picasso

delta12345, proszę przeczytaj zasady działu: KLIK. OTL to przestarzałe narzędzie, logi sprawdzane tylko pobocznie, i tak niepełne (brak OTL Extras). Obowiązkowe są raporty z FRST i GMER. Uzupełnij.

Poprzednie akcje wykonane, ale .... pojawiło się nowe adware (czynna usługa maintainer.exe). Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaintainerSvc2.04.9173792; C:\ProgramData\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4\maintainer.exe [123680 2014-10-29] () AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll => c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll File Not Found Task: {09F1EAB7-AFD0-4ED8-9AB8-F7B246116262} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-05-28] (Adobe Systems Incorporated) Task: {A76AF9F4-4BFA-474D-9594-CB9760134E73} - System32\Tasks\AdobeFlashPlayerUpdate => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe [2013-05-28] (Adobe Systems Incorporated) Task: {D7AE03D5-6A10-4EE5-BBD0-859BA5480AF8} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe [2013-05-28] (Adobe Systems Incorporated) Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe CHR Extension: (SweetPacks Chrome Extension) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj [2013-10-05] SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File C:\Program Files (x86)\NetCrawl C:\Program Files (x86)\Opera C:\ProgramData\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4 C:\ProgramData\Adobe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codec Pack C:\Users\Tomek\AppData\Local\Opera C:\Users\Tomek\AppData\Roaming\Opera C:\Users\Tomek\AppData\Roaming\xplugin C:\Windows\SysWOW64\FlashPlayerUpdateService.exe C:\Windows\SysWOW64\Macromed Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\1778669968.portal.qtrax.com /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Tomek\AppData\Local CMD: dir /a C:\Users\Tomek\AppData\LocalLow CMD: dir /a C:\Users\Tomek\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Powstanie kolejny fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. A ja widzę Twój avatar (w temacie i w profilu) i nic nie wskazuje, by zniknął... Czy także wyczyściłeś cache? .

W raportach nie widać nic podejrzanego. 1. Doczyść tylko drobne rzeczy: ----> Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. ----> Otwórz Notatnik i wklej w nim: CloseProcesses: SearchScopes: HKLM-x32 - DefaultScope value is missing. HKU\S-1-5-21-1137575165-3099178337-4115244329-1000\...\Run: [] => [X] R2 HPSLPSVC; C:\Users\IZA\AppData\Local\Temp\7zS61B4\hpslpsvc64.dll [1039360 2013-07-19] (Hewlett-Packard Co.) [File not signed] Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Dostarczone logi FRST z poziomu konta IZA, jest tu jeszcze drugie konto nasula. Na wszelki wypadek zaloguj się na to konto poprzez pełny reset komputera (nie przez Wyloguj lub Przełącz użytkownika) i zrób nowy log FRST (zaznacz pole Addition, ale nie Shortcut). ========================= Accounts: ========================== Administrator (S-1-5-21-1137575165-3099178337-4115244329-500 - Administrator - Disabled) Gość (S-1-5-21-1137575165-3099178337-4115244329-501 - Limited - Disabled) HomeGroupUser$ (S-1-5-21-1137575165-3099178337-4115244329-1002 - Limited - Enabled) IZA (S-1-5-21-1137575165-3099178337-4115244329-1000 - Administrator - Enabled) => C:\Users\IZA nasula (S-1-5-21-1137575165-3099178337-4115244329-1003 - Administrator - Enabled) => C:\Users\nasula To nie wygląda na skutki aktywności malware. Ikona znika po resecie, bo pewnie przestają działać usługi związane z Grupą domową, a później coś te usługi uaktywnia. By ikona przetała się pojawiać, należy zdeaktywować komponenty Grupy domowej, o ile nie korzystasz z tego (nie współdzielisz plików i drukarek w domowej sieci): 1. Otwórz eksplorator Windows w widoku Mój komputer. W bocznym panelu nawigacji powinna być pozycja Grupa domowa. Prawoklik na ten element > opcja Zmień ustawienia grupy domowej > Opuść grupę domową. Opcja może być niedostępna, jeśli komputer nie był wcześniej przyłączony do żadnej grupy tego typu. Następnie: 2. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście wyszukaj uługi Dostawca grupy domowej + Usługa nasłuchująca grup domowych, dwuklik na każdą, zatrzymaj je (o ile uruchomione) oraz Typ uruchomienia przestaw z Ręczny na Wyłączony. .

