picasso

Skoro wejście zostało odkryte i pomyślnie usunięte, możemy kończyć: 1. Przez SHIFT+DEL skasuj FRST i foldery: C:\FRST C:\Users\Dominik\Desktop\Old Firefox Data W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj stary Adobe Shockwave Player 11.6. .

Narzędzie analizy gotowości aktualizacji systemu zawsze nadpisuje log w CBS, nawet jeśli nic nie wykryje. Raportu mogłoby nie być, gdyby narzędzie się w ogóle nie uruchomiło. Czy na pewno uruchomiłeś to narzędzie co należy? Przecież ten log w Temp to w ogóle od czego innego, czyli narzędzia Microsoft Fix it 50202 (prosty reset Windows Update) a nie Narzędzia analizy gotowości aktualizacji systemu (zupełnie inny skan w obszarze komponentów). Miałeś uruchomić CheckSur.

Pokaż o które adresy w netstat Ci chodzi. Do sprawdzania połączeń TCP, jaki proces tworzy połączenia, możesz wykorzystać darmowy program TcpLogView. W raportach nie ma żadnych oznak infekcji. Kosmetycznie usuń tylko wpisy odpadkowe. W spoilerze instrukcje: PS. C:\Users\mati\Downloads\OTL_[www.programosy.pl] (1).exe = dlaczego program został pobrany z portalu trzeciego a nie oficjalnego linka? Tu tylko z powodu zaprzestania rozwoju OTL (ostatnia dostępna wersja jest już dość stara) wersja na portalu zgadza się z wersją na serwerze oficjalnym. W przypadku wszystkich innych stale aktualizowanych programów specjalnych portale to ostatnie miejsce do pobierania, gdyż nie są w stanie nadążyć. .

Ad: "Pana/i" = Pani. Skrypt pomyślnie wykonany. Możesz usunąć już używane narzędzia: przez SHIFT+DEL skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie. Pytaniem jest więc: czy zanik autologowania nie zbiega się z czyszczeniem ciasteczek? .

Temat w przenoszę do działu Windows. Nie ma tu śladów infekcji. Miniaturowe usunięcie odpadków adware Open Candy i WebSite Recommendation (całkowity brak związku z wymienianymi problemami) w spoilerze: 1. Błąd sugeruje uszkodzone komponenty systemowe. W pierwszej kolejności uruchom "Narzędzie analizy gotowości aktualizacji systemu" (KLIK) i poczekaj aż ukończy. Następnie skopiuj na Pulpit cały folder C:\Windows\Logs\CBS, spakuj do ZIP, shostuj gdzieś i podaj link do paczki. 2. Dodatkowo: OTL zatrzymał się na wyliczaniu błędów na zeszłym roku, co jest podejrzane i może sugerować również defekt usługi Dziennik zdarzeń. Nawiasem mówiąc podałeś mi niepełny log FRST (brak pliku Addition). Uruchom ponownie FRST, dla sekcji Services odznacz pole Whitelist, zaznacz pole Addition i podaj wynikowe logi. Nie obiecuję szybkiej analizy. .

