Skocz do zawartości

picasso

Administratorzy
 Pokaż profil  Zobacz aktywność

  • Postów

    36 532

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Treść opublikowana przez picasso

  1. picasso
    Kończymy: 1. Usuń ręcznie pobrane skanery z C:\Users\Laura\Desktop\narzedzia. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle.
  2. picasso
    Bonus, logi OTL zrobione przed wykonaniem czynności podanych wyżej, więc po ich wykonaniu trzeba będzie zrobić nowe logi OTL i jak mówię FRST oraz GMER.
  3. picasso
    1. Jeszcze jedna poprawka. Nie zauważyłam, że Lenovo Solution Center został odinstalowany i pozostały po nim martwe wpisy. Do Notatnika wklej: Task: {1D6112A4-D025-4415-B959-CAFE35AAB555} - System32\Tasks\Lenovo\LSC\Time72Task => C:\Program Files\Lenovo\Lenovo Solution Center\App\LSCService.exe Task: {B5CEAA3D-E177-4E6B-B399-893894A31BD3} - System32\Tasks\Lenovo\LSC\RebootCountTask => C:\Program Files\Lenovo\Lenovo Solution Center\App\LSCService.exe Task: {DA2C0C92-3376-4472-9198-1FD1082073DD} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe C:\Users\Laura\AppData\Local\LSC C:\Users\Laura\AppData\Roaming\LSC C:\Windows\System32\Tasks\Lenovo\LSC RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner ponownie, tym razem zastosuj sekwencję Szukaj, a po tym Usuń. Dostarcz log AdwCleanerS0.txt.
  4. picasso
    Co to konkretnie oznacza, że aplikacje OTL i GMER nie chcą się włączyć? Jaki błąd? Objaśnij to. Problemów jest kilka: multum instalacji adware oraz rozwalony system Usług kryptograficznych Windows (masowy odczyt [File not signed] na wszystkich usługach i sterownikach Microsoftu). Ponadto, mam do czynienia z dziurawym niezabezpieczonym systemem, stan SP2 i IE6 (!): Platform: Microsoft Windows XP Home Edition Dodatek Service Pack 2 (X86) OS Language: Polski Internet Explorer Version 6 Działania wstępne: 1. Rozpocznij od poprawnych deinstalacji via Dodaj/Usuń programy: - Adware / niepożądane aplikacje oraz zbędniki: Ask Toolbar, Babylon toolbar on IE, BrowserCompanion, CheckRun22find_uninstaller, Desk 365, gry Toolbar, iLivid, IncrediMail MediaBar 2 Toolbar, Movies Toolbar for Chrome (Dist. by Bandoo Media, Inc.), Movies Toolbar for Internet Explorer (Dist. by Bandoo Media, Inc.), Qtrax Player, Searchqu Toolbar, Smart File Advisor 1.1.3, Torch - Stare aplikacje: Adobe Flash Player 10 Plugin, Adobe Flash Player ActiveX, Adobe Reader 9.3.2 - Polish, Java™ 6 Update 31, Java 7 Update 21, Malwarebytes Anti-Malware wersja 1.60.1.1000, OpenOffice.org 3.2, Opera 12.02 Dodatkowo, via Menu Start odinstaluj Alcohol, a następnie zastosuj SPTDinst, by przygotować podłoże do uruchomienia GMER: KLIK. 2. Uruchom narzędzie Fix It 50202 (zaznacz tryb agresywny): KLIK. To narzędzie działa na XP, a tryb agresywny resetuje bazę Usług kryptograficznych. 3. Zrób nowy log FRST z opcji Scan, ponownie zaznacz pola Addition i Shortcut, by powstały trzy logi. Potrzebny także log z GMER, by zdiagnozować na okoliczność infekcji ukrytych. Na podstawie nowych raportów będzie dalsze czyszczenie systemu. .
  5. picasso
    Wszystkie operacje udane. Poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\New Folder C:\Program Files (x86)\Opera C:\ProgramData\374311380 C:\ProgramData\AlawarWrapper C:\ProgramData\Temp C:\Users\Laura\AppData\Local\AlawarWrapper C:\Users\Laura\AppData\Local\Opera Software C:\Users\Laura\AppData\Local\Pay-By-Ads RemoveDirectory: C:\MATS RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Laura\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. .
  6. picasso
    1. W raporcie FRST nie ma oznak wykonania tej operacji, do wdrożenia: 2. Inne mini poprawki. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\S-1-5-21-1868939083-3434912627-837075443-1003\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete HKU\S-1-5-21-1868939083-3434912627-837075443-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-1868939083-3434912627-837075443-1003\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete HKU\S-1-5-21-1868939083-3434912627-837075443-1003_Classes\CLSID /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Doctor Web DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Jeśli chodzi o błąd explorer.exe, to podaj mi log z narzędzia ShellExView. CTRL+A, by zaznaczyć wszystkie wpisy w oknie > klik w ikonkę dyskietki, by zapisać log w formacie TXT. .
  7. picasso
    Post poprawiony, ale brakuje jeszcze logów z OTL i GMER. Dołącz je, a przejdę do analizy - już widzę conajmniej kilka problemów.
  8. picasso
    + [Detected Flags] 1.| Possible CryptoWall Flag , HKCU\Software\4125720CC7C6E93FDA9DBCBDC8553232\22335589ABBCCDDD Niestety nie mam dobrych wieści. To infekcja CryptoWall - odszyfrowanie danych jest niemożliwe. Listę zaszyfrowanych plików, z którymi już raczej należy się pożegnać, poda narzędzie ListCWall. Jeśli chodzi o ostatnią linijkę i "Shadow Volume Copies" (tyczy tylko dysku dla którego była czynna ochrona, czyli C) - to odpada jako metoda odzyskiwania, gdyż brak tu jakichkolwiek punktów Przywracania systemu (w logu Addition puściutko). Ta infekcja zresztą pierwsze co robi to kasuje kopie cieniowe, by odciąć tę metodę odzyskiwania. Niestety w Twojej sytuacji jedyna ewentualna droga odzyskiwania danych to użycie narzędzi do odzyskiwania danych w rodzaju TestDisk, tylko jest tu problem: Infekcja miała miejsce kilka miesięcy temu, od tego czasu na dysku były liczne operacje zapisu (aktywność samego Windows per se, instalacje programów, usuwanie infekcji skanerami) sukcesywnie odcinające możliwość odzyskiwania danych. Odzyskiwanie danych z dysku, z którego skasowano dane, wymaga całkowitego zablokowania dysku (to oznacza wyłączenie komputera i nie uruchamianie nic z tego dysku) i wykonanie kopii posektorowej. Tu jest już za późno. Widzę, że próbowałaś już narzędzi typu Advanced Disk Recovery, Ashampoo Undeleter, Active@ UNDELETE Freeware - i tu został popełniony kolejny podstawowy błąd, tzn. narzędzi do odzyskiwania danych nie wolno instalować na dysku, z którego ma być ewentualne odzyskiwanie danych, bo każda instalacja to kolejne nadpisywanie miejsc. Obawiam się, że tu nawet narzędzia do odzyskiwania danych nic już nie zdziałają i utrata danych jest pełna, dysk był zbyt długo na chodzie, były na nim liczne operacje zapisu. Nie jestem w stanie pomóc w tej kwestii. Osobna sprawa to stan Twojego systemu - nie jest czysty i trzeba wykonać dodatkowe działania usunięcia wpisów infekcji ze startu, różnych pustych wpisów oraz niebezpiecznych dziurawych wersji aplikacji (jedna z dróg infekcji). Pod tym kątem przeprowadź następujące operacje: 1. Przez Panel sterowania odinstaluj stare niebezpieczne wersje Java™ 6 Update 22, Java 7 Update 9, Java 7 Update 45 (64-bit), Java SE Development Kit 7 Update 4 (64-bit), JavaFX 2.1.0, JavaFX 2.1.0 (64-bit), JavaFX 2.1.0 SDK, OpenOffice.org 3.3 oraz MyWinLocker Suite (liczne puste wpisy wskazujące na częściową deinstalację lub uszkodzenie aplikacji firmowej). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 MWLService; C:\Program Files (x86)\EgisTec MyWinLocker\x86\MWLService.exe [X] HKLM-x32\...\Run: [suiteTray] => "C:\Program Files (x86)\EgisTec MyWinLockerSuite\x86\SuiteTray.exe" HKLM-x32\...\Run: [EgisUpdate] => "C:\Program Files (x86)\EgisTec IPS\EgisUpdate.exe" -d HKLM-x32\...