System nie jest zainfekowany per se, tylko nieczynne odpadki adware. Tu jest infekcja routera. Ten pierwszy adres IP jest szkodliwy, ukraiński: KLIK. Tcpip\Parameters: [DhcpNameServer] 91.207.7.105 8.8.8.8 Przeprowadź następujące działania: 1. Zaloguj się do routera: - Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 - Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\komp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.portaldosites.com/?utm_source=b&utm_medium=prs&from=prs&uid=TOSHIBAXMK6475GSX_61HJF96ISXX61HJF96IS&ts=1364418673 ShortcutWithArgument: C:\Users\komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.portaldosites.com/?utm_source=b&utm_medium=prs&from=prs&uid=TOSHIBAXMK6475GSX_61HJF96ISXX61HJF96IS&ts=1364418673 SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Task: {CACE5160-018A-4ECC-AFC4-CB782A04A6B1} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {D299E8CB-0686-46BD-9ABC-ED46A64931B4} - System32\Tasks\{F1EDAB2B-FA9D-4A42-9A0A-1D69801CCA03} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsProgressBar S3 cpuz134; \??\C:\Program Files (x86)\CPUID\PC Wizard 2010\pcwiz_x64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" C:\Program Files (x86)\mozilla firefox\plugins C:\Users\komp\AppData\Local\Temp*.html Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\desksvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Desk 365" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\lollipop" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {1576D38B-6EC4-41F9-A892-529D2A0FD3D0} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {1576D38B-6EC4-41F9-A892-529D2A0FD3D0} /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Proszę dostarcz te obowiązkowe logi, bo na razie nic nie jestem w stanie stwierdzić. A DAEMON Tools i podobne będziesz mógł potem zainstalować, ale to dopiero gdy sprawdzę system na podstawie wymaganych raportów. Raporty wstaw jako załączniki forum.

W raportach w ogóle nie widać przekierowania nowej karty IE. Zrób dodatkowe szukanie rejestru. Uruchom FRST i w polu Search wklep frazę dsrlte, klik w Search Registry i dostarcz wynikowy log. .

Tu było jawne malware manipulujące na kontach bankowych, udające "statystyki Microsoftu". Na tamtym forum temat zaczynał się z czynnym malware uruchamianym z wielokrotnych kopii via Autostart oraz Harmonogram zadań: ==================== Processes (Whitelisted) ================= () C:\ProgramData\WinSTAT\SYS.exe () C:\ProgramData\WinSTAT\data\winhost32.exe (Microsoft® Corporation) C:\ProgramData\WinSTAT\WinSTAT.exe (Microsoft® Corporation) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinSTAT.exe ==================== Registry (Whitelisted) ================== HKLM-x32\...\Run: [Windows® Statistics Service] => C:\ProgramData\WinSTAT\WinSTAT.exe [1460224 2014-09-07] (Microsoft® Corporation) HKU\S-1-5-21-606281877-1479866930-3929170589-1000\...\Run: [Windows® Statistics Service] => C:\ProgramData\WinSTAT\WinSTAT.exe [1460224 2014-09-07] (Microsoft® Corporation) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinSTAT.exe (Microsoft® Corporation) Startup: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WinSTAT.exe (Microsoft® Corporation) ==================== Scheduled Tasks (whitelisted) ============= Task: {80661CB9-B627-42DD-AEAA-F09D62EEFA9A} - System32\Tasks\WinSTAT => C:\ProgramData\WinSTAT\WinSTAT.exe [2014-09-07] (Microsoft® Corporation) Nie zostały te wpisy zauważone, dopiero ESET wychwycił komponenty "WinSTAT" i skasował szkodnika częściowo. Obecnie nadal jest w systemie to szkodliwe zadanie "WinSTAT", tylko już bez pliku (ale cały folder nadal na dysku): ==================== Scheduled Tasks (whitelisted) ============= Task: {80661CB9-B627-42DD-AEAA-F09D62EEFA9A} - System32\Tasks\WinSTAT => C:\ProgramData\WinSTAT\WinSTAT.exe Sprawa poboczna: Ten skrypt nie miał związku z malware omawianym powyżej. Zresztą skrypt i tak w ogóle nie został przetworzony (nie podałeś wynikowego fixlog.txt, ale widać, że nic nie zostało zrobione): dopiero MBAM dokasował tę wyszukiwarkę adware istartsurf.xml z Firefox, zaś Tempy nadal nie wyczyszczone. I tu nie koniec czyszczenia z adware: na koncie Tomek w Firefox jest nadal adware-przekierowanie nowej karty, zaś na koncie Mateusz skróty LNK przeglądarek są zmodyfikowane. Poprawkowe działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {80661CB9-B627-42DD-AEAA-F09D62EEFA9A} - System32\Tasks\WinSTAT => C:\ProgramData\WinSTAT\WinSTAT.exe ShortcutWithArgument: C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1408122845&from=smt&uid=SAMSUNGXHD200HJ_S16KJDWQ806266 ShortcutWithArgument: C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1408122845&from=smt&uid=SAMSUNGXHD200HJ_S16KJDWQ806266 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll No File FF Plugin HKCU: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File HKU\S-1-5-21-606281877-1479866930-3929170589-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" BootExecute: autocheck autochk * sdnclean64.exe S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] C:\ProgramData\WinSTAT C:\Windows\DEA314C409294250BC9298E4C105F28D.TMP RemoveDirectory: C:\Users\Administrator Folder: C:\Users\Tomek\AppData\Roaming\tor Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. W systemie są dwa czynne konta: ========================= Accounts: ========================== Mateusz (S-1-5-21-606281877-1479866930-3929170589-1003 - Administrator - Enabled) => C:\Users\Mateusz Tomek (S-1-5-21-606281877-1479866930-3929170589-1000 - Administrator - Enabled) => C:\Users\Tomek Dotychczas były sprawdzane raporty z konta Tomek. Wymagane raporty z obu kont. Po kolei zaloguj się na każde z nich poprzez pełny restart komputera (a nie opcję Wyloguj czy Przełącz użytkownika) i zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi na każdym koncie. Dołącz też plik fixlog.txt. .

