picasso

Posługujesz się starą wersją FRST: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 26-11-2014 01 (ATTENTION: ====> FRST version is 17 days old and could be outdated) Proszę pobrać z przyklejonego i zrobić nowe skany wg wytycznych (sekcje Drivers MD5 i List BCD nie mają być zaznaczone): KLIK. Druga sprawa: nazwy logów sugerują, że je wyciągasz z C:\FRST\Logs - to jest archiwum i nieodpowienie miejsce, bieżący log jest zawsze tam skąd uruchamiano FRST - w tym przypadku w folderze "Pobrane". Poza tym, temat rozpoczął się znacznie wcześniej na innym forum: KLIK. Czyli data problemu to przynajmniej koniec listopada (jak nie wcześniej), sprawdź czy nie jest to problem instalacji łaty KB2992611: KLIK Dodatkowe ostreżenie związane już z grudniowymi aktualizacjami, upewnij się że nie poczęstowałeś się KB3004394 (co ma naprawiać KB3024777).

Czarne okno Firefox nie powinno mieć żadnego związku z wynikami SFC. Ten efekt jest związany ze środowiskiem graficznym i sterownikami. Przykładowe tematy: KLIK / KLIK / KLIK. Jeśli chodzi o skan SFC, to poniższe pliki nie mają zgodnym sum kontrolnych z tymi których spodziewa się SFC i nie ma kopii zapasowych, by je naprawić: 2014-12-13 04:18:48, Info CSI 0000005c [sR] Cannot repair member file [l:20{10}]"user32.amx" of Microsoft-Windows-Application-Experience-API-Tracing-Infrastructure-Manifests, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-12-13 04:18:52, Info CSI 0000005f [sR] Cannot repair member file [l:20{10}]"user32.amx" of Microsoft-Windows-Application-Experience-API-Tracing-Infrastructure-Manifests, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-12-13 04:18:52, Info CSI 00000060 [sR] This component was referenced by [l:202{101}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.WindowsFoundationDelivery" 2014-12-13 04:18:53, Info CSI 00000063 [sR] Could not reproject corrupted file [ml:520{260},l:74{37}]"\??\C:\Windows\System32\manifeststore"\[l:20{10}]"user32.amx"; source file in store is also corrupted 2014-12-13 04:27:19, Info CSI 0000019a [sR] Cannot repair member file [l:24{12}]"TSWbPrxy.exe" of Microsoft-Windows-TerminalServices-WebProxy, Version = 7.2.7601.16415, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-12-13 04:27:26, Info CSI 0000019c [sR] Cannot repair member file [l:24{12}]"TSWbPrxy.exe" of Microsoft-Windows-TerminalServices-WebProxy, Version = 7.2.7601.16415, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-12-13 04:27:26, Info CSI 0000019d [sR] This component was referenced by [l:240{120}]"Microsoft-Windows-RemoteDesktopClient-BlueIP-Package~31bf3856ad364e35~amd64~~7.2.7601.16415.RemoteDesktopClient81-BlueIP" 2014-12-13 04:27:26, Info CSI 000001a0 [sR] Could not reproject corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"TSWbPrxy.exe"; source file in store is also corrupted 2014-12-13 04:30:59, Info CSI 00000203 [sR] Cannot repair member file [l:68{34}]"_TransactionBridgePerfCounters.ini" of WCF-M_TX_BRIDGE_PERF_C_INI, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-12-13 04:31:06, Info CSI 00000205 [sR] Cannot repair member file [l:68{34}]"_TransactionBridgePerfCounters.ini" of WCF-M_TX_BRIDGE_PERF_C_INI, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-12-13 04:31:06, Info CSI 00000206 [sR] This component was referenced by [l:162{81}]"Microsoft-Windows-NetFx3-OC-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.NetFx3" 2014-12-13 04:35:47, Info CSI 000002e9 [sR] Cannot repair member file [l:24{12}]"msjtes40.dll" of Microsoft-Windows-Microsoft-Data-Access-Components-JetES, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-12-13 04:35:48, Info CSI 000002eb [sR] Cannot repair member file [l:24{12}]"msjtes40.dll" of Microsoft-Windows-Microsoft-Data-Access-Components-JetES, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-12-13 04:35:48, Info CSI 000002ec [sR] This component was referenced by [l:202{101}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.WindowsFoundationDelivery" 2014-12-13 04:35:48, Info CSI 000002ef [sR] Could not reproject corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:24{12}]"msjtes40.dll"; source file in store is also corrupted Podaj wstępnie spis kopii plików. Uruchom FRST, w polu Search wklej: user32.amx;TSWbPrxy.exe;_TransactionBridgePerfCounters.ini;msjtes40.dll Klik w Search Files i dostarcz raport wynikowy. Nie obiecuję szybkiego sprawdzenia wyników.

