picasso

Kolejna porcja usuwania. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\_CrossriderRegNamePlaceHolder_ DeleteKey: HKCU\Software\Crossrider DeleteKey: HKCU\Software\DAILYPCCLEAN DeleteKey: HKCU\Software\GlobalUpdate DeleteKey: HKCU\Software\GoHD DeleteKey: HKCU\Software\InstalledBrowserExtensions DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\OB DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Reg\Clean DeleteKey: HKCU\Software\Tencent DeleteKey: HKCU\Software\Tutorials DeleteKey: HKCU\Software\TutoTag DeleteKey: HKCU\Software\Yahoo\Companion DeleteKey: HKCU\Software\Yahoo\YFriendsBar DeleteKey: HKLM\SOFTWARE\76b8b9df-7995-40ea-95a1-f80de3274052 DeleteKey: HKLM\SOFTWARE\c66e83ef-420b-4913-9bf6-d3e0763c09b8 DeleteKey: HKLM\SOFTWARE\ebf2cd08-ec58-499d-be2a-c13dcc616e42 DeleteKey: HKLM\SOFTWARE\Classes\AppID\{3278F5CF-48F3-4253-A6BB-004CE84AF492} DeleteKey: HKLM\SOFTWARE\Classes\AppID\{577975B8-C40E-43E6-B0DE-4C6B44088B52} DeleteKey: HKLM\SOFTWARE\Classes\AppID\{51BEE30D-EEC8-4BA3-930B-298B8E759EB1} DeleteKey: HKLM\SOFTWARE\Classes\AppID\DownloadProxy.EXE DeleteKey: HKLM\SOFTWARE\Classes\AppID\globalupdate.exe DeleteKey: HKLM\SOFTWARE\Classes\Applications\QMDeskTopGC.exe DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{29B6CFD5-0064-411A-8C42-9890C83F9921} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{3278F5CF-48F3-4253-A6BB-004CE84AF492} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{3B5702BA-7F4C-4D1A-B026-1E9A01D43978} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{4C097DF1-0716-4FA1-84A9-025BC1E7B03F} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{5645E0E7-FC12-43BF-A6E4-F9751942B298} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{577975B8-C40E-43E6-B0DE-4C6B44088B52} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{5E89ACE9-E16B-499A-87B4-0DBF742404C1} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{69F256DF-BA98-45E9-86EA-FC3CFECF9D30} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{6E87FC94-9866-49B9-8E93-5736D6DE3DD7} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{6EDBF8C0-C94C-4A13-956F-E393BCA5BA4B} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{70DE12EA-79F4-46BC-9812-86DB50A2FD64} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{7E49F793-B3CD-4BF7-8419-B34B8BD30E61} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{834469E3-CA2B-4F21-A5CA-4F6F4DBCDE87} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{8529FAA3-5BFD-43C1-AB35-B53C4B96C6E5} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{88260EA6-BC91-42DF-ABEF-4A683E8A3C23} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{ADBC39BE-3D20-4333-8D99-E91EB1B62474} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{CFC47BB5-5FB5-4AD0-8427-6AA04334A3FC} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{D4801E96-E7A1-45F6-B124-7A36DFB40B81} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E06CA7F5-BA34-4FF6-8D24-B1BDC594D91F} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E0ADB535-D7B5-4D8B-B15D-578BDD20D76A} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{F6421EE5-A5BE-4D31-81D5-C16B7BF48E4C} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{FD8E81D0-F5FE-4CB1-9AEA-1E163D2BAB78} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{023E9EC8-B147-40EB-B0B3-DF90618FB371} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{0522D9A4-4D57-437D-978D-E5B3B6C9005D} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{07F41522-AF7D-4F26-B394-094F059FDB8A} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{0C40F472-7407-4467-8914-1DEA7C326972} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{212E6D43-6062-492A-B8CC-144669FF11ED} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{224FE662-1E6D-4BC0-AEBB-9E2FB4057BE9} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{3A807417-B46D-4D37-8C9A-19AC6DE204F9} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{3CC60715-D6C5-429D-830E-43FA3F86C61D} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4517D94C-19BA-46FA-BE66-2A30CEAC4A85} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{555D7146-94A8-4C94-AE76-C39CDC7F7705} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{59D188FA-757A-424E-8C93-F58FFD896BD7} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{8120D9D6-785C-4413-9C0C-DF2028C56FAD} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{823AE2EB-E62C-4847-B192-C99B91B92416} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{9B4F7CFE-987D-410E-A8E4-20182E0B3C24} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{9B9A45F4-18FC-484A-BACA-076D78273D8E} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{A6D54287-7939-466A-8579-92546D946C8C} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{A78EDAFB-926F-4D93-AB13-8232D7378EB1} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{A8F7D0A5-7074-40B8-9BDC-1174BDD0A132} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{D14D64BC-A0E4-42E3-BB72-FB41EA43C198} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{DD1F043F-ABC8-4643-8B95-D2C5B22BB019} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{E3F3E8F9-F747-4DD6-BA6B-82A6CE1E0860} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{E7270EC6-0113-4A78-B610-E501D0A9E48E} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{ED0B64D4-BF27-4521-AD27-190F49BF5EA7} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{8519F1E4-E25B-42B1-B361-0C643F45CF11} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Classes\.qbox DeleteKey: HKLM\SOFTWARE\Classes\globalUpdate.OneClickCtrl.10 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdate.OneClickProcessLauncherMachine DeleteKey: HKLM\SOFTWARE\Classes\globalUpdate.OneClickProcessLauncherMachine.