picasso

Temat przenoszę do działu Windows. Oznak infekcji brak. Z raportów nic kompletnie nie wynika. W takich przypadkach nasuwają się skojarzenia z oprogramowaniem zabezpieczającym - tu Norton Internet Security. Ale może na początek rozpocznij od wyłączenia w Menedżerze zadań Windows 8 niepotrzebnych wpisów startowych. Aktualnie są nieaktywne te: ==================== MSCONFIG/TASK MANAGER disabled items ========= HKLM\...\StartupApproved\StartupFolder: => "HP Digital Imaging Monitor.lnk" HKLM\...\StartupApproved\Run: => "Zune Launcher" HKLM\...\StartupApproved\Run32: => "NCPluginUpdater" HKLM\...\StartupApproved\Run32: => "Windows Mobile Device Center" HKCU\...\StartupApproved\Run: => "SkyDrive" HKCU\...\StartupApproved\Run: => "DAEMON Tools Lite" Możesz wyłączyć i te: HKLM-x32\...\Run: [CLVirtualDrive] => C:\Program Files (x86)\CyberLink\Power2Go8\VirtualDrive.exe [491632 2012-09-10] (CyberLink Corp.) HKLM-x32\...\Run: [RemoteControl10] => C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe [93296 2012-07-13] (CyberLink Corp.) HKLM-x32\...\Run: [HP Quick Launch] => C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe [581024 2012-09-07] (Hewlett-Packard Development Company, L.P.) HKLM-x32\...\Run: [sunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation) HKLM-x32\...\Run: [HP Software Update] => C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe [49208 2010-06-09] (Hewlett-Packard) HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-12-21] (Adobe Systems Incorporated) HKU\S-1-5-21-2435897020-3182320802-3336853129-1001\...\Run: [MyDriveConnect.exe] => C:\Program Files (x86)\MyDrive Connect\MyDriveConnect.exe [473464 2014-03-17] (TomTom) PS. Drobne zadania korekcyjne, w tym usunięcie tego błędu: Hosts: Hosts file not detected in the default directory System errors: ============= Error: (07/26/2014 11:09:35 AM) (Source: Microsoft-Windows-DNS-Client) (EventID: 1012) (User: ZARZĄDZANIE NT) Description: Wystąpił błąd podczas próby odczytu lokalnego pliku hosts. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM-x32 - DefaultScope value is missing. Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extensions\{CCC7B152-1D8C-11E3-B2AD-F3EF3D58318D}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

W raportach brak oznak czynnej infekcji, ale na dysku jest widoczny folder wskazywany przez Windows Defender: 2014-06-11 18:50 - 2014-06-11 17:55 - 00000000 __SHD () C:\Windows\SysWOW64\ITXWDS Dodatkowo: w Firefox masz zamontowane niepożądane rozszerzenie "Nervarien Stream", które pochodzi od wips.com - w rozszerzeniach tej marki jest skrypt typu "spyware". Więcej informacji: KLIK. 1. Pobierz najnowszy FRST. Otwórz Notatnik i wklej w nim: C:\Windows\SysWOW64\ITXWDS SearchScopes: HKLM-x32 - DefaultScope value is missing. FF Extension: Nervarien Stream - C:\Users\Adrian\AppData\Roaming\Mozilla\Firefox\Profiles\k2d45yrp.default-1388411162753\Extensions\a2ed01@wips.com [2014-07-03] S1 fixsrzjn; \??\C:\Windows\system32\drivers\fixsrzjn.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót Internet Explorer został błędnie naprawiony (utrata specjalnego atrybutu), prawdopodobnie za pomocą AdwCleaner: Shortcut: C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi użytych narzędzi (C:\ComboFix.txt + z folderu C:\AdwCleaner). Ponadto GMER jest zaciemniony działaniem emulatora SPTD: R0 sptd; C:\Windows\System32\Drivers\sptd.sys [564824 2013-07-13] (Duplex Secure Ltd.) Wdróż ogłoszenie (KLIK), zresetuj komputer i ponów skan. .