OK, klucza rzeczywiście nie ma. Wszystko zrobione, kończymy: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. I przeczytaj na co uważać, skąd nie pobierać: KLIK. .

To jest ten sam Fixlog co wcześniej (runda numer 3). Na przyszłość: Fix niekoniecznie może być błyskawiczny, należy cierpliwie czekać. Jak mówiłam, zadania się wykonały i w nowych raportach brak oznak infekcji. Kończymy: 1. Jeszcze dokasowanie folderów usuniętych kont. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Users\Adusia . ^^ RemoveDirectory: C:\Users\Olusia DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw fixlog.txt i to zanim przejdziesz dalej (zostanie skasowany). 2. Usuń ręcznie folder C:\Users\Renia\Desktop\FRST. Zastosuj DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Poniższe aplikacje do aktualizacji: ==================== Installed Programs ====================== Adobe Reader X (10.1.12) MUI (HKLM\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.12 - Adobe Systems Incorporated) Java 7 Update 17 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217017FF}) (Version: 7.0.170 - Oracle) Java™ 6 Update 30 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216027FF}) (Version: 6.0.300 - Oracle) Mozilla Thunderbird 9.0.1 (x86 pl) (HKLM\...\Mozilla Thunderbird 9.0.1 (x86 pl)) (Version: 9.0.1 - Mozilla) Opera Stable 20.0.1387.82 (HKLM\...\Opera 20.0.1387.82) (Version: 20.0.1387.82 - Opera Software ASA)

Te logi AdwCleaner z oznaczeniem "R" usuwam, nie są mi potrzebne, to wyniki z opcji "Szukaj". Prosiłam tylko o raporty z oznaczeniem "S", czyli z opcji "Usuń". Log AdwCleanerS6.txt już wcześniej podałeś, więc też likwiduję. Fix wykonany. Jeszcze na wszelki wypadek podaj mi skan na jeden z kluczy jakoby nie usuniętych (choć w nowym logu brak śladów). Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\windows\DiskDiagnostic\DiskDiagnostic" /s RemoveDirectory: C:\AdwCleaner Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

