Rozwalony system po FreeVpn, przywracanie systemu błąd 0xc0000022

[effy90]

Wszystko było ok do wczorajszej instalacji FreeVpn z tej strony hxxp://download.cnet.com/Free-VPN/3000-7240_4-75445860.html

Zainstalowalo sie pełno śmieci, zamknęła się przeglądarka, komputer zawiesił się, wyskoczył niebieski ekran, Spyhunter zatrzymuje się na 97% i nie można dalej przeskanować, a po zrobieniu przywracania systemu wyskoczył błąd 0xc0000022.

  

Dalej wszystko działa tragicznie..prosze o pomoc.

Do tego AdBlock w chrome nie działa wyskakuje bezowe pole bez napisow typu unblock itd.

[picasso]

Nie jest dla mnie jasne czy w obecnej chwili system się w ogóle uruchamia. Jeśli tak, należy podać obowiązkowe logi FRST i GMER zrobione spod Windows: KLIK. Jeśli nie, to podaj log FRST zrobiony z poziomu środowiska zewnętrznego: KLIK.

 

A SpyHunter to program wątpliwej reputacji z czarnej listy! Reklamiarz występujący w wysoko pozycjonowanych na Google tendencyjnie skonstruowanych opisach "usuwania infekcji" jako "szczepionka", po czym po instalacji wychodzi na jaw, że usuwanie jest płatne.

 

Proszę nie spamować na forum zakładając wielokrotne tematy w różnych działach (to grozi blokadą konta za spam). Wszystko idzie do śmieci.

[effy90]

Ok, nie wiedziałam w jakim dziale założyć temat dlatego prosze o zachowaniu postu w odpowiednim dziale. Dodam FRST i GMER.

 

Robię właśnie ten GMER i zaznaczyłam C:\ czy powinnam zatrzymać i zaznaczyć Quick scan?

Co do FRST nie powstał mi w ogóle taki plik jak FRST Shortcut, tylko tamte dwa, mam sprobowac jeszcze raz?

[picasso]

Robię właśnie ten GMER i zaznaczyłam C:\ czy powinnam zatrzymać i zaznaczyć Quick scan?

Skoro już pełny skan się robi, pozwól mu skończyć.

 

 

Co do FRST nie powstał mi w ogóle taki plik jak FRST Shortcut, tylko tamte dwa, mam sprobowac jeszcze raz?

W konfiguracji programu jest napisane, że należy zaznaczyć stosowne pole w oknie, by ten log powstał:

 

[effy90]

Robiłam ten pelen skan ale wszytsko sie zwiesilo wiec robię teraz ten szybki skan.

 

 

jeszcze gorszy problem usunęłam profil z chrome wraz z wszystkimi ważnymi zakładkami z artykułami do pobrania potrzebnymi mi do pisania pracy... i innymi mniej waznymi ..czy da sie to odzyskac w jakikolwiek sposob?

FRST2.txt

Addition2.txt

Shortcut.txt

GMER.txt

[picasso]

Analizą raportów zajmę się potem, bo teraz muszę się oddalić z forum. Wieczorem/nocą będę. Na szybko:

 

jeszcze gorszy problem usunęłam profil z chrome wraz z wszystkimi ważnymi zakładkami z artykułami do pobrania potrzebnymi mi do pisania pracy... i innymi mniej waznymi ..czy da sie to odzyskac w jakikolwiek sposob?

Da się odzyskać dane z kopii cieniowej systemu. Są tu następujące punkty Przywracania systemu:

 

==================== Restore Points =========================
 

20-01-2015 18:52:58 Windows Update

21-01-2015 16:15:03 Installed VpnOneClick

24-01-2015 02:51:14 Operacja przywracania

24-01-2015 03:02:05 avast! antivirus system restore point

24-01-2015 04:52:27 Operacja przywracania

24-01-2015 05:03:26 avast! antivirus system restore point

24-01-2015 05:20:40 Windows Update

24-01-2015 14:01:59 SPTD setup V1.86

 

Uruchom Shadow Explorer (portable). Z menu rozwijanego wybierz odpowiednio "starą" datę (czas gdy zakładki były). Następnie z boku w eksploratorze wyszukaj folder:

 

C:\Users\User\AppData\Local\Google\Chrome\User Data\Default

 

W środku powinny być pliki Bookmarks + Bookmarks.bak. Z prawokliku opcja Export i zapisz na Pulpicie. Albo nawet cały folder Default ze wszystkimi poprzednimi ustawieniami wyeksportuj na Pulpit. Wstawianiem tego z powrotem do Google Chrome zajmiemy się potem.

