picasso

Zapomniałeś zrobić nowy skan FRST. Jeśli ciąg zdarzeń wyglądał następująco: format pendrive > ponowne posłużenie się nim w punkcie ksero (czyli reinfekcja), to by wyjaśniało dlaczego "formaty nie pomógł". W przeciwnym wypadku nie potrafię wyjaśnić zdarzenia. I niestety sytuacja może się powtórzyć przy kolejnym korzystaniu z publicznych ksero. Nie można temu zapobiec, urządzenie musiałoby chodzić w trybie zablokowanego zapisu, co czyni go po prostu bezużytecznym do przenoszenia danych. Chodziło o kompletne wyczyszczenie całej Historii, gdyż adware działało znacznie wcześniej niż "ostatnia godzina". Wątpię, by zdarzenia były powiązane, gdyż w tym systemie nie ma śladów czynnej infekcji z pendrive. Bardziej prawdopodobny zdaje się być wpływ adware: rozszerzenie Default NewTab (już usunięte poprzez reset Firefox) oraz globalnie aktywny sterownik StdLib (już usunięty za pomocą Fix FRST), który jest znany z interferencji na sieć. Wracając do wątku czyszczenia pendrive, to właściwe mało co na nich widać. Na obu pendrive pliki osobiste są ukryte, tylko na jednym z nich jest jakiś stary plik sugerujący infekcję (Team.vbs), poza tym nie ma innych śladów. Zadaniem będzie więc proste odkrycie danych przez zdjęcie im atrybutów "H". Zakładam, że pendrive są pod tymi samymi literami (czyli F) które pokazywał USBFix, w przeciwnym wypadku nanieś ręczną korektę na liternictwo: 1. Akcja dla pendrive widzianego w raporcie UsbFix Listing 1 TAZ.txt. Otwórz Notatnik i wklej w nim: CMD: attrib -h F:\* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie nastąpi restart. 2. Akcja dla pendrive widzianego w raporcie UsbFix Listing 2 TAZ.txt. Otwórz Notatnik i wklej w nim: RemoveDirectory: F:\System Volume Information CMD: attrib /d /s -s -h F:\* CMD: del /q F:\Team.vbs Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie nastąpi restart. 3. Zrób nowe logi: USBFix z opcji Listing pokazujący oba pendrivy oraz log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Fix wykonany, ale ostatni log FRST twierdził, że ustawienia Google Chrome były zmodyfikowane. Poproszę o nowy log FRST (bez Addition i Shortcut) przedstawiający czy aby coś się nie zmieniło.

Operacja pomyślnie przeprowadzona. Teraz jeszcze na wszelki wypadek: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Nie wiem dlaczego nie nastąpił reset w obu przypadkach. Na dodatek w drugim podejściu w ogóle nie został skasowany dziennik Comodo. Powtórz zadanie z poziomu Trybu awaryjnego stosując następujące pliki Fixlist, po zastosowaniu każdego ma nastąpić automatyczny restart: CMD: sc config Eventlog start= disabled C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reboot: C:\WINDOWS\system32\config\COMODO I.evt CMD: sc config Eventlog start= auto Reboot: Oba wynikowe fixlog.txt dostarcz do wglądu. Dodaj mi też ten plik: C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\1th1xarp.default-1438872568250\extensions.ini Tym się zajmę potem, pewnie uprawnienia tych folderów są problemem (konto SYSTEM z dostępem). To nie są foldery infekcji, tylko pochodna prób instalacji któregoś programu. Prawdopodobnie AVG: Wypróbuj narzędzia podawanego w oficjalnej bazie wiedzy AVG: KLIK.