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdate.Update3WebControl.4 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoCreateAsync DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoCreateAsync.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoreClass DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoreClass.1 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoreMachineClass DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoreMachineClass.1 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CredentialDialogMachine DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CredentialDialogMachine.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassMachine DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassMachine.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassMachineFallback DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassMachineFallback.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassSvc DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassSvc.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.ProcessLauncher DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.ProcessLauncher.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3COMClassService DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3COMClassService.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebMachine DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebMachine.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebMachineFallback DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebMachineFallback.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebSvc DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebSvc.1.0 DeleteKey: HKLM\SOFTWARE\Classes\METNSD DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Classes\qmbfile DeleteKey: HKLM\SOFTWARE\Classes\qmgcfiles DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox DeleteKey: HKLM\SOFTWARE\Classes\YBrowserToolbar.YBrowserToolbar.1 DeleteKey: HKLM\SOFTWARE\Classes\YBrowserToolbar.YBrowserToolbar DeleteKey: HKLM\SOFTWARE\Microsoft\Esent\Process\crossbrowse DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{16EE6530-8649-4F42-A9E4-F6A3295AF975} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5645E0E7-FC12-43BF-A6E4-F9751942B298} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5E89ACE9-E16B-499A-87B4-0DBF742404C1} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5645E0E7-FC12-43BF-A6E4-F9751942B298} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{5645E0E7-FC12-43BF-A6E4-F9751942B298} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} DeleteKey: HKLM\SOFTWARE\_CrossriderRegNamePlaceHolder_ DeleteKey: HKLM\SOFTWARE\downchecker DeleteKey: HKLM\SOFTWARE\Crossrider DeleteKey: HKLM\SOFTWARE\FFPluginHp DeleteKey: HKLM\SOFTWARE\GlobalUpdate DeleteKey: HKLM\SOFTWARE\GoHD DeleteKey: HKLM\SOFTWARE\Google\Chrome\NativeMessagingHosts\com.qq.qmchext DeleteKey: HKLM\SOFTWARE\InstalledBrowserExtensions DeleteKey: HKLM\SOFTWARE\ihpmserver DeleteKey: HKLM\SOFTWARE\RayDld DeleteKey: HKLM\SOFTWARE\Reg\Clean DeleteKey: HKLM\SOFTWARE\SavePass 1.1 DeleteKey: HKLM\SOFTWARE\sweet-pageSoftware DeleteKey: HKLM\SOFTWARE\Tencent DeleteKey: HKLM\SOFTWARE\Tutorials DeleteKey: HKLM\SOFTWARE\Yahoo\Companion DeleteKey: HKLM\SOFTWARE\WdsManPro DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SavePass 1.1 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\GoHD DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GLOBALUPDATE.EXE DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QMIEPROTECT DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QQPCRTP DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOACCELERATOR DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSFLTMGR DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_QQPCRTP DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAOACCELERATOR DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSFLTMGR DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_QQPCRTP DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_TAOACCELERATOR DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_TSFLTMGR DeleteKey: HKLM\SYSTEM\WifiSafeCfg DeleteKey: HKU\S-1-5-18\Software\Tencent DeleteKey: HKU\S-1-5-18\Software\Yahoo\Companion RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\All Users\Documents\ShopperPro RemoveDirectory: C:\Documents and Settings\Administrator\Application Data\Mozilla RemoveDirectory: C:\Documents and Settings\Gość\Application Data\Mozilla RemoveDirectory: C:\Documents and Settings\Krzysztof\Application Data\Mozilla\Firefox\Profiles\12h1ceb6.default-1404211074967 RemoveDirectory: C:\FRST\Quarantine Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls" /v Tab /f Reg: reg delete HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache /v "C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\\QMDeskTopGC.exe" /f Reg: reg delete HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache /v "C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\Uninst.exe" /f CMD: del /q "C:\Documents and Settings\Krzysztof\Desktop\Mozilla Firefox.lnk" CMD: del /q C:\WINDOWS\system32\roboot.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie kolejny fixlog.txt. Przedstaw go.