[effy90]

Ok, to co powyżej już zrobiłam.

[picasso]

Ok, to co powyżej już zrobiłam.

Tym się zajmiemy po wstępnym wyczyszczeniu systemu.

 

Natomiast przechodząc do czyszczenia i usprawniania systemu: widać tu inwazyjne odpadki adware (sterowniki), ale system jest też obciążony nadmiarem skanerów. Dwa antywirusy czynne równolegle, tzn. Avast + MSSE, a na dokładkę lewy SpyHunter i przestarzały Spybot. Działania wstępne:

 

1. Przez Panel sterowania odinstaluj stare wersje, zbędniki i nadmiar skanerów: Adobe Flash Player 13 Plugin, Adobe Reader X (10.1.4), Bing Bar, Gadu-Gadu 10, Java 7 Update 7, McAfee Security Scan Plus, Microsoft Security Essentials, Spybot - Search & Destroy, SpyHunter. Przy okazji możesz odinstalować i inne programy z których nie korzystasz.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {442ad619-2fad-4d96-9434-49e6d1c6e280}Gw64; C:\Windows\System32\drivers\{442ad619-2fad-4d96-9434-49e6d1c6e280}Gw64.sys [48792 2014-12-20] (StdLib)
R1 {db4225e9-90b8-4ca5-99da-da423e504d3d}Gw64; C:\Windows\System32\drivers\{db4225e9-90b8-4ca5-99da-da423e504d3d}Gw64.sys [48792 2014-12-19] (StdLib)
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
HKU\S-1-5-21-1130217176-4031021830-1519301973-1000\...\Run: [HW_OPENEYE_OUC_PLAY ONLINE] => C:\Program Files (x86)\PLAY ONLINE\UpdateDog\ouc.exe [110592 2009-04-14] (Huawei Technologies Co., Ltd.)
HKU\S-1-5-21-1130217176-4031021830-1519301973-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep"
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016&ts=1383916579&type=default&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016&ts=1383916579&type=default&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKU\S-1-5-21-1130217176-4031021830-1519301973-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=156
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016&ts=1383916579&type=default&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016&ts=1383916579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms}
CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Task: {8C46E089-36E6-4DDB-A563-72F4EEA5D19E} - System32\Tasks\{2BEBB58B-66C7-4C54-8A89-B4904585E017} => pcalua.exe -a "C:\Program Files (x86)\ASUS\RT-N12E Wireless Router Utilities\QISWizard.exe" -d "C:\Program Files (x86)\ASUS\RT-N12E Wireless Router Utilities" -c /nc
Task: {A8276233-DA3F-44C8-A68F-D6AB4EF82555} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe
Task: {E77D93BB-C2FF-4110-BA4F-903E1086C650} - System32\Tasks\Opera scheduled Autoupdate 1419004772 => C:\Program Files (x86)\Opera\launcher.exe
CHR HKLM\...\Chrome\Extension: [dchmpbaclbiioedakpcldenooikekokm] - C:\Users\User\AppData\Local\foxtab_speeddial.crx [2013-11-04]
CHR HKU\S-1-5-21-1130217176-4031021830-1519301973-1000\...\Chrome\Extension: [dchmpbaclbiioedakpcldenooikekokm] - C:\Users\User\AppData\Local\foxtab_speeddial.crx [2013-11-04]
CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path
CHR HKLM-x32\...\Chrome\Extension: [dchmpbaclbiioedakpcldenooikekokm] - C:\Users\User\AppData\Local\foxtab_speeddial.crx [2013-11-04]
CHR HKLM-x32\...\Chrome\Extension: [nneajnkjbffgblleaoojgaacokifdkhm] - C:\Program Files (x86)\DivX\DivX Plus Web Player\chrome\DivXHTML5\DivXHTML5.crx [2011-12-12]
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File
FF HKLM-x32\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\DivXHTML5
C:\Program Files (x86)\e6a75288-a604-433f-9ca8-633c471ed540
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\iWebar
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\Program Files (x86)\SourceApp
C:\Program Files (x86)\VpnOneClick
C:\Program Files (x86)\XTab
C:\Program Files (x86)\YouTube Accelerator
C:\ProgramData\{*}.log
C:\ProgramData\IHProtectUpDate
C:\ProgramData\Temp
C:\ProgramData\WindowsMangerProtect
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\User\AppData\Local\CrashDumps
C:\Users\User\AppData\Local\CrashRpt
C:\Users\User\AppData\Local\globalUpdate
C:\Users\User\AppData\Roaming\omiga-plus
C:\Users\Public\Documents\GOOBZO
C:\Users\Public\Documents\ShopperPro
C:\Users\Public\Documents\YTAHelper
C:\Users\User\Downloads\*.tmp
C:\windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
C:\Windows\System32\drivers\{442ad619-2fad-4d96-9434-49e6d1c6e280}Gw64.sys
C:\Windows\System32\drivers\{db4225e9-90b8-4ca5-99da-da423e504d3d}Gw64.sys
C:\windows\SysWOW64\GroupPolicy\GPT.INI
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bonus.SSR.FR11" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Napraw uszkodzony specjalny skrót Internet Explorer. W pasku adresów eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Zrób nowy log FRST z opcji Scan (zaznacz pola Addition i Shortcut, by powstały trzy logi). Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz pozytywne zmiany.

[effy90]

Ok dziekuje za pomoc! A jak zrobie ten punkt 2 to co wtedy zostanie usunięte z mojego komputera? 

Co do programow z punktu pierwszego to Bing Bar, Spybot i McAfee moge odinstalowac bo te tylko mi są zbedne a resztę potrzebuję.

Microsoft Security Essentials > co do tego programu to nie wiem on chyba był od zawsze tak mi sie wydaje? po co go usuwać?

[picasso]

A jak zrobie ten punkt 2 to co wtedy zostanie usunięte z mojego komputera?

Dokładnie to co widać w skrypcie - każda linia jest przedstawiona w konkretny sposób, widać skąd usuwam z rejestru lub dysku. Opisując ogólnie co usuwam: odpadkowe wpisy adware, wpisy puste oraz Tempy.

 

 

o do programow z punktu pierwszego to Bing Bar, Spybot i McAfee moge odinstalowac bo te tylko mi są zbedne a resztę potrzebuję.

Wyliczone Adobe Flash, Adobe Reader, GG10 i Java są stare (luki bezpieczeństwa). Dlatego jest podana deinstalacja, w ramach zabezpieczeń systemu. Na końcu po czyszczeniu systemu zostaną zastąpione najnowszymi wersjami. Jest na forum temat przeznaczony tej partii finalizacji tematu: KLIK. Na razie deinstalacja, nic nie instaluj nowego, dam wyraźny sygnał w odpowiednim czasie kiedy zainstalować najnowsze wersje.

 

 

Microsoft Security Essentials > co do tego programu to nie wiem on chyba był od zawsze tak mi sie wydaje? po co go usuwać?

MSSE nie jest preinstalowany na systemie Windows 7, został doinstalowany celowo ręcznie lub jako opcjonalna aktualizacja z Windows Update. A powód deinstalacji już był przedstawiony:

 

system jest też obciążony nadmiarem skanerów. Dwa antywirusy czynne równolegle, tzn. Avast + MSSE, a na dokładkę lewy SpyHunter i przestarzały Spybot.

System jest skatowany antywirusami, chodzą w tle równolegle skanery, co powoduje obciążenie zasobów i obniżenie wydajności. Nie wolno takich rzeczy robić, że jest zainstalowany więcej niż jeden antywirus z osłoną rezydentną. Zalecenie deinstalacji MSSE a nie Avast, gdyż ten drugi ma po prostu więcej funkcji.