W systemie jest straszne śmietnisko (adware / Bitcoin miner i inne infekcje), a liczba sterowników adware ogłuszająca. System jest też w ogóle nie aktualizowany, działa w nim stary ESET Smart Security z przełomu 2010 / 2011, na dodatek zaprawiony "witaminą". Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 BitGuard; C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [3780064 2013-11-18] () R2 IB Updater; C:\Program Files\IB Updater\ExtensionUpdaterService.exe [188760 2013-01-29] () [File not signed] R2 IBUpdaterService; C:\Windows\system32\dmwu.exe [2930992 2014-09-17] () R2 Update NetCrawl; C:\Program Files (x86)\NetCrawl\updateNetCrawl.exe [523552 2014-10-28] () R2 Util NetCrawl; C:\Program Files (x86)\NetCrawl\bin\utilNetCrawl.exe [523552 2014-10-29] () R2 Windows Internet Name Service; C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe [2678272 2013-08-31] () [File not signed] R1 {0c6ad4fc-d56b-44cb-a06e-debba12bf68a}w64; C:\Windows\System32\drivers\{0c6ad4fc-d56b-44cb-a06e-debba12bf68a}w64.sys [48824 2014-10-18] (StdLib) R1 {1f1a6417-232f-4d66-b329-9186268a4e91}w64; C:\Windows\System32\drivers\{1f1a6417-232f-4d66-b329-9186268a4e91}w64.sys [48824 2014-10-16] (StdLib) R1 {3578bab3-f189-4578-b860-1ee0580e735d}w64; C:\Windows\System32\drivers\{3578bab3-f189-4578-b860-1ee0580e735d}w64.sys [48824 2014-10-12] (StdLib) R1 {38fc16c9-a7b4-4377-b565-cc5a76f2c89f}w64; C:\Windows\System32\drivers\{38fc16c9-a7b4-4377-b565-cc5a76f2c89f}w64.sys [48824 2014-10-11] (StdLib) R1 {3c9eada7-386c-4a04-ab1e-4eb122397ced}w64; C:\Windows\System32\drivers\{3c9eada7-386c-4a04-ab1e-4eb122397ced}w64.sys [48824 2014-10-21] (StdLib) R1 {44b76908-31ad-4fdd-90ce-abbdbb78f175}w64; C:\Windows\System32\drivers\{44b76908-31ad-4fdd-90ce-abbdbb78f175}w64.sys [48824 2014-10-15] (StdLib) R1 {57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w64; C:\Windows\System32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w64.sys [61112 2014-06-13] (StdLib) R1 {6191cc23-5db4-4079-aaac-546c45b08af1}w64; C:\Windows\System32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}w64.sys [48824 2014-10-22] (StdLib) R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}w64; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys [61112 2014-06-30] (StdLib) R1 {6fd9ae77-e80c-4df0-b53d-23fcb52b001a}w64; C:\Windows\System32\drivers\{6fd9ae77-e80c-4df0-b53d-23fcb52b001a}w64.sys [48824 2014-10-22] (StdLib) R1 {75d07d19-b619-45eb-aba7-fd8d77feb6b6}w64; C:\Windows\System32\drivers\{75d07d19-b619-45eb-aba7-fd8d77feb6b6}w64.sys [48824 2014-10-13] (StdLib) R1 {9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64; C:\Windows\System32\drivers\{9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64.sys [48824 2014-10-17] (StdLib) R1 {a00759f4-8f6e-4f04-880d-18a7306588c3}w64; C:\Windows\System32\drivers\{a00759f4-8f6e-4f04-880d-18a7306588c3}w64.sys [48824 2014-10-13] (StdLib) R1 {cfbbf934-a234-4282-8ef3-310abb84c3e4}w64; C:\Windows\System32\drivers\{cfbbf934-a234-4282-8ef3-310abb84c3e4}w64.sys [48824 2014-10-20] (StdLib) R1 {d025c1f1-c366-4b43-8131-ad1c8300487b}w64; C:\Windows\System32\drivers\{d025c1f1-c366-4b43-8131-ad1c8300487b}w64.sys [48824 2014-10-17] (StdLib) R1 {df8d93ab-56ab-414d-b711-87b0e2749bbd}w64; C:\Windows\System32\drivers\{df8d93ab-56ab-414d-b711-87b0e2749bbd}w64.sys [48824 2014-10-17] (StdLib) R1 {f0f5249d-53cc-459a-8755-4cd64b179fb4}w64; C:\Windows\System32\drivers\{f0f5249d-53cc-459a-8755-4cd64b179fb4}w64.sys [48824 2014-10-16] (StdLib) R1 {f916f162-d4e9-413b-95d2-589769dc98ff}w64; C:\Windows\System32\drivers\{f916f162-d4e9-413b-95d2-589769dc98ff}w64.sys [48824 2014-10-14] (StdLib) R1 {fe0c5df8-6353-4020-a876-2550aa3760cf}w64; C:\Windows\System32\drivers\{fe0c5df8-6353-4020-a876-2550aa3760cf}w64.sys [48824 2014-10-19] (StdLib) S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] Task: {938B6109-6153-4382-B9FB-93C104E75815} - System32\Tasks\CPU Grid Computing => C:\Windows\SysWOW64\dfrg\runner.exe [2013-09-19] () Task: {A1068DC6-A65E-4C71-9BE9-00FC07EFE2E9} - System32\Tasks\EPUpdater => C:\Users\Tomek\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-09-01] () Task: {B7A412C4-E867-491F-83D0-5C5CA54F7455} - System32\Tasks\Yahoo! Search => C:\Users\Tomek\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe [2014-10-28] (Pay By Ads LTD) Task: {C32D564C-4688-4BB0-B118-4321FBEA0C16} - System32\Tasks\Yahoo! Search Updater => C:\Users\Tomek\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrsetup.exe [2014-10-28] (Pay By Ads LTD) HKU\S-1-5-21-742174934-4146700524-2055731102-1000\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\ChomikBox.exe HKU\S-1-5-21-742174934-4146700524-2055731102-1000\...\Run: [Yahoo! Search] => C:\Users\Tomek\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe [533352 2014-10-28] (Pay By Ads LTD) AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll => c:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\loader.dll [1958880 2013-11-18] () AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found AppInit_DLLs-x32: c:\progra~3\bitguard\271832~1.68\{c16c1~1\bitguard.dll => c:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.dll [3618304 2013-11-18] () GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR Extension: (Search-Gol Toolbar) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\aipfmkinhleccnodemkoofnnofpbbpac [2013-10-14] CHR Extension: (IB Updater) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd [2013-01-15] CHR Extension: (NetCrawl) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\pfhnkainfgebjkhaoadlkjgjhhgpbohg [2014-09-17] CHR HKLM\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx [2013-01-15] CHR HKLM-x32\...