spawciu Opublikowano 16 Września 2014 Zgłoś Udostępnij Opublikowano 16 Września 2014 Witam serdecznie i jak zawsze w potrzebie zwracam się z gorącą prośbą o ocenę logów i pomoc w oczyszczeniu systemu XP, który normalnym trybie wywala BSOD 0x7B a w trybie awaryjnym da się uruchomić. Występują przy tym komunikaty o błędach, które załączam. Pojawiają się również błędy podczas pracy skanerów - zrzuty także dołączam. Alkoholu nie dało się odinstalować więc użyłem Defogger aby zrobić skan Gmerem po restarcie. Gmer nie umożliwił zaznaczenie wszystkich opcji w/g poradnika (próbowałem kilka razy uruchomić), wykonany z opcjami jak na screenie. Zrobione logi wskazują na rootkit w systemie, nic nie usuwałem jeszcze - czekam na porady. FRST.txt Gmer.txt defogger_disable.txt Odnośnik do komentarza
picasso Opublikowano 16 Września 2014 Zgłoś Udostępnij Opublikowano 16 Września 2014 System jest poważnie zainfekowany. Po pierwsze: jest tu rootkit Necurs, czyli odpowiednik czerwonego wpisu w GMER, wpływający zresztą na częściową blokadę GMER. Po drugie: śmietnisko adware, a inwazyjne wpisy typu AppCertDlls generują owe błędy "Zły obraz". Usuwanie zostanie podzielone na dwa etapy, gdyż w pierwszej kolejności należy uwolnić system od rootkita. Akcja: 1. Uruchom Kaspersky TDSSKiller. Dla wyniku Rootkit.Win32.Necurs.gen punktującego sterownik a9f31c9f453ee82 wybierz akcję Delete. Natomiast jeśli pokażą się jakieś wyniki typu LockedFile.Multi.Generic, omiń przyznając Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Zresetuj system. 2. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz log utworzony przez TDSSKiller. . Odnośnik do komentarza
spawciu Opublikowano 16 Września 2014 Autor Zgłoś Udostępnij Opublikowano 16 Września 2014 Wykonane. System wstał normalnie jednak dalej pojawiły się błędy takie jak na zrzutach a dodatkowo błąd z GoogleUpdate, dorzucam screen. Log z FRST zbyt duży więc wklejam link: http://wklej.org/id/1466027/ TDSSKiller.3.0.0.40_01.01.2005_05.20.21_log.txt TDSSKiller.3.0.0.40_01.01.2005_05.24.21_log.txt TDSSKiller.3.0.0.40_01.01.2005_05.28.56_log.txt Odnośnik do komentarza
picasso Opublikowano 16 Września 2014 Zgłoś Udostępnij Opublikowano 16 Września 2014 System wstał normalnie jednak dalej pojawiły się błędy takie jak na zrzutach vs. Po drugie: śmietnisko adware, a inwazyjne wpisy typu AppCertDlls generują owe błędy "Zły obraz". Usuwanie zostanie podzielone na dwa etapy, gdyż w pierwszej kolejności należy uwolnić system od rootkita. To było oczywiste. Dopiero zabierzemy się się za usuwanie reszty, ale zanim do tego dojdzie: Log z FRST zbyt duży więc wklejam link Log ogromny, bo masz niepoprawny czas systemowy, cofnięcie o prawie 10 lat do tyłu: Ran by Administrator (administrator) on DOMEK-154CD7EAF on 01-01-2005 05:39:46 Skoryguj czas komputera i dopiero po tym zrób nowe skany FRST i OTL (usunęłam jego równie ogromne logi z pierwszego posta). . Odnośnik do komentarza
spawciu Opublikowano 16 Września 2014 Autor Zgłoś Udostępnij Opublikowano 16 Września 2014 No właśnie to zauważyłem i już zdążyłem ustawić i zsynchronizować zanim przeczytałem odpowiedź, sorki - w zamieszaniu umknęło mi to uwadze. Nie było powiedziane czy Shortcut i Addition też ale dołączam świeże logi :-). Wyświetlają się nowe aktualizacje ale wstrzymuję się z instalacją (Junk Email Filter i Narzędzie windows do usuwania złośliwego oprogramowania). FRST.txt Shortcut.txt Addition.txt OTL.txt Odnośnik do komentarza
