picasso

1. Infekcji na tym koncie również nie widać, tylko śmieci Avira + adware SweetIM w przeglądarkach. To może, niezależnie od tego, że sprawa ujawnia się tylko na jednym koncie, jest to jednak wpływ programu działającego globalnie. Konkretnie tu mi się nasuwa Online Armor, to zresztą jakaś stara wersja z 2009, ewentualnie Avira lub połączenie obu. Zrób test wstępny, tzn. wyłącz rezydenta tego programu i sprawdź jak to się ma do konta Księgowa. Jeśli nie będzie skutków, proponuję program odinstalować (to najlepszy test). Zawsze będzie można sprawdzić jak zachowuje się najnowsza wersja. 2. Co do SystemLook, to widać ścieżki punktujące napędy F i J nie występujące w spisie OTL (ale OTL nie listuje napędów CD-ROm): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup] "Installation Sources"="F:\NetMOS\NM9805\Win2K_XP_2003Server C:\DOCUMENTS AND SETTINGS\KSIEGOWA\PULPIT\DEL_2KXPINF\PLK\DRIVERS\WIN2K_XP C:\DOCUMENTS AND SETTINGS\KSIEGOWA\PULPIT\2KXPINF\PLK\DRIVERS\WIN2K_XP C:\PROGRAM FILES\MARVELL\MINIPORT DRIVER\ J:\" "SourcePath"="J:\" Jeśli chcesz zlikwidować ten błąd GMER, możesz ustawić obie ścieżki na C:\, tak jak w linkowanym temacie. Ja jednak nie sądzę, że jest to konieczne. 3. Co do śmieci adware, to na każdym koncie z osobna zapuść AdwCleaner (opcja Usuń). Przed uruchomieniem czyszczenia przekonfiguruj, by program ominął adware Avira (usunięcie równe zdjęciu osłony Web), tzn. w menu ? > Opcje > zaznacz /DisableAskDetection. Program utworzy logi z usuwania na dysku C, zaprezentuj je. .

PIO jest przyczyną zmulenia: Jeśli chcesz to ciągnąć i usprawniać dalej, to z prawokliku odinstaluj kanał na którym jest PIO i zresetuj system. Windows zrekonstruuje kanał i jeśli wszystko pójdzie dobrze, przyzna mu DMA. Windows uzyska dawną sprawność sprzed skanu GMER. To już osobny wątek. Plik sterowników nVidia tu widnieje. Nasuwa się ich aktualizacja, o ile to nie są skutki właśnie aktualizacji. .

Nic podejrzanego nie widać, a wpis Lexmark nie jest już "not found". Tylko kosmetyczne działania, tzn. usunięcie wpisów pustych i szczątków adware: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Premium %userprofile%\Dane aplikacji\BabSolution %userprofile%\Dane aplikacji\Babylon %userprofile%\Dane aplikacji\Mozilla\Firefox\Profiles\57iyyolf.default\searchplugins\babylon.xml %userprofile%\Dane aplikacji\Mozilla\Firefox\Profiles\57iyyolf.default\searchplugins\BrowserProtect.xml %userprofile%\Dane aplikacji\Mozilla\Firefox\Profiles\57iyyolf.default\searchplugins\delta.xml :OTL O3 - HKU\S-1-5-21-1935655697-1659004503-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1935655697-1659004503-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. O9 - Extra Button: PokerStars.eu - {07BA1DA9-F501-4796-8728-74D1B91A6CD5} - C:\Program Files\PokerStars.EU\PokerStarsUpdate.exe File not found O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} http://update.nprotect.net/keycrypt/cabal/npkcx_inca.cab (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ivkunbke.sys -- (ivkunbke) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva400.sys -- (XDva400) :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart. Przedstaw log z wynikami usuwania OTL. 2. Uruchom AdwCleaner i zastosuj Usuń. Przedstaw log z usuwania utworzony na dysku C. .

