picasso

Czy na pewno został zrobiony ponowny reset wtyczek via chrome://plugins? Jest jeden wpis oznaczony jako "No File", który powinien zniknąć po wdrożeniu tego procesu. To już drobnostka. Wszystko ogólnie zrobione i możemy kończyć: 1. Porządki po używanych narzędziach. Start > w polu szukania wpisz regedit > wyszukaj poniższy klucz i go skasuj: HKEY_LOCAL_MACHINE\SOFTWARE\MATS Przez SHIFT+DEL (omija Kosz) skasuj FRST oraz te pliki i foldery: C:\AdwCleaner[X].txt C:\FRST C:\MATS C:\ProgramData\Malwarebytes C:\Users\basiak xd\AppData\Roaming\Malwarebytes W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Usuń stare wtyczki Adobe i Java na korzyść najnowszych oraz zaktualizuj IE: KLIK. Wersje widziane obecnie w systemie: Internet Explorer Version 10 ==================== Installed Programs ====================== Adobe Flash Player 11 Plugin (x32 Version: 11.6.602.168 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera Adobe Reader 9.1 MUI (x32 Version: 9.1.0 - Adobe Systems Incorporated) Java 7 Update 45 (x32 Version: 7.0.450 - Oracle) Ta wtyczka Adobe Flash Player w ogóle zbędna, to wersja dla innych przeglądarek. Google Chrome ma wbudowany własny wewnętrzny Adobe Flash. .

Nie zauważyłam edycji w poprzednim poście: Pokaż mi zrzuty ekranu z ustawień, które sprawdzasz. Jak mówię, nie wiem co jest powodem tutaj tych freezów, teoretyzuję. Prócz infekcji jest możliwy także Avast czy sprzęt. Na razie diagnozuję te dziwne zgłoszenia Avast. Reszta tonie w mrokach. Minimalne wymagania na pierwszy rzut oka spełnia: KLIK. Do sprawdzania dokładniej możesz się posłużyć narzędziem "Doradca uaktualnienia systemu Windows 7": KLIK. Jednakże między minimalnymi a praktyką jest ogromna różnica. Na podstawowe operacje może i starczy, ale komfortu brak, miejsca na dysku C: też raczej szybko zabraknie. A zbyt starego komputera nie opłaca się modernizować na zasadzie wymiany / dokładania części. To już lepiej uzbierać w spokoju i kupić nowy sprzęt. .

Na przyszłość: zasady działu mówią jakie logi są tu obowiązkowe, OTL to już podrzędny raport, dodaje się tu obowiązkowo FRST. Ale ogólnie rzecz biorąc daruj sobie wszystkie tego typu raporty, one mają inną specjalizację. Temat założony w dziale diagnostyki infekcji, a tu brak podstaw, by szukać infekcji, nawet opis problemu sugeruje całkiem co innego. Przenoszę temat do działu Hardware. Zasady tego działu: KLIK. Poza tym, czy nie możesz po prostu tej myszy sprawdzić na innym komputerze? .

Na zakończenie: 1. Wyczyść foldery Przywracania systemu: KLIK. 2. O ile nic się nie zmieniło od pierwszego posta, zaktualizuj poniżej zakreślone programy: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera Adobe Reader XI (11.0.05) - Polish (Version: 11.0.05 - Adobe Systems Incorporated) Java 7 Update 45 (Version: 7.0.450 - Oracle) Microsoft Silverlight (Version: 5.1.20513.0 - Microsoft Corporation) Temat rozwiązany. Zamykam. .

Ja nadal widzę wpis sweet-page jako strona domowa Google Chrome. - Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń sweet-page. - Powtórz reset wtyczek oraz czyszczenie historii. - Zrób nowy skan FRST (bez Addition). A te raporty AdwCleaner to sobie już darujmy. .

1. Co do problemu spowolnienia po skanie GMER, to czy sprawdziłeś transfer dysku? 2. Co do wyników Avast: w pierwszej kolejności uruchom TFC - Temp Cleaner, następnie zrób skan alternatywnym narzędziem antywirusowym Kaspersky Virus Removal Tool. Domyślnie Kaspersky robi skan ekspresowy, w konfiguracji zaznacz skan pełny dysku C:\. Pomijając aspekt piracki, nie jestem fanem takich przeróbek (to cudze a nie własne, brak kontroli nad przeprowadzonymi manipulacjami). Potem przy diagnostyce problemów są duże trudności, bo trzeba wymyślić co wycięto z tego Windows, co zmanipulowano i co jest inne w stosunku do standardu, a co może mieć znaczenie dla problemu. Wszystko wygląda dobrze tylko do pewnego momentu, gdy nie ma problemów. Np. tutaj wcale nie jestem pewna co jest przyczyną, że GMER zwraca ten błąd (i to na dodatek w Trybie awaryjnym) oraz co oznaczają te zamrożenia. To może być w ogóle nie powiązane z infekcją. Przy okazji, o ile to możliwe, czas powoli rozmyślać nad zmianą systemu połączoną ze zmianą sprzętu (tu widziane parametry są zbyt słabe, by uciągnąć nowszy system w sposób komfortowy). XP to bardzo archaiczny system, którego wsparcie wygaśnie już za trzy miesiące. Potem już jedna wielka niewiadoma co się stanie w świecie malware (ciągle duży procent XP w przyrodzie robi z niego łasy kąsek, opłaca się szukać luk i je wykorzystać). .