picasso Opublikowano 16 Września 2014 Zgłoś Udostępnij Opublikowano 16 Września 2014 Przechodzimy do kolejnych czynności: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {9d5747ee-0448-4681-8337-1555de75a3b6}Gt; C:\WINDOWS\System32\drivers\{9d5747ee-0448-4681-8337-1555de75a3b6}Gt.sys [55232 2014-05-06] (StdLib) R1 {9d5747ee-0448-4681-8337-1555de75a3b6}t; C:\WINDOWS\System32\drivers\{9d5747ee-0448-4681-8337-1555de75a3b6}t.sys [55232 2014-06-11] (StdLib) R1 F06DEFF2-5B9C-490D-910F-35D3A9119622; C:\Program Files\Settings Manager\systemk\systemkmgrc2.cfg [34192 2014-07-09] (Aztec Media Inc) S3 gfiark; C:\WINDOWS\System32\drivers\gfiark.sys [43368 2013-05-23] (ThreatTrack Security) S3 catchme; No ImagePath S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X] S3 RkHit; No ImagePath S1 SBRE; \SystemRoot\system32\drivers\SBREDrv.sys [X] S2 syshost32; No ImagePath S2 SystemkService2; C:\Program Files\Settings Manager\systemk\SystemkService.exe [X] S2 Update sizlsearch; No ImagePath S2 Util sizlsearch; "C:\Program Files\sizlsearch\bin\utilsizlsearch.exe" [X] HKLM\...\Policies\Explorer: [NoCDBurning] 0 IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\...\AppCertDlls: [x64] -> c:\program files\settings manager\systemk\x64\sysapcrt.dll [665104 2014-07-09] () HKLM\...\AppCertDlls: [x86] -> C:\Program Files\Settings Manager\systemk\sysapcrt.dll [489488 2014-07-09] () BootExecute: autocheck autochk * ROBoot \??\C:\WINDOWS\system32\ASOROSet.bin Task: C:\WINDOWS\Tasks\DLL-files.com Fixer_UPDATES.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: C:\WINDOWS\Tasks\MigrationUpdateTask.job => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\MigsUpdater\mupdater.exe Task: C:\WINDOWS\Tasks\PC Performer_DEFAULT.job => C:\Program Files\PC Performer\PCPerformer.exe Task: C:\WINDOWS\Tasks\PC Performer_UPDATES.job => C:\Program Files\PC Performer\PCPerformer.exe Task: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job => C:\Program Files\Ask.com\UpdateTask.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.default-search.net?sid=476&aid=132&itype=a&ver=13337&tm=295&src=hmp HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/tvexe/{BD6CF37E-7B36-48FE-A5B4-0B72C5359C3A} URLSearchHook: ATTENTION ==> Default URLSearchHook is missing. URLSearchHook: HKCU - Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No File URLSearchHook: HKCU - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files\uTorrentControl_v2\prxtbuTo0.dll No File URLSearchHook: HKCU - free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\prxtbfre0.dll No File URLSearchHook: HKCU - (No Name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - No File SearchScopes: HKLM - DefaultScope {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL = SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13337&tm=295&src=ds&p={searchTerms} SearchScopes: HKCU - DefaultScope Software\Microsoft\Internet Explorer\SearchScopes URL = SearchScopes: HKCU - ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} SearchScopes: HKCU - {4852013D-4DF9-4CCE-946E-3BF32E06AA5E} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 SearchScopes: HKCU - {6A2520F7-A902-41D6-8157-2F91AC717196} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=835E1A82-A8FA-45F3-89D5-26BA43BAA330&apn_sauid=96483B34-4336-4D0D-A074-CE9342C15542 SearchScopes: HKCU - {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} URL = http://www.bigseekpro.com/search/browser/tvexe/{BD6CF37E-7B36-48FE-A5B4-0B72C5359C3A}?q={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13337&tm=295&src=ds&p={searchTerms} SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640 BHO: Speed Analysis 2 -> {18DBB6CE-3148-4FEC-B481-103CB3290427} -> No File BHO: uTorrentControl_v2 Toolbar -> {7473b6bd-4691-4744-a82b-7854eb3d70b6} -> C:\Program Files\uTorrentControl_v2\prxtbuTo0.dll No File BHO: Zula Games -> {A9337080-7CBF-4E3E-80C1-3867BEDD88E0} -> No File BHO: Ask Toolbar -> {D4027C7F-154A-4066-A1AD-4243D8127440} -> No File BHO: free-downloads.net Toolbar -> {ecdee021-0d17-467f-a1ff-c7a115230949} -> C:\Program