picasso

Niestety w tym fragmencie nie chodzi o rozprowadzanie Avasta w celu czerpania zeń zysków (o zakazie redystrybucji prawi inny ustęp) tylko o możliwość wykorzystania go w określonym środowisku. "members of your household" = słowo "domownicy" lepiej oddaje o co im chodzi, by przekazać że prywatnie w domu to możesz wykonywać mnogie instalacje i zainstalować go dla siebie, córki czy wujka. Darmowy Avast jest do użytku domowego niekomercyjnego, a drugi człon tworzy zastrzeżenie, że nie jest prowadzona działalność gospodarcza. Ta licencja oznacza, że program nie może być używany w firmie, która prowadzi działalność biznesową przynoszącą profity, nawet jeśli to firma jednosobowa i wykonujesz pracę w domu na służbowym komputerze. I na stronie domowej Avast jest wyraźnie wyróżniony podział odpowiadający licencji: Dom (darmowa wersja tylko tam się pokazuje) oraz Firma (z podziałem na "Małe i Mikro Przedsiębiorstwa - 1-10 zatrudnionych" + "Średnie i Duże Przedsiębiorstwa - 10 zatrudnionych lub więcej", w menu rozwijanym jest też hasło "Mała firma lub domowe biuro") dla której oferta to tylko komercyjne produkty. Już jaśniej nie mogli tego przedstawić. Komputery "w pracy" to firma a nie dom. Prawie wszystkie darmowe antywirusy mają taką licencję i wykluczają instalację w firmie. Wyjątki: 1. MSSE (licencja) dozwolony w małej firmie do 10 stanowisk, powyżej tej liczby legalne użytkowanie to komercyjna wersja Endpoint Security. 2. COMODO Internet Security (licencja) wprost mówi o tym. Wykorzystana fraza "business users" nie oznacza Twojego toku rozumowania przy Avast i potencjalnego handlu COMODO. 3. Jakieś niszowe produkty "open source", bądź też rozwiązania je integrujące. Np. integracja silnika ClamAV przeważnie czyni produkt "nakładkowy" go noszący dozwolonym w firmie. Dodatkowo porównaj dane sprzed roku: https://www.raymond.cc/blog/free-antivirus-for-corporate-commercial-and-educational-use/ .