W kwestii owego "zatrutego" folderu: folder jest jedynie ukryty (widać go po odznaczeniu w Opcjach folderów opcji "Ukryj chronione pliki systemu operacyjnego"). Folder należy odkryć. Odrębna sprawa to sam system, w którym są szczątki adware (m.in. aartemis). 1. Otwórz Notatnik i wklej w nim: CMD: attrib -s -h F:\wszystko CMD: rd /s /q F:\RECYCLER C:\Users\Magda\AppData\Roaming\Babylon HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://aartemis.com/?type=hp&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://aartemis.com/?type=hp&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://aartemis.com/?type=hp&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://aartemis.com/?type=hp&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://aartemis.com/?type=sc&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {1B9F830A-21E7-4BDC-9D9F-2C706DFAA41D} URL = SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W&q={searchTerms} SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.youwillfind.info/?l=1&q={searchTerms}&pid=512&r=2013/04/24&hid=2032089653&lg=EN&cc=PL SearchScopes: HKCU - DefaultScope {6A1806CD-94D4-4689 URL = SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W&q={searchTerms} SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={BAE85896-BEC9-4799-AC7A-7860576FB0A3}&mid=4e45cac9aeb34fc39d46f8fcd981273d-c10b2142ba203899408fa1ba0056bb9de8e7a6d7&lang=pl&ds=xn011&pr=sa&d=2012-11-21 00:08:58&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.youwillfind.info/?l=1&q={searchTerms}&pid=512&r=2013/04/24&hid=2032089653&lg=EN&cc=PL CHR HKLM-x32\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\Magda\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx [2013-11-25] Task: {74FC160F-DC59-4543-B46D-5EE8073B5D19} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{7CD4AD87-B7A6-4883-9D51-54C167EE758D}.exe Task: {8294A0BE-6943-45F5-8F16-0982440CBC50} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{F600AFDD-DD13-4F4A-8E08-24FEE890E465}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{F600AFDD-DD13-4F4A-8E08-24FEE890E465}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{7CD4AD87-B7A6-4883-9D51-54C167EE758D}.exe HKLM-x32\...\Run: [vProt] - C:\Program Files (x86)\AVG Secure Search\vprot.exe [2486296 2014-01-09] () HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKCU\...\Run: [ALLUpdate] - "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [x] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [x] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [x] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [x] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Odinstaluj zbędny pasek AVG Security Toolbar. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowe logi: FRST (bez Addition) + USBFix z opcji Listing. Dołącz plik fixlog.txt i log z AdwCleaner. .

Nie widzę tu żadnych oznak czynnej infekcji. Tylko drobne działania: 1. Widać na dysku pełną konfigurację Firefox (w którym jest adware HDvid Codec 3), ale Firefox nie wygląda na zainstalowany. Toteż usunę komponenty Firefox. Otwórz Notatnik i wklej w nim: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\kamil\Dane aplikacji\Mozilla C:\Documents and Settings\All Users\Dane aplikacji\Logs Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt. 2. W Google Chrome są martwe wpisy wtyczek. Zresetuj ich cache. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. To wygląda na fałszywy alarm, skoro stało się to podczas pobierania z oficjalnej strony. W Opcje regionalne i językowe > Języki > Szczegóły: - Usuń z listy pozycję "Polski (214)". - Ustawienia klawiszy: zmodyfikuj sekwencję klawiszową "Przełącz między językami". Wyłącz wbudowane w przeglądarkę sprawdzanie pisowni. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > Języki > Ustawienia języka i wprowadzania > zaznacz wybrany język i odznacz funkcję "Włącz sprawdzanie pisowni". Co do automatycznego logowania: czy czyścisz regularnie cookies? .

Czy zresetowałeś ustawienie nowej karty jak mówiłam? Jeśli mowa o Dzienniku zdarzeń, to po prostu sprawdź czy możesz go otworzyć i są tam nagrania z dziś. To będzie oznaczać, że Dziennik działa. Co to ma mieć wspólnego ze sprawą i Twoim indywidualnym systemem? Jeśli już miałaby być jakaś ogólna awaria, to po stronie Twojego dostawcy internetowego. Nie wiem czy dobrze rozumiem: z jednej strony potwierdzasz ingerencję programu, a z drugiej "w nocy już zaczęło wszystko działać" (odczytuję to jako brak związku z NetWorx). Jeśli ten NetWorx nie był jednak związany z awarią, to go przywróć. .

