picasso

Infekcji tu nie widać. I drobna uwaga: stosowanie Rootkit Revealer MS nie ma zbyt dużego sensu, to okropnie stary program sprzed 7 lat (!). Natomiast są tu inne dziwne rzeczy w systemie. OTL wskazuje na uszkodzenie "Shell folders" (FRST tego już nie pokazuje, gdyż Farbar ukrył takie wyniki celowo). WMI nie działa poprawnie (może to kwestia niepoprawnych napraw starej infekcji ZeroAccess): ==================== Could not list processes =============== ==================== Restore Points ========================= Could not list Restore Points. Check WMI. ==================== Faulty Device Manager Devices ============= Could not list Devices. Check WMI. Poza tym, klaruje się problem pozainfekcyjny, czyli bad sektory dysku, gdyż Dziennik zdarzeń notuje: System errors: ============= Error: (11/29/2013 08:49:34 PM) (Source: disk) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Temat dysku póździej rozwiniesz w dziale Hardware. Na teraz przeprowadź następujące działania: 1. Odinstaluj skaner STOPZilla. 2. Usuń szczątki Symantec i ESET stosując w Trybie awaryjnym Windows następujące deinstalatory: Norton Removal Tool + ESET Uninstaller 3. Usuń szczątki infekcji ZeroAccess, Firefox, skanerów oraz duplikaty obiektów z numerami w nazwie. Otwórz Notatnik i wklej w nim: HKCU\...0c966feabec1\InprocServer32: [Default-shell32] ATTENTION! ====> ZeroAccess? Task: C:\Windows\Tasks\{DD552472-A185-4a0c-AC58-90AA40E9E26A}.job => C:\Windows\explorer.exe SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = S3 GAPNVWQKS; C:\Users\JAREKI~1.JAR\AppData\Local\Temp\GAPNVWQKS.exe [416640 2013-11-25] (Sysinternals - www.sysinternals.com) S3 MAODQ; C:\Users\JAREKI~1.JAR\AppData\Local\Temp\MAODQ.exe [445312 2013-11-25] (Sysinternals - www.sysinternals.com) S4 AVG Security Toolbar Service; C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe [x] S4 BTOA; C:\Users\JAREKI~1.JAR\AppData\Local\Temp\BTOA.exe [x] R0 DwProt; C:\Windows\System32\drivers\dwprot.sys [135032 2011-01-21] (Doctor Web, Ltd.) R2 sbapifs; C:\Windows\System32\DRIVERS\sbapifs.sys [66344 2013-11-19] (GFI Software) S2 Haspnt; \??\C:\Windows\system32\drivers\Haspnt.sys [x] S3 IntcAzAudAddService; system32\drivers\RTKVHDA.sys [x] S3 MEMSWEEP2; \??\C:\Windows\system32\337E.tmp [x] U4 Messenger; S1 SBRE; \SystemRoot\system32\drivers\SBREDrv.sys [x] S0 szkgfs; system32\drivers\szkgfs.sys [x] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vsmon => ""="Service" C:\Windows\System32\drivers\dwprot.sys C:\Windows\system32\Drivers\sbapifs.sys C:\Windows\system32\Drivers\sbaphd.sys C:\Windows\system32\Drivers\RKREVEAL150.SYS C:\Windows\system32\SBBD.EXE C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Local\Temp\*.exe C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Local\Mozilla C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Roaming\ArcaVirMicroScan C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Roaming\AVG C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Roaming\Azureus(768) C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Roaming\DSite C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Roaming\ExpressFiles C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Roaming\Mozilla C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Roaming\Ulead Systems(780) C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Roaming\UserTile (2).png C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Local\GDIPFONTCACHEV1 (2).DAT C:\Users\All Users\AVG C:\Users\All Users\AVG10 C:\Users\All Users\AVG2012 C:\Users\All Users\HP(737) C:\Users\All Users\Malwarebytes(738) C:\Users\All Users\Microsoft(739) C:\Users\All Users\Mozilla C:\Users\All Users\page C:\Users\All Users\page(741) C:\Users\All Users\Real(742) C:\Users\All Users\SecTaskMan(743) C:\Users\All Users\Skype(744) Folder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup Folder: C:\Users\Jarek i Ela.JarekiEla-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup Reg: reg delete HKCU\Software\Classes\.exe /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /s Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\Winmgmt /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s CMD: winmgmt /verifyrepository Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 4. Zrób nowy skan FRST. Dołącz plik fixlog.txt. Ponadto, sprawdź co powie Kaspersky TDSSKiller. Jeśli coś wykryje, ustaw Skip i przedstaw raport utworzony przez narzędzie. Jeśli nic nie wykryje, log narzędzia zbędny. .