W tej sytuacji poszerz skrypt do FRST do postaci: S2 WCMVCAM; C:\Windows\System32\DRIVERS\wcmvcam64.sys [1071032 2012-04-15] (Windows ® Win 7 DDK provider) CustomCLSID: HKU\S-1-5-21-3757016675-200659705-1208912013-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\asus\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File BHO-x32: Google Dictionary Compression sdch -> {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} -> C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll No File C:\Program Files (x86)\Winamp C:\Users\asus\AppData\Local\GG C:\Users\asus\AppData\Roaming\Google C:\Users\asus\Desktop\GG dysk.lnk C:\Windows\System32\DRIVERS\wcmvcam64.sys RemoveDirectory: C:\Windows\SysWOW64\catroot2.bak A "C:\Program files (x86)\Folder powiązany" dokasuj ręcznie. - Linie Java 7.x i Java 8.x nie zastępują się, stąd instalacje się mnożą. Ta wersja Java 7 i tak nie jest najnowsza, a producent przygotowuje całkowitą migrację na Java 8, więc wersję 7 możesz odinstalować. - MBAM w wersji darmowej jest instalowany z opcjonalną aktywacją trial (to należało pominąć), wersja darmowa może zostać w systemie jako skaner na żądanie. O Kasperskym jeszcze pogadamy. Na razie dokończmy roboty. - Niezbędnym elementem obsługi drukarki Canon są sterowniki, reszta to opcjonalne programy pomocnicze do różnych celów i tu już sama decyduj co nie jest potrzebne. ==================== Installed Programs ====================== Canon Easy-PhotoPrint EX (HKLM-x32\...\Easy-PhotoPrint EX) (Version: - ) ----> kreator wydruków albumów, wizytówek, etc. Canon Easy-WebPrint EX (HKLM-x32\...\Easy-WebPrint EX) (Version: - ) ----> wtyczka dla IE umożliwiająca wydruk stron Canon Inkjet Printer/Scanner/Fax Extended Survey Program (Version: - ) ----> ankieterski śmieć Canon MG5100 series MP Drivers (Version: - ) ----> sterowniki konieczne do obsługi drukarki Canon MP Navigator EX 4.0 (Version: - ) ----> umożliwia skan, zapis i wydruk zdjęć czy dokumentów, również edytor Canon My Printer (Version: - ) ----> diagnostyk Canon Solution Menu EX (HKLM-x32\...\CanonSolutionMenuEX) (Version: - ) ----> menu dostępowe do aplikacji Canon i manuali

Jeszcze drobne poprawki: 1. Jakoś przeoczyłam w Autoruns operacje w karcie Logon: odfajkuj sobie jeszcze pozycje FancyStart daemon, NvBackend, Nuance PDF Reader-reminder, SunJavaUpdateSched, UpdateLBPShortCut, UpdateP2GoShortCut. Ponadto, w karcie Drivers odznacz pozycję WCMVCAM - Dziennik zdarzeń to dręczy: System errors: ============= Error: (12/12/2014 09:51:25 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi WebcamMax, WDM Video Capture z powodu następującego błędu: %%1058 ==================== Drivers (Whitelisted) ==================== S2 WCMVCAM; C:\Windows\System32\DRIVERS\wcmvcam64.sys [1071032 2012-04-15] (Windows ® Win 7 DDK provider) 2. Usunięcie szczątków po deinstalacjach. Otwórz Notatnik i wklej w nim; CustomCLSID: HKU\S-1-5-21-3757016675-200659705-1208912013-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\asus\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File BHO-x32: Google Dictionary Compression sdch -> {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} -> C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll No File C:\Program Files (x86)\Winamp C:\Users\asus\AppData\Local\GG C:\Users\asus\AppData\Roaming\Google C:\Users\asus\Desktop\GG dysk.lnk RemoveDirectory: C:\Windows\SysWOW64\catroot2.bak Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Komunikat enigmatyczny i nie wiem o jaką aktualizację chodzi. Ale skoro jest dostępna, to czemu nie. Możesz plik usunąć. Ja w raportach i tak mam obraz co się zmieniło, jakie obiekty startowe Kasperskiego zostały usunięte. .

1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Karolina\AppData\Roaming\Mozilla\Firefox\Profiles\cjhguvcs.default RemoveDirectory: C:\Users\Karolina\AppData\Roaming\Mozilla\Firefox\Profiles\78fhww9n.default Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner ponownie, tym razem wybierz Szukaj + Usuń i dostarcz wynikowy log AdwCleaner[s0].txt