muzyk75 Wprowadzone poprawki: skrypt poprawiony (i dodane wpisy Netsvcs pozostawione przez infekcję) + usunięty import WMI. Dwa razy naprawiasz WMI uszkodzone przez infekcję (skryptem FRST i importem REG). FRST nie usuwa usługi WMI, tylko ją resetuje. Nie ma też potrzeby załączać selektywnie plików z Temp w skrypcie, skoro zaraz potem i tak to wszystko czyścisz przez TFC. Chowam też to wszystko to spoilera. To jest podrzędna rzecz nie związana z jego problemami. kazinski Po wykonaniu poprawionych powyżej czynności, jeśli TFC nie wymusi restartu systemu, zrób to ręcznie i podaj nowy raport FRST dowodujący, że usługa Winmgmt zaczęła działać, a także i wynikowy plik fixlog.txt. Dopiero po tym można przejść do aktualizowania Windows. Szczerze wątpię, by globalne niewykrywanie urządzeń USB (mysz oraz przenośny pendrive) było związane z ingerencją infekcji na pendrive. Tu jest sterownik usblowerfilter filtrujący urządzenia USB i to wygląda na przyczynę problemu z USB. Konkretnie w jednym rzucie były instalowane dwa sterowniki, które wyglądają na składową paczki Parallel Port: R1 hwinterface; C:\Windows\System32\Drivers\hwinterface.sys [3026 2013-02-10] (Logix4u) R3 usblowerfilter; C:\Windows\System32\Drivers\usblowerfilter.sys [16000 2013-02-10] (Windows ® Win 7 DDK provider) 1. Start > Uruchom > regedit W kluczu sterownika: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usblowerfilter Dwuklik w wartość Start i zamień obecną liczbę 3 na 4. W kluczu klasy urządzeń USB: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{36FC9E60-C465-11CF-8056-444553540000} Skasuj z prawokliku wartość LowerFilters punktującą sterownik usblowerfilter.sys. 2. Zresetuj komputer. Podaj rezultaty. Jeśli nie pomoże, to poproszę o rozszerzony skan na klasy urządzeń. Dodatkowa uwaga: była tu proponowana reinstalacja myszy, ale jeśli miałoby już dojść do reinstalacji, to wariant rozszerzony na wszystkie urządzenia USB i usuwanie infcache: .

FRST i jego logi zlokalizowane na innym dysku skasuj, to już niepotrzebne. FRST i tak należy za każdym razem pobierać na nowo, gdyż program jest zbyt często aktulizowany. .

Czy folder C:\FRST jest nadal na dysku? Jeśli tak, pobierz ponownie FRST, otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. A po tym dokończ ręcznie folder C:\FRST. Tu nie został zdefiniowany trojan per se lecz instalacje adware / hijacker (owszem, mogą być pośrednim elementem nabycia jeszcze większej liczby innym niepożądanych rzeczy). Wg raportów (mają ograniczoną jednak widzialność) wszystkie "gratisy" zostały usunięte. Oczywiście możesz zrobić dodatkowe skany Avast, w tym pełny tradycyjny spod uruchomionego systemu. .

Gdy nikt jeszcze nie odpisał, do poprawiania / uzupełniania posta używaj opcję Edytuj, nie pisz posta pod postem. Wszystko sklejone. Akcje wykonane. Kończymy: 1. Przez SHIFT+DEL skasuj FRST i foldery: C:\FRST C:\Users\Klient\Desktop\Stare dane programu Firefox C:\Users\Klient\Downloads\FRST-OlderVersion W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. Użycie opcji Sprzątanie ponownie zrekonfiguruje opcje Widoku (patrz niżej). 2. Odinstaluj stary Adobe Flash Player 10 ActiveX (to wersja dla Internet Explorer). 3. Wyczyść foldery Przywracania systemu: KLIK. Ponowne pobranie TFC nie miało znaczenia, ten sam plik. A przeglądarki nie działałały, bo TFC zabija masowo procesy i część może już nie wstać po zabiciu drzewa, dlatego jest wymagany pełny reset komputera. Reset powinien wykonać automatycznie TFC, tu się to nie stało. One nie wyskoczyły, one tam były cały czas tylko ich nie widziałeś, a się pokazały bo TFC (podobnie jak i OTL) przestawia opcję ukrytych plików. Ukrytych obiektów (również innych niż wyliczasz) jest o wiele więcej w innych częściach Windows. Użytkownicy zapominają zwykle, że w systemie są aż dwie opcje sterujące ukrytymi: Pokaż ukryte pliki i foldery (przeważnie tą biorą i myślą, że wszystko widzą) + Ukryj chronione pliki systemu operacyjnego (ta opcja jest pomijana i potem zdziwienie, że "pliki zostały utworzone"). W kwestii samych plików: desktop.ini - Nie, nie możesz tych plików usunąć, są potrzebnymi plikami systemowymi. Pełnią specjalną funkcję, czyli nakładają ikonkę dla folderu Pulpit w eksploratorze (jest inna niż dla zwykłego folderu) oraz polonizują nazwę (dlatego widzisz "Pulpit" zamiast "Desktop"). Pliki są dwa, gdyż: pliki.jpg - nie wiem co je utworzyło, być może to kopia zapasowa zrobiona przerz jakiś konkretny edytor / przeglądarkę grafiki. Pobrań jest dużo i może być więcej, bo: - Osoba analizująca (w tym przypadku ja) w czasie trwania tematu otwiera je po kilka razy, weryfikując poprawność instrukcji / porównując stan przed czyszczeniem i po / wracając do listy zainstalowanych programów po kilka razy. Conamniej kilka pobrań możesz mi spokojnie przypisać. Ponadto, często linkuję określone logi developerom aplikacji skanujących punktując błędy wyświetlania czy brak skanu czegoś, co bije licznik pobrań jeszcze bardziej. - Inne osoby mogą pobierać pliki np. by sprawdzić o jaką infekcję chodzi, analizujący na różnych forach często porównują raporty z różnych komputerów. Oczywiście ktoś z ciekawości też mógł otworzyć, ale: Te logi nie przysłużą się do żadnych niepożądanych ingerencji, są tysiące podobnych raportów. Tam nic nie ma takiego, tych informacji nie da się wykorzystać, by "zdalnie" się włamać. Jest to niemożliwe. Wątek był omawiany na forum: KLIK. I nie usuwaj logów z tematu, by temat nie stracił sensu. .

Jak mówiłam: 1. Zrób kopie zapasowe Recovery: pełna za pomocą proponowanego Macrium Reflect + na wszelki wypadek ręcznie przekopiuj wszystkie obiekty Recovery na jakiś dysk przenośny, z pominięciem tego spornego folderu: F:\System Volume Information d--hs-- [10:26 14/04/2008] 2. Zainstaluj komponenty masterowania płyt Vista (WAIK i korespondującą łatę oraz sterownik WIM). Zgłoś się po wykonaniu wszystkich zadań i będziemy kombinować ze scalaniem do WIM. .

Można wygenerować listę via cmd. Ale jeszcze sprawdź czy się nie da zrobić dokładniejszego odczytu (ze spisem atrybutów) za pomocą SystemLook. Do okna wklej: :dir F:\ /s Klik w Look. Jeśli wynikowy log pokaże pełny spis Recovery, doczep go tu. Jeśli nie, podam komendę cmd do robienia rekursywnego spisu. .

Komunikat ESET zgłasza lewy plik setup(numer).exe, który ma prawdopodobnie adware planowane w instalacji. - Przy pierwszym zgłoszeniu (czyszczenie Temp): prawdopodobnie chodziło o plik C:\Documents and Settings\Wlasciciel\Ustawienia lokalne\temp\Setup1.exe (usuwany czyszczeniem TFC) - Ostatnie zgłoszenie punktuje inny plik setup(2).exe w ścieżce Moich dokumentów. Wyszukaj ten plik, nie widzę pełnej ścieżki na komunikacie (być może to jest w głębszy podfolderach dokumentów) i przez SHIFT+DEL skasuj. Na obrazku widać także pliki Opera(numery).exe z ikonką dobrychprogramów. To są tzw. "Asystenci pobierania" (czyli porty do instalacji adware) a nie prawdziwe instalatory Opera. Więcej informacji: KLIK. Wyrzucić te bezużyteczne pliki z dysku. Tak, załatwmy to już wspólnie w jednym temacie. .

