Usunięcie pozostałości po stij.exe i szpiegowanie komputera

[Gucio04]

    Miałem na komputerze stij.exe w lipcu 2013r. Usunąłem go jakimś zagranicznym programem w wersji bezpłatnej, pomimo tego, że pisało, żeby zakupić płatną, bo ta nie usuwa. Stij.exe przestał być widoczny w Menadżerze Zadań MS Windows 7, jednak system działał bardzo powoli.

     Poradzono mi zastosowanie combofix.eze, który ściągnąłem i uruchomiłem 26 lipca b.r. Systemowi wróciła werwa w działaniu, ale …

     Mam Internet przez GSM i po uruchomieniu go jakiś program wysyła z mojego komputera paczkę jakichś danych. Nie sądzę, by były to pliki „ciasteczek”, bo one chyba są przesyłane przy aktywności danej strony, która z nich korzysta ? Jest to w czasie, gdy nie mam jeszcze włączonej przeglądarki internetowej (Google Chrome), poczty też nie wysyłam (MS Outlook). Rozumiem, że w tym czasie są sprawdzane aktualizacje, ale przedtem nie obserwowałem wysyłania większych plików. Teraz ten plik wyróżnia się wielkością wśród innych wysyłanych danych.

     Proszę o pomoc w zakresie określenia, czy coś nie pozostało po stij.exe, jaki program szpiegujący, co i komu wysyła ? Jak można nadzorować to w przyszłości ?

 

Dodaję raporty:

- OTL.exe

- FRST.exe

 

Nie udało mi się ściągnąć Security Check, bo po ściągnięciu i uruchomieniu DownloadManagerSetup.exe ze strony :

http://www.fastestwordviewer.com/gb/si/?adnm=26638071965&i=s&grid=GreenL&lg=EN&cc=PL&clg=en&c=1&d=0&cid=_586226531&kw=about%20ms%20office%20word&mt=&mn=www.geekstogo.com&ct=&nt=D&expr=&ap=none&dv=c&color=greenl&agid=_56775

 

Przekierowanej ze strony:

 

http://www.bleepingcomputer.com/download/securitycheck/

 

mój program antywirusowy Avira wykrył Adware.A 3045 (PrtScr w załączeniu) 

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

[picasso]

Miałem na komputerze stij.exe w lipcu 2013r. Usunąłem go jakimś zagranicznym programem w wersji bezpłatnej, pomimo tego, że pisało, żeby zakupić płatną, bo ta nie usuwa. Stij.exe przestał być widoczny w Menadżerze Zadań MS Windows 7, jednak system działał bardzo powoli.

Proces stij.exe to "aktualizator" adware SweetIM. I w systemie obecnie masz i inne śmieci adware, dużo.

 

 

Nie udało mi się ściągnąć Security Check, bo po ściągnięciu i uruchomieniu DownloadManagerSetup.exe ze strony

Ale ... DownloadManagerSetup.exe to adware! Kliknąłeś na błędny link sponsoringowy (reklamy na stronie). Bezpośredni link to niebieski przycisk z napisem Download Now @BleepingComputer, a nie duży zielony z "Download" czy coś w tym rodzaju.

 

 

Mam Internet przez GSM i po uruchomieniu go jakiś program wysyła z mojego komputera paczkę jakichś danych.

Jak sądzę, to właśnie adware widziane w raportach wykazuje aktywność.

 

 

---

Przechodząc do usuwania:

 

1. Na początek poprawne deinstalacje:

- Przez Panel sterowania odinstaluj: AVG Security Toolbar, BrowserProtect, Delta Chrome Toolbar, Delta Chrome Toolbar, Delta toolbar, Discount Buddy, FilesFrog Update Checker, MiPony 2.0.2, SimilarSites, Update for Mipony Download Manager, VideoDownloadConverter Toolbar, WebConnect 3.0.0.

- W Google Chrome: w Rozszerzeniach powtórz deinstalację AVG Secure Search, BrowserProtect, Delta Toolbar, WebConnect. Wyczyść Historię.

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

2. Następnie otwórz Notatnik i wklej w nim:

 

Task: {0BF7AF5A-9C18-4A18-A079-AAED48EC5F98} - System32\Tasks\Updater26766.exe => C:\Users\Leszek\AppData\Local\Updater26766\Updater26766.exe [2013-04-28] (Innovative Apps)
Task: {29E8A7D0-E243-4782-BBB1-B411D64625C4} - System32\Tasks\EPUpdater => C:\Users\Leszek\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe [2013-08-04] ()
Task: {44DD896C-F8DD-4614-BFE9-BEAA64703F26} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{86AA4C4D-2311-4165-9FAC-DFB8C03C0045}.exe No File
Task: {4F8BEB20-17F0-4529-9DC7-02C0E4131FEF} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{83E0D5A4-D9C6-4259-9990-863978F9841E}.exe No File
Task: {C2305494-FF68-478D-ADC9-246085C64CCB} - System32\Tasks\DSite => C:\Users\Leszek\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE [2013-08-31] ()
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{83E0D5A4-D9C6-4259-9990-863978F9841E}.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{86AA4C4D-2311-4165-9FAC-DFB8C03C0045}.exe
Task: C:\Windows\Tasks\DSite.job => C:\Users\Leszek\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE
HKCU\...\Run: [] - [x]
HKCU\...\Run: [NTRedirect] - C:\Users\Leszek\AppData\Roaming\BabSolution\Shared\enhancedNT.dll [187888 2013-08-22] ()
HKCU\...\Runonce: [Del5544500] - cmd.exe /Q /D /c del "C:\Users\Leszek\AppData\Local\Temp\0.del" [x]
HKLM\...\Runonce: [Del5544500] - cmd.exe /Q /D /c del "C:\Users\Leszek\AppData\Local\Temp\0.del" [x]
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=6433001E101F82A0&affID=119357&tsp=4991
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=ST3250823AS_3ND1MG3S____3ND1MG3S&ts=1351463222
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=6433001E101F82A0&affID=119357&tsp=4991
SearchScopes: HKLM - {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm073YYpl&ptnrS=HJxdm073YYpl&si=pconverter&ptb=1C287CA9-E314-4BEA-BBB7-B6F181ABF07A&ind=2012110200&n=77ee5d78&psa=&st=sb&searchfor={searchTerms}
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=6433001E101F82A0&affID=119357&tsp=4991
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=6433001E101F82A0&affID=119357&tsp=4991
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={1561FCCC-7DB1-425E-81DB-0137A7047536}&mid=5a9b3c72dab3480db8d203db7ebf2128-06217255473e678a0327a943cf1f87f9c4774acd&lang=pl&ds=ax011&pr=&d=2012-11-02 06:00:51&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms}
SearchScopes: HKCU - {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm073YYpl&ptnrS=HJxdm073YYpl&si=pconverter&ptb=1C287CA9-E314-4BEA-BBB7-B6F181ABF07A&ind=2012110200&n=77ee5d78&psa=&st=sb&searchfor={searchTerms}
SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/mb203?a=6PQO2IHPTu&search={searchTerms}&i=26
FF Plugin: @VideoDownloadConverter_4z.com/Plugin - C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll (MindSpark)
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\avg-secure-search.xml
FF HKLM\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] C:\Program Files\IB Updater\Firefox
FF HKLM\...\Firefox\Extensions: [4zffxtbr@VideoDownloadConverter_4z.com] C:\Program Files\VideoDownloadConverter_4z\bar\1.bin
FF HKLM\...\Firefox\Extensions: [avg@toolbar] C:\ProgramData\AVG Secure Search\FireFoxExt\15.5.0.2
FF HKLM\...\Firefox\Extensions: [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}] C:\Program Files\IB Updater\Firefox
FF HKCU\...\Firefox\Extensions: [{58bd07eb-0ee0-4df0-8121-dc9b693373df}] C:\ProgramData\BrowserProtect\2.6.1095.52\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension
CHR HKLM\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx
CHR HKLM\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Leszek\AppData\Roaming\BabSolution\CR\Delta.crx
CHR HKLM\...\Chrome\Extension: [ieakfmpjhljbpbfpldjkddkjmmgjmgon] - C:\Program Files\WebConnect\ieakfmpjhljbpbfpldjkddkjmmgjmgon.crx
CHR HKLM\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\ProgramData\AVG Secure Search\ChromeExt\15.5.0.2\avg.crx
CHR HKLM\...\Chrome\Extension: [pgafcinpmmpklohkojmllohdhomoefph] - C:\ProgramData\BrowserProtect\2.6.1095.52\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.crx
S3 catchme; \??\C:\Users\Leszek\AppData\Local\Temp\catchme.sys [x]
C:\Users\Leszek\AppData\Local\Updater26766
C:\Users\Leszek\AppData\Roaming\BabSolution
C:\Users\Leszek\AppData\Roaming\DSite

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

Uwaga: masz pobrać AdwCleaner z przycisku z opisem "Bleeping" a nie innego.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt oraz log utworzony przez AdwCleaner.

 

 

 

 

.

[Gucio04]

Wykonałem wskazane czynności.

Skrypt wykonałem.

 

Miałem drobne problemy.

 

Nie znalazłem - W Google Chrome: w Rozszerzeniach  AVG Secure Search, BrowserProtect, Delta Toolbar,

Wyłączyłem i wyrzuciłem do kosza  WebConnect.

 

Pomimo odinstalowania Delta Toolbar, pojawiło się ono jako okno w Google Chrome przy następnym uruchomieniu przeglądarki. Okno zamknąłem.

 

Na stronie domowej uruchomiłem pobieranie AdwCleaner, przekierowało mnie ba inną stronę, gdzie nie było przycisku "Bleeping"

Program pobrałem innym przyciskiem, wersja się zgadzała

 

Wykonałem AdwCleaner, najpierw z opcją Szukaj a po tym - Usuń.

Dołączam raporty Adw Cleaner.

 

Pobrałem TFC, Wersja była wyższa niż w instrukcji - 3.1.9.0. Dołączam wydruk ekranu

 

Powtórnie wykonałem skan FRST (bez zaznaczonej opcji Addition). Raport dołączam. Dołączam też wydruk ekranu z ustawieniami programu.

 

Na tym zakończyłem wykonywania Państwa poleceń.

Proszę o sprawdzenie wyników, czy wszystko jest dobrze, czy też przydałoby się coś jeszcze wykonać ?

 

Pytałem też, na przyszłość, czy są jakieś programy sprawdzające, jakie pliki, przez jakie programy i dokąd wysyłają dane z komputera do Internetu, czy też lepiej jest poprosić o pomoc, jak dziś, gdybym zauważył jakieś nietypowe lub podejrzane zachowanie się komputera ?

 

Z góry dziękuję.

AdwCleanerR0.txt

AdwCleanerS0.txt

FRST.txt

[picasso]

Zabrakło pliku fixlog.txt, który powstał podczas uruchamiania skryptu w FRST. Dodaj, musi być sprawdzone co narzędzie robiło.

[Gucio04]

 Już uzupełniam, wydawało mi się, że dołączyłem. Oczywiście, chodzi o plik z pierwszego przebiegu programu, bo w drugim się on nie tworzy.

Przepraszam za brak.

Fixlog.txt

[picasso]

Wszystko zrobione. Poprawki:

 

1. W Google Chrome nadal wyszukiwarka adware (ale z URL Google):

 

CHR DefaultSearchURL: (Delta Search) - http://www.google.com

CHR DefaultSuggestURL: (Delta Search) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}&sugkey={google:suggestAPIKeyParameter}

 

Wejdź do ustawień przeglądarki. W karcie Ustawienia zjedź do sekcji Wyszukiwanie, kliknij w Zarządzanie wyszukiwarkami. W menedżerze ustaw prawdziwe Google jako domyślną, dopiero po tym możesz skasować z listy Delta Search.