Files\free-downloads.net\prxtbfre0.dll No File BHO: SMTTB2009 Class -> {FCBCCB87-9224-4B8D-B117-F56D924BEB18} -> C:\Program Files\DealBulldog Toolbar Toolbar\tbcore3.dll () Toolbar: HKLM - DealBulldog Toolbar Toolbar - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files\DealBulldog Toolbar Toolbar\tbcore3.dll () Toolbar: HKLM - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKLM - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files\uTorrentControl_v2\prxtbuTo0.dll No File Toolbar: HKLM - free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\prxtbfre0.dll No File Toolbar: HKCU - No Name - {472734EA-242A-422B-ADF8-83D1E48CC825} - No File Toolbar: HKCU - DealBulldog Toolbar Toolbar - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files\DealBulldog Toolbar Toolbar\tbcore3.dll () Toolbar: HKCU - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU - uTorrentControl_v2 Toolbar - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - C:\Program Files\uTorrentControl_v2\prxtbuTo0.dll No File Toolbar: HKCU - free-downloads.net Toolbar - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\prxtbfre0.dll No File Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File CHR Extension: (Speed Analysis 2) - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dgjkhjdcljddbedokogakmmdjgnbeanf [2013-10-01] CHR Extension: (uTorrentControl_v2) - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda [2012-09-19] CHR Extension: (Zula Games) - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\gflandjopdloblmlcoiidmncpinmmacn [2013-10-01] CHR HKLM\...\Chrome\Extension: [dgjkhjdcljddbedokogakmmdjgnbeanf] - C:\Documents and Settings\Administrator\Dane aplikacji\SpeedAnalysis2\SpeedAnalysis.crx [2013-06-11] CHR HKLM\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [2012-08-26] CHR HKLM\...\Chrome\Extension: [gflandjopdloblmlcoiidmncpinmmacn] - C:\Documents and Settings\Administrator\Dane aplikacji\zulagames\zulagames.crx [2013-07-01] CHR HKLM\...\Chrome\Extension: [idhngdhcfkoamngbedgpaokgjbnpdiji] - C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Ext\realdownloader.crx [2013-08-14] CHR HKCU\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [2012-08-26] FF Plugin: @SonyCreativeSoftware.com/Media Go,version=1.0 -> C:\Program Files\Sony\Media Go\npmediago.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\05691417.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\17634354.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\05691417.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\17634354.sys => ""="Driver" C:\Documents and Settings\Administrator\Dane aplikacji\Ad-Aware Antivirus C:\Documents and Settings\Administrator\Dane aplikacji\DealPly C:\Documents and Settings\Administrator\Dane aplikacji\Fighters C:\Documents and Settings\Administrator\Dane aplikacji\IObit C:\Documents and Settings\Administrator\Dane aplikacji\newnext.me C:\Documents and Settings\Administrator\Dane aplikacji\OpenCandy C:\Documents and Settings\Administrator\Dane aplikacji\PC Cleaners C:\Documents and Settings\Administrator\Dane aplikacji\PCPro C:\Documents and Settings\Administrator\Dane aplikacji\PerformerSoft C:\Documents and Settings\Administrator\Dane aplikacji\PriceGong C:\Documents and Settings\Administrator\Dane aplikacji\Settings Manager C:\Documents and Settings\Administrator\Dane aplikacji\Thinstall C:\Documents and Settings\Administrator\Dane aplikacji\Toolbar4 C:\Documents and Settings\Administrator\Dane aplikacji\Uniblue C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\CRE C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\MigsUpdater C:\Documents and Settings\All Users\Dane aplikacji\{615DB4DC-B7C1-4125-9858-78EF460B76D2} C:\Documents and Settings\All