\Chrome\Extension: [aipfmkinhleccnodemkoofnnofpbbpac] - C:\Users\Tomek\AppData\Roaming\BabSolution\CR\searchgol.crx [2013-10-14] CHR HKLM-x32\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx [2013-01-15] CHR HKLM-x32\...\Chrome\Extension: [fgfdfcbeamjnjdejakdidpniblllnbpg] - C:\Windows\SysWOW64\jmdp\pnte.crx [2013-01-15] CHR HKLM-x32\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Windows\SysWOW64\mjcm\SweetNT.crx [2014-06-24] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141024 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141024 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - DefaultScope {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6PQVU5amIp&loc=skw&search={searchTerms}&i=26 SearchScopes: HKCU - ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.max-start.com/?q={searchTerms}&babsrc=SP_ss_mib2&mntrId=269C1C75086B6ED9&affID=125032&tsp=5035 SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} URL = http://www.bigseekpro.com/search/browser/crystalofficetetris/{100B4062-3056-42B4-873C-0ED829B46E4B}?q={searchTerms} SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6PQVU5amIp&loc=skw&search={searchTerms}&i=26 SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)x­ä­ URL = BHO: IB Updater -> {336D0C35-8A85-403a-B9D2-65C292C39087} -> C:\Program Files\IB Updater\Extension64.dll () BHO-x32: IB Updater -> {336D0C35-8A85-403a-B9D2-65C292C39087} -> C:\Program Files\IB Updater\Extension32.dll () BHO-x32: Incredibar.com Helper Object -> {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} -> C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll (Montera Technologeis LTD) BHO-x32: NetCrawl -> {769a91da-209f-47fe-88b9-b0321b0982c8} -> C:\Program Files (x86)\NetCrawl\NetCrawlBHO.dll (NetCrawl) BHO-x32: searchgol Helper Object -> {8F547BDD-FCD4-48F8-A06F-573D6F404A3C} -> C:\Program Files (x86)\searchgol\searchgol\1.8.16.19\bh\searchgol.dll (Montera Technologeis LTD) BHO-x32: delta Helper Object -> {C1AF5FA5-852C-4C90-812E-A7F75E011D87} -> C:\Program Files (x86)\Delta\delta\1.8.10.0\bh\delta.dll (Delta-search.com) BHO-x32: BitAcceleratorBHO Class -> {CAC42510-9B41-42c1-9DCD-7282A2D07C61} -> C:\Program Files (x86)\BitAccelerator\BitAccelerator.dll (TODO: ) Toolbar: HKLM-x32 - xplugin - {DFEFCDEE-CF1A-4FC8-88AD-18272BE37E29} - C:\Users\Tomek\AppData\Roaming\xplugin\toolbar.dll () Toolbar: HKLM-x32 - Incredibar Toolbar - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD) Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.10.0\deltaTlbr.dll (Delta-search.com) Toolbar: HKLM-x32 - searchgol Toolbar - {00078E95-3A4A-4137-8DE7-2824908D1C17} - C:\Program Files (x86)\searchgol\searchgol\1.8.16.19\searchgolTlbr.dll (Montera Technologeis LTD) C:\Program Files (x86)\BitAccelerator C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences C:\Users\Tomek\AppData\Local\Mozilla C:\Users\Tomek\AppData\Roaming\chrtmp C:\Users\Tomek\AppData\Roaming\Icy_Tower1.4.exe C:\Users\Tomek\AppData\Roaming\BabSolution C:\Users\Tomek\AppData\Roaming\Babylon C:\Users\Tomek\AppData\Roaming\File Scout C:\Users\Tomek\AppData\Roaming\Mozilla C:\Users\Tomek\AppData\Roaming\Software Informer C:\Users\Tomek\AppData\Roaming\Temp C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Qtrax Player.lnk C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QTRAX C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Windows\system32\dmwu.exe C:\Windows\System32\drivers\{0c6ad4fc-d56b-44cb-a06e-debba12bf68a}w64.sys C:\Windows\System32\drivers\{1f1a6417-232f-4d66-b329-9186268a4e91}w64.sys C:\Windows\System32\drivers\{3578bab3-f189-4578-b860-1ee0580e735d}w64.sys C:\Windows\System32\drivers\{38fc16c9-a7b4-4377-b565-cc5a76f2c89f}w64.sys C:\Windows\System32\drivers\{3c9eada7-386c-4a04-ab1e-4eb122397ced}w64.sys C:\Windows\System32\drivers\{44b76908-31ad-4fdd-90ce-abbdbb78f175}w64.sys C:\Windows\System32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w64.sys C:\Windows\System32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}w64.sys C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys C:\Windows\System32\drivers\{6fd9ae77-e80c-4df0-b53d-23fcb52b001a}w64.sys C:\Windows\System32\drivers\{75d07d19-b619-45eb-aba7-fd8d77feb6b6}w64.sys C:\Windows\System32\drivers\{9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64.sys C:\Windows\System32\drivers\{a00759f4-8f6e-4f04-880d-18a7306588c3}w64.sys C:\Windows\System32\drivers\{cfbbf934-a234-4282-8ef3-310abb84c3e4}w64.sys C:\Windows\System32\drivers\{d025c1f1-c366-4b43-8131-ad1c8300487b}w64.sys C:\Windows\System32\drivers\{df8d93ab-56ab-414d-b711-87b0e2749bbd}w64.sys C:\Windows\System32\drivers\{f0f5249d-53cc-459a-8755-4cd64b179fb4}w64.sys C:\Windows\System32\drivers\{f916f162-d4e9-413b-95d2-589769dc98ff}w64.sys C:\Windows\System32\drivers\{fe0c5df8-6353-4020-a876-2550aa3760cf}w64.sys C:\Windows\System32\tprb C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service C:\Windows\SysWOW64\dfrg C:\Windows\SysWOW64\jmdp C:\Windows\SysWOW64\mjcm Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: BitGuard, Delta toolbar, IB Updater 2.0.0.578, IB Updater Service, Incredibar Toolbar on IE, NetCrawl, Qtrax Player, Search-Gol Chrome Toolbar, searchgol toolbar, x-plugin-0, Yahoo! Search. - Starocie: Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader X (10.1.4) - Polish, Codec Pack - All In 1 6.0.3.0, ESET Smart Security + crack TNod User & Password Finder, Opera 12.11. 3. Uruchom Google Chrome i sprawdź czy nadal widać jakieś przekierowania (przeglądarka resetowana skryptem FRST). 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txtr. .