Ten fałszywy wpis Google Update został pomyślnie usunięty. Spokojnie, zaraz to usuniemy. Chodziło mi o ożywienie uprzednio uszkodzonych funkcji Google Chrome. Teraz wykonaj: 1. Resety przeglądarki Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Proces powinien zlikwidować przekierowania sweet-page. Zakładki i hasła nie zostaną naruszone, ale niedomyślne rozszerzenia Bookmark Manager i creative zostaną wyłączone i już ręcznie je przywrócisz w Ustawienia > karta Rozszerzenia Zresetuj cache wtyczek, co usunie martwe wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Ustawienia > karta Historia > wyczyść 2. Zrób nowy log FRST (bez Addition). Potwierdź czy Google Chrome poprawnie działa. Oczywiście, że wpisanie pogrubionej ścieżki nie zwróci wyników, bo wstawiłam X zamiast numerów poszczególnych logów, czyli rodzaj umowy obrazującej ogólnie gdzie leżą pliki i jaki mają schemat nazwy. Na dysku były następujące pliki widoczne (pliki w tym miejscu tworzą stare wersje AdwCleaner): C:\AdwCleaner[s2].txt C:\AdwCleaner[s3].txt .. oraz folder C:\AdwCleaner (tworzony przez najnowsze wersje) wg obrazka mający kolejne pliki z usuwania: C:\AdwCleaner\AdwCleaner[s0].txt C:\AdwCleaner\AdwCleaner[s1].txt C:\AdwCleaner\AdwCleaner[s2].txt Czyli w sumie widać tu aż 5 plików raportów z usuwania (możliwe, że na C:\ jest ich więcej utworzonych wcześniej i po prostu log nie objął tego czasowo), były dostarczone tylko 3 (te z literką "R" to duplikaty z funkcji Szukaj). Tak, nazwy plików się replikują, bo pliki utworzono w dwóch różnych ścieżkach. Dołączone wcześniej logi wyglądają jak te z folderu C:\AdwCleaner, czyli brakuje tych leżących wprost na dysku C:\. .

Nie ma tu żadnych śladów infekcji. Na razie temat przenoszę do Windows, ale nie wykluczam Hardware, mimo że tylko jeden system z kilku rezydujących wykazuje objawy. A z raportów nic nie wynika. Przy efekcie tylko z poziomu jednego systemu, jeśli już coś miałoby tu mieć wpływ, to któryś z zainstalowanych programów, a może filtry nałożone na dyski twarde przez którąś aplikację. Nie jestem w stanie nic wymyślić tu precyzyjnie. 1. Ogólne uwagi na temat zainstalowanych programów: - Zastanowił mnie ten Copy Handler, czy sprawdziłeś szybkość kopiowania przy udziale samego czystego kopiowania Windows bez pomocników? - Rzuca się w oczy starawy COMODO Internet Security. - Za dużo defragmentatorów, połowa w stanie czynnym (mogą kolidować): O&O Defrag Professional + PerfectDisk + PuranDefrag + Ultra Defragmenter. Ogranicz się tylko do jednego wybranego. - Cudaki Cacheman, RAM Kontroler. Takie programy do sztucznego odładowania zajętej pamięci mogą mieć skutki odwrotne do zamierzonych. 2. W Dzienniku zdarzeń są błędy tego rodzaju: Application errors: ================== Error: (01/17/2014 02:31:45 PM) (Source: VSS) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: Wykryto wewnętrzną niespójność podczas próby kontaktu z autorami usługi kopiowania w tle. Sprawdź, czy Usługa zdarzeń i Usługa kopiowania woluminów w tle działa poprawnie. Error: (01/17/2014 02:31:45 PM) (Source: VSS) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: autor kopii w tle ContentIndexingService wywołał procedurę RegOpenKeyExW (catalog list), która nie powiodła się, stan: 0x80070002 (przekonwertowany na 0x800423f4). System errors: ============= Error: (01/17/2014 04:37:54 PM) (Source: Service Control Manager) (User: ) Description: Usługa Menedżer połączeń usługi Dostęp zdalny zakończyła działanie; wystąpił następujący błąd: %%5 Error: (01/17/2014 04:37:54 PM) (Source: Rasman) (User: ) Description: Nie można uruchomić Menedżera połączeń usługi Dostęp zdalny, ponieważ nie można utworzyć buforów. Uruchom ponownie komputer. Odmowa dostępu. - Błąd VSS: popatrz tu: KLIK. - Błąd Rasman: był tu wcześniej SEP (wskazują na to odpadki omawiane poniżej), toteż aplikuje się ten opis i komentarz opisujący sprawę z SEP: KLIK 3. I usuń sobie drobne szczątki po odinstalowanych SEP i McAfee. Otwórz Notatnik i wklej w nim: AV: Symantec Endpoint Protection (Disabled - Up to date) {FB06448E-52B8-493A-90F3-E43226D3305C} FW: Symantec Endpoint Protection (Disabled) {BE898FE3-CD0B-4014-85A9-03DB9923DDB6} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SepMasterService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SmcService => ""="Service" S3 McComponentHostService; "D:\Program Files\McAfee Security Scan\3.8.130\McCHSvc.exe" [x] D:\Documents and Settings\All Users\Dane aplikacji\McAfee D:\Documents and Settings\LocalService\Dane aplikacji\McAfee Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Zasady działu, obowiązkowe są tu raporty z FRST i GMER. Temat założony w dziale diagnostyyki malware, na razie brak śladów takich działań i ogólnie powątpiewam w infekcję. Jednynie na dysku martwe odpadki adware Mobogenie i TornTV.com, ale to nie może mieć związku z problemami i na razie nie ma się tym co zajmować. Skoro nawet tak redukowany tryb nie wykazuje zmian, problemem może być sprzęt. Toteż przesuwam temat do Hardware. Wdróż zasady działu: KLIK. .

Skrypt wykonany pomyślnie. Na zakończenie: 1. Przez SHIFT+DEL skasuj FRST i folder C:\FRST. W OTL uruchom Sprzątanie. 2. Uruchom TFC - Temp Cleaner. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj podane poniżej aplikacje: KLIK. Internet Explorer Version 8 ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Java 7 Update 45 (x32 Version: 7.0.450 - Oracle) Microsoft Office Standard 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) ----> instalacja SP2 .

Akcje wykonane, został ów Discount Dragon. Wg zadanego przeze mnie skanu FRST rzeczywiście polityk w rejestrze nie ma. Być może komunikat "To rozszerzenie jest zarządzane" pochodzi z faktu, że to w folderze C:\Program Files (x86)\Discount Dragon (właśnie usuniętym skryptem FRST) był odrębny deinstalator Google Chrome. Discount Dragon będzie usuwany na siłę. W pierwszej jednak kolejności: Odwróć całą operację dewastowania folderu konfiguracji Google Chrome. Wg spisu jest tu masa punktów Przywracania: ==================== Restore Points ========================= 13-01-2014 22:51:55 Windows Update 15-01-2014 00:33:06 Windows Update 16-01-2014 02:00:34 Windows Update 17-01-2014 00:16:27 Windows Update 17-01-2014 01:09:11 Windows Update 17-01-2014 11:58:39 SPTD setup V1.84 17-01-2014 12:56:23 Installed SpyHunter 17-01-2014 13:22:02 RegClean Pro Pt, sty 17, 14 14:21 17-01-2014 13:28:56 Instalacja pakietu sterownika urządzenia: DT Soft Ltd Urządzenia systemowe 17-01-2014 16:01:48 Removed SpyHunter 17-01-2014 16:03:17 Removed SpyHunter Nie będziemy jednak używać Przywracania systemu tylko jego część o nazwie Poprzednie wersje. Akcja (przy zamkniętym Google Chrome): 1. Otwórz eksplorator Windows, w pasku adresów wklej poniższą ścieżkę i ENTER: C:\Users\basiak xd\AppData\Local\Google Prawoklik na tło folderu > Właściwości > Poprzednie wersje. Pokaże się spis poprzednich postaci katalogu Google. Podświetl ten datowany sprzed Twoich operacji grzebania w folderze Google i klik w Otwórz. Pojawi się poprzednia postać folderu. Tam będzie folder o nazwie Chrome. Skopiuj go na Pulpit. 2. W folderze: C:\Users\basiak xd\AppData\Local\Google Przez SHIFT+DEL skasuj cały obecny folder Chrome i wstaw na jego miejsce ten skopiowany na Pulpit. 3. Zrób nowy skan FRST (zaznacz też pole Addition, by powstały ponownie dwa logi *), który pokaże jak wyglądało Chrome wcześniej. To możliwe, że Firefox nigdy nie był zainstalowany. Wtyczki oraz adware tworzą obiekty Firefox, nawet jeśli nie jest on w ogóle zainstalowany. To wszystko już usunęłam skryptem FRST. Na obrazku widać przecież raporty, w katalogu C:\AdwCleaner jest aż 6 plików logów. Chodzi mi o te z usuwania, czyli C:\AdwCleaner\AdwCleaner[sx].txt Jak sądzę, to był komunikat, że programu nie da się odinstalować w normalny sposób, a zielony sygnał był z kolei skorelowany z potwierdzeniem pomyślności alternatywnej procedury brutalnego usuwania kluczy rejestru. * Na wszelki wypadek sprawdzam jednak plik Addition, czy to wejście jest już usunięte. Jaki konkretnie jest problem z cytowaniem? W edytorze przyciskiem służącym cytowaniu jest . Poprawiłam cytaty. .

