Skocz do zawartości

picasso

Administratorzy
 Pokaż profil  Zobacz aktywność

  • Postów

    36 524

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Treść opublikowana przez picasso

  1. picasso
    Brak trzeciego pliku FRST Shortcut. W systemie działają inwazyjne obiekty adware (m.in. "Movies Toolbar" i sterownik Sambreel), co zapewne jest przyczyną ogólnych problemów z przeglądarkami. Widzę że pobrałeś ComboFix, nie przymierzaj się do tego, nie ma potrzeby dręczyć systemu tym skanerem, nie rozwiąże on zresztą problemów. Przeprowadź następujące akcje: 1. Przez Panel sterowania odinstaluj adware Bundled software uninstaller, FilesFrog Update Checker, Lollipop, Movies Toolbar for Firefox (Dist. by Somoto Ltd.), Sweet Page oraz starą wersję Adobe Flash Player 11 Plugin. Najnowszy Adobe Flash dla Firefox zainstalujesz na szarym końcu - podam stosowny link. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}w64; C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys [48832 2014-11-12] (StdLib) R2 MaintainerSvc4.07.4104264; C:\ProgramData\398c0b96-ebd3-4f67-a5c7-1899a15c12be\maintainer.exe [123680 2014-12-02] () R1 MpKsl9cda3682; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{20FBBCDA-4F88-44AE-9A5A-CAA83DD443B9}\MpKsl9cda3682.sys [X] HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browsemngr.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browsermngr.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe IFEO\cltmngsvc.exe: [Debugger] tasklist.exe IFEO\delta babylon.exe: [Debugger] tasklist.exe IFEO\delta tb.exe: [Debugger] tasklist.exe IFEO\delta2.exe: [Debugger] tasklist.exe IFEO\deltainstaller.exe: [Debugger] tasklist.exe IFEO\deltasetup.exe: [Debugger] tasklist.exe IFEO\deltatb.exe: [Debugger] tasklist.exe IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\iminentsetup.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\rjatydimofu.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\sweetimsetup.exe: [Debugger] tasklist.exe IFEO\tbdelta.exetoolbar783881609.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe Task: {1D6CE0BA-C6F6-4CED-8CE3-1BFC86CCE691} - \WPD\SqmUpload_S-1-5-21-357607493-2966654472-2249740010-1001 No Task File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-357607493-2966654472-2249740010-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na HKU\S-1-5-21-357607493-2966654472-2249740010-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0&q={searchTerms} SearchScopes: HKLM -> {52db1893-8a90-4192-aede-08e00b8f8473} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=102&systemid=473&v=a13277-228&apn_uid=9142054734214392&apn_dtid=BND101&o=APN10640&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0&q={searchTerms} SearchScopes: HKLM-x32 -> {52db1893-8a90-4192-aede-08e00b8f8473} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=102&systemid=473&v=a13277-228&apn_uid=9142054734214392&apn_dtid=BND101&o=APN10640&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-357607493-2966654472-2249740010-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0&q={searchTerms} SearchScopes: HKU\S-1-5-21-357607493-2966654472-2249740010-1004 -> {52db1893-8a90-4192-aede-08e00b8f8473} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=102&systemid=473&v=a13277-228&apn_uid=9142054734214392&apn_dtid=BND101&o=APN10640&apn_ptnrs=AG1&q={searchTerms} BHO-x32: Windows Live Sign-in Helper -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\Ask.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\sweet-page.xml CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com?affID=na" C:\Program Files (x86)\Movies Toolbar C:\ProgramData\398c0b96-ebd3-4f67-a5c7-1899a15c12be C:\ProgramData\SafetyNut C:\Users\LOSSM Gorzów Wlkp\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\LOSSM Gorzów Wlkp\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\LOSSM Gorzów Wlkp\AppData\Local\Packages C:\Users\LOSSM Gorzów Wlkp\AppData\Local\WebPlayer C:\Users\LOSSM Gorzów Wlkp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker C:\Users\LOSSM Gorzów Wlkp\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} C:\Users\LOSSM Gorzów Wlkp\AppData\Roaming\sweet-page C:\Users\LOSSM Gorzów Wlkp\Downloads\*(*)-dp*.exe C:\Users\Public\*.tmp C:\Windows\system32\%LOCALAPPDATA% C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "mobilegeni daemon" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Yahoo! Search" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "FLV Player" /f CMD: sc config "Multimedia mobilNET. RunOuc" start= disabled CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a "C:\Users\LOSSM Gorzów Wlkp\AppData\Local" CMD: dir /a "C:\Users\LOSSM Gorzów Wlkp\AppData\LocalLow" CMD: dir /a "C:\Users\LOSSM Gorzów Wlkp\AppData\Roaming" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj adware Widget context. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. .
  2. picasso
    Logi z Administratora są bezużyteczne - inny kontekst konta i brak pokazanych wpisów charakterystycznych dla danego konta. Wymagane logi ze zdefektowanego konta Artur. Przenieś FRST ze ścieżki zależnej od konta do uniwersalnej wprost na C:\. Zastartuj do Trybu awaryjnego z Wierszem polecenia, zaloguj się na konto Artur, w linii komend wpisz C:\FRST.exe i ENTER. Dostarcz nowe logi FRST (włącznie z Addition, ale bez Shortcut).
  3. picasso
    Duża poprawa, również został usunięty defekt Usług kryptograficznych. Wymagane dalsze poprawki na szczątki adware oraz innych aplikacji (np. pozycje ffdshow i Google Chrome nadal widzę na liście zainstalowanych), w tym ściąganie filtrów Acronis z dysku twardego i woluminów USB: ========= reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318} ========= HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318} UpperFilters REG_MULTI_SZ PartMgr\0snapman\0\0 Class REG_SZ DiskDrive REG_SZ Stacje dysków Installer32 REG_SZ StorProp.Dll,DiskClassInstaller SilentInstall REG_SZ 1 NoInstallClass REG_SZ 1 TroubleShooter-0 REG_SZ hcp://help/tshoot/tsdrive.htm Icon REG_SZ -53 ========= reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} ========= HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} UpperFilters REG_MULTI_SZ VolSnap\0tdrpman\0snapman\0timounter\0\0 Class REG_SZ Volume REG_SZ Woluminy magazynu EnumPropPages32 REG_SZ StorProp.Dll,VolumePropPageProvider SilentInstall REG_SZ 1 NoInstallClass REG_SZ 1 Icon REG_SZ -53 Installer32 REG_SZ syssetup.dll,VolumeClassInstaller OPERACJE NA KONCIE MACIO: 1. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d PartMgr /f Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} /v UpperFilters /t REG_MULTI_SZ /d VolSnap /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\gupdate /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\gupdatem /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\snapman /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\timounter /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ffdshow_is1 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PDFCreator Toolbar" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IObit Malware Fighter_is1" /f Reg: reg delete HKU\S-1-5-21-343818398-823518204-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ignite /f Reg: reg delete "HKU\S-1-5-21-343818398-823518204-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search" /f Reg: reg delete HKU\S-1-5-21-343818398-823518204-725345543-1003\Software\Google\Chrome /f Reg: reg delete HKU\S-1-5-21-343818398-823518204-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-343818398-823518204-725345543-1003\Software\Mozilla\SeaMonkey /f S2 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [2283296 2014-10-28] (IObit) S2 StarWindServiceAE; E:\wav\Alcohol 120\StarWind\StarWindServiceAE.exe [370688 2009-12-23] (StarWind Software) [File not signed] S4 UleadBurningHelper; C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe [49152 2004-12-13] (Ulead Systems, Inc.) [File not signed] S2 IMFservice; C:\Program Files\IObit\IObit Malware Fighter\IMFsrv.exe [X] S2 JavaQuickStarterService; "C:\Program Files\Java\jre1.6.0_26\bin\jqs.exe" -service -config "C:\Program Files\Java\jre1.6.0_26\lib\deploy\jqs\jqs.conf" R0 tdrpman; C:\WINDOWS\System32\DRIVERS\tdrpman.sys [368480 2012-02-02] (Acronis) R2 tifsfilter; C:\WINDOWS\System32\DRIVERS\tifsfilt.sys [44384 2012-02-02] (Acronis) S3 FileMonitor; \??\C:\Program Files\IObit\IObit Malware Fighter\Drivers\wxp_x86\FileMonitor.sys [X] S3 RegFilter; \??\C:\Program Files\IObit\IObit Malware Fighter\drivers\wxp_x86\regfilter.sys [X] S3 UrlFilter; \??\C:\Program Files\IObit\IObit Malware Fighter\drivers\wxp_x86\UrlFilter.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\IMFservice => ""="Service" HKLM\...\Run: [iObit Malware Fighter] => "C:\Program Files\IObit\IObit Malware Fighter\IMF.exe" /autostart Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-823518204-725345543-1003Core.job => C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-823518204-725345543-1003UA.job => C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\ReclaimerUpdateFiles_macio.job => C:\Documents and Settings\macio\Dane aplikacji\Real\Update\UpgradeHelper\RealPlayer\11.02\agent\rnupgagent.exe Task: C:\WINDOWS\Tasks\ReclaimerUpdateXML_macio.job => C:\Documents and Settings\macio\Dane aplikacji\Real\Update\UpgradeHelper\RealPlayer\11.02\agent\rnupgagent.exe Task: C:\WINDOWS\Tasks\RNUpgradeHelperLogonPrompt_macio.job => C:\Documents and Settings\macio\Dane aplikacji\Real\Update\UpgradeHelper\RealPlayer\11.02\agent\rnupgagent.exe HKU\S-1-5-21-343818398-823518204-725345543-1003\...\Run: [Google Update] => C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [116648 2013-07-02] (Google Inc.) HKU\S-1-5-21-343818398-823518204-725345543-1003\...\Run: [Advanced SystemCare 7] => "C:\Program Files\IObit\Advanced SystemCare 7\ASCTray.exe" /auto HKU\S-1-5-21-343818398-823518204-725345543-1003\...\Run: [Yahoo! Search] => C:\Documents and Settings\macio\Dane aplikacji\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe [533352 2014-11-10] (Pay By Ads LTD) HKU\S-1-5-21-343818398-823518204-725345543-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-343818398-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na HKU\S-1-5-21-343818398-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC&q={searchTerms} HKU\S-1-5-21-343818398-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC&q={searchTerms} HKU\S-1-5-21-343818398-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC URLSearchHook: HKU\S-1-5-21-343818398-823518204-725345543-1003 - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File URLSearchHook: HKU\S-1-5-21-343818398-823518204-725345543-1003 - (No Name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - No File URLSearchHook: HKU\S-1-5-21-343818398-823518204-725345543-1003 - (No Name) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - No File SearchScopes: HKU\S-1-5-21-343818398-823518204-725345543-1003 -> DefaultScope {7BB22B29-1157-46CC-B5B7-A8E1DF62118C} URL = http://www.search.ask.com/web?tpid=ORJ-ST-SPE&o=APN11461&pf=V7&p2=^BE7^OSJ000^YY^PL&gct=sb&itbv=12.18.0.81&apn_uid=B99E999C-BAB2-48FF-98B9-AC7D90990771&apn_ptnrs=BE7&apn_dtid=^OSJ000^YY^PL&apn_dbr=Opera.exe_0_12.17.1863.0&doi=2014-10-28&trgb=IE&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-343818398-823518204-725345543-1003 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-343818398-823518204-725345543-1003 -> {7BB22B29-1157-46CC-B5B7-A8E1DF62118C} URL = http://www.search.ask.com/web?tpid=ORJ-ST-SPE&o=APN11461&pf=V7&p2=^BE7^OSJ000^YY^PL&gct=sb&itbv=12.18.0.81&apn_uid=B99E999C-BAB2-48FF-98B9-AC7D90990771&apn_ptnrs=BE7&apn_dtid=^OSJ000^YY^PL&apn_dbr=Opera.exe_0_12.17.1863.0&doi=2014-10-28&trgb=IE&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-343818398-823518204-725345543-1003 -> {F4939972-756F-40CA-A72A-2482EB2993CC} URL = http://search.aol.pl/aol/search?s_it=tb50winamp&q={searchTerms} BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll No File BHO: Ads Removal -> {9D974C8C-6D92-44FB-BEAF-B45A1C0CF17F} -> C:\Program Files\IObit\IObit Malware Fighter\adsremoval\IE\Adblock.dll No File BHO: JQSIEStartDetectorImpl Class -> {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -> C:\Program Files\Java\jre1.6.0_26\lib\deploy\jqs\ie\jqs_plugin.dll No File Toolbar: HKLM - ExplorerWnd Helper - {10921475-03CE-4E04-90CE-E2E7EF20C814} - C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1003 -> No Name - {B2E293EE-FD7E-4C71-A714-5F4750D8D7B7} - No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1003 -> No Name - {A0B1221C-A3FF-4F7C-A393-DC63AF5301E9} - No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1003 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} - No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1003 -> No Name - {4F524A2D-5354-2D53-5045-7A786E7484D7} - No File DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab DPF: {CAFEEFAC-0018-0000-0025-ABCDEFFEDCBA} http://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre1.6.0_26\lib\deploy\jqs\ff FF Plugin: @Apple.com/iTunes,version=1.0 -> C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll No File FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre1.8.0_25\bin\new_plugin\npjp2.dll No File FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin HKU\S-1-5-21-343818398-823518204-725345543-1003: opencandy.com/Ignite -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Ignite\npOCDM.1.1.4.0.dll (OpenCandy, Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{022105BD-948A-40C9-AB42-A3300DDF097F}\localserver32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe (Google Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{22181302-A8A6-4F84-A541-E5CBFC70CC43}\localserver32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.25.11\GoogleUpdateOnDemand.exe (Google Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{2F0E2680-9FF5-43C0-B76E-114A56E93598}\localserver32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.25.11\GoogleUpdateOnDemand.exe (Google Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{51F9E8EF-59D7-475B-A106-C7EA6F30C119}\localserver32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.25.11\GoogleUpdateOnDemand.exe (Google Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{6fc9af94-39ee-5a57-935c-17c37e34e33b}\InprocServer32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Ignite\npOCDM.1.1.4.0.dll (OpenCandy, Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{C3101A8B-0EE1-4612-BFE9-41FFC1A3C19D}\InprocServer32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{C442AC41-9200-4770-8CC0-7CDB4F245C55}\InprocServer32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.25.11\psuser.dll (Google Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{E67BE843-BBBE-4484-95FB-05271AE86750}\localserver32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.25.11\GoogleUpdateOnDemand.exe (Google Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.25.11\psuser.dll (Google Inc.) C:\Documents and Settings\ania\Dane aplikacji\Real C:\Documents and Settings\ania\Dane aplikacji\IObit C:\Documents and Settings\macio\*.exe C:\Documents and Settings\macio\Dane aplikacji\IObit C:\Documents and Settings\macio\Dane aplikacji\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} C:\Documents and Settings\macio\Dane aplikacji\mystartsearch C:\Documents and Settings\macio\Dane aplikacji\Pay-By-Ads C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Ignite C:\Program Files\Common Files\Real C:\Program Files\Common Files\Ulead Systems C:\Program Files\Google\Update C:\Program Files\IObit C:\Program Files\Real C:\WINDOWS\Tasks\ImCleanDisabled C:\WINDOWS\system32\REN*.tmp C:\WINDOWS\system32\config\*.iobit C:\WINDOWS\system32\config\*.iodefrag.* C:\WINDOWS\system32\drivers\snapman.sys C:\WINDOWS\System32\DRIVERS\tdrpman.sys C:\WINDOWS\System32\DRIVERS\tifsfilt.sys C:\WINDOWS\system32\drivers\timntr.sys E:\wav\Alcohol 120 RestoreQuarantine: C:\FRST\Quarantine\C\Documents and Settings\All Users\Dane aplikacji\GG CMD: dir /a "C:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\ania\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\ania\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\macio\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji" Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Do usunięcia zdefektowanych wersji Java zastosuj Java Uninstall Tool. 3. Wyrejestruj martwe kodeki. Uruchom Codec Tweak Tool i zastosuj funkcję Fixes. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. OPERACJE NA KONCIE ANIA: 1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). .