"Przykładowe narzędzia" tam podane to wszystko czym dysponujemy. Jeśli TeslaDecoder nie zdoła zająć się plikami *.ecc (brak klucza prywatnego na dysku, co nie jest wykluczone przy tym wariancie): Jedyna możliwość to wyszukiwanie nieszyfrowanych wcześniejszych wersji plików, aczkolwiek to prawdopodobnie skończy się niepowodzeniem. Infekcja usuwa wszystkie punkty Przywracania systemu. Zostaje próba z narzędziami do odzyskiwania danych (np. TestDisk). Ale nawet jeśli infekcja TeslaCrypt nie zastosowała tzw. "bezpiecznego usuwania danych" uniemożliwiającego skorzystanie z tej drogi, "pełzająca przez długie tygodnie infekcja" oznacza potencjalnie bardzo marne wyniki wyszukiwania, gdyż były wykonywane liczne zapisy na dysku skutecznie odcinające tę drogę.

Spróbuj cofnąć się dalej niż ta świeża data. I dopiero po cofnięciu się: ... deinstalacja Comodo. Odwrotna kolejność spowoduje przywrócenie komponentów Comodo (uszkodzony program). I po tym nowe raporty FRST (włącznie z Addition), ze wskazaniem który punkt użyto oraz czy są jakieś zmiany. Nawet "od kolegi" nie daje takich objawów jak w raporcie. Wiele modyfikowanych sztucznie systemów XP ma podpisy cyfrowe Microsoftu, tylko niektóre pliki mogą tego nie posiadać, tzn. te ręcznie zmodyfikowane, ale nie taka masówka na praktycznie wszystkich jak leci. To jest na pewno uszkodzenie, tylko jeszcze nie jest pewne gdzie, podejrzenie wstępne to Catroot / Catroot2. Czekam na wyniki kolejnej operacji Przywracania systemu, czy ona aby nie zmieni odczytu. Plik Shortcuts nie służy tylko do diagnostyki przejęcia skrótów przez hijackery. Na jego podstawie można wyłowić także masę innych nieprawidłowości (choćby uszkodzone definicje folderów Shell czy uszkodzone zwrotne linki symboliczne). Ale w tym przypadku nie wniesie on do sprawy zbyt wiele, bo są uszkodzenia innej natury.

Wszystko wykonane. Drobne poprawki, bo widzę że odinstalowałeś też BitComet, a świński Ask zdążył zmodyfikować ustawienia Google Chrome. 1. W Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres search.ask.com. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy search.ask.com. 2. Otwórz Notatnik i wklej: SearchScopes: HKU\S-1-5-21-1179075916-1230099672-3418183226-1002 -> DefaultScope {1FCBD2D4-46A8-43F1-BA26-BB31D770E6DF} URL = SearchScopes: HKU\S-1-5-21-1179075916-1230099672-3418183226-1002 -> {1FCBD2D4-46A8-43F1-BA26-BB31D770E6DF} URL = BHO-x32: BitComet Helper -> {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -> C:\Users\Admin\Desktop\moje\BitComet\tools\BitCometBHO_1.5.4.11.dll => Brak pliku S3 BITCOMET_HELPER_SERVICE; C:\Users\Admin\Desktop\moje\BitComet\tools\BitCometService.exe -service [X] RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Nie za wiele tu widać, ale owszem jest aktywny niepożądany program typu "PUP" marki Ask zainstalowany jako ... "bonus" pakietu AVG (sic!). Rozpocznijmy od pozbycia się tego śmiecia i zobaczymy co z tego wyniknie: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje i śmieci: Adobe Flash Player 16 PPAPI, Adobe Reader X (10.1.0) - Polish, AVG SafeGuard by Ask, Bing Bar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1179075916-1230099672-3418183226-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130856772130111010&GUID=F7B0D5F2-006D-4E69-A7CE-BD801FCBECDA Task: {2A024ED5-9741-4D90-9266-74D9E8DF7700} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {AAA66222-977B-4000-8D87-BB4CF8CC6042} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-08-17] (Lenovo) C:\Program Files (x86)\AskPartnerNetwork C:\ProgramData\AskPartnerNetwork C:\ProgramData\APN C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Longman Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

Tak, tym razem Firefox dobrze wyczyszczony. Drobniutkie korekty końcowe. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\Opera /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeARMservice" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\aliim " /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Green Christmas Tree" /f CMD: del /q C:\Users\user\Downloads\irbzj907.exe CMD: del /q C:\Users\user\Downloads\l6202q49.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\user\Desktop\Old Firefox Data Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Dostarcz wynikowy fixlog.txt.