Skrypt FRST przetworzony, a podany log z FRST pokazuje to samo co poprzednio. Zrób nowy log FRST z chwili obecnej. Podany OTL nie jest kompletny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została zaznaczona). Nie objaśniłeś mi też tego: Opisz dokładnie co robiłeś, co pokazywały skanery. Poza tym, dołączyłeś tu jakiś dziwny skrypt przetwarzany w OTL, kto podawał ten skrypt i gdzie? Owszem, wcześniej przez 7 lat działałam na innym forum. Opuściłam je i założyłam swoje własne forum fixitpc.pl. .

Myszor, jeśli chcesz uzupełnić post o nowe dane, a nikt jeszcze nie odpisał, stosuj opcję Edytuj zamiast post pod postem. Wszystko skleiłam. Na razie Firefox zostawiam, będę go radykalnie ożywiać (czysta instalacja) w dalszej fazie. Skupmy się na nieustających komunikatach Avast. Czy próba skanu w Trybie awaryjnym zwraca ten sam błąd? I skoro nie jest możliwe uruchomienie GMER, to sprawdź co powie Kaspersky TDSSKiller. Jeśli cokolwiek wykryje, ustaw Skip i dostarcz wynikowy log utworzony na dysku C. Jeśli nic nie wykryje, log zbędny. Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Usługa BITS oraz Windows Update są wyłączone. Log wskazuje też na brak jednego z podkluczy Zapory Windows oraz całkowity brak usługi Centrum zabezpieczeń, ale w tym przypadku podejrzewam, że to fabryczna wada Twojego Windows, gdyż widać w raportach liczne ślady w postaci specyficznych polityk, które sugerują, że to jakiś tweakowany na poziomie źródła instalacyjnego niedomyślny XP. .

Nie podane żadne detale charakterystyczne, czyli w czym (jaka ścieżka dostępu) zostało wykryte zagrożenie. A sama nazwa o niczym jeszcze nie świadczy i nie identyfikuje zagrożenia jednoznacznie. tamir, i proszę dostosuj się do zasad działu, które już od dawna są inne. Aktualnie w skład wymaganych raportów obowiązkowych wchodzi FRST. Podany log OTL i tak niepełny, brak pliku Extras (opcja "Rejestr - skan dodatkowy" nie zaznaczona), brak też GMER. Za to podany raport DDS, który nie ma być dostarczany, o ile nie padnie taka prośba. .