Obejrzyj ten temat: KLIK. Mam też pytanie - czy prowadziłeś jakieś operacje z DNS? W temacie z działu infekcji starsze logi pokazują następujące ustawienia: Tcpip\..\Interfaces\{125C4FAF-8776-4E90-A306-1BB7AC348470}: [NameServer] 82.160.111.111,82.160.1.1,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 Natomiast podany tu Netlog: Serwery DNS . . . . . . . . . . . : 82.160.111.111 82.160.1.1 82.160.1.1 .

Jeśli chodzi o infekcję: 1. Otwórz Notatnik i wklej w nim: () C:\Documents and Settings\B i W\Ustawienia lokalne\Dane aplikacji\qtdycm.exe HKU\S-1-5-21-602162358-1637723038-725345543-1004\...\Run: [qtdycm] => c:\documents and settings\b i w\ustawienia lokalne\dane aplikacji\qtdycm.exe [2682880 2014-08-07] () Startup: C:\Documents and Settings\B i W\Menu Start\Programy\Autostart\qtdycm.lnk C:\Documents and Settings\B i W\Ustawienia lokalne\Dane aplikacji\qtdycm.exe C:\Documents and Settings\B i W\Ustawienia lokalne\Dane aplikacji\qtdycm.gdb C:\Documents and Settings\B i W\Ustawienia lokalne\Dane aplikacji\qtdycm.gss C:\WINDOWS\RABCMNOYZ0AKL45F SearchScopes: HKLM - DefaultScope value is missing. S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy notujesz nadal reklamy. Nie wygląda to na problem infekcji. Wg Dziennika zdarzeń pojawia się tu BSOD o następującym kodzie: System errors: ============= Error: (08/20/2014 08:58:39 PM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 1000008e, parametr 1 c0000005, parametr 2 b24403fb, parametr 3 b12fab88, parametr 4 00000000. Dokładniejsze dane pozyskasz debugując pliki zrzutów pamięci DMP. Instrukcje w ogłoszeniu (punkt 5): KLIK. .

btsz Co do raportu AdwCleaner tu podanego: on nic nie znajduje, on pokazuje który plik preferencji otwiera do skanu. Ta informacja będzie w każdym logu z czystym Firefoxem: -\\ Mozilla Firefox v31.0 (x86 pl) [ Plik : C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\n9okrkj6.default\prefs.js ] [ Plik : C:\Documents and Settings\Przeróbzłomu\Dane aplikacji\Mozilla\Firefox\Profiles\jojpt5j8.default\prefs.js ] [ Plik : C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\tkltmwln.default\prefs.js ] [ Plik : C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\z1qfo558.default\prefs.js ] Ale nasuwają się pytania: - Logi są zrobione z poziomu konta "Właściciel", czyli przedstawiają tylko profil Firefox zlokalizowany na tym koncie. Wg AdwCleaner są conajmniej dwa inne konta Windows (Administrator i Przeróbzłomu), na każdym osobny profil Firefox. Na którym koncie występuje problem reklam? - Dodatkowo, wspominasz o "resecie Firefoxa", przy czym dostarczone tu dane nie wyglądają jakby Firefox był resetowany, wystarczy spojrzeć na archaiczne rozszerzenie (nie działa z Firefox 5.x i nowszymi) datowane na rok 2009: FF Extension: Google Toolbar for Firefox - C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\tkltmwln.default\Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} [2009-11-26] Reset Firefox powinien usunąć to, a reinstalacja rozszerzenia nie byłaby udana (brak zgodności). Ogólnie też zawartość profilu Firefox ma bardzo stare znaczniki czasowe. Tak więc: czy to na pewno logi po resecie Firefox? suncez Jest podany log FRST Shortcut adresujący ten typ modyfikacji. Tu takowej brak. .