[effy90]

ok wszystko zrobione, wiekszość odinstalowałam ale np. gg nie odinstalowywałam bo wolę zostać przy tej wersji niż pobierać później tą nową. Wszystko na razie chodzi w porządku, ogólnie zauważyłam, że zaczął cały komp sprawniej chodzić w momencie jak ten profil chromu z cała zawartością usunęłam. A teraz przy ponownym starcie komputera nie ładuje się juz długo i nie ma długo ekranu czarnego, jeszcze sie nie zwiesił póki co więc chyba wszystko w porządku

Czy teraz mogę już instalować adobe, jave itd? 

I jak mogę te zakładki przetransportować do chrome?

Fixlog.txt

FRST3.txt

Addition3.txt

Shortcut3.txt

[effy90]

Instaluje adobe reader teraz poki co bo musze prace pisac a mnie czas goni, a artykuly z ktorych korzystam sa w pdfie, pozniej najwyzej znowu odinstaluje go jesli trzeba bedzie jak dostane dalsze instrukcje co robić.

[picasso]

wiekszość odinstalowałam ale np. gg nie odinstalowywałam bo wolę zostać przy tej wersji niż pobierać później tą nową

Jaki powód konkretnie? GG10 to najgorsza z wersji Gadu: ciężka, najwięcej reklam, wiele funkcji w niej już nie działa (usunięte niektóre serwisy Gadu), nie obsługuje też nowych cech protokołu GG. Najnowsze GG12 jest lepsze: nieco lżejsze, mniej reklam, nowe funkcje autoryzacyjne, najlepsza obsługa protokołu GG. Dokładne opisy wersji GG tutaj: KLIK. Polecam też zamiast GG alternatywny program WTW - ma bardzo dobrą obsługę GG (włączając w to protokół wersji GG11/12) i całkowity brak reklam.

 

 

Instaluje adobe reader teraz poki co bo musze prace pisac a mnie czas goni, a artykuly z ktorych korzystam sa w pdfie, pozniej najwyzej znowu odinstaluje go jesli trzeba bedzie jak dostane dalsze instrukcje co robić.

Zakładam, że zainstalowałaś najnowszą wersję. Tego nie wiem, bo log Addition pochodzi sprzed tej operacji.

 

 

 

---

1. Nie został odinstalowany SpyHunter. To do wykonania. Jest to niepożądany program, który nabiera użytkownika.

 

2. Pozostałe poprawki. Otwórz Notatnik i wklej w nim:

 

BootExecute: autocheck autochk * sdnclean64.exe
FF Plugin-x32: @java.com/DTPlugin,version=10.7.2 -> C:\windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll No File
C:\Program Files (x86)\Spybot - Search & Destroy 2
C:\ProgramData\Spybot - Search & Destroy
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt.

 

3. W kwestii:

 

I jak mogę te zakładki przetransportować do chrome?

Przy zamkniętym Google Chrome w pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1

 

Wstaw tam te dwa przekopiowane wcześniej pliki Bookmarks + Bookmarks.bak zastępując pliki aktualnie tam występujące. Uruchom Google Chrome i sprawdź czy przyjęło zakładki.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[effy90]

Zainstalowałam GG12 ale nie leży mi coś ten nowy wygląd, mam na razie obie wersje, jak się może w końcu przyzwyczaję do nowej to wtedy usunę starą.

Zakładki z Chrome wróciły na miejsce, więc ogromnie dziękuję za pomoc!

Co do Spy to on, że tak powiem już wiele razy "uratował mi dupę" i bez niego pełno malware na pewno zgromadzę..

Zainstalowałam jeszcze w rozszerzeniach Chrome program Hola Better Internet. Czy jest to bezpieczny program czy może jest jakiś inny program Vpn do polecenia? 

Fixlog2.txt

FRST4.txt

Addition4.txt

Shortcut4.txt

[picasso]

Co do Spy to on, że tak powiem już wiele razy "uratował mi dupę" i bez niego pełno malware na pewno zgromadzę..

Ale SpyHunter to program z czarnej listy! Do poczytania co to za jeden: KLIK. Nikt tego nie poleca, wszyscy to deinstalują. Tu jeszcze stara wersja sprzed kilku lat. Jego użyteczność jest niska. Porządny wiarygodny program to Malwarebytes Anti-Malware.

 

SpyHunter nadal do deinstalacji. Po deinstalacji nowy log FRST.