zdzicha, proszę nie twórz multi tematów. Zostały założone trzy w dziale diagnostyki infekcji, niepotrzebnie. To mnie tylko wprowadza w błąd, przetwarzam tematy jako osobne. Połączyłam je wszystkie. Nic nie wskazuje na to, że jest to problem infekcji (w systemie są jedynie bardzo archaiczne odpadki CID Help). Temat przenoszę do działu Hardware: Tu problem sprzętowy się rysuje, Dziennik zdarzeń zwraca błędy złych bloków dysku: [ System Events ] Error - 2014-01-16 08:04:19 | Computer Name = JO | Source = Disk | ID = 262151 Description = W urządzeniu \Device\Harddisk0\D wystąpił zły blok. Jest tu tylko jeden dysk fizyczny podzielony na dwie partycje: ==================== Drives ================================ Drive c: () (Fixed) (Total:48.83 GB) (Free:28.41 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive d: (Duzy) (Fixed) (Total:137.47 GB) (Free:46.15 GB) NTFS ==================== MBR & Partition Table ================== Disk: 0 (Size: 186 GB) (Disk ID: 4D906CAA) Partition 1: (Active) - (Size=49 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=137 GB) - (Type=OF Extended) Dostarcz dane wymagane działem Hardware: KLIK. Z instrukcji opuść obrazek z diskmgmt.msc, gdyż te dane cytuję już powyżej (pobrane przez FRST). Spowolnienie może być wynikiem złych bloków. Ale są tu też inne rzeczy wspomagające "zamulanie", czyli nadmiar skanerów oraz potężna modyfikacja pliku HOSTS, który przetwarza ponad 15 tysięcy wpisów. Sprawa złych bloków dysku ma jednak priorytet, bo nie wiadomo co tu Cię czeka, co z dyskiem i czy nie ma na widoku jakiś radykalnych działań typu wymiana dysku i reinstalacja Windows, które zupełnie anulują wszystkie inne działania naprawcze. Wszystkie inne podane poniżej działania na razie wstrzymaj. Dopiero gdy dowiesz się co z dyskiem, możesz przejść do wykonania tych akcji: 1. Usunięcie uszkodzenia WMI, nadmiaru polityk wprowadzonych przez Webroot i wpisów pustych. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}] @="Microsoft WBEM _WbemFetchRefresherMgr Proxy Helper" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32] @="C:\\WINDOWS\\system32\\wbem\\fastprox.dll" "ThreadingModel"="Free" [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Classes\exefile] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies] [-HKEY_USERS\S-1-5-18\Software\Classes\exefile] [-HKEY_USERS\S-1-5-19\Software\Classes\exefile] [-HKEY_USERS\S-1-5-20\Software\Classes\exefile] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Plik umieść wprost na C:\. Ponownie otwórz Notatnik i wklej w nim: Reg: reg import C:\fix.reg FF Plugin: @videolan.org/vlc,version=2.0.5 - C:\Program Files\VideoLAN\VLC\npvlc.dll No File FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\testlog.txt FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\yahootc.xml DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} http://netiasecure.pl.pl/skaner/fscax.cab S3 ATE_PROCMON; \??\C:\Program Files\Anti Trojan Elite\ATEPMon.sys [x] S4 InCDFs; system32\drivers\InCDFs.sys [x] S1 InCDPass; system32\drivers\InCDPass.sys [x] S1 InCDRm; system32\drivers\InCDRm.sys [x] S3 ntportio; \??\C:\Documents and Settings\Joanna\Pulpit\Nowy folder (2)\ntportio.sys [x] S2 ZuneBusEnum; "C:\Program Files\Zune\ZuneBusEnum.exe" [x] C:\WINDOWS\system32\Drivers\etc\hosts.*.backup C:\Documents and Settings\Administrator\Dane aplikacji\WinPatrol C:\Documents and Settings\All Users\Dane aplikacji\Copyinsideteamslow C:\Documents and Settings\All Users\Dane aplikacji\fssg C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\Joanna\Dane aplikacji\Spyware Terminator C:\Documents and Settings\Joanna\Dane aplikacji\WinPatrol Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. 2. Deinstalacja śmiecia CiD Help oraz reset pliku HOSTS do postaciu domyślnej narzędziem Fix-it: KB972034. 3. Deinstalacja nadmiaru skanerów. Obecnie: Avast, Webroot i Spybot (przestarzały). 4. Naprawa oprogramowania ATI: Na liście zainstalowanych są trzy pozycje ATI: ==================== Installed Programs ====================== ATI - Software Uninstall Utility (Version: 6.14.10.1014 - ) ATI Catalyst Control Center (Version: 1.2.2314.20337 - ) ATI Display Driver (Version: 8.252-060503a-038185C-ATI - ) Błąd "System Windows konfiguruje ATI" sugeruje uszkodzone dane instalacyjne programu ATI. Dodatkowo, w Dzienniku zdarzeń jest błąd: Error: (01/16/2014 05:45:34 PM) (Source: MsiInstaller) (User: JO) Description: Produkt: ATI Catalyst Control Center -- Błąd 1719. Nie można uzyskać dostępu do usługi Instalatora Windows. Może się to zdarzyć, jeśli system Windows działa w trybie awaryjnym lub jeśli Instalator Windows nie jest poprawnie zainstalowany. Skontaktuj się z personelem pomocy technicznej. Czyli nasuwa się reinstalacja oprogramowania ATI Catalyst Control Center. W pierwszej kolejności powinna być podjęta normalna próba przez Dodaj/Usuń programy. Gdy programu nie da się w normalny sposób odinstalować, używa się do rozwiązywania takich błędów tego narzędzia Microsoftu: KLIK. Tym narzędziem możesz także usunąć te wszystkie ukryte pozycje Zune pozostałe po deinstalacji: ==================== Installed Programs ====================== Zune (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (CHS) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (CHT) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (CSY) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (DAN) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (DEU) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (ELL) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (ESP) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (FIN) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (FRA) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (HUN) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (IND) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (ITA) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (JPN) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (KOR) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (MSL) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (NLD) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (NOR) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (PLK) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (PTB) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (PTG) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (RUS) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden Zune Language Pack (SVE) (Version: 04.08.2345.00 - Microsoft Corporation) Hidden To jest fałszywy alarm. A Hosts_Anti_Adwares_PUPs to dodatkowy opcjonalny program, który jest sugerowany na ekranie AdwCleaner, jego celem jest modyfikacja pliku HOSTS, by zablokować domeny adware. Jednakże programu nie polecam. Potężny plik HOSTS może prowadzić do zawieszeń systemu i sieci. Przykład z forum: KLIK. .

Tak, jest tu infekcja, która symuluje "Adobe Flash". Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Users\Marek\AppData\Local\Temp\flashapp.exe StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://pl.v9.com/?utm_source=b&utm_medium=prs HKLM-x32\...\Run: [] - [x] HKCU\...\Run: [Adobe Flash Player v10] - C:\Users\Marek\AppData\Local\Temp\flashapp.exe [317440 2014-01-13] () C:\Users\Marek\AppData\Local\Temp\*.exe C:\Program Files (x86)\v9Soft Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom Skype. Narzędzia > Opcje > Zaawansowane > Zarządzaj dostępem innych programów do Skype > sprawdź co widać na liście Kontroli dostępu API. Jeśli widnieje tu coś podejrzanego, usuń. 3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt oraz logi z folderu C:\AdwCleaner, by było wiadome co usuwałeś programem. .

