picasso

boczek1984, z takim podejściem daleko nie zajedziesz. Już dawno znalizowałabym temat i podała instrukcje usuwania, gdybyś tylko przeczytał co należy. I nie pytałbyś o logi z FRST i GMER. A te niebieskie napisy w moim poście to są klikalne linki prowadzące do instrukcji!

Brakuje trzeciego obowiązkowego FRST Shortcut i preferuję pliki w załącznikach forum (pliki w oryginalnym kodowaniu). Widzę kilka różnych problemów: - Infekcje: świeża "deskazel.exe" oraz bardzo stara kiedyś niedoczyszczona infekcja typu ransomware (z przyczyny dziurawej Java). - Uszkodzona baza Usług kryptograficznych: usługi i sterowniki Microsoftu mają masowo od góry do dołu oznaczenie Brak podpisu cyfrowego. - A błąd Firefox jest związany ze złą wersją pliku nss3.dll - domyślnie ten plik jest folderze C:\Program Files\Mozilla Firefox. Będę sprawdzać kopie pliku. Akcje wstępne do przeprowadzenia: 1. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny, co resetuje bazę catroot2. 2. Przez Dodaj/Usuń programy odinstaluj stare wersje: Ad-Aware SE Personal, Codec 8.1 build 9, DivX Web Player, Google Chrome, Java™ 6 Update 31, Java 7 Update 71. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2025429265-1078081533-725345543-1004\...\Run: [fdfadgfdgfdgdfg] => C:\Documents and Settings\All Users\Dane aplikacji\fdfadgfdgfdgdfg.exe [112128 2013-07-04] () HKU\S-1-5-21-2025429265-1078081533-725345543-1004\...\Run: [aclertIO] => C:\Documents and Settings\darek\Dane aplikacji\kbdistem\deskazel.exe [545085 2015-11-26] () HKU\S-1-5-21-2025429265-1078081533-725345543-1004\...\Winlogon: [shell] explorer.exe,C:\Documents and Settings\darek\Dane aplikacji\skype.dat Startup: C:\Documents and Settings\darek\Menu Start\Programy\Autostart\OpenOffice.ux.pl 2.0.1.lnk [2006-03-18] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-2025429265-1078081533-725345543-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = www.bing.com HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab IE trusted site: HKU\S-1-5-21-2025429265-1078081533-725345543-1004\...\win.pl -> hxxps://myadmin.e.win.pl Task: C:\WINDOWS\Tasks\Microsoft Antimalware Scheduled Scan.job => C:\Program Files\Microsoft Security Client\MpCmdRun.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys => ""="Driver" C:\Documents and Settings\All Users\Dane aplikacji\fdfadgfdgfdgdfg.exe C:\Documents and Settings\darek\Dane aplikacji\skype.ini C:\Documents and Settings\darek\Dane aplikacji\sversion.ini C:\Documents and Settings\darek\Dane aplikacji\kbdistem Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowe logi FRST: - W polu Szukaj wklep nss3.dll i klik w Szukaj plików. - W systemie są dwa konta, na razie sprawdzany tylko darek. Po kolei zaloguj się na oba konta poprzez pełny restart systemu (a nie opcję Wyloguj lub Przełącz użytkownika) i wykonaj na każdym log z opcji Skanuj. Na gosi zaznacz też Addition i zaległy Shortcut (wystarczy go pobrać tylko raz, nieważne z którego konta). darek (S-1-5-21-2025429265-1078081533-725345543-1004 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\darek gosia (S-1-5-21-2025429265-1078081533-725345543-1005 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\gosia Dołącz też plik fixlog.txt.

DelFix wprawdzie kasował różne odpadki narzędzi, ale nic z D:\ - ręcznie dokasuj z tego miejsca FRST i jego logi, o ile już tego nie zrobiłeś. Plik C:\delfix.txt też do upłynnienia. Temat rozwiązany. Zamykam.

