prtcl

Dzięki śliczne. Załączam logi jakby co (ten z 2 w nazwie oczywiście pierwszy ). Fixlog.txt Fixlog-2.txt

Dzięki za pomoc Po zakończeiu skanowania konieczny był reboot. Z dobrych wieści strona startowa jest teraz czysta, przynajmniej na razie Logi w załączniku. Addition.txt Fixlog.txt FRST.txt

Hey, Zaktualizowałem sobie dziś 2 playery video, które miałem od lat nieaktualizowane - KMPlayer i VLC. Oba prosiły o aktualizację od jakiegoś czasu, ale olewałem to konsekwentnie, gdyż słusznie obawiałem się, że KMP może doinstalować jakieś śmieci (doszły mnie słuchy, że nowsze wersje są zaśmiecone i jak się okazało jest to prawdą), a VLC... zwyczajnie mi się nie chciało (traktuję go zresztą jako player rezerwowy). Do rzeczy, po aktualizacji KMP zauważyłem, że w systemie pojawiło się trochę więcej nowości niż się spodziewałem: Opera, nowy pasek w Firefoksie, zmieniła się też strona startowa na search[dot]eshield[dot]com. Stronę startową zmieniłem sam, wywaliłem też niechcianą wyszukiwarkę z przeglądarki. Odinstalowałem Operę przez programy i funkcje, z tego samego miejsca wyrzuciłem jakieś inne nieznane mi rzeczy, które miały dzisiejszą datę instalacji (ze 2 aplikacje). Jedna aplikacja (chyba właśnie ta związana z modyfikacjami przeglądarki) nie chciała się odinstalować - udało się po ubiciu powiązanego z nią procesu - to było chyba coś z TNT w nazwie,bo ADWCleaner to później doczyszczał. Z rzeczy, których ja nie instalowałem, z dzisiejszą datą mam teraz w "programy i funkcje" widoczne dwie aplikacje - Firefoksa i Chrome Remote Desktop Host - obie miałem już wcześniej w systemie i regularnie z nich korzystam - czy to możliwe, że to aktualizacja, czy może KMP w nich coś mógł namieszać i lepiej przeinstalować dla bezpieczeństwa? Po restarcie przeglądarki ustawiła mi się znów ta dziwna strona startowa. Wtedy ściągnąłem ADWCleaner i przejechałem nim system. Wywaliłem co znalazł, logi w załączniku. Strona startowa przestała się sama zmieniać, więc naiwnie uznałem sprawę za zakończoną i ściągnąłem/odpaliłem jeszcze TFC. Niestety po restarcie systemu dziwaczna strona startowa wróciła Na domiar złego w międzyczasie zanim zorientowałem się że coś jest nie tak korzystałem normalnie z przeglądarki - wpisywałem "hasło główne" i przy pomocy zapamiętywanych haseł w przeglądarce (mam ich tam sporo) logowałem się do serwisów. W związku z tym pytanie, czy istnieje ryzyko, że jakieś hasła zostały wykradzione? Czy któryś z syfów instalowanych z KMP lub obecnych w systemie działa jak keylogger lub w jakiś sposób próbuje wykradać poufne dane? Załączam logi z chyba wszystkiego co trzeba, będę wdzięczny za wskazówki. AdwCleanerC1.txt AdwCleanerS1.txt defogger_disable.txt FRST.txt Addition.txt Shortcut.txt gmer.txt

Ad 1. Done. Jeśli mogę coś zasugerować, to nie polecałbym tego softu, uruchomiłem go z pulpitu i skasował siebie, folder FRST na dysku i klucze bodajże OTL w rejestrze, ale nie ruszył w ogóle folderu z narzędziami, logów itp. Użyłem następnie starym zwyczajem opcji "sprzątanie" z OTL, która jak wiadomo usuwa co nieco, ale nie wszystko. Potem z ciekawości odpaliłem jeszcze DelFix z folderka w którym były narzędzia i logi - nie skasował nic. Przeniosłem wszystko na pulpit i dopiero wtedy zadziałał - czyli w pełni działa tylko gdy narzędzia i on sam są na pulpicie. Do tego zostawił log shortcut z FRST oraz wykonywalnego gmera. Nie wiem czy nie zostawiłby czegoś jeszcze gdybym miał pełny zestaw (część skasował wcześniej OTL). Poza kluczem z rejestru chyba pewniej byłoby instruować użytkowników, aby kasowali wszystko ręcznie niż polecać to narzędzie. Ad 2. Done. Ad 3. AVG zaktualizowane. IE niestety nie da się zaktualizować - Windows Update widzi ze 2 wersje, chyba 9 i 10 albo 10 i 11, ale żadna aktualizacja się nie powodzi (inne aktualizacje instalują się bez problemu), także ręczna próba zainstalowania IE11 pobranego ze strony MS kończy się niepowodzeniem. Swego czasu spędziłem nad tym chwilę, próbowałem instalować różne wersje, uruchamiałem jakieś automatyczne narzędzia do rozwiązywania problemów z IE od MS i nie doszedłem do żadnych sensownych wniosków. Obstawiam, że system jest umiarkowanie legalny (właściciele nie wiedzą, ktoś im kiedyś instalował itp.) i to pewnie jest przyczyna dla której nowsza wersja IE niż 8 nie chce się przyjąć :/