Ja tylko uściślę co miałam na myśli mówiąc "tylko ewentualnie dysk instalacyjny nowego systemu, który posłuży także do późniejszych instalacji" (w domyśle: na innym sprzęcie). Ten fragment: ... nie jest już aktualny dla najnowszej generacji. Licencja OEM (Windows 8 / 8.1) została zmieniona, nowa "Licencja na użytek osobisty" dopuszcza instalację na dowolnym komputerze użytku osobistego (w tym na wirtualnej maszynie) i przenoszenie na inny sprzęt: KLIK / KLIK / KLIK. Nośnik można więc kupić raz, a sprzęt sobie w przyszłości wymieniać. Stare zasady licencjonowania dotyczą ciągle Windows 7. .

Chodzi o ten wątek: KLIK. Sądziłam, że to czytałeś. Oczywiście jeszcze trochę czasu jest i sprawdzenie innych systemów u znajomych to dobry test, ale konkretne decyzje należy podjąć przed 8 kwietnia. .

W kwestii czyszczenia z adware już kończymy: 1. Reset cache wtyczek Google Chrome nie wygląda na wykonany. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Przez SHIFT+DEL skasuj FRST i folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj wszystkie wyliczone poniżej stare wtyczki Adobe i Java, zaktualizuj też Google Chrome: KLIK. Wersje widziane jako zainstalowane: ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (x32 Version: 10.1.52.14 - Adobe Systems, Inc.) ----> wtyczka dla IE Adobe Flash Player 11 ActiveX 64-bit (Version: 11.1.102.63 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (x32 Version: 11.6.602.171 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera Adobe Shockwave Player 11.6 (x32 Version: 11.6.7.637 - Adobe Systems, Inc.) Google Chrome (HKCU Version: 26.0.1410.43 - Google Inc.) Java 2 Runtime Environment, SE v1.4.1 (x32 Version: - ) Java 7 Update 9 (x32 Version: 7.0.90 - Oracle) Instaluj tylko to co potrzebne, np. jeśli używasz tylko Google Chrome, żadna z zainstalowanych tu wtyczek Adobe nie jest potrzebn, gdyż Google Chroma ma własne zintegrowane wersjea. Zaś aspekty posiadania Java dokładniej wyjaśnione w linki. A problem przegrzewania do działu Hardware. Zastosuj się do zasad działu. .

Nie wiem o jakim komunikacie NOD mowa, w linku nie widzę żadnego obrazka. W kwestii AdwCleaner, do wyboru dwie metody: 1. Pobrać ponownie AdwCleaner z linka w przyklejonym temacie, uruchomić program i wybrać ową opcję deinstalacji. 2. Ręcznie wykończyć. Przez SHIFT+DEL skasuj folder C:\AdwCleaner. Następnie Start > Uruchom > regedit i z prawokliku skasuj klucz: HKEY_LOCAL_MACHINE\SOFTWARE\AdwCleaner .

Kilka spraw organizacyjnych: - Nie używaj przycisku Odpowiedz przy poście, to cytuje cały poprzedni post. Korzystaj z pola szybkiej odpowiedzi zlokalizowanego na spodzie strony i opcji Napisz. - Jeśli nikt jeszcze nie odpisał, a chcesz poprawić / uzupełnić poprzedni post, korzystaj z funkcji Edytuj w tym poście. Nie twórz posta pod postem w ciągu. Wszystko skorygowałam. vs. 2013-12-17 22:32 - 2013-12-17 22:32 - 17545168 _____ (Google Inc.) C:\Users\User\Downloads\picasa39-setup.exe To jest OK, poprawny instalator od producenta Google. Można go oczywiście usunąć, jeśli tu nie ma żadnych planów instalacyjnych Picasy. Poza tym, tu już została część Picasy zainstalowana, na liście programów jest pozycja Google+ Auto Backup, a program uruchamia się w starcie. Po prostu go odinstaluj McAfee Security Scan Plus przez Panel sterowania i tylko tyle. Nie ruszasz pozostałych pozycji McAfee (McAfee LiveSafe – Internet Security, McAfee SafeKey). Zostaw już ten program, nie ponawiaj próby. A długość czyszczenia zależy od ilości tego co jest do usunięcia oraz innych czynników. Były tu przypadki (na różnych systemach), gdy program działał bardzo długo, gdy ukończył ekspresem oraz gdy się w ogóle zawiesił. Program nie ma oficjanej zgodności z Windows 8.1, ale się na nim uruchamia. Ostatni skrypt wykonany, możemy kończyć: 1. Porządki po narzędziach. W AdwCleaner uruchom Odinstaluj. Przez SHIFT+DEL (omija Kosz) skasuj TFC, FRST oraz te foldery: C:\Users\User\Desktop\Stare dane programu Firefox C:\Users\User\Downloads\FRST-OlderVersion Przy ewentualnych komunikatach typu "plik systemowy ... czy na pewno usuwać" potwierdź. 2. Wyczyść foldery Przywracania systemu: KLIK. Linkowałam już artykuł na co uważać przy instalowanych. To tyle z mojej strony. .