\Run: [EgisTecPMMUpdate] => "C:\Program Files (x86)\EgisTec IPS\PmmUpdate.exe" HKLM-x32\...\Run: [HCKUWinT32] => C:\Users\asik\AppData\Local\Temp\74423.exe HKLM-x32\...\Run: [updatesvc] => C:\Users\asik\AppData\Roaming\Microsoft\Windows\updater.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [EA Core] => "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [HCKUWinT32] => C:\Users\asik\AppData\Local\Temp\74423.exe HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [HCKUwinAPl32] => C:\Users\asik\AppData\Local\Temp\ctfmon HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [HCKUWinLogon] => C:\Users\asik\AppData\Roaming\Microsoft\winapi32.exe HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [umccmedia Update] => regsvr32.exe C:\Users\asik\AppData\Local\Umccmedia\ASMtwk215A.dll HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [syshost32] => C:\Users\asik\AppData\Local\{A3F47E8A-1EAD-F243-09D3-8C87E77A94D2}\syshost.exe HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\MountPoints2: {33e86f50-201e-11e1-90a6-d027881e4eee} - I:\Setup.exe HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\MountPoints2: {3d46175b-4db9-11e1-9d9f-d027881e4eee} - K:\BSAutoRun.exe HKU\S-1-5-18\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-18\...\Policies\Explorer: [HideSCAHealth] 0 ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers-x32: [egisPSDP] -> {30A0A3F6-38AC-4C53-BB8B-0D95238E25BA} => C:\Program Files (x86)\EgisTec MyWinLocker\x86\psdprotect.dll No File SearchScopes: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms} BHO: McAfee SiteAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll No File BHO-x32: McAfee SiteAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File Toolbar: HKLM - McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll No File Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File Toolbar: HKLM-x32 - McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File Toolbar: HKLM-x32 - No Name - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No File Toolbar: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> No Name - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No File Toolbar: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File CustomCLSID: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\asik\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File Task: {1BCBA46A-4328-4A44-B751-879F7AC109E0} - System32\Tasks\{EE67A2B4-EF83-4D53-A14B-23538328CAAF} => C:\Users\asik\Downloads\ChomikBox\Homefront.Repack-Gardzij.exe Task: {52BB55E6-DE09-4ECE-B435-0DB2215DB008} - System32\Tasks\{790DABDA-1D19-4121-9339-D3AF0655B2AE} => C:\Users\asik\Downloads\ChomikBox\Homefront.Repack-Gardzij.exe Task: {5B3E48EB-E352-4C77-A9B0-AC9A49089186} - System32\Tasks\{D3977E4B-72C3-4075-BDDF-868EF0CB8253} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.367&LastError=404 CHR HKLM-x32\...\Chrome\Extension: [lpoimibckejjdjcfbdnajaicnklhfplh] - https://chrome.google.com/webstore/detail/lpoimibckejjdjcfbdnajaicnklhfplh [2014-07-14] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx [2012-08-29] FF HKLM-x32\...\Firefox\Extensions: [{B7082FAA-CB62-4872-9106-E42DD88EDE45}] - C:\Program Files (x86)\McAfee\SiteAdvisor FF HKLM-x32\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\DivXHTML5 FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File C:\Program Files (x86)\mozilla firefox\plugins C:\Users\asik\scan_results C:\Users\asik\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\asik\Downloads\*(*)-dp*.exe C:\Windows\SysWOW64\sho*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. W Google Chrome: - Ustawienia > karta Rozszerzenia > odinstaluj odpadek po McAfee SiteAdvisor - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .
  9. picasso
    Multum obiektów adware w systemie, a liczba sterowników adware aktywnie ładowana jest ogłuszająca. Wdróż te działania: 1. Deinstalacje: - Przez Panel sterowania odinstaluj adware SmarterPower, WindowsMangerProtect20.0.0.722. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis po McAfee Shared C Run-time for x64 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {06b330c2-0607-4547-8f68-86805edbaa23}Gw64; C:\Windows\System32\drivers\{06b330c2-0607-4547-8f68-86805edbaa23}Gw64.sys [48792 2014-10-17] (StdLib) R1 {24616444-765b-4b21-a0d9-3f0c17b29bfe}w64; C:\Windows\System32\drivers\{24616444-765b-4b21-a0d9-3f0c17b29bfe}w64.sys [48832 2014-11-29] (StdLib) R1 {2f1ed632-8cc1-4969-916a-211c6b0412c1}Gw64; C:\Windows\System32\drivers\{2f1ed632-8cc1-4969-916a-211c6b0412c1}Gw64.sys [48792 2014-10-13] (StdLib) R1 {397e3208-0393-47ca-9748-370b27e14021}Gw64; C:\Windows\System32\drivers\{397e3208-0393-47ca-9748-370b27e14021}Gw64.sys [48792 2014-10-19] (StdLib) R1 {4059f7a9-d023-4137-a1c8-01f0f6fe6110}Gw64; C:\Windows\System32\drivers\{4059f7a9-d023-4137-a1c8-01f0f6fe6110}Gw64.sys [48792 2014-10-19] (StdLib) R1 {4b6b588f-fe6d-43d5-96e6-6583434569cd}Gw64; C:\Windows\System32\drivers\{4b6b588f-fe6d-43d5-96e6-6583434569cd}Gw64.sys [48792 2014-10-15] (StdLib) R1 {5eeb83d0-96ea-4249-942c-beead6847053}Gw64; C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys [44696 2014-09-16] (StdLib) R1 {651e31c1-db10-434b-a173-a9b0e6a15ce0}Gw64; C:\Windows\System32\drivers\{651e31c1-db10-434b-a173-a9b0e6a15ce0}Gw64.sys [48792 2014-10-21] (StdLib) R1 {807699ff-a8ae-4ba9-8010-fe7f44646ff9}Gw64; C:\Windows\System32\drivers\{807699ff-a8ae-4ba9-8010-fe7f44646ff9}Gw64.sys [48792 2014-10-17] (StdLib) R1 {b52a596e-357b-4007-9a88-5592a17b1be9}Gw64; C:\Windows\System32\drivers\{b52a596e-357b-4007-9a88-5592a17b1be9}Gw64.sys [48792 2014-10-12] (StdLib) R1 {b6d2616c-64d9-4cf8-b476-cbd886546a36}Gw64; C:\Windows\System32\drivers\{b6d2616c-64d9-4cf8-b476-cbd886546a36}Gw64.sys [48792 2014-10-16] (StdLib) R1 {bf167862-9559-4b38-94c6-2e5edae3632c}Gw64; C:\Windows\System32\drivers\{bf167862-9559-4b38-94c6-2e5edae3632c}Gw64.sys [48792 2014-10-11] (StdLib) R1 {e168bb47-74a7-440b-bf7d-d17153007d6b}Gw64; C:\Windows\System32\drivers\{e168bb47-74a7-440b-bf7d-d17153007d6b}Gw64.sys [48792 2014-10-11] (StdLib) R1 {efa349b9-003c-4506-9e55-957c1cff853c}Gw64; C:\Windows\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}Gw64.sys [48792 2014-10-23] (StdLib) R1 {efa349b9-003c-4506-9e55-957c1cff853c}w64; C:\Windows\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}w64.sys [48832 2014-11-11] (StdLib) R1 {fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}Gw64; C:\Windows\System32\drivers\{fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}Gw64.sys [48792 2014-10-10] (StdLib) R1 {fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}Gw64; C:\Windows\System32\drivers\{fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}Gw64.sys [48792 2014-10-17] (StdLib) R1 {fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}Gw64; C:\Windows\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}Gw64.sys [48792 2014-10-13] (StdLib) R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [715656 2014-09-16] (Cherished Technololgy LIMITED) R2 MaintainerSvc7.71.837357; C:\ProgramData\66d59f5c-9429-4c86-9f63-c339daeaabaf\maintainer.exe [123680 2014-11-29] () R2 Update SmarterPower; C:\Program Files (x86)\SmarterPower\updateSmarterPower.exe [525600 2014-11-29] () R2 Util SmarterPower; C:\Program Files (x86)\SmarterPower\bin\utilSmarterPower.exe [525600 2014-11-29] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [528896 2014-09-16] (Fuyu LIMITED) [File not signed] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1410849486&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9DD832937&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1410849486&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9DD832937&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1410849486&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9DD832937&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1410849486&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9DD832937&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1410849486&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9DD832937 