picasso

Bonifacy, jeszcze się upewnię: czy na pewno ten FRST64.exe to jest kompletny nieuszkodzony plik i BitDefender nie brał go w obroty?

Skoro FRST nie widzi tego sztucznego podmontowania, to wejdź do katalogu F:\sources, ustaw widok na szczegóły i zrób mi zrzuty ekranu, tak by było widać wszystkie pliki oraz ich rozmiary.

Wszystko jasne. Oryginalnym systemem tego lapka była Vista a nie XP. XP musiał zostać przez kogoś sztucznie doinstalowany, w dobór zainstalowanych aplikacji VAIO nie można wierzyć, a kombinacje Fn mogą nie działać ze względu na brak oprogramowania dla XP. Budowa Recovery nie budzi wątpliwości: katalogi boot, efi i sources (w nim powinien być pełny obraz systemu Vista) oraz pliki etfsboot.com i bootmgr. Tylko jest tu jeden problem: nie wiem jeszcze w jakim formacie jest obraz instalacyjny Vista, nie pamiętam czy VAIO stosuje własne formaty, czy też standardowy WIM Microsoftu. Zmierzam do tego, że jeśli padnie VAIO Recovery Center, obraz WIM można zaaplikować z pominięciem narzędzi VAIO. Podaj mi pełny spis plików Recovery. Pobiorę to przez FRST: Otwórz Notatnik i wklej w nim: Folder: F:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie wiem ile tam jest plików, skan może mielić. Wynikiem będzie plik fixlog.txt i go dołącz. Badam to dokładnie, bo czuję tu inną drogę: przywrócić oryginalny system Vista (posiadasz naklejkę z kluczem), wszystko powinno być preinstalowane z biegu, a jeśli nie, to dla tego systemu jest pełna pula preinstalowanych narzędzi na stronie domowej, jasny spis. EDIT: Na XP? .

Używając tego sformułowania wyjaśniam jak działa program: montuje partycję niepermanentnie, sesyjnie oznacza = do następnego restartu komputera. Wszystko co masz zrobić to: pobrać program z linka, uruchomić exe z podfolderu, a gdy pojawi się okno programu i program wykryje tę partycję pokazując przypisaną tymczasowo literę, idziesz do Mój komputer, by ją eksplorować przy udziale owej litery. .

Co to za płyta instalacyjna Windows 7 64-bit? Czy jest to nośnik oryginalny, czy kopia nośnika, która jest multiedycyjna (w takim przypadku może być problem z wersją WinRE, tzn. jednak 32-bitowa domyślna)? Komunikat sugeruje jakby bity. Toteż pobierz FRST w wersji 32-bit i spróbuj uruchomić. .

Tu są obowiązkowe także raporty z FRST. Proszę dodaj.