Ostatni Fix. Do Notatnika wklej: C:\Users\ViVeg77\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Search.lnk C:\Windows\System32\drivers\b786bdb3c67d.sys RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Zapisz pod nazwą fixlist.txt. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Brakuje trzeciego pliku FRST Shortcut. Tu nie było wirusów tylko adware/PUP, nabyte na jeden z tych sposobów: KLIK. ComboFix to była niefortunnie dobrana metoda czyszczenia, zamiast poprawnych deinstalacji via Panel sterowania odbyło się selektywne usuwanie na chama z dysku. To ma skutki uboczne (więcej śmieci w rejestrze). Na przyszłość: zacznij od Panelu sterowania i szukaj nieznanych / podejrzanych programów do deinstalacji, potem w przeglądarkach powtarzasz proces wertując menedżery rozszerzeń, na koniec dopiero skany / automaty (i nie ComboFix). Do czyszczenia mamy: szczątki adware, obiekty sztucznie dorobione przez ComboFix (niepoprawne resety niektórych wpisów) oraz wpisy puste. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S1 {e4a6645a-3f85-4e1f-aa41-8367978844db}w64; system32\drivers\{e4a6645a-3f85-4e1f-aa41-8367978844db}w64.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] U5 AppMgmt; C:\Windows\system32\svchost.exe [29696 2012-09-20] (Microsoft Corporation) Task: {1CE1CAF8-B073-46B1-A482-0BAD5B740E62} - System32\Tasks\{28B123DB-0563-4657-9CB4-5E1642AA4F5C} => pcalua.exe -a "C:\Program Files (x86)\PopCap Games\Plants vs. Zombies\PopUninstall.exe" -c "C:\Program Files (x86)\PopCap Games\Plants vs. Zombies\Install.log" Task: {2ACDC6D4-7082-47C1-9173-C7224A0F2844} - \SPDriver No Task File Task: {600AE852-E36A-4FF2-81EE-8DC1DBF856A5} - \bench-sys No Task File Task: {9CC57E81-3703-44C3-BAAB-1C9CB8F9481C} - \SPBIW_UpdateTask_Time_323238343032363735322d2350785732325b6c342a2d45 No Task File Task: C:\windows\Tasks\NDFNWE.job => C:\Users\Mariola\AppData\Roaming\NDFNWE.exe Task: C:\windows\Tasks\PZBSD.job => C:\Users\Mariola\AppData\Roaming\PZBSD.exe Startup: C:\Users\Mariola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_05838380.lnk CHR HomePage: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3331319&octid=EB_ORIGINAL_CTID&ISID=MA8376247-F9E9-488D-94FC-D64D6EE6B2DE&SearchSource=55&CUI=&UM=6&UP=SPC1C339F9-086D-4F72-BAB3-E869D1CB1FBA&SSPV= CHR StartupUrls: Default -> "hxxp://www.trovi.com/?gd=&ctid=CT3331319&octid=EB_ORIGINAL_CTID&ISID=MA8376247-F9E9-488D-94FC-D64D6EE6B2DE&SearchSource=55&CUI=&UM=6&UP=SPC1C339F9-086D-4F72-BAB3-E869D1CB1FBA&SSPV=" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1389066822-2107305290-2761972221-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1389066822-2107305290-2761972221-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1389066822-2107305290-2761972221-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/ StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-1389066822-2107305290-2761972221-1001 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = SearchScopes: HKU\S-1-5-21-1389066822-2107305290-2761972221-1001 -> {5387967B-EEB6-4153-9D59-0F3C7606A394} URL = C:\Program Files (x86)\Bench C:\Program Files (x86)\CommonShare C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\predm C:\ProgramData\Kaspersky Lab C:\ProgramData\Norton C:\ProgramData\WPM C:\ProgramData\Temp C:\Users\Mariola\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Mariola\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Mariola\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Mariola\AppData\Roaming\systweak C:\Users\Mariola\Desktop\Wyczyść rejestr za darmo!.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SPDriver /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GoobzoYouTubeAccelerator /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Super Optimizer" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v fst_pl_78 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SPDriver /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v fst_pl_211 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v fst_pl_79 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v fst_pl_99 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Sense /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {5387967B-EEB6-4153-9D59-0F3C7606A394} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {5387967B-EEB6-4153-9D59-0F3C7606A394} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: sc config "Multimedia mobilNET. RunOuc" start= disabled CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Mariola\AppData\Local CMD: dir /a C:\Users\Mariola\AppData\LocalLow CMD: dir /a C:\Users\Mariola\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Jeśli najstarszy punkt typu "Windows Update" z 9 grudnia nie rozwiązuje sprawy, to wybierz ten "Punkt przywracania obrazu systemu" z 26 września. Przywracanie systemu rób nie spod Windows tylko F8 > Napraw komputer.

Kolejna porcja działań; 1. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Google Translator for Firefox i Adblock Plus trzeba będzie przeinstalować. 2. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy śmieciowe wyszukiwarki AVG, Ask, Conduit, Delta (niektóre pozycje mogą być wyliczanie więcej niż raz). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (np. Adblock Plus) zostaną wyłączone, więc je aktywuj ręcznie po akcji. 3. Uruchom AdwCleaner ponownie, tym razem zastosuj sekwencję Szukaj + Usuń i dostarcz wynikowy log AdwCleanerS0.txt .