Users\Dane aplikacji\{C3A0BC24-5248-46F8-962F-59949FDFC11B} C:\Documents and Settings\All Users\Dane aplikacji\188F1432-103A-4ffb-80F1-36B633C5C9E1 C:\Documents and Settings\All Users\Dane aplikacji\Fighters C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService C:\Documents and Settings\All Users\Dane aplikacji\Logs C:\Documents and Settings\All Users\Dane aplikacji\systemk C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\Wincert C:\Documents and Settings\LocalService\Dane aplikacji\Fighters C:\Documents and Settings\NetworkService\Dane aplikacji\Fighters C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\*.temp C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\drivers\{9d5747ee-0448-4681-8337-1555de75a3b6}Gt.sys C:\WINDOWS\System32\drivers\{9d5747ee-0448-4681-8337-1555de75a3b6}t.sys C:\WINDOWS\System32\drivers\gfiark.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DLL-Files Fixer" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PC_CLEAN" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f CMD: netsh firewall reset Hosts: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Nastąpi restart, wejdź w Tryb normalny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj adware, zbędniki i starocie: Adobe Flash i Reader (wszystkie wystąpienia), Ask Toolbar, Ask Toolbar Updater, DealBulldog Toolbar Toolbar, Dll-Files Fixer, free-downloads.net Toolbar, Java (wszystkie pozycje), Linkey, Settings Manager, sizlsearch, Speed Analysis 2, Spybot - Search & Destroy, Qtrax Player (2 pozycje), uTorrentControl_v2 Toolbar, Zula Games Jeśli jakaś pozycja będzie niewidoczna, nieistotne, idź dalej: 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy default-search.net i inne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
spawciu Opublikowano 16 Września 2014 Autor Zgłoś Udostępnij Opublikowano 16 Września 2014 Wykonane, przy deinstalacji śmieci było kilka błędów. Przeglądarki zresetowane, logi dorzucam i idę już lulu - reszta jutro :-). Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2014 Zgłoś Udostępnij Opublikowano 17 Września 2014 Nadal widzę starą Java, to była jedna z owych pozycji zwracających błąd? Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\RunOnce: [removeSettingsManagerdatamngr] => cmd.exe /c RD /S /Q "C:\Program Files\Settings Manager" BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.) FF Plugin: @java.com/DTPlugin,version=10.7.2 -> C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) C:\Documents and Settings\Administrator\Dane aplikacji\Toolbar4 C:\Documents and Settings\Administrator\Dane aplikacji\SpeedAnalysis2 C:\Documents and Settings\Administrator\Dane aplikacji\zulagames C:\Program Files\Java C:\Program Files\Speed Analysis 2 C:\Program Files\Spybot - Search & Destroy 2 C:\Program Files\Zula Games C:\WINDOWS\system32\ScanResults.xml C:\WINDOWS\system32\ScannerSettings RemoveDirectory: C:\Documents and Settings\Administrator\Pulpit\Stare dane programu Firefox CMD: sc config Eventlog start= disabled EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny plik fixlog.txt i go zachowaj. 2. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\SpybotSD.evt CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom specjalne usuwacze do Java, czyli firmowy + JavaRa: KLIK. 5. Ponownie w Google Chrome: - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. - W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też oba pliki fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