Temat przenoszę, wstępnie do działu Windows, choć o dział Sieci też zahacza. Nie notuję tu żadnych oznak infekcji. Aczkolwiek raportu z GMER nie dostarczyłeś. Z podanych tu raportów kompletnie nic nie wynika. 1. Pierwszy problem: do przetestowania czy tzw. "czysty rozruch" tworzy różnicę (KLIK). W Dzienniku zdarzeń są też notowane następujące błędy: System errors: ============= Error: (04/24/2014 02:06:17 PM) (Source: Microsoft-Windows-Kernel-Processor-Power) (User: ZARZĄDZANIE NT) Description: Niektóre funkcje zarządzania energią procesora w czasie wydajności zostały wyłączone z powodu znanego problemu z oprogramowaniem układowym. Skontaktuj się z producentem komputera w celu uzyskania aktualizacji oprogramowania układowego. Opis tego błędu: KLIK. Application errors: ================== Error: (04/24/2014 02:06:45 PM) (Source: Windows Search Service) (User: ) Description: Nie można zainicjować indeksu. Szczegóły: Wykaz indeksów zawartości jest uszkodzony. (HRESULT : 0xc0041801) (0xc0041801) Error: (04/24/2014 02:06:45 PM) (Source: Windows Search Service) (User: ) Description: Nie można zainicjować aplikacji. Kontekst: aplikacja Windows Szczegóły: Wykaz indeksów zawartości jest uszkodzony. (HRESULT : 0xc0041801) (0xc0041801) Error: (04/24/2014 02:06:45 PM) (Source: Windows Search Service) (User: ) Description: Nie można zainicjować obiektu programu zbierającego. Kontekst: aplikacja Windows, wykaz SystemIndex Szczegóły: Wykaz indeksów zawartości jest uszkodzony. (HRESULT : 0xc0041801) (0xc0041801) Error: (04/24/2014 02:06:45 PM) (Source: Windows Search Service) (User: ) Description: Nie można zainicjować dodatku typu plug-in w . Kontekst: aplikacja Windows, wykaz SystemIndex Szczegóły: Nie można odnaleźć elementu. (HRESULT : 0x80070490) (0x80070490) Error: (04/24/2014 02:06:45 PM) (Source: Windows Search Service) (User: ) Description: Nie można zainicjować dodatku typu plug-in w . Kontekst: aplikacja Windows, wykaz SystemIndex Szczegóły: Wykaz indeksów zawartości jest uszkodzony. (HRESULT : 0xc0041801) (0xc0041801) Error: (04/24/2014 02:06:45 PM) (Source: Windows Search Service) (User: ) Description: Usługa Windows Search nie może załadować informacji z magazynu właściwości. Kontekst: aplikacja Windows, wykaz SystemIndex Szczegóły: Baza danych indeksów zawartości jest uszkodzona. (HRESULT : 0xc0041800) (0xc0041800) Error: (04/24/2014 02:06:45 PM) (Source: Windows Search Service) (User: ) Description: Usługa Windows Search jest zatrzymywana, ponieważ wystąpił problem z indeksatorem: The catalog is corrupt. Szczegóły: Wykaz indeksów zawartości jest uszkodzony. (HRESULT : 0xc0041801) (0xc0041801) Error: (04/24/2014 02:06:45 PM) (Source: Windows Search Service) (User: ) Description: Usługa wyszukiwania wykryła uszkodzone pliki danych w indeksie {id=4700}. Usługa podejmie próbę automatycznego rozwiązania tego problemu przez odbudowanie indeksu. Szczegóły: Wykaz indeksów zawartości jest uszkodzony. (HRESULT : 0xc0041801) (0xc0041801) Error: (04/24/2014 02:06:45 PM) (Source: Windows Search Service) (User: ) Description: Usługa Windows Search nie może otworzyć magazynu właściwości aparatu Jet. Szczegóły: 0x%08x (0xc0041800 - Baza danych indeksów zawartości jest uszkodzona. (HRESULT : 0xc0041800)) Error: (04/24/2014 02:06:45 PM) (Source: ESENT) (User: ) Description: Windows (2980) Windows: Wystąpił błąd -1811 podczas otwierania pliku dziennika C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS00006.log. Błędy Windows Search być może nie mają w ogóle znaczenia, jeśli są pochodną CCleaner (masz zainstalowany): KLIK. 2. Drugi problem: czy mówimy o sytuacji, gdy uTorrent nie jest uruchomiony w tle? Jeśli ma to ogólny wymiar, dostarcz raporty z działu Sieci: KLIK. .

Skoro Google Chrome jest sprawne, a oznak infekcji w nim brak, to już tego nie drążę. Doczyść szczątki po odinstalowanym tandemie SpyHunter i Spybot. Wymontowanie Spybota z Dzienika zdarzeń wymaga wstrzymania usługi Dziennik zdarzeń, toteż muszą iść dwa skrypty: 1. Otwórz Notatnik i wklej w nim: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy C:\Documents and Settings\johny\Desktop\SpyHunter 4.12.13.4202 C:\Program Files\Enigma Software Group C:\Program Files\Spybot - Search & Destroy 2 C:\WINDOWS\46B04D534E344388B6EE80FAB66AEF9B.TMP C:\WINDOWS\system32\Drivers\etc\hosts.*.backup CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Zachowaj wynikowy fixlog.txt. 2. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\SpybotSD.evt CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Powstanie kolejny fixlog.txt. 3. Przedstaw oba pliki fixlog.txt. .

Na razie wstrzymaj się z usuwaniem tego folderu C:\FRST. Jego powielenie jest kuriozalną anomalią o nieznanym podłożu. Ja zresztą widziałam powielenia innych katalogów wcześniej w raporcie FRST, tylko rozważałam ewentualne przekłamania skanu... Przykładowy wyciąg duplikatów: 2014-04-13 17:34 - 2014-04-13 17:34 - 00000000 _____ () C:\Windows\SysWOW64\config.nt 2014-04-13 17:34 - 2014-04-13 17:34 - 00000000 _____ () C:\Windows\SysWOW64\config.nt 2014-04-12 16:04 - 2014-04-12 19:09 - 00000000 ____D () C:\Users\Ewa\AppData\Local\CrashDumps 2014-04-12 16:04 - 2014-04-12 19:09 - 00000000 ____D () C:\Users\Ewa\AppData\Local\CrashDumps 2014-04-12 16:04 - 2014-04-12 16:04 - 00000000 ____D () C:\Users\Ewa\AppData\Local\Google 2014-04-12 16:04 - 2014-04-12 16:04 - 00000000 ____D () C:\Users\Ewa\AppData\Local\Google 2014-04-12 13:49 - 2014-04-12 13:49 - 00000000 ____D () C:\Users\Ewa\AppData\Local\LSC 2014-04-12 13:49 - 2014-04-12 13:49 - 00000000 ____D () C:\Users\Ewa\AppData\Local\LSC 2014-04-12 13:49 - 2014-04-12 13:49 - 00000000 ____D () C:\Users\Ewa\AppData\Local\Adobe 2014-04-12 13:49 - 2014-04-12 13:49 - 00000000 ____D () C:\Users\Ewa\AppData\Local\Adobe 2014-04-12 13:48 - 2014-04-12 13:48 - 00000000 ____D () C:\Users\Ewa\AppData\Roaming\Adobe 2014-04-12 13:48 - 2014-04-12 13:48 - 00000000 ____D () C:\Users\Ewa\AppData\Roaming\Adobe Tu jest coś bardzo nie w porządku. Musisz mi dać czas na przemyślenie o co chodzi. .