Co się działo podczas opcji Fix, dlaczego uruchomiony dwa razy? Fix jest jednorazowy i nie usunie ponownie tego samego. Jeśli chodzi o SFC, coś nie tak robisz z wykonywaniem komendy (może zbyt niski kontekst uprawnień), ale to już nieważne. FRST wprawdzie nie utworzył pliku sfc.txt, ale go wydrukował bezpośrednio w Fixlog. Wszystkie dane już mam. Wg SFC uszkodzony plik to: 2014-12-12 21:47:17, Info CSI 000003e3 [sR] Cannot repair member file [l:48{24}]"SportsMainBackground.wmv" of Microsoft-Windows-OpticalMediaDisc-Style-Sports, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-12-12 21:47:17, Info CSI 000003e5 [sR] Cannot repair member file [l:48{24}]"SportsMainBackground.wmv" of Microsoft-Windows-OpticalMediaDisc-Style-Sports, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-12-12 21:47:17, Info CSI 000003e6 [sR] This component was referenced by [l:192{96}]"Microsoft-Windows-OpticalMediaDisc-Package~31bf3856ad364e35~x86~~6.1.7601.17514.OpticalMediaDisc" 2014-12-12 21:47:18, Info CSI 000003e9 [sR] Could not reproject corrupted file [ml:520{260},l:108{54}]"\??\C:\Program Files\DVD Maker\Shared\DvdStyles\Sports"\[l:48{24}]"SportsMainBackground.wmv"; source file in store is also corrupted Nie ma to jednak dużego znaczenia. Plik C:\Program Files\DVD Maker\Shared\DvdStyles\Sports\SportsMainBackground.wmv to tylko przykładowy plik video i on nie wpływa na nic. Na razie go pomijam, bo to "detal". Natomiast pod kątem dalszego czyszczenia systemu z adware: uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Proszę od deski do deski przeczytać zasady działu (powinieneś był to zrobić przed napisaniem bezsensownego tematu): KLIK. Nieodpowiedni tytuł (popraw), brak opisu problemu (uzupełnij), brak kompletu wymaganych logów (uzupełnij). Wymagane logi: FRST, OTL, GMER - przy czym to FRST jest głównym raportem, przestarzały OTL podrzędnym. Logi mają być dołączone w postaci załączników forum, a nie wklejanie w poście. Kolejna sprawa, duplikat na innym forum założony: KLIK. W zasadach działu jest uwzględniony ten przypadek. Tylko się możesz skrzywdzić pokazując równocześnie te same dane w dwóch różnych miejscach nie czekając nawet na odpowiedź na jednym forum, każdy podaje inne instrukcje / skrypty, równoczesne przetwarzanie instrukcji to nie lepiej tylko gorzej. Nie zabiorę się za temat, dopóki nie sprecyzujesz wyraźnie, że tu oczekujesz pomocy (czyli tam rezygnujesz). Ich też racz poinformować, że bawisz się w duplikaty, bo jedna ze stron musi spasować.

Temat przenoszę do działu Sieci. Brak oznak infekcji. Upewnij się, że problemu nie tworzy Kaspersky Internet Security bardzo silnie ingerujący w układ sieciowy. W przypadku braku rezultatów dostarcz dane orientowane sieciowo: KLIK. PS. W spoilerze minimalna korekta odpadkowych wpisów oraz likwidacja poniższych błędów w Dzienniku zdarzeń: Application errors: ================== Error: (12/10/2014 05:01:15 AM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 System errors: ============= Error: (12/12/2014 02:17:10 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: HP CUE DeviceDiscovery Service%%2

Komenda którą podałam tworzy plik C:\Windows\system32\sfc.txt. Poza tym, komenda automatycznie otwiera plik w Notatniku, więc skoro Ty teraz nie możesz tego znaleźć, coś nie tak zrobiłeś i komenda się nie wykonała. Komendę wklejasz (jak powiedziałam) czy wpisujesz ręcznie? W związku z tym, że nie potrafisz tego wykonać, komendę dołączę poniżej. Jeśli chodzi o Fix, to poszło gładko. Kolejne poprawki na odpadki programów. Otwórz Notatnik i wklej w nim: FF SelectedSearchEngine: AVG Secure Search HKU\S-1-5-21-1638586216-2184293915-2867409737-1000\...\RunOnce: [Adobe Speed Launcher] => 1418422989 BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File C:\Program Files\AVG SafeGuard toolbar C:\Program Files\AVG Web TuneUp C:\Program Files\FreeTime C:\Program Files\Glary Utilities 4 C:\Program Files\iSafe C:\Program Files\Paltalk Messenger C:\Program Files\R.G. Mechanics C:\Program Files\Speedial C:\Program Files\Universal Updater C:\ProgramData\2308189059 C:\ProgramData\AVG Security Toolbar C:\ProgramData\AVG2014 C:\ProgramData\EPSON C:\ProgramData\McAfee C:\ProgramData\Movavi C:\ProgramData\Roaming C:\ProgramData\TuneUp Software C:\ProgramData\Visan C:\ProgramData\VMware C:\Users\ViVeg77\AppData\Local\cache C:\Users\ViVeg77\AppData\Local\genienext C:\Users\ViVeg77\AppData\Local\Movavi C:\Users\ViVeg77\AppData\LocalLow\KMPlayer C:\Users\ViVeg77\AppData\LocalLow\Temp C:\Users\ViVeg77\AppData\Roaming\eCyber C:\Users\ViVeg77\AppData\Roaming\ESET C:\Users\ViVeg77\AppData\Roaming\GoforFiles C:\Users\ViVeg77\AppData\Roaming\iSafe C:\Users\ViVeg77\AppData\Roaming\newnext.me C:\Users\ViVeg77\AppData\Roaming\OpenCandy C:\Users\ViVeg77\AppData\Roaming\rmi C:\Users\ViVeg77\AppData\Roaming\RocketUpdater C:\Users\ViVeg77\AppData\Roaming\SmootherWeb C:\Users\ViVeg77\AppData\Roaming\Systweak C:\Users\ViVeg77\AppData\Roaming\TuneUp Software C:\Users\ViVeg77\AppData\Roaming\VMware Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Salus /f CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >C:\Users\ViVeg77\Downloads\sfc.txt Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W katalogu Pobrane powstaną dwa pliki fixlog.txt + sfc.txt - oba dołącz.

Nie ma żadnych zmian, od góry do dołu brak podpisów cyfrowych. W systemie jest następujący punkt Przywracania systemu: ==================== Restore Points ========================= 02-12-2014 14:52:00 Windows Update Przy starcie komputera F8 > Napraw komputer > Przywracanie systemu > wybierz ten punkt. Po przywróceniu systemu zrób nowy log FRST.