  4. picasso
    To co pobrałeś to nie był instalator docelowy właściwy tylko downloader portalowy. I wygląda na to, że załatwił Cię portal dobreprogramy.pl. Na dysku widać sekwencję przeprowadzoną w ciągu dwóch minut: pobranie "Asystenta pobierania" dobrychprogramów > utworzenie folderu adware "Hold Page": 2014-11-30 21:42 - 2014-11-30 21:42 - 00000000 ____D () C:\Program Files (x86)\Movie Maker 2.6 2014-11-30 21:39 - 2014-11-30 21:48 - 00000000 ____D () C:\Program Files (x86)\Hold Page 2014-11-30 21:39 - 2014-11-30 21:39 - 07364096 _____ () C:\Users\DOM\Downloads\MM26_PL(dobreprogramy.pl).msi 2014-11-30 21:37 - 2014-11-30 21:38 - 00754240 _____ ( ) C:\Users\DOM\Downloads\Windows-Movie-Maker(11546)-dp.exe Więcej na temat tego rodzaju działań: KLIK. Nie podałeś raportu, który utworzył ComboFix. ComboFix nie jest dobrym programem do usuwania tego typu rzeczy, nie ruszył w ogóle adware. Za to w systemie zostały dorobione sztuczne obiekty np. nieistniejąca na edycjach Home usługa AppMgmt (ComboFix nie jest wolny od błędów i w systemie mogą się pojawić po "resetach" rzeczy, których uprzednio w Windows nie było). Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: Hold Page, Freecorder 7 Applications, Freecorder extension, Freecorder extension for Chrome, Freecorder extension x64, McAfee Security Scan Plus. Na temat Freecorder: KLIK. 2. Otwórz Notatnik i wklej w nim: R1 {df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64; C:\Windows\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys [48776 2014-11-29] (StdLib) U5 AppMgmt; C:\Windows\system32\svchost.exe [27648 2011-03-01] (Microsoft Corporation) S3 catchme; \??\C:\1234aa.exe168021\catchme.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1480235242-2075340924-4091109271-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1480235242-2075340924-4091109271-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1480235242-2075340924-4091109271-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 -> {CAAF45EA-FED9-4150-A588-64A3DD21CE05} URL = http://startsear.ch/?aff=1&src=sp&cf=078e0ab0-9927-11e1-bb33-dca971544231&q={searchTerms} SearchScopes: HKU\S-1-5-21-1480235242-2075340924-4091109271-1001 -> {CAAF45EA-FED9-4150-A588-64A3DD21CE05} URL = http://startsear.ch/?aff=1&src=sp&cf=078e0ab0-9927-11e1-bb33-dca971544231&q={searchTerms} Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File CustomCLSID: HKU\S-1-5-21-1480235242-2075340924-4091109271-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\DOM\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1480235242-2075340924-4091109271-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\DOM\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1480235242-2075340924-4091109271-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\DOM\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1480235242-2075340924-4091109271-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\DOM\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {108BEE63-2766-4082-94F9-A61E192C52BD} - System32\Tasks\{B7E75CE9-1262-4690-AA0A-5B03EA04AA5B} => D:\PowerPoint\Microsoft Office PowerPoint 2007 PL.exe Task: {27D837BC-2143-491D-AAB6-043871D9C48A} - System32\Tasks\{A749C1FF-4F43-4E34-8BB2-9E0759156C2F} => D:\PowerPoint\Microsoft Office PowerPoint 2007 PL.exe Task: {56C2E152-8EE1-4DF0-B489-E3118A984267} - System32\Tasks\{B1419125-866F-4406-8442-C3CA4BF07D48} => D:\NARUTOSGNTS\GAME.exe Task: {5A1E3B8E-1DD6-4885-A917-1AF56E4BDD58} - System32\Tasks\{E0BAC9A1-853D-4B28-B3A8-4814E0F48583} => C:\PROGRAMY\SubEdit-Player\subedit.exe Task: {78C543BB-5491-46F2-B572-B618DDB772C4} - System32\Tasks\Symantec\Norton Error Analyzer 18.6.0.29 => C:\Program Files (x86)\Norton Internet Security\Engine\18.6.0.29\SymErr.exe Task: {8FD4B633-27C6-4D34-904B-870C7AC40493} - System32\Tasks\{8E82E1DF-2265-4724-9017-FBDF336CF588} => D:\SpellForce - Cień Feniksa\spellforce.exe Task: {AFA14807-B62A-44BB-98BB-5394FC2D9302} - System32\Tasks\{64097DB9-622C-4BED-A5F5-946A01432E4B} => D:\NARUTOSGNTS\Dolphin.exe Task: {CC3B5B95-0F13-4475-AC8E-CB14D3680AA5} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Task: {CC94F45D-CB75-4B11-B3B7-CE2E3CA684B0} - System32\Tasks\{3844D976-0EC0-498F-9D35-5DA155B9BDEF} => D:\NARUTOSGNTS\GAME.exe Task: {D3A1BC40-F056-4BA3-B1CE-AFE331FF2774} - System32\Tasks\Symantec\Norton Error Processor 18.6.0.29 => C:\Program Files (x86)\Norton Internet Security\Engine\18.6.0.29\SymErr.exe Task: {D632650A-7DB2-49F0-AFD0-6E6E31BA5068} - System32\Tasks\{280B954B-E01B-4065-B48E-30F2D5F04042} => D:\NARUTOSGNTS\Dolphin.exe Task: {DADCEB1A-04AA-4007-BC0E-A6B622E9928D} - System32\Tasks\{1A45A83B-276F-46FB-8DF6-E3587F1EA7DD} => D:\Sniper Elite III\Sniper Elite 3\bin\SniperElite3.exe Task: {E73E0127-3400-4A10-8C53-34120909C727} - System32\Tasks\{D46EF293-11F6-406A-A7F4-140C0A7D2BBF} => D:\SpellForce - Cień Feniksa\spellforce.exe Task: {E7F3B44A-8828-4797-804E-3A60B5B45784} - System32\Tasks\{1D3E57E1-D932-47F5-B65F-65A564596CB6} => D:\SpellForce - Cień Feniksa\spellforce.exe CHR HKLM-x32\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\DOM\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [2013-02-03] CHR HKLM-x32\...\Chrome\Extension: [gpicboiclhmnllnjdcfcffifpoaebgkm] - C:\Program Files (x86)\Freecorder extension\Freecorder.crx [2012-10-13] FF Plugin HKU\S-1-5-21-1480235242-2075340924-4091109271-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File C:\Program Files\Freecorder extension x64 C:\Program Files (x86)\Freecorder extension C:\Program Files (x86)\Hold Page C:\Users\DOM\AppData\Local\CRE C:\Users\DOM\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\DOM\AppData\Local\WMTools Downloaded Files C:\Users\DOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Norton C:\Users\DOM\AppData\Roaming\Thinstall C:\Users\DOM\Downloads\*(*)-dp*.exe C:\Users\DOM\Downloads\Niepotwierdzony*.crdownload C:\Users\DOM\Downloads\wlsetup*.exe C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-1480235242-2075340924-4091109271-1000\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete HKU\S-1-5-21-1480235242-2075340924-4091109271-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-1480235242-2075340924-4091109271-1000\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete "HKU\S-1-5-21-1480235242-2075340924-4091109271-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome" /f CMD: for /d %f in (C:\Users\DOM\AppData\Local\{*}) do rd /s /q "%f" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\DOM\AppData\Local CMD: dir /a C:\Users\DOM\AppData\LocalLow CMD: dir /a C:\Users\DOM\AppData\Roaming Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz C:\ComboFix.txt. .
  5. picasso
    Nie ma żadnych zmian z Fix FRST, sterowniki adware nadal na chodzie. Powtórz punkt 3, ale usuń ze skryptu pierwszą komendę (CloseProcesses:) oraz ostatnią (EmptyTemp:). Jeśli Fix się wykona, system należy zresetować ręcznie. I dalej jak omawiane.
  6. picasso
    W tej sytuacji opuść deinstalację tych starych Oper.
  7. picasso
    Do wglądu zasady działu: KLIK. OTL to przestarzałe narzędzie sprawdzane tylko pobocznie. Obowiązkowe są raporty z FRST.
  8. picasso
    Komunikat odnoszący się do metadanych NTFS \$Extend\$Reparse (indeks linków symbolicznych) sugeruje, że nadal są uszkodzenia struktury plików na dysku. Na razie jednak powstrzymuję się przed zaleceniem innych akcji, gdyż nie mogę się doliczyć dysków twardych. Wygląda na to, że dysk z XP nie jest nawet wykrywany: FRST przedstawia układ w następujący sposób: ==================== Drives ================================ Drive c: (DANE) (Fixed) (Total:154.76 GB) (Free:19.13 GB) NTFS ----> System Vista Drive e: (LRMCFRE_PL_DVD) (CDROM) (Total:2.83 GB) (Free:0 GB) CDFS ----> płyta instalacyjna DVD Vista Drive j: (KINGSTON) (Removable) (Total:3.73 GB) (Free:0.07 GB) FAT32 ----> pendrive Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS ----> zbootowane środowisko RE z DVD Vista Drive y: () (Fixed) (Total:78.12 GB) (Free:0.16 GB) NTFS ==>[system with boot components (obtained from reading drive)] ----> "D - na pliki", wg tego odczytu są tu pliki startowe bootujące system Vista ==================== MBR & Partition Table ================== Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 232.9 GB) (Disk ID: 8AB4C816) Partition 1: (Active) - (Size=78.1 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=154.8 GB) - (Type=OF Extended) ======================================================== Disk: 5 (MBR Code: Windows XP) (Size: 3.7 GB) (Disk ID: C3072E18) ----> Pendrive Kingston Partition 1: (Active) - (Size=3.7 GB) - (Type=0C) Liternictwem się nie sugeruj, bo FRST tymczasowo przemontowuje układ liter, by dysk z Windows zawsze był widziany pod "C" podczas uruchomienia FRST - zmiana jest w pamięci tylko do następnego restartu i nie wpływa na nic. Z tego spisu wynika, że partycja z zainstalowaną Vista ~150GB (tymczasowo widziana pod literą C:) nie jest partycją startową Vista, pliki bootowania są na innej partycji ~78GB (tymczasowo widziana pod literą Y:), czyli na tej która rzekomo "nie powinna zawierać żadnych plików systemowych". Twój system Vista operuje na dwóch partycjach, partycja z Vista nie jest niezależna. * Wykryte dwa dyski, HDD z 2 partycjami oraz pendrive z jedną partycją. Opowiadasz o dwóch dyskach i trzech partycjach, wg spisu drugi dysk twardy z XP w ogóle nie jest nawet wykryty. Jeśli dysk nie został celowo odpięty, to masz tu problem natury sprzętowej - brak detekcji urządzenia. Potwierdz więc czy dysk z XP był podłączony podczas skanu FRST. Jeśli chodzi natomiast o dysk z Vista, to pliki rozruchu nie wydają się uszkodzone, bo dochodzi bardzo daleko aż do ekranu logowania. Skoro dysk z XP nie jest widziany, to komunikat o uszkodzeniu metadanych \$Extend\$Reparse zdaje się być relatywny właśnie do dysku z Vista. Jest tu używana płyta instalacyjna DVD Vista. Moduł "Napraw komputer" jest starszy niż ekwiwalent w płytach Windows 7. Płyty Windows 7 posiadają pewne ulepszenia (m.in. obchodzące problem uszkodzenia metadanych). Rozważam czy by coś pomogło zastosowanie płyty Windows 7. * Nawiasem mówiąc: Wg spisu Twoja partycja z Vista to nie jest partycja podstawowa tylko rozszerzona, a na takiej nie mogą być instalowane pliki startowe systemu (wymagają partycji podstawowej aktywnej) i w sytuacji niekompatybilnej partycji następuje rozdzielenie systemu per se od jego plików startowych (plik BOOTMGR i folder Boot) - instalator szuka pierwszej w kolejności partycji podstawowej aktywnej i na niej lokuje pliki. Pierwsza podstawowa aktywna partycja w środowisku zewnęrznym zawsze otrzymuje literę C, dlatego Twój układ jest widziany "na odwrót" z poziomu DVD instalacyjnej Vista.
  9. picasso
    Błąd produkujący ten defekt został już naprawiony w FRST. Ale nadal u Ciebie jest ten zablokowany klucz. Proszę zresetuj system i podaj nowy skan FRST (bez Addition i Shortcut), w celu weryfikacji czy ten efekt się utrzymuje nadal.