 

2. Pozostałe drobne poprawki. Otwórz Notatnik i wklej w nim:

 

C:\Users\Leszek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MiPony
SearchScopes: HKLM - DefaultScope value is missing.
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go.

 

 

Oczywiście, chodzi o plik z pierwszego przebiegu programu, bo w drugim się on nie tworzy.

Oczywiście, skrypt jest jednorazowego użytku.

 

 

Pytałem też, na przyszłość, czy są jakieś programy sprawdzające, jakie pliki, przez jakie programy i dokąd wysyłają dane z komputera do Internetu, czy też lepiej jest poprosić o pomoc, jak dziś, gdybym zauważył jakieś nietypowe lub podejrzane zachowanie się komputera ?

Tak dokładnych danych w rodzaju "jakie pliki są przesyłane" nie uzyskasz programami. Są różne monitory sieciowe, ale te pokazują listę procesów i ich łączenia, ale bez szczegółów co jest wysyłane (jakie dane). W przypadku jakiś problemów, po prostu zgłoś się na forum.

 

 

.

[Gucio04]

Wykonałem ostatnio polecone czynności.

Plik logu przesyłam w załączeniu.

Jeden raz zrestartowałem komputer i obserwowałem jego uruchamianie się. Nie zauważyłem żadnych niepokojących objawów na ekranie.

Dziękuję i pozdrawiam.

Fixlog.txt

[Gucio04]

Po pierwszym uruchomieniu wydawało się, że wszystko wróciło do normy. Dziś, niestety, efekty na starcie mam podobne do poprzednich. Może trochę szybciej startuje komputer, ale:

 

- Podczas uruchamiania się MS Worda, którego mam w Autostarcie, pojawia się makietka, która pojawiła się po raz pierwszy po usunięciu stij.exe programem, o czym pisałem na początku. Makietkę tę przedstawiam w załączonym pliku Efekty pozostałe.jpg Komputer informuje mnie w nim, że "serwer" - który ? jest zajęty. Gdy wcisnę "przełącz na" przełącza się tak, jakbym wcisnął przycisk "Start" i wyświetla się pasek z programami do uruchomienia. Powoduje to kontynuowanie uruchamiania się MS Windows.

 

- Gdy już odczekam aż obciążenie procesora spadnie do wartości "jałowej" włączam program "Play on Line", służący do obsługi karty SIM sieci Play z taryfą do przesyłania danych, służącą do łączności z Internetem. Po włączeniu karty i zarejestrowaniu się jej w sieci Play włącza się obsługa Internetu. Karta przesyła informacje startowe i po nawiązaniu łączności Microsoft pewnie sprawdza aktualizacje, inne programy pewnie też. Występuje wymiana danych, uwidoczniona w pliku Wysyłanie danych.jpg, w którym dominowało odbieranie danych, bo dominującym jest plik aktualizacyjny programu antywirusowego Avira, o czym po chwili informuje mnie makietka tego programu informująca mnie o pozytywnym (lub czasami negatywnym) przebiegu transmisji. Dziś jednak dominującymi były paczki wysyłanych danych (kolor żółty). Dlatego pytałem o to, czy można określić, jaki program i do kogo wysyła. Traktuję tę sytuację jako nienormalną. Ewentualnie proszę o określenie wielkości tych transmisji wychodzących, które powinny być dla mnie "normalne" i wielkości, które powinny alarmować mnie o tym, że coś niedobrego dzieje się na moim komputerze.

 

- Drugi plik, Wysyłanie danych_2.jpg, w swojej górnej części to powtórzenie informacji z poprzedniego pliku a w dolnej części - obraz po chwili. Przed "leczeniem" zaleconym przez Państwa, po chwili następowała jeszcze większa paczka informacji eksportowanych gdzieś z mojego komputera. Obecnie, co jest dobrym efektem leczenia, jest "cisza", nie wysyłane jest nic. W tej części leczenie dało pozytywny skutek. Niepokoi mnie jednak ta początkowa porcja informacji. Chciałbym być przekonany, że są to normalne informacje aktualizacyjne, związane z zainstalowanym MS Windows 7 i innymi programami, nie zaś informacje o charakterze szpiegowskim, mogące mieć dla mnie zgubny skutek, szczególnie - finansowy.