Program nie tworzy żadnego raportu. Sprawdź czy coś wskórają te dwie akcje dodatkowe: 1. Wyłącz wtyczki Google Update, Silverlight, Unity, Windows Live Photo Gallery. FireFox: ======== FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_15_0_0_189.dll () FF Plugin: @java.com/DTPlugin,version=10.15.2 -> C:\Windows\system32\npDeployJava1.dll (Oracle Corporation) FF Plugin: @microsoft.com/GENUINE -> disabled No File FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll ( Microsoft Corporation) FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_15_0_0_189.dll () FF Plugin-x32: @java.com/DTPlugin,version=10.71.2 -> C:\Program Files (x86)\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation) FF Plugin-x32: @java.com/JavaPlugin,version=10.71.2 -> C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.30514.0\npctrl.dll ( Microsoft Corporation) FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3528.0331 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF Plugin HKCU: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\Andrzej\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS) 2. Przetestuj akcelerację sprzętową: KLIK. .

Dużo kluczy relatywnych do bibliotek jscript.dll i jscript9.dll jest stratowanych. A ten błąd rejestracji modułu 0x80004005 to wygląda na uruchomienie w linii komend z ograniczonymi uprawnieniami (brak uprawnień administratorskich). 1. Otwórz Notatnik i wklej w nim: CMD: regsvr32 /s C:\Windows\system32\jscript.dll CMD: regsvr32 /s C:\Windows\System32\jscript9.dll CMD: C:\Windows\SysWow64\regsvr32.exe /s C:\Windows\SysWow64\jscript.dll CMD: C:\Windows\SysWow64\regsvr32.exe /s C:\Windows\SysWOW64\jscript9.dll Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart systemu. Przedstaw wynikowy fixlog.txt. 2. Zrób szukanie SystemLook na te same waruneki co poprzednio i dostarcz wynikowy log. .

Sylwak Nie, to nie są oznaki infekcji. Odczyt "unknown MBR code", gdyż jest tu komputer brandowany przez Hewlett-Packard z dostosowanym systemem Recovery i kod MBR jest zmodyfikowany przez producenta. Zaś fantomowy odczyt "Process (*** hidden *** )" jest charakterystyczny dla nieaktualizowanych systemów Vista. Stan po Recovery (do uzupełnienia będzie SP2, IE9 i reszta zaległości): Platform: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) OS Language: Polski (Polska) Internet Explorer Version 7 Zrób nowy log FRST z opcji Scan. Ponadto pytanie: czy w Google Chrome jest włączona synchronizacja i ustawienia są po reinstalacji przeglądarki ładowane z serwera Google? DiskoG Nic nie wiadomo o Twoim systemie, ani o tej przeglądarce. Poproszę o raporty z FRST. A następnym razem załóż nowy własny temat i nie podpinaj się pod cudze wątki. .

Pełny restart systemu odładował multi-procesy msiexec odpowiedzialne za ów błąd "w użyciu". Teraz, gdy komunikat zniknął, ponów próbę z naprawą .NET.

W Checksur.log są błędy typu "Could Not Open file", ale nie jestem pewna czy to ma znaczenie w kontekście sprawy i na razie te błędy zostawiam: Checking Component Store (f) CSI Could Not Open file 0x0000045D winsxs\Manifests\x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14.manifest x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14 (f) CSI Repairing: CreateFile Failed 0x0000045D winsxs\Manifests\x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14.manifest x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14 (f) CSI Could Not Open file 0x0000045D winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab.manifest x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab (f) CSI Repairing: CreateFile Failed 0x0000045D winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab.manifest x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab (f) CSI Could Not Open file 0x0000045D winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7.manifest x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7 (f) CSI Repairing: CreateFile Failed 0x0000045D winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7.manifest x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7 Natomiast CBS.LOG ma nagrany konkretny błąd instalacji SP1, czyli stopowanie na aktualizacji sterowników: 2014-10-06 01:24:00, Info CBS DriverUpdateUninstallUpdates failed [hrESULT = 0x80070490 - ERROR_NOT_FOUND] 2014-10-06 01:24:00, Error CBS Doqe: Failed uninstalling driver updates [hrESULT = 0x80070490 - ERROR_NOT_FOUND] 2014-10-06 01:24:00, Info CBS Perf: Doqe: Uninstall ended. 2014-10-06 01:24:00, Info CBS Failed uninstalling driver updates [hrESULT = 0x80070490 - ERROR_NOT_FOUND] 2014-10-06 01:24:00, Error CBS Shtd: Failed while processing non-critical driver operations queue. [hrESULT = 0x80070490 - ERROR_NOT_FOUND] 2014-10-06 01:24:00, Info CBS Shtd: Rolling back KTM, because drivers failed. 2014-10-06 01:24:01, Info CBS Progress: UI message updated. Operation type: Service Pack. Stage: 1 out of 1. Temporary Rollback. Powyższą informację precyzyjnie rozwija setupapi.dev.log, który podaje który sterownik zgłasza opór: !!! sto: Failed to find driver update 'C:\Windows\WinSxS\amd64_netrndis.inf_31bf3856ad364e35_6.1.7600.17233_none_23eb772b5f5707c6\netrndis.inf' in Driver Store. Error = 0x00000490 Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej poniższą komendę i ENTER: pnputil -a C:\Windows\WinSxS\amd64_netrndis.inf_31bf3856ad364e35_6.1.7600.17233_none_23eb772b5f5707c6\netrndis.inf Jeśli zgłosi się prośba o instalację sterownika, potwierdź. Podaj zwrot z tej komendy, czy została ona pomyślnie przetworzona. .

Czy w menedżerze procesów jest widoczne jakiekolwiek wystąpienie msiexec? Czy ten komunikat występuje również po pełnym restarcie systemu?

Końcowe wyniki zgodnie z planem. Aczkolwiek skrypt był uruchomiony wiele razy, konkretnie aż trzy: Ran by Renia at 2014-10-28 23:10:56 Run:3 Skryptów nie należy powtarzać, są jednorazowe. Co się działo podczas pierwszego podejścia? Czy w folderze archiwum C:\FRST\Logs występują starsze pliki o modelu nazwy Fixlog_data_czas.txt?

Ja również nie widzę żadnych dziwnych rzeczy w kluczu ProfileList. Ale może być jeszcze inna przyczyna, czyli problem z hasłem. Mamy tu następujące konta: ========================= Accounts: ========================== admin (S-1-5-21-3702316430-553723284-2002759146-1000 - Administrator - Enabled) => C:\Users\admin Administrator (S-1-5-21-3702316430-553723284-2002759146-500 - Administrator - Disabled) => C:\Users\Administrator Gość (S-1-5-21-3702316430-553723284-2002759146-501 - Limited - Disabled) nauczyciel (S-1-5-21-3702316430-553723284-2002759146-1002 - Limited - Enabled) => C:\Users\nauczyciel vice (S-1-5-21-3702316430-553723284-2002759146-1004 - Limited - Enabled) => C:\Users\vice Po kolei dla wszystkich kont (w tym dla wyłączonego wbudowanego Administratora, który był aktywny wcześniej, gdyż na dysku występuje powiązany folder) wprowadź ponownie hasło i zapisz zmiany. Podaj czy "Other user" zniknął po tej operacji.

minekirek, tu nie ma zbyt dużego pola do manewru, dysk jest zapełniony po prostu kopiami zapasowymi systemu.... Samsung Recovery zostawiasz w spokoju, ewentualnie więc do usunięcia wybrane kopie obrazów utworzonych za pomocą systemowej opcji. Zarządzanie kopiami Windows w Panel sterowania > System i zabezpieczenia > Kopia zapasowa/Przywracanie: KLIK.

Zapomnij o tym i czym prędzej się pozbądź tego kalekiego tworu. To gpedit sztucznie montowane w Home nie działa poprawnie (efemeryczne ścieżki). Obsługa gpedit na Home nie jest możliwa, a te paczki je montujące na Home są wadliwe. Dokładniej opisałam sprawę np. w tym temacie: KLIK.

Lebele, proszę nie pisz postów "przypominających" (usuwam). Samodzielnie widzę jaki temat nie ma odpowiedzi i biorę się do rzeczy, gdy jestem w stanie. A usterka tu widziana wymaga większego nakładu pracy, to nie jest analiza robiona w 5 minut... Plik FRST Shortcut jest koszmarnie gruby, gdyż pokazuje właśnie owe rozwalone linki symboliczne. Pierwsza tura zamykania linków symbolicznych, a także i doczyszczanie systemu z odpadków adware: 1. Pobierz SetACL (na spodzie strony klik w "Administrators: Download the EXE version of SetACL 3.0.6 for 32-bit and 64-bit Windows"). Rozpakuj pobraną paczkę i z folderu x64 przekopiuj plik SetACL.exe do katalogu C:\Windows 2. W Notatniku utwórz sześć plików resetujących uprawnienia o następującej zawartości: ----> Pierwszy plik: "\\?\C:\ProgramData\Application Data",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Plik zapisz pod nazwą fix1.txt na Pulpicie. ----> Drugi plik: "\\?\C:\ProgramData\Desktop",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Plik zapisz pod nazwą fix2.txt na Pulpicie. ----> Trzeci plik: "\\?\C:\ProgramData\Start Menu",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Plik zapisz pod nazwą fix3.txt na Pulpicie. ----> Czwarty plik: "\\?\C:\Users\Default User",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Plik zapisz pod nazwą fix4.txt na Pulpicie. ----> Piąty plik: "\\?\C:\Users\Default\Application Data",1,"O:SYD:AI(D;;CC;;;WD)" Plik zapisz pod nazwą fix5.txt na Pulpicie. ----> Szósty plik: "\\?\C:\Users\Default\Start Menu",1,"O:SYD:AI(D;;CC;;;WD)" Plik zapisz pod nazwą fix6.txt na Pulpicie. 3. W Notatniku utwórz skrypt do FRST o następującej treści: CloseProcesses: CMD: SetACL -on "C:\ProgramData\Application Data" -ot file -actn restore -bckp "C:\Users\Marcin K\Desktop\fix1.txt" CMD: SetACL -on "C:\ProgramData\Desktop" -ot file -actn restore -bckp "C:\Users\Marcin K\Desktop\fix2.txt" CMD: SetACL -on "C:\ProgramData\Start Menu" -ot file -actn restore -bckp "C:\Users\Marcin K\Desktop\fix3.txt" CMD: SetACL -on "C:\Users\Default User" -ot file -actn restore -bckp "C:\Users\Marcin K\Desktop\fix4.txt" CMD: SetACL -on "C:\Users\Default\Application Data" -ot file -actn restore -bckp "C:\Users\Marcin K\Desktop\fix5.txt" CMD: SetACL -on "C:\Users\Default\Start Menu" -ot file -actn restore -bckp "C:\Users\Marcin K\Desktop\fix6.txt" CMD: DIR /AL /S C:\ R1 {5eeb83d0-96ea-4249-942c-beead6847053}Gw64; C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys [61080 2014-09-07] (StdLib) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S2 ezSharedSvc; No ImagePath S2 nvsvc; No ImagePath S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S2 Update SmarterPower; No ImagePath S2 Util SmarterPower; No ImagePath Task: {393E1725-DBA0-4999-B3B6-6A7436BD8ADE} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {49535894-B3B4-434B-8AD8-63F4BCB4AEBC} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe Task: {8F157E18-7A6B-4DD9-A568-6FD2310B4028} - System32\Tasks\FoxTab => C:\Users\Marcin K\AppData\Roaming\FoxTab\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {B6EE758C-7963-4145-B003-A0F52375E7EF} - System32\Tasks\Launch HTC Sync Loader => C:\Program Files (x86)\HTC\HTC Sync 3.0\htcUPCTLoader.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\Windows\Tasks\FoxTab.job => C:\Users\MARCIN~1\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE HKLM-x32\...\Run: [tuto4pc_pl_21] => [X] HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Winlogon: [shell] [0 ] () HKU\S-1-5-21-409979089-3304901049-3457671310-1001\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" GroupPolicyUsers\S-1-5-21-409979089-3304901049-3457671310-1004\User: Group Policy restriction detected CHR HKCU\SOFTWARE\Policies\Google: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1382530861&from=cor&uid=ST750LM022XHN-M750MBB_S2SUJ9EC502746 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 - DefaultScope value is missing. Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File C:\Users\Marcin K\AppData\Roaming\DVDVideoSoft C:\Users\Marcin K\AppData\Roaming\FoxTab C:\Users\Marcin K\AppData\Roaming\GoforFiles C:\Users\Marcin K\AppData\Roaming\Mozilla\Firefox\Profiles\pjuu1i3x.default\user.js C:\Users\Marcin K\AppData\Roaming\Mozilla\Firefox\Profiles\pjuu1i3x.default\Extensions\adsremoval@adsremoval.net C:\Users\Marcin K\AppData\Roaming\newnext.me C:\Users\Marcin K\AppData\Roaming\systweak C:\Users\Marcin K\AppData\Roaming\_MDLogs C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST w folderze C:\Users\Marcin K\Desktop\Download. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, Fix może być bardzo długo przetwarzany. Na koniec nastąpi restart komputera. Zaprezentuj wynikowy fixlog.txt. .

Oczywiście, jeśli Silverlight jest używany, to wtyczkę można włączyć. I tak całkiem pokaźna ilość innych niedomyślnych wtyczek została wyłączona.

Błąd typu "0x5" = Odmowa dostępu i radzę od razu robić reinstalację systemu, zwłaszcza że i tak była wymiana płyty głównej (uzgodnienie HAL sprzętowego). Ten szczególny błąd przy usługach sieciowych zwykle oznacza naruszenia uprawnień usług w rejestrze, a mogą to być bardzo rozległe naruszenia tyczące o wiele większej ilości usług niż na pierwszy rzut oka widać. Wszystkie przypadki, które rozwiązywałam na forum, wykazywały masowy defekt gałęzi rejestru SYSTEM i usunięte wszystkie specjalne uprawnienia. Naprawa tego ręcznie jest koszmarna (wymagany precyzyjny rekursywny reset ACL ładujący dostosowaną kopię zapasową z innego sprawnego systemu) i obecnie zupełnie poza skalą moich możliwości czasowych (przygotowanie takiego pliku resetującego to wielogodzinna robota). Od razu zalecane Przywracanie systemu, a w przypadku braku takiej możliwości oraz dodatkowych aspektów (spora zmiana sprzętowa) po prostu reinstalacja systemu.

Wszystko pomyślnie wykonane, łańcuch Winsock zresetowany i możemy przejść już do usuwania odpadkowego katalogu. Czyli poprawki: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Program Files (x86)\YouTube Accelerator RemoveDirectory: C:\ProgramData\SlimWare Utilities Inc RemoveDirectory: C:\Users\Kamil\AppData\LocalLow\Goobzo RemoveDirectory: C:\Users\Kamil\Downloads\FRST-OlderVersion DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw log. 3. Uszkodzony FormatFactory 3.3.5.0 spróbuj zlikwidować za pomocą Revo Uninstaller Freeware. .