picasso

1. Wykryte przede wszystkim szczątki adware i cookies. Usuń wszystkie wyniki, wliczając też kopie FRST, bo i tak miały być usuwane. 2. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

AdwCleaner wykrył drobny szczątek adware mylucky123.com w preferencjach Google Chrome. Zresetuj ustawienia Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (ręcznie aktywuj). Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Po tej operacji sprawdź czy AdwCleaner nadal widzi ten sam rekord.

Przejściowe kłopoty z ładowaniem strony. Jest to dla mnie jasne od początku. Element świadomości instalacji nie gra tu żadnej roli, istotnym jest jakie modyfikacje tworzy dany program (tzn. na terenie który zazębia się usterką). Jak mówiłam, te dwa na razie są widoczne w logu jako potencjalni kandydaci, gdyż ShellIconOverlayIdentifiers to moduły DLL wstrzykiwane do explorer.exe. Z wizualnego punktu widzenia w eksploratorze jest to obrazowane jakimś specjalnym ficzerem np. ikoną nakładkową na folderach. ShellExView jest tu potrzebny, by wyłuskać wszystkie modyfikacje niedomyślne, bo ich jest więcej niż tylko ShellIconOverlayIdentifiers. Na razie zadany tylko ogólny test mający zdowodować czy problem leży w rozszerzeniach powłoki.

Temat przenoszę do działu Windows. To nie jest problem infekcji. W raportach zaś brak konkretów, błąd w Dzienniku jest enigmatyczny. Te objawy zwykle są powiązane z jakimś rozszerzeniem pogramu trzeciego domontowanym do powłoki eksploratora. FRST nie jest orientowany na taki skan, choć widać conajmniej wpisy ShellIconOverlayIdentifiers od IDM i MegaSync. Przeprowadź wstępny test za pomocą ShellExView x64. Przez klik w kolumnę Company posortuj wpisy w taki sposób, by niedomyślne (na różowym tle) ułożyły się w jednym bloku. Z wciśniętym CTRL zaznacz te wpisy, z prawokliku wyłącz i zresetuj system. Podaj czy widzisz różnicę.

Użyłeś bardzo stary FRST, pozbawiony nowych skanów i poprawek (m.in. zero filtrowania natywnych wpisów Windows 10): Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x64) Wersja:18-10-2015 Najnowsza wersja jest z wczoraj. Pobierz z przyklejonego i zrób nowe logi: KLIK. Temat przenoszę do Windows, to nie wygląda na problem infekcji. O ile dobrze rozumiem, przestój jest na fazie przed logowaniem, co by wskazywało na urządzenia i/lub sterowniki. W Dzienniku zdarzeń widzę za to błąd pasujący do późniejszej fazy logowania, tzn. zawias usługi systemowej Menedżer sesji lokalnej: Dziennik System: ============= Error: (09/21/2016 11:27:57 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa LSM zawiesiła się podczas uruchamiania.

Temat przenoszę do działu Windows. Brak oznak infekcji. To co się rzuca w oczy, to naruszenie systemowej usługi Podstawowy aparat filtrowania (BFE): ==================== Inne obszary ============================ MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona. bfe => Usługa "Zapora systemu Windows" nie jest uruchomiona. Dziennik System: ============= Error: (09/20/2016 06:00:56 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Moduły obsługi kluczy IPsec IKE i AuthIP zależy od usługi Podstawowy aparat filtrowania, której nie można uruchomić z powodu następującego błędu: Odmowa dostępu. Error: (09/20/2016 06:00:53 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Zapora systemu Windows zależy od usługi Podstawowy aparat filtrowania, której nie można uruchomić z powodu następującego błędu: Odmowa dostępu. Rozpocznij od przywrócenia uprawnień dla BFE na podstawie tych instrukcji: KLIK.

Zapakuj cały folder Backups do ZIP, shostuj gdzieś i wyślij mi na PW. To mi się przyda do sprecyzowania co konkretnie mogło doprowadzić do błędów, na wypadek gdyby ktoś nagrabił sobie to samo i nie miał kopii zapasowej. Na wszelki wypadek możesz też zrobić nowe logi z FRST (FRST.txt + Addition.txt).