Fixlog jest kompletnie pusty, tak jakbyś nic nie wkleił, a ponieważ zgłaszasz BitLoarda również jako niechcianą instalację, to załaduj nieco szerszy skrypt i przedstaw wynikowy fixlog.txt: HKLM-x32\...\Run: [fst_pl_30] - [x] C:\Program Files (x86)\predm C:\Users\OTS\Downloads\portable-datadoctorrecoverypro-14in1-7bkickasstorrents7d7brpt7d_BitLord.exe C:\Users\OTS\Downloads\portable-datadoctorrecoverypro-14in1-7bkickasstorrents7d7brpt7d_BitLord (1).exe Przykładowe programy z funkcjami monitorowania instalacji: Revo Uninstaller Pro (płatny *), Comodo Programs Manager (darmowy). Takie moduły są też w grubszych kombajnach "optymalizacyjnych" typu TuneUp Utilities. * Wersja komercyjna ma pełne wsparcie dla x64, ale darmowa na systemie x64 jest ograniczona. Zważ, że masz 64-bitowy Windows, co oznacza podwójną strukturę programową: programy 32-bit oraz programy 64-bit. Aplikacja parająca się deinstalacją musi być więc natywnie 64-bitowa, by widzieć obie grupy. Jeśli posłużysz się programem 32-bit, zobaczy tylko połowę, tę 32-bitową. Względnie może mieć obejście, by pobrać jednak pełną listę, ale ze względu na limitacje bitowe to nie to samo co natywna aplikacja. .

Checksur podaje konkrety, tu nie chodzi o brak tych plików w lokalizacjach wcześniej omawianych. Odczyt z MissingWinningComponentKey już tu wystąpił na forum w innej wariacji (KLIK) i być może jest tu podobna usterka. Podaj mi: - Pełną kopię rejestru zrobioną wg wskazówek z linka i na PW prześlij. - Skan SystemLook na warunki: :folderfind *windows-csrsrv* *windows-smss* :filefind *windows-csrsrv* *windows-smss* PS. Tak, pamiętam, że mamy ten zaległy temat. I tu raczej było spodziewane, że będą nadal problemy aktualizacyjne. .