Splendid! Wszystko poszło jak z płatka, dowody zbrodni zapięte. Fixlog.txt FRST.txt

LIT, AVG Free wykrył Generic5.AOJM w c:/Users/Ewa/AppData/Roaming/newnext.me/nengine.dll - wcześniej wyskoczyło systemowe okno, że nie można odpalić tego pliku, dopiero później okno AVG - to przy starcie sysa. Dałem do kwarantanny czy jak to się tam u nich nazywa. Podobno komunikat wyskakuje od dawna (od ok. 2 miechów), ale jeszcze z tydzień temu korzystałem z tego kompa i nic nie widziałem, więc być może wyskakuje wybiórczo. Nie wiem czy log z OTL jest poprawny, bo 2 razy odpalałem i 2 razy opcja "Rejestr" przestawiała się w trakcie skanu na "Wszystko". Results of screen317's Security Check version 0.99.80 Windows 7 Service Pack 1 x86 (UAC is disabled!) ``````````````Antivirus/Firewall Check:`````````````` AVG Anti-Virus Free Edition 2012 Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` TweakNow RegCleaner Java 7 Update 51 Adobe Flash Player 12.0.0.77 Mozilla Firefox (27.0.1) ````````Process Check: objlist.exe by Laurent```````` AVG avgwdsvc.exe AVG avgtray.exe AVG avgrsx.exe AVG avgnsx.exe AVG avgemc.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` Addition.txt defogger_disable.txt Extras.Txt FRST.txt gmer.txt OTL.Txt Shortcut.txt

Narzędzie SystemLook nic nie znalazło, za to pojawiły się wyniki gdy szukałem analogicznego klucza dla Adobe Readera. Log w załączniku. 2 - SystemLook.txt

Dzięki za wszystko Kawał dobrej roboty Do kompa nr 2 jeszcze wrócę, ale pewnie w przyszłym tygodniu, bo w tym już nie znajdę na to czasu, więc proszę o nie zamykanie na razie tematu. Mam jeszcze dotatkowe pytanko dotyczące service packów do MS Office. Nie jestem pewien, czy pakiety są legalne, czy scrackowane - czy w tym drugim przypadku instalacja SP może zablokować pakiet? Na razie pominąłem ten krok, bo właściciele twierdzą, że jakiegoś Office kupowali, ale nie pamiętają jakiego i czekam aż znajdą jakieś info :/

Kompy nr 1 i 3 ogarnięte w pełni - dzięki jeszcze raz Kompem nr 4 zajmuję się w tej chwili (zostały mi tylko niektóre aktualizacje), gdyby jeszcze były jakieś problemy, to się odezwę, tym czasem także dzięki Gmer na wszystkich XP wyłączył DMA - nareperowane Komp nr 3 z tego powodu startował ok 5-10 minut, teraz jest OK. Co do kompa nr 2 - dzięki za radę, niestety podlinkowane narzędzie krzyczy o instalację SP-ileśtam do .NET Framework, która się wysypuje, więc narzędzia nie odpalę. Ale mam teorię - być może usunięcie folderka "Eset" spowodowało pozbycie się cracka? Lub w ogóle odinstalował się z nodem i został tylko martwy wpis w dodaj-usuń, który skasował np. TFC? Po Adobe Readerze z tego co widzę został tylko pusty folder w Program Files, który usunąłem dziś ręcznie. Być może usunął go faktycznie ktoś inny, choć wydaje mi się to mało prawdopodobne - prędzej uwierzę, że sam usunąłem "mechanicznie" i zapomniałem Można to olać, czy jakieś pozostałości mogłyby zmniejszyć bezpieczeństwo? Noda i tak nie ma, zainstalowałem już Avasta, a do pdf'ów jest Sumatra. Co do kompa nr 5 - akcje wykonane, logi w załączniku. Przy okazji zauważyłem, że to niemiłosierne mulenie powoduje proces mcshield.exe, który przez większość czasu okupuje ok 80-100% procesora, np. podczas wchodzenia do folderka, uruchamiania dowolnego programu itp. - trwa to niemiłosiernie długo i w tym czasie system strasznie zamula. Chwilami muszę czekać kilka sekund zanim wyświetli się menu kontekstowe, lub przełączy folder, bo w tle uruchamia się notatnik :/ 5 - AdwCleanerR0.txt 5 - AdwCleanerS0.txt 5 - Fixlog.txt 5 - FRST.txt

To nie cud, między liniami są odstępy, tylko pewnie sprawdzasz pod Windows zwykłym notatnikiem, albo innym edytorem, który nie rozpoznaje znaków końca linii zrobionych pod Ubuntu Dzięki za wszstkie odpowiedzi, skany z kompa nr 5 wrzucę jak znajdę chwilę żeby się nim zająć. W międzyczasie jeszcze drobna sprawa dot. kompa nr 2 - już wykonałem większość aktualizacji i zaskoczyło mnie, że na liście w dodaj/usuń nie widziałem w ogóle Adobe Readera (jest Adobe Air jedynie, w zasadzie Adobe Reader jest niepotrzebny, bo zainstalowałem Sumatrę, ale to dziwne, że go nie ma), oraz tego Fixa do Noda (w ogóle to dziwne, bo w kompie nie ma Noda) - czy to możliwe, że któreś z poprzednich kroków to wyczyściły?