Masz nieskończony temat z infekcją: KLIK. Proszę tam zareagować podając wyniki, bo sprawa nie jest ukończona wcale. Natomiast ten temat jest w nieodpowiednim dziale, przenoszę wstępnie do działu Windows XP. Problem z napędami przedstawiał log Addition z poprzedniego tematu: ==================== Faulty Device Manager Devices ============= Name: TSSTcorp CDDVDW SH-S223B Description: Stacja dysków CD-ROM Class Guid: {4D36E965-E325-11CE-BFC1-08002BE10318} Manufacturer: (Standardowe stacje dysków CD-ROM) Service: cdrom Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Artykuł Microsoftu: KB314060. Zacznij od "Resolution 2: Use the CD/DVD Fix it troubleshooter". .

pko Twoje posty tu usunę, gdyż jest zakaz podpinania się do cudzych wątków. Proszę załóż własny temat w tym dziale (klikasz na przycisk "Napisz nowy temat"): KLIK. W poście należy dostarczyć dane, czyli logi z programów FRST i OTL: KLIK. ewelina26 Ten efekt odpowiada zapisanej sesji Google Chrome, o czym zawiadamiał zresztą log z FRST: Chrome: ======= CHR StartupUrls: "hxxp://www.google.com/", "hxxp://www.istartsurf.com/?type=hp&ts=1407251752&from=tt4u&uid=ST500LM000-1EJ162_W371C369XXXXW371C369" Modyfikacja jest zapisana w pliku Preferences Google Chrome, a nie w rejestrze. Czyszczenie tego robi się więc w opcjach Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > usunąć adresy. Od niedawna FRST też może te wpisy naprawiać, ale tego tu nie zadano. Żadne z przeprowadzonych działań nie adresowało tego obszaru, więc skoro problem ponoć już "nie występuje", to coś jednak robiono ręcznie w opcjach Google, ale samodzielnie. Akcje w temacie nie mają związku. Nie powinno mieć to związku. Jaki błąd się pokazuje? jessika Jaki powód usuwania folderu rozszerzenia Chromoji - Emoji for Google Chrome™? To zresztą i tak się nie wykonało wg fixlog. I przypominam, że przetwarzanie tych szczególnych linii Google skutkuje tylko usunięciem folderu (procedura nie czyści w ogóle Preferences), rozszerzenie nadal jest widoczne w opcjach Google. Jeśli rozszerzenie ma być usuwane, rozpoczyna się od jego deinstalacji w opcjach Google. Skrypt FRST to ostatni sort, do usuwania szczątków lub rozszerzeń, które są zablokowane / pozorują deinstalację (lokalizacja poza profilem Google, np. w C:\ProgramData). .

Temat nie wykazuje cech infekcji, toteż migruję do działu Windows. Jeśli chodzi o "kosmetykę", to poprawka w spoilerze: To nie wygląda na problem infekcji. Objawy sugerują raczej problemy z grafiką. I w pliku Addition było notowane jako zdefektowane następujące urządzenie: ==================== Faulty Device Manager Devices ============= Name: Enhanced Display Driver Helper Service Description: Enhanced Display Driver Helper Service Class Guid: {5458011f-08d4-4605-93a2-f03e61bedba3} Manufacturer: ASUSTeK Service: asuskbnt Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Co prawdopodobnie odpowiada tej wybrakowanej usłudze (usuwana wcześniej skryptem FRST): S3 Video3D; System32\Drivers\Video3D64.sys [X] Problem opisuje następujący artykuł MS: KB952951. .