Po pierwsze, na temat samego faktu uruchomienia tej aplikacji: KLIK. Po co chcesz uruchamiać taki inwazyjny program? To nie jest aplikacja do rozwiązywania wszystkich problemów jak leci. Objaśnij to oraz jaki problem zasadniczy jest w systemie, bo błąd uruchomienia ComboFix z pewnością nie jest zasadniczym, skoro ComboFix chcesz używać. Po drugie: niepełny zestaw obowiązkowych raportów. Zasady mówią, że w skład obowiązkowych wchodzi też FRST i GMER. Dostarcz. .

Spybot Search & Destroy polecony przez kolegę nie jest z kolei tu szczególnie polecany. To program jadący na opinii sprzed lat, gdy były inne typy zagrożeń, starej konstrukcji (to program 32-bit, czyli mniej potrafi na systemie 64-bit), słabo dziś adresujący nowoczesne zagrożenia. To co wykrył to tylko ciastka, nie powiązane z tematem. Nowoczesny program tu polecany to Malwarebytes Anti-Malware. Spybot Search & Destroy do deinstalacji. Następnie: widzę kolejne niepożądane zmiany (zaistniały zaraz po tym jak zapostowałeś świeże logi, które tego nie objęły), czyli instalację aplikacji Mobogenie, która ma bardzo złą opinię (instalowana metodami adware oraz wyświetla reklamy). AdwCleaner nie usuwa wszystkich składników tego dziadostwa. Czyli kolejne działania: 1. Otwórz Notatnik i wklej w nim: HKCU\...\Run: [NextLive] - C:\Users\Jarek\AppData\Roaming\newnext.me\nengine.dll [1283584 2013-11-14] (NewNextDotMe) FF Plugin HKCU: @Skype Limited.com/Facebook Video Calling Plugin - C:\Users\Jarek\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll No File C:\Program Files (x86)\Mobogenie C:\Users\Jarek\daemonprocess.txt C:\Users\Jarek\AppData\Local\cache C:\Users\Jarek\AppData\Local\genienext C:\Users\Jarek\AppData\Local\Mobogenie C:\Users\Jarek\AppData\Roaming\newnext.me C:\Users\Jarek\Documents\Mobogenie Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zrób nowy skan FRST, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz plik fixlog.txt. .

