picasso

Fix wykonany, ale jest tu pewien problem. W trakcie napraw (po pierwszym podejściu) nagle zniknął jeden z kluczy BHO i nie wiem dlaczego. Pierwszy Fix nie ruszał tam nic (drugi już tylko sprawdzał czy klucz jest), była za to deinstalacja Java usuwająca swoje obiekty z relatywnego obszaru i może to działanie miało jakiś błąd. Odzyskaj kopię klucza: 1. Otwórz Notatnik i wklej w nim: Reg: reg load HKLM\TMP C:\FRST\Hives\SOFTWARE Reg: reg export "HKLM\TMP\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" C:\Users\Irmina\Desktop\bho.reg Reg: reg unload HKLM\TMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Na Pulpicie powstanie plik bho.reg. Otwórz do edycji w Notatniku i zamień HKEY_LOCAL_MACHINE\TMP na HKEY_LOCAL_MACHINE\SOFTWARE. Z prawokliku na plik opcja Scal. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). .

Operacje pomyślnie przeprowadzone i nic więcej szkodliwego nie widać w raportach. Finalizując czyszczenie: 1. Skasuj z dysku ręcznie: C:\Users\PC2\adwcleaner_3.310.exe C:\Users\PC2\Desktop\Old Firefox Data 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. U mnie jest identyczny komunikat na stronie eskaGO przy czynnym Adblock Plus w Firefox. U Ciebie (wszystkie przeglądarki dotknięte) definitywnie to musi być generowane przez Kasperskiego, który ma wbudowany moduł blokujący reklamy Anti-banner. Tak więc do wglądu opcje Kasperskiego. Nawiasem mówiąc to widać także w logu i specyficzne rozszerzenie Kasperskiego w Firefox. FF HKLM\...\Firefox\Extensions: [anti_banner@kaspersky.com] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\anti_banner@kaspersky.com FF Extension: Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\anti_banner@kaspersky.com [2014-03-05]

Nowa bardzo niekorzystna zmiana w systemie. Windows został zainfekowany, zainstalowałeś adware grupy Spigot, co zapewne ma negatywny wpływ na system - w starcie ładowane niepożądane obiekty, w przeglądarkach obiekty reklamodawcze. Adware powstało w tym samym przedziale czasowym co obiekty Auslogics, co nasuwa wnioski, że instalator programu miał świństwa, a Ty przez nieuwagę to przepuściłeś: 2014-11-24 07:33 - 2014-11-24 07:33 - 00000000 ____D () C:\ProgramData\Auslogics 2014-11-24 07:32 - 2014-11-24 09:25 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Auslogics 2014-11-24 07:32 - 2014-11-24 09:25 - 00000000 ____D () C:\Program Files (x86)\Auslogics 2014-11-24 07:32 - 2014-11-24 07:33 - 00000000 ____D () C:\Users\ADMIN\AppData\Roaming\BrowserExtensions 2014-11-24 07:32 - 2014-11-24 07:32 - 00000000 ____D () C:\Users\ADMIN\AppData\Roaming\Search Protection Czyszczenie: 1. Przez Panel sterowania odinstaluj adware: Browser Extensions, Search Protection. 2. Wyczyść Firefox z przekierowań Spigot: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Zaktualizuj FRST, bo wersja, której używasz już jest nieświeża i zrób nowe logi z opcji Scan (główny + Addition). .

Poproszę o log FRST zrobiony z poziomu środowiska zewnętrznego WinRE: KLIK.

Błąd "Eksplorator Windows przestał działać..." w Dzienniku zdarzeń jest bardzo enigmatyczny i jako moduł przyczynowy sugeruje plik Microsoftu: Application errors: ================== Error: (12/03/2014 06:42:03 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: explorer.exe, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d672ee4 Nazwa modułu powodującego błąd: USER32.dll, wersja: 6.1.7601.17514, sygnatura czasowa: 0x4ce7c9f1 Kod wyjątku: 0xc000041d Przesunięcie błędu: 0x0000000000005357 Identyfikator procesu powodującego błąd: 0x1af0 Godzina uruchomienia aplikacji powodującej błąd: 0xexplorer.exe0 Ścieżka aplikacji powodującej błąd: explorer.exe1 Ścieżka modułu powodującego błąd: explorer.exe2 Identyfikator raportu: explorer.exe3 Ale w raporcie zwracają uwagę hooki ShellIconOverlayIdentifiers (ikony nakładkowe w eksploratorze) wprowadzone przez funkcję BitDefender SafeBox. Ten rodzaj rozszerzeń powłoki eksploratora może być przyczyną problemów. Tu dla porównania podobny problem z winy ASUS WebStorage: KLIK. ShellIconOverlayIdentifiers: [__SafeBox1] -> {152C96EB-288E-4EDC-B7C6-D21F8250ADF3} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) ShellIconOverlayIdentifiers: [__SafeBox2] -> {342DAA0B-D796-460D-8566-901E08A1CCAD} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) ShellIconOverlayIdentifiers: [__SafeBox3] -> {57595DAE-1AE1-4D97-A49E-67CBB53B52DF} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) ShellIconOverlayIdentifiers: [__SafeBox4] -> {33816773-98AE-4723-ADE0-EBE54C8B5A67} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) Proponuję więc testowo wyłączyć to rozszerzenie powłoki, by sprawdzić czy objawy ustąpią. Uruchom ShellExView x64, wyszukaj wpisy związane z modułem SafeBoxShell.dll, wszystkie wystąpienia wyłącz i zresetuj system. Czy na pewno nie robiłeś czegoś więcej? W raporcie widać, że dwie usługi BitDefeder (włącznie z tą która wiąże się z powyższym) są obecnie w stanie "Wyłączono": S4 BdDesktopParental; C:\Program Files\Bitdefender\Bitdefender 2015\bdparentalservice.exe [78144 2014-11-12] (Bitdefender) S4 SafeBox; C:\Program Files\Bitdefender\Bitdefender SafeBox\safeboxservice.exe [94624 2013-07-08] (Bitdefender) Nagła utrata polonizacji specjalnych folderów to głównie problem plików desktop.ini w tych folderach. Tu dla porównania analogiczny problem tylko w Menu Start: KLIK. Możliwości: pliki zostały skasowane, mają nieodpowiednią zawartość, lub też utraciły atrybuty "ukryty systemowy" (HS) - czyli są widzialne nie tylko po odznaczeniu opcji "Ukryj chronione pliki systemowe" w Opcjach folderów. Tu przedstawiam zawartość moich plików desktop.ini, które powinny wyglądać u Ciebie identycznie: C:\Users\Administrator\Downloads\desktop.ini [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21798 IconResource=%SystemRoot%\system32\imageres.dll,-184 C:\Users\Administrator\Desktop\desktop.ini [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769 IconResource=%SystemRoot%\system32\imageres.dll,-183 C:\Users\Public\Desktop\desktop.ini [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799 PS. I usuń sobie puste wpisy oraz przeczyść Tempy. W spoilerze instrukcja:

Używałeś SpyHunter - to program wątpliwej reputacji, z daleka od niego. Reklamuje się jako remover infekcji A lub B, po czym się okazuje, że po instalacji są zgłoszenia o opłatach. Nie sprawdzam tylko IP DNS, ale i IP pod jakim użytkownik jest widziany na forum (funkcja administracyjna). Jeśli oba IP są z tej samej grupy, to nawet bardzo egzotyczny adres nie jest traktowany przeze mnie jako infekcja. Infekcja jest wtedy, gdy występuje rozbieżność. tzn. np. użytkownik widziany pod polskim IP pokazuje mi ukraińskie serwery DNS pobrane z routera, lub są widziane dwie różne sieci z innych krajów. Ale infekcji brak gdy oba IP wykazują ten sam kierunek. Obecnie w raportach FRST i tak są pokazane inne adresy DhcpNameServer. We wszystkich raportach FRST (włącznie z raportami podanymi na peb.pl) widać gdzie leży problem. W Firefox w lokalizacji globalnej siedzi rozszerzenie adware Vonteera: FF Extension: Happy Safe ads - C:\Program Files\Mozilla Firefox\distribution\bundles\addon@Vonteera.com [2014-11-11] W spoilerze komentarze co robili na tamtym forum. Przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] C:\Program Files\Mozilla Firefox\distribution C:\Users\PC2\Downloads\SpyHunter-Installer.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dodatkowo wykonaj też ogólne czyszczenie Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Było grzebanie w Google Chrome za pomocą skryptu OTL, toteż: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy problem ustąpił. .

Oznak infekcji brak, więc temat przenoszę do działu Windows. Uwaga dodatkowa na przyszłość związana z poniższymi plikami: C:\Users\Jacek\Downloads\RootkitRevealer(11876)-dp.exe C:\Users\Jacek\Downloads\Startup-Delayer(33672)-dp.exe Rootkit Revealer to tak archaiczny soft (z 2006), że jego używanie mija się kompletnie z celem w dzisiejszych czasach, a pobrane pliki to nie są nawet poprawne instalatory tylko śmieci "Asystent pobierania" dobrychprogramów - korzystaj tam tylko z Linków bezpośrednich: KLIK. Ja tu jednak podejrzewam oprogramowanie zabezpieczające, a konkretnie COMODO (choć Avira mimo wszystko także wchodzi w skład podejrzanych). Bardzo inwazyjny soft ładowany przy udziale grupy sterowników, a tych elementów startowych nie sprawdzałeś, bo Windows nie umożliwia wyłączania sterowników via Menedżer procesów Windows 8 (którym się posługiwałeś, o czym zawiadamia Addition) czy msconfig, a poza tym sam COMODO nie pozwoli się skrzywdzić (ochrona komponentów). Tu na forum COMODO i jemu podobne występowały w podobnych kontekstach wolnego startu i nie tylko takie sztuki (np. całkowicie zablokowany system w trybie normalnym), a tu z kolei masz przykładowy temat losowego nie ładowania miniaturek w eksploratorze z przyczyny aktywności COMODO: KLIK. Tak więc przed podejmowaniem jakichkolwiek innych działań sugeruję testową deinstalację COMODO, by ocenić czy wystąpią wyraźne zmiany. Tylko deinstalacja odcina wszystkie aktywności (sterowniki), proste wyłączanie w opcjach nie. PS. A jeśli chodzi ogólnie o wyłączanie ze startu, to pomijając to co już jest wyłączone via Menedżer zadań: (+ doedytowany wątek z NvStreamSvc) ... mógłbyś posunąć się dalej i w Autoruns: - Karta Services: odznacz BingDesktopUpdate, NvNetworkService, KMService (crack Office lub czegoś podobnego). - Karta Drivers: skasuj odpadkowe wpisy cpuz137, GPUZ, MEMSWEEP2. - Karta Scheduled Tasks: odznacz Game_Booster_AutoUpdate, IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473-Logon (Intel Update Manager). Alternatywne postępowanie z aktualizatorem Intel: KLIK. The driver \Driver\WUDFRd failed to load for the device ROOT\LENOVOVHID\0000. The driver \Driver\WudfRd failed to load for the device ROOT\WPD\0000. Rekordy "Microsoft-Windows-Kernel-PnP" to są ostrzeżenia a nie błędy. O ile związek ze startem Windows mógłby występować, to wątpię, by to się zazębiało z punktem 3 opisanych problemów. 1. Rekord wyliczający urządzenie ROOT\LENOVOVHID\0000 (Lenovo "Energy Management"): KLIK / KLIK. W obu tematach użytkownicy raportują odczyty z Dziennika zdarzeń, lecz nie wspominają o żadnych problemach jakie Ty wyliczasz. 2. Rekord wyliczający urządzenie ROOT\WPD\0000 jest związany z poniższym odczytem FRST, czyli instalacją Visual Studio (KLIK). Bardzo wątpię, by był to problem odbijający się na dysfunkcji całego systemu. Tu z kolei rosyjski temat, w którym (o ile dobrze sobie przetłumaczyłam) użytkownik pyta się co to za problem, by się dowiedzieć o co chodzi, ale system działa poprawnie: KLIK. A tu kolejny temat opowiadający jak to sobie użytkownik wyłączył urządzenie w menedżerze i zapomniał o sprawie: KLIK. R3 SensorsSimulatorDriver; C:\Windows\system32\DRIVERS\WUDFRd.sys [227840 2014-05-31] (Microsoft Corporation) ==================== Faulty Device Manager Devices ============= Name: Microsoft Visual Studio Location Simulator Sensor Description: Microsoft Visual Studio Location Simulator Sensor Class Guid: {5175d334-c371-4806-b3ba-71fd53c9258d} Manufacturer: Microsoft Corporation Service: SensorsSimulatorDriver Problem: : Windows has stopped this device because it has reported problems. (Code 43) Resolution: One of the drivers controlling the device notified the operating system that the device failed in some manner. For more information about how to diagnose the problem, see the hardware documentation. Posiadasz tylko jeden dysk fizyczny? Przy założeniu, że dysk z Windows jest pierwszy w kolejności lub jest tylko jeden oraz nie ma tu partycji typu GPT, zrób dump MBR wg poniższych wytycznych, a podrzucę autorowi FRST do weryfikacji w czym problem. Otwórz Notatnik i wklej w nim: SaveMbr: drive=0 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Doczep tu wynikowy plik MBRDUMP.txt. .

Co z tą operacją:

Akcje pomyślnie wykonane, a sterownik Hotspot zniknął. Na drugim koncie jest zanieczyszczony Firefox i kilka pustych wpisów w starcie. Operacje na Marku: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-431021187-217253523-1019275998-1000\...\Run: [HDSoft] => "C:\Program Files (x86)\iFree Skype Recorder\irecorder.exe" HKU\S-1-5-21-431021187-217253523-1019275998-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" SearchScopes: HKU\S-1-5-21-431021187-217253523-1019275998-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v Default_Page_URL /t REG_SZ /d "http://go.microsoft.com/fwlink/?LinkId=69157" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "http://go.microsoft.com/fwlink/?LinkId=69157" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v Default_Page_URL /t REG_SZ /d "http://go.microsoft.com/fwlink/?LinkId=69157" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v "Search Page" /t REG_SZ /d "http://go.microsoft.com/fwlink/?LinkId=54896" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. W Google Chrome: - MBAM brutalnie usuwał katalog rozszerzenia adware Lightning Newtab. To nie jest poprawna metoda deinstalacji i pozostaje wpis rozszerzenia w preferencjach. Ustawienia > karta Rozszerzenia > sprawdź czy widać to tam i w razie czego odinstaluj. - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom narzędzie Fix It usuwające błąd WMI numer 10: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Drobne poprawki. Do Notatnika wklej: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /s Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\URL\Prefixes\gopher /f Reg: reg delete "HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer" /f C:\Program Files\Symantec C:\Program Files (x86)\HDD Regenerator C:\ProgramData\AVG C:\ProgramData\Avg_Update_0814tb C:\ProgramData\EmailNotifier C:\ProgramData\HitmanPro C:\ProgramData\McAfee C:\ProgramData\NortonInstaller C:\ProgramData\Sun C:\ProgramData\TEMP C:\ProgramData\TuneUp Software C:\Users\Irmina\AppData\Local\AVG C:\Users\Irmina\AppData\Local\avgchrome C:\Users\Irmina\AppData\Local\Big Fish C:\Users\Irmina\AppData\Local\cache C:\Users\Irmina\AppData\Local\CrashDumps C:\Users\Irmina\AppData\Local\ESET C:\Users\Irmina\AppData\Local\MyImageConverter_8j C:\Users\Irmina\AppData\Local\Opera C:\Users\Irmina\AppData\Local\WMTools Downloaded Files C:\Users\Irmina\AppData\LocalLow\Sun C:\Users\Irmina\AppData\LocalLow\Temp Tak jak poprzednio zapisz pod nazwą fixlist.txt tam gdzie siedzi FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Wszystko zrobione. 1. Jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: BHO: JQSIEStartDetectorImpl Class -> {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -> C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll No File CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Pokaż wynikowy fixlog.txt. 2. Na wszelki wypadek zrób pełny skan za pomocą Malwarebytes Anti-Malware (przy instalacji odznacz trial). Jeśli coś zostanie wykryte, dostarcz raport, w przeciwnym wypadku jest on zbędny.

W tej sytuacji oczywiście znajome Ci kroki końcowe. Proponuję też doinstalować Malwarebytes Anti-Exploit (wersja free w ofercie), który ograniczy przypadki podobnych infekcji.

A już wiem dlaczego się zaciął Fix, mój błąd - brak parametru cichego przy jednej z komend i weszło w pętlę. Powtórz tę część operacji, która nie została przetworzona - tym razem powinno pójść gładko: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Robert\AppData\Local CMD: dir /a C:\Users\Robert\AppData\LocalLow CMD: dir /a C:\Users\Robert\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Oba BSOD nie były tożsame, wyniki debugowania są różne, co nie tworzy tu dla mnie konkretnej powtarzalności: Jeśli sytuacja się nie powtarza, to uznaję temat za zakończony. Skasuj plik CL\DelFix.tt z dysku.

Akcje pomyślnie wykonane, elementy infekcji usunięte i odładowane z pamięci, WMI naprawione. Pytaniem jest czy pojawiają się nadal komunikaty "Program Eksplorator Windows przestał działać" oraz efekt "Windows Update nie startuje - pojawia się biały ekran"?

Nie wiem o co chodzi, wygląda na to że rzeczywiście już tego nie ma. Menedżer urządzeń pokazuje jeszcze delikwenta Teredo Tunneling Pseudo-interface. Tego też można się pozbyć, a tu dodatkowy topik z forum: KLIK. vs. AVG był wcześniej i to w dwóch różnych wersjach (2014 i 2015) - w obu konfiguracjach występowały BSODy w nieregularnych odstępach czasu. Nie jest wykluczone, że Twoje operacje przy nowym zainstalowanym AVG to nie te które prowokują BSOD. Wg zrzutów pamięci jeden z ostatnich jawnie punktował sterownik AVG avgmfx86.sys (AVG Resident Shield Minifilter Driver), a wszystkie pozostałe to odniesienia do sterownika systemu plików Ntfs.sys (tu raczej nie chodzi o aktywność sieciową). Nie jestem przekonana czy przywrócenie AVG to był najlepszy pomysł, a określone tendencyjne użytkowanie komputera to jednoznaczny test potwierdzający ustąpienie problemu. Dokładny model laptopa (tylko tyle wiem z logów, że prawdopodobnie to lapek LG) > udajesz się na stronę producenta podzespołów (http://www.lg.com/) > szukasz wg modelu jakie są wersje dostępne > porównujesz z tymi obecnymi w systemie. A tu wyciąg z Addition jakie softy związane ze sterownikami są obecne: ==================== Installed Programs ====================== Canon MP210 series (HKLM\...\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP210_series) (Version: - ) Intel® Graphics Media Accelerator Driver (HKLM\...\HDMI) (Version: - ) LG Intelligent Update (HKLM\...\{81717D01-32F6-449C-85E1-41AFD678E545}) (Version: 3.01.0928.01 - ) LG Smart Cam (HKLM\...\{9455E8B0-4D73-4A9D-BFA3-D2C213BFD28F}) (Version: 1.0007.0818.01 - LG Electronics Inc.) O2Micro Flash Memory Card Reader Driver Installer(x86) (HKLM\...\{78764173-3805-4916-B3CE-B433702B8870}) (Version: 3.09 - O2Micro) SAGEM F@st 800-840 (HKLM\...\{4AE3A0CB-87B0-4F51-BECD-3D1F8DFDD62F}) (Version: 4.06.000 - SAGEM) Synaptics Pointing Device Driver (HKLM\...\SynTPDeinstKey) (Version: 10.0.13.2 - Synaptics) System Control Manager (HKLM\...\{ED9C5D25-55DF-48D8-9328-2AC0D75DE5D8}) (Version: 2.0107.0706.06 - LG) Intel® Graphics Media Accelerator Driver to instalacja związana z tym: System Control Manager (LG) jest z kolei związany z tym (wyłączone tu zostały dwa wpisy, z wyjątkiem archaicznego sterownika MGHwCtrl.sys): Oczywiście jest też możliwe, że brak aktualizacji, ale ja tego nie mogę wiedzieć patrząc w logi i nie mając danych na temat modelu laptopa. Pomijając powyższe, to już możesz przejść do zakończenia tematu. .

Podaj w czym (jaka ścieżka dostępu) Avast widzi rootkita, gdyż GMER nie wykazuje takiego problemu. Przeklej wynik bezpośrednio z dzienników Avast. Jeśli zaś chodzi o to co widać ogólnie w logach, to owszem są wpisy startowe adware grupy Spigot - załatwiły Cię instalatory programów typu PDF Architect (na to wskazują daty w logu), możliwe że również i IOBit (to samo adware instalują, w systemie są odpadki po niepełnych instalacjach IOBit). W ogóle nie polecam żadnego programu IOBit tutaj na forum. Nie dość, że adware w instalatorach, to jeszcze inne podejrzane związki partnerskie i niewiarygodne praktyki (w przeszłości zostali złapani na kradzieży bazy definicji MBAM, którą sobie wsadzili w swój program do walki z malware). Kręcisz się wokół terenu infekcji, ale: - Adware niekoniecznie jest głównym problemem spowolnienia (daty instalacji są dalekie i ostatnio żadne śmieci nie powstały), to system na którym uruchamia się duża liczba procesów. - Bardzo dużo jakoby pustych wpisów od programów które figurują jako zainstalowane, co pachnie mi raczej uszkodzeniem Zmiennych niż rzeczywistym "no file". Chyba że to Ty coś zmalowałeś i przeinwestowałeś jakieś "czyszczenie" tworząc puste wpisy. - W Dzienniku zdarzeń sypie błędami usług Microsoftu: System errors: ============= Error: (12/01/2014 10:04:47 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Pomoc TCP/IP NetBIOS z powodu następującego błędu: %%1069 Error: (12/01/2014 10:04:47 PM) (Source: Service Control Manager) (EventID: 7038) (User: ) Description: Usługa lmhosts nie może zalogować się jako NT AUTHORITY\LocalService za pomocą obecnie skonfigurowanego hasła z powodu następującego błędu: %%1352 Aby upewnić się, że usługa jest skonfigurowana prawidłowo, użyj przystawki Usługi w programie Microsoft Management Console (MMC). Error: (11/28/2014 04:31:26 AM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Serwer zakończyła działanie; wystąpił następujący błąd: %%13 Error: (11/28/2014 04:31:26 AM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Przeglądarka komputera zakończyła działanie; wystąpił następujący błąd: %%1115 Error: (11/28/2014 04:31:24 AM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa Usługa inteligentnego transferu w tle zakończyła działanie; wystąpił specyficzny dla niej błąd %%-2147023781. Error: (11/28/2014 04:31:24 AM) (Source: Microsoft-Windows-Bits-Client) (EventID: 16392) (User: ZARZĄDZANIE NT) Description: Uruchomienie usługi BITS nie powiodło się. Błąd 2147943515. Error: (11/28/2014 04:31:24 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Agent zasad IPsec z powodu następującego błędu: %%1069 Error: (11/28/2014 04:31:24 AM) (Source: Service Control Manager) (EventID: 7038) (User: ) Description: Usługa PolicyAgent nie może zalogować się jako NT Authority\NetworkService za pomocą obecnie skonfigurowanego hasła z powodu następującego błędu: %%50 Aby upewnić się, że usługa jest skonfigurowana prawidłowo, użyj przystawki Usługi w programie Microsoft Management Console (MMC). Error: (11/28/2014 04:31:24 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Odnajdywanie SSDP z powodu następującego błędu: %%1069 Error: (11/28/2014 04:31:24 AM) (Source: Service Control Manager) (EventID: 7038) (User: ) Description: Usługa SSDPSRV nie może zalogować się jako NT AUTHORITY\LocalService za pomocą obecnie skonfigurowanego hasła z powodu następującego błędu: %%50 Aby upewnić się, że usługa jest skonfigurowana prawidłowo, użyj przystawki Usługi w programie Microsoft Management Console (MMC). Operacje wstępne pod kątem adware i wpisów jakoby "pustych": 1. Przez Panel sterowania odinstaluj: - Adware i śmieci: Browser Extensions, Slick Savings, Qtrax Player, Surfing Protection (od IOBit). - Stare dziurawe wersje: Gadu-Gadu 10, Java� 6 Update 14, OpenOffice.org 3.2. OpenOffice.org również, gdyż to on bazuje na starej niebezpiecznej Java 6 i nie umie korzystać z nowszej, potem wymagana będzie instalacja najnowszej wersji pakietu serii 4.x. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: SearchScopes: HKLM-x32 -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKU\S-1-5-21-1816805013-2468701961-1920383271-1000 -> DefaultScope {208659B4-57CE-4DDF-BCC0-A2C33EF8FDD8} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=402027&p={searchTerms} SearchScopes: HKU\S-1-5-21-1816805013-2468701961-1920383271-1000 -> {208659B4-57CE-4DDF-BCC0-A2C33EF8FDD8} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=402027&p={searchTerms} SearchScopes: HKU\S-1-5-21-1816805013-2468701961-1920383271-1000 -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2151200 2013-10-25] (IObit) HKU\S-1-5-21-1816805013-2468701961-1920383271-1000\...\Run: [DIMDownloading your update...1300677038363] => "C:\Program Files (x86)\Corel\CorelDRAW Graphics Suite X5\Programs\DIM.exe" "c:\programdata\corel\downloads\540215253_610005\1300677038363\dim_params.xml" -Launch=3 -uibase="c:\programdata\corel\messa (the data entry has 47 more characters). Task: {82E61B9D-60B1-4308-B19E-D1EBF8FD2560} - System32\Tasks\{4B23CCCD-CF38-46B8-9EE0-C872E6EBB87E} => Iexplore.exe http://ui.skype.com/ui/0/5.1.0.112.280/en/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;disabled Toolbar: HKU\S-1-5-21-1816805013-2468701961-1920383271-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF HKLM-x32\...\Firefox\Extensions: [{97E22097-9A2F-45b1-8DAF-36AD648C7EF4}] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF HKLM-x32\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] - C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\Program Files (x86)\Common Files\Spigot C:\Program Files (x86)\IObit C:\Users\Dominika\AppData\Local\Temp*.html C:\Users\Dominika\AppData\Local\Slick Savings C:\Users\Dominika\AppData\Roaming\IObit C:\Users\Dominika\AppData\Roaming\OpenCandy C:\Users\Dominika\AppData\Roaming\Slick Savings DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions CMD: SET EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj wszystkie widoczne rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan na warunku: odznacz Whitelist dla pola Services, nie zaznaczaj pól Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz jakieś zmiany.

Problem tworzy martwy skrót infekcji w Autostarcie: Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\program.lnk ShortcutTarget: program.lnk -> C:\PROGRA~3\982A3FD.cpp (No File) Ten problem z kolei wynika z niepoprawnej metody usuwania infekcji i uszkodzenia WMI. Infekcja przekierowała usługę systemową Winmgmt (zależy od niej funkcjonalność m.in. Centrum czy Przywracania systemu). Nie wystarczy skasować plik, trzeba jeszcze odtworzyć oryginalną ścieżkę usługi. S2 Winmgmt; C:\PROGRA~3\DF3A289.dot [X] System errors: ============= Error: (12/03/2014 08:35:22 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Instrumentacja zarządzania Windows zakończyła działanie; wystąpił następujący błąd: %%126 ==================== Restore Points ========================= Could not list Restore Points. Check "winmgmt" service or repair WMI. ==================== Faulty Device Manager Devices ============= Could not list Devices. Check "winmgmt" service or repair WMI. Skan GMER (Rootkit scan 2014-12-03 19:31:30) zrobiony już po skanie MBAM (Czas skanu: 19:21:27) nadal pokazuje załadowane ukryte moduły infekcji wszczepione w procesy systemowe, w tym explorer.exe - co mogłoby wyjaśniać błędy "przestał działać". Wygląda na to, że pliki niby zostały skasowane, ale nie zostały odładowane z pamięci (brak restartu). ---- Processes - GMER 2.1 ---- Library c:\progra~3\df3a289.dot (*** suspicious ***) @ C:\Windows\system32\svchost.exe [744] (Non-COM WMI Event Provision APIs/Microsoft Corporation)(2014-09-07 05:04:10) 00000000719e0000 Library c:\progra~3\df3a289.dot (*** suspicious ***) @ C:\Windows\Explorer.EXE [3060] (Non-COM WMI Event Provision APIs/Microsoft Corporation)(2014-09-07 05:04:10) 00000000719e0000 Library c:\progra~3\982a3fd.cpp (*** suspicious ***) @ C:\Windows\SysWOW64\rundll32.exe [2708](2014-09-07 05:02:08) 0000000073740000 Library C:\PROGRA~3\982A3FD.cpp (*** suspicious ***) @ C:\Windows\SysWOW64\rundll32.exe [4016](2014-09-07 05:02:08) 0000000073740000 Library C:\PROGRA~3\982A3FD.cpp (*** suspicious ***) @ C:\Windows\SysWOW64\rundll32.exe [1228](2014-09-07 05:02:08) 0000000073740000 Library c:\progra~3\982a3fd.cpp (*** suspicious ***) @ C:\Windows\SysWOW64\rundll32.exe [1548](2014-09-07 05:02:08) 0000000073740000 Przy okazji, w Dzienniku zdarzeń są też liczne błędy związane z oprogramowaniem nVidia - usługę NvStreamSvc wyłączę, ale możliwe że trzeba będzie się zainteresować aktualizacją oprogramowania nVidia. Application errors: ================== Error: (12/03/2014 08:23:38 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (12/03/2014 08:23:38 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Error: (12/03/2014 08:16:21 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (12/03/2014 08:16:21 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Error: (12/03/2014 07:36:26 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (12/03/2014 07:36:26 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Error: (12/03/2014 07:23:05 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: nvtray.exe, wersja: 7.17.13.3182, sygnatura czasowa: 0x5280e916 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.17514, sygnatura czasowa: 0x4ce7c8f9 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000000000004e4b4 Identyfikator procesu powodującego błąd: 0xed8 Godzina uruchomienia aplikacji powodującej błąd: 0xnvtray.exe0 Ścieżka aplikacji powodującej błąd: nvtray.exe1 Ścieżka modułu powodującego błąd: nvtray.exe2 Identyfikator raportu: nvtray.exe3 Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\program.lnk S2 Winmgmt; C:\PROGRA~3\DF3A289.dot [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\32514631.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\32514631.sys => ""="Driver" HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2404353190-3791358401-3653376951-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp1 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp1 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe CMD: sc config NvStreamSvc start= disabled CMD: dir /a C:\ProgramData EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie pole Addition) + GMER + Farbar Service Scanner. Dołącz też plik fixlog.txt. .

Widzę z raportów, że już ostro kombinowałeś na własną rękę. Przeprowadź następujące działania: 1. Usuń puste wpisy. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 51cdb72; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Optimizer Pro 3.11\OptProCrash.dll",ENT S2 Update SourceApp; "C:\Program Files (x86)\SourceApp\updateSourceApp.exe" [X] S3 NPF; system32\drivers\NPF.sys [X] HKLM-x32\...\Run: [iR_SERVER] => C:\PROGRA~2\Realtek\REALTE~1\IR_SERVER.exe HKLM-x32\...\Run: [] => [X] SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1562262702-2853843880-2879626507-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-1562262702-2853843880-2879626507-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Program Files (x86)\SourceApp C:\ProgramData\600440862 C:\ProgramData\Temp C:\Users\Prv\AppData\Local\Google\Chrome C:\Users\Prv\AppData\Local\Opera Software C:\Users\Prv\AppData\Roaming\Opera Software C:\Users\Prv\AppData\Roaming\sp_data.sys Folder: C:\Windows\system32\GroupPolicy Folder: C:\Windows\SysWOW64\GroupPolicy Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 3. Specjalny skrót IE jest uszkodzony (prawdopodobnie niepoprawnie czyścił go AdwCleaner): Shortcut: C:\Users\Prv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Prv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zostały tu dostarczone logi z konta Prv. W systemie są dwa konta, każde musi być sprawdzone z osobna: ========================= Accounts: ========================== Prv (S-1-5-21-1562262702-2853843880-2879626507-1000 - Administrator - Enabled) => C:\Users\Prv User (S-1-5-21-1562262702-2853843880-2879626507-1003 - Administrator - Enabled) => C:\Users\User Po kolei zaloguj się na każde poprzez pełny restart systemu (a nie Wyloguj czy Przełącz użytkownika) i zrób nowy log FRST z opcji Scan. Na koncie User zaznacz także pole Addition, by powstały dwa logi. Na koncie Prv nie zaznaczaj. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany) .

Jeśli chodzi o długi start i zamykanie, to w Dzienniku zdarzeń są zgłaszane zaraz jeden po drugim błędy niemożności startu sterownika USB oraz zawieszenie usługi WIA (związana z obsługą peryferiów typu aparaty cyfrowe, skanery drukarki) - usługę będę wyłączać jako "rozwiązanie" doraźne, ale ten błąd sugeruje raczej trop z aktualizacją oprogramowania urządzeń. System errors: ============= Error: (12/03/2014 06:06:47 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Windows Image Acquisition (WIA) zawiesiła się podczas uruchamiania. Error: (12/03/2014 06:06:10 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi USB Scanner Driver z powodu następującego błędu: %%1058 I jednak proponuję dalszą deinstalację niektórych softów opartych na usługach / sterownikach (na razie pomijam Avast), ewentualnie później przywrócisz najnowszą wersję któregoś z nich. Będę także ściągać czynne sterowniki (GEARAspiWDM, pcouffin, PxHelp20) wprowadzone przez różne softy multimedialne, które filtrują urządzenia CD/DVD-ROM, a mogą być problematyczne. 1. Kolejne deinstalacje: ----> Odinstaluj CPUID CPU-Z 1.53.1, HDD Health v3.3 Beta, Seagate DiscWizard, WinPcap 4.1.1. Przy okazji jeszcze przewertowałabym pozostałe pozycje czy na pewno wszystkie aplikacje są nadal używane i potrzebne, dużo tu różnych pozycji multimedialnych i starych programów. Pozbądź się wszystkiego co nie jest używane. Natomiast ten archaiczny MagicISO w ogóle nie jest widziany na liście zainstalowanych - poszukaj deinstalatora w folderze E:\Program Files\MagicDisc. ----> Odinstaluj protokół IPv6: Start > Uruchom > cmd i wpisz komendę ipv6 uninstall 2. Doczyszczanie odpadków po odinstalowanych programach: ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz po kolei na liście wpisy Java 6 oraz swMSM od Adobe > Dalej. ----> Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v LowerFilters /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v UpperFilters /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f CMD: sc config stisvc start= disabled S3 gusvc; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [136120 2014-08-12] (Google) R3 GEARAspiWDM; C:\WINDOWS\System32\DRIVERS\GEARAspiWDM.sys [26840 2012-08-21] (GEAR Software Inc.) R3 pcouffin; C:\WINDOWS\System32\Drivers\pcouffin.sys [47360 2009-05-13] (VSO Software) [File not signed] R0 PxHelp20; C:\WINDOWS\System32\Drivers\PxHelp20.sys [45648 2011-03-04] (Sonic Solutions) FF Plugin: @java.com/DTPlugin,version=10.71.2 -> C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll No File FF Plugin: @java.com/JavaPlugin,version=10.71.2 -> C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll No File C:\Documents and Settings\All Users\Dane aplikacji\APN C:\Documents and Settings\All Users\Dane aplikacji\avg8 C:\Documents and Settings\All Users\Dane aplikacji\GetRight.001 C:\Documents and Settings\All Users\Dane aplikacji\GetRight.snk C:\Documents and Settings\All Users\Dane aplikacji\Google\Chrome C:\Documents and Settings\All Users\Dane aplikacji\IObit C:\Documents and Settings\All Users\Dane aplikacji\M-Photo C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes C:\Documents and Settings\All Users\Dane aplikacji\Norton C:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller C:\Documents and Settings\All Users\Dane aplikacji\Oracle C:\Documents and Settings\All Users\Dane aplikacji\Real C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Documents and Settings\All Users\Dane aplikacji\Sun C:\Documents and Settings\All Users\Dane aplikacji\Symantec C:\Documents and Settings\All Users\Dane aplikacji\Trend Micro C:\Documents and Settings\All Users\Dane aplikacji\TVU Networks C:\Documents and Settings\ania\Dane aplikacji\AdobeUM C:\Documents and Settings\ania\Dane aplikacji\Foxit Software C:\Documents and Settings\ania\Dane aplikacji\GetRight C:\Documents and Settings\ania\Dane aplikacji\Google\Chrome C:\Documents and Settings\ania\Dane aplikacji\Malwarebytes C:\Documents and Settings\ania\Dane aplikacji\Nowe Gadu-Gadu C:\Documents and Settings\ania\Dane aplikacji\OpenOffice.ux.pl2 C:\Documents and Settings\ania\Dane aplikacji\Sun C:\Documents and Settings\ania\Ustawienia lokalne\Dane aplikacji\Ashampoo C:\Documents and Settings\ania\Ustawienia lokalne\Dane aplikacji\AVG C:\Documents and Settings\ania\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\ania\Ustawienia lokalne\Dane aplikacji\Sun C:\Documents and Settings\ania\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Documents and Settings\macio\Dane aplikacji\burnaware.ini C:\Documents and Settings\macio\Dane aplikacji\ezpinst.exe C:\Documents and Settings\macio\Dane aplikacji\pcouffin.* C:\Documents and Settings\macio\Dane aplikacji\Adobe Mini Bridge CS5.1 C:\Documents and Settings\macio\Dane aplikacji\Adobe PNG Format CS5 Prefs C:\Documents and Settings\macio\Dane aplikacji\AdobeUM C:\Documents and Settings\macio\Dane aplikacji\Ashampoo C:\Documents and Settings\macio\Dane aplikacji\Audacity C:\Documents and Settings\macio\Dane aplikacji\AutoUpdate C:\Documents and Settings\macio\Dane aplikacji\AVG C:\Documents and Settings\macio\Dane aplikacji\AVG10 C:\Documents and Settings\macio\Dane aplikacji\Bayer04 Publisher C:\Documents and Settings\macio\Dane aplikacji\Boolat Games C:\Documents and Settings\macio\Dane aplikacji\com.adobe.downloadassistant.AdobeDownloadAssistant C:\Documents and Settings\macio\Dane aplikacji\DarkAdapted Preferences C:\Documents and Settings\macio\Dane aplikacji\DMCache C:\Documents and Settings\macio\Dane aplikacji\Easy Watermark Studio C:\Documents and Settings\macio\Dane aplikacji\eSkiMoS R2 C:\Documents and Settings\macio\Dane aplikacji\Foxit C:\Documents and Settings\macio\Dane aplikacji\Foxit Software C:\Documents and Settings\macio\Dane aplikacji\Gadu-Gadu C:\Documents and Settings\macio\Dane aplikacji\Gadu-Gadu 10 C:\Documents and Settings\macio\Dane aplikacji\GetRight C:\Documents and Settings\macio\Dane aplikacji\Google\Chrome C:\Documents and Settings\macio\Dane aplikacji\Malwarebytes C:\Documents and Settings\macio\Dane aplikacji\Nowe Gadu-Gadu C:\Documents and Settings\macio\Dane aplikacji\OpenCandy C:\Documents and Settings\macio\Dane aplikacji\OpenFM C:\Documents and Settings\macio\Dane aplikacji\OpenOffice.org C:\Documents and Settings\macio\Dane aplikacji\OpenOffice.ux.pl2 C:\Documents and Settings\macio\Dane aplikacji\Podcast C:\Documents and Settings\macio\Dane aplikacji\PPMate C:\Documents and Settings\macio\Dane aplikacji\ppStream C:\Documents and Settings\macio\Dane aplikacji\Real C:\Documents and Settings\macio\Dane aplikacji\RHEng C:\Documents and Settings\macio\Dane aplikacji\SopCast C:\Documents and Settings\macio\Dane aplikacji\Sun C:\Documents and Settings\macio\Dane aplikacji\Systweak C:\Documents and Settings\macio\Dane aplikacji\TeamViewer C:\Documents and Settings\macio\Dane aplikacji\tiger-k C:\Documents and Settings\macio\Dane aplikacji\TuneUp Software C:\Documents and Settings\macio\Dane aplikacji\TVU Networks C:\Documents and Settings\macio\Dane aplikacji\Vso C:\Documents and Settings\macio\Dane aplikacji\VSRevoGroup C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Ashampoo C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\AVG C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Avg2014 C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Chat Republic Games C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\ChomikBox C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\CrashRpt C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Flircik C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\free-downloads.net C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\globalUpdate C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\M-Photo_Ltd C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\MFAData C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\mSejf_sp._z_o._o C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\myBabylon_English C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Sun C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\TNT2 C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\TVU Networks C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\AVG C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\BrotherSoft_Extreme C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\myBabylon_English C:\Program Files\Common Files\Java C:\Program Files\Google\Chrome C:\Program Files\Java C:\Program Files\Oracle C:\Program Files\Sun C:\WINDOWS\system32\javacpl.cpl C:\WINDOWS\system32\javaws.exe C:\WINDOWS\system32\REN*.tmp C:\WINDOWS\System32\DRIVERS\GEARAspiWDM.sys C:\WINDOWS\System32\Drivers\pcouffin.sys C:\WINDOWS\System32\Drivers\PxHelp20.sys CMD: dir /a "C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\LocalLow" CMD: dir /a "C:\Program Files" CMD: dir /a "E:\Program Files" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Przedstaw wynikowy fixlog.txt. 3. Zrób nowy log FRST z opcji Scan na warunkach: odznaczone pole Whitelist Services + Drivers, zaznaczone pola Addition + Shortcut. Dodatkowo, po naprawie Usług kryptograficznych nadal widać poniższy sterownik MS jako niesygnowany i to może być plik rzeczywiście zmodyfikowany, więc dodaj jeszcze spis kopii pliku: uruchom FRST, w polu Search wklep disk.sys, klik w Search Files i dołącz log wynikowy. R0 Disk; C:\WINDOWS\System32\DRIVERS\disk.sys [36352 2008-04-14] () [File not signed] Wypowiedz się czy są zmiany w starcie/zamykaniu. PS. A temat przenoszę do działu Windows, znacznie wykroczył poza czyszczenie adware. .

Dostosuj się do zasad działu w kwestii wymaganych logów: KLIK. OTL to przestarzałe narzędzie, logi sprawdzane tylko pobocznie. Obowiązkowe są raporty z FRST.

Maksio Nie został temat zakończony (zdefektowany wpis URLSearchHooks + AdwCleaner), ale skoro komputera już nie ma, to temat zamykam. marcin878787 Przecież te wpisy są też wzięte z logów - prawie wszystkie dane masz w obu raportach FRST (wpisy mountpoints2 + startupreg + MozillaPlugins + Mozilla HKLM) i OTL (wpisy SearchScopes), a dodatkowe wpisy Mozilla na zasadzie dośpiewania sobie (usuwanie komponentów które tworzy instalacja np. Firefox). Miej na uwadze, że formatowanie wpisów FRST to tylko formatowanie które sobie wymyślił autor. Jeśli ma być usuwany określony wpis, który nie może być usunięty za pomocą FRST na zasadzie "przeklejania z raportu" lub jest przefiltrowany (widać go tylko po wyłączeniu Whitelist) lub też FRST usuwa go inaczej niż ja to chcę zrobić (tylko podklucz, a ja widzę że można usunąć cały klucz nadrzędny), wtedy bierze się prawdziwe lokalizacje w rejestrze systemowym (a nie te przetworzone narzędziami w systemie skrótów) i usuwa dyrektywą Reg: (lub bezpośredni import do rejestru z pliku REG). W dyrektywie Reg: jest używane systemowe narzędzie reg i jego składnia, a nie składnia FRST. W podsumowaniu: logi to tylko pomoc, by szybko pobrać określone (nie wszystkie) dane, ale trzeba umieć podstawy, czyli oryginalne lokalizacje.

Zadania wykonane zgodnie z planem. Przed próbą instalacji antywirusa (proponuję np. Avast), jeszcze do wykonania dodatkowe akcje: 1. Był uruchamiany GMER, toteż upewnij się, że nie został obniżony transfer dysku z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. 3. Otwórz Notatik i wklej w nim: ListPermissions: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks Unlock: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks URLSearchHook: [s-1-5-21-1004336348-1604221776-682003330-1003] ATTENTION ==> Default URLSearchHook is missing. RemoveDirectory: C:\MATS DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. .

ComboFix pododawał pewne elementy, których w systemie wcześniej nie było. Nie wiem co utworzyło owe pliki PNG. Jak rozumiem pliki nie zostały skasowane między wytwarzaniem raportu OTL a FRST - w FRST ich nie widać, pewnie FRST filtruje taki rodzaj rozszerzeń. Oznak czynnej infekcji brak. Tylko kosmetyczne poprawki: 1. Odinstaluj stare wersje Adobe Flash Player 11 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 21 oraz śmieci Qtrax Player, UpdateChecker. Jeśli te ostatnie nie będą widoczne na liście, nie szkodzi, i tak zajmie się nimi skrypt podany poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 STHDA; system32\DRIVERS\stwrt64.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3827801199-4237816232-3164111636-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction URLSearchHook: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001 - (No Name) - {261c67f2-64cd-4696-9821-612409b649d5} - No File SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} Toolbar: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001 -> No Name - {4A8A0B3B-EEB7-4E90-B359-3E01B2C15E82} - No File FF Plugin-x32: @MyImageConverter_8j.com/Plugin -> C:\Program Files (x86)\MyImageConverter_8j\bar\2.bin\NP8jStub.dll No File FF HKU\S-1-5-21-3827801199-4237816232-3164111636-1001\...\Firefox\Extensions: [freegames115@BestOffers] - C:\Users\Irmina\AppData\Roaming\Mozilla\Extensions\freegames115@BestOffers CustomCLSID: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001_Classes\CLSID\{A75BE48D-BF58-4A8B-B96C-F9A09DFB9844}\InprocServer32 -> %LOCALAPPDATA%\Pokki\ocdeskband_0.dll No File Task: {3BF726B8-2CFA-4685-B633-05D5DD432E07} - System32\Tasks\{6FD66EB5-8002-45C9-9743-F84EF499971C} => c:\program files (x86)\opera\opera.exe Task: {3D98415C-0097-4F02-82F8-715D2CF9103A} - System32\Tasks\{E4D8AF37-9C21-4610-BD68-EA188A338230} => Firefox.exe Task: {5AAF3642-5C07-4A6F-A257-3E1ED4D3854D} - System32\Tasks\{A979066F-96C6-4C0C-8E26-17EEF4D9D1EF} => Firefox.exe Task: {BEB4AD93-3E35-4C6D-BFAA-28541AB654D4} - System32\Tasks\{A7EAC957-83D9-4E90-92CB-340C0A78B4CB} => Firefox.exe Task: C:\windows\Tasks\HPCeeScheduleForIRMINA-HP$.job => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe CMD: for /d %f in (C:\Users\Irmina\AppData\Local\{*}) do rd /s /q "%f" C:\oct*.tmp.png C:\ProgramData\SMRResults430.dat C:\ProgramData\AVAST Software C:\ProgramData\Avg_Update_1114tb C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Online Services C:\ProgramData\Norton C:\Users\Irmina\*.htm C:\Users\Irmina\*.lnk C:\Users\Irmina\AppData\Local\{*} C:\Users\Irmina\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Irmina\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Irmina\AppData\Local\NPE C:\Users\Irmina\AppData\Local\Pokki C:\Users\Irmina\AppData\Roaming\Audacity C:\Users\Irmina\AppData\Roaming\AVG C:\Users\Irmina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FLV Player.lnk C:\Users\Irmina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player C:\Users\Irmina\AppData\Roaming\Opera C:\Users\Irmina\AppData\Roaming\Origin C:\Users\Irmina\AppData\Roaming\rmi C:\Users\Irmina\AppData\Roaming\TuneUp Software C:\Users\Irmina\AppData\Roaming\uTorrent C:\Users\Irmina\Desktop\Desktop\Różne dokumenty\AVG Konserwacja 1 kliknięciem.lnk C:\Users\Irmina\Desktop\Desktop\Różne dokumenty\AVG PC TuneUp 2014.lnk C:\Users\Irmina\Desktop\Desktop\Różne dokumenty\Graj w Euro Truck Simulator 2.lnk C:\Users\Irmina\Desktop\Wika\Różne\Programy\AVG Konserwacja 1 kliknięciem.lnk C:\Users\Irmina\Desktop\Wika\Różne\Programy\AVG PC TuneUp 2014.lnk C:\Users\Irmina\Desktop\Wika\Różne\Programy\Debut Video Capture Software.lnk C:\Users\Irmina\Desktop\Wika\Różne\Programy\Origin.lnk C:\Users\Irmina\Desktop\Wika\Koniec Roku\OneDrive.lnk C:\Users\Irmina\Desktop\Wika\Koniec Roku\Jaa\2014\* — skrót.lnk C:\Users\Irmina\Desktop\Wika\Koniec Roku\Jaa\Camera\* — skrót.lnk C:\Users\Irmina\Documents\*.tmp C:\Users\Irmina\Documents\* — skrót.lnk C:\windows\grep.exe C:\windows\MBR.exe C:\windows\PEV.exe C:\windows\sed.exe C:\windows\zip.exe C:\windows\SysWow64\*.tmp Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AppSafe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tutorials" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDrives /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\gopher /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{84178AE8-C22D-48CB-A6BA-D116FD3FE469} /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Popajar, inc UpdateChecker" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{B4916AE2-C6EC-43C1-8D4A-B5DC852372ED}" /f Reg: reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDrives /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer" /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Irmina\AppData\Local CMD: dir /a C:\Users\Irmina\AppData\LocalLow CMD: dir /a C:\Users\Irmina\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie plik plik fixlog.txt. 3. Specjalny skrót IE jest uszkodzony: Shortcut: C:\Users\Irmina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Irmina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy po skasowaniu owych plików PNG one zaczynają się odtwarzać. .

Doączony tu log MBAM nie przedstawia żadnych detekcji, zaprezentuj wcześniejszy log. Natomiast w podanych ogólnych raportach nie widać nic ciekawego. Tylko kosmetyczne działania na wpisy puste: 1. W systemie siedzi odpadkowy sterownik wyglądający na pozostałość po odinstalowanym Hotspot Shield: R1 HssDRV6; C:\Windows\System32\DRIVERS\hssdrv6.sys [41704 2012-07-10] (AnchorFree Inc.) Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > z prawokliku na każde tam obecne pobierz Właściwości > w karcie Ogólne sprawdź czy jest filtr Hotspot Shield > zaznacz i odinstaluj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = StartMenuInternet: IEXPLORE.EXE - C:\program files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: No Name -> {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} -> No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKU\S-1-5-21-431021187-217253523-1019275998-1003 -> No Name - {C95A4E8E-816D-4655-8C79-D736DA1ADB6D} - No File HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-19\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid} HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid} HKU\S-1-5-18\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid} ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File S3 atillk64; \??\C:\Program Files (x86)\AMD\System Monitor\atillk64.sys [X] C:\ProgramData\AVAST Software C:\ProgramData\Temp C:\Users\Karla\AppData\Roaming\eIntaller C:\Users\Karla\AppData\Roaming\iPlus C:\Users\Karla\AppData\Roaming\Thunderbird C:\Users\Marek\AppData\Roaming\iFree C:\Users\Marek\AppData\Roaming\iPlus C:\Users\Marek\AppData\Roaming\Patcher C:\Users\Marek\AppData\Roaming\PrimoPDF C:\Users\Marek\AppData\Roaming\Systweak Hosts: CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zostały dostarczone raporty FRST z kontekstu konta Karla, a są tu dwa konta: ========================= Accounts: ========================== Karla (S-1-5-21-431021187-217253523-1019275998-1003 - Administrator - Enabled) => C:\Users\Karla Marek (S-1-5-21-431021187-217253523-1019275998-1000 - Administrator - Enabled) => C:\Users\Marek Zaloguj się na konto Marek poprzez pełny restart systemu (a nie opcję Wyloguj czy Przełącz użytkownika) i zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi na tym koncie. Dołącz też plik fixlog.txt.