Jeszcze drobnostki: 1. FRST naprawiał dwa wpisy w Google Chrome, ale one nadal są w tej samej postaci: Chrome: ======= CHR HomePage: hxxp://isearch.avg.com/?cid={D58B11E0-ADCF-4AC1-8CC5-12EA05654816}&mid=7bded0560b924db4bb9e2db061844bb9-de27ce43eb7d342c27ac43ca021e07458ef1e393&lang=pl&ds=xn011&pr=sa&d=2013-01-31%2009:46:05&v=13.3.0.17&sap=hp CHR StartupUrls: "hxxp://www.sweet-page.com/?type=hp&ts=1406548088&from=cor&uid=WDCXWD5000AAKS-22A7B0_WD-WCASY210110801108" Ręcznie skoryguj: - Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres sweet-page.com, przestaw na "Otwórz stronę nowej karty" - Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres isearch.avg.com 2. Odtworzył się po usuwaniu tajemniczy folder C:\WINDOWS\jumpshot.com. Wejdź do niego i sprawdź co tam siedzi. Twój spis sugeruje, że dysk twardy może pracować w trybie SATA/AHCI, a w takim przypadku ustawienia się nie aplikują. Czy są jeszcze jakieś widoczne problemy w systemie? .

W raportach nie ma nic szczególnego, choć w spoilerze drobne korekty na śmieci (głównie odpadki adware): Bardziej szczegółowa diagnostyka defektów usług systemowych jest poza zasięgiem tych raportów. Twierdzisz, że problem rozwiązałeś podmianą pliku. Poproszę więc o ogólną weryfikację: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. .

W raportach brak oznak widocznej infekcji. Opera nie jest skanowana przez żadne z narzędzi logów używanych na forum, toteż w logach nic na jej temat nie ma, nie wiadomo co i gdzie jest zmodyfikowane. Wg raportu jest tu na dodatek stara Opera 12.16.1860. - Pierwsza sprawa: możesz zresetować preferencje Opery poprzez zamknięcie przeglądarki i usunięcie z folderu C:\Documents and Settings\Marii\Dane aplikacji\Opera\Opera pliku operaprefs.ini. Po ponownym uruchomieniu przeglądarki zostanie wygenerowany nowy plik. - Kolejna sprawa: jeśli trzymasz się tej starej linii Opera, musowo zaktualizuj do wersji Opera 12.17, która ma łatę na lukę Heart-bleed. Chodzi o obecność Babylon czy niemożność załadowania strony szukania? Skorzystaj ze SpaceSniffer do diagnostyki. .

bodziowym, proszę uzupełnij wymagane logi zgodnie z ogłoszeniem. Brakuje FRST i GMER.

jessika Drobne uwagi w spoilerze: JesseVuitton Czy na pewno ten problem występuje po usuwaniu MBAM i restarcie komputera? Otóż FRST w ogóle nie widział wpisów Run w kluczu HKLM (zgłosiłam bug autorowi i już właśnie naprawiony), czyli tego wszystkiego co w OTL: Boldem zaznaczyłam wpis trojana, który nie był usuwany skryptem FRST, wykrył go dopiero MBAM w ostatnim podejściu. Toteż pytam czy na pewno nowy reset ujawnia to czarne okno cmd. I jeszcze poprawki: 1. Pojawiły się też nowe błędy w Dzienniku zdarzeń: System errors: ============= Error: (08/18/2014 04:04:17 PM) (Source: 0) (EventID: 9) (User: ) Description: \Device\Ide\IdePort4 Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Otwórz Notatnik i wklej w nim: CHR HomePage: hxxp://isearch.avg.com/?cid={D58B11E0-ADCF-4AC1-8CC5-12EA05654816}&mid=7bded0560b924db4bb9e2db061844bb9-de27ce43eb7d342c27ac43ca021e07458ef1e393&lang=pl&ds=xn011&pr=sa&d=2013-01-31%2009:46:05&v=13.3.0.17&sap=hp CHR StartupUrls: "hxxp://www.sweet-page.com/?type=hp&ts=1406548088&from=cor&uid=WDCXWD5000AAKS-22A7B0_WD-WCASY210110801108" Task: C:\WINDOWS\Tasks\Ad-Aware Antivirus Scheduled Scan.job => C:\PROGRA~1\AD-AWA~1\AdAwareLauncher.exe C:\WINDOWS\jumpshot.com C:\WINDOWS\system32\sqlite3.dll EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, skasuj też z listy śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

W tej materii brak nowych wieści, diagnostyka w toku. Ale w poniedziałek / wtorek na pewno będę na forum czynna. Nie wcześniej, bo obecnie mam limitowany dostęp do internetu.