Ten program, by był w pełni skuteczny, zawsze pobiera się na nowo, gdyż jest zbyt często aktualizowany. Używanie przestarzałej wersji nie ma oczywiście takich samych skutków jak wersji najnowszej posiadającej szersze definicje. SpyHunter to skaner wątpliwej reputacji. Stosuje taktykę silnych zwodniczych reklam według zasady "pobierz i przeskanuj, ale zapłać". Jeśli rzecz o stronie hxxp://adwcleaner.pl/ to nie jest strona domowa programu i nie posiadam żadnej wiedzy, by ta strona była autoryzowana. Tam nawet jest wyszczególnione, że nie jest to oficjalna strona. Jedyne oficjalne autoryzowane linki (czyli francuska strona domowa + Bleeping) są podane w przyklejonym: KLIK. Wszystko inne jest nieoficjalne. Poza tym, użyty AdwCleaner i to wielokrotnie, a nie zostały podane żadne wyniki potwierdzające co było usuwane. Dostarcz wszystkie logi zlokalizowane wprost na dysku C C:\AdwCleaner[sx].txt oraz w katalogu C:\AdwCleaner. Ten Discount Dragon nie wygląda w ogóle na związany ze SpyHunter. Raczej Discount został załadowany razem z innymi adware, bo tu cała kolekcja była, a nie tylko tytułowy "sweet-page". Twoje logi wykazują, że już zeszłego roku dysku były instalacje adware. Niestety obawiam się, że uszkodziłaś Google Chrome. To co polecali wkleić to pewnie była ścieżka: C:\Users\basiak xd\AppData\Local\Google\Chrome\User Data\Default Folder trzyma całą konfigurację przeglądarki, świeże daty o niczym nie świadczą, gdyż niektóre poprawne elementy Google Chrome mogą się odświeżać. Discout Dragon owszem jest w tej ścieżce nieco głębiej i nie ma nazwy "Discount Dragon", gdyż rozszerzenia Google Chrome na dysku są montowane nie wg nazwy tylko wg unikalnego ID danego rozszerzenia. W tym przypadku jest to nikdaiaidiiiogaidkkekcmokcgcdeac: CHR Extension: (Discount Dragon) - C:\Users\basiak xd\AppData\Local\Google\Chrome\User Data\Default\Extensions\nikdaiaidiiiogaidkkekcmokcgcdeac [2014-01-17] Ale usuwanie tego folderu na chama nie jest poprawną metodą. Rozszerzenie zawsze należy deinstalować w pierwszej kolejności normalnymi drogami. Dochodzimy do tego: Ten błąd wskazuje na obecność polityk, tylko że FRST (który je ma wykrywać), w ogóle tego nie widzi. Dlatego też najpierw pobiorę informacje z rejestru, a samo rozszerzenie z Google Chrome będę usuwać potem. Usuwanie adware niekompletne, jest tu jeszcze czym się zajmować. Ponadto będę usuwać inne puste wpisy, szczątki Firefox na dysku oraz wadliwą edycję w pliku HOSTS. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: Ask Toolbar, Codec Pack Packages. Prawdopodobnie te wpisy są uszkodzone użyciem AdwCleaner (zawsze zaczyna się od deinstalacji a nie AdwCleaner), ale Windows powinien zadać pytanie czy usuwać te puste wpisy. 2. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware DealPly) > Dalej. 3. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Discount Dragon C:\Program Files (x86)\predm C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\SquirrelWeb C:\ProgramData\AskPartnerNetwork C:\Users\basiak xd\.android C:\Users\basiak xd\daemonprocess.txt C:\Users\basiak xd\AppData\Local\qs.dll C:\Users\basiak xd\AppData\Local\qs64.dll C:\Users\basiak xd\AppData\Local\avgchrome C:\Users\basiak xd\AppData\Local\BenchUpdater C:\Users\basiak xd\AppData\Local\cache C:\Users\basiak xd\AppData\Local\Discount Dragon C:\Users\basiak xd\AppData\Roaming\Codec Pack Packages C:\Users\basiak xd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop C:\Users\basiak xd\AppData\Roaming\Mozilla C:\Users\basiak xd\AppData\Roaming\QuickScan C:\Users\basiak xd\AppData\Roaming\Video Converter Packages C:\Windows\72AAF4551E54475BB0AB5413C78D0E63.TMP C:\Windows\system32\ServiceFilter.ini C:\Windows\system32\AutoRunFilter.ini Task: {131AC02C-4897-4210-A6FB-DE93E7B635C2} - \DSite No Task File Task: {453C2BF7-4AFD-41FC-9D38-5FEDBCF399C0} - \RegClean Pro No Task File Task: {487685E2-9FA4-4111-8509-BD634462E868} - System32\Tasks\{C87AC5D7-256A-4017-8174-878C0E8C9F19} => C:\Program Files (x86)\iPlus\iPlusManager.exe Task: {7CA1204F-04E2-4BE4-A17D-C1D18FB0C65E} - \PC Performer_DEFAULT No Task File Task: {89D71D51-B278-4405-AF07-26B878E4F7ED} - \bench-sys No Task File Task: {8CD4B2F4-13FD-4077-9C9E-D2023DFEF7BA} - \CPU Grid Computing No Task File Task: {A3417DC1-5672-4123-9367-4BF1C43D809C} - \RegClean Pro_UPDATES No Task File Task: {ADD817C1-357A-4EC8-A7F3-B220EA4AF58B} - \bench-S-1-5-21-4256236455-1972928378-2548626097-1000 No Task File Task: {C7D52E4B-BB75-4E44-85A6-F880A104FA77} - \AdobeFlashPlayerUpdate No Task File Task: {CC2C02FC-4342-4639-AAE4-F2EBAB4258E0} - \Funmoods No Task File Task: {D45CE85C-AB79-42C1-A434-7AE2DF9B0E2F} - \RegClean Pro_DEFAULT No Task File Task: {F101388D-2FF6-4ABD-856B-28BA2619E928} - \Dealply No Task File Task: {F36EB091-F44A-4D9C-9695-DDB2DABC77B1} - \PC Performer_UPDATES No Task File Task: {F803049B-0DC4-437F-8A5E-04E08FD6203B} - \AdobeFlashPlayerUpdate 2 No Task File HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - DefaultScope value is missing. Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File CHR HKLM-x32\...\Chrome\Extension: [pljcgbedjplidkdjahbaalanadmjfgop] - C:\ProgramData\AskPartnerNetwork\Toolbar\ORJ-V7C\CRX\ToolbarCR.crx [2014-01-17] HKCU\...\Run: [EA Core] - "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent HKCU\...\Run: [ALLUpdate] - "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKCU\...\Run: [Google+ Auto Backup] - "C:\Users\basiak xd\AppData\Local\Programs\Google\Google+ Auto Backup\Google+ Auto Backup.exe" /autostart S3 ADSMService; C:\Program Files (x86)\ASUS\ASUS Data Security Manager\ADSMSrv.exe [x] S3 AmUStor; system32\drivers\AmUStor.SYS [x] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [x] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [x] S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [x] S3 ipswuio; System32\DRIVERS\ipswuio.sys [x] S3 massfilter; system32\drivers\massfilter.sys [x] U3 tmlwf; U3 tmwfp; S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [x] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [x] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [x] Reg: reg query HKCU\Software\Policies\Google /s Reg: reg query HKLM\SOFTWARE\Policies\Google /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Policies\Google /s Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 4. Uruchom TFC - Temp Cleaner. 5. Zresetuj plik HOSTS do postaci domyślnej za pomocą narzędzia Fix-it: KB972034. 6. Zrób nowe skany: FRST (bez Addition) + OTL (ma powstać zaległy plik Extras, opcja "Rejestr - skan dodatkowy" ma być zaznaczona). Dołącz plik fixlog.txt i wszystkie zaległy raporty AdwCleaner, o które prosiłam. .