  10. picasso
    System jest w bardzo złym stanie. W raportach widoczne następujące problemy: - Kupa problematycznych sterowników: Mnóstwo sterowników adware. Fatalne skomasowanie dwóch potężnych instalacji Avast + niepoprawnie odinstalowany stary AVG - i ten układ jest jeszcze zaprawiony przez trzeci sterownikowy program, co dopiero doinstalowany IObit Malware Fighter (w ogóle zbędny przy antywirusach). Ponadto, na liście zainstalowanych nie ma śladów instalacji Acronis, a ładowana jest cała grupa powiązanych sterowników, sterowniki filtrują dysk twardy i trzeba będzie rozwiązać filtr przed jakąkolwiek próbą ich usuwania. Jedna z tych sytuacji, a może ich połączenie, to prawdopodobna przyczyna BSOD i niemożności załadowania systemu. - Uszkodzenie funkcjonalności Usług kryptograficznych. Wszystkie usługi / sterowniki Microsoftu są przedstawione jako niepodpisane cyfrowo. Te programy nie są istotne. W systemie za to jest sterownik SPTD pozostawiony przez instalację Alcohol. Alcohol wygląda na odinstalowany (martwe skróty w Menu Start), więc sterownik będę usuwać. Wstępnie: AKCJE Z POZIOMU TRYBU AWARYJNEGO: 1. Zastosuj AVG Remover. 2. Uruchom plik C:\Program Files\IObit\IObit Malware Fighter\unins000.exe. Nie wiem czy deinstalacja jest możliwa z poziomu Trybu awaryjnego. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S1 {1b466f6c-dc3a-43cc-be85-cf3645641e49}t; C:\WINDOWS\System32\drivers\{1b466f6c-dc3a-43cc-be85-cf3645641e49}t.sys [55872 2014-10-22] (StdLib) S1 {2d11e69f-33c6-44c6-ac04-bb1b36bd5d05}t; C:\WINDOWS\System32\drivers\{2d11e69f-33c6-44c6-ac04-bb1b36bd5d05}t.sys [55872 2014-11-22] (StdLib) S1 {2e099d13-43b4-4786-97b8-180d8e368316}t; C:\WINDOWS\System32\drivers\{2e099d13-43b4-4786-97b8-180d8e368316}t.sys [55872 2014-11-28] (StdLib) S1 {2ed6f06d-c282-422a-bd97-39d8f3b7bfbe}t; C:\WINDOWS\System32\drivers\{2ed6f06d-c282-422a-bd97-39d8f3b7bfbe}t.sys [55872 2014-11-30] (StdLib) S1 {3bcd1a06-f942-43b2-83f3-1b446001ad4c}t; C:\WINDOWS\System32\drivers\{3bcd1a06-f942-43b2-83f3-1b446001ad4c}t.sys [55872 2014-11-03] (StdLib) S1 {4658e599-44ac-4503-ad88-1bb24d581e6b}t; C:\WINDOWS\System32\drivers\{4658e599-44ac-4503-ad88-1bb24d581e6b}t.sys [55872 2014-11-26] (StdLib) S1 {487feb77-84bf-4620-9b7d-e3091f0d8c1a}t; C:\WINDOWS\System32\drivers\{487feb77-84bf-4620-9b7d-e3091f0d8c1a}t.sys [55872 2014-11-25] (StdLib) S1 {5f8e00a8-575d-48e6-8d65-64af80d8d3c1}t; C:\WINDOWS\System32\drivers\{5f8e00a8-575d-48e6-8d65-64af80d8d3c1}t.sys [55872 2014-10-29] (StdLib) S1 {66ebe552-c0b3-42d2-8572-ea4c8b37cf9e}t; C:\WINDOWS\System32\drivers\{66ebe552-c0b3-42d2-8572-ea4c8b37cf9e}t.sys [55872 2014-11-29] (StdLib) S1 {69344dc5-97c6-446f-ab93-78620f9ce080}t; C:\WINDOWS\System32\drivers\{69344dc5-97c6-446f-ab93-78620f9ce080}t.sys [55872 2014-11-16] (StdLib) S1 {ac0ddd40-091b-4a3f-89cd-5279f84da3bc}t; C:\WINDOWS\System32\drivers\{ac0ddd40-091b-4a3f-89cd-5279f84da3bc}t.sys [55872 2014-11-19] (StdLib) S1 {af16652c-3cdd-4795-b89b-2d9cf16806d6}Gt; C:\WINDOWS\System32\drivers\{af16652c-3cdd-4795-b89b-2d9cf16806d6}Gt.sys [55872 2014-10-07] (StdLib) S1 {af16652c-3cdd-4795-b89b-2d9cf16806d6}t; C:\WINDOWS\System32\drivers\{af16652c-3cdd-4795-b89b-2d9cf16806d6}t.sys [55872 2014-10-20] (StdLib) S1 {b6bca5b8-0633-4bd4-aff8-a8eac231017e}t; C:\WINDOWS\System32\drivers\{b6bca5b8-0633-4bd4-aff8-a8eac231017e}t.sys [55872 2014-11-12] (StdLib) S1 {c1080099-5e1a-43c5-80f0-41cd67821448}t; C:\WINDOWS\System32\drivers\{c1080099-5e1a-43c5-80f0-41cd67821448}t.sys [55872 2014-11-27] (StdLib) S1 {cc1c7882-de6a-4305-8b39-485dcaa147b6}t; C:\WINDOWS\System32\drivers\{cc1c7882-de6a-4305-8b39-485dcaa147b6}t.sys [55872 2014-11-13] (StdLib) S1 {d0e4096d-22f7-4d51-86f7-85e4dcb81f43}t; C:\WINDOWS\System32\drivers\{d0e4096d-22f7-4d51-86f7-85e4dcb81f43}t.sys [55872 2014-10-25] (StdLib) S1 {f7ba53d8-c3df-4a43-84a3-af76826da955}t; C:\WINDOWS\System32\drivers\{f7ba53d8-c3df-4a43-84a3-af76826da955}t.sys [55872 2014-10-31] (StdLib) S1 {f8625ba0-c2d7-40f8-b773-382964b0698d}t; C:\WINDOWS\System32\drivers\{f8625ba0-c2d7-40f8-b773-382964b0698d}t.sys [55872 2014-11-07] (StdLib) S2 APNMCP; C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe [166296 2014-10-30] (APN LLC.) S2 MaintainerSvc3.93.1720192; C:\Documents and Settings\All Users\Dane aplikacji\cab4fbb2-1ac7-44d2-9b7d-0c921d8827f4\maintainer.exe [123680 2014-11-30] () S2 Update allgenius; C:\Program Files\allgenius\updateallgenius.exe [526112 2014-11-30] () S2 Util allgenius; C:\Program Files\allgenius\bin\utilallgenius.exe [526112 2014-11-30] () S0 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [436792 2011-10-07] (Duplex Secure Ltd.) S1 StarOpen; C:\WINDOWS\system32\Drivers\StarOpen.sys [5632 2006-07-24] () [File not signed] S3 ASFWHide; \??\C:\DOCUME~1\macio\USTAWI~1\Temp\ASFWHide [X] S3 LVUSBSta; system32\DRIVERS\LVUSBSta.sys [X] S3 MarkFun_NT; \??\C:\Program Files\Gigabyte\Face_wizard\markfun.w32 [X] S3 PID_0928; system32\DRIVERS\LV561AV.SYS [X] S3 ucenkpec; No ImagePath U3 Winsock - Google Desktop Search Backup Before First Install; No ImagePath U3 Winsock - Google Desktop Search Backup Before Last Install; No ImagePath HKLM\...\Run: [ApnTBMon] => C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [2039192 2014-11-24] (APN) HKLM\...\Run: [TkBellExe] => C:\Program Files\Common Files\Real\Update_OB\realsched.exe [185896 2008-09-04] (RealNetworks, Inc.) HKLM\...\Run: [sunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [253816 2013-03-12] (Oracle Corporation) BootExecute: autocheck autochk * C:\PROGRA~1\AVG\AVG10\avgchsvx.exe /syncC:\PROGRA~1\AVG\AVG10\avgrsx.exe /sync /restartSmartDefragBootTime.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC URLSearchHook: HKU\S-1-5-21-343818398-823518204-725345543-1004 - SearchHook Class - {D8278076-BC68-4484-9233-6E7F1628B56C} - C:\Program Files\AskPartnerNetwork\Toolbar\searchhook.dll (APN LLC.) URLSearchHook: HKU\S-1-5-21-343818398-823518204-725345543-1004 - (No Name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No File HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://rts.dsrlte.com/?m=tab&affID=na" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC&q={searchTerms} SearchScopes: HKU\S-1-5-21-343818398-823518204-725345543-1004 -> {9877429D-11F8-4E95-BF19-FCEDF718F3A7} URL = http://www.search.ask.com/web?tpid=ORJ-ST-SPE&o=APN11461&pf=V7&p2=^BE7^OSJ000^YY^PL&gct=sb&itbv=12.18.0.81&apn_uid=B99E999C-BAB2-48FF-98B9-AC7D90990771&apn_ptnrs=BE7&apn_dtid=^OSJ000^YY^PL&apn_dbr=Opera.exe_0_12.17.1863.0&doi=2014-10-28&trgb=IE&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-343818398-823518204-725345543-1004 -> {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6OyZQHDG3O&loc=skw&search={searchTerms} BHO: Shopping App by Ask -> {4F524A2D-5354-2D53-5045-7A786E7484D7} -> C:\Program Files\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport.dll (APN LLC.) BHO: allgenius 1.0.0.4 -> {963e8e8b-052d-46d7-abe6-6728f612ae99} -> C:\Program Files\allgenius\allgeniusBHO.dll (allgenius) BHO: allgenius -> {b69e6465-8844-4d10-8a6f-22d056e4c2bf} -> C:\Program Files\allgenius\allgeniusbho.dll (allgenius) Toolbar: HKLM - No Name - {a0b1221c-a3ff-4f7c-a393-dc63af5301e9} - No File Toolbar: HKLM - Shopping App by Ask - {4F524A2D-5354-2D53-5045-7A786E7484D7} - C:\Program Files\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport.dll (APN LLC.) Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1004 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1004 -> No Name - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1004 -> No Name - {51A86BB3-6602-4C85-92A5-130EE4864F13} - No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1004 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1004 -> No Name - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1004 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1004 -> No Name - {A0B1221C-A3FF-4F7C-A393-DC63AF5301E9} - No File ShellIconOverlayIdentifiers: ["DropboxExt1"] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt2"] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt3"] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt4"] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt5"] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt6"] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt7"] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt8"] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => No File DPF: {68282C51-9459-467B-95BF-3C0E89627E55} DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0045-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_45-windows-i586.cab DPF: {CAFEEFAC-0018-0000-0025-ABCDEFFEDCBA} http://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab FF Plugin: yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 -> C:\Program Files\Yahoo!\Common\npyaxmpb.dll No File FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\Program Files\Real\RealPlayer\browserrecord FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [{1E73965B-8B48-48be-9C8D-68B920ABC1C4}] - C:\Program Files\AVG\AVG10\Firefox4 FF HKLM\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Documents and Settings\macio\Dane aplikacji\Mozilla\Firefox\Profiles\wd1c8wso.default\extensions\faststartff@gmail.com FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC C:\Documents and Settings\All Users\Dane aplikacji\uxxadbmu.rlu C:\Documents and Settings\All Users\Dane aplikacji\188F1432-103A-4ffb-80F1-36B633C5C9E1 C:\Documents and Settings\All Users\Dane aplikacji\ashampoo C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\Documents and Settings\All Users\Dane aplikacji\AVG10 C:\Documents and Settings\All Users\Dane aplikacji\Badoo C:\Documents and Settings\All Users\Dane aplikacji\cab4fbb2-1ac7-44d2-9b7d-0c921d8827f4 C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10 C:\Documents and Settings\All Users\Dane aplikacji\GG C:\Documents and Settings\All Users\Dane aplikacji\Grisoft C:\Documents and Settings\All Users\Dane aplikacji\install_clap C:\Documents and Settings\All Users\Dane aplikacji\MFAData C:\Documents and Settings\All Users\Dane aplikacji\OpenFM C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\Tlen.pl C:\Documents and Settings\All Users\Dane aplikacji\tmp C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software C:\Documents and Settings\All Users\Dane aplikacji\Ulead Systems C:\Documents and Settings\All Users\Menu Start\Programy\Gadu-Gadu 10.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Skype.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Switch Sound File Converter.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Canon Utilities C:\Documents and Settings\All Users\Menu Start\Programy\Alcohol 120% C:\Documents and Settings\All Users\Menu Start\Programy\Audio Related Programs C:\Documents and Settings\All Users\Menu Start\Programy\Java C:\Documents and Settings\All Users\Menu Start\Programy\NCH Software Suite C:\Documents and Settings\All Users\Menu Start\Programy\Ski Jump International C:\Documents and Settings\ania\Dane aplikacji\AutoUpdate C:\Documents and Settings\ania\Dane aplikacji\AVG C:\Documents and Settings\ania\Dane aplikacji\AVG10 C:\Documents and Settings\ania\Dane aplikacji\Pay-By-Ads C:\Documents and Settings\ania\Dane aplikacji\TuneUp Software C:\Documents and Settings\ania\Dane aplikacji\VSRevoGroup C:\Documents and Settings\ania\Pulpit\Nieużywane skróty pulpitu C:\Documents and Settings\Default User\Dane aplikacji\TuneUp Software C:\Documents and Settings\LocalService\Dane aplikacji\AVG C:\Documents and Settings\LocalService\Dane aplikacji\Systweak C:\Documents and Settings\LocalService\Dane aplikacji\TuneUp Software C:\Program Files\*.tmp C:\Program Files\globalUpdate C:\Program Files\Mozilla Firefox\extensions C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\*.tmp C:\WINDOWS\System32\roboot.exe C:\WINDOWS\System32\unrar.dll C:\WINDOWS\System32\drivers\{1b466f6c-dc3a-43cc-be85-cf3645641e49}t.sys C:\WINDOWS\System32\drivers\{2d11e69f-33c6-44c6-ac04-bb1b36bd5d05}t.sys C:\WINDOWS\System32\drivers\{2e099d13-43b4-4786-97b8-180d8e368316}t.sys C:\WINDOWS\System32\drivers\{2ed6f06d-c282-422a-bd97-39d8f3b7bfbe}t.sys C:\WINDOWS\System32\drivers\{3bcd1a06-f942-43b2-83f3-1b446001ad4c}t.sys C:\WINDOWS\System32\drivers\{4658e599-44ac-4503-ad88-1bb24d581e6b}t.sys C:\WINDOWS\System32\drivers\{487feb77-84bf-4620-9b7d-e3091f0d8c1a}t.sys C:\WINDOWS\System32\drivers\{5f8e00a8-575d-48e6-8d65-64af80d8d3c1}t.sys C:\WINDOWS\System32\drivers\{66ebe552-c0b3-42d2-8572-ea4c8b37cf9e}t.sys C:\WINDOWS\System32\drivers\{69344dc5-97c6-446f-ab93-78620f9ce080}t.sys C:\WINDOWS\System32\drivers\{ac0ddd40-091b-4a3f-89cd-5279f84da3bc}t.sys C:\WINDOWS\System32\drivers\{af16652c-3cdd-4795-b89b-2d9cf16806d6}Gt.sys C:\WINDOWS\System32\drivers\{af16652c-3cdd-4795-b89b-2d9cf16806d6}t.sys C:\WINDOWS\System32\drivers\{b6bca5b8-0633-4bd4-aff8-a8eac231017e}t.sys C:\WINDOWS\System32\drivers\{c1080099-5e1a-43c5-80f0-41cd67821448}t.sys C:\WINDOWS\System32\drivers\{cc1c7882-de6a-4305-8b39-485dcaa147b6}t.sys C:\WINDOWS\System32\drivers\{d0e4096d-22f7-4d51-86f7-85e4dcb81f43}t.sys C:\WINDOWS\System32\drivers\{f7ba53d8-c3df-4a43-84a3-af76826da955}t.sys C:\WINDOWS\System32\drivers\{f8625ba0-c2d7-40f8-b773-382964b0698d}t.sys C:\WINDOWS\System32\Drivers\sptd.sys C:\WINDOWS\system32\Drivers\StarOpen.sys Hosts: CMD: netsh firewall reset Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Translate this web page with Babylon" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Translate with Babylon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\MenuExt\Translate this web page with Babylon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\MenuExt\Translate with Babylon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox 4.0.1 (x86 pl)" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318} Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. AKCJE Z POZIOMU TRYBU NORMALNEGO: Sprawdź czy jesteś w stanie wejść w Tryb normalny. Jeśli tak: 1. Uruchom narzędzie Fix It 50202 (zaznacz tryb agresywny): KLIK. To narzędzie działa na XP, a tryb agresywny resetuje bazę Usług kryptograficznych. 2. Przez Dodaj/Usuń programy odinstaluj: Adware: allgenius, mystartsearch uninstall, Shopping App by Ask. Stare wersje i zbędniki: Adobe Download Assistant, Adobe Flash Player 9 ActiveX, Adobe Flash Player 10 ActiveX, Adobe Flash Player 15 Plugin, Adobe Shockwave Player 11.6, ffdshow [rev 2975] [2009-05-28], Foxit Reader 5.1, Google Chrome, Java™ 6 Update 12, Java™ 6 Update 26, Java™ 6 Update 32, Java 7 Update 25, Opera 12.15, Opera 12.17, RealPlayer, Surfing Protection. Sugeruję pozbyć się wszystkich pozostałych programów IOBit: Advanced SystemCare 7, Driver Booster 2, IObit Uninstaller, Smart Defrag 3 . Firma ma grzeszki na sumieniu (adware w instalatorach, podejrzane związki partnerskie, kradzież bazy danych MBAM w przeszłości), nie pokładam żadnego zaufania i programów nie polecam. Na razie nie instaluj żadnych nowych wersji, to na szarym końcu. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. W systemie są dwa konta, wymagane logi z każdego z osobna: ========================= Accounts: ========================== ania (S-1-5-21-343818398-823518204-725345543-1004 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\ania macio (S-1-5-21-343818398-823518204-725345543-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\macio Po kolei zaloguj się na każde konto poprzez pełny restart komputera (a nie opcję Wyloguj lub Przełącz użytkownika). Na każdym koncie zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .
  11. picasso
    Wszystko zrobione. Kończymy: 1. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zainstaluj najnowszy Adobe Flash dla Firefox: KLIK. 2. Proponowany program zabezpieczający przez exploitami: Malwarebytes Anti-Exploit (dostępna darmowa edycja).
  12. picasso
    Na razie nie kontynuuję dalszych operacji czyszczących, gdy: 12 KB w uszkodzonych sektorach - proszę załóż nowy temat w dziale Hardware (linkując tu do tematu) i podając dane wymagane do diagnostyki sprzętowej dysku: KLIK.
  13. picasso
    Mała poprawka. Otwórz Notatnik i wklej w nim: Replace: C:\FRST\Quarantine\regsvr32.exe30-11-2014_13-44-33 C:\Windows\system32\regsvr32.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.
  14. picasso
    Mimo że błąd explorer.exe już nie występuje, na wszelki wypadek podaj ten log z ShellExView.
  15. picasso
    Nowa niekorzystna zmiana w systemie. W trakcie czynności doinstalowałeś wątpliwy skaner SpyHunter - program z czarnej listy, który stosuje naciski socjotechniczne i reklamodawcze (reklamuje się jako dedykowany usuwacz infekcji "A" lub "B"), by go zainstalować, a po instalacji miły komunikat o opłatach, bo o to tu chodzi. Odinstaluj go. Z poleceń prawie wszystko zrobione, z wyjątkiem jednej komendy. Poproszę o dodatkowe dane - otwórz Notatnik i wklej w nim: Folder: C:\FRST\Quarantine RemoveDirectory: C:\Users\Filip\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.
  16. picasso

    Zawieszanie się

    picasso odpowiedział(a) na adela temat w Windows Vista

    Nie wiem ile obecnie wolnego miejsca zostało na dysku C. Mogę się odnieść do wcześniejszych wyników. Statystyki z samego początku: ==================== Drives ================================ Drive c: (ACER) (Fixed) (Total:51.14 GB) (Free:15.67 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: (DATA) (Fixed) (Total:50.89 GB) (Free:50.61 GB) NTFS Drive h: (Expansion Drive) (Fixed) (Total:465.76 GB) (Free:158.6 GB) NTFS ==================== MBR & Partition Table ================== Disk: 0 (Size: 111.8 GB) (Disk ID: C2D6B1CA) Partition 1: (Not Active) - (Size=9.8 GB) - (Type=27) Partition 2: (Active) - (Size=51.1 GB) - (Type=06) Partition 3: (Not Active) - (Size=50.9 GB) - (Type=07 NTFS) ======================================================== Disk: 1 (Size: 465.8 GB) (Disk ID: 0C3057C5) Partition 1: (Not Active) - (Size=465.8 GB) - (Type=07 NTFS) Po akcjach w temacie zyskane tylko niecałe 2GB: ==================== Drives ================================ Drive c: (ACER) (Fixed) (Total:51.14 GB) (Free:17.39 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: (DATA) (Fixed) (Total:50.89 GB) (Free:50.61 GB) NTFS Drive h: (Expansion Drive) (Fixed) (Total:465.76 GB) (Free:158.3 GB) NTFS Prawdopodobnie w prosty sposób nie można zmienić układu partycji / ich rozmiaru i są wymagane szczególne działania zaawansowane, gdyż dysk posiada ukrytą partycję ~10GB z Recovery Acer. Prawdopodobnie jest uwzględniona sztywna geometria dysku i po zmianie rozmiarów partycji C+D sposobami standardowymi zostanie uszkodzony dostęp do Recovery. Miejsce na dysku nie jest stałe i nie będzie, w Windows zachodzi wiele procesów, które powoduje fluktuacje miejsca. Wg statystyk podanych wyżej poblemem raczej nie było miejsce na dysku, zwolniło się tylko niecałe 2GB, co ja nie podepnę pod frazę "zrobiło się luźno". Póki co, to efekty końcowe wskazują, że jest tu problem z czymś innym - logi sugerują brak pamięci (wysoki procent pamięci w użyciu). A osobiste dane należy dla własnego bezpieczeństwa starać się trzymać na innej partycji niż systemowa C. PS. Nawiasem mówiąc ostatni z dostarczonych logów FRST i tak był źle zrobiony (nie mogę się doprosić o odznaczenie pola Services) i się poddałam.