W Twoim systemie tu przedstawionym nie ma żadnych widocznych znaków czynnej infekcji. Skan MBAM nie pokazuje nic szczególnego i wyniki z pewnością nie mają związku z objawami, to są drobne nieczynne odpadki głównie adware (wyniki z Temp, instalator DAEMON Tools = zawiera adware). Używałeś też ComboFix, a nie ma o tym ani słowa, brak też raportu z tamtego uruchomienia. Przedstaw plik C:\ComboFix.txt, który jest na dysku. Nie uruchamiaj przypadkiem narzędzia ponownie. Tytuł "Wirus podobny do W32.Sasser" zmieniam. Sasser to archaiczna infekcja, która od lat nie występuje. Komunikaty odliczania 60 sekund nie są żadnym dowodem infekcji - to jest zaplanowana reakcja na awarię krytycznych usług systemowych, a taką awarię mogą tworzyć rozmaite czynniki (malware, programy, hardware). Ów błąd jest nagrany w Twoim Dzienniku: Error: (04/19/2014 09:24:47 PM) (Source: Winlogon) (User: ) Description: Błąd krytycznego procesu systemowego C:\WINDOWS\system32\lsass.exe z kodem stanu c0000005. Komputer musi być ponownie uruchomiony. BSODy rzekomo ustały, tylko że z pewnością nie mogło to się stać za sprawą skanu MBAM, bo prezentowany raport nie pokazuje nic co mogłoby działać na tym poziomie. Diagnostyka BSOD rozpisana w punkcie 5 ogłoszenia: KLIK. Dostarcz zdebugowane zrzuty pamięci DMP. PS. Drobne działania: odinstaluj zbędny McAfee Security Scan Plus (była to pewnie instalacja sponsorowana Adobe Flash) i uruchom TFC - Temp Cleaner. .

Wszystko wykonane. Kończymy. 1. Drobnostka w Google Chrome się ostała: CHR StartupUrls: "hxxp://www.searchgol.com/?babsrc=HP_ss&mntrId=78E1001BB1F320CA&affID=121565&tsp=5020" Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres searchgol.com. 2. Usuń używane narzędzia za pomocą DelFix. Dokasuj ręcznie z Pulpitu folder FRST-OlderVersion oraz C:\Program Files (x86)\Spybot - Search & Destroy 2. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Drobne aktualizacje, konkretnie te trzy programy: ==================== Installed Programs ====================== Adobe Reader X (10.1.9) (HKLM-x32\...\{AC76BA86-7AD7-1033-7B44-AA1000000001}) (Version: 10.1.9 - Adobe Systems Incorporated) Java 7 Update 51 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417051FF}) (Version: 7.0.510 - Oracle) Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle) .

Na zakończenie: 1. Odinstaluj poniższe programy i zastąp najnowszymi wersjami: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 12 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 12 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Java 7 Update 51 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.510 - Oracle) Java™ 6 Update 31 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216031FF}) (Version: 6.0.310 - Oracle) 2. Zainstaluj wybranego antywirusa. Wcześniej infekcja blokowała, obecnie pole czyste. .