Dzięki ponowne Na kompach 3-5 odpalałem FRST ściągnęte ok. tydzień temu (tuż przed analizą kompów 1-2), bo miałem problemy z dostępem do sieci w celu ściągnięcia nowszej. Dziś już użyłem świeżej i pachnącej W załącznikach logi z kompów nr 3 i 4. Tym razem bez niespodzianek, ładnie się wszystko wyczyściło i nic raczej nie pominąłem. Komp nr 5 ogarnę dziś wieczorem. Czy możesz polecić jakiegoś darmowego antywirusa, którego można zastosować na komputerach firmowych? Część to chyba domowe, będę jeszcze dopytywał. Na domowych pewnie zainstaluje Avasta, choć jestem otwarty na sugestie. Niestety do firmowych kompów raczej odpada... Dzięki jeszcze raz za pomoc i wszystkie informacje Edit: Dołączam pełen zestaw logów z kompa nr 5. 3 - Fixlog.txt 3 - FRST.txt 4 - Fixlog.txt 4 - FRST.txt 5 - Addition.txt 5 - checkup.txt 5 - defogger_disable.txt 5 - Extras.Txt 5 - FRST.txt 5 - gmer.txt 5 - OTL.Txt

Dzięki za wskazówki i info na temat robaka Jesteś nieoceniona Na kompie nr 1 (ten z Windows 7) ktoś inny w międzyczasie odinstalował przestarzałego Kaspersky'ego i McAfee Security Scan Plus oraz zainstalował Avirę. Widziałem też jakiś upierdliwy program z chomika na pulpicie, którego nie kojarzę z wcześniejszej wizyty. Kojarzysz może, czy coś takiego pakuje się jako "dodatek" przy instalacji innego programu, np. Aviry, czy może była to świadoma instalacja?) Właściciel kompa nie jest jedynym użytkownikiem i nie jest pewien :/ Nie wiem czy jeszcze coś było robione. Odinstalowałem bez problemu Ask Toolbar Updater i uTorrentBar Toolbar, z Ask Toolbar były problemy, wyskakiwał dziwny błąd "no use" lub podobnie, ale za którymś razem poszło. Logi w załączniku. Pominąłem na razie krok z resetowaniem Firefoksa - jest tam zapisanych dużo haseł - czy ten krok je wyczyści? Co z historią i zakładkami? Jest jakieś alternatywne rozwiązanie, mniej drastyczne? Na kompie nr 2 wykonałem wskazane kroki, a przynajmniej tak mi się wydawało... teraz dopiero widzę, że pominąłem krok nr 2 :/ Wykonam go w przyszłości, czy po nim będzie jeszcze raz konieczne użycie AdwCleaner i TFC? Logi w załączniku. W międzyczasie przeskanowałem 2 kolejne kompy, nr 3 - stacjonarka z XP PL i nr 4 - stacjonarka z XP EN. Widzę na nich te same objawy po włożeniu pendrive, więc prawdopodobnie na obu siedzi robak. Proszę o przejrzenie logów i wskazówki. Piąty, jeszcze jeden laptop z XP, będzie najprawdopodobniej jutro, bo to chyba najwolniejszy sprzęt jaki widziałem w życiu i skanowanie trwa wieki. Robaka chyba na nim nie ma, bo nie robi rabanu na pendrive (chyba, że jeszcze nie zdążył przemielić w tej swojej powolności ), ale dla pewności chciałbym jego też przebadać. Edit: A jednak jeszcze dziś 1 - AdwCleanerR0.txt 1 - AdwCleanerS0.txt 1 - FRST.txt 2 - AdwCleanerR0.txt 2 - AdwCleanerS0.txt 2 - Fixlog.txt 2 - FRST.txt 3 - Addition.txt 3 - checkup.txt 3 - defogger_disable.txt 3 - Extras.Txt 3 - FRST.txt 3 - gmer.txt 3 - OTL.Txt 4 - Addition.txt 4 - checkup.txt 4 - defogger_disable.txt 4 - Extras.Txt 4 - FRST.txt 4 - gmer.txt 4 - OTL.Txt

To już raczej nie będzie potrzebne, bo ostatecznie okazało się, że wszystkie dane mają kopie zapasowe i sformatowałem wszystkie pendrive'y z poziomu ubuntu. Podstawa to teraz analiza logów i kroki naprawcze.