DelFix wykonał co należy, usuń z dysku plik C:\delfix.txt. To tyle z zakresu czyszczenia systemu. Skoro już wykonywałeś tę optymalizację i nie miała ona skutków, to nie ma po co jej powtarzać. Dłuższy przestój w fazie logo Windows sugeruje długie ładowanie któregoś ze sterowników. Obecnie w Twoim systemie widać tylko sterowniki sprzętowe oraz doinstalowanych wtórnie aplikacji Avast i MBAM. Pytaniem jest czy pomiędzy deinstalacją ESET a instalacją Avast była jakaś poprawa? To są uzupełniające antywirusa programy, nie są aż takie "niezbędne". Rola Unchecky jest zresztą dość ograniczona do prewencji przed tymi działaniami: KLIK.

Nie odpowiedziałaś na pytanie: 1. Jeśli chodzi o instrukcje, to nie wszystko zostało zrobione. W punkcie 1 ominięta deinstalacja starej wersji Java. Nie ma też oznak wykonania resetu Firefox zadanego w punkcie 3 i nadal widać w Firefox adware. Oba zadania do wykonania. 2. Następnie uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Prawie wszystko zrobione, z wyjątkiem trzech kluczy, których FRST nie umiał zaadresować. Teraz poprawki, w tym usuwanie folderów po różnych odinstalowanych aplikacjach. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Application Data\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Application Data\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Application Data\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Application Data\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) FF Plugin: @oberon-media.com/ONCAdapter -> C:\Program Files\Common Files\Oberon Media\NCAdapter\1.0.0.8\npapicomadapter.dll [2011-05-24] (Oberon-Media ) FF Plugin HKU\S-1-5-21-1960408961-682003330-839522115-1004: @Skype Limited.com/Facebook Video Calling Plugin -> C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Facebook\Video\Skype\npFacebookVideoCalling.dll [No File] DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_55-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0055-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_55-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_55-windows-i586.cab Reg: reg add HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe\shell\open\command /ve /t REG_SZ /d "\"C:\Program Files\Google\Chrome\Application\chrome.exe"" /f Reg: reg delete "HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D40F6104-6988-47C0-93F2-A66D5DA120A2} /s CMD: regsvr32 /u /s "C:\Documents and Settings\All Users\Application Data\GG\ggdrive\ggdrive-overlay.dll" C:\Documents and Settings\All Users\Application Data\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\All Users\Application Data\Ament.ini C:\Documents and Settings\All Users\Application Data\Microsoft.SqlServer.Compact.351.32.bc C:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521} C:\Documents and Settings\All Users\Application Data\aliasworlds C:\Documents and Settings\All Users\Application Data\Ashampoo C:\Documents and Settings\All Users\Application Data\Autodesk C:\Documents and Settings\All Users\Application Data\AVAST Software C:\Documents and Settings\All Users\Application Data\Big Fish C:\Documents and Settings\All Users\Application Data\Big Fish Games C:\Documents and Settings\All Users\Application Data\BigFishCache C:\Documents and Settings\All Users\Application Data\BigFishGamesCache C:\Documents and Settings\All Users\Application Data\casualArts C:\Documents and Settings\All Users\Application Data\Corel C:\Documents and Settings\All Users\Application Data\CorelDRAW Graphics Suite X5 C:\Documents and Settings\All Users\Application Data\CorelDRAW Graphics Suite X6 C:\Documents and Settings\All Users\Application Data\DailyMagic C:\Documents and Settings\All Users\Application Data\Devart C:\Documents and Settings\All Users\Application Data\DWdsManProD C:\Documents and Settings\All Users\Application Data\Elephant Games C:\Documents and Settings\All Users\Application Data\FarmFrenzy3 C:\Documents and Settings\All Users\Application Data\FarmFrenzy_Vikings C:\Documents and Settings\All Users\Application Data\firebird C:\Documents and Settings\All Users\Application Data\FreeHideIP