  17. picasso
    Kolejna porcja czynności: 1. Odinstaluj starą dziurawą wersję Adobe Flash Player 10 Plugin (wersja dla Firefox). Dodatkowo, rozważ deinstalację Expat Shield - reputacja: KLIK. 2. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware PodoWeb oraz szczątek AVG Secure Search. Wydaje mi się też, że należy wyrzucić Custom new tab, Define your own new tab! - rozszerzenia wyglądają na stare, nie istnieją już w sklepie Chrome Web Store, a jest tu nowa wersja Google Chrome 39.0.2171.71 która blokuje rozszerzenia spoza sklepu i prawdopodobnie oba rozszrzenia i tak są nieczynne. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2868711597-264946777-3682003278-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trovi.com/?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M25BB64EB-7F01-44D8-A0BE-782BE4DE1A8F&SearchSource=55&CUI=&UM=6&UP=SPF57C8540-833E-4D13-8C99-E145079A25A9&SSPV= SearchScopes: HKU\S-1-5-21-2868711597-264946777-3682003278-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M25BB64EB-7F01-44D8-A0BE-782BE4DE1A8F&SearchSource=58&CUI=&UM=6&UP=SPF57C8540-833E-4D13-8C99-E145079A25A9&q={searchTerms}&SSPV= HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2868711597-264946777-3682003278-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction RestoreQuarantine: C:\FRST\Quarantine\C\Windows\System32\regsvr32.exe.xBAD C:\ProgramData\boost_interprocess Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny fixlog.txt. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .
  18. picasso
    Nawet nie wiadomo czy format rozwiąże sprawę. Wyraźnie zgłaszasz nie tylko problem z Windows na dysku, ale i z odseparowanym środowiskiem zewnętrznym, co może insynuować problem natury sprzętowej: Mógłbyś ostatecznie podać raport z FRST dla ogólnej orientacji. Raport jest limitowany do określonych aspektów.
  19. picasso
    O ile dobrze rozumiem, przed restartem ikona jest, po restarcie brak. Sprawdź czy pomoże przeładowanie bufora ikon: Start > w polu szukania wpisz cmd > uruchom i zostaw okno otwarte. Uruchom menedżer zadań i zabij proces explorer.exe. Następnie w otwartym oknie cmd wklep dwie komendy, każdą zatwierdzając ENTER: cd %userprofile%\AppData\Local del /a:h IconCache.db W menedżerze zadań z menu Plik > Nowe zadanie uruchom explorer.exe.
  20. picasso
    Posiadasz wejście do środowiska WinRE, które daje duże możliwości dostępu do danych: KLIK. W Wierszu polecenia można odpalić dla ułatwienia graficzną wersję jakiegoś menedżera plików portable, który może pracować w środowisku zewnętrznym. Np. dla systemu 32-bit nadaje się FreeCommander (wersja ZIP). Umieszczasz rozpakowany program na pendrive w folderze o nazwie "freecommander", w Wierszu polecenia startujesz program komendą X:\freecommander\freecommander.exe (X = litera pod jaką widać pendrive w środowisku zewnętrznym) i migrujesz dane między napędami.
  21. picasso
    W systemie zagnieździła się wersja infekcji, któa modyfikuje systemową usługę Winmgmt, stąd start do Windows nie jest możliwy. Przeprowadź następujące działania: 1. W Notatniku wklej: HKU\Filip\...\Policies\Explorer: [] AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll => C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll File Not Found AppInit_DLLs-x32: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll => "C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll" File Not Found Startup: C:\Users\Filip\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8CB6068E6.lnk S2 Winmgmt; C:\ProgramData\8CB6068E6.zot [350208 2014-11-30] () S2 HiPatchService; D:\Hi-Rez Studios\HiPatchService.exe [X] S2 Update PodoWeb; "C:\Program Files (x86)\PodoWeb\updatePodoWeb.exe" [X] S2 Util PodoWeb; "C:\Program Files (x86)\PodoWeb\bin\utilPodoWeb.exe" [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 SPPD; \??\C:\Windows\system32\drivers\SPPD.sys [X] S1 {00c97d86-accb-4288-9972-6d929c1fe93a}Gw64; system32\drivers\{00c97d86-accb-4288-9972-6d929c1fe93a}Gw64.sys [X] S1 {19b94dbb-e67e-43ec-827b-c943f0fc9c16}Gw64; system32\drivers\{19b94dbb-e67e-43ec-827b-c943f0fc9c16}Gw64.sys [X] S1 {972b8ad0-9d6f-4688-9227-759df6914df4}Gw64; system32\drivers\{972b8ad0-9d6f-4688-9227-759df6914df4}Gw64.sys [X] S1 {c0b542ce-0b43-4536-9ff3-886eaf9fb44c}w64; system32\drivers\{c0b542ce-0b43-4536-9ff3-886eaf9fb44c}w64.sys [X] GroupPolicy: Group Policy on Chrome detected C:\ProgramData\6E8606BC8.cpp C:\ProgramData\8CB6068E6.zot C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321 C:\Users\Filip\AppData\Local\cache Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt na pendrive, skąd jest uruchamiany FRST. Uruchom FRST i kliknij w Fix. Na pendrive powstanie plik fixlog.txt. 2. System zostanie odblokowany. Zaloguj się normalnie do Windows i zrób nowe logi FRST spod Windows (FRST.txt, Addition.txt i Shortcut.xt): KLIK. Dołącz też plik fixlog.txt. .
  22. picasso

    Problem z programami

    picasso odpowiedział(a) na adic8 temat w Windows 7

    Co z resztą kroków - log z ShellExView oraz instalacja Adobe Flash? Ale która operacja uczyniła największą różnicę w starcie systemu, deaktywacje w Autoruns czy deinstalacja AVG? Jeśli to pierwsze, AVG wraca na miejsce. Jeśli to drugie, nie, tylko szukasz innego antywirusa, który nie spowalnia startu.
  23. picasso
    Skoro krok numer jeden pomógł, kroki 2+3 nie są już potrzebne (pierwszy log FRST nadal aktualny do dalszych operacji i nie potrzebuję nowego). Miałeś jednak dostarczyć wyniki skanowania dysku:
  24. picasso
    Kontynuuj. A w punkcie 2 do skryptu, który podałam, dostaw jeszcze tę linię (to usunie wejście "optymizera" z listy zainstalowanych): Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{c632643} /f
  25. picasso
    1. Deinstalacja AMD Quick Stream nie usunęła swojego sterownika: S2 APXACC; C:\Windows\system32\DRIVERS\appexDrv.sys [219360 2013-04-18] (AppEx Networks Corporation) Uruchom Autoruns, w karcie Drivers skasuj pozycję APXACC, zaś powiązany plik z dysku ręcznie. 2. Deinstalacja ESET również niekompletna, w tle nadal uruchomiony sterownik ESET filtrujący sieć: R1 EpfwLWF; C:\Windows\system32\DRIVERS\EpfwLWF.sys [38288 2012-03-29] (ESET) Skorzystaj z narzędzia ESET Uninstaller. Narzędzie musi zostać uruchomione z poziomu Trybu awaryjnego. Metody wejścia do tego trybu (wybierz tą z SHIFTem): KLIK. 3. Po operacjach wykonaj nowy log z FRST.
×
×
  • Dodaj nową pozycję...