Wszystko zgodnie z planem. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Cel infekcji nieznany. Na wszelki wypadek pozmieniaj loginy w ważnych serwisach (bank, poczta, etc).

1. Ostatni skrypt do FRST: DeleteKey: HKCU\Software\PRODUCTSETUP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Skasuj więc ten folder przez SHIFT+DEL (omija Kosz urządzenia). DelFix wykonał zadanie, również jego log C:\delfix.txt do usunięcia.

FRST pomyślnie wykonał zadanie. Na pendrive odkryłam folder F:\My videos 18. Sprawdź czy niczego w nim nie brakuje. Na zakończenie: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wszystkie pliki pomyślnie podmienione. Skasuj foldery C:\FRST, C:\Pliki i D:\instalki\FRST64, oraz wszystkie logi utworzone przez FRST. Temat rozwiązany. Zamykam.

W systemie jest infekcja - uruchamia się moduł eapphostp.dll. Akcje do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 10 ActiveX. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2538737369-596069251-4272499049-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-2538737369-596069251-4272499049-1000\...\Run: [ocebyinb] => rundll32 "C:\Users\Alchemy Studio\AppData\Roaming\eapphostp.dll",ktqyv Toolbar: HKU\S-1-5-21-2538737369-596069251-4272499049-1000 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 LVPr2M64; system32\DRIVERS\LVPr2M64.sys [X] Task: {2A4F721A-8EAF-430C-BB58-CF02536A230D} - System32\Tasks\{DF72C691-55CE-48B0-93D3-EA355F379751} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.259&LastError=404 Task: {7EF4F028-0066-4EB8-8DAA-ACE7C87B6F10} - System32\Tasks\{B9C4991F-79E7-4A5F-9AC7-BBAEF305878A} => Firefox.exe hxxp://ui.skype.com/ui/0/4.1.0.179.259/pl/abandoninstall?source=lightinstaller&page=tsProblems&LastError=404&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;ienotdefaultbrowser2 C:\Users\Alchemy Studio\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Alchemy Studio\AppData\Roaming\eapphostp.dll EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem z MSSE ustąpił. PS. Oczywiście odpowiadasz już w nowym poście.

FRST pobrał dane co jest na urządzeniu. Teraz usuwanie infekcji z pendrive. Otwórz Notatnik i wklej w nim: F:\home.vbe F:\My videos 18.lnk CMD: attrib -s -h "F:\My videos 18" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Nie wypowiedziałeś się czy problem ustąpił. Wszystko wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: S1 wfdrvr_vw_1_10_0_28; system32\drivers\wfdrvr_vw_1_10_0_28.sys [X] Reg: reg delete HKCU\Software\MozillaPlugins /f RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Oczywiście, że skrypt ma być wykonany przy podpiętym pendrive. W skrypcie użyłam literę "F", bo pod taką był podmontowany w momencie skanu USBFix. W razie zmiany mapowania zamień literę w ostatniej komendzie. Tak, tymczasowo wyłącz antywirusa na czas tej operacji, ale nie wchodź ręcznie na to urządzenie.

Wszystko pomyślnie wykonane. Na koniec zastosuj DelFix. To tyle z mojej strony.

Wszystko zrobione. Ale log z USBFix nieprzydatny: pendrive był wprawdzie podpięty, lecz USBFix nie wykrywa go i nie wiadomo jaka jest zawartość. Spróbuję pobrać te dane via FRST. Poprawki. Otwórz Notatnik i wklej w nim: S3 taphss6; C:\Windows\System32\DRIVERS\taphss6.sys [42088 2015-06-04] (Anchorfree Inc.) C:\Program Files\TAP-Windows C:\ProgramData\FreeHideIP C:\Users\Benedykt\AppData\Roaming\FreeHideIP C:\Windows\System32\DRIVERS\taphss6.sys Folder: F:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Poprawki. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad /v WebCheck /t REG_SZ /d {E6FB5E20-DE35-11CF-9C87-00AA005127ED} /f CMD: type "C:\Program Files (x86)\Mozilla Firefox\6317571306CBF93C19F77A8D9B9BDB726317" C:\Program Files (x86)\Mozilla Firefox\6317571306CBF93C19F77A8D9B9BDB726317 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