BHO-x32: SmarterPower 1.0.0.4 -> {bd7c9b62-a7d9-4405-be51-7fd633f08791} -> C:\Program Files (x86)\SmarterPower\SmarterPowerBHO.dll (SmarterPower) CustomCLSID: HKU\S-1-5-21-3068575985-1883321796-1181531582-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Laura\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey Winlogon\Notify\igfxcui: igfxdev.dll [X] HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\Program Files (x86)\SmarterPower C:\ProgramData\66d59f5c-9429-4c86-9f63-c339daeaabaf C:\ProgramData\IePluginServices C:\ProgramData\AVAST Software C:\ProgramData\McAfee C:\ProgramData\WindowsMangerProtect C:\Users\Laura\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Laura\AppData\Roaming\eCyber C:\Users\Laura\AppData\Roaming\Opera Software C:\Users\Laura\AppData\Roaming\WebExtend C:\Windows\System32\drivers\{06b330c2-0607-4547-8f68-86805edbaa23}Gw64.sys C:\Windows\System32\drivers\{24616444-765b-4b21-a0d9-3f0c17b29bfe}w64.sys C:\Windows\System32\drivers\{2f1ed632-8cc1-4969-916a-211c6b0412c1}Gw64.sys C:\Windows\System32\drivers\{397e3208-0393-47ca-9748-370b27e14021}Gw64.sys C:\Windows\System32\drivers\{4059f7a9-d023-4137-a1c8-01f0f6fe6110}Gw64.sys C:\Windows\System32\drivers\{4b6b588f-fe6d-43d5-96e6-6583434569cd}Gw64.sys C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys C:\Windows\System32\drivers\{651e31c1-db10-434b-a173-a9b0e6a15ce0}Gw64.sys C:\Windows\System32\drivers\{807699ff-a8ae-4ba9-8010-fe7f44646ff9}Gw64.sys C:\Windows\System32\drivers\{b52a596e-357b-4007-9a88-5592a17b1be9}Gw64.sys C:\Windows\System32\drivers\{b6d2616c-64d9-4cf8-b476-cbd886546a36}Gw64.sys C:\Windows\System32\drivers\{bf167862-9559-4b38-94c6-2e5edae3632c}Gw64.sys C:\Windows\System32\drivers\{e168bb47-74a7-440b-bf7d-d17153007d6b}Gw64.sys C:\Windows\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}Gw64.sys C:\Windows\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}w64.sys C:\Windows\System32\drivers\{fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}Gw64.sys C:\Windows\System32\drivers\{fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}Gw64.sys C:\Windows\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcui_exe /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Laura\AppData\Local CMD: dir /a C:\Users\Laura\AppData\LocalLow CMD: dir /a C:\Users\Laura\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .
  10. picasso
    W systemie są wprawdzie odpadki Bitcoin minera (co wyjaśniałoby wysokie obciążenie i "wycie"), ale to obiekt już nie ładowany, więc objawy nie są wynikiem infekcji. W Dzienniku zdarzeń jest powtarzający się błąd sugerujący trop sprzętowy: System errors: ============= Error: (11/29/2014 02:45:51 PM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort0. Temat przenoszę do działu Hardware na dalszą diagnostykę. Wymagane inne dane: KLIK. PS. O niektórych pozycjach należy zapomnieć raz na zawsze. Ad-Aware SE Personal to archaizm sprzed wielu lat i dziś w ogóle nieużytkowy, a RegClean-Pro to niepożądany program (klasyfikacja "PUP", reklamiarz i mało wiarygodne wyniki)! W spoilerze doczyszczanie systemu ze śmieci oraz wyłączenie usługi nVidia produkującej poniższe błędy: Application errors: ================== Error: (11/29/2014 02:11:15 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (11/29/2014 02:11:15 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] .
  11. picasso
    baobei, proszę podać konkretne dane wymagane działem, czyli obowiązkowe logi: KLIK. Dodatkowo, skoro jest tu problem z zaszyfrowanymi danymi proszę o odczyt z narzędzia ID Tool, który ma wbudowaną identyfikację infekcji szyfrujących. Owszem, może się okazać, że dane są niemożliwe do odszyfrowania. Obecnie grasują infekcje, które generują klucze dekrypcji na serwerach malware, w oparciu o mocne algorytmy szyfrowania, hasła są nie do złamania. Na razie nie wiadomo o jakim typie infekcji tu mowa.
  12. picasso
    Istotnie, są tu wysoce niepożądane elementy adware zainstalowane, które jak najbardziej mogą wyjaśniać obniżenie wydajności. Akcja: 1. Przez Panel sterowania odinstaluj adware Hold Page, Interenet Optimizer, sweet-page uninstall. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64; C:\Windows\System32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys [48784 2014-10-08] (StdLib) R1 {f0087990-17d0-4537-ad91-6a7a9c5c1b37}Gw64; C:\Windows\System32\drivers\{f0087990-17d0-4537-ad91-6a7a9c5c1b37}Gw64.sys [48776 2014-11-27] (StdLib) R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [705416 2014-09-24] (Cherished Technololgy LIMITED) R2 Update Hold Page; C:\Program Files (x86)\Hold Page\updateHoldPage.exe [525552 2014-11-28] () R2 Util Hold Page; C:\Program Files (x86)\Hold Page\bin\utilHoldPage.exe [525552 2014-11-28] () AppInit_DLLs: C:\PROGRA~3\INTERE~1\INTERE~2.DLL => C:\ProgramData\Interenet Optimizer\InterenetOptimizer_x64.dll [4302848 2014-11-22] () AppInit_DLLs-x32: c:\progra~3\intere~1\intere~1.dll => c:\ProgramData\Interenet Optimizer\InterenetOptimizer.dll [4125696 2014-11-22] () ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX ShortcutWithArgument: C:\Users\Filip komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX ShortcutWithArgument: C:\Users\Filip komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX ShortcutWithArgument: C:\Users\Filip komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX HKU\S-1-5-21-1183563886-1740424818-487961910-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1183563886-1740424818-487961910-1001 -> DefaultScope {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} SearchScopes: HKU\S-1-5-21-1183563886-1740424818-487961910-1001 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: Hold Page 1.0.0.4 -> {6c14185e-4de6-4a79-985b-19f23fd1e638} -> C:\Program Files (x86)\Hold Page\HoldPagebho.dll (Hold Page) C:\Program Files (x86)\Hold Page C:\Program Files (x86)\SupTab C:\ProgramData\374311380 C:\ProgramData\IePluginServices C:\ProgramData\Interenet Optimizer C:\Users\Filip komp\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Filip komp\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Filip komp\AppData\Roaming\SupTab C:\Users\Filip komp\AppData\Roaming\sweet-page C:\Users\Filip komp\Downloads\need-for-speed-most-wanted*.exe C:\Windows\System32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys C:\Windows\System32\drivers\{f0087990-17d0-4537-ad91-6a7a9c5c1b37}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Filip komp\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Filip komp\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a "C:\Users\Filip komp\AppData\Local" CMD: dir /a "C:\Users\Filip komp\AppData\LocalLow" CMD: dir /a "C:\Users\Filip komp\AppData\Roaming" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .
  13. picasso
    Temat zostaje przeniesiony, na razie do działu Windows. Brak jakichkolwiek oznak infekcji. PS. Na przyszłość: brak trzeciego raportu FRST Shortcut, tu już nieistotne, gdyż problem jest w innym obszarze niż skróty LNK. Rzucają się w oczy dwie sprawy: 1. Na liście zainstalowanych oraz w Dzienniku zdarzeń są identyczne pozycje związane z AMD Quick Stream jak w tym temacie: KLIK. ==================== Installed Programs ====================== AMD Quick Stream (HKLM\...\{E9EED4AE-682B-4501-9574-D09A21717599}_is1) (Version: 3.4.4.2 - AppEx Networks) System errors: ============= Error: (11/29/2014 00:10:58 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi AppEx Networks Accelerator LWF z powodu następującego błędu: %%31 Error: (11/29/2014 00:10:58 AM) (Source: APXACC) (EventID: 1003) (User: ) Description: The NDIS6 LWF initialization has failed. (0xC0000001) 2. Jeśli AMD Quick Stream nie okaże się powiązany, weryfikacja czy komunikacji nie blokuje firewall ESET. Na próbę całkowicie odinstaluj ESET Endpoint Security i podaj jakie są rezultaty tej operacji oraz nowy log FRST (bez Addition i Shortcut) potwierdzający usunięcie sterowników ESET. .
  14. picasso
    W takiej sytuacji powstrzymałabym się z dalszymi działaniami i poczekałabym jeszcze, by potwierdzić, że usunięcie sterownika adware rzeczywiście rozwiązało problem. Gdyby jednak powtórzyła się historia ze sterownikiem ekranu, wtedy aktualizacja jest na tapecie.
  15. picasso
    Sprawdź czy błąd występuje po tymczasowej deaktywacji Norton Internet Security. Nie rozumiem, skąd tu "błąd składni". Czy na pewno plik ręcznie usuwasz a nie próbujesz go otwierać? .
  16. picasso
    To nie jest z kolei mój Fix tylko inny podany przez kogoś innego. Wyszło szydło z worka - temat był bezsensownie robiony równocześnie na dwóch forach, a mówię przecież w zasadach, że to jedna z podstawowych informacji, bo przetwarzanie tego samego tematu równocześnie mija się z celem i prowadzi do błędów. Proszę o link do alternatywnego tematu oraz dostarczenie drugiego "środkowego" pliku C:\FRST\Logs\Fixlog_data_czas.txt (między najstarszym a najnowszym).