 

- Trzeci plik, Wysyłanie danych_3.jpg jest wygenerowany przeze mnie przed chwilą, w trakcie pisania do Państwa niniejszego tekstu. Pomimo nie zapisywania go, wysyłane są ode mnie, cyklicznie, dane. Nie wiem, czy tak działa Wasza strona, że żąda okresowej aktualizacji. Typowo przy pisaniu korespondencji , wymiany informacji nie ma a dane zapisywane są po przyciśnięciu przycisku "Wyślij". Może jednak Wasza strona tak działa. W środkowej części pliku Wysyłanie danych_4 - wysłanie poprzedniego pliku.jpg widać efekty wysyłania poprzedniego pliku Wysyłanie danych_3.jpg . Załączam go, by widzieć skalę problemu. Paczka ta (ten najwyższy pik) to efekt przesłania 125,1 kB danych, bo taką wielkość miał plik Wysyłanie danych_3.jpg 

 

Proszę o diagnozę obecnej sytuacji.

 

 

 

 

[Gucio04]

Witam ponownie.

 

   W dniu dzisiejszym uruchomiłem komputer i stwierdziłem, że na pasku meny START mam nowy program AbWord, który z ciekawości uruchomiłem, nie wiedząc, co to jest, bo nie pamiętałem, bym coś takiego instalował.

   Program uruchomił się i z wyglądu był podobny do MS Word. Chcąc dowiedzieć się, co to jest za program i z czym mógł się zainstalować, uruchomiłem Informację o autorach, Pomoc i O programie (pliki w załączeniu). W odpowiedzi program uruchomił mi w tle Internet Elsplorera, który zmodyfikował, co zauważyłem, bo wysłał podejrzany komunikat (w załączeniu), informujący mnie o tym, że zmienił on ustawienia dostawcy wyszukiwania. W odpowiedzi na to wykonałem PrtScr stosownych ekranów, wszedłem na IE i zauważyłem, że włączył BING, kasując GOOGLE. Nie bez oporów znalazłem GOOGLE, wykorzystując informacje z widocznej makietki i skasowałem BING (w załączeniu). Nie jestem pewien, czy znalezione GOOGLE to właściwe, czy jakaś "podróbka " ?

   Po usunięciu BING z Menu Start zniknął AbWord, nie znalazłem go też we "wszystkich programach Menu Start. Nie przekonany jednak tą maskaradą, włączyłem Panel Sterowania, gdzie znalazłem zainstalowany AbWord (w załączeniu), zainstalowany 31 sierpnia. Z czymś więc się przyplątał podczas "leczenia" mojego komputera.

   Odinstalowałem go i w załączeniu przesyłam najciekawsze części raportu z deinstalacji. Kartoteki, których nie potrafił usunąć deinstalator usunąłem później ręcznie.

 

   Proszę o radę, co jeszcze powinienem zrobić ?

 

Pozdrawiam.

[picasso]

Upłynęło kilka dni. Co z posta #8 jest nadal aktualne?

 

 

W dniu dzisiejszym uruchomiłem komputer i stwierdziłem, że na pasku meny START mam nowy program AbWord, który z ciekawości uruchomiłem, nie wiedząc, co to jest, bo nie pamiętałem, bym coś takiego instalował.

Program uruchomił się i z wyglądu był podobny do MS Word.

To jest dokładnie to co w nazwie. Program jako taki jest w porządku (ominęłam jego usuwanie celowo). Inna sprawa, że faktycznie mógł zostać zainstalowany w grupie innych adware, na dysku widzę, że jego obiekty powstawały mniej więcej w czasie gdy inne gnojki:

 

========== Files/Folders - Created Within 30 Days ==========
 

[2013-08-31 09:15:01 | 000,000,000 | ---D | C] -- C:\Users\Leszek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AbiWord Word Processor

[2013-08-31 09:15:01 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AbiWord Word Processor

[2013-08-31 09:12:42 | 000,000,000 | ---D | C] -- C:\Users\Leszek\AppData\Roaming\BabSolution

[2013-08-31 09:12:34 | 000,000,000 | ---D | C] -- C:\Program Files\AbiWord

[2013-08-31 09:11:11 | 000,000,000 | ---D | C] -- C:\Users\Leszek\AppData\Roaming\DSite

 

W jaki sposób go pobrałeś, nie zgadnę. Ale to jest błahostka.