sumzor, trudno mi jest odpowiedzieć na Twoje pytanie. Jest tu w Twojej wypowiedzi zaprzęgnięty element ponoszenia kosztów finansowych, a ja nie chcę nikogo narazić na niechciane wydatki używając tonu autorytatywnego. Ujmę to w ten sposób: 1. Wyraźnie sugeruję w przyklejonym temacie, że należy się zainteresować przeskokiem na nowy system, by mieć spokojne życie bez obaw, że nie ma łat bezpieczeństwa. Oczywiście, wygaśniecie supportu nie spowoduje, że XP przestanie działać, on po prostu stanie się miną bezpieczeństwa, która zostanie z pewnością wykorzystana, tylko na razie nie wiadomo w jaki sposób i kto wyląduje na lodzie. Predykcje: Cybercriminals "saving up" wave of Windows XP attacks for when Microsoft stops support The Risk of Running Windows XP After Support Ends April 2014 Nie wątpię jednak, że horda wiernych użytkowników XP nie zechce się poddać i uspokojona faktem, że system "działa" nie weźmie tego dostatecznie serio. Potem będzie rzucanie się na antywirusy i inne oprogramowanie, by "załatać" to do czego już łat nie ma. 2. Wybór systemu (Windows 7 lub Windows 8.1) pozostawiam już użytkownikowi. Nie mogę podjąć za użytkownika tak istotnej decyzji, która wpłynie na jego niezadowolenie i późniejszą chęć ponownej wymiany systemu. Windows 8.1 można w pewnym sensie zrozumieć jako "ulepszony Windows 7", sfera Desktopu to po prostu modyfikacja. Występuje jednak ten nowy kaflowy system, a podobanie się tego / wygoda użytkowa budzi ambiwalentne odczucia: jedni są zachwyceni, inni tego nie trawią. Zaznaczę tylko, że w Windows 8.1 jest nowa opcja, która pozwala wchodzić od razu na Pulpit, bez przejścia przez ten nowy ekran startowy. Musisz oglądnąć opisy Windows 8.1 samodzielnie, by zdecydować czy to Cię w ogóle interesuje. Niezależnie od rodzaju wybranego systemu szok użytkowy nastąpi, bo siła przywyczajenia jest wielka. To są bardzo różne systemy od XP. Pamiętam swój pierwszy przeskok z XP na Vista, stare nawyki z XP mi bruździły, ale się dało to pokonać. Dziś moim podstawowym systemem jest Windows 7 i nie wyobrażam sobie cofnięcia do XP. Aczkolwiek, zależy jeszcze w jaki sposób użytkownik biega po systemie. Samo siedzenie na Pulpicie i uruchamianie prostych aplikacji to ten sam schemat i nie trzeba się aż tak dużo "uczyć", reszta po prostu pozostanie dla użytkownika "nieznana", tak jak to było wcześniej na XP. 3. Twój obecny komputer powinien uciągnąć nowszy system i może tu nie trzeba kupować jeszcze żadnego nowego sprzętu (tylko ewentualnie dysk instalacyjny nowego systemu, który posłuży także do późniejszych instalacji), w spokoju doczekać z grubszymi wydatkami do innego czasu. Jak podałam w temacie przyklejonym, zgodność sprzętową obecnego komputera możesz sprawdzić darmowymi narzędziami. Dodatkowo, jeśli Twoje działania w systemie są skromne, w rozumieniu: poczta / przeglądanie internetu / office / fakturki etc., a nie ciągoty gracza i inne intensywne akcje wyciskające zasoby, to widziany tu komputer wystarczy. .

Z literami wszystko się zgadza. Stan przed uruchomieniem FRST vs. stan po uruchomieniu FRST = różnica w układzie liter. Natomiast sprawa z błędami SFC się nie zgadza. Pliki spełniające warunki opisowe z SFC (nazwa pliku, nazwa komponentu, wersja, architektura, PublicKeyToken) zostały poprawnie skopiowane i siedzą gdzie należy... Nie wygląda, by czegoś tu brakowało. Nie wiem o co chodzi SFC z "file is missing". Uruchom "Narzędzie analizy gotowości aktualizacji systemu" i przedstaw wynikowy C:\Windows\Logs\CBS\checksur.log. .