spawciu Opublikowano 17 Września 2014 Autor Zgłoś Udostępnij Opublikowano 17 Września 2014 Witam ponownie, wszystko wykonane w/g powyższych instrukcji. System już świetnie się spisuje, jedynym mankamentem jest to, że kółko myszy (PS-2, kablowa) nie przewija mi strony zarówno w przeglądarce jak i w folderach - nie wiem co jest tego przyczyną. Świeże logi do wglądu. FRST.txt Fixlog1.txt Fixlog2.txt AdwCleanerR0.txt AdwCleanerS0.txt JavaRa.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2014 Zgłoś Udostępnij Opublikowano 17 Września 2014 Kolejne poprawki: 1. Nadal widzę w Google Chrome adware jako domyślnego dostawcę wyszukiwania: Chrome: ======= CHR DefaultSearchProvider: Default -> default-search.net CHR DefaultSearchURL: Default -> http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13337&tm=295&src=ds&p={searchTerms} Czy na pewno resetowałeś ustawienia przeglądarki? Jeśli tak, to proponuję jednak Google Chrome przeinstalować, przy instalacji zatwierdzasz usuwanie "danych użytkownika". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\.DEFAULT\...\Run: [Google Update] => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [116648 2014-02-08] (Google Inc.) S2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google CMD: del /q C:\JavaRa.log CMD: del /q "C:\Documents and Settings\All Users\Pulpit\PC Scan & Repair by Reimage.lnk" CMD: del /q C:\WINDOWS\Tasks\ReimageUpdater.job DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Dostarcz wynikowy fixlog.txt. System już świetnie się spisuje, jedynym mankamentem jest to, że kółko myszy (PS-2, kablowa) nie przewija mi strony zarówno w przeglądarce jak i w folderach - nie wiem co jest tego przyczyną. Start > Uruchom > main.cpl i sprawdź czy są widoczne opcje konfiguracji kółka i co tam jest. . Odnośnik do komentarza
spawciu Opublikowano 17 Września 2014 Autor Zgłoś Udostępnij Opublikowano 17 Września 2014 Tak, zdecydowanie potwierdzam, resetowałem ustawienia Chrome ze 2 razy. Dorzucam screen stanu obecnego, tak też było po resecie przeglądarki. Co do: Start > Uruchom > main.cpl i sprawdź czy są widoczne opcje konfiguracji kółka i co tam jest. Wywala błąd taki jak na screenie: Odnośnik do komentarza
picasso Opublikowano 17 Września 2014 Zgłoś Udostępnij Opublikowano 17 Września 2014 Tak, zdecydowanie potwierdzam, resetowałem ustawienia Chrome ze 2 razy. Dorzucam screen stanu obecnego, tak też było po resecie przeglądarki. Niemniej log FRST wykazuje, że plik Preferences nadal trzyma śmieci. Stąd też propozycja kompleksowej reinstalacji. Wywala błąd taki jak na screenie Błąd wskazuje, że wklejasz całą treść z mojego posta, a mnie nie o to chodziło. Masz wywołać Start, następnie Uruchom, i dopiero wtedy wklepać main.cpl i OK. . Odnośnik do komentarza
spawciu Opublikowano 17 Września 2014 Autor Zgłoś Udostępnij Opublikowano 17 Września 2014 Masz wywołać Start, następnie Uruchom, i dopiero wtedy wklepać main.cpl i OK. O żesz ..., ale mnie zaćmiło - przepraszam, coś dziś rozkojarzony jestem. Opcje kółka wyświetlają się, aktualnie przewijanie o 1 linię. Po zmianie na 2 i zastosowaniu zmian brak oznak reakcji - kółko nadal nie przewija. Chrome usunięte wraz z ustawieniami użytkownika i zainstalowane na nowo, po tej czynności nie mogę wykonać logu FRST (dorzucone informacje na ten temat w załączniku). Natomiast OTL wykonał się bez problemu. Zrestartuję komputer i sprawdze ponownie FRST. Edit: Po restarcie log FRST bezproblemowy, dorzucony do zestawu. Zastanowiło mnie jednak co innego - kliknięcie w Firefox spowodowało wywołanie okna: Uruchomienie jako Dorzucam screen. FRST.txt a52f_appcompat.txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2014 Zgłoś Udostępnij Opublikowano 18 Września 2014 Log z OTL usuwam, nie jest potrzebny. Natomiast log FRST poświadcza wyczyszczenie preferencji Google Chrome. Opcje kółka wyświetlają się, aktualnie przewijanie o 1 linię. Po zmianie na 2 i zastosowaniu zmian brak oznak reakcji - kółko nadal nie przewija. Od kiedy kółko przestało przewijać, przed infekcją czy już po? Czy próbowałeś przeinstalować mysz via Menedżer urządzeń? Czy masz możliwość podpięcia innej myszki PS/2, by sprawdzić czy defekt jest relatywny do konkretnej myszy czy może wszystkich tego samego typu? Zastanowiło mnie jednak co innego - kliknięcie w Firefox spowodowało wywołanie okna: Uruchomienie jako Czy to się powtarza? . Odnośnik do komentarza