To był powód takiej a nie innej kolejności, najpierw pokazanie raportu, po tym użycie DelFix. Oczywiście ponowne wklejanie nie ma sensu, narzędzie nie przetworzy obiektów już usuniętych, zakładam bowiem, że to się stało. MBAM dopatrzył się szczątków adware SearchGol. Usuń je za pomocą programu. I po tym już ostateczne kroki: 1. Wyczyść foldery Przywracania systemu: KLIK. 2. Już deinstalowałeś Java 6, ale poniżej wyliczone programy i cały system do aktualizacji: Windows 7 Home Premium (X64) OS Language: Polish Internet Explorer Version 9 ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 10.0.42.34 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 13 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 13.0.0.182 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Adobe Reader 9.5.5 - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-A95000000001}) (Version: 9.5.5 - Adobe Systems Incorporated) Adobe Shockwave Player (HKLM-x32\...\{D8DFA46A-39F7-4368-810D-18AFCFDDAEAF}) (Version: 11.5.1.601 - Adobe Systems, Inc.) Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.510 - Oracle) .

Poprzednie zadania pomyślnie przetworzone. Jeszcze drobnostki będą w kolejnym poniższym skrypcie FRST. To był skutek usuwania tego sfatygowanego i blokowanego przez system sterownika: S1 cdrbsdrv; C:\Windows\SysWow64\Drivers\cdrbsdrv.sys [33408 2011-07-01] (B.H.A Corporation) Żadne z działań nie adresowało tego jeszcze. Jak mówiłam, w skrypcie FRST sprawdzałam co leży w katalogu C:\Program files. Wyniki: Katalog: C:\Program Files 2012-08-26 18:35 6 516 280 AVAST 2014-04-23 20:23 AVAST Software W tej ścieżce leży jakiś stary dziwny plik o nazwie "Avast". Otwórz Notatnik i wklej w nim: ProxyServer: localhost:8080 C:\Program Files\AVAST C:\Program Files (x86)\Spybot - Search & Destroy 2 Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony reset. Przedstaw wynikowy fixlog.txt i wypowiedz się czy przy starcie ten błąd Avast wystąpił. .

W kwestii moich instrukcji: prawie wszystko przetworzone jak należy. Poprawki: 1. Po operacjach Google Chrome wygląda na uszkodzone. Poprzednio były wykrywane wtyczki, obecnie nie. Powtórz te dwa resety: - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. - W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Otwórz Notatnik i wklej w nim: Unlock: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows HKU\S-1-5-21-2042052474-958444054-2180519110-1001\...\CurrentVersion\Windows: [Load] C:\Users\MAREKA~1\LOCALS~1\Temp\msveibk.bat FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File C:\Program Files (x86)\v9Soft C:\Windows\SysWOW64\Extras.Txt C:\Windows\SysWOW64\OTL.Txt C:\Windows\SysWOW64\RegFile3.txt C:\Windows\SysWOW64\sqlite3.dll CMD: rd /s /q C:\AdwCleaner CMD: rd /s /q C:\_OTL CMD: rd /s /q "C:\Users\Marek Atłachowicz\Desktop\FRST-OlderVersion" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Ten skrypt OTL pochodzi z cudzego tematu najwyraźniej i ma się nijak do Twojego systemu. Zawartość zupełnie niezgodna z Twoim systemem, m.in. przetwarzałeś cudze ścieżki konta które nie istnieje w Twoim systemie: C:\Users\Dominik. Na przyszłość: nigdy nie stosuj skryptów podanych w innych tematach, one są unikatowe i robione w oparciu o logi z konkretnego systemu. Przez nieszczęśliwy zbieg okoliczności można też sobie coś uszkodzić, bo w skryptach może być zadane działanie dodatkowe pasujące np. do XP, ale to samo działanie uszkodzi coś w Windows 7. .

To są moje spekulacje tylko. Błąd eksploratora wystąpił dwa razy i brak konkretnych danych na jego temat. W kwestii instalacji "innej wersji": każdy zewnętrzny pakiet kodeków może tworzyć podatność na taki rodzaj błędów, jest mnóstwo wypadkowych (wersje kodeków, ich kombinacje między sobą, rozszerzenia przez nie instalowane w eksploratorze). Jestem też zwolennikiem minimalnych instalacji w systemie i - o ile to możliwe - posługiwania się odtwarzaczami nie instalującymi kodeków (natywnie wbudowane niezależne i nie rejestrowane w systemie). Nie wykonała się część usuwania kluczy "Internet" blokujących Harmonogram zadań. Została zwrócona "Odmowa dostępu". Zaprezentuj listę uprawnień tych kluczy. Otwórz Notatnik i wklej w nim: ListPermissions: HKLM\SOFTWARE\Microsoft\Rpc\Internet ListPermissions: HKLM\SOFTWARE\Wow6432Node\Microsoft\Rpc\Internet Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. .