Czy mówimy o tym felernym pliku: C:\Documents and Settings\gabi\Pulpit\1354971819-IVT_BlueSoleil_VoIP_1.0.56.0.zip? Jeśli chodzi o śmieci, to tak, został zainstalowany hijacker nationzoom. Hijacker modyfikuje skróty przeglądarek dopisując tam komendę otwierania URL, więc może to Kaspersky zablokował modyfikację i stąd zwrot "nie jest zgodne z..". Na jakich ikonkach na Pulpicie to występowało? Czy nadal występuje? ==================== Drives ================================ Drive d: (ivt2.6.0.8P) (CDROM) (Total:0.04 GB) (Free:0 GB) CDFS Widzę w procesach podwójnie uruchomiony D:\Setup_.exe, i tak go zabijam poniżej w skrypcie FRST. Mówisz też, że BlueSoleil był instalowany z dyskietki, a tu pojawia się z kolei wątek CD. Czyli były dwa nośniki użyte? Co do błędu zgodności, nie wiem o co chodzi (skoro wcześniej jakoby działało), nie widzę nic dopasowanego idealnie do frazy. Aczkolwiek jest takie oto nagranie w Dzienniku zdarzeń: Error: (01/08/2014 10:32:00 AM) (Source: MsiInstaller)(User: GP-C4E86EB5EA07) Description: Product: MSXML 6.0 Parser -- Error 1931. The Windows Installer service cannot update the system file C:\WINDOWS\system32\msxml6r.dll because the file is protected by Windows. You may need to update your operating system for this program to work correctly. Package version: 6.0.3883.0, OS Protected version: 6.0.3883.0(NULL)(NULL)(NULL) Ten rodzaj błędu, tylko przy instalacji SQL, jest opisany tu: KB958897. Pod kątem usuwania nationzoom, elementów BlueSoleil (elementy oznaczone jako wybrakowane, brak pozycji na liście zainstalowanych) oraz szczątków: 1. Otwórz Notatnik i wklej w nim: () D:\Setup_.exe () D:\Setup_.exe StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.nationzoom.com/?type=sc&ts=1389525165&from=slbnew&uid=WDCXWD800JD-55MUA1_WD-WMAMD482765027650 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.nationzoom.com/web/?type=ds&ts=1389525165&from=slbnew&uid=WDCXWD800JD-55MUA1_WD-WMAMD482765027650&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.nationzoom.com/web/?type=ds&ts=1389525165&from=slbnew&uid=WDCXWD800JD-55MUA1_WD-WMAMD482765027650&q={searchTerms} MountPoints2: {0a7adb4b-4e04-11e3-b1f4-806d6172696f} - D:\setup.exe MountPoints2: {e8d849ca-4ee1-11e3-bb13-003005a96507} - F:\setup.exe S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [x] S3 BlueletSCOAudio; system32\DRIVERS\BlueletSCOAudio.sys [x] S3 BT; system32\DRIVERS\btnetdrv.sys [x] S3 Btcsrusb; System32\Drivers\btcusb.sys [x] S0 BTHidEnum; System32\Drivers\vbtenum.sys [x] S0 BTHidMgr; System32\Drivers\BTHidMgr.sys [x] S3 VComm; system32\DRIVERS\VComm.sys [x] S3 VcommMgr; System32\Drivers\VcommMgr.sys [x] C:\WINDOWS\0 C:\WINDOWS\system32\0 C:\Program Files\Mobogenie C:\Documents and Settings\gabi\Dane aplikacji\nationzoom C:\Documents and Settings\All Users\Dane aplikacji\Bluetooth C:\Program Files\IVT Corporation Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wyciągnij płytę z napędu. Start > Uruchom > devmgmt.msc, na liście wyszukaj wszystkie poniżej zakreślone wadliwe urządzenia i odinstaluj. Zresetuj system. ==================== Faulty Device Manager Devices ============= Name: USB Device Description: USB Device Class Guid: {E0CBF06C-CD8B-4647-BB8A-263B43F0F974} Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: Broadcom NetXtreme Gigabit Ethernet - Kaspersky Anti-Virus NDIS Miniport Description: Kaspersky Anti-Virus NDIS Miniport Class Guid: {4D36E972-E325-11CE-BFC1-08002BE10318} Manufacturer: Kaspersky Lab Service: klim5 Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Name: WAN Miniport (IP) - Kaspersky Anti-Virus NDIS Miniport Description: Kaspersky Anti-Virus NDIS Miniport Class Guid: {4D36E972-E325-11CE-BFC1-08002BE10318} Manufacturer: Kaspersky Lab Service: klim5 Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Name: Nokia 6303 classic Description: Nokia 6303 classic Class Guid: {EEC5AD98-8080-425F-922A-DABF3DE3F69A} Manufacturer: Nokia Service: WUDFRd Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz plik fixlog.txt i log z AdwCleaner. .