To wygląda definitywnie na problem sprzętowy, trop z zasilaczem prawdopodobny. Załóż nowy wątek w dziale Hardware opisujący problem, podając tam wymagane dane: KLIK. Może ktoś się tym zajmie, ja nie prowadzę tematów sprzętowych, to nie jest moja specjalizacja.

W systemie liczne obiekty adware. Akcje do przeprowadzenia: 1. Odinstaluj adware/PUP: omiga-plus uninstall, WinZipper, YAC(Yet Another Cleaner). Na temat YAC: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}Gw64; C:\Windows\System32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}Gw64.sys [48784 2015-02-08] (StdLib) R1 {641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64; C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys [48792 2015-01-21] (StdLib) R1 {915cb94b-b4d8-4c0e-83b4-61409471b1c3}Gw64; C:\Windows\System32\drivers\{915cb94b-b4d8-4c0e-83b4-61409471b1c3}Gw64.sys [48792 2015-01-22] (StdLib) S3 BsHelpCS; C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BsHelpCS.exe [X] S3 BtAudioBusSrv; System32\Drivers\BtAudioBus.sys [X] S3 BthL2caScoIfSrv; System32\Drivers\BtL2caScoIf.sys [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-540850872-1358058235-1465318530-1000\...\Run: [Yahoo! Search] => C:\Users\Admin\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.26.12\dsrlte.exe [660736 2015-08-16] (Pay By Ads LTD) Task: {B266BE4E-CF59-4969-B7FB-3355E249EC13} - System32\Tasks\Yahoo! Search Updater => Wscript.exe //B "C:\Users\Admin\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.26.12\..\updt.js" Task: {C1FEE5F4-F4A0-44D0-B11E-5352A0AB1EBE} - System32\Tasks\{DBF7339B-26BD-4F1B-8BB8-C8F44018F9F9} => pcalua.exe -a "C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7PKLC4XB\sp66089[1].exe" -d C:\Users\Admin\Desktop Task: {CE8931D4-1FD1-42CA-849B-F1C32DBE7353} - System32\Tasks\{5FD12B4E-18AA-4B42-9005-088BB36AA05B} => pcalua.exe -a "C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FCMLANVZ\sp66924[1].exe" -d C:\Users\Admin\Desktop HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1434104282&from=xtab&uid=54E723FD086140bdB21E8DA3B26B39D9 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1434104282&from=xtab&uid=54E723FD086140bdB21E8DA3B26B39D9 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1434104282&from=xtab&uid=54E723FD086140bdB21E8DA3B26B39D9 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1434104282&from=xtab&uid=54E723FD086140bdB21E8DA3B26B39D9 HKU\S-1-5-21-540850872-1358058235-1465318530-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=dspp&ts=1421905105&from=cor&uid=ST500LT012-1DG142_S3PDMVGB&q={searchTerms} HKU\S-1-5-21-540850872-1358058235-1465318530-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1434104282&from=xtab&uid=54E723FD086140bdB21E8DA3B26B39D9 HKU\S-1-5-21-540850872-1358058235-1465318530-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1434104282&from=xtab&uid=54E723FD086140bdB21E8DA3B26B39D9 HKU\S-1-5-21-540850872-1358058235-1465318530-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=dspp&ts=1421905105&from=cor&uid=ST500LT012-1DG142_S3PDMVGB&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-540850872-1358058235-1465318530-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = SearchScopes: HKU\S-1-5-21-540850872-1358058235-1465318530-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500LT012-1DG142_S3PDMVGB&ts=1421905123&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-540850872-1358058235-1465318530-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = SearchScopes: HKU\S-1-5-21-540850872-1358058235-1465318530-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500LT012-1DG142_S3PDMVGB&ts=1421905123&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-540850872-1358058235-1465318530-1000 -> {6B2915F5-81ED-4F99-9623-B6F385A9A849} URL = hxxp://searchsimple-a.akamaihd.net/?affID=is&q={searchTerms}&r=972 SearchScopes: HKU\S-1-5-21-540850872-1358058235-1465318530-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500LT012-1DG142_S3PDMVGB&ts=1421905123&type=default&q={searchTerms} BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\MiuiTab\SupTab.dll => Brak pliku FF HKLM-x32\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\0sz0wdff.default\extensions\quick_searchff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\0sz0wdff.default\extensions\sweetsearch@gmail.com FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\0sz0wdff.default\extensions\fftoolbar2014@etech.com => nie znaleziono ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> C:\Users\Admin\AppData\Local\Pay-By-Ads C:\Windows\system32\log C:\Windows\System32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}Gw64.sys C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys C:\Windows\System32\drivers\{915cb94b-b4d8-4c0e-83b4-61409471b1c3}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Opera: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj Dynamo Combo 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Brakuje pliku fixlog.txt z wynikami przetwarzania skryptu, w nim jest istotna informacja do jakiego pliku linkował usunięty z Firefox skrypt !6317571306CBF93C19F77A8D9B9BDB726317.js. Fixlog jest tam skąd uruchamiałeś FRST. OTL od dawna nie jest rozwijany i brak mu skanów, które posiada FRST. Twój temat bardzo dobrze to obrazuje, OTL w ogóle nie skanuje nowej struktury Harmonogramu zadań systemów Vista do Windows 10, dlatego wpisu który produkował błąd nie było widocznego w OTL wcale (w logu który wcześniej podałeś). Informację o tym skąd uruchamia się wpis nie mając logów to pokazujących wytypowałam po prostu na podstawie rodzaju błędu i konstrukcji nazwy (losowe nazwy u każdego inne, ale odczuwalny schemat nazewniczy). Owszem, naruszyłeś poprawne wpisy. Ten pierwszy był widziany w OTL jako "not found", tylko że jest to stan domyślny systemu, OTL po prostu tego nie filtruje poprawnie, w przeciwieństwie do FRST. Ten wpis odtworzę. Dwa pozostałe też były OK, ale ich usunięcie nie jest istotne. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Uninstall C:\Users\Mateusz H\AppData\Local\Microsoft\OneDrive\17.3.5892.0626 deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Uninstall C:\Users\Mateusz H\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64 deleted successfully.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Dostarcz ten plik.