Obowiązkowe są tu także raporty z FRST. Proszę dodaj je. Dodatkowo, zrób log USBFix z opcji Listing. Ile razy skan był robiony? Czy tylko raz? Czy ponowne uruchomienie skanera nadal zwraca jakieś wyniki? Wg raportu OTL nadal jest widzialny sterownik Sality amsint32 (on powinien zniknąć, jeśli wirus nie jest czynny), a na wszystkich dyskach leżą ukryte pliki autorun.inf utworzone przez infekcję, dlatego jest problem z ich otwieraniem. Ponadto, zdaj sobie sprawę, że SalityKiller to wąskospecjalizowany skaner, samo pomyślne leczenie SalityKiller nie koniecznie oznacza pełne rozwiązanie. Po wirusie mogą zostać szkody typu trwale uszkodzone pliki, czego naprawa jest nieopłacalna. Zaleceniem przy takich infekcjach i tak jest finałowy kompleksowy format. Dodatkowy aspekt tutaj to ogromna ilość dysków, Sality atakuje wszystkie dostępne: Drive C: | 15,02 Gb Total Space | 4,19 Gb Free Space | 27,88% Space Free | Partition Type: FAT32 Drive D: | 40,36 Gb Total Space | 40,26 Gb Free Space | 99,74% Space Free | Partition Type: NTFS Drive E: | 502,00 Mb Total Space | 401,07 Mb Free Space | 79,89% Space Free | Partition Type: NTFS Drive F: | 17,57 Gb Total Space | 12,91 Gb Free Space | 73,47% Space Free | Partition Type: NTFS Drive G: | 14,90 Gb Total Space | 13,39 Gb Free Space | 89,90% Space Free | Partition Type: NTFS Drive H: | 11,72 Gb Total Space | 8,93 Gb Free Space | 76,16% Space Free | Partition Type: NTFS Drive I: | 11,72 Gb Total Space | 10,74 Gb Free Space | 91,63% Space Free | Partition Type: NTFS .

elizamoscow, zaznaczyłam w poprzednim poście, że nie wiem jak to rozwiązać, a skoro nie wiem, to nie podaję żadnych instrukcji. Rozumiem, że tu brak wyników (?): .

Obawiam się, że rzeczywiście na partycji D może być wirus w wykonywalnych. Ten plik autorun.inf wygląda na plik Sality, podobnie jak wykryty przez AVG D:\bvux.exe. Czy to był pełny skan AVG? Uruchom SalityKiller i podaj co widzi program, jakie statystyki / czy coś w ogóle zostanie wykryte. .

muzyk75 To log z Trybu awaryjnego. W tym trybie "Security Processor Loader Driver" występuje w takim stanie. Nie należy podejmować działań na tym urządzeniu. ttomekb Jako pierwszy punkt deinstalacja do przeprowadzenia jak podane powyżej. Załącz jeszcze Pasek narzędzi AOL 5.0, a także jeden z antywirusów (aktualnie są dwa: AVG 2013 i Microsoft Security Essentials), bo jest ich za dużo. Następnie dodatkowe czynności w spoilerze: I dodatkowa uwaga, źródłem adware były m.in. te pliki: C:\Users\Agnieszka\Downloads\Audacity(11826).exe C:\Users\Agnieszka\Downloads\LAME-MP3-encoder(12377).exe C:\Users\Agnieszka\Downloads\LAME-MP3-encoder(12377)(1).exe To nie są poprawne instalatory tylko śmieci "Asystenci pobierania" (zapewne dobrychprogramów.pl) planujący niepożądane instalacje. Do czytania: KLIK. Dodatkowo, używałeś ComboFix, więc do czytania także i to: KLIK. .

absolwent8814, przecież ten artykuł ma tam dostępne polskie tłumaczenie... Tylko te polskie tłumaczenia artykułów KB czasem są źle zrobione (lub nieaktualne), dlatego zawsze ustawiam oryginalną angielską wersję artykułu. .

Całą komendę wklepujesz, czyli: MsiExec.exe /I{C2FC2F438B6-7010-453B-93EC-B2FC053AA97B} I tam jest spacja między MsiExec.exe a /I. .