  17. picasso
    Ten jeden klucz jest dokumentnie zablokowany po Fix, zgłosiłam to autorowi i czekam na odpowiedź. Natomiast w międzyczasie: 1. Przez SHIFT+DEL skasuj te katalogi z dysku, to falsyfikaty kont dorobione przez adware: C:\Users\Administrator C:\Users\Gość C:\Users\HomeGroupUser$ 2. W AdwCleaner zastosuj sekwencję Szukaj + Usuń. Pytam czy błąd sterownika ekranu występuje już po usunięciu sterownika adware, gdyż był tu przypadek na forum z podobnym sterownikiem grupy Sambreel generującym konflikt z graficznym. Z opisu mam rozumieć, że błąd sterownika ekranu jest nadal na miejscu? Jeśli tak, to efekt wskazuje na obszar sterowników graficznych i/lub sprzętu per se i temat przesunę do działu Hardware na dalszą diagnostykę. Wstępnie - zacznij od próby aktualizacji sterownika - sterownik jest stary (brandowanie ATI, obecnie AMD): DRV - [2009-08-18 03:48:06 | 004,994,560 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag) .
  18. picasso
    Fix wykonany, dokasuj jeszcze ten plik z dysku: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\pt5exhs9.default\user.js. Ale co konkretnie się dzieje, jaki błąd? Widziałam ten błąd WMI numer 10 już wcześniej w Addition. To błąd który nie ma wpływu na system i może zostać zignorowany, jego likwidacja to pudrowanie Dziennika zdarzeń. Błąd zlikwiduje narzędzie Fix it z artykułu KB2545227. .
  19. picasso
    Zadania wykonane, poprawki: 1. Jeden z wpisów dziwnie wygląda po opcji Fix (choć Fix nie ruszał tego wejścia). Podaj dane o nim - otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /s ListPermissions: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes ListPermissions: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} RemoveDirectory: C:\Users\Damian\AppData\Roaming\HpUpdate RemoveDirectory: C:\Users\Damian\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz Szukaj i dostarcz log z folderu C:\AdwCleaner. Pozostałe problemy z siecią mogą już wynikać z aktywności Kaspersky Internet Security. Oprogramowanie mocno ingerujące w aktywność sieciową. A co z "błędem sterownika ekranu"? .
  20. picasso
    Wdróż następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw.sys [52920 2014-04-28] (StdLib) HKLM\...\Run: [] => [X] HKLM\...\Run: [fst_pl_146] => [X] HKLM\...\Run: [t4pc_en_7] => [X] Task: {4C620EA0-3D2F-4B25-9B7B-1CC851A210CA} - \SW-Booster-S-2112667740 No Task File Task: C:\Windows\Tasks\SW-Booster-S-2112667740.job => c:\programdata\wideblue installer\sw-booster\SW-Booster.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF Extension: seave on - C:\Program Files\Mozilla Firefox\browser\extensions\anykyqhj@bbauogixyi.co.uk [2014-11-10] FF Extension: MySearch - C:\Program Files\Mozilla Firefox\browser\extensions\eao6ztgc@mojz-srxg.com [2014-11-10] FF Extension: save on - C:\Program Files\Mozilla Firefox\browser\extensions\oiq1-sppb@aayooeua.edu [2014-11-10] FF Extension: MySearch - C:\Program Files\Mozilla Firefox\browser\extensions\qbagwu@kpgxuth.edu [2014-11-10] FF Extension: Adblocker - C:\Program Files\Mozilla Firefox\browser\extensions\t1bjkd.fe@aaaolreyi-.net [2014-11-10] HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1404135934&from=smt&uid=395049983_1052451_48E04D95&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1404135934&from=smt&uid=395049983_1052451_48E04D95&q={searchTerms} HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction SearchScopes: HKLM -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.fastsearchings.info/?l=1&q={searchTerms}&pid=2145&r=2014/06/30&hid=13539960392910098093&lg=EN&cc=PL&unqvl=56 SearchScopes: HKU\S-1-5-21-927793373-3573720154-1526932553-1000 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.fastsearchings.info/?l=1&q={searchTerms}&pid=2145&r=2014/06/30&hid=13539960392910098093&lg=EN&cc=PL&unqvl=56 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\ProgramData\TEMP C:\Users\Damian\AppData\Local\Google C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ROC_roc_ssl_v12" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TrustPortDiskProtectionWatchDog" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4820778D-AB0D-6D18-C316-52A6A0E1D507} /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{c67abfdb} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót IE jest uszkodzony: Shortcut: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się jak działa system. .