Skrypt wykonany, więcej tu do roboty już nie ma. Przez SHIFT+DEL skasuj folder C:\FRST i wykonaj punkty 2+3 z mojego poprzedniego posta (czas grubszy upłynął, sprawdź dokładnie ile programów wymaga aktualizacji). .

ar2r Przeklej dokładnie wyniki z raportu Avast, w jaki sposób i gdzie jest notowany winlogon.exe. Na teraz działania kosmetyczne, czyli usunięcie drobnych szczątków adware i IOBit (owe adware było pochodną instalatora IOBit). 1. Otwórz Notatnik i wklej w nim: CHR HKLM-x32\...\Chrome\Extension: [icdlfehblmklkikfigmjhbmmpmkmpooj] - C:\Program Files (x86)\Common Files\Spigot\GC\ErrorAssistant_1.2.crx C:\Users\Artur\AppData\Roaming\Slick Savings C:\Users\Artur\AppData\Roaming\IObit C:\ProgramData\IObit C:\Program Files (x86)\IObit C:\Users\Artur\Downloads\imf-setup.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Poprawne usuwanie programów adware to zawsze w pierwszej kolejności deinstalacja (w Panelu sterowania i w przeglądarce), dopiero po tym AdwCleaner czy skrypty naruszające zdolność deinstalacji. Farbar nawet ostatnio zaczął flagować programy adware w Addition, by choćby częściowo zapobiec odwrotnej kolejności. Tu nie koniec działań: 1. Nie zostały poprawnie odinstalowane 3 programy adware: ==================== Installed Programs ====================== SK.Enhancer (x32 Version: 1.0.0.1493) SK.Helper 1.74 (x32) surf, and keep (x32 Version: 2.3.0.1281) Ciągle to powinnaś mieć na liście Dodaj/Usuń. Niestety na skutek skryptu OTL (naruszenie folderów) prawdopodobnie deinstalacja nie może być pełna. Zweryfikuj czy wpisy są widoczne i czy można to "odinstalować" (program jest uszkodzony, ale przynajmniej powinno paść pytanie czy usunąć "pusty wpis"). 2. Podobnie z Harmonogramem zadań, dodatkowo są tu bardzo podejrzane zadania "facebook", które wyglądają jak malware i nie było to wcale usuwane: ==================== Scheduled Tasks (whitelisted) ============= Task: {3654AAB7-BB00-4D0F-9B08-E43567395536} - System32\Tasks\{9A8A2D0D-74C2-481B-BC29-5B47DF557455} => C:\Users\Lenovo\Downloads\IMG_22362473515562104-IMG-www.facebook.com Task: {8582CE0B-A843-48AF-B06D-CE9C6BC1AD6E} - System32\Tasks\{0E705A02-8375-491E-94DC-DF173146C608} => C:\Users\Lenovo\Downloads\IMG_22362473515562104-IMG-www.facebook.com Task: {9DDF8A1C-4AAB-4ACA-B3E6-EFE7B1CE5E3F} - System32\Tasks\{0AFFA334-C70D-4593-9DB0-2255FF65FE54} => C:\Users\Lenovo\Downloads\IMG_22362473515562104-IMG-www.facebook.com Task: {ABFA8990-53D1-4E8E-9884-4F841B7EF73C} - System32\Tasks\SK.Enhancer-S-747939423 => C:\ProgramData\WinterSoft\SK.Enhancer\SK.Enhancer.exe [2013-11-12] () 3. Po trzecie, to o czym mówisz w Google Chrome (nie było usuwane żadnym z procesów): Chrome: ======= CHR Extension: (YoutubeAdblocker) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\clmnjcgcnlcbghdhmlphepmmljgokclo\1.0 CHR Extension: (surfa And keep) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\cnkhfkhelbjghaldpinbeegbkgjmnlfd\2.19 CHR HKLM-x32\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\Users\Lenovo\AppData\Local\Temp\crxEC2.tmp Mniemam, że po Twoim ręcznym usuwaniu zniknęły dwie pierwsze pozycje, ale trzecia niepewna. Proszę zrób nowy raport z FRST (zaznacz by powstał ponownie Addition) dla weryfikacji. .

Logi są niekompletne. Proszę zrobić obowiązkowe tu raporty z FRST (mają powstać dwa pliki). I dopiero po uzyskaniu kompletu danych można przejść do usuwania. .

Uwagi: 1. Klucze LEGACY_* nie zostaną zaimportowane w pliku REG (brak uprawnień), o ile nie zostaną znienione uprawnienia lub kontekst konta z którego jest importowany plik. 2. Te wejścia były OK: O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found To są klucze związane z procesem tworzenia źródła płyty XP w nLite i portowaniem tweaków przy zakładaniu nowych kont. "Not found" pozorne, formuła ścieżki uniemożliwia znalezienie na dysku plików przez OTL, które są (regsvr32.exe i shell32.dll). 3. Post numer #2. Plik Other.res nie został usunięty bo brak dyrektywy :Files. Plik zniknął prawdopodobnie przy pierwszym podejściu MBAM. zanik 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS] "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000] "Service"="SharedAccess" "Legacy"=dword:00000001 "ConfigFlags"=dword:00000020 "Class"="LegacyDriver" "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" "DeviceDesc"="Zapora systemu Windows/Udostępnianie połączenia internetowego" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000\Control] "ActiveService"="SharedAccess" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSCSVC] "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSCSVC\0000] "Service"="wscsvc" "Legacy"=dword:00000001 "ConfigFlags"=dword:00000020 "Class"="LegacyDriver" "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" "DeviceDesc"="Centrum zabezpieczeń" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSCSVC\0000\Control] "ActiveService"="wscsvc" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Plik zapisz w ścieżce neutralnej (a nie swojego konta), czyli wprost na C:\. 2. Uruchom regedit na uprawnieniu konta SYSTEM za pomocą Process Hacker. 3. W tak uruchomionym regedit z menu Plik > Importuj > wskaż plik FIX.REG. 4. Zresetuj system i zrób nowy log z Farbar Service Scanner. .

Pokaż mi co DAP narobił. Zrób raporty z FRST i OTL, wyślij mi wszystko na PW. By sprawdzić, czy jest to w ogóle związane z forum, mogę wykorzystać nową funkcję IPB logowania się jako dany użytkownik, o ile wyrazisz zgodę. Ale nie w tym momencie, nie mam zainstalowanego jeszcze IE11, by odtworzyć Twoje środowisko. Prawdopodobnie wieczorem zainstaluję i dam znać na PW, uzgodnimy czy robimy ten test.

Hmmm, nie wiem o co chodzi na razie, ale to nie powinno mieć związku z ustawieniami forum. Czy to samo się dzieje na czystym IE: Menu Start > Wszystkie programy > Akcesoria > Narzędzia systemowe > Internet eksplorer (bez dodatków)?

Jaki test właściwie zrobiłeś? Przecież zmian brak, obiekty czynne: R2 IAStorDataMgrSvc; C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe [15720 2013-08-07] (Intel Corporation) HKLM\...\Run: [iAStorIcon] - C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe [287592 2013-08-07] (Intel Corporation) Mi chodzi o wyłączenie podanych tu dwóch obiektów Intel w Autoruns (odfajkuj IAStorDataMgrSvc w Services + IAStorIcon w Logon) > restart systemu > podajesz co widzisz. .

Mimo wszystko proszę wykonaj ten test i zresetuj po tym system. Swoją drogą to polecona tu do deaktywacji pula to tylko część oprogramowania Intel, tu nadal podejrzane są sterowniki Intel per se, które musiały być już przed Twoją instalacją (chipset Intel). Czy ich wersja była zmieniana? Kompletnie inne środowisko sprzętowe, ten system pewnie nie wystartuje z dysku lub pojawią się problemy niezgodności na linii inny sprzęt zainstalowane sterowniki. .

Jeden z problemów z głowy. Natomiast jeszcze drobnostka, czyli usunięcie wpisów z innych kont niż aktualnie zalogowany Camilo. W spoilerze akcja dla serwisowego konta UpdatusUser od nVidii (to konto nie powinno uruchamiać nic innego niż własny aktualizator). Sprawdź co się stanie po testowym wyłączeniu pewnych obiektów pakietu Intel® Rapid Storage Technology. Konkretnie, w Autoruns w karcie Services odfajkuj ten wpis: R2 IAStorDataMgrSvc; C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe [15720 2013-08-07] (Intel Corporation) Dodatkowo w Logon ten: HKLM\...\Run: [iAStorIcon] - C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe [287592 2013-08-07] (Intel Corporation) Zresetuj system, podaj czy widać jakieś grubsze zmiany. Natomiast to do odwrócenia. Tylko nie napisałeś w jaki sposób deaktywacja nastąpiła. Tym się nie sugeruj, skan jest specyficzny. Na moich licznych systemach, w pełni sprawnych, to czasem występuje przy skanie określonych elementów systemu. .

Groszexxx Nie, to OTL jest przestarzały i nie pobiera poprawnie informacji o wyższej wersji niż IE9. Natomiast FRST dokładnie podaje, że jest tu najnowszy IE: Windows 8.1 (X64) OS Language: Polish Internet Explorer Version 11 Czynna infekcja (nabijacz bitcoin, wysokie obciążenie zasobów): ==================== Processes (Whitelisted) ================= () C:\Users\Kamil\AppData\Roaming\minerd\bfgminer.exe ==================== Loaded Modules (whitelisted) ============= 2013-10-20 11:04 - 2013-09-19 03:39 - 00369664 ____N () C:\Users\Kamil\AppData\Roaming\minerd\libcurl-4.dll 2013-10-20 11:04 - 2013-09-19 03:39 - 00052736 ____N () C:\Users\Kamil\AppData\Roaming\minerd\libjansson-4.dll 2013-10-20 11:04 - 2013-09-19 03:39 - 00082944 ____N () C:\Users\Kamil\AppData\Roaming\minerd\libmicrohttpd-10.dll 2013-10-20 11:04 - 2013-09-19 03:39 - 00102912 ____N () C:\Users\Kamil\AppData\Roaming\minerd\pdcurses.dll 2013-10-20 11:04 - 2013-09-19 03:39 - 00044781 ____N () C:\Users\Kamil\AppData\Roaming\minerd\libblkmaker-0.1-0.dll 2013-10-20 11:04 - 2013-09-19 03:39 - 00040717 ____N () C:\Users\Kamil\AppData\Roaming\minerd\libblkmaker_jansson-0.1-0.dll 2013-10-20 11:04 - 2013-09-19 03:39 - 00109568 ____N () C:\Users\Kamil\AppData\Roaming\minerd\zlib1.dll 2013-10-20 11:04 - 2013-09-19 03:39 - 00132096 ____N () C:\Users\Kamil\AppData\Roaming\minerd\libplibc-1.dll 2013-10-20 11:04 - 2013-09-19 03:39 - 00599040 ____N () C:\Users\Kamil\AppData\Roaming\minerd\backtrace.dll ==================== Registry (Whitelisted) ================== HKCU\...\Run: [minerd] - "C:\Users\Kamil\AppData\Roaming\minerd\nircmd.exe" exec hide "C:\Users\Kamil\AppData\Roaming\minerd\start.bat" I wg raportu OTL ten wpis minerd kierujący do tego samego folderu jest na dwóch kontach, aktualnie zalogowanym Camilo i jakimś drugim. CamiloDraye Do wykonania, gdy będziesz w stanie wejść w system: 1. Usuń w/w delikwenta z bieżącego konta i inne wpisy (puste / resztki po programach). Otwórz Notatnik i wklej w nim: C:\Users\Kamil\AppData\Roaming\minerd C:\Users\Kamil\AppData\Roaming\(00-17-EB-E8-1E-FB) C:\Users\Kamil\AppData\Roaming\1J1F1H1E2Y2Z1P1C1B2W1L1T2ZtF1E1I C:\Users\Kamil\AppData\Local\funmoods_2.3.1.crx C:\Users\Kamil\AppData\Local\Temp\*.dll C:\Users\Kamil\AppData\Local\Temp\*.exe C:\Program Files\Common Files\mcafee C:\Program Files (x86)\McAfee C:\ProgramData\McAfee HKCU\...\Run: [minerd] - "C:\Users\Kamil\AppData\Roaming\minerd\nircmd.exe" exec hide "C:\Users\Kamil\AppData\Roaming\minerd\start.bat" HKCU\...\RunOnce: [Application Restart #0] - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --flag-switches-begin --flag-switches-end --restore-last-session http://en.v9.com/?utm_source=b&utm_medium=bnd&utm_campaign=eXQ&utm_content=sc&from=bnd&uid=ST1000LM024XHN-M101MBB_S2TXJ9KCB01076&ts=1381478191 [863184 2013-11-14] (Google Inc.) HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM-x32\...\Run: [mcui_exe] - "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM-x32\...\Run: [LManager] - [x] HKLM-x32\...\Run: [] - [x] HKCU\...\Run: [AdobeBridge] - [x] HKLM\...\Policies\Explorer: [NoControlPanel] 0 BHO: No Name - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - No File BHO-x32: No Name - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - No File Toolbar: HKCU - No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.us.com/v/2/?guid={12782BBC-2CAB-40F4-8FDD-EACE9BDFD994}&serpv=17 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.us.com/v/2/?guid={12782BBC-2CAB-40F4-8FDD-EACE9BDFD994}&serpv=17 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - DefaultScope {C2873392-AFEA-403E-AF62-43813BA8DB33} URL = http://search.us.com/serp?guid={7717DEDF-F653-42C8-AA6E-EE663D952E5A}&action=default_search&serpv=5&k={searchTerms} SearchScopes: HKCU - {15CDBF3E-5CAD-49C8-8880-281A137B02DD} URL = SearchScopes: HKCU - {C2873392-AFEA-403E-AF62-43813BA8DB33} URL = http://search.us.com/serp?guid={7717DEDF-F653-42C8-AA6E-EE663D952E5A}&action=default_search&serpv=5&k={searchTerms} SearchScopes: HKCU - {D890F5F8-1CCA-45E6-B433-1853D437B11F} URL = http://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10513 Task: {08D287CB-C656-40D2-A62D-ED995F4037F4} - \Funmoods No Task File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. W Autoruns w karcie Logon odznacz te pozycje: HKLM\...\Run: [AdobeAAMUpdater-1.0] - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [446392 2012-04-04] (Adobe Systems Incorporated) HKLM\...\Run: [Nvtmru] - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\NvTmru.exe [1028384 2013-11-08] (NVIDIA Corporation) HKLM-x32\...\Run: [AdobeCS5ServiceManager] - C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe [402432 2010-07-22] (Adobe Systems Incorporated) HKLM-x32\...\Run: [switchBoard] - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated) HKLM-x32\...\Run: [bCSSync] - C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [89184 2012-11-05] (Microsoft Corporation) HKLM-x32\...\Run: [sunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation) HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated) HKLM-x32\...\Run: [WinampAgent] - C:\Program Files (x86)\Winamp\winampa.exe [74752 2012-06-20] (Nullsoft, Inc.) HKLM-x32\...\Run: [AdobeCS6ServiceManager] - C:\Program Files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe [1073312 2012-03-09] (Adobe Systems Incorporated) HKLM-x32\...\Run: [Adobe Acrobat Speed Launcher] - F:\Adobe\Acrobat 10.0\Acrobat\acrobat_sl.exe [36760 2011-09-05] (Adobe Systems Incorporated) HKLM-x32\...\Run: [Acrobat Assistant 8.0] - F:\Adobe\Acrobat 10.0\Acrobat\acrotray.exe [2904984 2011-09-05] (Adobe Systems Inc.) HKLM-x32\...\Run: [CanonSolutionMenuEx] - C:\Program Files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE [1637528 2012-10-09] (CANON INC.) HKCU\...\Run: [AcerCloud] - C:\Program Files (x86)\Acer\Acer Portal\acpanel_win.exe [18193152 2013-10-30] (Acer Incorporated) HKCU\...\Run: [ALLUpdate] - C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe [2995712 2013-07-19] (ALLPlayer Group Ltd.) HKCU\...\Run: [DAEMON Tools Lite] - C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe [3675352 2013-10-28] (Disc Soft Ltd) W karcie Services pozycje SkypeUpdate, SwitchBoard, NAUpdate, Nero BackItUp Scheduler, nvUpdatusService oraz NvStreamSvc ze względu na te błędy: Application errors: ================== Error: (11/29/2013 10:57:42 AM) (Source: NvStreamSvc) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (11/29/2013 10:57:42 AM) (Source: NvStreamSvc) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] W karcie Scheduled Tasks odfajkuj zadania Adobe, Google, Nero. 3. Zresetuj system. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. Wypowiedz się czy są jakieś zmiany w działaniu. .

W kwestii: Nie wiem co się stało. Rzeczywiście licznik zablokował się, choć powinien być aktualizowany co godzinę. Uruchomiłam ręcznie zadanie przeliczania. Będę śledzić, czy zadanie startuje automatycznie wg harmonogramu. EDIT: Wygląda na to, że zadanie w harmonogramie uruchamia się zgodnie z planem.

Edycja w szablonie skórki iSkin wprowadzona (domyślna skóra forum nie jest zmodyfikowana). Wyczyśćcie cache przeglądarki + przeładowanie strony przez CTRL+F5 i sprawdźcie jak zachowuje się edytor forum na IE11 (bez ręcznego emulowania IE10).

Jeszcze dopisałam w poprzednim poście: To jest emulacja IE10 tylko w taki sposób, byście nie musieli tego ręcznie ustawiać za każdym razem. Gdy wprowadzę to obejście, dam znać.

wieslaw531 Wszystkie fora IPB na to cierpią. CKEditor wbudowany w najnowszą dostępną wersję forum nie jest kompatybilny z IE11 i niestety to oznacza oczekiwanie na całkiem nową wersję forum integrującą nowszy edytor z fiksami (prawdopodobnie daleka wersja 4.x). Jest kilka problemów z IE11 w kombinacji z edytorem forum: Internet Explorer 11 - Copy Paste issue Internet Explorer 11 - Cannot upload attachments IE11 editor link button dead end Spróbuj poprzedniego triku (KLIK), tylko ustaw emulację na IE10. EDIT: Na forum IPB podano tymczasowe obejście (KLIK). Sprawdzę je w wolnej chwili.

IPB nie posiada tego out-of-box. Na forach IPB, gdzie jest ta funkcja, jest zamontowana dodatkowa nieoficjalna modyfikacja (Selective quoting). Instalacja ta nie zostanie tu wprowadzona z następujących powodów: 1. Od początku istnienia forum trzymam się zasady nie instalowania dodatków, bez których można się obyć: - Zainteresowanie tą funkcją jest bardzo słabe. Potrzebę takiego rozwiązania zgłosiły tylko dwie osoby na przestrzeni ponad 3 lat działania forum: w 2010 przy otwarciu oraz Ty. - Im bardziej zmodyfikowane forum, tym większe problemy przy kolejnych aktulizacjach (utrzymanie kompatybilności dodatków) oraz możliwość spowolnienia forum. Przy diagnostyce problemów można także wykluczyć wpływ niedomyślnych elementów. Dialog z supportem IPB także ułatwiony (pierwszym krokiem jest ... usuwanie niestandardowych dodatków). 2. Fixitpc.pl działa na IPB 3.4.5, linkowana modyfikacja jest niezgodna z tą wersją. Jest jeszcze wersja innego autorstwa, ponoć kompatybilna, ale i tak nie widzę sensu instalacji: nadchodzi IPB 4.0 (kod forum przepisany od zera) i poprzednie dodatki i tak stracą sens (wszystkie niedomyślne elementy muszą być stworzone na nowo, o ile autorzy w ogóle je wydadzą). Aktualizacja 2018: Nieaktualne. Funkcja jest w standardzie linii IPB 4.x - do wglądu wątek Aktualizacja forum.

Wracam powoli do siebie. Od poniedziałku powinnam być bardziej aktywna, choć jeszcze w środę mnie czeka wizyta kontrolna w szpitalu. Dzięki wszystkim za wsparcie.

Mam kłopoty zdrowotne. Dnia 18 listopada zostanę poddana operacji.

Dziś wyszła wersja poprawkowa IP.Board 3.4.6. Szczerze mówiąc nie wiem czy będziemy aktualizować. Dużo fiksów w tej wersji nas i tak nie dotyczy (mamy wyłączone określone funkcje), a część i tak już mamy załadowaną patchami. Instalacja zdaje się na pierwszy rzut oka być nieopłacalna. Wiecie jak to jest z aktualizacjami, po każdej wychodzą nowe bugi, a aktualnie uzyskany stan jest zbyt zadawalający. Jeszcze się zastanowię...

Jan49, czy przeczytałeś mój post? Przecież napisałam, że ta komenda to staroć. I podałam w ogóle inne instrukcje. Dla formalności skomentuję: - Zarówno błąd ("Odmowa dostępu"), jak i ścieżka (C:\Users\Rej) sugerują jednak CMD uruchomione w kontekście konta użytkownika bez podniesieia uprawnień. Czy na pewno mówimy o tym samym "Uruchom jako Administrator" (prawoklik na cmd)? - Inna możliwość: ustawienia całej Zapory są nieprawidłowe, brak uprawnień do kluczy relatywnych. Pytanie: co robiłeś przed napisaniem tu posta, jakie kroki tyczące Zapory i usług BFE, MpsSvc, SharedAccess?

jessika By uniknąć takich monstrualnych wklejek, proszę kieruj do tematu gdzie są gotowe załączniki PolicyAgent i RemoteAccess dla systemów Vista +: KLIK. muzyk75 Jest tu Windows 7, więc komenda "netsh firewall reset" to stara komenda, która wprawdzie się uruchamia, ale ma mniejszy zakres funkcji. Do resetu służy nowa komenda netsh advfirewall reset. Więcej: KB947709. Ponadto, tu brakuje reguł domyślnych: Checking FirewallRules of SharedAccess: ATTENTION!=====> Unable to open "SharedAccess\Defaults\FirewallPolicy\FirewallRules" registry key. The key does not exist. Komenda nie odtworzy klucza FirewallRules. Jan49 Nie dostarczyłeś pliku fixlog.txt. Wszystkie operacje przetwarzane przez FRST muszą być sprawdzone. Na dodatek ja tu widzę jakieś dziwne rzeczy sugerujące przeinaczenie instrukcji: została zadana konkretna kolejność działań: skrypt do FRST i pokazanie pliku fixlog.txt, a potem dopiero RogueKiller. Skrypt powinien usunąć ZeroAccess, a log z RogueKiller wykazuje usuwanie obiektów, które miały być już usunięte. Co Ty właściwie robiłeś? Przyczyną jest brak powyższego klucza, ale właściwie w ogóle nie jest znana cała postać klucza SharedAccess oraz jego uprawnienia. FSS to ograniczony skan. A po zdekompletowaniu klucza SharedAccess nasuwa się podejrzenie, że ta usługa może być niepoprawna także w innych częściach. ZeroAccess kasuje cały klucz SharedAccess, a skoro tu jest on tylko niepełny, to wygląda na jakieś skutki nieprawidłowych napraw... Proponuję odtworzyć klucz SharedAccess od zera: 1. Najpierw skasuj aktualny klucz. Uruchom regedit i usuń cały: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess 2. Następnie odtwórz cały klucz SharedAccess na podstawie instrukcji: KLIK. Czyli: import pliku REG dla SharedAccess + nałożenie uprawnień SharedAccess via SetACL. 3. Zresetuj system.

W końcu się zabraliśmy za zaległe znaki. Robota zajęła cały dzień. Konwersja była robiona w oparciu o tabelę UTF-8 Encoding Debugging Chart (przetworzona większość prawdopodobnych tu ciągów). Zapytania wyszukiwania i konwersji zostały przeprowadzone na głównych tabelach postów i tematów. Tak więc zostały ominięte takie rzeczy jak Wasze sygnatury czy komentarze w profilach. Wybaczcie, tego już nie mieliśmy po prostu sił przeszukiwać, a jest tam mniejsza szansa wystąpienia takich znaków. Tak więc proszę tu teraz zgłaszać wszystkie wyłapane krzaki na forum sprzed daty 23-03-2013 (konwersja bazy), one już zostaną przeze mnie ręcznie poprawione. Krzaki mogą być w następujących miejscach: - Jak powiedziane: Wasze profile i podpisy. - W postach pojedyncze wystąpienia nietypowych znaków. - W postach skrypty np. do OTL, do których z logów były przeklejane jakieś nienaturalne "chińskie" ciągi. Te rzeczy muszą być ponownie przeklejone z oryginalnego raportu w załączniku. - W postach jakieś wklejki z innych raportów czy zawartości plików rodzaju autorun.inf (może być dużo śmieciowych ciągów, które muszą być usunięte w całości). - W postach wyciągi z okna cmd. W normalnych okolicznościach output cmd z polskimi znakami jest "niepoprawny" (polskie ogonki są zastępowane krzakami). Jednakże taki stan został dodatkowo zaprawiony konwersją bazy i mogą wystąpić jakieś skomasowania śmieci. O takie wyniki mi chodzi. A co do problemu ze znakiem "Ł" nakreślonym w postach #23 i #31, który ujawniał się tylko na Operze na XP: cuda, cuda. Problem się sam rozwiązał bez naszej interwencji. Ostatnia wersja Opery na silniku autorskim Presto (Opera 12.16) zainstalowana na XP w ogóle tego już nie pokazuje w poście, najnowsza seria Opera 17 na nowym silniku Webkit tym bardziej. Po drugie: w bazie znak jest poprawny, nie ma czego konwertować.

To sugeruje, że nie został poprawnie usunięty filtr aswKbd z urządzeń. A skoro "nie mogli odinstalować jakiegoś antywira", to prawdopodobnie może tu być też problem ze sterownikami Kasperskiego, które również filtrowały urządzenia klawiatur i myszy: R3 klkbdflt; C:\Windows\System32\DRIVERS\klkbdflt.sys [29280 2013-10-15] (Kaspersky Lab ZAO) R3 klmouflt; C:\Windows\System32\DRIVERS\klmouflt.sys [29280 2013-10-15] (Kaspersky Lab ZAO) Daj im wstępnie takie instrukcje: 1. Pobierz FRST i zapisz na pendrive. Przygotuj plik naprawczy. Otwórz Notatnik i wklej: Reg: reg add HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f Reg: reg add HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d mouclass /f Reg: reg query HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} Reg: reg query HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 2. F8 > Napraw komputer > Wiersz polecenia > uruchom FRST i na początek opcja Scan, a gdy on się ukończy opcja Fix. Powstaną pliki FRST.txt + Fixlog.txt. Przedstaw oba. 3. Sprawdź czy działa klawiatura / touchpad przy wchodzeniu do Windows. .

Nie, wirus nie jest "stary", choć owszem niektóre pliki podrabia na "stare". A Twoje działanie, jak rozumiem zmiana daty systemu, nie jest prawidłową naprawą tylko oszustwem, które ma na dodatek liczne skutki uboczne (m.in. problemy z certyfikatami na stronie). Proszę odwrócić wprowadzone zmiany i podać raporty do oceny. .