Czyli podstawowe Fn działają. Czy inne kombinacje - poza działającymi - były kiedykolwiek wcześniej sprawdzane? Kombinacja pod TV nigdy nie była używana, nie jesteś w stanie stwierdzić czy to było w ogóle czynne (użycie tu Przywracania systemu wydaje się więc kompletnie niezasadne). Czy bierzesz pod uwagę, że być może od samego początku (od momentu otrzymania lapka) ta funkcja była martwa i nie ma takiej możliwości z powodu braku oprogramowania pod XP? Sugerujesz, że była tam pierwotnie Vista (co jest na razie niezdowodowane, sama naklejka to za mało, by być pewnym). Jeśli została zamieniona XP, to jest możliwy scenariusz, że wymiana była po prostu niekorzystna i odcięła możliwości oferowane dla nowszego systemu. Pod XP, ale wymaga określonych wersji VAIO, a tu zgłoszona niekompatybilność komponentów VAIO. Mnie się nawet wydaje (choć mogę się mylić), że to "VAIO Media Plus" to nie jest chyba instalacja niezależna tylko aktualizacja do już zainstalowanego bazowego VAIO Media Plus, a takowego u Ciebie brak. I wierzę w VAIO Update (zainstalowało się poprawnie, jako jedyna aplikacja), utrzymuje, że nie ma aktualizacji. Ale jaka jest ścieżka dostępu? Chodziło mi o to, czy to ma charakter "preinstalowany" (oryginalne kopie producenta), czy jest ręczne sztukowanie przez jakąś osobę (nie można temu ufać). I to nie wygląda w ogóle na folder producenta, pomijając samą strukturę katalogu, wśród plików jest jeden mający jako część nazwy portal "Softmania", co demaskuje jednoznacznie pochodzenia. Co do zbioru plików, odrzucając te o oczywistej nazwie, wyjaśnienie dla: SOOOTH-00778702-US.EXE - "memory card adapter registry patch" SODOTH-12217600-US.EXE = Sony Notebook Control Device Driver SOOOTH-42500000-XP.EXE = Sone Notebook Utilities (tu prawdopodobnie są rzeczy związane z Fn) Nie jestem w stanie stwierdzić czy to poprawne instalatory pasujące do Twojego modelu. Czy istnieje także folder C:\Program Files\Common Files\Sony Shared, a jeśli to co w nim jest? Szczerze Ci powiem, że mnie tu bardziej interesuje zrzucenie fabrycznego Windows (o ile jest co) lub postawienie nowszego bardziej rozwiniętego systemu (bo XP trzeba już dziękować za uwagę), niż grzebanie w tym systemie, kombinowanie. Widzę bowiem same problemy: - Support VAIO nie ma nic do powiedzenia, a kto inny jak nie support producenta powinien najlepiej wiedzieć o co chodzi. - Nie wiesz czy kombinacja działała wcześniej, bo nigdy jej nie sprawdzałeś. Całe starania mogą być o kant, bo może to jest awykonalne. - Jest niejasne jakie jest pochodzenie Twojego XP, czy to jest oryginalny ekwipunek tego lapka, czy wtórna instalacja przez kogoś, kto dosztukował podstawowe oprogramowanie. Sugerujesz pierwotny pobyt Visty, opowiadając o naklejkach z kluczem. Skąd więc ten XP i jak instalowano oprogramowanie VAIO (skąd i czy instalatory zgodne z modelem + w jakiej kolejności, co jak widać z opowieści jest krytyczne dla działania Fn). - Nieznany mi układ oryginalny preinstalowany dla XP na tym modelu. Nie ma z czym porównać (bo inne modele wprowadzają w błąd i potem się rzucasz na instalacje nieobsługiwanych wersji), nie wiadomo czego tu brakuje, a może niczego nie brakuje. Instalowanie w ciemno wszystkiego jak leci w niczym nie pomoże, a nawet pogorszy sprawę. - Twoje oprogramowanie VAIO jest bardzo stare, aktualizacji brak. Na stronie Twojego modelu w ogóle nie ma żadnego preinstalowanego oprogramowania zlinkowanego (prawdopodobnie to się kryje na FTP, który wcześniej podałam, ale ten cmentarz VAIO nie ma wyjaśnień co aplikuje się do jakiego modelu), żadnej aplikacji związanej z Fn. Te trzy widoczne tam pozycje to tylko dodatki upgradowe. VAIO Update nie wykrywa żadnych aktualizacji. - Instalacje oprogramowania VAIO wymagą ścisłej kolejności. Tu nie pomoże punktowa deinstalacja. Musiałbyś wszystko wyrzucić z systemu i zacząć od zera. Problem: patrz na powyższe punkty, niejasne jaki instalator zastosować... Robota musi być zasadna, musi być wiadome czego brakuje, byś nie wylądował z ręką w nocniku, tzn. nie zepsuł nawet tych działających kombinacji Fn. Ja tylko podejrzewam, że brakuje tu jednak Sony Shared Library, ale nie mam pewności, nie wiadomo też jaka wersja jest przeznaczona dla tego lapka. Obawiasz się tego, a ile czasu straciłeś na ten XP... Jeszcze dodam, że XP nie był zbyt czysty / świeży (instalacje adware / kombinacje alpejskie ze sterownikami), może czas radykalnie to rozwiązać. I porównaj instalatory na stronie modelu, dla Vista i Windows 7 pokaźny zbiór, dla XP prawie nic. Wg spisu MBR partycja jest, nie szukaj jej w normalny sposób, bo jest ukryta i się tam nie dostaniesz w tradycyjny sposób jak na widoczne dyski C+D. Partycję tę powinien pokazać za to diskmgmt.msc. Działający klawisz F10 jest dowodem na to, że system Recovery conajmniej w sferze dostępu do niego nie został naruszony. Gdyby coś zmodyfikowano w partycjach, klawisz F10 prawdopodobnie nie zareagowałby wcale. Nie wiem jednak jak traktować komunikat "Os not detected" po anulowaniu. Klawisz podstawia interfejs przywracania systemu z ukrytej partycji Recovery. Cytuję z PDF pobranego ze strony modelu, odrzucając treść relatywną do "dysków odzyskiwania po awarii" (nie posiadasz ich): Na razie rozpocznijmy od sprawdzenia co w ogóle jest na tej partycji. By przejrzeć ją, trzeba ją odkryć, ale nie chcę zmieniać jej atrybutu. Toteż sprawdź czy tę partycję sesyjnie w eksploratorze Windows podmontuje MountStorPE. Jeśli się uda, zrób zrzut ekranu z zawartości tej partycji. .

McLaren, proszę zacząć od zasad działu: KLIK. Podpinasz się pod cudze tematy (jest to tu zabronione, wydzielam), nie dostarczasz obowiązkowych logów.

Hmmm? Wydawało mi się, że na stronie głównej forum pasek boczny, z dwoma sporymi kolorowymi przyciskami, jest ... krzykliwy. Kolejne podziękowania dla wszystkich darczyńców.

Na dysku twardym jest następujący zbiór filtrów UpperFilters: Shockprf (Lenovo - ThinkVantage Active Protection System), PartMgr (domyślny systemowy), snapman (Acronis), DozeHDD (Lenovo). Te od Lenovo mnie zastanowiły mocniej. Niemiej na razie to odsuwam: Bardzo mnie zasugerowałeś infekcją, możnością wejścia w awaryjny wcześniej. Zmieniłam podejście i zaczęłam szukać wg marki (czyli występowanie podobnych problemów na Lenovo). I znalazłam taki oto wątek na forum Lenovo tyczący pomyślnego startu Windows normalnie, ale BSOD przy próbie wejścia w awaryjny: KLIK. Aczkolwiek, tam jest inny kod STOP. Ty mi pokazywałeś na zdjęciu STOP 0x0000007E, tam jest 7B. Ale może tu należy obrać kierunek myślowy z aktualizacją sterowników Lenovo... I szczerze mówiąc na teraz nie wiem jak to rozwiązać. Moim zdaniem nie ma to też w ogóle związku z infekcją, a jeśli pojawiło się w trakcie jej diagnostyki, to prawdopodobnie wystąpiły dodatkowe okoliczności. .

Pytania: - Czy autoodświeżanie na pewno nie zachodzi, a może ono jednak wykonuje się z ogromnym opóźnieniem (pół minuty / minuta)? - Czy to się dzieje we wszystkich typach folderów i lokalizacjach, czy tylko określonych? - Czy wprowadza jakąś różnicę Tryb awaryjny Windows? - Czy w widoku Komputera są podmontowane jakieś lokalizacje sieciowe? .

SFC nie potrafi naprawić szkód z powodu braku plików ("file is missing") i ich alternatyw w repozytorium. Brakuje apisetschema.dll, csrsrv.dll, smss.exe w wersjach komponentów 6.1.7601.18113. 1. Na PW przesłałam paczkę plików. Utwórz folder C:\Tmp i umieść tam wszystkie pliki z paczki dokładnie tak jak widać tam organizację. Pobierz także FRST. Przeczytaj o jego uruchomieniu w WinRE, bo tu ta metoda zostanie użyta, by ominąć problem uprawnień. 2. Przygotuj skrypt kopiujący pliki gdzie należy. Otwórz Notatnik i wklej w nim: CMD: copy /y C:\Tmp\wow64\apisetschema.dll C:\Windows\winsxs\wow64_microsoft-windows-smss_31bf3856ad364e35_6.1.7601.18113_none_14b439146432f7a4 CMD: copy /y C:\Tmp\amd64\apisetschema.dll C:\Windows\winsxs\amd64_microsoft-windows-smss_31bf3856ad364e35_6.1.7601.18113_none_0a5f8ec22fd235a9 CMD: copy /y C:\Tmp\csrsrv.dll C:\Windows\winsxs\amd64_microsoft-windows-csrsrv_31bf3856ad364e35_6.1.7601.18113_none_27ac1dcabbfe37b8 CMD: copy /y C:\Tmp\smss.exe C:\Windows\winsxs\amd64_microsoft-windows-smss_31bf3856ad364e35_6.1.7601.18113_none_0a5f8ec22fd235a9 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 3. F8 > Napraw komputer > Wiersz polecenia > uruchom FRST i kliknij Fix. Wynikiem akcji będzie utworzenie pliku fixlog.txt. 4. Wracasz do Windows, pokazujesz fixlog.txt. Ponawiasz sfc /scannow, by stwierdzić czy się uspokoiło (o ile oczywiście Fix się wykona poprawnie). .

Wybrałeś łatwiejsze narzędzie, tym samym mniej informacji. Preferowane narzędzie to Debugging Tools Microsoftu. Zapakuj cały katalog C:\WINDOWS\Minidump do ZIP, shostuj gdzieś i podaj tu link.

W Dzienniku zdarzeń powtarza się następujący błąd: [ System Events ] Error - 2014-01-02 05:39:22 | Computer Name = FATYMID | Source = Service Control Manager | ID = 7022 Description = Usługa MSCamSvc zawiesiła się podczas uruchamiania. Error - 2014-01-02 05:43:51 | Computer Name = FATYMID | Source = Service Control Manager | ID = 7022 Description = Usługa MSCamSvc zawiesiła się podczas uruchamiania. Error - 2014-01-02 15:45:51 | Computer Name = FATYMID | Source = Service Control Manager | ID = 7022 Description = Usługa MSCamSvc zawiesiła się podczas uruchamiania. Error - 2014-01-03 05:29:43 | Computer Name = FATYMID | Source = Service Control Manager | ID = 7022 Description = Usługa MSCamSvc zawiesiła się podczas uruchamiania. Error - 2014-01-03 14:26:10 | Computer Name = FATYMID | Source = Service Control Manager | ID = 7022 Description = Usługa MSCamSvc zawiesiła się podczas uruchamiania. Error - 2014-01-04 07:40:05 | Computer Name = FATYMID | Source = Service Control Manager | ID = 7022 Description = Usługa MSCamSvc zawiesiła się podczas uruchamiania. Error - 2014-01-04 11:06:30 | Computer Name = FATYMID | Source = Service Control Manager | ID = 7022 Description = Usługa MSCamSvc zawiesiła się podczas uruchamiania. Error - 2014-01-05 10:09:54 | Computer Name = FATYMID | Source = Service Control Manager | ID = 7022 Description = Usługa MSCamSvc zawiesiła się podczas uruchamiania. Error - 2014-01-06 13:11:45 | Computer Name = FATYMID | Source = Service Control Manager | ID = 7022 Description = Usługa MSCamSvc zawiesiła się podczas uruchamiania. Error - 2014-01-07 02:47:42 | Computer Name = FATYMID | Source = Service Control Manager | ID = 7022 Description = Usługa MSCamSvc zawiesiła się podczas uruchamiania. Zawiesza się usługa Microsoft LifeCam: SRV - [2010-05-20 14:27:24 | 000,139,632 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Microsoft LifeCam\MSCamS32.exe -- (MSCamSvc) Uruchom Autoruns, w karcie Services odznacz wpis MSCamSvc, w karcie Logon odznacz wpis VX1000. Zresetuj system. Podaj wyniki czy są pożądane zmiany. Jeśli to poprawi start, to nie ma tu zbyt wielu opcji, jeżeli LifeCam ma działać: przestawienie usługi na Ręczny, a jeśli nie pomoże, szukanie aktualizacji oprogramowania. PS. I usuń szczątki po adware / wpisy puste. W spoilerze instrukcja. .

Plik boot.ini powinien zostać doprowadzony do takiej formy: [boot loader] timeout=3 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect Opisz w jaki sposób "wyłączasz" podwójny wybór w menu oraz czy TuneUp jest nadal zainstalowany i aktywny. .

Brak informacji. Nie wiadomo: co to za system (x86 czy x64), jakie czynności były prowadzone przed wystąpieniem usterki (instalacja określonych aplikacji / dokładanie sprzętu / awaria prądu / ...). Poproszę o podanie raportu z FRST uruchomionego w środowisku WinRE. .

"Narzędzie analizy gotowości aktualizacji systemu" wykryło 26 błędów i nic nie naprawiło: ================================= Checking System Update Readiness. Binary Version 6.1.7601.22471 Package Version 22.0 2013-12-16 19:31 Checking Windows Servicing Packages Checking Package Manifests and Catalogs Checking Package Watchlist Checking Component Watchlist Checking Packages Checking Component Store (f) CSI Payload File Missing 0x00000000 Koala.jpg amd64_microsoft-windows-photosamples_31bf3856ad364e35_6.1.7600.16385_none_f36e0e659b8042be (f) CSI Payload File Missing 0x00000000 Jellyfish.jpg amd64_microsoft-windows-photosamples_31bf3856ad364e35_6.1.7600.16385_none_f36e0e659b8042be (f) CSI Payload File Missing 0x00000000 SampleRes.dll amd64_microsoft-windows-photosamples_31bf3856ad364e35_6.1.7600.16385_none_f36e0e659b8042be (f) CSI Payload File Missing 0x00000000 desktop.ini amd64_microsoft-windows-photosamples_31bf3856ad364e35_6.1.7600.16385_none_f36e0e659b8042be (f) CSI Payload File Missing 0x00000000 Desert.jpg amd64_microsoft-windows-photosamples_31bf3856ad364e35_6.1.7600.16385_none_f36e0e659b8042be (f) CSI Payload File Missing 0x00000000 Lighthouse.jpg amd64_microsoft-windows-photosamples_31bf3856ad364e35_6.1.7600.16385_none_f36e0e659b8042be (f) CSI Payload File Missing 0x00000000 Tulips.jpg amd64_microsoft-windows-photosamples_31bf3856ad364e35_6.1.7600.16385_none_f36e0e659b8042be (f) CSI Payload File Missing 0x00000000 Chrysanthemum.jpg amd64_microsoft-windows-photosamples_31bf3856ad364e35_6.1.7600.16385_none_f36e0e659b8042be (f) CSI Payload File Missing 0x00000000 Hydrangeas.jpg amd64_microsoft-windows-photosamples_31bf3856ad364e35_6.1.7600.16385_none_f36e0e659b8042be (f) CSI Payload File Missing 0x00000000 Penguins.jpg amd64_microsoft-windows-photosamples_31bf3856ad364e35_6.1.7600.16385_none_f36e0e659b8042be (f) CSI Payload File Missing 0x00000000 Clip_1080_5sec_VC1_15mbps.wmv amd64_microsoft-windows-winsatmediasamples_31bf3856ad364e35_6.1.7600.16385_none_0b34d0642122c1c4 (f) CSI Payload File Missing 0x00000000 Clip_480_5sec_6mbps_h264.mp4 amd64_microsoft-windows-winsatmediasamples_31bf3856ad364e35_6.1.7600.16385_none_0b34d0642122c1c4 (f) CSI Payload File Missing 0x00000000 winsat.wmv amd64_microsoft-windows-winsatmediasamples_31bf3856ad364e35_6.1.7600.16385_none_0b34d0642122c1c4 (f) CSI Payload File Missing 0x00000000 Clip_1080_5sec_MPEG2_HD_15mbps.mpg amd64_microsoft-windows-winsatmediasamples_31bf3856ad364e35_6.1.7600.16385_none_0b34d0642122c1c4 (f) CSI Payload File Missing 0x00000000 Clip_1080_5sec_10mbps_h264.mp4 amd64_microsoft-windows-winsatmediasamples_31bf3856ad364e35_6.1.7600.16385_none_0b34d0642122c1c4 (f) CSI Payload File Missing 0x00000000 winsatencode.wmv amd64_microsoft-windows-winsatmediasamples_31bf3856ad364e35_6.1.7600.16385_none_0b34d0642122c1c4 (f) CSI Payload File Missing 0x00000000 Clip_480i_5sec_6mbps_new.mpg amd64_microsoft-windows-winsatmediasamples_31bf3856ad364e35_6.1.7600.16385_none_0b34d0642122c1c4 (f) CSI Payload File Missing 0x00000000 Clip_480p_5sec_6mbps_new.mpg amd64_microsoft-windows-winsatmediasamples_31bf3856ad364e35_6.1.7600.16385_none_0b34d0642122c1c4 (f) CSI Payload File Missing 0x00000000 desktop.ini amd64_microsoft-windows-videosamples_31bf3856ad364e35_6.1.7600.16385_none_51a21f033003affd (f) CSI Payload File Missing 0x00000000 Wildlife.wmv amd64_microsoft-windows-videosamples_31bf3856ad364e35_6.1.7600.16385_none_51a21f033003affd (f) CSI Payload File Missing 0x00000000 Kalimba.mp3 amd64_microsoft-windows-musicsamples_31bf3856ad364e35_6.1.7600.16385_none_06495209cbd8e93b (f) CSI Payload File Missing 0x00000000 desktop.ini amd64_microsoft-windows-musicsamples_31bf3856ad364e35_6.1.7600.16385_none_06495209cbd8e93b (f) CSI Payload File Missing 0x00000000 Maid with the Flaxen Hair.mp3 amd64_microsoft-windows-musicsamples_31bf3856ad364e35_6.1.7600.16385_none_06495209cbd8e93b (f) CSI Payload File Missing 0x00000000 Sleep Away.mp3 amd64_microsoft-windows-musicsamples_31bf3856ad364e35_6.1.7600.16385_none_06495209cbd8e93b (f) CSI Payload File Missing 0x00000000 desktop.ini amd64_microsoft-windows-ehome-samplemedia_31bf3856ad364e35_6.1.7600.16385_none_b6b9b223710b3802 (f) CSI Payload File Missing 0x00000000 win7_scenic-demoshort_raw.wtv amd64_microsoft-windows-ehome-samplemedia_31bf3856ad364e35_6.1.7600.16385_none_b6b9b223710b3802 Summary: Seconds executed: 1167 Found 26 errors CSI Payload File Missing Total count: 26 Błędy CSI Payload File Missing oznaczają konieczność uzupełnienia brakujących plików ręcznie, trzymając się identycznych wersji komponentów. Zanim do tego w ogóle przejdę: Log pochodzi z dnia 2013-12-16. Miałeś przecież powtórzyć ten krok, by zrobić nowe dane po Twoich manipulacjach: Uruchom to narzędzie i poczekaj aż ukończy skan. Obecny plik C:\Windows\Logs\CBS\CheckSur.log zostanie zastąpiony nowym. Plik skopiuj na Pulpit, zmień mu rozszerzenie z *.LOG na *.TXT, by wszedł w załączniki (wykluczam tu inne formaty niż TXT), i doczep w poście. .

Brak informacji o systemie (co się uruchamia etc.). Poproszę o zestaw raportów FRST + OTL. .

Podsumując co zostało naprawione / usunięte: uszkodzenie starego konta (ale konto nadal oczekuje na kompletne usunięcie i to podam potem), adware i błąd tytułowy, niekompatybilny Norton. W kwestii dysfunkcji aplikacji Modern UI: nowe czyste konto kasia dziedziczy wadę, toteż musi być tu jakieś wadliwe ustawienie globalne. Błąkają mi się po głowie uprawnienia. 1. Na początek poproszę o raport z diagnostyka aplikacji Modern UI: Apps troubleshooter. Uruchom narzędzie, zaznacz opcję "Run as Administrator" oraz automatyczne naprawy, podaj wyniki. 2. Po ukończeniu pracy diagnostyka pobierz uprawnienia katalogów Windows. Po kolei kliknij prawym na folder C:\Windows oraz C:\Windows\system32 > Właściwości > Zabezpieczenia > czy na liście jest widoczna pozycja WSZYSTKIE PAKIETY APLIKACJI: PS. Temat zmierza w kierunku usterek Windows i pewnie go przeniosę do działu Windows.

jozi123, to oznaka instalacji niepożądanych obiektów adware. Temat przenoszę do działu diagnostyki malware. Proszę dostarczyć obowiązujące w tym dziale raporty, na podstawie których odbędzie się usuwanie. Linki podał już byq8327.

Temat przenoszę do działu Windows. Oznak infekcji brak. Jakieś adware tu zdaje się było, bo na dysku jest folder szczątkowy C:\Program Files (x86)\MyPC Backup (kasacja poniżej) oraz folder C:\AdwCleaner wskazujący na użycie programu (pokaż logi z tego folderu). Drobnostki. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\MyPC Backup FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 1. Na temat procesu conhost.exe: KLIK. Do precyzyjnej diagnostyki jak wygląda drzewo procesów, pod czym proces jest uruchomiony, lub co z niego jest wywoływane, skorzystaj z Process Explorer. 2. W procesach uruchamia się aktualizator "Mobile Partner", proces ouc.exe jest znany z dziwacznych efektów ze zmianą focusu okien (KLIK). ==================== Processes (Whitelisted) ================= () C:\ProgramData\Mobile Partner\OnlineUpdate\ouc.exe ==================== Loaded Modules (whitelisted) ============= 2013-11-30 22:25 - 2009-01-10 11:32 - 00011362 _____ () C:\ProgramData\Mobile Partner\OnlineUpdate\mingwm10.dll 2013-11-30 22:25 - 2009-06-22 19:42 - 00043008 _____ () C:\ProgramData\Mobile Partner\OnlineUpdate\libgcc_s_dw2-1.dll 2013-11-30 22:25 - 2010-07-23 05:58 - 02415104 _____ () C:\ProgramData\Mobile Partner\OnlineUpdate\QtCore4.dll 2013-11-30 22:25 - 2010-02-10 15:10 - 01148416 _____ () C:\ProgramData\Mobile Partner\OnlineUpdate\QtNetwork4.dll 2013-11-30 22:25 - 2012-09-22 03:32 - 00843264 _____ () C:\ProgramData\Mobile Partner\OnlineUpdate\QueryStrategy.dll 2013-11-30 22:25 - 2010-02-10 15:06 - 00398336 _____ () C:\ProgramData\Mobile Partner\OnlineUpdate\QtXml4.dll ==================== Services (Whitelisted) ================= S2 Mobile Partner. RunOuc; C:\Program Files (x86)\Mobile Partner\UpdateDog\ouc.exe [655744 2012-09-22] () Uruchom Autoruns, w karcie Services odfajkuj Mobile Partner. RunOuc, zresetuj system. 3. W Dzienniku widać te błędy: Application errors: ================== Error: (01/11/2014 05:47:46 PM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/11/2014 05:46:19 PM) (Source: NvStreamSvc) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (01/11/2014 05:46:19 PM) (Source: NvStreamSvc) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] - Pierwszy błąd: drobnostka WMI, nie ma to wpływu na wydajność, ale skoryguj narzędziem Fix-it: KB2545227. - Pozostałe błędy nVidia: w Autoruns w karcie Services wyłącz poniżej wyliczone usługi (NVIDIA Network Service / NVIDIA Streamer Service) i zresetuj system. R2 NvNetworkService; C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe [1370912 2013-11-29] (NVIDIA Corporation) R2 NvStreamSvc; C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe [15128352 2013-11-29] (NVIDIA Corporation) 4. W Autoruns w karcie Logon możesz także odfajkować te pozycje: HKLM\...\Run: [iAStorIcon] - C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe [287592 2013-08-07] (Intel Corporation) HKLM-x32\...\Run: [sunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation) HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated) W karcie Services dodatkowo AdobeARMservice, SkypeUpdate. .

Temat przenoszę do Windows, bo nie ma tu znaków, iż problemy tworzy infekcja. Są tu jej ślady (niepoprawnie doczyszczona infekcja "policyjna"), lecz infekcja nie jest czynna i szczątki nie powinny mieć żadnego wpływu na stan systemu. Zajmę się porządkowaniem po otrzymaniu wymaganych danych. FRST jest obowiązkowym raportem, posiada skany nieobecne w OTL. Poza tym, raporty nie są już wierne: Poprawność tej modyfikacji nie jest potwierdzona. Nawiasem mówiąc, ten plik HOSTS zmodyfikowany przez Spybota męczył system obciążając usługę Klient DNS, w Dzienniku zdarzeń są nagrane następujące błędy z tego okresu: Error - 2013-12-16 20:13:35 | Computer Name = 653A81EDA4D645A | Source = Service Control Manager | ID = 7011 Description = Limit czasu (30000 milisekund) podczas oczekiwania na odpowiedź transakcji z usługi Dnscache. Opowiadasz o ich deinstalacji, a podane tu raporty OTL pokazują oba programy w pełnej krasie (nie można potwierdzić kompletności deinstalacji), a w GMER silna aktywność Avast. Tak więc tym bardziej proszę o nowy zestaw raportów wykonany z bieżącej sytuacji. Nie mogę się kierować nieaktualnymi danymi. Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) Ten system XP wg raportu OTL jest jakąś nieoryginalną produkcją, tzn. użyto nLite do zrobienia źródła instalacyjnego. Prawdopodobnie płyta ma preintegrowane archaizmy. Stoi tu także stary IE7. Problem Windows Update sugeruje starą wersję Windows Update Agent. - Zainstaluj jako podkład Agenta przynajmniej w wersji 7.4.7600.226 (nie jest jednak najnowsza) dostępnej do pobrania w singlu: KLIK. - Najnowsza wersja Agent 7.6.7600.256 nie jest udostępniana jako instalator autonomiczny. .

Temat przenoszę do stosownego działu Windows. To nie jest problem infekcji. Microsoft Windows 7 Home Premium Service Pack 1 (X86) OS Language: Polish Internet Explorer Version 9 ==================== Processes (Whitelisted) =================== (Microsoft Corporation) C:\Windows\System32\wuauclt.exe 1. W procesach jest nadal Windows Update. I nie wygląda na to, że aktualizacje zostały ukończone, co widać choćby po statusie Internet Explorer (stara wersja IE9, a z aktualizacji powinny być jeszcze IE10 lub od razu IE11). Tak więc: na początek ukończ wszystkie aktualizacje. Powtarzaj rundy z wyszukiwaniem Windows Update do momentu, gdy zostanie zwrócone zero wyników. Z tym, że nie jestem pewna czy tu nie ma aby jakiejś usterki, bo w Dzienniku zdarzeń stoi taki oto wtręt: System errors: ============= Error: (01/11/2014 06:37:58 AM) (Source: Microsoft-Windows-LanguagePackSetup) (User: ZARZĄDZANIE NT) Description: Inicjacja klienta CBS nie powiodła się. Ostatni błąd: 0x80080005 Potencjalne przyczyny: KLIK. I tu nasuwają się pytania: - Źródłem błędu jest instalacja pakietu językowego, a stoi tu edycja Windows 7 Home Premium (brak obsługi zmiany języków wyświetlania). Wymuszanie instalacji pakietu na edycji, która tego natywnie nie obsługuje, może mieć skutki uboczne. Tak więc: czy mieszano tu z Polskim pakietem językowym? Coś jakby ślady tego procesu tu widać, bo w root dysku C leży plik C:\lp.cab (skąd on jest): 2014-01-08 16:41 - 2014-01-08 16:41 - 00000000 ____D C:\Windows\system32\pl 2014-01-08 16:41 - 2014-01-08 16:41 - 00000000 ____D C:\Windows\pl-PL 2014-01-08 16:21 - 2014-01-05 15:18 - 47843944 _____ C:\lp.cab - Dodatkowe pytania: co widzisz podczas prób wyszukiwania i instalacji aktualizacji, czy wszystkie poprzednie aktualizacje zakończyły się powodzeniem? 2. Ponadto, nie wygląda na to, że wszystkie sterowniki zostały zainstalowane. W spisie wadliwych urządzeń figuruje: ==================== Faulty Device Manager Devices ============= Name: Globetrotter HSUPA Modem Description: Globetrotter HSUPA Modem Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Koncepcja z XP powinna upaść. Przecież za kilka miesięcy całkowite odcięcie od aktualizacji, a po tym będzie już tylko gorzej: KLIK. System potwornie stary. .

Co do "Panów" błąd założeń, ja jestem Panią. Wątpię, by to było związane z dyskiem per se. Prawdopodobnie popełniasz cały czas ten sam błąd nie będąc tego świadoma. W Twoich raportach nie ma infekcji charakterystycznej dla dysków przenośnych, ale jest adware, którego źródłem są nieumyślne ręczne instalacje nieuświadomionego użytkownika, a nie samoczynne przeskakiwanie między dyskami. I jest oczywiste skąd to się wzięło, pobrałaś conajmniej jeden plik samodzielnie i nieświadoma jego prawdziwej roli go uruchomiłaś, wykazuje to log: 2013-12-17 22:35 - 2013-12-17 22:51 - 00000000 ____D C:\Users\User\AppData\Local\cache 2013-12-17 22:34 - 2014-01-11 14:48 - 00001700 _____ C:\Users\User\daemonprocess.txt 2013-12-17 22:34 - 2014-01-05 18:04 - 00000000 ____D C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie 2013-12-17 22:34 - 2013-12-26 21:00 - 00000000 ____D C:\Users\User\AppData\Local\Mobogenie 2013-12-17 22:34 - 2013-12-17 22:34 - 00000000 ____D C:\Users\wangzhisong\AppData\Local\Mobogenie 2013-12-17 22:34 - 2013-12-17 22:34 - 00000000 ____D C:\Users\wangzhisong 2013-12-17 22:34 - 2013-12-17 22:34 - 00000000 ____D C:\Users\User\Documents\Mobogenie 2013-12-17 22:33 - 2014-01-05 18:04 - 00000000 ____D C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google+ Auto Backup 2013-12-17 22:33 - 2013-12-26 22:11 - 00000000 ____D C:\Program Files (x86)\Google 2013-12-17 22:33 - 2013-12-26 20:40 - 00000000 ____D C:\Program Files (x86)\BrowseSmart 2013-12-17 22:32 - 2013-12-17 22:50 - 00000000 ____D C:\Program Files (x86)\Mobogenie 2013-12-17 22:32 - 2013-12-17 22:32 - 17545168 _____ (Google Inc.) C:\Users\User\Downloads\picasa39-setup.exe 2013-12-17 22:31 - 2013-12-17 22:31 - 00644080 _____ C:\Users\User\Downloads\Picasa_Downloader.exe Plik Picasa_Downloader.exe to nie jest oryginalny instalator Picasa (dostępny na stronie domowej Google) tylko portalowy wrapper z jakiegoś podejrzanego serwisu trzeciego, którego cel to zaśmiecenie systemu. Widać tu wyraźnie, że plik został pobrany ręcznie i uruchomiony, w tej samej minucie wyekstraktował instalator zasadniczy Picasa, ale jako "bonusy" także mocno niepożądane instalacje adware częstujące reklamami: BrowseSmart i Mobogenie. W systemie jest też adware Mysearchdial, ale nie jestem pewna w jaki sposób się wślizgnęło, prawdopodobnie podobna droga, tylko plik źródłowy może został już usunięty i nie widzę dokładnie cyklu instalacyjnego. Proszę przeczytaj jak unikać takich rzeczy: KLIK. Po przeczytaniu przejdź do usuwania adware: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files (x86)\BrowseSmart\updateBrowseSmart.exe () C:\Program Files (x86)\BrowseSmart\bin\utilBrowseSmart.exe () C:\Program Files (x86)\Mobogenie\DaemonProcess.exe U2 Update BrowseSmart; C:\Program Files (x86)\BrowseSmart\updateBrowseSmart.exe [97056 2014-01-10] () U2 Util BrowseSmart; C:\Program Files (x86)\BrowseSmart\bin\utilBrowseSmart.exe [97056 2014-01-10] () HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [761024 2013-12-17] () HKLM\...\Policies\Explorer: [NoControlPanel] 0 Task: {A4F8F19B-1F42-4E0D-8154-82D34E18681A} - System32\Tasks\MySearchDial => C:\Users\User\AppData\Roaming\mysearchdial\UpdateProc\UpdateTask.exe [2013-04-12] () Task: C:\WINDOWS\Tasks\MySearchDial.job => C:\Users\User\AppData\Roaming\MYSEAR~1\UPDATE~1\UPDATE~1.EXE HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=irmsd1202&cd=2XzuyEtN2Y1L1Qzu0AtDyEzztC0CtByCtB0C0AyEyByC0A0DtN0D0Tzu0SyBtCyBtN1L2XzutBtFtBtFtCyEtFtCtAyBzytN1L1CzutCyD1B1P1R&cr=354680499&ir= HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=irmsd1202&cd=2XzuyEtN2Y1L1Qzu0AtDyEzztC0CtByCtB0C0AyEyByC0A0DtN0D0Tzu0SyBtCyBtN1L2XzutBtFtBtFtCyEtFtCtAyBzytN1L1CzutCyD1B1P1R&cr=354680499&ir= SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd1202&cd=2XzuyEtN2Y1L1Qzu0AtDyEzztC0CtByCtB0C0AyEyByC0A0DtN0D0Tzu0SyBtCyBtN1L2XzutBtFtBtFtCyEtFtCtAyBzytN1L1CzutCyD1B1P1R&cr=354680499&ir= SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd1202&cd=2XzuyEtN2Y1L1Qzu0AtDyEzztC0CtByCtB0C0AyEyByC0A0DtN0D0Tzu0SyBtCyBtN1L2XzutBtFtBtFtCyEtFtCtAyBzytN1L1CzutCyD1B1P1R&cr=354680499&ir= SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd1202&cd=2XzuyEtN2Y1L1Qzu0AtDyEzztC0CtByCtB0C0AyEyByC0A0DtN0D0Tzu0SyBtCyBtN1L2XzutBtFtBtFtCyEtFtCtAyBzytN1L1CzutCyD1B1P1R&cr=354680499&ir= SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear BHO-x32: mysearchdial Helper Object - {EF5625A3-37AB-4BDB-9875-2A3D91CD0DFD} - C:\Program Files (x86)\Mysearchdial\1.8.21.0\bh\mysearchdial.dll (Ironsource Israel (2011) LTD) BHO-x32: BrowseSmart - {ffbb88a9-c663-4b9b-9170-70fa0a5a2786} - C:\Program Files (x86)\BrowseSmart\BrowseSmartBHO.dll (BrowseSmart) Toolbar: HKLM-x32 - mysearchdial Toolbar - {3004627E-F8E9-4E8B-909D-316753CBA923} - C:\Program Files (x86)\Mysearchdial\1.8.21.0\mysearchdialTlbr.dll (Ironsource Israel (2011) LTD) 2013-12-17 22:31 - 2013-12-17 22:31 - 00644080 _____ C:\Users\User\Downloads\Picasa_Downloader.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: BrowseSmart, Mobogenie, Mysearchdial. Przy okazji pozbądź się też McAfee Security Scan Plus. To inny gatunek niż pozostali delikwenci, ale instalacja prawdopodobnie też była nie w pełni świadoma. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log utworzony przez AdwCleaner. .

Zasady działu, podaje się tu raporty: KLIK. Dostarcz FRST i OTL. Na wszelki wypadek, by sprawdzić czy nie uruchomiłeś jednak czegoś (może i wcześniej niż sprawa bieżąca), gdyż conajmniej raz wybór pobierania padł na niestosowne miejsce: Portal pliki.onet.pl to siedlisko niepożądanych instalacji. Norton reaguje prawdopodobnie dlatego, że wyczuwa wrapper, który jest mostem do instalacji czegoś zupełnie innego niż pobierasz. To co pobrałeś to nie jest prawdziwy AllPlayer / poprawny plik instalacyjny, tylko portalowy "Asystent pobierania" planujący niepożądane instalacje adware. Wszystko wyjaśnia mój temat: KLIK. Dane pochodzą sprzed 3 miesięcy, więc prawdopodobnie sponsorzy w tym asystencie są już inni, ale nie zmienia to charakteru tego portalowego pliku z numerami. A nazwą "Trojan.ADH.2" nie ma się co sugerować. Krótko i na temat: z daleka od pliki.onet.pl i wszystkich innych portali, które mają wrapper. AllPlayer jest dostępny wprost ze swojej strony domowej w postaci nie fałszowanej: KLIK. Porównaj wygląd obu plików, oryginału i "asystenta". .