spawciu Opublikowano 18 Września 2014 Autor Zgłoś Udostępnij Opublikowano 18 Września 2014 Witam ponownie :-) Odnośnie myszy: podpięcie myszy USB pokazało, że przewijanie działa prawidłowo. Spróbuje w takim razie przeinstalować myszkę PS2. Natomiast Okno uprawnień włączyło się ponieważ: PKM na ikonie firefoksa\Właściwości\Skrót\Zaawansowane\Uruchom z innymi właściwościami - okienko było zaptaszkowane. W Chrome oraz IE nie ma zaznaczonej tej opcji ptaszkiem. Resetowałem już 2x Firefox do ustawień domyślnych, czy to wystarczy? Czy może jeszcze na wszelki wypadek cos sprawdzić? Skąd wzięło się to zaznaczenie? Nurtuje mnie jeszcze jedna rzecz: PKM na jakielkowiek ikonie i wśród poleceń znajduję "Run QuickBackup". Nie ma powiązań z żadnym plikiem bo przeszukałem dysk w tym kierunku, chyba że wystepuje jakaś akcja niewidoczna o której nie mam pojęcia. No i na koniec pytanie: czy jeszcze jechać na XP póki się da normalnie na nim pracować i czym go zabezpieczać? Pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 18 Września 2014 Zgłoś Udostępnij Opublikowano 18 Września 2014 Natomiast Okno uprawnień włączyło się ponieważ: PKM na ikonie firefoksa\Właściwości\Skrót\Zaawansowane\Uruchom z innymi właściwościami - okienko było zaptaszkowane. W Chrome oraz IE nie ma zaznaczonej tej opcji ptaszkiem. Resetowałem już 2x Firefox do ustawień domyślnych, czy to wystarczy? Czy może jeszcze na wszelki wypadek cos sprawdzić? Skąd wzięło się to zaznaczenie? Nie wiem skąd ta opcja się tam znalazła, ale reset Firefox w ogóle nie zajmuje się korektą skrótów aplikacji, skróty muszą być ręcznie korygowane. Nurtuje mnie jeszcze jedna rzecz: PKM na jakielkowiek ikonie i wśród poleceń znajduję "Run QuickBackup". Nie ma powiązań z żadnym plikiem bo przeszukałem dysk w tym kierunku, chyba że wystepuje jakaś akcja niewidoczna o której nie mam pojęcia. To mi wygląda na opcję wprowadzoną przez Samsung Auto Backup (figuruje na Twojej liście zainstalowanych). Na wszelki wypadek zrób log z Autoruns (zapisz log w formacie TXT a nie ARN). Narzędzie uwzględnia skan ContextMenuHandlers, tych sfer nie skanują FRST i OTL. No i na koniec pytanie: czy jeszcze jechać na XP póki się da normalnie na nim pracować i czym go zabezpieczać? Wprawdzie poświęciłam sporo czasu dla tego XP i zdaje się być dostatecznie wyczyszczony (będą jeszcze ogólne skany i końcowe kroki), ale moje stanowisko jest raczej jasne w przyklejonym temacie. System przestarzały i bez wsparcia. Nie namawiam na używanie XP, zakładam że ktoś używając go nadal po prostu nie ma możliwości zmiany systemu (za stary sprzęt, brak finansów i podobne). . Odnośnik do komentarza
spawciu Opublikowano 18 Września 2014 Autor Zgłoś Udostępnij Opublikowano 18 Września 2014 Nie wiem skąd ta opcja się tam znalazła, ale reset Firefox w ogóle nie zajmuje się korektą skrótów aplikacji, skróty muszą być ręcznie korygowane. Może niedoprecyzowałem wcześniej moją odpowiedź - po zabraniu ptaszka Firefox odpala się normalnie. Nie namawiam na używanie XP, zakładam że ktoś używając go nadal po prostu nie ma możliwości zmiany systemu (za stary sprzęt, brak finansów i podobne). No dokładnie jest tak jak piszesz, póki jednak przyjdzie czas na zmiany to jeszcze troszkę XP popracuje. Poczytam w takim razie podwieszony. Log Autoruns dołączam. AutoRuns.txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2014 Zgłoś Udostępnij Opublikowano 18 Września 2014 Autoruns nie widzi pozycji "Run QuickBackup". Podaj raport z SilentRunners. Może niedoprecyzowałem wcześniej moją odpowiedź - po zabraniu ptaszka Firefox odpala się normalnie. Tak, zrozumiałam co mówisz. Komentowałam fakt resetu Firefox, bo to nie reperuje żadnych skrótów. . Odnośnik do komentarza