Tak, to jest pod F8 i to w menu z wyborem trybu normalnego i awaryjnego, które opisujesz. Tu jest opis jak to wygląda: KLIK. Jeśli nie widzisz tam opcji "Napraw komputer", to posłuż się DVD instalacyjną Windows 7, by tam wejść.

Tak jak mówiłam, problem tworzy odpadkowe zadanie adware w Harmonogramie - to MBAM skasował folder "Image Touch", ale pominął zadanie. I nadal masz zainfekowany Firefox (trik z wykorzystaniem "matrycy domyślnej"). Akcje do przeprowadzenia: Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: type "C:\Program Files (x86)\mozilla firefox\defaults\pref\!6317571306CBF93C19F77A8D9B9BDB726317.js" FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\!6317571306CBF93C19F77A8D9B9BDB726317.js [2015-11-26] Task: {721C5EDF-1DA8-4707-BF7E-1532877BA247} - System32\Tasks\Image Touch => Rundll32.exe "C:\Users\Mateusz H\AppData\Local\Image Touch\{F1D83F68-363D-80BA-CA4B-E1FC08728F98}\ImageTouch.dll",#3 Task: {76901D72-7BD6-4C2F-B6D2-6EE17E859791} - \SwiftSearch Auto Updater 1.10.0.25 Core -> Brak pliku Task: {AB84708A-5A9D-4235-A445-A406959D2A19} - \SwiftSearch Auto Updater 1.10.0.25 Pending Update -> Brak pliku Task: {EB226692-07FC-4351-B5C2-03B8489233D0} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe Task: {F8FAD957-C22E-46F1-876B-0A1BE284F969} - \SmartWeb Upgrade Trigger Task -> Brak pliku C:\Program Files (x86)\Temp C:\Program Files\Common Files\Bitdefender C:\Users\Mateusz H\AppData\Roaming\Opera Software C:\Windows\system32\Drivers\etc\hp.bak EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw fixlog.txt oraz dodatkowo logi z folderów C:\AdwCleaner i C:\_OTL (uruchamiałeś jakiś skrypt - skąd?). Ten ostatni ma rozszerzenie *.log i trzeba zmienić nazwę ręcznie na *.txt, by wszedł w załączniki. Nowe skany FRST nie są mi już potrzebne.

To błąd produkowany przez pozostałość adware w Harmonogramie zadań. Na razie to dostarcz porządne dane: Proszę przeczytaj zasady działu: KLIK. Logi z przestarzałego OTL w ogóle nie są tu już brane pod uwagę, usuwam. Obowiązkowe logi to FRST i GMER. Dodatkowo, dołącz logi z używanych narzędzi, by było wiadome co usuwano wcześniej. Wszystkie raporty proszę wstaw jako załączniki forum, a nie na serwisach wklejkowych.

Zamiana plików musi się odbyć spoza działającego Windows, by ominąć problem uprawnień. 1. Do Notatnika wklej: CMD: copy /y C:\Pliki\dsound.dll.mui C:\Windows\System32\pl-PL\dsound.dll.mui CMD: copy /y C:\Pliki\dsound.dll.mui C:\Windows\winsxs\amd64_microsoft-windows-audio-dsound.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_b737a9d3e52a907d\dsound.dll.mui CMD: copy /y C:\Pliki\Microsoft.VisualC.Dll C:\Windows\assembly\GAC_MSIL\Microsoft.VisualC\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualC.Dll CMD: copy /y C:\Pliki\Microsoft.VisualC.Dll C:\Windows\Microsoft.NET\Framework\v2.0.50727\Microsoft.VisualC.Dll CMD: copy /y C:\Pliki\Microsoft.VisualC.Dll C:\Windows\winsxs\msil_microsoft.visualc_b03f5f7f11d50a3a_6.1.7600.16385_none_5979280b6e249d91\Microsoft.VisualC.Dll CMD: copy /y C:\Pliki\PhotoBase.dll "C:\Program Files\Windows Photo Viewer\PhotoBase.dll" CMD: copy /y C:\Pliki\PhotoBase.dll C:\Windows\winsxs\amd64_microsoft-windows-photobase_31bf3856ad364e35_6.1.7600.16385_none_9c7564b9b4af5e86\PhotoBase.dll CMD: copy /y C:\Pliki\sbdrop.dll.mui "C:\Program Files\Windows Sidebar\pl-PL\sbdrop.dll.mui" CMD: copy /y C:\Pliki\sbdrop.dll.mui C:\Windows\winsxs\amd64_microsoft-windows-sidebar.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_91783907f1e8c27d\sbdrop.dll.mui CMD: copy /y C:\Pliki\System.AddIn.dll C:\Windows\assembly\GAC_MSIL\System.AddIn\3.5.0.0__b77a5c561934e089\System.AddIn.dll CMD: copy /y C:\Pliki\System.AddIn.dll C:\Windows\winsxs\msil_system.addin_b77a5c561934e089_6.1.7601.17755_none_01e6dc6bbc18d59b\System.AddIn.dll CMD: copy /y C:\Pliki\System.AddIn.Contract.dll C:\Windows\assembly\GAC_MSIL\System.AddIn.Contract\2.0.0.0__b03f5f7f11d50a3a\System.AddIn.Contract.dll CMD: copy /y C:\Pliki\System.AddIn.Contract.dll C:\Windows\winsxs\msil_system.addin.contract_b03f5f7f11d50a3a_6.1.7601.17514_none_46152da9482ca76c\System.AddIn.Contract.dll CMD: copy /y C:\Pliki\tbssvc.dll.mui C:\Windows\System32\pl-PL\tbssvc.dll.mui CMD: copy /y C:\Pliki\tbssvc.dll.mui C:\Windows\winsxs\amd64_microsoft-windows-tpm-tbs-core.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_3cabb062faf47666\tbssvc.dll.mui CMD: copy /y C:\Pliki\wmpnetwk.exe.mui "C:\Program Files\Windows Media Player\pl-PL\wmpnetwk.exe.mui" CMD: copy /y C:\Pliki\wmpnetwk.exe.mui C:\Windows\winsxs\amd64_microsoft-windows-w..s-service.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_66aa5361ca334cef\wmpnetwk.exe.mui CMD: copy /y C:\Pliki\xmlfilter.dll C:\Windows\System32\xmlfilter.dll CMD: copy /y C:\Pliki\xmlfilter.dll C:\Windows\winsxs\amd64_microsoft-windows-content-filter-html_31bf3856ad364e35_7.0.7600.16385_none_a7c20a5fb80f0e97\xmlfilter.dll Plik zapisz pod nazwą fixlist.txt. 2. Przesyłam pliki. Rozpakuj Pliki.zip, a folder z paczki przenieść wprost na C, czyli taka ścieżka ma być dostępna: C:\Pliki. W folderze tym umieść także FRST i plik fixlist.txt. 3. Przy starcie systemu F8 > Napraw komputer > Wiersz polecenia > uruchom zgodnie z instrukcją FRST: KLIK. Nanieś poprawkę na to, że FRST siedzi w podfolderze, czyli w komendzie X:\Pliki\FRST64.exe. Klik w Napraw (Fix), w folderze Pliki powstanie fixlog.txt. Przedstaw go.