 

 

W odpowiedzi program uruchomił mi w tle Internet Elsplorera, który zmodyfikował, co zauważyłem, bo wysłał podejrzany komunikat (w załączeniu), informujący mnie o tym, że zmienił on ustawienia dostawcy wyszukiwania. W odpowiedzi na to wykonałem PrtScr stosownych ekranów, wszedłem na IE i zauważyłem, że włączył BING, kasując GOOGLE. Nie bez oporów znalazłem GOOGLE, wykorzystując informacje z widocznej makietki i skasowałem BING (w załączeniu). Nie jestem pewien, czy znalezione GOOGLE to właściwe, czy jakaś "podróbka " ?

Ja nie widzę tu nic dziwnego. Bing to jest domyślny dostawca wyszukiwania wszystkich Internet Explorer. Internet Explorer ma mechanizm resetu dostawcy, gdy zauważy, że mu się coś stało, stąd komunikat o "uszkodzeniu" i resecie do postaci domyślną (którą zawsze jest Bing). A mogło się to ujawnić z opóźnieniem, gdyż dopiero teraz po raz pierwszy uruchomił się IE (odpalony przez otwieranie strony Abiword) od czasu dawniejszego czyszczenia adware. Moim zdaniem to tylko skutek po czyszczeniu prowadzonym w postach numer #2 i #6.

 

 

 

.

[Gucio04]

Za odpowiedź na moją ostatnią wiadomość dziękuję.

Nie wyjaśnia ona jednak problemów opisanych przeze mnie Napisano 01-09-2013 - 10:39, tzn. o wysyłaniu danych z mojego komputera i o zajętym serwerze. Komunikat ten pojawia mi się na starcie od 1 do 8 razy (tyle razy muszę naciskać "Przełącz na"). Nie wiem, co zrobić, by ten "serwer" nie był zajęty. Jeśli nic się nie da zrobić "zdalnie" to pozostanie mi wierzyć, że wysyłane dane nic mi nie ukradną a "serwer" trzeba "wyklikać" by komputer przestał czekać na moja decyzję ...

 

Pozdrawiam.

[picasso]

Nie wyjaśnia ona jednak problemów opisanych przeze mnie Napisano 01-09-2013 - 10:39, tzn. o wysyłaniu danych z mojego komputera i o zajętym serwerze. Komunikat ten pojawia mi się na starcie od 1 do 8 razy (tyle razy muszę naciskać "Przełącz na"). Nie wiem, co zrobić, by ten "serwer" nie był zajęty. Jeśli nic się nie da zrobić "zdalnie" to pozostanie mi wierzyć, że wysyłane dane nic mi nie ukradną a "serwer" trzeba "wyklikać" by komputer przestał czekać na moja decyzję ...

1. Wysyłane dane są nieprecyzyjne i nic tu konkretnie nie mogę stwierdzić. Jak mówię, ogólnie nie widzę nic dziwnego w Twoim systemie po czyszczeniu śmieci. Skomentuję tylko partię z moim forum: podczas pisania posta i przed jego wysłaniem następuje okresowy zapis treści posta na wypadek utraty treści. Funkcja wyjaśniona w Pomocy (Postowanie > Automatyczny zapis treści).

 

2. Komunikat "Serwer jest zajęty" może mieć różne przyczyny np.: dodatki do Office (jeden z przykładów: KLIK), ingerencja innego programu. Ja widzę, że w tym dokumencie Worda są liczne linki, więc może to ma związek z Internet Explorer (był czyszczony). Może spróbuj zresetować Internet Explorer: Opcje internetowe > Zaawansowane > Resetuj.

 

 

 

.

[Gucio04]

Dziękuję i pozdrawiam.

[picasso]

Czy robiłeś coś pod kątem komunikatu "Serwer jest zajęty", komunikat nadal występuje?

[Gucio04]

Pogodziłem się z istnieniem usterki.

Klikam od 1 do 8 razy na przemian w "Przełącz na" i w otwierający się pasek Menu Start i komputer idzie dalej. Zauważyłem, ze ilość wymaganych kliknięć zależy od tego, jak szybko po sobie następują. Jeśli odstępy są małe, muszę klikać więcej razy. Jeśli z kliknięciem pierwszym odpowiednio długo odczekam to wystarczy to zrobić raz i komunikat już się nie pojawia.

Zresetowałem Internet Eksplorera ale to nie zmieniło sytuacji.

Ten komunikat zbytnio nie jest dla mnie uciążliwy, dlatego pogodziłem się z nim. Mam też inny komunikat na starcie, od dawna, z którym też się pogodziłem.

Mianowicie miałem kiedyś na dysku MS Windows 7, który przestawał działać. Wyciąłem go "w pień", bez formatowania dysku. Coś pozostało i po zainstalowaniu ponownym Windows to wykrył i próbował odzyskać. Skutkiem tego mam na starcie systemu pytanie, czy chcę uruchomić ten Windows nowy, czy też "odzyskany", którego praktycznie nie ma. Muszę zaakceptować wybór bo inaczej czeka 30 sekund. Kiedyś, jak będę miał czas na zrobienie kopii i sformatowanie dysku, oba problemy znikną. Na razie wypada je pokochać :)

 

Zapomniałem dodać, że wiele lat temu byłem w dużej firmie zarządcą systemu Novell Net Ware 3.12 (wcześniej - starszych wersji). Królował wówczas MS DOS (ostatnia wersja 5.0, byłem specjalistą nDOS, o którym mało kto pamięta i mało kto słyszał i MS DOS 7.0, który był wykorzystywany jako baza pierwszych wersji systemu okienkowego Microsoftu ) Do łączenia sieci używany był arcnet, zastąpiony później przez sieć ethernet, chodzący na kablu koncentrycznym, nie jak teraz - na "skrętce". Zdalnie pomagałem rozwiązywać problemy występujące na końcówkach sieciowych. Robiłem to również później przez zdalną konsolę. Wiem, jakie to trudne. Dlatego, pomimo nie rozwiązania moich wszystkich problemów do końca, jestem pełen podziwu za wkład pracy w rozwiązanie tych problemów.

Dziękuję.

 

Pozdrawiam.

[picasso]

Pod kątem komunikatu "Serwer jest zajęty" wypróbuj jeszcze diagnostykę Office 2003. W Panelu sterowania w sekcji deinstalacji programów podświetlenie wejścia Office powinno pokazać opcję "Zmień" z podopcjami "Przeinstaluj lub napraw" prowadzącymi do funkcji diagnostycznych.

 

 

Mam też inny komunikat na starcie, od dawna, z którym też się pogodziłem.

 

Mianowicie miałem kiedyś na dysku MS Windows 7, który przestawał działać. Wyciąłem go "w pień", bez formatowania dysku. Coś pozostało i po zainstalowaniu ponownym Windows to wykrył i próbował odzyskać. Skutkiem tego mam na starcie systemu pytanie, czy chcę uruchomić ten Windows nowy, czy też "odzyskany", którego praktycznie nie ma. Muszę zaakceptować wybór bo inaczej czeka 30 sekund.

To nie problem. Skorzystaj z EasyBCD. Wybierz wersję darmową, klik w Register, padnie pytanie o nazwę użytkownika i adres e-mail (wpisz byle jakie fałszywe dane, bo nie ma potwierdzenia na e-mail). Po zainstalowaniu programu uruchom go, przejdź do karty Edit Boot Menu i usuń wadliwy wpis.

 

 

EDIT: drugi post dokleiłam do poprzedniego, dla zachowania logiki odpowiedzi.

 

.