C:\Documents and Settings\All Users\Application Data\Fugazo C:\Documents and Settings\All Users\Application Data\Gadu-Gadu 10 C:\Documents and Settings\All Users\Application Data\GG C:\Documents and Settings\All Users\Application Data\GoBit Games C:\Documents and Settings\All Users\Application Data\Gogii C:\Documents and Settings\All Users\Application Data\Komputerowa Gratka C:\Documents and Settings\All Users\Application Data\Malwarebytes C:\Documents and Settings\All Users\Application Data\Maximize Games C:\Documents and Settings\All Users\Application Data\McAfee C:\Documents and Settings\All Users\Application Data\MediaArt C:\Documents and Settings\All Users\Application Data\MumboJumbo C:\Documents and Settings\All Users\Application Data\NCH Software C:\Documents and Settings\All Users\Application Data\Norton C:\Documents and Settings\All Users\Application Data\NortonInstaller C:\Documents and Settings\All Users\Application Data\OpenFM C:\Documents and Settings\All Users\Application Data\Oberon Media C:\Documents and Settings\All Users\Application Data\Odian C:\Documents and Settings\All Users\Application Data\Orchid Games C:\Documents and Settings\All Users\Application Data\PITy C:\Documents and Settings\All Users\Application Data\PlayFirst C:\Documents and Settings\All Users\Application Data\PlayPond C:\Documents and Settings\All Users\Application Data\Playrix Entertainment C:\Documents and Settings\All Users\Application Data\regid.1986-12.com.adobe C:\Documents and Settings\All Users\Application Data\rionix C:\Documents and Settings\All Users\Application Data\ScreenVCR C:\Documents and Settings\All Users\Application Data\ShopperPro C:\Documents and Settings\All Users\Application Data\Skype Extras C:\Documents and Settings\All Users\Application Data\SpecialBit C:\Documents and Settings\All Users\Application Data\SulusGames C:\Documents and Settings\All Users\Application Data\Sun C:\Documents and Settings\All Users\Application Data\Tencent C:\Documents and Settings\All Users\Application Data\TaxMachine C:\Documents and Settings\All Users\Application Data\Top Evidence C:\Documents and Settings\Krzysztof\Application Data\Adobe GIF Format CS5 Prefs C:\Documents and Settings\Krzysztof\Application Data\Adobe PNG Format CS5 Prefs C:\Documents and Settings\Krzysztof\Application Data\Sys2662.Config.Repository.bin C:\Documents and Settings\Krzysztof\Application Data\.mono C:\Documents and Settings\Krzysztof\Application Data\11732 C:\Documents and Settings\Krzysztof\Application Data\2monkeys C:\Documents and Settings\Krzysztof\Application Data\A2 Entertainment C:\Documents and Settings\Krzysztof\Application Data\Alawar Entertainment C:\Documents and Settings\Krzysztof\Application Data\AlawarEntertainment C:\Documents and Settings\Krzysztof\Application Data\aliasworlds C:\Documents and Settings\Krzysztof\Application Data\ArcSoft C:\Documents and Settings\Krzysztof\Application Data\Artifex Mundi C:\Documents and Settings\Krzysztof\Application Data\Artogon C:\Documents and Settings\Krzysztof\Application Data\Ashampoo C:\Documents and Settings\Krzysztof\Application Data\Autodesk C:\Documents and Settings\Krzysztof\Application Data\Awem C:\Documents and Settings\Krzysztof\Application Data\BlamGames C:\Documents and Settings\Krzysztof\Application Data\BlueLabsSoftware C:\Documents and Settings\Krzysztof\Application Data\CallingID C:\Documents and Settings\Krzysztof\Application Data\casualArts C:\Documents and Settings\Krzysztof\Application Data\com.adobe.downloadassistant.AdobeDownloadAssistant C:\Documents and Settings\Krzysztof\Application Data\Corel C:\Documents and Settings\Krzysztof\Application Data\DailyMagic C:\Documents and Settings\Krzysztof\Application Data\Dark Blue Games C:\Documents and Settings\Krzysztof\Application Data\DarkManor C:\Documents and Settings\Krzysztof\Application Data\Desktop Apps C:\Documents and Settings\Krzysztof\Application Data\Devart C:\Documents and Settings\Krzysztof\Application Data\DominiGames C:\Documents and Settings\Krzysztof\Application Data\DonationCoder C:\Documents and Settings\Krzysztof\Application