spawciu Opublikowano 18 Września 2014 Autor Zgłoś Udostępnij Opublikowano 18 Września 2014 Zrobione Startup Programs (DOMEK-154CD7EAF) 2014-09-18 18.42.28.txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2014 Zgłoś Udostępnij Opublikowano 18 Września 2014 Pełne zaćmienie miałam, szukałam wg nazwy wejścia menu. Wygląda na to, że omawiana opcja to te wpisy: "HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers" "" "" "" "2014-09-17 01:05" + "SimpleShlExt" "IntelliStor ShContextMenu Module" "Clarus, Inc." "c:\program files\clarus\samsung auto backup\shcontextmenu.dll" "2010-08-28 14:46" "HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers" "" "" "" "2014-08-20 00:08" + "SimpleShlExt" "IntelliStor ShContextMenu Module" "Clarus, Inc." "c:\program files\clarus\samsung auto backup\shcontextmenu.dll" "2010-08-28 14:46" By to potwierdzić na 100%, w Autoruns w karcie Explorer wyłącz oba wejścia SimpleShlExt od Samsung i zresetuj system. Jeśli opcja zniknie z widoku, jasna sprawa. . Odnośnik do komentarza
spawciu Opublikowano 18 Września 2014 Autor Zgłoś Udostępnij Opublikowano 18 Września 2014 To nie to, dalej jest odnośnik do w/w menu kontekstowego. Zniknęło tylko z PKM na notatniku i folderach. Powiem inaczej - jeśli to nie jest szkodliwe to może szkoda marnować cenny czas na niekonieczne działania. Zainteresowało mnie to tylko ze względu na to, że nic się nie dzieje po kliknięciu na ten button (bądź też jak wspomniałem wcześniej - ja tego nie widzę) i chciałem być pewien że to nie żadna jakaś "niespodzianka". Reszta wydaje się pracować normalnie, może nawet dośc dobrze jak na staruszka. Pozostaje jeszcze kwestia nasmarowania wentylatorów i będzie śmigał jak nówka ;-). Edit: Mysz po przeinstalowaniu dalej nie "kręci", temat pominiemy - nie mam drugiej na PS2. Póki co USB jest OK. Odnośnik do komentarza
picasso Opublikowano 18 Września 2014 Zgłoś Udostępnij Opublikowano 18 Września 2014 To nie to, dalej jest odnośnik do w/w menu kontekstowego. Zniknęło tylko z PKM na notatniku i folderach. Czyli to. Jeśli wyłączanie spowodowało zanik wejścia o dokładnie takiej nazwie na określonych obiektach, lecz inne nadal to pokazują, są dwie możliwości: - Ominąłeś jeden wpis przy wyłączaniu - Jest więcej rejestracji menu kontekstowego których Autoruns i Silent Runners nie pokazują Zainteresowało mnie to tylko ze względu na to, że nic się nie dzieje po kliknięciu na ten button Skoro na dodatek to martwa funkcja, wyrejestruj całkowicie moduł. Start > Uruchom > wklej komedę: regsvr32 /u "c:\program files\clarus\samsung auto backup\shcontextmenu.dll" Zresetuj system. Podaj czy wejście całkowicie zniknęło. . Odnośnik do komentarza
spawciu Opublikowano 18 Września 2014 Autor Zgłoś Udostępnij Opublikowano 18 Września 2014 Zrobione, już się nie pokazuje. W Autoruns na 100% były wyłączone 2 wpisy - wychodzi więc na to, że jest ich gdzieś troszkę wiecej. Pozostałe programy posprawdzam i odinstaluję co już niepotrzebne, mam nadzieję że dłuższy czas będzie trochę spokoju :-). Możemy chyba kończyć. Edit 20-09-2014 Komp pracuje normalnie, druga myszka PS2 też nie przewija kółkiem. Urządzenie było odinstalowywane i ponownie instalowane w systemie - brak zmian, dalej kółko nie przewija. Nie stanowi to jednak wielkiego problemu, a z czystej ciekawości nie rozgrzebię systemu. Można temat zamknąć, wsparcie wysłane - jak zawsze WIELKIE dzięki za pomoc :-). Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się