  21. picasso
    Temat przenoszę do działu diagnostyki infekcji. W systemie działa inwazyjny sterownik adware {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw.sys, który może wpływać negatywnie na system. Poza tym śmietnik adware w Firefox. Zanim podam instrukcje potrzebne solidne dane: Szkopuł w tym, że dostarczyłeś logi z kompletnie przeterminowanej wersji FRST (brak nowych komend, skanów i poprawek): Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 15-01-2014 03 (ATTENTION: ====> FRST version is 317 days old and could be outdated) FRST jest aktualizowany w tempie 1 lub 2 wersje na tydzień i zawsze musi być pobierany od nowa. Proszę pobrać najnowszy FRST z linka w przyklejonym: KLIK. I od nowa zrobić wszystkie skany, mają powstać 3 pliki a nie 2, brakuje pliku Shortcut. .
  22. picasso
    Ten BSOD 0x000000f4 (CRITICAL_OBJECT_TERMINATION) jednak zdaje się być powiązany z COMODO - w stosie występuje kontekst sterownika COMODO (cmdguard.sys) - w spoilerze wyniki debugowania zrzutu pamięci Minidump. Nie mam pojęcia jednak dlaczego to się zbiegło z Fixem. Czy notujesz jeszcze jakieś problemy? Ostatnie zadanie pomyślnie wykonane. Kończymy: 1. Ręcznie usuń: C:\MATS (od narzędzia Fix it Microsoftu) C:\Users\dom\Desktop\przegladarki\Palemoon_download (pobrane narzędzia z tego folderu) C:\Windows\system32\config\HiveBackup (kopia rejestru utworzona przez FRST) 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz (o ile potrzebne) uzupełnij najnowsze instalacje Adobe i Java: KLIK. .
  23. picasso
    Czy po usunięciu Hotspota nadal występuje efekt zapychania transferu? Rozumiem, że problem niestartującego explorera jest rozwiązany. Natomiast ten błąd explorer.exe, który wspominasz, widziałam już wcześniej w Addition, tylko nie wiedziałam czy to był incydent, czy rzecz seryjna. Błąd powoduje moduł ehSSO.dll (Windows Media Center Shell Service Object): Application errors: ================== Error: (11/28/2014 01:49:32 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: explorer.exe, wersja: 6.1.7600.16450, sygnatura czasowa: 0x4aeba271 Nazwa modułu powodującego błąd: ehSSO.dll, wersja: 6.1.7600.16385, sygnatura czasowa: 0x4a5bd9dd Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00003d05 Identyfikator procesu powodującego błąd: 0xd14 Godzina uruchomienia aplikacji powodującej błąd: 0xexplorer.exe0 Ścieżka aplikacji powodującej błąd: explorer.exe1 Ścieżka modułu powodującego błąd: explorer.exe2 Identyfikator raportu: explorer.exe3 Potem będę się zastanawiać co to oznacza.
  24. picasso
    HotspotShield filtuje urządzenia sieciowe, więc te "problematyczne sterowniki" mogą być z powodu nie rozwiązania filtra. Odinstaluj wszystkie urządzenia sieciowe z sekcji Karty sieciowe (te które się da, mogą być błędy typu "to urządzenie jest wymagane do rozruchu" dyktowane uprawnieniami) > restart systemu > Windows przebuduje układ > ponawiasz sprawdzanie Właściwości połączeń sieciowych w karcie Ogólne czy stoi tam nadal Hotspot i kolejne podejście z ewentualną deinstalacją.
  25. picasso
    Nie dostarczyłeś mi tej paczki. moters nadal występuje na liście zainstalowanych, mimo że jest niewidoczny, więc dokończę to ręcznie. Poprawki: 1. Skorzystaj z normalnego Panelu sterowania i spróbuj odinstalować ten szczątek COMODO GeekBuddy (Windows przynajmniej powinien zapytać, czy usuwać "puste wejście") oraz pozycję Adobe Shockwave Player 12.0 (zapomniałam go uwzględnić). 2. Pod kątem moters - otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{c8730ca5-3f82-41cc-65e2-01b87600cd89} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny. .
×
×
  • Dodaj nową pozycję...