Witam, Tym razem grubsza sprawa... Sąsiad poprosił mnie dziś o pomoc w "zduszeniu wirusa z pendrajfa". W skrócie problem polega na tym, że sąsiad ma 3 laptopy, 2 stacjonarki (na razie mam dostęp tylko do 2 laptopów, logi z pozostałych kompów przedstawię jak będę miał możliwość je wykonać), 4 pendrive'y i gdzieś skądś jakoś złapał wirusa lub wirusy, które następnie prawdopodobnie poprzenosił tymi pendrive'ami z komputera na komputer. Twierdzi, że zaniósł jednego z kompów do "firmy komputerowej", która rozwiązała problem, jednak jak się nietrudno domyślić szybko on wrócił (zresztą widząc w jakim stanie firma oddała kompa jej kompetencje pozostawię bez komentarza). Objaw: po włożeniu pendrive do kompa nie widać plików, które na nim były, tylko jakby skrót do tego samego pendrive, a dopiero po wejściu w ten skrót pojawiają się pliki. Przynajmniej tak to wygląda spod Windows. W pasku adresu po wejściu na skrót widać, że pliki są w dodatkowym podfolderze o pustej nazwie (zapewne w nazwie jest jakiś "pusty" znak ascii). Sprawdziłem to na własnym "czystym" (tzn. niezawirusowanym, ale miałem na nim pliki) pendrive - włożyłem go najpierw do kompa oznaczonego tu numerem 2, czyli tego, który naprawiała ta firma i efekt jw. Potem włożyłem go jeszcze do kompa nr 1, gdyż na tego pendrive kopiowałem logi, a potem na swoim kompie obejrzałem zawartość spod Ubuntu, aby zobaczyć dobrze jak to wygląda i widzę, że utworzył się wspomniany folder bez nazwy (niewidoczny na Windows), skrót do niego (widoczny na Windows) i wszystkie pliki, które wcześniej były na pendrive (wliczając mój spreparowany folder autorun.ini i znajdujący się w środku folder con, aby programy pod Windows nie mogły stworzyć pliku autorun.ini) przeniosły się do tego nowego foldera. Bezpośrednio na pendrive powstały ponadto pliki niewidoczne na Windows - desktop.ini, thumbs.db, autorun.inf (co ciekawe pusty) oraz jakiś plik z losowymi znaczkami w nazwie (inna nazwa na każdym pendrive) i rozszerzeniem ini lub inf (nie pamiętam w tej chwili, mogę sprawdzić jeśli to istotne). Posiadam spakowaną kopię tych 4 plików, które się utworzyły na moim pendrive, mogę gdzieś zuploadować lub podesłać jeśli to może pomóc w diagnozie. Pendrive'y póki co zabezpieczyłem w następujący sposób: - skasowałem pliki: losowy ini/inf, desktop.ini, thumbs.db, autorun.inf - utworzyłem folder autorun.inf i w środku folder o nazwie con - dzięki temu nie da się tego ruszyć spod Windows - przeniosłem z powrotem zawartość foldera o "pustej" nazwie na wierzch, skasowałem folder o "pustej" nazwie - powtórzyłem krok pierwszy (część z plików była także w folderze o "pustej" nazwie, ale tylko na jednym pendrive) Proszę o info, czy coś jeszcze trzeba robić z samymi pendrive'ami. Chodzi przede wszystkim o to, żeby zabezpieczyć je tak, aby nie przynosić na nich więcej wirusów z innych kompów - wydawało mi się, że moja metoda jest dobra, ale jak widać nie jest. Na razie pouczyłem sąsiada, aby nie wkładał ich do kompów dopóki ich nie wyczyszczę. Ogólnie problem polega na tym, że nie chcę z nich usuwać wszystkich danych, gdyż mogą tam być ważne pliki, których nie ma gdzie indziej (co do tego upewnie się jeszcze), ale chcę się upewnić, że nie zostały tam pozostałości po wirusie, na pewno będę skanował ich zawartość avastem, ale nie wiem, czy to wystarczy. Na jednym pendrive znalazłem plik .exe o nazwie wskazującej na to, że jest to instalka programu Trojan Remover firmy Simply Super Software - jak dla mnie brzmi to podejrzanie, ale prosiłbym o potwierdzenie. Info o kompach, które dotychczas zdiagnozowałem: Komp nr 1: Jest tu Win7 SP1 x64 i jakiś zdezaktualizowany Kaspersky, na który skończyła się licencja. Poniżej dokładne logi. Log z gmer wykonywałem na końcu i robiłem go 3 razy - za 1. razem zapomniałem go zapisać, za 2. razem podczas jego wykonywania pojawił się BSOD. Za 3. razem w końcu pojawił się log. W międzyczasie zorientowałem się, że zapomniałem o defoggerze - dociągnąłem go i odpaliłem przed wykonaniem loga nr 3 lub już w trakcie (nie pamiętam już, ale wydaje mi się, że nie było potrzeby użycia go, bo nie prosił nawet o restart kompa, a na kompie nie ma alcohola ani deamon tools, ale w razie czego mam dostęp do kompów i mogę wykonać ten log raz jeszcze). Komp nr 2: Jest tu WinXP SP2 bez antywirusa (sic!). Odpaliłem IE6 i zobaczyłem z 5 toolbarów - dawno nie widziałem takiego widoku. To ten komputer, który był zaniesiony niedawno do "firmy komputerowej", która podobno usunęła wirusa i stwierdziła, że komputer jest już czysty i można go spokojnie używać (sic!!!). Loga z gmer nie przedstawiam, gdyż gmer wyświetlił info, że w systemie nie ma żadnych modyfikacji. Tu również o defoggerze przypomniałem sobie po czasie i odpaliłem go już w trakcie działania gmera, być może to przyczyna, ale ponownie jak na drugim kompie odnoszę wrażenie, że nic nie zablokował. Loga z gmera już nie powtarzałem, bo generowanie pierwszego trwało bardzo długo. W ogóle system wygląda na czysty, praktycznie nie ma na nim softu, obstawiam, że "firma komputerowa" "rozwiązała problem" robiąc formata i oddając pustego kompa z SP2 bez zabezpieczeń Nie podejmowałem na razie żadnych akcji ratunkowych ani prób zabezpieczania na kompach, poziom zainfekowania jakiego się tu spodziewam to dla mnie zdecydowanie za duży hardkor. Z góry dzięki za pomoc 1-Addition.txt 1-checkup.txt 1-defogger_disable.txt 1-Extras.Txt 1-FRST.txt 1-gmer.txt 1-OTL.Txt 2-Addition.txt 2-checkup.txt 2-defogger_disable.txt 2-Extras.Txt 2-FRST.txt 2-OTL.Txt