Tu wszystko w porządku. Usługa nie została zatrzymana, ale za to została usunięta. Plik możesz usunąć. Oczywiście zakładam, że wartość UpperFilters została poprawnie zedytowana, bo to najważniejsza edycja przy usuwaniu tego sterownika. Ale mnie chodzi o całkiem inny test, czyli bez Kasperskiego i bez jakiegokolwiek innego antywirusa, by uzyskać pewność czy Kaspersky ma w ogóle coś do rzeczy. Deinstalując jeden program i zastępując go w ciemno drugim ukrywasz wyniki diagnostyki. A w ciemno, ponieważ konfiguracje są unikatowe i do końca nie wiadomo jak konkretny antywirus zachowa się na danym systemie. Chodzi mi więc o konkretną wypowiedź: czy po deinstalacji Kasperskiego rozruch systemu jest krótszy oraz czy zamulanie ustąpiło. .

Czy po usunięciu pliku odświeżyłaś widok Pulpitu oraz czy opcja "Restore My Active Desktop" robi teraz jakąś różnicę? Przedstaw te wyniki Dr. Web. Skan GMER wykazuje, że klucze serwisów SharedAccess i Tcpip są zablokowane. Na razie jednak to zostawiam, nie powinno mieć to związku z powyższymi i nie jest to też infekcja. .

Temat ma dysproporcję tematyczną, więc zostaje przeniesiony do działu Windows, bo nie wydaje się, by infekcja w ogóle miała coś do rzeczy. Jest tu kilka spraw: śmieci adware w systemie oraz dysfunkcje po nieudolnej deinstalacji Avast. Adware nie ma związku ze zgłoszeniami, jest w postaci szczątkowej oraz nie ingeruje w te obszary. Za to zdekompletowana instalacja Avast jak najbardziej może być przyczyną problemów, bo zostało multum obiektów po Avast osadzonych w pasujących obszarach. ==================== Services (Whitelisted) ================= S2 avast! Antivirus; "C:\Program Files\AVAST Software\Avast\AvastSvc.exe" [X] S2 avast! Firewall; "C:\Program Files\AVAST Software\Avast\afwServ.exe" [X] ==================== Drivers (Whitelisted) ==================== S0 aswRvrt; No ImagePath S0 aswVmm; No ImagePath S1 aswKbd; \SystemRoot\system32\drivers\aswKbd.sys [X] S2 aswMonFlt; \SystemRoot\system32\drivers\aswMonFlt.sys [X] S0 aswNdisFlt; system32\DRIVERS\aswNdisFlt.sys [X] S1 aswRdr; \SystemRoot\system32\drivers\aswRdr2.sys [X] S1 aswSnx; \SystemRoot\system32\drivers\aswSnx.sys [X] S1 aswSP; \SystemRoot\system32\drivers\aswSP.sys [X] S3 aswStm; \SystemRoot\system32\drivers\aswStm.sys [X] ==================== Faulty Device Manager Devices ============= Name: Synaptics PS/2 Port Pointing Device Description: Synaptics PS/2 Port Pointing Device Class Guid: {4d36e96f-e325-11ce-bfc1-08002be10318} Manufacturer: Synaptics Service: i8042prt Problem: : This device cannot start. (Code10) Resolution: Device failed to start. Click "Update Driver" to update the drivers for this device. On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Name: aswRdr Description: aswRdr Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: aswRdr Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. Name: Standardowa klawiatura PS/2 Description: Standardowa klawiatura PS/2 Class Guid: {4d36e96b-e325-11ce-bfc1-08002be10318} Manufacturer: (Klawiatury standardowe) Service: i8042prt Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Name: Urządzenie klawiatury HID Description: Urządzenie klawiatury HID Class Guid: {4d36e96b-e325-11ce-bfc1-08002be10318} Manufacturer: (Klawiatury standardowe) Service: kbdhid Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Będę weryfikować czy występują filtry sprzętowe na klasach USB. Zapora tu była ... od Avast. Jestem też przekonana, że brak sieci jest z winy sterowników Avast, konkretnie aswNdisFlt (avast! Filtering NDIS driver). Przyczyną jest odpadkowy sterownik aswKbd (avast! Keyboard Filter Driver) filtrujący urządzenia. Został usunięty powiązany plik, a nie rozwiązano filtrów sprzętowych nałożonych na klawiaturę. Obecnie urządzenia odwołują się do nieistniejącego sterownika, dlatego nie działają. W Twoim przypadku to miejsce powinien filtrować tylko sterownik Synaptics: DRV:64bit: - [2011-02-25 12:14:22 | 001,414,704 | ---- | M] (Synaptics Incorporated) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SynTP.sys -- (SynTP) Nie pokazałeś wyników, zaprezentuj je, o ile nadal masz te dane. Podejrzewam, jednak że mogły to być komponenty adware, w ogóle nie związane z tematem. Usuwanie śmietniska adware z systemu zostawiam na drugą fazę. 1. Na początek poproszę o dane związane z filtrami sprzętowymi. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{36FC9E60-C465-11CF-8056-444553540000} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Enum\Root /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Będzie gruby. 2. Dodatkowo (to pod kątem późniejszego czyszczenia z adware) dostarcz mi ten plik (skopiuj > do ZIP > shostuj gdzieś): C:\Users\Zbyszek\AppData\Local\Google\Chrome\User Data\Default\Preferences .