Wszystko przetworzone pomyślnie. Skany AdwCleaner i MBAM już były prowadzone na początku, więc nie zalecam już powtarzania. Kończymy: Usuń pobrany FRST i jego logi z folderu Nowy folder na Pulpicie. Następnie jeszcze popraw DelFix, następnie wyczyść foldery Przywracania systemu oraz zainstaluj najnowsze wersje odinstalowanych aplikacji: KLIK.

Logi z przestarzałego OTL nie są w ogóle brane pod uwagę (usuwam). Brak za to trzeciego pliku FRST Shortcut, co akurat w tym przypadku nie jest aż tak istotne. A temat przenoszę do właściwego działu Windows, bo to nie jest sprawa infekcji. Który z punktów został wybrany, czy ten najstarszy? ==================== Punkty Przywracania systemu ========================= 20-10-2015 17:24:34 Punkt kontrolny systemu 20-10-2015 17:24:32 Instalacja niepodpisanego sterownika 17-10-2015 20:19:48 Przed Visio 20-10-2015 17:24:31 Installed Microsoft Office Visio Professional 2007 20-10-2015 17:24:28 Installed Diagram Designer 23-10-2015 21:05:13 Punkt kontrolny systemu 23-10-2015 21:05:13 Instalacja niepodpisanego sterownika 23-10-2015 21:05:13 Instalacja niepodpisanego sterownika 23-10-2015 21:05:13 Instalacja niepodpisanego sterownika 23-10-2015 21:05:12 Instalacja niepodpisanego sterownika 23-10-2015 21:05:12 Instalacja niepodpisanego sterownika 23-10-2015 21:05:11 Instalacja niepodpisanego sterownika 23-10-2015 21:05:11 Punkt kontrolny systemu 23-10-2015 21:05:10 Instalacja niepodpisanego sterownika 23-10-2015 14:14:13 Punkt kontrolny systemu 24-10-2015 17:52:42 Punkt kontrolny systemu 25-10-2015 19:05:57 Punkt kontrolny systemu 26-10-2015 19:06:45 Punkt kontrolny systemu 27-10-2015 21:26:12 Punkt kontrolny systemu 28-10-2015 21:38:33 Punkt kontrolny systemu 29-10-2015 22:26:23 Punkt kontrolny systemu 30-10-2015 22:43:31 Punkt kontrolny systemu 01-11-2015 00:06:27 Punkt kontrolny systemu 01-11-2015 19:01:03 Instalacja niepodpisanego sterownika 01-11-2015 20:50:11 Instalacja niepodpisanego sterownika 04-11-2015 20:07:26 Operacja przywracania Jak wyżej - z którego punktu był kopiowany plik SYSTEM? Na razie ustalmy który punkt Przywracania był użyty. Ale dodam, że widzę: - Masowe uszkodzenie polegające na oznaczeniu wszystkich usług / sterowników Microsoftu przez [brak podpisu cyfrowego]. To prawdopodobnie oznacza dodatkowe uszkodzenie bazy Usług kryptograficznych, tylko nie wiadomo której: catroot2 (to się da naprawić przez jej reset) lub catroot (to nie jest nienaprawialne w inny sposób niż przywrócenie poprzedniej wersji katalogu np. przy użyciu Przywracania systemu). Aczkolwiek wcale nie jest wykluczone, że brak podpisu może oznaczać jednak prawdziwe usdzkodzenie plików. - Uszkodzenia plików także są, conajmniej dwa wymieniane na komunikatach podczas próby uruchomienia OTL to pliki uszkodzone. Kto to wie ile jeszcze. - Stary COMODO Internet Security (sterowniki z 2012), który może mieć też jakiś wpływ. I będzie też utrudniał ewentualne naprawy. I tu może się skończyć na reinstalacji Windows. Jest bardzo dużo naruszeń.

