane.

 

2. Mini korekty. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-725345543-117609710-1801674531-1006\...\Run: [Gadu-Gadu] => "D:\Program Files\Gadu-Gadu\gg.exe" /tray
HKU\S-1-5-21-725345543-117609710-1801674531-1006\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=107
C:\Documents and Settings\Agnieszka\Ustawienia lokalne\Dane aplikacji\d3d9caps.tmp
C:\Documents and Settings\Agnieszka\Pulpit\Skrót do gg.lnk

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

3. Poprawienie liter w skrótach, D:\Program files zastąpić C:\Program files:

 

Shortcut: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Outlook Express.lnk -> D:\Program Files\Outlook Express\msimn.exe (Brak pliku)
Shortcut: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku)
Shortcut: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Akcesoria\Książka adresowa.lnk -> D:\Program Files\Outlook Express\wab.exe (Brak pliku)
Shortcut: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Akcesoria\Rozrywka\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku)
Shortcut: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> D:\Program Files\Internet Explorer\iexplore.exe (Brak pliku)
Shortcut: C:\Documents and Settings\Agnieszka\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> D:\Program Files\Internet Explorer\IEXPLORE.EXE (Brak pliku)

 

4. I jedziemy z kolejnym kontem. Pliku Shortcut nie musisz podawać ponownie. Poprzednie wystarczą.