antyddos, wyjaśnij mi dlaczego założyłeś nowe konto na forum posiadając już jedno. I nie został ukończony poprzedni temat na forum. Tematy sklejam, konta zostaną połączone = decyduj które konto ma zostać (antyddos czy nusk). Co do świeżych raportów: prócz tego co nie zostało ukończone poprzednio, są nowe instalacje adware. Od razu proszę przeczytaj czego unikać i skąd nie pobierać, by uniknąć takich wtrętów: KLIK. 1. Otwórz Notatnik i wklej w nim: () C:\Program Files\BrowseMark\updateBrowseMark.exe () C:\Program Files\BrowseMark\bin\utilBrowseMark.exe () C:\Program Files\BrowseMark\bin\FilterApp_C.exe () C:\Program Files\BrowseMark\bin\BrowseMark.BrowserAdapter.exe R2 Update BrowseMark; C:\Program Files\BrowseMark\updateBrowseMark.exe [350496 2014-04-24] () R2 Util BrowseMark; C:\Program Files\BrowseMark\bin\utilBrowseMark.exe [350496 2014-04-24] () R1 tStLibG; C:\WINDOWS\System32\drivers\tStLibG.sys [55232 2014-04-20] (StdLib) HKLM\...\Run: [COMODO Internet Security] => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe ProxyServer: http=127.0.0.1:8555;https=127.0.0.1:8555 BHO: BrowseMark - {aeac172e-2e4b-4b92-9af6-b0cdb1acecdb} - C:\Program Files\BrowseMark\BrowseMarkbho.dll (BrowseMark) C:\Documents and Settings\Giza\Dane aplikacji\FK_Monitor C:\extensions C:\Program Files\FK_Monitor C:\Program Files\SiteFinder C:\WINDOWS\system32\Drivers\tStLibG.sys CMD: rd /s /q C:\AdwCleaner CMD: rd /s /q "C:\Documents and Settings\Giza\Pulpit\FRST-OlderVersion" CMD: rd /s /q "C:\Documents and Settings\Giza\Pulpit\Stare dane programu Firefox" Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj nowe adware BrowseMark, Foxtab oraz poprzednio wskazywane pozycje: KLIK. 3. W przeglądarkach: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. - Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan, pole Addition ma być zaznaczone, by powstały dwa logi. Dołącz też plik fixlog.txt i log z AdwCleaner. .

Jeśli chodzi o ostatnie problemy z aktualizacjami MSSE powodującymi jego nieużytkowość na XP (KLIK / KLIK), to ponoć najnowsza aktualizacja baz rozwiązuje te problemy: KLIK. MSSE jest limitowanym rozwiązaniem i skłaniam się do wymiany bogatszym rozwiązaniem trzecim, zapewniającym bardziej złożoną ochronę. Avast 6 lat temu to nie ten sam Avast co dziś, ogromne zmiany zaszły i produkty są nieporównywalne. Niemniej wspominasz o komputerach w pracy, odpada więc większość darmowych antywirusów, w tym Avast - licencje "do użytku prywatnego niekomercyjnego". .

Do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, zamiast post pod postem. Sklejam oba posty. Oczywiście odpowiadając mi na poniższe treści już w nowym poście się wypowiadasz. - Jeśli chodzi o zakładanie tematu i pierwszy post: powyższy zestaw logów jest zawsze obowiązkowy. OTL (narzędzie nierozwijane) jest raportem już podrzędnym, gdyż FRST jest wyposażopny w o wiele lepsze skany, których OTL nie posiada. A GMER adresuje detekcję infekcji rootkit. - Jeśli chodzi o temat w toku, to zawsze podaję w intrukcjach, które raporty są potrzebne. Ten intruz to adware a nie wirus czy trojan. Nabyty własnoręcznie przez nieuważną instalację programów. Artykuł adresujący te zjawiska: KLIK. Przechodzimy do usuwania: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files (x86)\RightSurf\updateRightSurf.exe () C:\Program Files (x86)\RightSurf\bin\utilRightSurf.exe () C:\Program Files (x86)\RightSurf\bin\FilterApp_C64.exe R2 Update RightSurf; C:\Program Files (x86)\RightSurf\updateRightSurf.exe [350496 2014-04-24] () R2 Util RightSurf; C:\Program Files (x86)\RightSurf\bin\utilRightSurf.exe [350496 2014-04-24] () R1 wStLib64; C:\Windows\System32\drivers\wStLib64.sys [61112 2014-03-18] (StdLib) R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61112 2014-03-14] (StdLib) S3 vm331avs; System32\Drivers\vm331avs.sys [X] Task: {54C0523D-EF77-44C5-A686-EFEAB31DD98E} - System32\Tasks\{12E16B6A-B0AF-42EA-9EB0-97F5442F768C} => Chrome.exe http://ui.skype.com/ui/0/6.7.0.102/pl/abandoninstall?page=tsProgressBar Task: {6E934F3E-0D26-4F73-B299-BDD8ABCE9C23} - System32\Tasks\{9D62B47B-F802-4228-9474-3235E4CFEFC7} => C:\Users\lipen\Downloads\allied_general_v1.1_us (1).exe Task: {80D1BD58-1ECE-4B51-9C63-3A339CBBB2DC} - System32\Tasks\{ECE2C709-0980-4992-9851-05332E0C9619} => C:\Users\lipen\Downloads\allied_general_v1.1_us (1).exe Task: {A44B0F04-E098-43D3-9F55-4BDF60A78D16} - \Program aktualizacji online firmy Adobe. No Task File C:\Users\lipen\AppData\Local\Lollipop C:\Users\lipen\AppData\Roaming\Mozilla C:\Users\lipen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop C:\Users\lipen\AppData\Roaming\systweak C:\Users\lipen\Downloads\extension_1_7_4.crx C:\Windows\System32\drivers\wStLib64.sys C:\Windows\System32\drivers\wStLibG64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware RightSurf. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Temat założony w nieodpowiednim dziale (Windows). Przenoszę do działu diagnostyki infekcji. W systemie działa adware, które nabyłeś pobierając program GSpot z portalu (albo dobreprogramy.pl, albo pliki.onet.pl): KLIK. To nie jest plik właściwy tylko "Asystent pobierania" skoncentrowany na szmuglowaniu sponsorów i to on zainstalował te reklamy: C:\Users\AEM\Downloads\GSpot(11901).exe Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files (x86)\BrowseMark\bin\utilBrowseMark.exe () C:\Program Files (x86)\BrowseMark\updateBrowseMark.exe () C:\Program Files (x86)\BrowseMark\bin\FilterApp_C64.exe () C:\Program Files (x86)\BrowseMark\bin\BrowseMark.BrowserAdapter.exe R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61120 2014-04-21] (StdLib) R2 Update BrowseMark; C:\Program Files (x86)\BrowseMark\updateBrowseMark.exe [350496 2014-04-24] () R2 Util BrowseMark; C:\Program Files (x86)\BrowseMark\bin\utilBrowseMark.exe [350496 2014-04-24] () BHO: avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll No File C:\Users\AEM\Downloads\GSpot(11901).exe C:\Windows\System32\drivers\wStLibG64.sys Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware BrowseMark. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. ,

Jeśli chodzi o wyniki MBAM: HackTool.SnadBoy to nic złego = po prostu detekcja pobranego Snadboy Revelation (takie programy podglądające hasła zawsze będą wykrywane, niezależnie od celowości), PUM.Disabled.SecurityCenter to tylko wyłączone powiadomienia o aktualizacjach, reszta śmieci. Usuń to. Następnie wdróż co było powiedziane wcześniej. Zadana kolejność była nieprzypadkowa. Najpierw wykonaj punkty 1 do 3, w punkcie 2 oszczędź tymczasowo ESET, skoro jeszcze coś tam działa, dopiero po tym aktualizacje Windows. .

Zestaw obowiązkowych logów niekompletny, zasady działu: KLIK. Uzupełnij wymagane raporty z FRST i GMER. I proszę podaj dokładne ścieżki ze skanu AVG, w jakich plikach jest to wykrywane, sama nazwa zagrożenia nie wystarczy. .

Obrazek z poprzedniego posta wskazuje, ze plik jest. Upewnij się, że masz te opcje ustawione w Mój komputer > Narzędzia > Opcje folderów > Widok: zaznaczone Pokaż ukryte pliki i foldery + odfajkowane Ukryj chronione pliki systemu operacyjnego. .

Nie wypowiadasz się czy przekierowanie ustało. Wszystko zostało wykonane pomyślnie i ja nie widzę już problemów. Finalizacja tematu: 1. Uruchom TFC - Temp Cleaner. 2. Usuń używane narzędzia z folderu C:\Users\Damian\Documents\install oraz folder Stare dane programu Firefox z Pulpitu. Popraw za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj stare wersje Adobe i Java, zastąp najnowszymi, zaktualizuj Thunderbird. Stan obecny: ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 10.0.42.34 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 11.8.800.94 - Adobe Systems Incorporated) ----> wtyczka dla FF Adobe Reader 9.1 MUI (HKLM-x32\...\{AC76BA86-7AD7-FFFF-7B44-A91000000001}) (Version: 9.1.0 - Adobe Systems Incorporated) Java™ 6 Update 31 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216031FF}) (Version: 6.0.310 - Oracle) Mozilla Thunderbird 17.0 (x86 pl) (HKLM-x32\...\Mozilla Thunderbird 17.0 (x86 pl)) (Version: 17.0 - Mozilla) .

Wszystko wykonane, tylko ten folder C:\TDSSKiller_Quarantine się nie usunął (moja literówka, za późno poprawiona). Jedziemy ku końcowi: 1. Usuń używane narzędzia z folderu C:\Users\Vista\Desktop\Narzędzia anty-rootkit. Popraw narzędziem DelFix. Jeśli coś nie zostanie usunięte, ręcznie dokończ. 2. Wyczyść foldery Przywracania systemu, o ile coś powstało w międzczasie (początkowo brak punktów): KLIK. 3. Masz zainstalowany Malwarebytes Anti-Malware. Upewnij się, że ma aktualne bazy i zrób za jego pomocą pełny skan. Jeśli coś zostanie wykryte, przedstaw wynikowy raport, w przeciwnym wypadku jest on zbędny. .

Skrypt wykonany, więc jak sądzę ten szczątek Avira w Panelu sterowania zniknął. Na razie nie ruszam COMODO, choć on nie jest wykluczony jako element kolidujący. Spróbuj kolejnych punktów z artykułu ESET: - Podaj mi log z Farbar Service Scanner. - Sprawdź Windows Update czy są dostępne jakieś aktualizacje i zainstaluj je. Powtórz szukanie aktualizacji, dopóki nie zostanie zgłoszony komunikat o ich braku. - Jest tam jeszcze mowa o aktualizacji sterowników sieciowych. - Reinstalacja ESET wg kroków: normalna deinstalacja przez Panel sterowania, następnie w Trybie awaryjnym pociągnij ESET Uninstaller. .

Większość przetworzona. Poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [Regedit32] => C:\Windows\system32\regedit.exe HKLM\...\runonceex: [Flags] - 128 HKLM\...\runonceex: [Title] - UnHackMe Rootkit Check HKU\S-1-5-21-1058216481-2180761106-2217758376-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Vista\AppData\Local\Akamai\netsession_win.exe" U0 Partizan; system32\drivers\Partizan.sys [X] C:\Program Files\UnHackMe C:\Users\Vista\AppData\Local\CrashDumps C:\Users\Vista\AppData\Local\XulTest CMD: rd /s /q C:\AdwCleaner CMD: rd /s /q C:\TDSSKiller_Quarantine CMD: rd /s /q "C:\Users\Vista\Desktop\Stare dane programu Firefox" Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{DDE87865-83C5-48c4-8357-2F5B1AA84522}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{DDE87865-83C5-48c4-8357-2F5B1AA84522}" /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST (bez Addition i Shortcut). Podaj też fixlog.txt. .