Jest zainstalowane.

Aux, dzięki za odpowiedź Był tylko jeden pliczek, jest w załączniku: http://speedy.sh/cvgDs/Mini072713-01.zip

Belfegor, napisałeś, że takie przeniesienie może sprawiać problemy, to co ja napisałem jedynie potwierdziło, że to brzmi prawdopodobnie (więc czepiając się tego pośrednio zaprzeczasz własnym słowom), a teraz zwracasz mi uwagę, że straszę ludzi (sic!) czymś, czego nie sprawdziłem (nie mając absolutnie żadnego pojęcia na temat moich doświadczeń w tym temacie), co sam zrobiłeś post wcześniej (pisząc, że przeniesienie systemu moim sposobem może się nie udać, choć jak sam przyznałeś nie próbowałeś tego), nie wspominając już, że temat który drążysz nie jest tym, o co pytałem. Co się stało z wysokim poziomem pomocy jaką można było tu uzyskać? Rozumiem, że brakuje Ci wiedzy albo chęci aby mi pomóc, gdyż nie napisałeś jak na razie ani słowa na temat wspomnianych BSODów i problemów z aktualizacją, w związku z czym proszę Cię, abyś się w nim nie wypowiadał, bo takimi postami jedynie zaśmiecasz temat i marnujesz swój i mój czas. Założyłem temat aby uzyskać pomoc, nie aby prowadzić jałowe dyskusje na luźno powiązane tematy, przekomarzać się i licytować kto co robił i ile razy.

Przeniesienie profilu przeglądarki wydaje mi się bardziej ryzykowne, biorąc pod uwagę, że może część ważnych informacji była w rejestrze, może na innym systemie jest inna wersja i inny format plików itp. Tu bym przeniósł wszystko, razem z plikami rejestru, cały sprzęt i podział na partycję zostałby bez zmian, wiem, że przeniesienie Linuksa w ten sposób nie byłoby problemem, ew. wymagałoby podmiany guidów w jednym lub dwóch plikach, ale Windows to Windows, więc wolałem dopytać. Ale nie ma co gdybać, myślałem, że ktoś próbował, a skoro nie, to może przetrę szlaki i będę pierwszy Tak jak pisałem to ostateczność, na razie wolałbym powalczyć z BSODami i postawić ten system działający i zaktualizowany. Ma ktoś jakiś pomysł co zrobić z tym błędem?

Dzięki za radę, to dość oczywista sprawa, tyle, że kompletnie nie odpowiada na moje pytanie. Nie pytałem jak robić backupy, które potem chcę przywracać, tylko czy po przywróceniu w taki sposób będzie działać. Ten backup nie był robiony celem przywracania, tylko żeby mieć dostęp do plików gdybym zapomniał czegoś ważnego skopiować przed formatem. Nie miałem czasu skakać po folderach i wybierać co jest ważne, a co nie, a miejsca mi nie brakowało, więc zrzuciłem całość z myślą, że odfiltruję potem. Format już był, czasu nie cofnę i profesjonalnego backupu teraz nie zrobię, więc takie rady niewiele teraz pomogą. Potrzeba screena? Musiałbym to robić jeszcze raz, a dostęp do kompa będę miał wieczorem. MemTest przeszedł 2 razy i było 0 errorów, HDTune przeskanował dysk i były same zielone kwadraty, 0 bad sectorów, było to pełne skanowanie (nie Quick Scan) - czy te informacje nie wystarczą? Na zakładce na której HD Tune prezentuje dane SMART był jakiś jeden warning na żółto, bez errorów na czerwono.

Witam, Mam w domu komputerek złożony z różnych archaicznych podzespołów, który działał sobie dotychczas pod kontrolą Windows XP. Oryginalny system, były instalowane na bieżąco wszystkie aktualizacje itp. i działał na nim darmowy Avast. Od jakiegoś czasu osoby używające go zaczęły się skarżyć na wolne działanie i randomowe wieszanie na amen. Często też komputer wieszał się na ekranie "Trwa zamykanie systemu Windows". System był instalowany ponad 3 lata temu, więc stwierdziłem, że nie ma sensu bawić się w jego diagnozę i reanimację, tylko trzeba go postawić od nowa. Zresztą nie podejrzewałem zawirusowania, bo były wszystkie aktualizacje i działał avast, a osoby korzystające z tego kompa raczej nie instalują nie wiadomo czego nie wiadomo skąd. 90% jego zastosowań to YT, facebook, nk, strona banku, mail i skype. Po formacie i instalacji czystego XP (płytka z SP2 PL z MSDN AA) spotkała mnie niemiła niespodzianka - nie uruchomiło się automatycznie po odpaleniu systemu Windows Update jak to się zazwyczaj działo. Zawsze instaluję wszystkie aktualizacje, a następnie antywirusa zanim zabiorę się za resztę programów, a nawet sterowniki (wyj. grafika, którą muszę mieć od razu, bo inaczej nie da się pracować), więc stwierdziłem, że muszę to ogarnąć zanim ruszę dalej. Wejście na Windows Update z menu start odpalało stronę z serwerów MS w IE6, która wywalała jakiś błąd, nie pamiętam dokładnie treści, ale coś a'la typowe 404. Jakiś formant ActiveX się tam instalował, w każdym razie nie działało. Ostatni raz instalowałem ten system kilka lat temu, więc uznałem, że być może w mechaniźmie aktualizacyjnym ze strony serwera zaszły już takie zmiany, że tak archaiczny system ich nie ogarnie "choćby skały srały" i trzeba mu w tym pomóc aktualizując go "ręcznie" przynajmniej do pewnego stanu, z którego już ruszy dalej sam, więc dociągnąłem SP3 z jakiegoś znanego serwisu z legalnymi programami, więc raczej sprawdzona wersja. Po doinstalowaniu SP3 aktualizacje nie działały nadal, ale tego błędu już nie było, zamiast tego po wejściu na stronę miałem wybór aktualizacji ekspresowej lub standardowej, wybrałem standardową, ale w nieskończoność się to ładowało. W międzyczasie instalowałem jakieś ActiveX ze strony MS, w końcu pojawiła się upragniona żółta tarczka w trayu i cośtam się zaktualizowało, ale jakby pojedyncza aktualizacja, tak jakby sam updater. Gdzieś w międzyczasie instalowało się też narzędzie MS do usuwania syfu. Potem dalej nic. Nie mogłem już patrzeć na IE6, więc zainstalowałem Firefoksa, ale dostałem info, że strona działa tylko w IE, więc dociągnąłem ręcznie IE8 (ze strony komputer świata), zainstalowałem i nagle po wejściu na stronę aktualizacje ożyły, co prawda na stronie wciąż było ładowanie w nieskończoność, ale wróciła żółta tarczka w trayu i zaczęło się dociągać chyba 94 lub 95 poprawek, następnie się zainstalowały (wszystko w tle w trayu podczas gdy Windows normalnie pracował). Już się cieszyłem że działa. Niestety po instalacji jak chciałem zrestartować kompa, to zwisł na ekranie "Trwa zamykanie systemu Windows", siedział na nim dobrą minutę lub dwie, w tym czasie sprawdziłem czy nie zwisł całkiem wciskając num lock na klawiaturze - reakcja była, więc nie umarł całkiem, ale dysk już nie pracował, więc go zresetowałem twardo i dostałem przy starcie BSODa (bez polskich znaków, ale to chyba nieistotne): Włożyłem z powrotem płytę z XP i użyłem opcji naprawy systemu. Naprawa wyglądała właściwie jak normalna instalacja, wyświetlały się te informacje jaki to ich system nie jest świetny itp. potem wyskoczyły opcje językowe, tyle, że dodatkowo dostałem monit o wybór przeglądarki, którego nie miałem wcześniej, a opcje językowe już były tak ustawione jak je ustawiłem. Po wszystkim system wstał, zresetowała się rozdzielczość ekranu, ale stery do grafiki były zainstalowane, Firefox też, z tym, że znów było SP2. Update znów nie działało, te same poblemy co na początku. Ponownie zainstalowałem SP3, wrócił też IE6, ale był zepsuty, tzn. nawet jak wpisałem coś w jego pasku adresu, to uruchamiało się to w nowym oknie Firefoxa, mimo, że domyślną przeglądarką był IE, więc zainstalowałem ponownie również IE8, tym razem jednak żadne aktualizacje nie ruszyły mimo to, a na stronie Windows Update wciąż w nieskończoność było ładowanie. Zaktualizowałem Windows Update na Microsoft Update z poziomu strony Microsoftu, ale bez zmian, tylko nazwa inna. Wtedy znalazłem na tym forum link do jakiegoś narzędzia Microsoftu, nazywało się WU Fix It czy jakoś tak (pobrane tym razem ze strony MS, więc bankowo sprawdzone), służyło do rozwiązywania problemów z aktualizacjami. Odpaliłem je, doinstalowałem ze strony MS potrzebny .NET Framework 2, narzędzie naprawiło jakieś błędy (nie pamiętam szczegółów, ale wyświetliło komunikat, że jakieś błędy były znalezione i naprawione, coś mi się kojarzy, że jakaś zmiana adresu, w sumie ze 3 pozycje tam były). Od tego momentu Microsoft Update zaczęło jakby działać. Jakby, bo samo nie startowało, ale po uruchomieniu strony i wybraniu aktualizacji ekspresowej pojawiała się upragniona żółta tarczka w trayu, która pobierała aktualizacje. Zazwyczaj pobieranie trwało w nieskończoność i wisiało na iluś %, różne liczby, za każdym razem inne, bo odpalałem to kilka razy (miałem wtedy drobne problemy z łączem i podejrzewałem, że to jest powodem, więc po zwiechach restartowałem kompa czekając aż się w końcu pobierze do końca bez zawieszenia), w międzyczasie w przeglądarce cały czas było ładowanie, nie raz działało kilkanaście minut i nigdy nie doszło dalej niż do ładowania. Obserwowałem sobie też menadżer procesów i zauważyłem, że przed bsodami podczas pobierania aktualizacji najintensywniej pracował wuauclt.exe, teraz wuauclt.exe siedział praktycznie na idlu, a pracował update.exe, który pojawiał się i znikał. Pewnie różnica między Windows Update i Microsoft Update. W końcu postanowiłem wyłączyć kompa i spróbowac później, jak net będzie działał stabilnie i ku mojemu zaskoczeniu podczas wyłączania normalnie na niebieskim tle już zaczęło się instalować 95 aktualizacji, choć przed wyłączeniem pobieranie znów zwisło, tym razem na 33%. Zaktualizowały się wszystkie, trwało to z 10-15 minut i szły po kolei bez errorów, niektóre szybciej, niektóre wolniej, w każdym razie wyglądało to tak, jakby jednak były ściągnięte poprawnie. Po całej zabawie komp znów zwisł na ekranie "Trwa zamykanie systemu Windows", tym razem zostawiłem go tak na kilkanaście minut, bez pracującego dysku, ale całkowitej zwiechy nie było, bo cały czas działało przełączanie numlocka na klawiaturze. W końcu go zresetowałem i po resecie pojawił się znów ten sam BSOD, co wcześniej. Wtedy przypomniałem sobie, że mam jakieś liveCD i postanowiłem podmienić tego DLL'a na poprawną wersję zdartą z sieci. Zdarłem go stąd: http://www.dll-files.com/dllindex/dll-files.shtml?imagehlp wybrałem najnowszą wersję. Odpaliłem kompa z liveCD, podmieniłem ten plik (podmienił się na nieco mniejszy i niecały mieisąc starszy) i po restarcie dostałem inny BSOD (znów z krzakami): Wtedy przypomniałem sobie, że mam kopię dysku systemowego sprzed formata (zawsze robię taką kopię na wypadek, gdybym zapomniał o skopiowaniu jakichś ważnych danych), więc z niej dokopiowałem ten plik imagehlp.dll, rozmiar był taki jak przed pierwszą podmianą i po restarcie ten sam BSOD. Dysponuję: - oryginalną płytką Windows XP SP2 PL - pełną kopią systemu sprzed formata (nie żaden obraz, ale ręcznie kopiowałem pliki z poziomu innego systemu operacyjnego) - bootowalnymi płytami z narzędziami - Hirens Boot CD 10.5, Hirens Boot CD 13.0 RESTORED, Ubuntu 11.10 (można odpalić jako LiveCD) Będę wdzięczny za wszelke sugestie co z tym robić dalej. PS: Zastanawiam się czy system wstanie, jak z poziomu Ubuntu wykasuję zawartość dysku i wkleję pliki sprzed formata. Chodzi o to, że na razie mi się nie spieszy i chcę to zrobić jak najlepiej, ale na dniach może pojawić się potrzeba postawienia systemu działającego nie gorzej niż dotychczas możliwie szybko i w takim przypadku być może będę chciał przywrócić go na jakiś czas i wrócić do tematu jak komp bedzie mniej potrzebny. Czy ktoś próbował kiedykolwiek przywracać Windowsa w ten sposób? Edit: W międzyczasie mam zamiar przeprowadzić skan MemTestem i HDTune w celu wykluczenia problemów sprzętowych, coś jeszcze zalecacie w tej kwestii konkretnego? Edit2: MemTest i HDTune nie znalazły błędów.

