Pojawiający się komunikat: Uruchom jako ...

[graczareksz]

Witam, kiedy włączam komputer i pojawia się pulpit jednocześnie pojawia się na ekranie komunikat uruchom jako ... itd
http://img62.imageshack.us/img62/5504/szlm.jpg

co mam z tym zrobić jak to usunąć. Klikanie ok nic nie daje bo po restarcie on cały czas się wyświetla Kiedyś tj. rok temu pomogła opcja przywracanie systemu (ale teraz system sprzed miesiąca i dalej nie daje się przywrócić )
 

OTL.txt -> http://wklej.to/6Zlwh
extras.txt -> http://wklej.to/uXqlm

 

Tu są programy uruchamiane ze startem systemu:
RunDll32 c6501
NvCpl
nwiz
winsys2
lgfw
NBHGui
InCD
NBKeyScan
QTTask
NvMcTray
cfp
AdobeARM
BCSSync
UpdaterStartupUtility
SwitchBoard
CS5ServiceManager
juscher
ctfmon
ALLUpdate
Kalendarz XP
Ralink Wireless

 

 

[picasso]

Temat przenoszę do działu Windows. Nie ma oznak infekcji w stanie czynnym. Doczyść tylko szczątki infekcji/adware. Instrukcje w spoilerze.

 

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.order.1: "v9"
FF - prefs.js..browser.search.param.yahoo-fr: "chrf-comodo"
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "chrf-comodo"
FF - prefs.js..keyword.URL: "http://pl.search.yahoo.com/search?fr=ytff-comodo&p="
[2012-10-15 15:49:45 | 000,000,402 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST3160815AS_5RA7HJAA____5RA7HJAA&ts=1350308960
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST3160815AS_5RA7HJAA____5RA7HJAA&ts=1350308960
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.v9.com/web/?q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.v9.com/web/?q={searchTerms}
IE - HKU\S-1-5-21-1409082233-261478967-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST3160815AS_5RA7HJAA____5RA7HJAA&ts=1350308960
IE - HKU\S-1-5-21-1409082233-261478967-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://pl.yahoo.com?fr=fp-comodo
IE - HKU\S-1-5-21-1409082233-261478967-839522115-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q={searchTerms}
IE - HKU\S-1-5-21-1409082233-261478967-839522115-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms}
IE - HKU\S-1-5-21-1409082233-261478967-839522115-1003\..\SearchScopes\{8EEAC88A-079B-4b2c-80C1-7836F79EB40A}: "URL" = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - Reg Error: Value error. File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (MksSkanerOnline Class)
O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. Przedstaw go.

 

2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. Przedstaw go.

 

 

 

 

 

kiedy włączam komputer i pojawia się pulpit jednocześnie pojawia się na ekranie komunikat uruchom jako ... itd

1. Widzę w raporcie blokadę funkcji Uruchom jako poprzez wartości HideRunAsVerb. Czy prowadziłeś to celowo (KB830568)?

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideRunAsVerb = 1

O7 - HKU\S-1-5-21-1409082233-261478967-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideRunAsVerb = 1

 

2. Zrób test z czystym rozruchem: KB310353. Jeśli problem nie będzie widoczny w takim stadium, zacznij się cofać wstecz włączając partiami wpisy + restart, aż wyłowisz wpis tworzący problem.

 

3. Zastanawia mnie też COMODO Internet Security w kontekście tego błędu.

 

 

 

.