Czy wykonałeś sprawdzanie dysku? Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep komendę chkdsk /f /r i zresetuj system. Podczas startu systemu wykona się sprawdzanie dysku. Wyniki zostaną nagrane w Dzienniku zdarzeń w gałęzi Aplikacja: szukaj rekordu ze źródłem Wininit, pobierz jego szczegóły i przeklej statystyki checkdiska do oceny. .

Wszystko zrobione. Na dysku przenośnym I są różne dziwne obiekty, więc będę to usuwać. 1. Przy podpiętym urządzeniu mapowanym jako "I" uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files I:\jvxos I:\ovnft I:\fqxed I:\ptmxb I:\pqhvt I:\fovri I:\vfskt I:\imvng I:\vtlhi I:\celwj I:\qaamm I:\vewpq I:\lvvnj I:\Ĺ®ÓŃĐ´ŐćŐŐƬ.exe I:\Č«ĽŇ¸Ł.exe I:\ÄĐÓŃŇŐĘőŐŐ.exe I:\predeftemp I:\PREDEF~1 rd /s /q C:\Recycled /C rd /s /q C:\RECYCLER /C rd /s /q D:\RECYCLER /C rd /s /q I:\FOUND.000 /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. 2. Przedstaw log z wynikami usuwania OTL + nowy USBFix z opcji Listing. .

Log z OTL jest kuriozalnie wielki, bo zrobiony w złych warunkach = czas komputera skopany, ustawienie na ponad 11 lat do tyłu: OTL logfile created on: 2002-01-01 00:43:40 - Run 2 Skoryguj czas systemu. Brak oznak infekcji, tylko adware Ask Toolbar (Avira SearchFree Toolbar plus Web Protection) wprowadzone przez Avira (warunek korzystania z funkcji osłony Web) + szczątki SaveByClick. Ale: I logi te są bezużyteczne pod kątem oceny konta "Księgowa" i tego co się na nim dzieje. OTL skanuje aktualnie zalogowane sprawne konto Administrator. By ocenić zdefektowane konto "Księgowa", należy być na nim zalogowanym. Czy jest możliwe zalogowanie na to konto w Trybie awaryjnym i zrobienie nowego raportu OTL z poziomu tego konta? Oczywiście po korekcie daty komputera. Widać w oknie GMER, że błąd się pokazuje w momencie, gdy GMER przetwarza w rejestrze klucz SOFTWARE\Microsoft\Windows\CurrentVersion\Setup posiadający m.in. definicje napędu z którego instalowano system. Do porównania temat: KLIK. Poproszę o ten sam typ skanu. Uruchom SystemLook i w oknie wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup Klik w Look. Fałszywy alarm na komponentach innego skanera. Zważ na ścieżkę: D:\4439a8cb29d7b2f4dc450b700c\MRT.exe. Ten "podejrzany" alfanumeryczny folder to tymczasowy folder rozpakowywania aktualizacji Windows Update. Aktualizacje Windows przed zasadniczą instalacją są rozpakowywane do losowych folderów na dysku, który ma obliczone najwięcej wolnego miejsca, czyli niekoniecznie na C i aktualnie D jest docelowe: %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files Drive C: | 61,07 Gb Total Space | 33,02 Gb Free Space | 54,06% Space Free | Partition Type: NTFS Drive D: | 404,69 Gb Total Space | 315,81 Gb Free Space | 78,04% Space Free | Partition Type: NTFS MRT.exe = Narzędzie do usuwania złośliwego oprogramowania firmy Microsoft (KB890830). .

To adware zainstalowane wraz z innym programem i wygląda na to, że świnię podłożył YTD Video Downloader, bo czas powstawania plików zbieżny: [2013-05-18 00:09:44 | 000,000,000 | ---D | C] -- C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserProtect [2013-05-18 00:09:43 | 000,000,000 | ---D | C] -- C:\Windows\System32\searchplugins [2013-05-18 00:09:43 | 000,000,000 | ---D | C] -- C:\Windows\System32\Extensions [2013-05-18 00:09:37 | 000,000,000 | ---D | C] -- C:\ProgramData\BrowserProtect [2013-05-18 00:08:34 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon [2013-05-18 00:08:33 | 000,000,000 | ---D | C] -- C:\Users\Kacper\AppData\Roaming\Babylon [2013-05-18 00:07:57 | 000,000,000 | ---D | C] -- C:\Users\Kacper\AppData\Roaming\OpenCandy [2013-05-17 23:55:44 | 000,000,000 | ---D | C] -- C:\ProgramData\YTD Video Downloader [2013-05-17 23:55:43 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: BrowserProtect, PrivitizeVPN, YTD Video Downloader. 2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Ten fragment wypowiedzi mnie zastanawia, ponieważ dostarczony tu log jest zrobiony z poziomu Trybu normalnego i zalogowanego konta "Ja", konto jest zainfekowane, na dysku nie widać obiektów żadnego innego konta... Przy okazji: są ślady stosowania skanera SpyHunter, skaner wątpliwej reputacji i niepolecany tutaj. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Files C:\Users\Ja\AppData\Roaming\skype.dat C:\Users\Ja\AppData\Roaming\skype.ini C:\Users\Ja\AppData\Roaming\OpenCandy C:\Users\Ja\AppData\Roaming\mozilla\firefox\profiles\e4y1hg4u.default\searchplugins\daemon-search.xml C:\Program Files (x86)\Przyspiesz Komputer C:\Program Files\Enigma Software Group C:\sh4ldr :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={44104CE7-75F4-4B3E-9773-8A51CCF5B32B}&mid=063b76e36f804cf3a2b5d0b1dbcf86d8-5d4fb3bbcad1a91e7f78f64f192a1bba13116329&lang=pl&ds=ik011&pr=&d=2012-10-19 13:06:36&v=14.2.0.1&pid=avg&sg=&sap=dsp&q={searchTerms} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [PCSpeedUp] C:\Program Files (x86)\Przyspiesz Komputer\PCSpeedUp.lnk () O4 - HKCU..\Run: [hndfwej] C:\Users\Ja\AppData\Local\gcpwfn.exe File not found O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Odinstaluj adware: - Przez Panel sterowania odinstaluj: AVG Security Toolbar, DAEMON Tools Toolbar, McAfee Security Scan Plus, uTorrentBar Toolbar, vShare.tv plugin 1.3. - W Google Chrome w Rozszerzeniach odinstaluj: AVG Security Toolbar, uTorrentBar, vshare plugin. - W Firefox w Dodatkach odinstaluj: DAEMON Tools Toolbar, uTorrentBar Community Toolbar. 3. Uruchom AdwCleaner. Uwaga: masz zainstalowaną Avirę z adware Ask Toolbar + Avira SearchFree Toolbar plus Web Protection Updater, ale niestety adware jest warunkiem korzystania z osłony Web. By nie naruszyć tej funkcji, AdwCleaner musi zostać skonfigurowany, by ominąć usuwanie tego szczególnego adware: klik w menu ? > Opcje > zaznacz /DisableAskDetection. Po skonfigurowaniu programu wykorzystaj opcję Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner. .

Tak, infekcja jest widoczna. Prócz tego jeszcze adware. 1. Odinstaluj adware: - W Dodaj/Usuń programy odinstaluj ContinueToSave, Search Assistant SoftQuick 1.66. - W Google Chrome w Rozszerzeniach odinstalu Ask Toolbar, Bruowse2saavee, continuetosave, PutLockerDownloader V3.0. - W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-484763869-562591055-1417001333-1003..\Run: [Microsoft Windows System] C:\Documents and Settings\Piotrek11\P-7-78-8964-9648-3874\windll.exe () O4 - HKU\S-1-5-21-484763869-562591055-1417001333-1003..\Run: [MSConfig] C:\Documents and Settings\Piotrek11\ophffzre.exe (Корпорация Майкрософт) IE - HKLM\..\SearchScopes\%SearchDefender_IESearchEngineGuid%: "URL" = http://search.gboxapp.com/?q={searchTerms} IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.soft-quick.info/?l=1&q={searchTerms} IE - HKU\S-1-5-21-484763869-562591055-1417001333-1003\..\SearchScopes\%SearchDefender_IESearchEngineGuid%: "URL" = http://search.gboxapp.com/?q={searchTerms} IE - HKU\S-1-5-21-484763869-562591055-1417001333-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&affID=119776&babsrc=SP_ss&mntrId=C0991C6F652F9FFB IE - HKU\S-1-5-21-484763869-562591055-1417001333-1003\..\SearchScopes\{16732FC3-F9AB-42F3-9084-161FCEF4F22B}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=SGT&o=APN10374&src=crm&q={searchTerms}&locale=&apn_ptnrs=^AHO&apn_dtid=^YYYYYY^YY^PL&apn_uid=82e12ec6-ad62-44df-ae0e-83d602a20eb9&apn_sauid=70881E7A-096D-4741-BD43-12B8FCE94C6B IE - HKU\S-1-5-21-484763869-562591055-1417001333-1003\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.soft-quick.info/?l=1&q={searchTerms} O9 - Extra Button: Zaznaczanie HP Smart - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) :Files C:\Documents and Settings\Piotrek11\lcm.exe C:\Documents and Settings\Piotrek11\P-7-78-8964-9648-3874 C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\Bruowse2saavee C:\Documents and Settings\All Users\Dane aplikacji\continuetosave C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Premium C:\Documents and Settings\All Users\Dane aplikacji\SoftSafe C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer C:\Documents and Settings\Piotrek11\Dane aplikacji\Babylon C:\Documents and Settings\Piotrek11\Dane aplikacji\DSite C:\Documents and Settings\Piotrek11\Dane aplikacji\OpenCandy C:\Documents and Settings\Piotrek11\Dane aplikacji\SendSpace C:\Documents and Settings\Piotrek11\Ustawienia lokalne\Dane aplikacji\PutLockerDownloader C:\Documents and Settings\Piotrek11\Menu Start\Programy\PutLockerDownloader.com C:\Program Files\PutLockerDownloader C:\WINDOWS\tasks\ContinueToSaveUpdaterTask{90D697FA-C8EE-4FAE-B812-68A3AB878CC0}.job :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Piotrek11\P-7-78-8964-9648-3874\windll.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER (przed uruchomieniem należy wymontować sterownik SPTD emulacji napędów). Dołącz log z usuwania OTL z punktu 2 oraz log utworzony przez AdwCleaner. .

Infekcja "policyjna" jest. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Files C:\Users\Właściciel\AppData\Roaming\AltShell.dat C:\Users\Właściciel\AppData\Roaming\AltShell.ini :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny (blokada zniknie). W katalogu H:\_OTL powstanie log z wynikami usuwania. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. .

Skrypt pomyślnie wykonany. Wielokrotnie był uruchamiany GMER. Sprawdź czy nie wystąpiły skutki uboczne skanu, czyli obniżenie szybkości transferu dysku z DMA do PIO. Instrukcje weryfikacji: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Ważną linią przy ocenie jest "bieżący tryb transferu". .

To proponuję od razu zrobić reset ustawień DNS. Szukaj ustawień podobnych do tych w linkowanym już temacie: KLIK. .

Brak raportu z GMER. Widzę, że jest na dysku i widzę, że miałeś trudności z jego uruchomieniem: Error - 2013-05-17 08:52:59 | Computer Name = MAREK | Source = Application Hang | ID = 1002 Description = Aplikacja zawieszająca gmer.exe, wersja 2.1.19163.0, moduł zawieszenia hungapp, wersja 0.0.0.0, adres zawieszenia 0x00000000. Czy był także i BSOD? W raportach OTL żadnych oznak infekcji. I tu wątpię, by o nią chodziło. Crashe przeglądarek mogą być tylko jedną z powierzchownych oznak grubego problemu objawionego w postaci: Toteż logiczniejszym założeniem jest, że nie chodzi o infekcję. To może być problem sprzętowy. I właśnie do działu Hardware przerzucam na diagnostykę. 1. W Dzienniku zdarzeń świeże nagrania BSOD, w sekwencji różne kody (i czasowo to wygląda jakby jeden za drugim): [ System Events ] Error - 2013-05-17 08:39:38 | Computer Name = MAREK | Source = System Error | ID = 1003 Description = Kod błędu 1000007f, parametr 1 0000000d, parametr 2 00000000, parametr 3 00000000, parametr 4 00000000. Error - 2013-05-17 08:40:27 | Computer Name = MAREK | Source = System Error | ID = 1003 Description = Kod błędu 10000050, parametr 1 e3789000, parametr 2 00000000, parametr 3 bf81efaf, parametr 4 00000001. Error - 2013-05-17 08:40:33 | Computer Name = MAREK | Source = System Error | ID = 1003 Description = Kod błędu 1000008e, parametr 1 c0000005, parametr 2 bf84897e, parametr 3 b940aac4, parametr 4 00000000. Error - 2013-05-17 08:40:35 | Computer Name = MAREK | Source = System Error | ID = 1003 Description = Kod błędu 1000007f, parametr 1 0000000d, parametr 2 00000000, parametr 3 00000000, parametr 4 00000000. Jeśli kody są różne, to może sugerować problem RAM. Na razie jednak diagnostyka BSOD, czyli punkt 5 w ogłoszeniu: KLIK. Spakuj cały katalog C:\Windows\Minidump i dostarcz tu. 2. Dostarcz dane wymagane działem Hardware: KLIK. .

Uruchom jeden z programów do usuwania strumieni (KLIK) i za jego pomocą wytnij strumień Zone.Identifier doklejony do tego pliku. Z drugiej strony ... Plik już kiedyś swobodnie otwierałeś, a opcja Odblokuj nie działa. Może plik jest uszkodzony? To jak najbardziej prawidłowe, na tym to polega. Opcja Odblokuj usuwa strumień i zanika, bo usunięto te dane. I zaraz, pokazujesz mi obrazek z tą opcją dla określonego ZIP = czy ta opcja jest nadal widzialna dla felernego pliku? .

Mój serwis można wspomóc dotacją. W mojej sygnaturze jest link. Temat rozwiązany. Zamykam.

Nie mnie to oceniać, skoro komputer jest użytkowany przez tyle osób. Ja tu podaję tylko kroki istotne pod kątem zabezpieczania. Zbędność innych rzeczy to już dyskusja z innymi użytkownikami komputera. To już nieaktualne. Przecież zaleciłam to: .

Dlaczego nie możesz przejść do Trybu awaryjnego? Jeśli ten biały ekran pokazuje się zaraz po uruchomieniu i to wcześniej niż można wywołać Tryb awaryjny, to może to wcale nie infekcja tylko problem karty graficznej. Zrób raport z poziomu środowiska zewnętrznego za pomocą FRST. .

1. Program wykrył tylko ... ekhm ... crack do ESET. W ogóle w całości przez SHIFT+DEL skasuj folder F:\GRY\Seweryn\NOD 32\NOD32 Antivirus System 2.70.39 CRACK, gdyż to i tak bezużyteczne (do bardzo archaicznej wersji ESET). 2. Wykonaj aktualizacje poniżej wyliczonych programów: KLIK. Konkretnie tu spis wersji z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java™ 6 Update 15 "{3248F0A8-6813-11D6-A77B-00B0D0160040}" = Java™ 6 Update 4 "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10 "Adobe Acrobat 4.0" = Adobe Acrobat 4.0 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) "Gadu-Gadu" = Gadu-Gadu 7.7 Czyli: odinstaluj wszystkie stare wersje Adobe + Java (to ich luki są furtką do infekcji), zainstaluj najnowsze (o ile potrzebne), zaktualizuj Skype. Zakreśliłam też Gadu-Gadu 7.7, gdyż program jest bardzo stary (nie obsługuje w pełni nowych cech sieci GG) i mało bezpieczny (nie ma szyfrowania). Polecam alternatywne programy WTW, Kadu, Miranda NG, AQQ: KLIK. 3. Zainstaluj zabezpieczenia dodatkowe. O Avast była już mowa. Dodatkowo polecam piaskownicę SandBoxie do bezpieczenego przeglądania. .

Folder "Dane aplikacji" jest tylko ukryty. By go widzić należy mieć ustawione odpowiednio opcje widoku w Mój komputer > Narzędzia > Opcje folderów > Widok: zaznaczone Pokaż ukryte pliki i foldery + odznaczone Ukryj chronione pliki systemu operacyjnego. Po to właśnie potrzebny log, by było wiadome co program znalazł i jak z tym postąpić. Nie, to jest uzupełnienie programu antywirusowego, nie zastępuje go. .

Korekta w rejestrze wykonana poprawnie. Tu jest chyba nieporozumienie. Ten program jest specjalizowany w usuwaniu informacji deinstalacyjnych programu a nie programu per se. Czyli w tym konkretnym przypadku tylko rejestracji MSI od COMODO, ale nie jego innych składników (sterowniki / foldery i pliki powiązane). Jeśli nie wskazałeś ręcznie wpisu COMODO, nie zostało to usunięte. W związku z tym, że jest to niejasna akcja, ponownie uruchom narzędzie, wybierz tryb nieautomatyczny i sprawdź czy na liście deinstalacji widnieje wpis COMODO Internet Security. .

Ten drugi log TDSSKiller usuwam (i tak ucięty), ważny tylko ten z usuwania. I bardzo ładnie infekcja zeszła, w GMER ustąpiły odczyty, problemy w przeglądarkach także powinny być przeszłością. Czynności końcowe, podczas wykonywania punktów 1+2 musi być wyłączony Tea-Timer w Spybot - Search & Destroy: 1. W AdwCleaner uruchom Usuń. Gdy program ukończy działanie, skorzystaj z funkcji Odinstaluj. 2. Korekty po AdwCleaner (nadpisze domyślne wyszukiwarki IE). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Gdy program ukończy działanie, uruchom w nim Sprzątanie. 3. Przez SHIFT+DEL skasuj z dysku foldery: C:\TDSSKiller_Quarantine C:\Documents and Settings\edruzkowska\Pulpit\Stare dane programu Firefox 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu są tu wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.7) - Polish "Mozilla Firefox 20.0.1 (x86 pl)" = Mozilla Firefox 20.0.1 (x86 pl) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation) A Spybot - Search & Destroy radzę się pozbyć. Program przestarzały i mało przydatny. Poza tym, w systemie są ESET + MBAM. 6. Prewencyjnie zmień hasła logowania w serwisach. .

Tu jednak pewna niezgodność nastąpiła, bo skrypt OTL nie znalazł plików infekcji na dysku. Poza tym, jakaś dziwność w skrypcie, obcięło ostatni wpis Run i go nie przetworzyło. Jedziemy na koniec: 1. Mini poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_USERS\S-1-5-21-306668310-3028303226-4035374318-1002\Software\Microsoft\Windows\CurrentVersion\Run] "ROC_JAN2013_TB"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RemoveNetPanel"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Files C:\Program Files\NetPanel Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do aktualizacji cały Windows oraz wtyczki Adobe: KLIK. Wg raportu krytyczny stan Windows (brak SP1 + SP2 + IE9 + reszty łat wydanych po): Windows Vista Home Premium Edition (Version = 6.0.6000) - Type = NTWorkstation Internet Explorer (Version = 7.0.6000.16982) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_169.dll () .

Mówisz o "fixach" MS, ale nie podajesz linków do artykułów, ja tylko mogę się domyślać co zastosowałeś. Czy tu na pewno chodzi o zbieżność z aktualizacjami Windows? W systemie jest zainstalowany Kaspersky Internet Security 2013, który zazębia się z tym tematem, ponieważ jako jedną z funkcji adresuje filtrowanie skryptów Windows. Proponuję sprawdzić na początek ten trop, czyli: 1. Wyłącz osłoną skryptową w KIS. Tu cytuję jak to idzie dla starszej wersji, nie mam pod ręką 2013: Zresetuj system. 2. Druga sprawa to niska wersja Internet Explorer (jego silnik jest używany przez gadżety): Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 8.0.7601.17514) Zaktualizuj conajmniej do wersji IE9. Na razie wersji IE10 nie podsuwam, gdyż był tu na forum temat, gdzie po instalacji IE10 w kombinacji z KIS gadżety właśnie padły. .

Akcja pomyślnie przeprowadzona. Czynności końcowe: 1. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Usuń wszystkie stare Java (jedna z przyczyn infekcji) i produkty Adobe, zainstaluj Skype i Office 2010 (instalacja SP1), opcjonalnie instalacja IE10: KLIK. Wersje widziane w systemie: Internet Explorer (Version = 9.0.8112.16421) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java™ 6 Update 22 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22 "{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.4) MUI "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera) .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Arek\AppData\Roaming\skype.ini C:\Users\Arek\AppData\Roaming\skype.dat C:\Program Files\Mozilla Firefox\extensions\{c15a6566-f9c5-b8e0-1c14-0cb56b302dac} C:\Program Files\Mozilla Firefox\updated\extensions\{c15a6566-f9c5-b8e0-1c14-0cb56b302dac} :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):"autocheck autochk *" :OTL IE - HKLM\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=bafdb17a-6580-11e1-990f-001e37e2980c&q={searchTerms} IE - HKLM\..\SearchScopes\{b0441a0e-a49a-4e16-afc1-74ecced1921f}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^UX^xdm015^YY^pl&si=maps4pc&ptb=17EFE5ED-3452-46D1-B6C0-C9C219DBBF49&ind=2013011916&n=77fc1fcc&psa=&st=sb&searchfor={searchTerms} IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=708&r=2013/04/09&hid=785817772&lg=EN&cc=PL IE - HKU\S-1-5-21-306668310-3028303226-4035374318-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^YYYYYY^YY^PL&apn_uid=0B3434EF-0E4B-4C92-B242-ECBA0C3AE8A5&apn_sauid=2BA21722-E678-4501-975D-6B6E5EA8E952 IE - HKU\S-1-5-21-306668310-3028303226-4035374318-1000\..\SearchScopes\{A7CB016E-5D74-4EF7-A1D4-6D00B9FD26A6}: "URL" = http://isearch.avg.com/search?cid={429B7A38-52AD-4775-8574-4924EA07BB54}&mid=ba3939c04d0d47d19d7fd157710671ff-90cbb0b7ce0c83e5ab192633efcac0b58f9e8ef2&lang=pl&ds=AVG&pr=fr&d=2012-02-19 14:02:30&v=10.0.0.7&sap=dsp&q={searchTerms} IE - HKU\S-1-5-21-306668310-3028303226-4035374318-1000\..\SearchScopes\{b0441a0e-a49a-4e16-afc1-74ecced1921f}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^UX^xdm015^YY^pl&si=maps4pc&ptb=17EFE5ED-3452-46D1-B6C0-C9C219DBBF49&ind=2013011916&n=77fc1fcc&psa=&st=sb&searchfor={searchTerms} IE - HKU\S-1-5-21-306668310-3028303226-4035374318-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=708&r=2013/04/09&hid=785817772&lg=EN&cc=PL O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O3 - HKU\S-1-5-21-306668310-3028303226-4035374318-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-306668310-3028303226-4035374318-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKU\S-1-5-21-306668310-3028303226-4035374318-1002..\Run: [ROC_JAN2013_TB] "C:\Program Files\AVG Secure Search\ROC_JAN2013_TB.exe" /PROMPT /CMPID=JAN2013_TB File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Odinstaluj adware: - Przez Panel sterowania odinstaluj Browse2sAvE, BrowseToSave 1.74, NetPanel, Seearch-NNeewTab, OptimizerPro. - W Google Chrome w Rozszerzeniach powtórz deinstalację Badanie Megapanel PBI/Gemius - W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom Autoruns i w karcie Scheduled Tasks usuń zadanie OptimizerProUpdater i wszystkie o statusie "not found". Powinno być też zadanie związane z paskiem AVG. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz utworzony przez AdwCleaner. .