Avast przeinstalowany. Podczas instalacji oferował mi instalację dysku google Ciekawostka: Teraz kojarzę, że kilka miesięcy temu zmieniałem rozmiary dysków i nie pamiętam jakiego programu ostatecznie użyłem, bo mam dość wyszukany podział na partycje (windows + ubuntu) i chciałem wprowadzić dość duże zmiany i szukałem czegoś, co mi to wszystko obsłuży, testowałem wtedy różne programy działające pod różnymi systemami, w każdym razie pamiętam, że po tej operacji system plików na partycji z windowsem był uszkodzony i chyba zwykły scandisk uruchamiający się przy starcie mu pomógł, ale wyczyścił się autostart. Był tam w sumie tylko jeden programik, którego nie potrzebowałem specjalnie, system w pełni działał, więc olałem to... ale teraz kojarzę, że był tam też Avast i że wtedy miałem wrażenie, że jeszcze czegoś brakuje mi w trayu, ale nie wiedziałem czego... Czyli pewnie od paru miesięcy nie uruchamiało mi się GUI, a ja dopiero teraz zauważyłem przeczulony po tym, jak kuzynek dobrał się do kompa Ale usługa działała, więc skoro logi czyste, to się nie martwię. Wyszukiwarki Ask skasowałem. Ciekaw jestem jak się dostały do przeglądarek, gdyż zawsze skrupulatnie odznaczam wszystkie dodatki podczas instalacji programów. Starą javę również wykasowałem. Co do Chrome, czy to oznacza, że tych katalogów będzie coraz więcej i trzeba je kasować ręcznie, czy starsze się jakoś czyszczą przy kolejnej aktualizacji? .

Dzięki, odetchnąłem z ulgą Dlaczego wyszukiwarki Ask są szkodliwe? W sumie nie korzystam z nich, ale ciekaw jestem. Ciekaw też jestem zdublowania javy i chrome w raporcie z security check - czy to normalne?

Witam. Włączyłem kompa i zauważyłem, że Avast się nie uruchomił. Z kompa ostatnio korzystał kochany kuzynek, który pod delikatną presją przyznał się, że wchodził na jakieś strony, ale nie chciał się przyznać na jakie, więc wiadomo o co chodzi Na jednej z nich napotkał dziwne zachowanie firefoksa - po wklepaniu adresu i uderzeniu w enter w pasku adresu pojawiał się ponownie adres uprzednio odwiedzonej strony i ta poprzednia strona się jeszcze raz ładowała zamiast tej, na którą chciał wejść (tak jakby odświeżył stronę zamiast wejść na inną), oraz nie dało się nic więcej wpisać w pasku adresu (po wciśnięciu dowolnego klawisza znak pojawiał się na sekundkę i znikał), tak przynajmniej to opisuje młody. Chłopaczyna był uparty, zrestartował przeglądarkę i spróbował ponownie wejść na tą stronę, cały czas ten sam rezultat, próbował też wejść z chrome i dostał info, że strona zablokowała połączenie lub coś podobnego. Wtedy zorientował się, że antywirus (Avast) jest wyłączony. Włączył go, dostał info, że dziękują za aktualizację, wszedł na stronę ponownie z ff - zero zmian, wszedł z Chrome i dostał info, że zablokowało jakiegoś trojana. Tyle mi powiedział. Jak już pisałem po włączeniu kompa przeze mnie Avast się nie odpalił (była usługa w menadżerze, ale nie było ikonki w trayu). Pomyślałem, że to nawet lepiej, bo nie będzie się gryzł z narzędziami diagnostycznymi i czym prędzej przygotowałem logi. Już po wszystkim uruchomiłem ręcznie avasta i wygląda, jakby działał. Spojrzałem mu w ocz... w dzienniki skanowania i nic w nich nie ma (albo avast nie notuje informacji o zablokowanych trojanach, albo je trzyma w miejscu, którego nie widzę). No i to w zasadzie tyle. Proszę o zerknięcie w logi i z góry dziękuję za wszelkie wskazówki Results of screen317's Security Check version 0.99.64 Windows 7 Service Pack 1 x64 (UAC is disabled!) Internet Explorer 10 ``````````````Antivirus/Firewall Check:`````````````` avast! Antivirus Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Java 6 Update 39 Java 7 Update 21 Adobe Flash Player 11.7.700.202 Mozilla Firefox (21.0) Google Chrome 27.0.1453.110 Google Chrome 27.0.1453.94 ````````Process Check: objlist.exe by Laurent```````` AVAST Software Avast AvastSvc.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` Tak jeszcze przy okazji - w Gmerze zobaczyłem 2 opcje, których nie było na screenach - 3rd party (zostawiłem odptaszkowane) i Quick scan (odptaszkowała się gdy zaptaszkowałem dysk C). Prosiłbym o info czy zaznaczać je na przyszłość. Ogólnie odniołem wrażenie, że gmer pracuje duuużo dłużej niż gdy go ostatnio używałem, czyli dobry rok temu. To samo się tyczy w zasadzie wszystkich innych narzędzi poza defoggerem. Extras.Txt gmer.txt OTL.Txt defogger_disable.txt