Plik FRST Shortcut jest pusty. Ale te foldery w Koszu to normalna sprawa. Każdy Kosz zawiera podfolder o nazwie SID (Security Identifier) konta. W Twoim przypadku jest dopasowanie do następujących kont: Właściciel (S-1-5-21-854245398-1454471165-682003330-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Właściciel + filtrowane przez FRST konto wbudowane w system: Lokalne konto systemowe (S-1-5-18) Niezależnie od tego ile razy będziesz usuwać te foldery, one się zregenerują, bo tak jest skonstruowany Kosz systemowy (separuje Kosze względem użytkowników). Wspominasz jednak, że po usuwaniu tych podfolderów przestaje działać normalne opróżnianie, więc przeładuj Kosz raz a dobrze poprzez usunięcie odgórnego folderu. Po akcji w punkcie 2 poniżej folder RECYCLER będzie nieobecny tylko tymczasowo. Przy pierwszej próbie usuwania czegoś do Kosza folder RECYCLER z podfolderami SID kont się zregeneruje. I tak ma być. Plus inne drobne korekty, m.in. szczątki po odinstalowanym Comodo, wypięcie Dziennika zdarzeń Comodo będzie wymagać aż dwóch skryptów (konieczne tymczasowe wyłączenie Dziennika zdarzeń). Akcje do przeprowadzenia: 1. Deinstalacje: - Sugeruję odinstalować program wątpliwej reputacji Driver Booster 3.0 (od IObit). - Nadal widać ukryty wpis adware, o którym była mowa kilka razy. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku FF user.js: detected! => C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\1th1xarp.default-1438872568250\user.js [2015-09-26] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2012-09-04] [brak podpisu cyfrowego] Task: C:\WINDOWS\Tasks\SlimCleaner Plus (Scheduled Scan - Właściciel).job => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe AlternateDataStreams: C:\WINDOWS\system32\FlashPlayerApp.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\FlashPlayerInstaller.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\mpelocalmon.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\mpelocalui.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\PuranDC.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\PuranDefrag.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\PuranDefragBT.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\PuranDefragS.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\PuranFD.exe:$CmdTcID RemoveDirectory: C:\RECYCLER RemoveDirectory: C:\VTRoot C:\WINDOWS\pss\SmartWeb.lnkStartup Folder: C:\Dbz70C5E Folder: C:\Dbz0A5CD Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Właściciel^Menu Start^Programy^Autostart^SmartWeb.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RDReminder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb" /f CMD: sc config AppMgmt start= disabled CMD: sc config Eventlog start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart. Wynikowy fixlog.txt skopiuj w inne miejsce niż to skąd uruchamiasz FRST, bo kolejna akcja nadpisze go. 3. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\COMODO I.evt CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Również nastąpi restart. Powstanie kolejny fixlog.txt. Dostarcz oba pliki fixlog.txt. Nowe skany FRST nie są mi potrzebne. Poproszę też o przesłanie mi tego pliku: C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\profiles.ini

Deinstalacja Firefox była niekompletna, odbyła się bez zaznaczenia opcji usuwającej profil z dysku, na dysku nadal folder Firefox z adware. Jeśli EasyCalendar samoistnie zniknął, a stało się to po zastosowaniu opcji Fix w FRST, to likwidacja odbyła się przez usunięcie polityk blokujących coś w Chrome. Poprawki. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Daniel\AppData\Local\Mozilla RemoveDirectory: C:\Users\Daniel\AppData\Roaming\Mozilla CMD: del /q C:\afxdrpog.sys CMD: del /q C:\Users\Daniel\Downloads\yde3cxoi.exe CMD: del /q C:\Windows\Minidump\*.dmp CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Plik zapisz pod nazwą fixlist.txt (zapis w UTF-8 nie jest potrzebny) i umieść obok narzędzia FRST. Wyłącz tymczasowo COMODO, by nie przeszkadzał. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. PS. Oczywiście odpowiedź w nowym poście.

Prawie wszystko zrobione. Nadal jednak są pewne błędy w Dzienniku zdarzeń: Dziennik System: ============= Error: (11/04/2015 11:07:22 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: luafv Error: (11/04/2015 11:05:59 PM) (Source: Service Control Manager) (EventID: 7002) (User: ) Description: Usługa Intel Hardware Monitor zależy od grupy MS Transactions, a nie uruchomiono żadnego członka tej grupy. Pierwszy błąd nadal wymaga analizy, a drugi nie zniknął, gdyż deinstalacja "Intel Hardware Monitor" była niekompletna - została usługa, która próbuje się uruchamiać. Kolejna porcja czynności: Otwórz Notatnik i wklej w nim: S2 Intel Hardware Monitor; C:\Program Files (x86)\Intel\iWHMService\iWHMService.exe [57344 2008-11-16] () [brak podpisu cyfrowego] C:\Program Files (x86)\Intel\iWHMService CMD: copy /y "C:\Qoobox\Quarantine\C\program files (x86)\DFX\DFX.vir" "C:\Program Files (x86)\DFX\DFX.exe" Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\luafv /s File: C:\Windows\system32\drivers\luafv.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go.

Brak danych: o jaką grę chodzi, skąd pochodzącą (pobrana "na lewo" czy originał), z jakiego nośnika instalator jest uruchamiany (płyta, bądź skopiowany materiał na dysk), jak wygląda struktura ścieżek z której uruchamiasz (czy jest podział na więcej katalogów).

To sugeruje któryś program w starcie. Na razie całkowity brak danych. Poproszę o raporty z FRST wykonane z poziomu Trybu awaryjnego.

Dostarcz dane sprzętowe, ktoś mam nadzieję oceni jaki jest stan dysku i czy nie kroi się tu aby większa awaria. Jeśli wyniki oceny będą dostatecznie pozytywne, zajmę się doczyszczaniem systemu z innych śmieci. Radzę też na wszelki wypadek zabezpieczyć cenne dane na jakimś zewnętrznym nośniku.

Czy po przeprowadzeniu punktu 1 jest jakaś poprawa? Checkdisk owszem namierzył naruszenia struktury, a w statystykach końcowych jest 4 KB w uszkodzonych sektorach. W związku z tym może się rysować ogólny problem z dyskiem twardym i przesuwam temat na diagnostykę Hardware. Dostarcz dane wymagane działem: KLIK.

Jest tu infekcja ładowana via AppInit_DLLs: AppInit_DLLs: C:\ProgramData\BluetoothPoint\Stockzap.dll => C:\ProgramData\BluetoothPoint\Stockzap.dll [518656 2015-10-25] () AppInit_DLLs-x32: C:\ProgramData\BluetoothPoint\Y--Lux.dll => C:\ProgramData\BluetoothPoint\Y--Lux.dll [320512 2015-10-25] () Będę też korygować różne błędy w Dzienniku zdarzeń (poprzez usunięcie niekompatybilnych sterowników) oraz usuwać puste wpisy i skróty. Dziennik System: ============= Error: (11/04/2015 01:15:51 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: luafv Error: (11/04/2015 01:14:56 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi port_nt z powodu następującego błędu: %%1275 Error: (11/04/2015 01:14:56 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \??\c:\windows\SysWow64\drivers\port_nt.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Error: (11/04/2015 01:14:21 PM) (Source: Service Control Manager) (EventID: 7002) (User: ) Description: Usługa Intel Hardware Monitor zależy od grupy MS Transactions, a nie uruchomiono żadnego członka tej grupy. Error: (11/04/2015 01:14:15 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi BluetoothPoint z powodu następującego błędu: %%2 Uruchomienie ComboFix nie było potrzebne. On na dodatek uszkodził pewne poprawne aplikacje: c:\program files (x86)\DFX\DFX.exe c:\users\Element\AppData\Roaming\dropf c:\users\Element\AppData\Roaming\dropf\dropf.xml c:\users\Element\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\3RVX.lnk Akcje do przeprowadzenia: 1. Odinstaluj stare wersje i inne: Adobe AIR, Adobe Flash Player 16 ActiveX, Adobe Flash Player 17 NPAPI, Adobe Reader 9.5.0 - Polish, BluetoothService (adware!), Intel Hardware Monitor, Java 8 Update 45, Opera 12.17, SpyHunter 4 (wątpliwy skaner!), Windows Media Player Firefox Plugin. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\BluetoothPoint\Stockzap.dll => C:\ProgramData\BluetoothPoint\Stockzap.dll [518656 2015-10-25] () AppInit_DLLs-x32: C:\ProgramData\BluetoothPoint\Y--Lux.dll => C:\ProgramData\BluetoothPoint\Y--Lux.dll [320512 2015-10-25] () S2 BluetoothPoint; C:\ProgramData\\BluetoothPoint\\BluetoothPoint.exe -f "C:\ProgramData\\BluetoothPoint\\BluetoothPoint.dat" -l -a S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 PortTalk; C:\Windows\System32\Drivers\PortTalk.sys [3567 2009-01-18] (Beyond Logic http://www.beyondlogic.org) [brak podpisu cyfrowego] S3 PortTalk; C:\Windows\SysWOW64\Drivers\PortTalk.sys [3567 2002-01-12] (Beyond Logic http://www.beyondlogic.org) [brak podpisu cyfrowego] S2 port_nt; c:\windows\SysWOW64\drivers\port_nt.sys [3608 2000-10-23] () [brak podpisu cyfrowego] Task: {8D4C3AFE-DACD-4CA0-AEED-C06557B7E1DF} - System32\Tasks\{A32184F2-00F7-45AF-B1C1-E273E0B12AAA} => pcalua.exe -a "D:\vuze downloads\BullZip PDF Printer 3.0.0.352 -LegalTorrents\BullzipPDFPrinter_3_0_0_352.exe" -d "D:\vuze downloads\BullZip PDF Printer 3.0.0.352 -LegalTorrents" HKLM\...\Run: [tvncontrol] => "C:\Program Files\TightVNC\tvnserver.exe" -controlservice -slave HKLM-x32\...\Run: [Resume copy] => copyfstq.exe /startup HKLM-x32\...\Run: [DFX] => C:\Program Files (x86)\DFX\DFX.exe -startup HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-1257552822-3971336646-2794152910-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1257552822-3971336646-2794152910-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-1257552822-3971336646-2794152910-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [brak pliku] C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\BluetoothPoint C:\ProgramData\COMODO C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{F73AE6C3-5504-4A84-8EDA-12124F837976} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Bridge CS3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Device Central CS3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Stock Photos CS3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EaseUS Todo Backup Free 8.0 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HTC Home C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Projektuj i Kupuj 3D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Vista Anti-Lag C:\Users\Element\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\Element\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Microsoft Office Excel 2007.lnk C:\Users\Element\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DBF Viewer 2000 C:\Users\Element\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Smart Fortress 2012 C:\Users\Element\Documents\InsERT GT\sumeeko.lnk C:\Windows\System32\Drivers\PortTalk.sys C:\Windows\SysWOW64\Drivers\PortTalk.sys C:\Windows\SysWOW64\Drivers\port_nt.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy adware isearch.omiga-plus.com, do-search.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres adware delta-homes.com 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Element\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Wyczyść Dzienniki zdarzeń, by nagrały się tylko bieżące błędy: Start > w polu szukania wklep eventvwr.msc > z prawokliku Uruchom jako Administrator > rozwiń Dzienniki systemu Windows > z prawokliku opróżnij Aplikacja i System. Zresetuj system. 6. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Aktualizacja do: Dziś wydano wersję FRST, która to umożliwia. Jeśli ktoś chce ominąć wbudowane tłumaczenia i pozyskać wszystko w języku angielskim, należy zmienić nazwę pliku FRST.exe / FRST64.exe dodając słowo English: FRSTEnglish.exe lub EnglishFRST.exe.

Temat przenoszę. Proszę zakładaj tematy w odpowiednich działach. "Dział pomocy doraźnej" służy tylko i wyłącznie do diagnostyki infekcji. Jeśli ten licznik jest widoczny w panelu Programy i funkcje, to nie jest to nawet licznik dostatecznie precyzyjny. Metodologia obliczeń działa na modelu "w przybliżeniu": KLIK. But wait, there's more. There's also the program size. Add/Remove Programs looks in your "Program Files" directory for directories whose names share at least two words in common with the DisplayName. The best match is assumed to be the directory that the program files are installed into. The sizes are added together and reported as the size of "Awesome Program for Windows". "Odchudzanie" polegałoby po prostu na deinstalacji tego pakietu. Ale sam mówisz, że korzystasz z aplikacji Nokia, to nie kombinuj.

Jest notowany problem z usługą Instrumentacji Windows: ==================== Punkty Przywracania systemu ========================= Niepowodzenie przy listowaniu punktów przywracania Sprawdź usługę "winmgmt" lub napraw WMI. Dziennik System: ============= Error: (11/02/2015 10:03:39 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi Winmgmt. Error: (11/02/2015 09:57:49 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: {8BC3F05E-D86B-11D0-A075-00C04FB68820} Raporty nie podają żadnych innych wskazówek w czym może tkwić problem z uruchomieniem WMI. Rozpocznij od sprawdzenia dysku pod kątem błędów: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: chkdsk /f /r Zatwierdź uruchomienie przy następnym starcie. Zresetuj system, powinien się uruchomić checkdisk. Wynik jego działań zostanie nagrany w Dzienniku zdarzeń: Start > w polu szukania wpisz eventvwr.msc > Dzienniki systemu Windows > Aplikacja > szukaj rekordu ze źródłem Wininit Pobierz szczegóły tego rekordu, skopiuj i wklej do posta. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.

Czy DAEMON Tools Lite został odinstalowany? Pytam, gdyż widzę zmianę w raporcie inną niż podana, tzn. sterownik SPTD nie zniknął, lecz został zaktualizowany. "Ta platforma nie jest obsługiwana" - skąd był pobierany instalator? Sterowników powinieneś szukać na stronie ASUSa pod ten konkretny model, a nie Intel.

Wnioski tu się nasuwają takie, że chyba dodatkowo nie działa też system skróconych ścieżek 8+3, gdyż poprawnie je zastosowałam, a nie są "widziane". M.in. FRST powinien poprzednio wyszukać powiązany katalog, a to się nie stało. Wyszukiwanie FRST na ten konkretny plik jednak go znalazło. Toteż spróbuj pełnej ścieżki ujętem w cudzysłowie: Uruchom cmd jako Administrator i tym razem wklej to: RunDll32 "C:\Program Files (x86)\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll",LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{AF229311-D6FD-4ED5-A446-9C44B96380A9}\setup.exe" -l0x15 /remove Jeśli ta komenda się wykona, wywołaj kolejne dla pozostałych aplikacji Creative: RunDll32 "C:\Program Files (x86)\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll",LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{88B1984E-36F0-47B8-B8DC-728966807A9C}\setup.exe" -l0x15 /remove RunDll32 "C:\Program Files (x86)\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll",LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{63A317D0-60A6-43FC-848A-9FE4A53B29CE}\setup.exe" -l0x15 /remove