Temat przenoszę do działu Software. To nie jest problem infekcji. Mówisz o "4 plikach", przy czym są tu tylko 2 pliki oraz 4 foldery. Włącz w Opcjach folderów pokazywanie wszystkich obiektów, tzn. odptaszkuj Ukryj chronione pliki systemu operacyjnego. Wszystko co jest na urządzeniu to: E:\ -> Fixed disk # 466 Gb (382 Gb free - 82%) [ADATA CH94] # FAT32 ################## | E:\ - Fixed drive (FAT32) | [23/02/2011 - 09:42:00 | SHD] - E:\$RECYCLE.BIN [01/03/2011 - 16:00:56 | RA | 1 Ko] - E:\MediaID.bin [24/10/2013 - 19:53:06 | SHD] - E:\FOUND.001 [14/09/2013 - 16:11:08 | SHD] - E:\FOUND.000 [10/03/2009 - 16:57:06 | SHD] - E:\System Volume Information [01/03/2011 - 16:00:54 | R | 32 Ko] - E:\WINDOWS7 Kolejno są to: Folder Kosza E:\$RECYCLE.BIN Folder Przywracania systemu E:\System Volume Information. Folder jest zapewne pokazany jako zerobajtowy, bo brak uprawnień, ale tam nie spodziewaj się żadnych danych osobistych. Foldery Checkdiska E:\FOUND.000 + E:\FOUND.001. To ścinki danych po naprawie błędów struktury plików. Foldery mają stare daty, więc to nie powinno być związane ze świeżymi wydarzeniami. Odpadkowe pliki E:\MediaID.bin (ten plik identyfikacyjny tworzy Kopia zapasowa Windows) + E:\WINDOWS7 (nie wiadomo co to za dziwo) Jeśli brakuje tu danych, to owszem wyparowały. Wypytaj kolegę co robił z dyskiem (czy były jakieś błędy, czy czegoś nie usuwał), a w sytuacji braku obiektów pozostaje już tylko program do odzyskiwania danych np. TestDisk. PS. W Google Chrome otwierają się adresy adware. Usuń je: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie wystąpienia adresu istart.webssearches.com.

Naprawdę niepotrzebnie odwracałeś deinstalację ACE Mega CoDecS Pack. Jest to dziadostwo - archaiczny pakiet zawierający zbyt dużo kodeków i mogący tworzyć problemy w eksploratorze. Odinstaluj. Sprawę kodeków będziesz rozwiązywał na końcu. Np. instalacja najnowszej wersji bazowego K-Lite. Albo w ogóle zrezygnować z kodeków, przecież spokojnie można używać odtwarzacz mający wbudowane kodeki (np. VLC Media Player). O tym pogadamy po pozbyciu się próchna z systemu. Mój Fix nie ma nic wspólnego z deinstalacjami kodeków. To jest po prostu uszkodzona instalacja, a od kiedy uszkodzona to nie wiadomo, program strasznie stary. Ten martwy wpis spróbuj usunąć za pomocą Revo Uninstaller Freeware. To standardowy komunikat tam pokazywany w chwili obecnej. Microsoft usunął przecież wsparcie dla XP i skrzętnie usunął też wszystkie oczywiste odnośniki pobierania IE8. Nie pobieraj z PC Word, bezpośredni instalator IE8 (Polski) z serwera Microsoftu jest w przyklejonym: KLIK. Z linka pobierzesz IE8-WindowsXP-x86-PLK.exe. A ten plik IE8-Setup-Full.exe z PC Word to raczej nie jest polski instalator, bo we Właściwościach pliku stoi "Język: Angielski". Nawiasem mówiąc kierowałam Cię przecież na Windows update (powinno wszystko podstawić) uruchomione z poziomu Twojego systemu, bo tu nie tylko SP3 i IE8 jest wymagane. System ma potężne zaległości. Naprawa XP z płytki a kysz, zdegradujesz jeszcze bardziej aktualizacje. Tu instalacja SP3 będzie "naprawą" (przeładowanie prawie wszystkich plików Windows i nowe wersje plików). Na razie to tu jest system w rozsypce, nie wykonałeś jeszcze aktualizacji systemu (nadal SP2 + IE6). Avast owszem też będzie do reinstalacji, bo to wersja 8.0.1483.0. Najnowszy Avast to 10.0.2208: KLIK. W podsumowaniu: robisz pełną aktualizację systemu, deinstalujesz wymienione programy, wstawiasz najnowszy Avast, a na koniec log FRST (z Addition) do wglądu.