Data\e-Deklaracje C:\Documents and Settings\Krzysztof\Application Data\e-Deklaracje.A1909296681C7ACEFE45687D3A64758C8659BF46.1 C:\Documents and Settings\Krzysztof\Application Data\Eipix C:\Documents and Settings\Krzysztof\Application Data\Elephant Games C:\Documents and Settings\Krzysztof\Application Data\Enlightenus2SE_BFG C:\Documents and Settings\Krzysztof\Application Data\EntwinedSoD C:\Documents and Settings\Krzysztof\Application Data\ERS Game Studios C:\Documents and Settings\Krzysztof\Application Data\FabrykaGier C:\Documents and Settings\Krzysztof\Application Data\FabrykaGierNew C:\Documents and Settings\Krzysztof\Application Data\FarmerJane C:\Documents and Settings\Krzysztof\Application Data\FlowerOfImmortality C:\Documents and Settings\Krzysztof\Application Data\FlyWheelGames C:\Documents and Settings\Krzysztof\Application Data\FreeHideIP C:\Documents and Settings\Krzysztof\Application Data\Freeze Tag C:\Documents and Settings\Krzysztof\Application Data\Friday's games C:\Documents and Settings\Krzysztof\Application Data\Funswitch C:\Documents and Settings\Krzysztof\Application Data\Fuzzy Bug Interactive C:\Documents and Settings\Krzysztof\Application Data\GameInvest C:\Documents and Settings\Krzysztof\Application Data\GameMill Entertainment C:\Documents and Settings\Krzysztof\Application Data\GHISLER C:\Documents and Settings\Krzysztof\Application Data\Ghost Ship Studios C:\Documents and Settings\Krzysztof\Application Data\GlarySoft C:\Documents and Settings\Krzysztof\Application Data\gtk-2.0 C:\Documents and Settings\Krzysztof\Application Data\Happy Chef C:\Documents and Settings\Krzysztof\Application Data\HdO Adventure C:\Documents and Settings\Krzysztof\Application Data\Hidden Objects Romance C:\Documents and Settings\Krzysztof\Application Data\HitPoint Studios C:\Documents and Settings\Krzysztof\Application Data\Kestrel C:\Documents and Settings\Krzysztof\Application Data\Lazy Turtle Games C:\Documents and Settings\Krzysztof\Application Data\Leadertech C:\Documents and Settings\Krzysztof\Application Data\Legacy Games C:\Documents and Settings\Krzysztof\Application Data\LegacyInteractive C:\Documents and Settings\Krzysztof\Application Data\LittleGamesCompany C:\Documents and Settings\Krzysztof\Application Data\Loop Terminarz C:\Documents and Settings\Krzysztof\Application Data\MagicIndie C:\Documents and Settings\Krzysztof\Application Data\Malwarebytes C:\Documents and Settings\Krzysztof\Application Data\Mariaglorum C:\Documents and Settings\Krzysztof\Application Data\Maximize Games C:\Documents and Settings\Krzysztof\Application Data\MediaArt C:\Documents and Settings\Krzysztof\Application Data\ModelViews C:\Documents and Settings\Krzysztof\Application Data\Monkey Barrel Games C:\Documents and Settings\Krzysztof\Application Data\MumboJumbo C:\Documents and Settings\Krzysztof\Application Data\MySQL-Front C:\Documents and Settings\Krzysztof\Application Data\MysteriousCaseOfJekyllAndHyde C:\Documents and Settings\Krzysztof\Application Data\Namco C:\Documents and Settings\Krzysztof\Application Data\NCH Software C:\Documents and Settings\Krzysztof\Application Data\New Version Available C:\Documents and Settings\Krzysztof\Application Data\npm C:\Documents and Settings\Krzysztof\Application Data\npm-cache C:\Documents and Settings\Krzysztof\Application Data\Oberon Media C:\Documents and Settings\Krzysztof\Application Data\Odian Games C:\Documents and Settings\Krzysztof\Application Data\OpenCube Inc C:\Documents and Settings\Krzysztof\Application Data\OpenFM C:\Documents and Settings\Krzysztof\Application Data\Opera C:\Documents and Settings\Krzysztof\Application Data\Opera Software C:\Documents and Settings\Krzysztof\Application Data\Oracle C:\Documents and Settings\Krzysztof\Application Data\Orneon C:\Documents and Settings\Krzysztof\Application Data\Phantasmat_bf_se1 C:\Documents and Settings\Krzysztof\Application Data\PlataGames C:\Documents and Settings\Krzysztof\Application Data\PlayFavoriteGames C:\Documents and Settings\Krzysztof\Application Data\PlayFirst C:\Documents and Settings\Krzysztof\Application