Ogólnie problemem tu były instalacje adware. MBAM wprawdzie usunął większość (nie dostarczyłeś raportu), ale i tak są wymagane poprawki. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj starsze wersje i zbędniki: Adobe Reader XI (11.0.13) - Polish, Adobe Shockwave Player 11.6, Google Talk Plugin (już nie działa), McAfee Security Scan Plus (sponsor). Ten McAfee jest doczepiany do instalacji Adobe. Więcej na ten temat: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2AEAA61D-FA4D-468B-8BB2-A7E5E8BA7A4E} - System32\Tasks\ndfm8T1THqfToaLptk => C:\Users\BiM\AppData\Roaming\ndfm8T1THqfToaLptk.exe Task: {4F997A61-42EB-4FA8-83AD-AB79D55AE8DC} - System32\Tasks\{74C70AC5-7015-4ADF-AB6C-B2439852C353} => pcalua.exe -a "C:\Users\BiM\Desktop\CDM v2.08.30 WHQL Certified.exe" -d C:\Users\BiM\Desktop Task: {84FFE756-BDCD-4667-BAE8-D61BF8A9DD4B} - System32\Tasks\LN2oOlZTsv1EvO97 => C:\Users\BiM\AppData\Roaming\LN2oOlZTsv1EvO97.exe Task: {A1C8F226-6215-4AFC-B87E-2BF3BD05E515} - System32\Tasks\8xXtSQlKd3YOe => C:\Users\BiM\AppData\Roaming\8xXtSQlKd3YOe.exe Task: {C7DA26EB-0A86-40D1-8396-DE5CE66BB3E0} - System32\Tasks\qTnNzoDGbCHBMSlUvv5qR => C:\Users\BiM\AppData\Roaming\qTnNzoDGbCHBMSlUvv5qR.exe Task: C:\Windows\Tasks\8xXtSQlKd3YOe.job => C:\Users\BiM\AppData\Roaming\8xXtSQlKd3YOe.exe Task: C:\Windows\Tasks\LN2oOlZTsv1EvO97.job => C:\Users\BiM\AppData\Roaming\LN2oOlZTsv1EvO97.exe Task: C:\Windows\Tasks\ndfm8T1THqfToaLptk.job => C:\Users\BiM\AppData\Roaming\ndfm8T1THqfToaLptk.exe Task: C:\Windows\Tasks\qTnNzoDGbCHBMSlUvv5qR.job => C:\Users\BiM\AppData\Roaming\qTnNzoDGbCHBMSlUvv5qR.exe HKU\S-1-5-21-2884341647-173305695-508017251-1001\...\Run: [Power2GoExpress8] => NA S3 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S2 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X] FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF CHR HKU\S-1-5-21-2884341647-173305695-508017251-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bakijjialdiiboeaknfpmflphhmljfkd] - hxxps://clients2.google.com/service/update2/crx HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKU\S-1-5-21-2884341647-173305695-508017251-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKU\S-1-5-21-2884341647-173305695-508017251-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-2884341647-173305695-508017251-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-2884341647-173305695-508017251-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File CustomCLSID: HKU\S-1-5-21-2884341647-173305695-508017251-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\BiM\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-2884341647-173305695-508017251-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\BiM\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-2884341647-173305695-508017251-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\BiM\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-2884341647-173305695-508017251-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\BiM\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-2884341647-173305695-508017251-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\BiM\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File C:\Program Files (x86)\is.dat C:\Program Files (x86)\uik.dat C:\Program Files (x86)\3375cbb5-4f69-4ec7-af28-55c067ca4529 C:\Program Files (x86)\be3c4786-834f-4330-88da-6f9473809b1f C:\Program Files (x86)\globalUpdate C:\ProgramData\Temp C:\Users\BiM\AppData\Local\globalUpdate C:\Users\BiM\AppData\Roaming\8xXtSQlKd3YOe C:\Users\BiM\AppData\Roaming\LN2oOlZTsv1EvO97 C:\Users\BiM\AppData\Roaming\ndfm8T1THqfToaLptk C:\Users\BiM\AppData\Roaming\qTnNzoDGbCHBMSlUvv5qR C:\Users\BiM\Desktop\Skróty\McAfee Security Scan Plus.lnk C:\Users\BiM\Desktop\Skróty\Norton Internet Security.lnk C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan) na następującym ustawieniu: w sekcji Whitelist (Filtrowanie) odnacz pole Internet, nie zaznaczaj pól Addition i Shortcut. Dołącz też plik fixlog.txt oraz raport z MBAM pokazujący co wcześniej było usuwane.