Skocz do zawartości

Anti-Malware, PUP.Optional


Rekomendowane odpowiedzi

Witam.

Na początek powiem że nigdy wcześniej nie miałem żadnych problemów z laptopem.

Od 2-3 tygodni

- czasami rozłącza się internet, bywały godziny gdzie średnio rozłączało mnie co 2-5min, a nawet 10 sekund, po czym automatycznie połączenie było wznowione lub pomogło dopiero ponowne włączenie karty sieciowej i tak do 30 razy w ciągu dnia. Od kilku dni problem ten niemal nie występuje. Wiem że możliwych przyczyn jest wiele, ale nie o to mi chodzi, wymieniam tylko wszystkie zauważone mankamenty.

- kilka razy zdarzyło się że komputer zwolnił wizualnie tzn. procesor nie jest obciążony a przeciągając jakiekolwiek okno pozostają ślady tego przeciągania, minimalizując program w jego miejscu zamiast tapety z ikonami jest czarne tło lub zanika po części pasek zadań.

Wszystko to mija po chwili.

 

Do rzeczy, regularnie wykonuje pełne skanowanie Nortonem jednak nie wykrywa niczego lub drobne ustrojstwo.

Dzisiaj spróbowałem dla odmiany Anti-Malwarem i doznałem szoku, załączony log.

Ponad 200 potencjalnych zagrożeń, pytanie co z tym dalej zrobić, chyba nie ma możliwości usunięcia tego tym programem.

W ogóle co to za pliki, nie pisałbym tutaj gdyby nie to.

 

Zgodnie z warunkami założenia nowego tematu dołączyłem inne obowiązkowe logi, za wyjątkiem FRST.

Ściągając ten program z linku zamieszczonego na tym forum Norton od razu go usuwa pod pretekstem - zagrożenie stwarzane przez ten plik jest wysokie. Po incydencie z GMER wolałem nie ryzykować, jeżeli naprawdę trzeba to go przywrócę i dołączę raport.

Jakim incydencie? Otóż po wykonaniu raportu po ok. 20min, po raz pierwszy na tym lapku wyskoczył blue screen,

co ciekawe zauważyłem że po nim z dysku zniknęło 5GB, nie wiem co to przepadło.

Chyba to jego wina ponieważ raport z OLT przeprowadziłem przed nim.

Pozdrawiam.

 

Log Anti-Malware.txt

Extras.Txt

OTL.Txt

LogGMER.txt

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Skan MBAM wykrył po prostu instalacje adware (wyglądają na szczątkowe) będące rezultatem działań podonych do tych: KLIK. Zanim przejdziemy do konkretów:

 

 

Zgodnie z warunkami założenia nowego tematu dołączyłem inne obowiązkowe logi, za wyjątkiem FRST.

Ściągając ten program z linku zamieszczonego na tym forum Norton od razu go usuwa pod pretekstem - zagrożenie stwarzane przez ten plik jest wysokie.

Fałszywy alarm Nortona. Proszę wyłącz Nortona na czas pobierania programu i dostarcz raporty z FRST. OTL jest jednak zbyt przestarzały (nie posiada też wielu skanów obecnych w FRST) i jego odczyty są traktowane tylko jako uzupełniająca opinia.

 

 

Po incydencie z GMER wolałem nie ryzykować, jeżeli naprawdę trzeba to go przywrócę i dołączę raport.

Jakim incydencie? Otóż po wykonaniu raportu po ok. 20min, po raz pierwszy na tym lapku wyskoczył blue screen,

co ciekawe zauważyłem że po nim z dysku zniknęło 5GB, nie wiem co to przepadło.

GMER jest fanaberyjny i może mu się nie podobać określone środowisko, np. działa tu potężna instalacja Norton oparta o inwazyjne sterowniki poziomu kernel. Co do brakujących 5GB: jest dużo mechanizmów w Windows, które powodują, że miejsce na dysku nie jest stałe i może być w określonych okolicznościach redukowane (np. Tempy, cieniowanie woluminu i punkty Przywracania systemu, zrzuty pamięci, etc.), więc jeśli nie posiadasz konkretów skąd ubyło, a nie zgłaszasz tu jawnego braku danych, nie widzę tu nic niepokojącego jeszcze.

 

 

 

.

Odnośnik do komentarza

Tak jak mówiłam, jest w systemie adware, czynne rozszerzenia w Google Chrome (a wersja przeglądarki stara) oraz inne szczątki. Jednakże są to wiekowe odpadki datowane na rok 2013 (nie doczyszczone po prostu wcześniej), ponadto one są na innym niskim poziomie i nie mogą powodować tych efektów:

 

- czasami rozłącza się internet, bywały godziny gdzie średnio rozłączało mnie co 2-5min, a nawet 10 sekund, po czym automatycznie połączenie było wznowione lub pomogło dopiero ponowne włączenie karty sieciowej i tak do 30 razy w ciągu dnia. Od kilku dni problem ten niemal nie występuje. Wiem że możliwych przyczyn jest wiele, ale nie o to mi chodzi, wymieniam tylko wszystkie zauważone mankamenty.

- kilka razy zdarzyło się że komputer zwolnił wizualnie tzn. procesor nie jest obciążony a przeciągając jakiekolwiek okno pozostają ślady tego przeciągania, minimalizując program w jego miejscu zamiast tapety z ikonami jest czarne tło lub zanika po części pasek zadań.

Wszystko to mija po chwili.

Powyższe efekty niestety może wytwarzać coś wręcz przeciwnego niż infekcja, tzn. Norton Internet Security - jak już zaznaczałam, jest to bardzo inwazyjna instalacja. Ponadto, w Dzienniku zdarzeń są błędy sugerujące problemy z oprogramowaniem nVidia (usługę zgłaszającą błędy będę wyłączać) oraz sprzętowe:

 

System errors:

=============

Error: (11/17/2014 01:15:34 AM) (Source: ACPI) (EventID: 13) (User: )

Description: : Kontroler osadzony nie odpowiedział przed upływem limitu czasu. Może to wskazywać, że wystąpił błąd w sprzęcie lub oprogramowaniu układowym kontrolera osadzonego albo że system BIOS uzyskuje dostęp do kontrolera osadzonego w niepoprawny sposób. Należy skontaktować się z producentem komputera w sprawie uaktualnionego systemu BIOS. W niektórych sytuacjach ten błąd może spowodować niepoprawne funkcjonowanie komputera.

 

Application errors:

==================

Error: (11/16/2014 10:33:47 PM) (Source: NvStreamSvc) (EventID: 1) (User: )

Description: NvStreamSvcNvVAD initialization failed [6]

 

Error: (11/16/2014 10:33:47 PM) (Source: NvStreamSvc) (EventID: 1) (User: )

Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0]

 

Ubytek miejsca jest wyjaśniony, za mało miejsca w magazynie kopii cieniowych i system samoczynnie opróżnił starsze punkty Przywracania systemu. Odnotował to Dziennik zdarzeń:

 

Error: (11/16/2014 10:33:14 PM) (Source: volsnap) (EventID: 25) (User: )

Description: Kopie w tle woluminu C: zostały usunięte, ponieważ nie można było powiększyć magazynu kopii w tle. Rozważ zmniejszenie obciążenia We/Wy w systemie lub wybierz wolumin magazynu kopii w tle, który nie jest kopiowany w tle.

 

 

 


Jeśli chodzi o doczyszczanie śmieci i wpisów pustych oraz inne drobne korekty (włączając deaktywację problematycznej usługi nVidia), przeprowadź następujące działania:

 

1. W Google Chrome:

  • Ustawienia > karta Rozszerzenia > odinstaluj adware Extended Protection, Lightning Newtab
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W
ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W
ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W
ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms}
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms}
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms}
HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome
HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm
HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome
HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,SearchURL = http://home.microsoft.com/access/autosearch.asp?p=%s
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
HKLM-x32\...\Run: [fst_pl_127] => [X]
HKU\S-1-5-21-3670591184-648614672-2990897947-1002\...\RunOnce: [] => [X]
S3 mdf16; C:\Users\E531\AppData\Local\Temp\mdf16.sys [20400 2014-01-30] ()
S3 mvd23; C:\Users\E531\AppData\Local\Temp\mvd23.sys [99248 2014-01-30] ()
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [X]
U2 wuaserv; No ImagePath
Task: {0CA8A32D-B428-4CF1-A290-9CD8B74DAB06} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {21325EC4-40A1-4AFD-8F0C-34486A6627BF} - System32\Tasks\{C8F5BEA8-3AB5-402D-9109-6D8265E603B9} => C:\Users\E531\Desktop\oko.exe
Task: {5D134D70-348E-4123-9B8A-62E21CC1A44F} - System32\Tasks\{206CDF2C-0BF5-4B29-B5BE-685248D3FA2D} => F:\Microsoft Office\Office12\EXCEL.EXE
Task: {75CCF3DB-843F-4431-94DE-EC75854E139E} - System32\Tasks\{9737F133-28EF-4F61-83A7-D29338A817A8} => C:\Users\E531\Desktop\oko.exe
Task: {9AB6171C-9333-4D0E-A223-3B56123B027D} - System32\Tasks\{E87B8B75-C669-446A-94EF-23277B12A1AC} => F:\Microsoft Office\Office12\excelcnv.exe
Task: {A3A33DA4-8FC5-4EFC-9E23-B2F657D1DA69} - System32\Tasks\{F266EFF3-A646-4D03-ADF5-2BE999CA18D2} => F:\Microsoft Office\Office12\excelcnv.exe
Task: {ACA279F8-079F-41B6-9BA0-C0C9A4FADB59} - System32\Tasks\{97980ECF-2753-47F2-8202-A867E9C05864} => F:\Microsoft Office\Office12\EXCEL.EXE
Task: {C7EA8C0F-9E46-438A-BAC5-99E18AE23267} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {EBEE5AA0-3738-4E43-9B6E-A1E83577C22C} - System32\Tasks\{5AE3A8FC-10DC-497F-A8FE-AEED80B14A44} => F:\Microsoft Office\Office12\EXCEL.EXE
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
CustomCLSID: HKU\S-1-5-21-3670591184-648614672-2990897947-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\E531\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File
C:\ProgramData\eSafe
C:\Users\E531\AppData\Local\freeSOFTtoday
C:\Users\E531\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx
C:\Users\E531\Downloads\DTLite4491-0356.exe
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\qone8 Browser Protecter" /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WsysControl /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\qone8Software /f
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
CMD: sc config NvStreamSvc start= disabled
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

Odpowiadaj już w nowym poście, nie edytuj pierwszego posta.

 

 

.

Odnośnik do komentarza
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.

Przejrzałem ustawienia zaawansowane kilka razy i nie znalazłem takiej opcji, po prostu jej tam nie ma.

 

Powinna być w tym miejscu http://screenshot.it.sftcdn.net/blog/it/2014/01/Chrome-Reset-browser-settings.jpg

ale u mnie ostatnią sekcją jest system.

Odnośnik do komentarza

Drobne poprawki. Otwórz Notatnik i wklej w nim:

 

Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg delete "HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main"/f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKU\S-1-5-21-3670591184-648614672-2990897947-1002\...\RunOnce: [] => [X]
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

 

.

Odnośnik do komentarza

Trochę się porobiło.

Po pierwszym uruchomieniu FRST zacząłem się niecierpliwić, czekałem dłużej niż gdy robiłem to już wcześniej. Potem zauważyłem że w pliku do którego program zapisuje nic nie przybywa, zostawiłem go jeszcze na 20min i żadnego postępu. Zamknąłem go i uruchomiłem drugi raz, raport z pierwszego uruchomienia przepadł, ponowna sytuacja z tym że program zaczął nie odpowiadać i został ubity, nie mam logu. Po trzecim uruchomieniu sytuacja się powtórzyła jak przy drugim uruchomieniu ale raport z tego uruchomienia dołączyłem, chyba nie zrobił zbyt wiele, za pierwszym razem pamiętam że plik był szerszy. Gdy program został ubity momentalnie przybyło 6GB na dysku za sprawą reg.exe. Później ten program powoli zajął pozostałe miejsce na dysku(10GB) i gdy tylko zwolniło się jakiekolwiek miejsce(usunąłem film żeby sprawdzić) od razu zostało zapchane.

Uruchomiłem ponownie komputer wyskoczył komunikat: 

System Windows utworzył tymczasowy plik stronicowania na komputerze, ponieważ wystąpił problem z konfiguracją pliku stronicowania podczas uruchamiania komputera. Całkowity rozmiar pliku stronicowania dla wszystkich stacji dysków może być nieco większy od podanego rozmiaru.

Fixlog.txt

Odnośnik do komentarza

Widzę, że skrypt stopuje na komendach Reg. Zrobiłam literówkę w jednej z komend (brak spacji). Powtórz skrypt z korektą:

 

Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg delete "HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKU\S-1-5-21-3670591184-648614672-2990897947-1002\...\RunOnce: [] => [X]
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine

 

Jeśli i tym razem będą problemy, podam inne instrukcje, by wykonać te same zadania.

 

 

 

.

Odnośnik do komentarza

Skrypt wykonany, czyszczenie systemu zakończone. Czy jest jakaś poprawa w działaniu systemu notowana po wyłączeniu usługi nVidia? A o reszcie już mówiłam.

 

 

Miejsce na partycji C zostało przywrócone ale na E już nie.

System_DRV(E) to chyba jakaś partycja systemowa, może wiesz? Coś mi świta jakby była powiązana z przywracaniem systemu.

Ogólnie 600mb, było 200 wolnego zostało 30.

Skrypt FRST nie ma z tym związku, on nic nigdzie nie zapisywał (poza logiem wynikowym), było tylko usuwanie z rejestru i trwałe usunięcie dwóch folderów narzędzi. Skoro partycja System_DRV wykazuje zmiany, zaszły całkiem inne niepowiązane z moimi działaniami procesy. Wspominasz o 200MB wolnego, w pierwszym raporcie przed jakimikolwiek operacjami SYSTEM_DRV miało mniej, czyli 120MB:

 

==================== Drives ================================

 

Drive c: (Windows7_OS) (Fixed) (Total:111.21 GB) (Free:14.25 GB) NTFS ==>[system with boot components (obtained from reading drive)]

Drive e: (SYSTEM_DRV) (Fixed) (Total:0.57 GB) (Free:0.12 GB) NTFS ==>[system with boot components (obtained from reading drive)]

 

==================== MBR & Partition Table ==================

 

Disk: 0 (Size: 111.8 GB) (Disk ID: 4B243DA7)

Partition 1: (Active) - (Size=587 MB) - (Type=07 NTFS)

Partition 2: (Not Active) - (Size=111.2 GB) - (Type=07 NTFS)

 

SYSTEM_DRV jest mini partycją serwisową Lenovo, która trzyma dostęp do środowiska naprawczego RE: KLIK. Partycja ta jest ustawiona jako aktywna, czyli bootuje Twój Windows, gdybyś coś z nią zrobił, system już nie zastartuje.

 

Dla świętego spokoju możesz podać spis plików na tej partycji i zobaczymy przez co konkretnie miejsce jest zajęte. Otwórz Notatnik i wklej w nim:

 

Folder: E:\

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

 

 

 

.

Odnośnik do komentarza

Końcowe kroki pod kątem czyszczenia:

 

1. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

2. Odinstaluj stare wersje Adobe i Java, zastąp najnowszymi, zaktualizuj też Google Chrome: KLIK. Wtyczka Adobe Flash całkowicie zbędna, używasz Google Chrome, które ma wbudowany własny wewnętrzny Flash.

 

==================== Installed Programs ======================

 

Adobe Flash Player 10 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 10.0.42.34 - Adobe Systems Incorporated)

Adobe Reader X (10.1.12) MUI (HKLM-x32\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.12 - Adobe Systems Incorporated)

Google Chrome (HKLM-x32\...\Google Chrome) (Version: 30.0.1599.101 - Google Inc.)

Java 7 Update 67 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.670 - Oracle)

 

 

Z tym miejscem na SYSTEM_DRV strzelałem, na pewno było więcej niż 100mb wolnego, okazuje się że 120.

Skan FRST nie wykazuje żadnych dodatkowych elementów na tej partycji. Są tam tylko serwisowe narzędzia Lenovo i pliki rozruchowe Windows oraz plik pamięci wirtualnej i folder Przywracania systemu (System Volume Information), a 99% elementów jest datowana na rok 2013.

 

 

Jeżeli o to pytasz to nadal mnie czasami rozłączy.

vs.

 

Powyższe efekty niestety może wytwarzać coś wręcz przeciwnego niż infekcja, tzn. Norton Internet Security - jak już zaznaczałam, jest to bardzo inwazyjna instalacja.

Sprawdzenie tej teorii poprzez tymczasową deinstalację programu, proste wyłączanie w opcjach nie znosi określonych aktywności pakietu. Jeśli po deinstalacji nic się nie zmieni, program po prostu przywrócisz.

 

Oraz jeszcze zostaje sprawa tego błędu, który sugeruje aktualizację BIOS i/lub sterowników sprzętowych:

 

System errors:

=============

Error: (11/17/2014 01:15:34 AM) (Source: ACPI) (EventID: 13) (User: )

Description: : Kontroler osadzony nie odpowiedział przed upływem limitu czasu. Może to wskazywać, że wystąpił błąd w sprzęcie lub oprogramowaniu układowym kontrolera osadzonego albo że system BIOS uzyskuje dostęp do kontrolera osadzonego w niepoprawny sposób. Należy skontaktować się z producentem komputera w sprawie uaktualnionego systemu BIOS. W niektórych sytuacjach ten błąd może spowodować niepoprawne funkcjonowanie komputera.

 

 

 

.

Odnośnik do komentarza

1. Zastosuj DelFix i wyczyść foldery Przywracania systemu.

 

Miałem zastosować już zaznaczoną opcje Delfix i później wyczyścić foldery Przywracania systemu zgodnie z opisem pod linkiem?

Bo trochę się pośpieszyłem i nie wiedząc że dalej jest taki opis zaznaczyłem w Delfix opcje Purge system restore. 

Jakaś różnica czy na jedno wychodzi?

Odnośnik do komentarza

Nie mogę aktualizować Google Chrome ponieważ występuje ten błąd

https://support.google.com/chrome/answer/111996?hl=pl (błąd 1)

Próbowałem odinstalować przez panel sterowania żeby później pobrać najnowszą wersje ale wyskoczył komunikat mniej więcej taki:

ten program musiał być już wcześniej odinstalowany, czy chce usunąć go z listy.

W jaki inny sposób można go poprawnie odinstalować?

Odnośnik do komentarza

Jeśli chodzi Ci o to, że masz dwa foldery jak poniżej podane, to jest normalne i to się dzieje także podczas naturalnej aktualizacji. Google Chrome i tak używa wyższej wersji i ten starszy folder można ręcznie skasować.

 

C:\Program Files (x86)\Google\Chrome\Application\30.0.1599.101

C:\Program Files (x86)\Google\Chrome\Application\39.0.2171.65

Odnośnik do komentarza

Tak, to miałem na myśli.

Wykonałem pierwsze 2 kroki z postu 14, nie mogę dodać pliku DelFix.txt, pisze: wysyłanie ominięte(Nie wybrano pliku do importu).  :blink:

Nie wiem jak ale mam już z powrotem 120GB wolnego miejsca na SYSTEM_DRV.

 

Sprawdzenie tej teorii poprzez tymczasową deinstalację programu, proste wyłączanie w opcjach nie znosi określonych aktywności pakietu. Jeśli po deinstalacji nic się nie zmieni, program po prostu przywrócisz.

A wyrzucenie go z autostartu?

Odnośnik do komentarza

A wyrzucenie go z autostartu?

To za mało. Autostart to tylko cząstka aktywności, jest jeszcze zestaw usług i sterowników (m.in. filtrujących sieć). Ich wyłączanie po pierwsze zajmie więcej czasu (nie wszystko jest dostępne via opcje Windows i wymagane cyrki z importami rejestru), po drugie uczyni program kompletnie nieużytkowym. Wiarygodna metoda znosząca wszystkie aktywności to deinstalacja (przy założeniu, że deinstalacja będzie kompletna i bez błędu). Jeśli po deinstalacji poprawi się funkcjonowanie sieci, winowajca znaleziony. Jeśli nie, program przywrócisz na miejsce.

 

 

Wykonałem pierwsze 2 kroki z postu 14, nie mogę dodać pliku DelFix.txt, pisze: wysyłanie ominięte(Nie wybrano pliku do importu).

Może Norton bruździ. O ile sobie przypominam, tu były podobne zgłoszenia na forum. Zawartość pliku jest mała, więc po prostu przeklej do posta.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...