Nie, nigdy kleszcz mnie nie ukąsił. Precyzując, moje obecne problemy zaczęły się po operacji (koniec 2013). Nie wiadomo czy ma to związek, choć linia czasowa sugeruje to (mogą to być pozory).

Zdrowie mi szwankuje, więc byłam zmuszona ograniczyć aktywność na forum. Za mną długotrwała i żmudna diagnostyka medyczna, która nie przyniosła odpowiedzi. Póki co, moje problemy nie są w pełni rozwiązane. Upraszczając, mój aktualny problem z niesprawnymi rękami (to jednak nie jedyny problem ze zdrowiem) utrudnia mi czynności na forum w rozumieniu pisania na klawiaturze. Jest lepiej niż było, ale problem nadal jest.

MiniRegTool Pobieranie wersji 32-bit Pobieranie wersji 64-bit Platforma: Windows XP do Windows 10 32-bit i 64-bit Licencja: freeware Narzędzie nie jest rozwijane od lat (ostatnia wersja ~2014), ze względu na to że FRST tego samego autora posiada komendę DeleteKey:, która jest nowszą ulepszoną wersją nie używającą żadnych zewnętrznych programów. MiniRegTool - Narzędzie marki Farbar, które jest graficzną nakładką kombinującą konsolowe narzędzia SWReg i SetACL. W puli dostępne opcje szukania, odblokowanie kluczy zablokowanych via uprawnienia, usuwanie kluczy zablokowanych przez uprawnienia oraz ukrytych przy udziale znaków null. Obsługa sprowadza się do wklejenia konkretnej ścieżki dostępu w oknie, zaznaczenia wybranej opcji i uruchomienie procesu przyciskiem "Go". Przy usuwaniu kluczy ze znakami null należy znak null zasygnalizować gwiazdką.

Chodzi o plik fixlog, który powstał podczas uruchamiania opcji Fix w FRST (opcja jednorazowa z konkretnym skryptem), plik nie jest generowany opcją Scan. Ten plik powinien być w katalogu skąd uruchamiałeś FRST: C:\Users\Anna\Desktop\Logi\FRST. .

Brakuje pliku fixlog.txt powstałego podcasz uruchamia skryptu FRST. Dołącz.

Problemem było uruchomienie "Asystenta pobierania" dobrychprogramów zamiast poprawnego pliku instalacyjnego. Na przyszłość czego unikać: KLIK. C:\Users\Anna\Downloads\VLC-media-player(13060) (1).exe C:\Users\Anna\Downloads\VLC-media-player(13060).exe Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files\NetCrawl\updateNetCrawl.exe () C:\Program Files\NetCrawl\bin\utilNetCrawl.exe () C:\Program Files\NetCrawl\bin\NetCrawl.PurBrowse.exe () C:\Program Files\NetCrawl\bin\NetCrawl.BrowserAdapter.exe R2 Update NetCrawl; C:\Program Files\NetCrawl\updateNetCrawl.exe [318752 2014-07-08] () R2 Util NetCrawl; C:\Program Files\NetCrawl\bin\utilNetCrawl.exe [318752 2014-07-08] () R1 {57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw; C:\Windows\System32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw.sys [52920 2014-06-27] (StdLib) R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw.sys [52920 2014-06-30] (StdLib) S3 catchme; \??\C:\Users\Anna\AppData\Local\Temp\catchme.sys [X] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1098640 HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://search.conduit.com?SearchSource=10&ctid=CT1098640 SearchScopes: HKLM - DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640 SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640 SearchScopes: HKCU - 52CEC21281B14E3C84019E0DF275F84C URL = http://isearch.avg.com/search?cid={A12C2C89-6C21-48D2-88E9-C2728932D01B}&mid=6b24c764168340259783dc5db5e3700a-5033851896571a67869db10eb03c08313fe0a223&lang=pl&ds=ax011&pr=&d=2012-10-08 21:22:16&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {AB8E4D84-723F-4f6b-AD52-90974AF05AB3} URL = http://www.google.com/cse?cx=partner-pub-3794288947762788%3A4067623346&ie=UTF-8&q={searchTerms}&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4067623346 SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640 SearchScopes: HKCU - {EB4F995B-D625-465d-9E6C-39A6A7C43B37} URL = http://search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=STDVM BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) BHO: NetCrawl - {769a91da-209f-47fe-88b9-b0321b0982c8} - C:\Program Files\NetCrawl\NetCrawlbho.dll (NetCrawl) Toolbar: HKLM - Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) Task: {399B76DF-7D96-487C-9BE0-90CAFF0D655C} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{E2FE45A5-6EE1-4A68-B9FC-67D0C4EA5D5B}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{E2FE45A5-6EE1-4A68-B9FC-67D0C4EA5D5B}.exe C:\Users\Anna\Downloads\VLC-media-player(13060) (1).exe C:\Users\Anna\Downloads\VLC-media-player(13060).exe C:\Windows\System32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw.sys C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw.sys Hosts: Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Conduit Engine, NetCrawl, zbędniki AVG Security Toolbar i Browser Configuration Utility oraz sfatygowany stary Spybot - Search & Destroy. 3. W Google Chrome: - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

xlesiu, jak mówię: ja potrzebuję raporty przedstawiające system, bo na oko nic nie rozwiążę i nie wiem co siedzi i gdzie. Skoro jest dostęp do Menedżera zadań, to w nim z menu Plik > Nowe zadanie > wskazać narzędzia tworzące raporty. Co do nośnika: no obojętny wykombinuj, byle się dało transportować raporty na system z dostępem do internetu, by je podać na forum. .

Temat przenoszę do działu Windows. Oznak infekcji brak. Widać tu inny problem, czyli notoryczne zawieszanie usługi Hewlett-Packard, powinieneś więc notować dłuższy start systemu: System errors: ============= Error: (07/05/2014 08:54:00 AM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania. Tak jest, to skutek uboczny usunięcia tylko ComboFix.exe bez poprawnej deinstalacji via parametr /uninstall. Te szczególne foldery ComboFix są ograniczone przez uprawnienia i tu nawet Unlocker nie był potrzebny. Wystarczyło przekonfigurować uprawnienia we Właściwościach folderów odptaszkowując "Odmów" dla grupy "Wszyscy". Teraz należy po prostu usunąć Kosz, by się pozbyć problemu. Nie wiadomo co robił ComboFix ze względu na usunięty raport. Nie jest wykluczone, iż zostały przeprowadzone jakieś zbędne naprawy lub kasacje, ponieważ Twój Windows XP nie jest oryginalny - to instalacja zmodyfikowana. Na takich systemach mogą się dziać różne niepożądane rzeczy podczas uruchomienia narzędzia, bo ComboFix porównuje tylko domyślne parametry nie tweakowanych systemów. Jeśli chodzi o czarny ekran Youtube, może to problem cookies, jak w tym temacie: KLIK. Nie przygotowałeś prawidłowego środowiska do uruchomienia GMER: KLIK. W logu widać aktywne sterowniki emulatorów napędów wirtualnych: R3 dtsoftbus01; C:\WINDOWS\System32\DRIVERS\dtsoftbus01.sys [242240 2012-11-26] (DT Soft Ltd) R0 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [477240 2012-10-20] (Duplex Secure Ltd.) U3 ag7aww5n; C:\WINDOWS\system32\Drivers\ag7aww5n.sys [0 ] (Silicon Image, Inc.) [File not signed] Na teraz: 1. Było podejście z GMER, toteż zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Usuwanie Kosza plus drobne poprawki na wpisy puste /odpadki i wyłączenie usługi Hewlett. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\RECYCLER SearchScopes: HKCU - DefaultScope {194E6D17-B12F-4c39-8E03-07F49FE499E8} URL = SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll No File Toolbar: HKLM - No Name - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No File FF Plugin: @real.com/nppl3260;version=6.0.11.2852 - C:\Program Files\McFunSoft Video Capture Convert Burn Solution\codec\real\browser\plugins\nppl3260.dll No File FF Plugin: @real.com/nppl3260;version=6.0.12.46 - C:\Program Files\McFunSoft Video Capture Convert Burn Solution\codec\real\browser\plugins\nppl3260.dll No File FF Plugin: @real.com/nprpjplug;version=6.0.12.1662 - C:\Program Files\McFunSoft Video Capture Convert Burn Solution\codec\real\browser\plugins\nprpjplug.dll No File FF Plugin: @real.com/nprpjplug;version=6.0.12.46 - C:\Program Files\McFunSoft Video Capture Convert Burn Solution\codec\real\browser\plugins\nprpjplug.dll No File FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\Ask.xml FF Extension: QuickStores-Toolbar - C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de [2014-06-18] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2012-10-19] HKLM\...