To na pewno nie jest problem infekcji. Przenoszę do działu Hardware. Dostarcz dane wymagane działem: KLIK. Prawdopodobnie kto inny zajmie się tematem, nie jestem specjalistą sprzętowym. Zaznaczę tylko, że jeśli byłby to problem po stronie software, to sterowniki ATI (teraz AMD) są mocno sfatygowane i nie wiadomo czy w ogóle jest nowsza wersja dostępna dla starego niewspieranego XP: ATI - Software Uninstall Utility (HKLM\...\All ATI Software) (Version: 6.14.10.1021 - ) ATI Catalyst Control Center (HKLM\...\{055EE59D-217B-43A7-ABFF-507B966405D8}) (Version: 2.008.0407.2138 - ) ATI Display Driver (HKLM\...\ATI Display Driver) (Version: 8.477-080407a-062896C-Toshiba - ) Winlogon\Notify\AtiExtEvent: C:\WINDOWS\system32\Ati2evxx.dll [2009-02-26] (ATI Technologies Inc.) PS. System owszem zaśmiecony, ale to nie ma związku z powyższym i sprowadza się raczej do wpisów odpadkowych. Sprawa mocno podrzędna. W spoilerze masz doczyszczanie tego, ale mam szczere wątpliwości czy jest sens czyścić ten stary system po awarii i sztukowaniu za pomocą Konsoli Odzyskiwania, zwłaszcza że jest nadal nie rozwiązany główny problem z grafiką.

Sprawdź jeszcze chrome://flags/ i przestawienie opcji Wygładzanie tekstu LCD. I nic więcej nie przychodzi mi do głowy. PS. Możesz rozważyć też inne rozwiązanie w Google Chrome, tzn. zciemnienie całego stylu stron, przykładowe rozszerzenia: Deluminate, Hacker Vision.