Czy to ten RegCleaner? To gruchot sprzed 13 lat. Używanie czegoś takiego jest niewiarygodne i niebezpieczne. Ponadto, posiadasz system 64-bit, a to ewidentnie program 32-bit i nie widzi 64-bitowej części systemu (czyli połowy rejestru), więc ogólnie nie nadaje się dla Twojej platformy. Uruchom wszystkie pliki z zieloną ikonką, poprzez prawoklik na plik > Scal > potwierdź import do rejestru. To pliki *.reg, tylko nie widzisz rozszerzenia, bo masz w Opcjach folderów zaznaczoną opcję "Ukrywaj rozszerzenia dla znanych typów plików". Wszystkie, nie tylko z dnia 18, bo zero zaufania do tego co robił program. Po imporcie plików zresetuj system i podaj czy są zmiany.

Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Pytałam o czyszczenie rejestru, bo te błędy w Dzienniku zdarzeń pachną właśnie zbyt przedsiębiorczym czyszczeniem rejestru... Czy posiadasz kopię rejestru zrobioną przez RegCleaner przed usuwaniem? Niestety to jedyna możliwość naprawy, którą widzę. Wszystkie inne kopie rejestru produkowane automatycznie przez Windows, czyli RegBack oraz rejestr w punktach Przyracania systemu, są zbyt nowe (problem zanotowałeś w niedzielę 18 września): LastRegBack: 2016-09-19 20:25 ==================== Restore Points ========================= 20-09-2016 15:55:23 Windows Update A co namieszał RegCleaner jest nie do odgadnięcia bez podania raportu który utworzył podczas czyszczenia.

Temat założony w odpowiednim dziale, ale bez odpowiednich danych. Zasady działu, są wymagane raporty z FRST + GMER: KLIK.

W przypadku tu omawianym (ręczne uruchomienie pliku "ze sponsorami") przydatna byłaby np. komercyjna wersja MBAM/Emsisoft/Zemana z rezydentem (wstrzymanie instalacji), ewentualnie darmowy Unchecky do "odznaczania" pól sponsorów. Obszerniejsza lista podzielona wg zadań tu: KLIK. Miło mi. Wielkie dzięki.

W Firefox jest zamontowany szkodliwy dodatek jakoby "aktualizujący Flash". Takie rozszerzenie nie występuje w Mozilla Add-ons. FF Extension: (Aktualizacja dodatku Flash) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\d2sjtju3.default\Extensions\dodatek@firefox.pl.xpi [2016-09-02] Masz też włączone przywracanie poprzedniej sesji, które będę wyłączać. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Zip: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\d2sjtju3.default\Extensions\dodatek@firefox.pl.xpi FF Extension: (Aktualizacja dodatku Flash) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\d2sjtju3.default\Extensions\dodatek@firefox.pl.xpi [2016-09-02] FF Session Restore: -> [funkcja włączona] FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\ProgramData\o C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Divinity Original Sin.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarCraft II.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD Gaming Evolved C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\User.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zweryfikuj ponownie konto Facebook czy nie zdążyło się dodać coś niepożądanego w Aplikacjach. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz plik fixlog.txt. Na Pulpicie powstanie też plik Upload.zip - shostuj gdzieś i na PW wyślij mi link.

Wszystko wykonane. Teraz: 1. Uruchom DelFix w celu usunięcia FRST i AdwCleaner. 2. Przeprowadź pełne skanowanie w Malwarebytes Anti-Malware i dostarcz wynikowy raport, o ile coś zostanie znalezione.

Hitman wykrył tylko jeden drobny klucz adware i trochę ciastek, wszystko do usunięcia za pomocą programu. Hitman Pro możesz usunąć z dysku lub zostawić do skanów na żądanie w przyszłości (ale usuwanie wykrytych obiektów tylko przez 30 dni). I skasuj plik C:\delfix.txt z dysku. Klawisz z flagą Windows + R > certmgr.msc > rozwiń gałąź Zaufane główne urzędy certyfikacji > Certyfikaty > usuń delikwenta Y2Go. Pokazane ukryte obiekty są poprawnym natywnym składnikiem instalacji Windows: BOOTMGR (Menedżer rozruchu) + folder Boot = Pliki rozruchowe Windows. Usunięcie spowoduje niemożność uruchomienia Windows. BOOTNXT - Plik związany z funkcją Windows To Go: KLIK. hiberfil.sys (plik Hibernacji) + swapfile.sys (plik pamięci aplikacji Modern/Uniwersalnych) + pagefile.sys (standardowy plik pamięci wirtualnej) = Więcej na temat tych plików: KLIK. Ten pierwszy zniknie, jeżeli zostanie wyłączona Hibernacja. PerfLogs = Folder powiązany z systemowym monitorem wydajności. Recovery = Środowisko Odzyskiwania Systemu Windows (RE). System Volume Information = Folder gromadzący m.in. dane Przywracania systemu, tworzony na każdej partycji. Nieusuwalny i nie wolno go też opróżniać ręcznie. Czyszczenie Przywracania systemu w poprawny sposób już podałam powyżej. $Recycle.Bin - Rzeczywisty folder Kosza. To co jest na Pulpicie to tylko wirtualny skrót do tego miejsca. Folder można usunąć, ale odtworzy się. Folder jest tworzony na każdej partycji. Obiekty dodane wtórnie to foldery $WINDOWS.~BT (związany z aktualizacją / upgradem Windows) i Intel (pewnie tam są kopie zapasowe sterowników) oraz plik devicelist.txt (nie wiem co w nim jest, prawdopodobnie można go usunąć, ale korzyści żadne). Wystarczy przestawić opcję Ukryj chronione pliki systemu operacyjnego w Opcjach folderów.

Wczoraj wydano nowszego Firefoxa 49. Sprawdź czy ta nowa wersja zmienia coś.

Nie przedstawiłeś pliku Fixlog.txt z wynikami, ale jeśli wszystkie odczyty potwierdzały usunięcie, to już sobie to darujmy. Nowe raporty FRST i GMER nie są mi już potrzebne. Były tu też różne skany wykonywane, więc ich nie będziemy powtarzać. 1. Przez SHIFT+DEL (omija Kosz) skasuj ręcznie FRST/GMER i ich logi z "Nowego folderu" na Pulpicie. Uruchom DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. 2. Dla świętego spokoju możesz jeszcze uruchomić Hitman Pro. Jeśli wykryje coś innego niż kopie FRST64.exe w Temporary Internet Files (to fałszywy alarm, ale pliki i tak do skasowania), dostarcz raport.

Obecnie w GMER nie ma już tej detekcji, co nasuwa wątpliwości - to równie dobrze mogła być kolizja skanerów, tzn. losowy obiekt np. MBAM załadowany tymczasowo, tylko podejrzanym było oznaczenie usługi jako "ukrytej" (to nie powinno mieć miejsca). Pozostałe zadania w większości wykonane, ale do wdrożenia poprawki. Pobierałam w Fixlog dane o wykluczeniach Windows Defender i są obecne wpisy malware. 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\04613705.sys => ""="Driver" Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom Napraw (Fix) i przedstaw wynikowy fixlog.txt. 2. Niestety Google Chrome zrzuciło kolejny profil pod nienormalną nazwą ChromeDefaultData (Chrome powinno wygenerować profil pod nazwą "Default" lub "Profile Numer"). Przeinstaluj Chrome od zera. Przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. Po deinstalacji upłynnij cały folder C:\Users\Asus\AppData\Local\Google. I dopiero po tym zainstaluj przeglądarkę.

Skrypt pomyślnie wykonany. Zrób jeszcze skan przy udziale Hitman Pro. Jeśli wykryje coś innego niż FRST64.exe (to fałszywy alarm), dostarcz log.

System jest nadal poważnie zainfekowany. Wg GMER w systemie jest rootkit (sterownik nie jest widoczny w raportach FRST): Service System32\drivers\mseg.sys (*** hidden *** ) [bOOT] ygugi Natomiast Prucutstky jest aktywny, gdyż uruchamia się jako usługa. Obecne też różne odpadki innych niepożądanych elementów i aktywne proxy. Jest i problem z Google Chrome. Adware podstawiło fałszywy profil pod nazwą ChromeDefaultData (to Twój jedyny profil w Chrome) i będzie wymagane utworzenie nowego profilu od zera. Poza tym, należy usunąć wszystkie skróty Chrome, pomimo iż teoretycznie kierują na poprawny cel - to są falsyfikaty wprowadzone przez adware, a poznać można to po substytutach Unicode w nazwach. Operacje do wdrożenia: 1. Uruchom Kaspersky TDSSKiller. Jeśli wykryje obiekt ygugi, dobierz akcję Delete. Zresetuj system po ukończeniu operacji. W root dysku C powstanie log TDSSKiller. 2. Wyeksportuj z obecnego profilu Chrome zakładki do pliku HTML, o ile jest co eksportować... Cały profil Chrome będzie usuwany w poniższym skrypcie. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 CkasotyshanuchControls; C:\Program Files (x86)\Prucutstky\shhcch.dll [315392 2016-09-21] () [brak podpisu cyfrowego] Task: {44B62471-EA74-42AA-B4DB-4D1767F260A8} - System32\Tasks\Y2Go\Y2Go\Y2Go => C:\Program Files (x86)\Y2Go\bin\Y2Go.exe FirewallRules: [{35FDB888-7D14-4772-874A-504B367FDA1F}] => (Allow) C:\Program Files (x86)\Y2Go\bin\Y2Go.exe FirewallRules: [{DBFE35CF-417D-4EE8-A39D-DA37A1A42B8D}] => (Allow) C:\Program Files (x86)\Y2Go\bin\Y2Go.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Y2Go DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveProxy: Hosts: C:\Program Files (x86)\Prucutstky C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\Users\Asus\AppData\Local\Calerdompluwise C:\Users\Asus\AppData\Local\Google\Chrome\User Data\ChromeDefaultData C:\Users\Asus\AppData\Roaming\NotepadPlusPlusApp C:\Users\Asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\Asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk C:\Windows\System32\Tasks\Y2Go Folder: C:\Windows\system32\GroupPolicy Reg: reg query "HKLM\SOFTWARE\Microsoft\Microsoft Antimalware" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /s Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions" /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Odtwórz ręcznie skróty Chrome w wybranych miejscach. Następnie uruchom Google Chrome. Ze względu na usunięcie profilu w poprzednim punkcie Chrome powinno zrzucić nowy fabryczny profil na dysk. 5. Zrób nowe logi: FRST z opcji Skanuj (Scan), z zaznaczonym Addition ale już bez Shortcut, oraz GMER. Dołącz też logi TDSSKiller i fixlog.txt.

FRST potwierdza, że Firefox jest teraz domyślną przeglądarką. Ten problem z wyborem Google Chrome musi pochodzić z faktu, że Redjane używa identycznej klasy ChromeHTML ustawionej po stronie użytkownika - klasa ta przebija poprawną klasę ChromeHTML prawdziwego Chrome, ale zlokalizowaną po stronie globalnej. Przechodzimy do czyszczenia rejestru z Redjane: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\WOW6432Node\Redjane DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Redjane DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\.htm DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\.html DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\.shtml DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\.webp DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\.xht DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\.xhtml DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\ChromeHTML DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\ftp DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\http DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\https DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\irc DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\mailto DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\mms DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\news DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\nntp DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\RedjaneHTM DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\sms DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\smsto DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\tel DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\urn DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\webcal DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Clients\StartMenuInternet\ChromeHTML DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\ec640099_0 DeleteKey: HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\chrome.exe Reg: reg delete "HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Redjane\Application\chrome.exe.FriendlyAppName" /f Reg: reg delete "HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Redjane\Application\chrome.exe.ApplicationCompany" /f Reg: reg delete "HKU\S-1-5-21-978019282-1476024836-731519584-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Redjane\Application\chrome.exe" /f Folder: C:\Users\Public\Documents\chrome DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Zresetuj ręcznie system i sprawdź czy w wyborze domyślnej przeglądarki pokazuje się poprawne Google Chrome identyfikowane ikonką.

Jak mówię, nie mam pojęcia co tu się stało. Natomiast jeśli chodzi o błąd "Nie znaleziono punktu wejścia procedury InitializeCriticalSectionEx w bibliotece KERNEL32.dll", to on wskazuje że instalator był nowszy niż może obsłużyć go XP (albo brak jakiś łat w XP, albo nieoficjalny brak kompatybilności z XP). Fix wykonany. Z obu kont ręcznie pousuwaj FRST i jego logi, następnie na dowolnym końcie zapuść DelFix i wyczyść foldery Przywracania systemu. Do wglądu lista programów zabezpieczających, ale nanieś poprawkę na aplikacje które już nie obsługują XP: KLIK.

FRST w ogóle nawet nie umie załadować rejestru, co wskazuje na naruszenie tego obszaru: UWAGA: Nie można załadować gałęzi System. Jedyne co mi przychodzi na teraz do głowy, to cofnięcie całego rejestru strony globalnej (pliki w C:\Windows\system32\config) przy udziale kopii rejestru RegBack, która jest datowana na 15 wrzesień: LastRegBack: 2016-09-15 14:53 1. W Notatniku przygotuj plik o treści: LastRegBack: 2016-09-15 14:53 Plik zapisz pod nazwą fixlist.txt na pendrive gdzie siedzi FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Sprawdź czy podmiana rejestru umożliwia start Windows.

1. Tymczasowo ustaw Firefox a nie Google Chrome, by przebite zostały klucze w rejestrze. Z Google Chrome tu na razie jest problem, gdyż Redjane to klon Chrome i wiele wpisów jest "podobnych" (ten sam plik wykonywalny "chrome.exe"). Po to jest wyszukiwanie w rejestrze, by usunąć wtręty Redjane, ale to musi być zrobione już po przestawieniu domyślnej przeglądarki. 2. Przy okazji, nie odinstalowałeś Safari (stara i niebezpieczna przeglądarka). Przez nieuwagę ominęłam deinstalację Java 8 Update 31. Po deinstalacjach zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Nie wiem skąd to się wzięło. Nie były tu prowadzone żadne operacje związane z tymi aplikacjami, w Fix brak powiązanych wpisów. Zauważam też minimalną różnicę między poprzednimi i obecnymi logami - wpisy ShellIconOverlayIdentifiers od ASUS Data Security Manager są obecnie wybrakowane. Nie usuwałeś aby czegoś ręcznie? Błędy powodują poniższe wpisy Run, więc zacznij od reinstalacji powiązanych programów: ASUS Splendid Video Enhancement Technology (HKLM\...\{C0FC1C14-4824-4A73-87A6-9E888C9C3102}) (Version: 1.02.16 - ASUSTeK) Synaptics Pointing Device Driver (HKLM\...\SynTPDeinstKey) (Version: 9.0.2.0 - Synaptics) HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [815104 2006-10-15] (Synaptics, Inc.) HKLM\...\Run: [ACMON] => C:\Program Files\ASUS\Splendid\ACMON.exe [851968 2007-06-26] (ATK) A potem na koncie Czesiek byłby do wykonania drobny skrypt fixlist.txt o treści: ShellIconOverlayIdentifiers: [ADSMOverlayIcon] -> {A825576B-0042-4F0F-8FB0-93CE0F054E69} => Brak pliku ShellIconOverlayIdentifiers: [ADSMOverlayIcon1] -> {A8D448F4-0431-45AC-9F5E-E1B434AB2249} => Brak pliku Toolbar: HKU\S-1-5-21-966588509-143319652-2419219573-1007 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1007_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1007_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1007_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Documents and Settings\Czesiek\Ustawienia lokalne\Dane aplikacji\Install.exe