\Run: [unlockerAssistant] => "C:\Program Files\Unlocker\UnlockerAssistant.exe" S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X] C:\Documents and Settings\Administrator\YYYY C:\Documents and Settings\Administrator\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess C:\Documents and Settings\All Users\Dane aplikacji\CPA_VA C:\Documents and Settings\All Users\Dane aplikacji\SafetyNut C:\Documents and Settings\LocalService\Dane aplikacji\GeekBuddyRSP C:\WINDOWS\4FC9DA9DF608454E8191D7EFFDCC5726.TMP C:\WINDOWS\System32\drivers\aswVmm.sys.sum C:\WINDOWS\System32\drivers\aswSP.sys.sum C:\WINDOWS\System32\drivers\aswSnx.sys.sum CMD: sc config ERSvc start= disabled CMD: sc config hpqddsvc start= disabled Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Gosted, proszę dostosuj się do tutejszych zasad i dostarcz obowiązkowe logi z FRST, OTL i GMER. Nie wolno wykonywać skryptów z innych tematów, są one unikatowe i adresują warunki tylko tego systemu, a przez niefortunny zbieg okoliczności można sobe coś uszkodzić. Sam popatrz co przetworzyłeś: plik konta "Kuba", które nie istnieje u Ciebie (Ty masz konto "Karol"). .

Najlepiej byłoby skombinować skądś czy pożyczyć pendrive, by można było wielokrotnie zapisywać na nim dane, płyty CD bowiem należałoby nagrywać za każdym razem od początku. Jeśli masz na myśli, że dysk z innego laptopa wpiąłeś do drugiego i pojawił się ten błąd to raczej oczywiste. Laptopy musiałby mieć identyczną konfigurację sprzętową, by ten sam dysk uruchomił Windows na innym laptopie. .

Tym razem problem stanowi całkiem inne adware (NetCrawl). Wdróż następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files\NetCrawl\updateNetCrawl.exe () C:\Program Files\NetCrawl\bin\utilNetCrawl.exe () C:\Program Files\NetCrawl\bin\NetCrawl.PurBrowse.exe () C:\Program Files\NetCrawl\bin\NetCrawl.BrowserAdapter.exe R2 Update NetCrawl; C:\Program Files\NetCrawl\updateNetCrawl.exe [318752 2014-07-06] () R2 Util NetCrawl; C:\Program Files\NetCrawl\bin\utilNetCrawl.exe [318752 2014-07-06] () R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw.sys [52920 2014-07-05] (StdLib) C:\Windows\system32\Drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw.sys SearchScopes: HKLM - DefaultScope value is missing. BHO: NetCrawl - {769a91da-209f-47fe-88b9-b0321b0982c8} - C:\Program Files\NetCrawl\NetCrawlbho.dll (NetCrawl) FF Extension: NetCrawl - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\vvc1kf1o.default-1394913388019\Extensions\{6fcd6092-9615-4f7f-8898-8df53980e5d2}.xpi [2014-07-06] Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware NetCrawl. 3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .