domiskra Opublikowano 27 Października 2012 Zgłoś Udostępnij Opublikowano 27 Października 2012 Witam, dopadł mnie problem już wielokrotnie poruszany - weelsoft. Akcje podejmowane przeze mnie: 1)próby wpisywania kodów wygenerowanych losowo - nieudane 2)próba ręcznego usunięcia poprzez tryb awaryjny z wierszem polecenia (sam tryb awaryjny nie działa) na koncie zainfekowanym + msconfig (instrukcja z komputerswiat.pl) - nie widać tych "dziwnych nazw" w zakładce uruchomione", które trzeba wyłączyć - tak jak widnieje w intrukcji na tamtej stronie komputer nie miał do czynienia z combofixem, nie ściągałem go pomny ostrzeżeń W chwili obecnej z komputera korzystam na innym koncie użytkownika. Proszę o pomoc - komputer potrzebny w pracy i na studiach nie wiem, czy to ma znaczenie, ale dodam: 1) komputer już przed złapaniem tego trojana mulił strasznie przy uruchamianiu - ok.2-3 minut od włączenia do gotowości; nie wiem czy to tylko wina dwóch antywirusów, czy czegoś innego; 2) ponadto wiatrak się włącza już przy ok. 50 stopniach (komp oczyszczony powietrzem) i chodzi prawie cały czas Załączam logi: OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 27 Października 2012 Zgłoś Udostępnij Opublikowano 27 Października 2012 W chwili obecnej z komputera korzystam na innym koncie użytkownika. I logi zostały zrobione z poziomu tego konta, co jest w większości przypadków bezużyteczne. Logi muszą pochodzić z konta, na którym jest problem. Konta mają inne rejestry i foldery, za każdym razem jest ładowany inny rejestr i OTL przedstawia tylko widok danego konta w obszarze użytkowników. Tu tylko przypadkiem akurat widać infekcję tamtego konta, gdyż wynika to ze specyfiki pokazywania folderów Autostart, ale inne elementy tamtego konta nie sprawdzone wcale. 1) komputer już przed złapaniem tego trojana mulił strasznie przy uruchamianiu - ok.2-3 minut od włączenia do gotowości; nie wiem czy to tylko wina dwóch antywirusów, czy czegoś innego; Pierwszy typ to właśnie podwójny antywirus. Niewątpliwie przesadziłeś. ArcaVir + Rising Internet Security?! Po uporaniu się z problemem podstawowym wyeliminuj jeden z nich. 2) ponadto wiatrak się włącza już przy ok. 50 stopniach (komp oczyszczony powietrzem) i chodzi prawie cały czas Sprawa do działu Hardware. Tam panują inne zasady i inne dane się prezentuje. Wszystko opowiadają przyklejone. Przechodząc do usuwania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Rodzice\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\0tbpw.pad C:\ProgramData\Common Files C:\Users\Rodzice\AppData\Roaming\Diybfe C:\Users\Rodzice\AppData\Roaming\Enuc C:\Users\Rodzice\AppData\Roaming\Eryg :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :OTL O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O4 - HKU\.DEFAULT..\Run: [fsc-reg] C:\ProgramData\fsc-reg\fscreg.exe File not found O4 - HKU\S-1-5-18..\Run: [fsc-reg] C:\ProgramData\fsc-reg\fscreg.exe File not found O4 - HKU\S-1-5-21-2651693254-233013980-3163538551-1000..\Run: [] File not found O4 - HKU\S-1-5-21-2651693254-233013980-3163538551-1000..\Run: [DANT] File not found O4 - HKU\S-1-5-21-2651693254-233013980-3163538551-1000..\Run: [fsc-reg] C:\ProgramData\fsc-reg\fscreg.exe File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. 2. Przez Panel sterowania odinstaluj adware ACA Systems DB Toolbar, AVG Security Toolbar, QuickStores-Toolbar 1.2.0. Otwórz Firefox i w Dodatkach powtórz deinstalację ACA Systems DB Toolbar. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3. . Odnośnik do komentarza
domiskra Opublikowano 27 Października 2012 Autor Zgłoś Udostępnij Opublikowano 27 Października 2012 mam 3 konta - "dominik" - adm, "roch" - użytk, "rodzice" - użytkownik. log wygenerowałem z innego konta, niż to, na którym jest infekcja, ponieważ logując się na tamto zainfekowane ("Rodzice"), od razu jest biały ekran z komunikatem, widoczny jest tylko w tle podczas działania Menadżera (ctrl+alt+del) - innymi słowy nic się nie da zrobić na tamtym koncie. Zadania wykonane, ale się nie powiodło :/ Wystąpił problem podczas działania skryptu - komunikat "Program OLT przestał działać - zbieranie informacji...itd" po czym program OLT się wyłączył, wyłączył się również explorer (widoczny tylko pulpit i boczny pasek) - wszystkie operacje wykonywane na koncie "Roch" uruchomiłem ponownie komputer, zalogowałem się na zainfekowane konto - nadal biały ekran i komunikat, zalogowałem się na działające konto i powtórzyłem procedurę z OLT - ten sam komunikat + informacja " czy chcesz aby pliki: 1) C:\Users\Dominik\AppData\Local\Temp\WER5C13.tmp.version.txt 2) to samo... \WER709E.tmp.appcompet.txt 3) to samo.... \WER732.tmp.mdmp zostały wysłane do microsoft?" kliknąłem nie. Trzecia próba - włączyłem OLT w trybie awaryjnym na koncie "Roch" i wtedy dopiero OLT nie zawiesiło się. Komputer się zrestartował, ale konto "Rodzice" nadal jest zainfekowane - tzn. jest biały ekran, zaś eksplorer widoczny jest w tle, gdy się z tego konta wylogowuję używając ctrl+alt+del. konto zainfekowane nie działa również w trybie awaryjnym - nie wiem więc jak uruchomić OLT na tym koncie (może przez wiersz polecenia...? - ale niestety nie umiem tego zrobić). Gdy komputer podłączony jest do sieci, zamiast białego ekranu widać komunikat udający policję - z tym że u mnie nie jest tak, jak u większości Wydział Cyberprzestępczości czy jakoś tak - może to inna wersja weelsofa? Proszę o dalszą pomoc w miarę możliwości i dziękuję za tą już udzieloną Cały czas korzystam z konta "roch". Załączam nowy log z olt wykonany po wszystkim z konta "roch" i log z adwcleanera - procedura również na tym koncie. OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 Wystąpił problem podczas działania skryptu - komunikat "Program OLT przestał działać - zbieranie informacji...itd" Być może wynik przegięcia z oprogramowaniem zabezpieczającym. Tu cały czas widać ten duplikat, jest to bardzo niezdrowe i może blokować określone procedury. Trzecia próba - włączyłem OLT w trybie awaryjnym na koncie "Roch" i wtedy dopiero OLT nie zawiesiło się. I znów zmiana konta i znów pewien problem. Jak mówię: gdy jesteś zalogowany na danym koncie, jest załadowany rejestr tego konta i OTL nie widzi rejestru drugiego konta. W moim skrypcie były uwzględnione wpisy określonego konta, to z którego były tworzone logi, czyli skrypt musiał być uruchomiony na określonym koncie. Na przyszłość: nie zmieniaj sobie ot tak kontekstu konta przy takich działaniach jak skrypty usuwające... Komputer się zrestartował, ale konto "Rodzice" nadal jest zainfekowane - tzn. jest biały ekran, zaś eksplorer widoczny jest w tle, gdy się z tego konta wylogowuję używając ctrl+alt+del. konto zainfekowane nie działa również w trybie awaryjnym - nie wiem więc jak uruchomić OLT na tym koncie (może przez wiersz polecenia...? - ale niestety nie umiem tego zrobić). Gdy komputer podłączony jest do sieci, zamiast białego ekranu widać komunikat udający policję - z tym że u mnie nie jest tak, jak u większości Wydział Cyberprzestępczości czy jakoś tak - może to inna wersja weelsofa? Tu powinien działać start do Trybu awaryjnego. W takim stadium ta infekcja się nie uaktywnia i nie ma przeszkód, by wykonać raporty z OTL i przeprowadzić usuwanie. 90% użytkowników tu na forum przechodzi przez tę procedurę. Być może problem w tym jaki Tryb awaryjny wybierasz, no więc jaki? Nie wybieraj tego z obsługą sieci (na tym infekcja może uzyskać łączność internetową), a jeśli nie działa nawet zwykły bez sieci to wybierz Tryb awaryjny z obsługą Wiersza polecenia i z linii komend uruchom OTL. Co do wariantu infekcji: wg raportu z konta Dominik na koncie Rodzice była infekcja w wariancie ze skrótem ctfmon.lnk, wg kolejnego raportu brak już tych śladów na dysku (co sugeruje usunięcie przez skrypt). To konto jednak nie może być wiarygodne, gdyż jest oglądane jego środowisko a nie Rodziców. Skoro na koncie Rodzice cały czas ujawnia się symptom infekcji, to może sugerować że jest tam jeszcze jeden wariant, a skoro nie wchodzi Tryb awaryjny zwykły, to może to być wariant uruchamiany przez wartość Shell (powłoka) tego konta. Tylko, że z poziomu Dominików / Rochów tego nie sprawdzisz. Log OTL musi być zrobiony z poziomu konta Rodzice. Cały czas korzystam z konta "roch". Proszę o logi z konta Rodzice, bo cały czas oglądam nie ten rejestr i nie te katalogi co należy i to jest bezużyteczne. Zanim to zrobisz przeprowadź jednak wstępne działania: 1. Na dowolnym sprawnym koncie: Skoryguj sprawę antywirusów. Odinstaluj jedną z aplikacji, wskazuję na Rising, bo jest starszy. 2. Na dowolnym sprawnym koncie: nie wygląda byś odinstalował adware ACA Systems DB Toolbar, AVG Security Toolbar. Wywal to. 3. Na dowolnym sprawnym koncie zapisz OTL w ścieżce C:\OTL.exe. Zastartuj do Trybu awaryjny z obsługą Wiersza polecenia logując się na konto Rodzice. W linii komend wpisz C:\OTL.exe i ENTER, Zrób log z opcji Skanuj. . Odnośnik do komentarza
domiskra Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 Na przyszłość: nie zmieniaj sobie ot tak kontekstu konta przy takich działaniach jak skrypty usuwające... to nie tak, Przepraszam, może trochę zamieszałem już mówię po kolei: mam trzy konta: Dominik -administrator, Rodzice - zwykły użytkownik( zainfekowane) i ów nieszczęsny Roch - zwykły użytkownik. od czasu infekcji korzystam TYLKO z tego ostatniego konta (rocha) - z niego cały czas piszę - z niego były dotychczasowe logi - na niego więc pewnie stworzyłaś skrypt - z tego samego konta skrypt uruchamiałem, a więc słucham się Ciebie wiernie Masz rację w zupełności - tryb awaryjny (zwykły, bez niczego) nie działa na zainfekowanym koncie "Rodzice" - nawiasem mówiąc próbowałem się dostać na tamto konto tylko poprzez zwykły tryb awaryjny, nie włączałem tego z obsługą sieci. Problem więc był następujący - nie umiałem się dostać na zainfekowane konto w żaden sposób - Ty podpowiedziałaś wiersz polecenia - i w rzeczy samej - jedynie ten tryb działa na zainfekowanym koncie. Ale przyznam się szczerze, iż bez podpowiedzi nie wiedziałbym, jak z wiersza polecenia skorzystać teraz to wydaje się rzeczywiście nie takie trudne, dzięki;) zrobiłem logi OTL i extra z poziomu zainfekowanego konta w trybie wiersz polecenia- te załączam w poście. Natomiast teraz oczywiście, logując się na to forum korzystam z konta "roch" od infekcji używam tylko tego konta. Działa również konto administratora - "dominik", z niego jednak nie korzystam, nie robiłem też na nim żadnych logów, nie uruchamiałem na nim skryptu. Biorąc pod uwagę ewentualny następny skrypt, rozumiem, że będę musiał zrobić analogicznie, tzn. wejść na zainfekowane konto w trybie awaryjnym z wierszem polecenia i uruchomić OTL, po czym wykonać skrypt. przed logami usunąłem rising, a adware'owych programów nie widzę ani w panelu sterowania-odinstaluj programy, ani w dodatkach w mozilli załączam logi zrobione z zainfekowanego konta Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 mam 3 konta - "dominik" - adm, "roch" - użytk, "rodzice" - użytkownik. + od czasu infekcji korzystam TYLKO z tego ostatniego konta (rocha) - z niego cały czas piszę - z niego były dotychczasowe logi - na niego więc pewnie stworzyłaś skrypt - z tego samego konta skrypt uruchamiałem, a więc słucham się Ciebie wiernie Od pierwszego do ostatniego loga wszystkie mają w nagłówku jako zalogowane konto Dominik: Computer Name: DOMINIK_MŁODY | User Name: Dominik | Logged in as Administrator. Skrypt był robiony dla logów z konta Dominik, bo takie podałeś w pierwszym poście. Teraz podany log z konta Rodzice ..... też ma w nagłówku, że jest z Dominika, ale widać infekcję = to jest log z Rodziców. To co powyżej już zupełnie nieistotne. Nowe logi = jest potwierdzenie tego co wytypowałam, czyli dwa warianty infekcji (jeden już usunięty), a ten który został uruchamia się przez wartość Shell. Przechodzimy do usuwania, oczywiście musisz być zalogowany na Rodzicach: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Rodzice\AppData\Roaming\msconfig.dat C:\Users\Dominik\AppData\Roaming\ACASystems C:\Users\Rodzice\AppData\Roaming\ACASystems :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :OTL IE - HKU\S-1-5-21-2651693254-233013980-3163538551-1001\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - No CLSID value found O4 - HKU\S-1-5-21-2651693254-233013980-3163538551-1001..\Run: [Aksiip] C:\Users\Rodzice\AppData\Roaming\Eryg\kofa.exe File not found O4 - HKU\S-1-5-21-2651693254-233013980-3163538551-1001..\Run: [VistaBatterySaver] C:\Program Files\SharpSoft\Vista Battery Saver\VistaBatterySaver.exe File not found DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_usbenumfilter.sys -- (ew_usbenumfilter) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i blokada zniknie. Opuść Tryb awaryjny. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
domiskra Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 do wcześniejszego: nie przełączałem kont, naprawdę, sam nie wiem czemu tam wszędzie było dominik. EDIT: mam pomysł z tym userem "dominik" może to dlatego, że przy włączaniu programu OTL wyskakiwała kontrola konta użytkownika, i trzeba było wpisać hasło administratora, czy to nie zadziałało więc na tej samej zasadzie, jak bym włączając OTL zrobił prawoklik i wybrał "uruchom jako administrator" ? Teraz też log zrobiłem z konta "Rodzice", a w tym pliku widnieje user "dominik logged as administrator" . przechodząc do meritum: Blokada zniknęła nie dało się scalić fix.reg z konta "Rodzice", ale z konta admina ("dominik") dało radę. teraz piszę już z odinfekowanego konta "Rodzice", załączam log z OTL z tego konta oczywiście no i przede wszystkim DZIĘKUJĘ BARDZO Ci Picasso za poświęcony czas, xie xie ! jesteś Wielka postaram się odwdzięczyć. mam w związku z tym pytanie, ale może wyślę je na pw, po zakończeniu akcji, chyba że to już koniec ale jakbyś miała wolny czas (wątpię czy go masz przez takich jak ja), to kiedyś zgłoszę się do Ciebie i poproszę o zerknięcie w system tak ogólnie właśnie pod kątem śmieci spowalniających komputer. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 29 Października 2012 Zgłoś Udostępnij Opublikowano 29 Października 2012 EDIT: mam pomysł z tym userem "dominik" może to dlatego, że przy włączaniu programu OTL wyskakiwała kontrola konta użytkownika, i trzeba było wpisać hasło administratora, czy to nie zadziałało więc na tej samej zasadzie, jak bym włączając OTL zrobił prawoklik i wybrał "uruchom jako administrator" ? Owszem, to dlatego. Konto Rodzice jest limitowane i przy akcji wymagającej uprawnień administracyjnych następuje "przełączenie" kontekstu konta. Nie wypowiadasz się czy po usunięciu nadwyżki antywirusów polepszyła się kondycja startu. Prawie wszystko zostało wykonane. Wykończenia tematu: 1. Ten wpis infekcji wcale się nie usunął: O20 - HKU\S-1-5-21-2651693254-233013980-3163538551-1001 Winlogon: Shell - (C:\Users\Rodzice\AppData\Roaming\msconfig.dat) - File not found Z poziomu konta administratorskiego Start > w polu szukania wpisz regedit > wejdź do klucza: HKEY_USERS\S-1-5-21-2651693254-233013980-3163538551-1001\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Skasuj ze środka wartość Shell. 2. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na wszelki wypadek zrób jeszcze skanowanie w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
domiskra Opublikowano 30 Października 2012 Autor Zgłoś Udostępnij Opublikowano 30 Października 2012 Z poziomu konta administratorskiego Start > w polu szukania wpisz regedit > wejdź do klucza: HKEY_USERS\S-1-5-21-2651693254-233013980-3163538551-1001\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Skasuj ze środka wartość Shell. Picasso, nie ma takiej pozycji w regedit - jest 1) HKEY_USERS\S-1-5-21-2651693254-233013980-3163538551-1000 albo 2) HKEY_USERS\S-1-5-21-2651693254-233013980-3163538551-1000_Classes W tej pierwszej wersji są dalssze foldery, ale nie ma pozycji shell w winlogon, natomiast w drugiej wersji nie ma folderu windows NT w folderze Microsoft. Start poprawił się po wyeliminowaniu jednego z antywirusów (risinga), ale to jeszcze nie jest to, co być powinno (w porównianiu do innych vist u znajomych). Odnośnik do komentarza
picasso Opublikowano 30 Października 2012 Zgłoś Udostępnij Opublikowano 30 Października 2012 Wpis jest na koncie Rodzice (konto wg raportu ma SID równy S-1-5-21-2651693254-233013980-3163538551-1001). Skoro z poziomu innych kont nie widać tego, niestety trzeba będzie usuwać to będąc zalogowanym na Rodzicach. Tylko jest problem: to konto limitowane.... Zaloguj się na Rodzice, uruchom regedit i sprawdź co widać w kluczu: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon . Odnośnik do komentarza
domiskra Opublikowano 30 Października 2012 Autor Zgłoś Udostępnij Opublikowano 30 Października 2012 jest tam shell - typ: REG_SZ Dane: explorer.exe,C:\Users\Rodzice\AppData\Roaming\msconfig.dat oprócz shell, są tam: Domyślna BuildNumber ExcludeProfileDirs FirstLogon ParseAutoexec Odnośnik do komentarza
picasso Opublikowano 30 Października 2012 Zgłoś Udostępnij Opublikowano 30 Października 2012 To spróbuj z prawokliku skasować Shell. Odnośnik do komentarza
domiskra Opublikowano 30 Października 2012 Autor Zgłoś Udostępnij Opublikowano 30 Października 2012 dało radę. natomiast musiałem to zrobić będąc jednocześnie zalogowanym na administratorze i na koncie "Rodzice" (przełączanie kont, operacja wykonana z konta "Rodzice"), ponieważ będąc zalogowanym na samym zainfekowanym wcześniej koncie w dziale "winlogon" była tylko wartość "domyślne", nie było widać shella. Teraz shell skasowany. A propos czasu uruchamiania komputera - zmierzyłem na koncie Rodzice (zwykły użytkownik): od naciśnięcia przycisku do gotowości: 2 minuty 20 sekund ( w tym od naciśnięcia przycisku do momentu wyboru użytkownika: 30 sekund). Jakie dalsze wskazówki Picasso? Odnośnik do komentarza
picasso Opublikowano 30 Października 2012 Zgłoś Udostępnij Opublikowano 30 Października 2012 Na zakończenie jeszcze aktualizacje: KLIK. Lista aplikacji do interwencji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{1701765B-6D93-43C6-A835-DD423517581F}" = OpenOffice.org 3.2"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java 6 Update 24"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_2_202_233.dll () Wszystkie stare Adobe i Java odinstaluj przed wprowadzaniem najnowszych wersji. Start poprawił się po wyeliminowaniu jednego z antywirusów (risinga), ale to jeszcze nie jest to, co być powinno (w porównianiu do innych vist u znajomych). 1. No cóż, to jeszcze ArcaBit do przetestowania ... Być może okaże się, że trzeba wymienić aplikację czymś mniej inwazyjnym. 2. Ogólnie zaś, skoro tu ma być jakikolwiek antywirus, wyłącz wbudowany w system Windows Defender (zbędny). Uruchom Autoruns i w kartach Logon + Services wyłącz oba wpisy Defendera i zresetuj system. PS. W systemie jest też łase na zasoby Gadu-Gadu 10. Poczytaj o alternatywach z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi