System progressive scan

[marcin1999]

Witam!!! W dniu 27 listopada 2012 roku komputer został zablokowany (zainfekowany) przez System progressive scan. Po zresetowaniu komputera infekcja została usunięta podczas scanowania Malwarebytes Anti-Malware z konta innego użytkownika ,który ma prawa administatora, i jako tako problem przestał dokuczać. Zaskoczyło mnie ,że antywirus Ashampoo Anti-Malware w ogóle nie zareagował na tą infekcję, brak jakiekolwiek próby obrony, przynajmniej żaden komunikat się nie pojawił , a problem zaistniał podczas grania grę sieciową, z którą nigdy nie było problemu ( rycerze). Piszę o tym dopiero teraz , gdyż czytam sobie wasze forum i zainteresowałem się przypadkiem http://www.fixitpc.p...ogressive-scan/ i dziś zauważyłem ,że gdy klikam na centrum zabezpieczeń systemu, dostaje zwrot o treści " z powodu niezidentyfikowanego problemu system Windows nie może wyświetlić ustawień zapory systemu Windows".

 

Komputer po usuwaniu przez Malwarebytes Anti-Malware zachowuje się na pierwszy rzut oka normalnie. Były jeszcze w użyciu takie programy jak CCleaner, Eusing Free Registry Cleaner

 

oto logi

 

OTL:

http://wklej.org/id/893103/

 

Extras:

http://wklej.org/id/893108/

 

GMER:

http://wklej.org/id/892428/

mbam-log-2012-11-27 (17-32-17).txt

[picasso]

Piszę o tym dopiero teraz , gdyż czytam sobie wasze forum i zainteresowałem się przypadkiem https://www.fixitpc.pl/topic/14622-system-progressive-scan/ i dziś zauważyłem ,że gdy klikam na centrum zabezpieczeń systemu, dostaje zwrot o treści " z powodu niezidentyfikowanego problemu system Windows nie może wyświetlić ustawień zapory systemu Windows".

Tak, gdyż System Progressive Protection to niestety nie jedyna infekcja, która tu miała miejsce. W systemie zagnieździł się także rootkit ZeroAccess (usuwał go MBAM). ZeroAccess niszczy usługi systemowe, kasuje z rejestru: Zaporę systemu, Centrum zabezpieczeń, Windows Update. Dodaj log z Farbar Service Scanner.

 

Dodatkowo, niepokoi mnie niedopasowany wątek w GMER w sekcji Threads, który sugeruje rootkita Rloader. Na wszelki wypadek zrób jeszcze skanowanie w Kaspersky TDSSKiller. Jeśli coś wykryje, nic nie usuwaj i przyznaj akcję Skip, dostarcz jego log. Jeśli nic nie znajdzie, log zbędny.

 

 

 

.

[marcin1999]

Kaspersky TDSSKiller wykrywa

Virus.WIN32.Rloader

service: ACPI

 

Log TDSSKiller:

http://wklej.org/id/893136/

 

Farbar Service Scanner:

http://wklej.org/id/893131/

[picasso]

Moje podejrzenie na temat dziwnego wątku w GMER się sprawdziło. Kolejna infekcja w systemie, rootkit Rloader...

 

 

Przechodząc do usuwania infekcji:

 

1. Uruchom TDSSKiller, ale tym razem dla wyniku Virus.Win32.Rloader.a przyznaj akcję Cure. Zresetuj system.

 

2. Odblokuj plik HOSTS. Uruchom GrantPerms i w oknie wklej:

 

C:\WINDOWS\system32\drivers\etc\hosts

 

Klik w Unlock. Następnie zresetuj plik do postaci domyślnej XP (aktualnie nie jest taka) za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Documents and Settings\All Users\Dane aplikacji\44C58FE4EBC2D067000044C54B25D69D
C:\Documents and Settings\marcin\Dane aplikacji\*.exe
C:\Documents and Settings\All Users\Dane aplikacji\CPA_VA
C:\Documents and Settings\marcin\Moje dokumenty\SoftonicDownloader_for_euro-truck-simulator-2.exe
C:\Documents and Settings\marcin\Pulpit\bundlesweetimsetup.exe
C:\Documents and Settings\marcin\Pulpit\Search the Web.url
C:\Documents and Settings\marcin\Pulpit\SweetPcFix.url
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
 
:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10002&barid={4E7C4930-3575-11E2-B7C8-001E8C21AAC7}"
IE - HKU\S-1-5-21-682003330-1965331169-725345543-1003\..\SearchScopes\{DCDBBF03-BC10-457D-911F-EFB0321D22BE}: "URL" = ${SRCH_SCP_URL}
IE - HKU\S-1-5-21-682003330-1965331169-725345543-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10002&barid={4E7C4930-3575-11E2-B7C8-001E8C21AAC7}"
IE - HKU\S-1-5-21-682003330-1965331169-725345543-1003\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - SOFTWARE\Classes\CLSID\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\InprocServer32 File not found
O3 - HKU\S-1-5-21-682003330-1965331169-725345543-1003\..\Toolbar\WebBrowser: (BitTorrentBar Toolbar) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - Reg Error: Value error. File not found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O16 - DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\hlmvoeka.sys -- (wihyy)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Odbuduj skasowane przez trojana ZeroAcces usługi Centrum Zabezpieczeń i Zapory plus korekta nieprawidłowo naprawionych przez MBAM kluczy zmodyfikowanych przez ZeroAccess. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[-HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32]
@="C:\\WINDOWS\\system32\\wbem\\fastprox.dll"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Centrum zabezpieczeń"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\
  6d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="LocalSystem"
"Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\
  00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego"
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:0000042e
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Adnotacja dla innych czytających: import dopasowany do Windows XP.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

5. Przez Panel sterowania odinstaluj adware Internet Explorer Toolbar 4.6 by SweetPacks, Softonic for Windows, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1. Od razu pozbądź się też zbędnego Akamai NetSession Interface.

 

6. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

7. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

8. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), GMER, Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[marcin1999]

Witam

tak edytowane jest celowo zainstalowany i bym prosił jako ojciec o usunięcie wzmianek o tym programie (syn coraz lepiej korzysta z google). Zabieram się do wykonania zaleceń.

 

Wszystkie zalecenia wykonane.

Dodatkowo odinstalowałem antywirus Ashampoo Anti-Malware (skoro nie potrafił zareagować na infekcje) i zamierzam zainstalować Avast 7 Free no chyba ,że są inne sugestie:).

 

LOG z AdwCleaner

 

http://wklej.org/id/893340/

 

OTL

 

http://wklej.org/id/893359/

 

FSS

 

http://wklej.org/id/893369/

 

 

Gmer

 

http://wklej.org/id/893438/

Edytowane 10 Grudnia 2012 przez marcin1999
Info o programie wycięte. //picasso

[marcin1999]

Witam !!! Mam kolejny problem z komputerem . Od dzisiaj podczas logowania się do kont użytkownika w trybie normalnym pojawia się pusty pulpit, Włączając menedżera Windows zwykle było 27 proceców uruchomianych a w trybie normalnym tylko 18 , z menedżera nie idzie nic uruchomić . W trybie awaryjnym uruchamia się komputer , wg logów Z OTL udało mi się wyczytać ,że

 

"Nie można załadować następujących sterowników startu rozruchowego

lub systemowego: Aavmker4 aswSnx aswSP aswTdi Fips Processor"

 

Proszę o pomoc w rozwiązaniu tego problemu

 

OTL

 

http://wklej.org/id/895083/

 

Extras

 

http://wklej.org/id/895085/

 

TDSS rootkit

 

http://wklej.org/id/895088/

[picasso]

Poprzedni temat nie ukończony. Dlaczego zakładasz nowy. Połączę je razem. Do tamtego jeszcze nie doszłam, bo nie było mnie tu i odrabiam dopiero straty.

 

 

"Nie można załadować następujących sterowników startu rozruchowego

lub systemowego: Aavmker4 aswSnx aswSP aswTdi Fips Processor"

 

To normalne, bo:

 

W trybie awaryjnym uruchamia się komputer

 

Start systemu w Trybie awaryjnym generuje "błędy" ładowania określonych sterowników.

 

 

 

.

[marcin1999]

Pani Picasso temat nowy założyłem , gdyż problem zrobił się nowy. W poprzednim temacie problem był innego kalibru, został odinstalowany antywirus na rzecz Avasta.. Do wczoraj komputer uruchamiał się normalnie, nie było widać żadnych działań ubocznych ,

A tu dziś po włączeniu klops na całego, nie można wejść normalnie w żadne konto. Logowania się na konto użytkownika( oba na prawach administratora, z tym że do końca działania było używane tylko konto użytkownika Marcin ) trwa około 2 minut a potem sam goły pulpit., Malwarebytes Anti-Malware ani Avast nie znajdują żadnego problemu.

 

Gmer

 

http://wklej.org/id/895122/

[picasso]

Tematy sklejam. Problem nowy, ale to ten sam system i to poszkodowany zaraz po, nie zostały też wcale zakończone operacje z poprzednim tematem (i podjąłeś działania na własną rękę, zmiany antywirusa nie zalecałam, bo to czynność na sam koniec, nie w momencie który wybrałeś), ani zadane odpowiednie czynności porządkowe. Tak tu się prowadzi tematy: nie zostaje sklasyfikowany jako nowy, jeśli są spełnione wymienione warunki.

 

 

W poprzednim temacie problem był innego kalibru, został odinstalowany antywirus na rzecz Avasta.. Do wczoraj komputer uruchamiał się normalnie, nie było widać żadnych działań ubocznych ,

 

No właśnie, to może Avast + MBAM blokują start. Tryb awaryjny startuje = coś ładuje się w normalnym, a m.in. są to sterowniki programów zabezpieczających. To nie pierwszy temat na forum, gdzie są takie objawy z winy skanerów. Zacznij od wyłączenia rezydenta MBAM i zobaczymy co z tego wyniknie.

 

 

---

Wracając do tematu czyszczenia po infekcji: usługi pomyślnie odbudowane, ale skrypt w połowie się nie przetworzył + również brak jakichkolwiek oznak wykonania resetu Firefox. Wymagane też poprawki po użyciu AdwCleaner. Powtórka:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:OTL
[2012-11-27 17:16:58 | 000,000,761 | RHS- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.old
IE - HKU\S-1-5-21-682003330-1965331169-725345543-1003\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - SOFTWARE\Classes\CLSID\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\InprocServer32 File not found
O3 - HKU\S-1-5-21-682003330-1965331169-725345543-1003\..\Toolbar\WebBrowser: (BitTorrentBar Toolbar) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - Reg Error: Value error. File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\hlmvoeka.sys -- (wihyy)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)

 

Klik w Wykonaj skrypt.

 

2. W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[marcin1999]

W trybie awaryjnym usunąłem zarówno Avasta, z którym komputer urachamiał się normalnie od niedzieli jak i MBAM, który był od samego poczatku ( nie była zaznaczona przez ze mnie opcja rezydenta). Konta w trybie normalnym się uruchamiają. Nadgorliwy byłem przepraszam. przystępuje do dalszych zaleceń. ( a już była płyta przygotowana do formatu)

 

OTL

 

http://wklej.org/id/895211/

 

Czekam na dalsze sugestie i zalecenia .

Edytowane 12 Grudnia 2012 przez marcin1999

[picasso]

Dwie sprawy:

 

1. Skrypt znów nie wygląda na w pełni wykonany. Czy Ty przypadkiem omyłkowo nie ominąłeś przy przeklejaniu dyrektywy :Reg? Ta część skryptu właśnie nie wykonana. Powtarzaj. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software

 

Klik w Wykonaj skrypt.

 

2. Nadal nie ma żadnych oznak resetu Firefox, śmietnisko nadal wielkie:

 

========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.defaultthis.engineName: "4shared.com Customized Web Search"
FF - prefs.js..browser.search.defaulturl: ""
FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000.10002&barid={4E7C4930-3575-11E2-B7C8-001E8C21AAC7}"
FF - prefs.js..extensions.enabledAddons: {EEE6C361-6118-11DC-9C72-001320C79847}:1.6.0.3
FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&crg=3.1010000.10002&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2233703&SearchSource=3&q={searchTerms}"
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q="
 
[2012-12-10 18:02:27 | 000,169,792 | ---- | M] () (No name found) -- C:\Documents and Settings\marcin\Dane aplikacji\Mozilla\Firefox\Profiles\3nzfg1n5.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
[2012-05-09 09:30:12 | 000,000,925 | ---- | M] () -- C:\Documents and Settings\marcin\Dane aplikacji\Mozilla\Firefox\Profiles\3nzfg1n5.default\searchplugins\conduit.xml
[2012-05-12 07:25:30 | 000,002,060 | ---- | M] () -- C:\Documents and Settings\marcin\Dane aplikacji\Mozilla\Firefox\Profiles\3nzfg1n5.default\searchplugins\softonic.xml
[2012-11-23 14:55:16 | 000,003,998 | ---- | M] () -- C:\Documents and Settings\marcin\Dane aplikacji\Mozilla\Firefox\Profiles\3nzfg1n5.default\searchplugins\sweetim.xml

 

Co się dzieje podczas resetu Firefox?

 

 

 

.

[marcin1999]

Dziękuję, za dalsze instrukcje.

 

OTL

 

http://wklej.org/id/896180/

 

 

Firefox na tą chwilę został odinstalowany, cały czas korzystam z Opery.

 

W jaki sposób sprawdzic czy nie mam gdzieś pozostałości po odinstalowaniu antywirusów i MBAM by wykluczyć ponownych problemów , Zamierzam, gdy juz wszystko bedzie ok wrócic do Avasta i do MBAM( bez rezydenta,tylko skan na żądanie)

[picasso]

Wykonane, tylko drobne poprawki.

 

1. Doczyść klucze Firefox z rejestru. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Mozilla]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu są tu wersje:

 

Internet Explorer (Version = 7.0.5730.11)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.6
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010

 

Czyli: odinstaluj wszystkie wystąpienia Adobe Flash + Java i zastąp najnowszymi, zaktualizuj systemowy Internet Explorer oraz Skype, zainstaluj pakiet SP1 dla Office 2010.

 

 

 

W jaki sposób sprawdzic czy nie mam gdzieś pozostałości po odinstalowaniu antywirusów i MBAM by wykluczyć ponownych problemów.

 

Nie widzę po nich śladu w raporcie OTL, czyli jest wystarczająco wyczyszczone.

 

 

 

 

.

[marcin1999]

Wszystkie punkty z ostanich zaleceń wykonane( mam nadzieję,że dobrze zostały przez ze mnie wykonane) . Avast zainstalowany z takimi samymi ustawieniami jak przed problemami z uruchomieniem normalne kont użytkownika i jak na razie wszystko w porządku. Jutro zainstaluje od nowa MBAM (na pewno bez rezydenta, którego nigdy nie było) i zobaczę co z tego wyniknie. Stosuje avasta wraz z MBAM, w domu na dwóch innych sprzętach i nigdy nic takiego mi się nie przydarzyło, aby aż tak systemowi odwaliło.

 

Mam pytanie chciałbym zrobić synowi na jego komputerze kopię zapasową systemu wraz z sterownikami jakie ma od płyty głównej, karty graficznej itd co muszę zrobić i jakim programem? Ma dysk 250 GB podzielony na 4 partycje więc mogę pare GB poświecić

[picasso]

Mam pytanie chciałbym zrobić synowi na jego komputerze kopię zapasową systemu wraz z sterownikami jakie ma od płyty głównej, karty graficznej idt co muszę zrobić i jakim programem?

 

Przykładowy darmowy program do tworzenia obrazu partycji: Macrium Reflet Free Edition.

 

 

 

.

[marcin1999]

Witam, zauważyłem ,że po zalogowaniu się na konto użytkownika stosunkowo szybko się pojawiaja ikonki na pasku zadań od avasta i programu nadzorującego ,ale potem po około minuty dłużej pojawia się ikonka dostępu do internetu a tym samym wydłuża się dostęp do przeglądarki Opera.

 

AutoRuns

 

http://wklej.org/id/896736/

 

BootLog XP

 

http://wklej.org/id/896739/

[picasso]

Widzę, że pojawił się Avast. No cóż, to może być właśnie przyczyna... Dla porównania topik: KLIK. Wstępnie sprawdź czy ma znaczenie wyłączenie niektórych osłon rezydentnych, np. Osłony sieciowej.

 

 

 

 

.

[marcin1999]

Wyłańczałem po kolei na stałe osłony Avasta, i po restarcie tak samo sie zachowuje . Avast wraz z innymi usługami ładuje się szybko ,ale długi czas oczekuje na ikonke internetu a tym samyw długo mieli aby otworzyła się przegladarka. Na ta chwilę odinstaluje wogóle avasta i zobaczę jaki będzie efekt by wykluczyć nie pożadane działanie tego antywirusa.

 

 

 

 

Odinstalowanie Avasta też nie dało poprawy nadal to samo. Po restarcie systemu internet długo długo się urochamia.

 

 

 

 

Od kilku dni komputer prosi o spraedzenie spójności danych na dysku D i E , gdy mu na to pozwalam nic nie znajduje a pomimo tego przy następnym rozruchu nadal prośba sie pojawia o sprawdzenie.

 

 

Pojawił się kolejny nie oczekiwany problem od wczoraj podczas próby rozmów na gg czy skypa przez mikrofon z chwila próby połaczenia zostaje natychmiastowo rozmowa pzrerwana z kontaktem. Ale gdy wykonyje np na skype rozmowe testowa wszystko jest ok. przeinstalowałem skype i problem jest nadal. Obecnie próbuje przeinstalowac sterowniki.

Edytowane 15 Grudnia 2012 przez marcin1999

[picasso]

długi czas oczekuje na ikonke internetu a tym samyw długo mieli aby otworzyła się przegladarka.

 

Sprawdź czy czysty rozruch wpływa na sytuację: KB310353.

 

 

Od kilku dni komputer prosi o sprawdzenie spójności danych na dysku D i E , gdy mu na to pozwalam nic nie znajduje a pomimo tego przy następnym rozruchu nadal prośba sie pojawia o sprawdzenie.

 

Wykonaj to:

 

Start > Uruchom > cmd

 

- Wpisz komendę fsutil dirty query D:. Jeżeli zwróci potwierdzenie:

- Wpisz komendę CHKNTFS /X D: i zresetuj komputer.

- Wpisz komendę CHKDSK /F /R D: i zresetuj komputer, doczekaj, aż narzędzie skończy.

- Na koniec zweryfikuj ponownie zwrot z fsutil.

 

Powtórz ten układ komend i dla dysku E, oczywiście wymieniając odpowiednio litery w komendach.

 

 

.

[marcin1999]

Po wgraniu sterowników do karty dźwiękowej problem z Skype i GG zniknął, ale zauważalne było bardzo długie kopiowanie sterowników z płyty. Dwa razy przerywałem ,gdyz sądziłem że 15 minut na wgrywanie pplików to zbyt długo ( niby pliki przechodziły , ale nie było komunikatu o pomyślnym zakończeniu ). po restracie komputera karta dźwiękowa zadziałała i niby jest ok.

 

 

Dostałem takie komunikaty

 

Walumin D: nie był zmieniany

typ systemu plików NTFS

PO

Wpisz komendę CHKDSK /F /R D: i zresetuj komputer, doczekaj, aż narzędzie skończy.

 

Klikłem Enter i zwrot Nie można uruchomić Chdsk, ponieważ wolumin używany jest przez inny proces. Można uruchomić program Chdsk po uprzedniej dezinstalacji woluminu. Wszystkie otwarte dojścia przestaną być prawidłowe czy chesz wymusić dezistalacje tego woluminu T/N klikłem T i

wolimin został zdeistalowany . Wszystkie otwarte dojścia do tego woluminu są teraz nieprawidłowe.

 

 

tak miało Być?

 

Dla dysku E powtórzyłem to samo i jest ok:)

 

po wykonaniu czystego rozruchu wg wskazówek wykonałem tylko skofigurowanie opcji uruchamianiu selektywnego i nie było efektu. Potem wykonałem cofnięcie zmian i ku mu jemu zdziwieniu po restarcie wszystko uruchomiło się jak zwykle szybciutko

 

Zrobiłem jeszcze test dysku Programem CrystalDiskInfo i wyszło mi coś takiego czy mam się obawiać o kondycje mojego dysku?

 

Edytowane 30 Stycznia 2013 przez picasso

[picasso]

Sprawy czyszczenia systemu z infekcji ukończone. Daj sygnał do zamknięcia tematu. Inne problemy już w nowych tematach dla porządku.

 

 

Potem wykonałem cofnięcie zmian i ku mu jemu zdziwieniu po restarcie wszystko uruchomiło się jak zwykle szybciutko o to efekt

 

To też mnie dziwi.

 

 

Dostałem takie komunikaty (...) tak miało Być?

 

Tak, dezinstalacja woluminu jest konieczna, by wykonać sprawdzanie dysku w trybie naprawczym.

 

 

Zrobiłem jeszcze test dysku Programem CrystalDiskInfo i wyszło mi coś takiego czy mam się obawiać o kondycje mojego dysku?

 

W tej kwestii załóż nowy temat w dziale Hardware. Podaj zgodnie z zasadami tego działu pełną specyfikację sprzętową, podane tu wyniki CrystalDiskInfo oraz może jeszcze skan+SMART wykonany w MHDD.

 

 

 

.

[marcin1999]

Bardzo dziękuje pani Picasso za rozwiązanie mojego problemu. Pozdrawiam serdecznie. Tu zamykamy temat

 

Korzystając z okazji życzę Wesołych Świąt

Edytowane 17 Grudnia 2012 przez picasso
Dziękuję i wzajemnie. //picasso