Próbujesz dołączać inny plik niż powiedziane. Cały plik CBS.LOG mnie nie interesuje (zawiera wiele zbędnych informacji). Miałeś przefiltrować wyniki i dołączyć wynikowy sfc.txt: To osobny wątek. Natomiast: Sprawa jest jasna. Log z FRST wskazuje konkretnie gdzie leży problem. Na proces tvsu.exe jest nałożony Debugger AVG PC TuneUp: IFEO\chrome.exe: [Debugger] "C:\Program Files\AVG\AVG PC TuneUp\TUAutoReactivator32.exe" IFEO\tvsu.exe: [Debugger] "C:\Program Files\AVG\AVG PC TuneUp\TUAutoReactivator32.exe" IFEO\tvsukernel.exe: [Debugger] "C:\Program Files\AVG\AVG PC TuneUp\TUAutoReactivator32.exe" AVG PC TuneUp został odinstalowany, niestety pozostawiając po sobie odpadkowe wpisy, czyli w tym momencie procesy zakreślone powyżej są filtrowane przez nieistniejący plik, stąd "nie można odznaleźć pliku". Google Chrome też powinno zwracać ten sam błąd. Rzecz jasna będę usuwać martwe wpisy Debugger, ale nie tylko to - w systemie są liczne ślady adware. Akcja: 1. Odinstaluj zbędny pasek AVG Web TuneUp. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw; C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw.sys [52880 2014-08-11] (StdLib) R2 UniversalUpdater; C:\Program Files\0ca45c95134d\cf3e08d747e4.exe [653888 2014-11-05] () S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] IFEO\chrome.exe: [Debugger] "C:\Program Files\AVG\AVG PC TuneUp\TUAutoReactivator32.exe" IFEO\tvsu.exe: [Debugger] "C:\Program Files\AVG\AVG PC TuneUp\TUAutoReactivator32.exe" IFEO\tvsukernel.exe: [Debugger] "C:\Program Files\AVG\AVG PC TuneUp\TUAutoReactivator32.exe" BootExecute: autocheck autochk * Task: {398DD4EA-7A00-4F53-A2F1-B0EE0F2FD5B0} - System32\Tasks\GoforFilesUpdate => C:\Program Files\GoforFiles\GFFUpdater.exe Task: {53ED3A31-D5D7-47BE-9EC2-855FE837C7EE} - System32\Tasks\{130A3D9C-D3F2-472E-AB60-2197694C02A8} => pcalua.exe -a C:\Users\ViVeg77\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=slbnew Task: {689D163D-1EB5-4F57-9335-D4B63650AA77} - \Program aktualizacji online firmy Adobe. No Task File Task: {A9C3E22F-EAE5-4A4F-8986-CFF5D541E813} - System32\Tasks\{AD61421D-9408-488F-9AD2-896DF0943434} => pcalua.exe -a "C:\Users\ViVeg77\Downloads\uninstall (1).exe" -d C:\Users\ViVeg77\Downloads Task: {B7C802BC-099A-4228-AB8E-86B2A310277E} - System32\Tasks\GU4SkipUAC => C:\Program Files\Glary Utilities 4\Integrator.exe Task: {BBB52CC3-8316-4884-A3DF-91AAEFC2D683} - System32\Tasks\{5CB78F99-D37F-44B9-B8F7-D7213BF68A7B} => pcalua.exe -a C:\Ross-Tech\VCDS\VCDSA.exe -d C:\Ross-Tech\VCDS\ Task: {FE4DEB9F-D076-4E3E-A84B-A462438E0528} - System32\Tasks\{115E2B5C-19D7-476A-A398-84F33C78248C} => C:\Program Files\The KMPlayer\KMPlayer.exe HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-1638586216-2184293915-2867409737-1000\...\RunOnce: [Adobe Speed Launcher] => 1418411320 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1415350141&from=slbnew&uid=HITACHIXHTS723232A7A364_E3834563GJU12NGJU12NX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1415350141&from=slbnew&uid=HITACHIXHTS723232A7A364_E3834563GJU12NGJU12NX&q={searchTerms} SearchScopes: HKLM -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_50_ch&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCyEtCyCzyyDtDtD0E0BtAtN0D0Tzu0SzyyDyEtN1L2XzutAtFtDtFtCtDtFtBtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyDyB0B0AtA0FyBtDtGzzyD0CtBtGzyyDyCyDtGtBtD0A0BtGyE0Czy0F0D0FtB0E0B0FyDyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyEtD0D0BzztCyEtDtGtCtC0FyCtG0CyE0F0AtG0CtC0CtAtGyCyBtC0ByByDtAyCtBtAyC0B2Q&cr=1311317102&ir= SearchScopes: HKLM -> {2E00D31D-D171-423D-836D-1A4D7EA7F1A9} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_38_ch&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCyEtCyCzyyDtDtD0E0BtAtN0D0Tzu0SzyzyyEtN1L2XzutAtFtBtFtCtFyDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyBzy0F0B0A0Azz0FtG0FyE0BzztGzyyCtC0CtGzy0DtBtAtGtB0EyB0EzyyD0D0DzyzyyD0E2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyBzyyDzz0EtAtB0DtGyB0E0F0FtGyE0BtB0FtG0ByEyB0CtG0FtA0FtCtA0C0DyE0BtCzyyB2Q&cr=552600740&ir= SearchScopes: HKLM -> {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_22_ch&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCyEtCyCzyyDtDtD0E0BtAtN0D0Tzu0SzzzztDtN1L2XzutBtFtBtDtFtCzytFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StBzyyC0AyD0BtA0CtG0CzztDyDtGzz0DtD0DtG0B0F0EtCtGtA0C0FyEzytAtDtB0FtCyE0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyEtD0D0BzztCyEtDtGtCtC0FyCtG0CyE0F0AtG0CtC0CtAtGyCyBtC0ByByDtAyCtBtAyC0B2Q&cr=1994925878&ir= SearchScopes: HKU\S-1-5-21-1638586216-2184293915-2867409737-1000 -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_50_ch&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCyEtCyCzyyDtDtD0E0BtAtN0D0Tzu0SzyyDyEtN1L2XzutAtFtDtFtCtDtFtBtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyDyB0B0AtA0FyBtDtGzzyD0CtBtGzyyDyCyDtGtBtD0A0BtGyE0Czy0F0D0FtB0E0B0FyDyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyEtD0D0BzztCyEtDtGtCtC0FyCtG0CyE0F0AtG0CtC0CtAtGyCyBtC0ByByDtAyCtBtAyC0B2Q&cr=1311317102&ir= SearchScopes: HKU\S-1-5-21-1638586216-2184293915-2867409737-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = SearchScopes: HKU\S-1-5-21-1638586216-2184293915-2867409737-1000 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_50_ch&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCyEtCyCzyyDtDtD0E0BtAtN0D0Tzu0SzyyDyEtN1L2XzutAtFtDtFtCtDtFtBtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyDyB0B0AtA0FyBtDtGzzyD0CtBtGzyyDyCyDtGtBtD0A0BtGyE0Czy0F0D0FtB0E0B0FyDyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyEtD0D0BzztCyEtDtGtCtC0FyCtG0CyE0F0AtG0CtC0CtAtGyCyBtC0ByByDtAyCtBtAyC0B2Q&cr=1311317102&ir= SearchScopes: HKU\S-1-5-21-1638586216-2184293915-2867409737-1000 -> {2E00D31D-D171-423D-836D-1A4D7EA7F1A9} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_38_ch&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCyEtCyCzyyDtDtD0E0BtAtN0D0Tzu0SzyzyyEtN1L2XzutAtFtBtFtCtFyDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyBzy0F0B0A0Azz0FtG0FyE0BzztGzyyCtC0CtGzy0DtBtAtGtB0EyB0EzyyD0D0DzyzyyD0E2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyBzyyDzz0EtAtB0DtGyB0E0F0FtGyE0BtB0FtG0ByEyB0CtG0FtA0FtCtA0C0DyE0BtCzyyB2Q&cr=552600740&ir= SearchScopes: HKU\S-1-5-21-1638586216-2184293915-2867409737-1000 -> {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_22_ch&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCyEtCyCzyyDtDtD0E0BtAtN0D0Tzu0SzzzztDtN1L2XzutBtFtBtDtFtCzytFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StBzyyC0AyD0BtA0CtG0CzztDyDtGzz0DtD0DtG0B0F0EtCtGtA0C0FyEzytAtDtB0FtCyE0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyEtD0D0BzztCyEtDtGtCtC0FyCtG0CyE0F0AtG0CtC0CtAtGyCyBtC0ByByDtAyCtBtAyC0B2Q&cr=1994925878&ir= SearchScopes: HKU\S-1-5-21-1638586216-2184293915-2867409737-1000 -> {95204CBC-45A2-4711-A284-66AACCE5EDAE} URL = https://nl.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=888596&p={searchTerms} SearchScopes: HKU\S-1-5-21-1638586216-2184293915-2867409737-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={30121728-272F-4168-9004-63068345FF31}&mid=505879c781ed47d29cbd59d6bc0ac4fb-ff0c4c83824c79a26dedff1454cf2ba86c85c5bd&lang=pl&ds=AVG&coid=avgtbavg&cmpid=1214tb&pr=fr&d=2014-11-06 19:18:04&v=4.0.5.7&pid=wtu&sg=&sap=dsp&q={searchTerms} Toolbar: HKU\S-1-5-21-1638586216-2184293915-2867409737-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\18.2.0\\npsitesafety.dll No File FF SearchPlugin: C:\Users\ViVeg77\AppData\Roaming\Mozilla\Firefox\Profiles\8n0uhhrr.default\searchplugins\avg-secure-search.xml FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\wtu-secure-search.xml C:\Program Files\0ca45c95134d C:\Program Files\f552dd4c52e3 C:\ProgramData\DSearchLink C:\Users\ViVeg77\AppData\Local\Mobogenie C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_UI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BRS" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CrashMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Salus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Salus CrashMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\smoother" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WSE_Astromenda" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\ViVeg77\AppData\Local CMD: dir /a C:\Users\ViVeg77\AppData\LocalLow CMD: dir /a C:\Users\ViVeg77\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\ViVeg77\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\ViVeg77\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz zaległy sfc.txt. .

Wszystko zrobione, w nowym raporcie czysto oraz usterka braku podpisów cyfrowych jest rozwiązana. Pytania: - Na pewno zabezpieczyłeś router - czy podany test zwraca stosowny komunikat: KLIK? - Czy wiesz skąd tu się znalazł folder C:\Program Files (x86) z mnóstwem podfolderów relatywnych do gier? To folder 64-bitowego Windows, a Ty posiadasz system 32-bit, więc folder kompletnie nie działa i jest do usunięcia. Kolejne czynności: 1. Odinstaluj stare wersje: ESET NOD32 Antivirus (tragicznie stara wersja - komponenty z lat 2007/2008!), HiJackThis, Java 7 Update 45, Java 8 Update 20, Java SE Development Kit 8. Nie potrzebujesz też Adobe Flash Player 15 Plugin (to wtyczka dla Firefox i Opera). Od razu też zaktualizuj Adobe Flash dla IE oraz Thunderbird KLIK. 2. Jeden ze skrótów Internet Explorer jest uszkodzony (utrata specjalnego atrybutu): Shortcut: C:\Users\Bakoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Bakoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Doczyszczenie martwych skrótów. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android SDK Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVS4YOU C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Illusion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyFree Codec C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat C:\Users\Bakoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\1-click run C:\Users\Bakoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AVS4YOU C:\Users\Bakoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Portable Programs C:\Users\Bakoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SmartTweak Software CMD: ipconfig /flushdns EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Podsumuj jak działa system.

Czy na dysku na pewno jest plik C:\Program Files\Lenovo\System Update\tvsu.exe? Koleżanka, a nie kolega picasso. Tam jest zupełnie inny problem. A narzędzie SFC służy do weryfikacji komponentów Windows a nie producentów trzecich (Lenovo), więc SFC nie wykryje usterki programu zewnętrznego. 1. Skoro jednak SFC wykrył jakieś naruszenia, pokaż raport wynikowy tego skanu: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. 2. Ponadto, poproszę też o raporty z FRST.

Na początek, od góry do dołu jest odczyt [File not signed] (brak podpisów cyfrowych sterowników). To musi być rozwiązane w pierwszej kolejności, zanim przejdziemy dalej. 1. Sprawdź czy nie masz zainstalowanej felernej łaty KB3004394: KLIK. Znalezioną odinstaluj. 2. Następnie uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Wypowiedz się jakie problemy notujesz.

Brakuje pliku FRST Shortcut. Ponadto, skoro chodzi o problem danych na dysku przenośnym, podczas gdy dysk jest podpięty zrób jeszcze log USBFix z opcji Listing.

Kolejność punktów = kolejność zadań. Skoro nie wspominam Trybu awaryjnego, operacje idą tradycyjnie w normalnym. Możesz oczywiście odinstalować i inne nieużywane aplikacje.

Log nie pokazuje żadnych zmian: 1. Router nadal zainfekowany: Tcpip\Parameters: [DhcpNameServer] 94.249.192.181 8.8.8.8 Co Ty właściwie robiłeś? To nie jest infekcja w Windows tylko w routerze i tu nie pomogą żadne skrypty / skany / fixy w Windows, musisz wyczyścić router i go zabezpieczyć wg podanych wcześniej kroków. Wszystko z poprzedniego pierwszego punktu nadal aktualne. 2. Nadal jest masowe [File not signed]. Jeśli to stan po użyciu narzędzia Fix-it, upewnij się, że nie masz zainstalowanej felernej łaty KB3004394: KLIK. Jeśli w zainstalowanych aktualizacjach ona występuje, odinstaluj, ponów reset narzędziem Fix It 50202. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

To potem, tylko wyklucz od razu instalację krytycznej łaty KB3004394, o ile Ci się pokazuje: KLIK. "Opróżnij gałązki" to nie była nazwa funkcji, tylko moje własne słowa opisowe co tam zrobić. Oczywiście to miało być wyczyszczenie Dzienników. Czyszczenie miało na celu odsiać błędy już nieaktualne po deinstalacji Kasperskiego. Pojawiły się nowe wtręty, aczkolwiek nie jest pewne czy wszystko jest aktualne: Application errors: ================== Error: (12/12/2014 05:21:56 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 257) (User: ) Description: Zainicjowanie bazy danych wykazu przez Usługi kryptograficzne nie powiodło się. Błąd ESENT: -1305. Error: (12/12/2014 05:04:44 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 512) (User: ) Description: Zainicjowanie obiektu System Writer kopii zapasowej VSS przez Usługi kryptograficzne nie powiodło się. Details: Could not query the status of the EventSystem service. System Error: Trwa proces zamykania systemu. Error: (12/11/2014 11:03:40 PM) (Source: System Restore) (EventID: 8210) (User: ) Description: Wystąpił nieokreślony błąd podczas przywracania systemu: (Windows Update). Informacje dodatkowe: 0x8000ffff. System errors: ============= Error: (12/12/2014 06:48:26 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Google Update Service (gupdate) z powodu następującego błędu: %%1053 Error: (12/12/2014 06:48:26 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Google Update Service (gupdate). Error: (12/12/2014 06:46:06 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi WebcamMax, WDM Video Capture z powodu następującego błędu: %%1058 Error: (12/12/2014 05:27:35 AM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Windows Update zakończyła działanie; wystąpił następujący błąd: %%-2147467243 1. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny. 2. Proponuję jeszcze pozbyć się innych zbędnych zintegrowanych programów ASUS, np. AsusVibe2.0, Bing Bar (odpadnie kilka procesów startowych), Google Toolbar for Internet Explorer. 3. Uruchom Autoruns. - W karcie Services odznacz pozycje gupdate, gupdatem, NvNetworkService, NvStreamSvc, Stereo Service - W karcie Scheduled Tasks odznacz pozycje związane z Google. 4. Ponownie wyczyść Dzienniki zdarzeń (Aplikacja + System). Następnie otwórz Notatnik i wklej w nim: CloseProcesses: S3 esihdrv; C:\Users\asus\AppData\Local\Temp\esihdrv.sys [122240 2014-12-09] (ESET) S3 cpuz135; \??\C:\Users\asus\AppData\Local\Temp\cpuz135\cpuz135_x64.sys [X] C:\ProgramData\F-Secure C:\ProgramData\Temp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by dwa logi powstały. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal występuje efekt "mulenia". .

Nie przeczytałeś najważniejszego, zasad działu: KLIK. Obowiązkowe raporty to FRST (raport główny), OTL (przestarzałe narzędzie, sprawdzany tylko pobocznie) oraz GMER. Raportów proszę nie wklejaj w poście, sieczka. Załącz oryginalne pliki w postaci załączników forum.