Data\PlayPond C:\Documents and Settings\Krzysztof\Application Data\Playrix Entertainment C:\Documents and Settings\Krzysztof\Application Data\PSpad C:\Documents and Settings\Krzysztof\Application Data\PuzzleLab C:\Documents and Settings\Krzysztof\Application Data\Realore C:\Documents and Settings\Krzysztof\Application Data\RealWorld C:\Documents and Settings\Krzysztof\Application Data\ShamanGS C:\Documents and Settings\Krzysztof\Application Data\Silverback Productions C:\Documents and Settings\Krzysztof\Application Data\SmartDraw C:\Documents and Settings\Krzysztof\Application Data\SMIGames C:\Documents and Settings\Krzysztof\Application Data\Specialbit C:\Documents and Settings\Krzysztof\Application Data\Star-Tools C:\Documents and Settings\Krzysztof\Application Data\Subversion C:\Documents and Settings\Krzysztof\Application Data\SulusGames C:\Documents and Settings\Krzysztof\Application Data\Sun C:\Documents and Settings\Krzysztof\Application Data\SunRay Games C:\Documents and Settings\Krzysztof\Application Data\SunwardGames C:\Documents and Settings\Krzysztof\Application Data\sweet-page C:\Documents and Settings\Krzysztof\Application Data\tabagames C:\Documents and Settings\Krzysztof\Application Data\Talkback C:\Documents and Settings\Krzysztof\Application Data\TeamViewer C:\Documents and Settings\Krzysztof\Application Data\Tencent C:\Documents and Settings\Krzysztof\Application Data\Teyon C:\Documents and Settings\Krzysztof\Application Data\TikisLab C:\Documents and Settings\Krzysztof\Application Data\Top Evidence C:\Documents and Settings\Krzysztof\Application Data\TortoiseSVN C:\Documents and Settings\Krzysztof\Application Data\Unity C:\Documents and Settings\Krzysztof\Application Data\Vast Studios C:\Documents and Settings\Krzysztof\Application Data\Vogat Interactive C:\Documents and Settings\Krzysztof\Application Data\WinRAR C:\Documents and Settings\Krzysztof\Application Data\World-LooM C:\Documents and Settings\Krzysztof\Local Settings\Application Data\DonationCoder_ScreenshotCaptor_InstallInfo.dat C:\Documents and Settings\Krzysztof\Local Settings\Application Data\{32A3A4F2-B792-11D6-A78A-00B0D0150120} C:\Documents and Settings\Krzysztof\Local Settings\Application Data\5C8CAC0A-1443301797-5799-9460-C2325843CB2C C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Amazon C:\Documents and Settings\Krzysztof\Local Settings\Application Data\ArcSoft C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Autodesk C:\Documents and Settings\Krzysztof\Local Settings\Application Data\avgchrome C:\Documents and Settings\Krzysztof\Local Settings\Application Data\cache C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Color-Brush C:\Documents and Settings\Krzysztof\Local Settings\Application Data\CrashRpt C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Farmington Tales C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Game Mill Files C:\Documents and Settings\Krzysztof\Local Settings\Application Data\gmsd_pl_005010096 C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Google\Chrome\User Data\Default C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Installer C:\Documents and Settings\Krzysztof\Local Settings\Application Data\KaDonk C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Kookos C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Namco C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Oberon Games C:\Documents and Settings\Krzysztof\Local Settings\Application Data\OpenCube Inc C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Opera C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Opera Software C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Qurb4 C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Sun C:\Documents and Settings\Krzysztof\Local Settings\Application Data\TechSmith C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Temp C:\Documents and Settings\Krzysztof\Local Settings\Application Data\TortoiseSVN C:\Documents and Settings\Krzysztof\Local Settings\Application Data\TSVNCache C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Unity C:\Documents and Settings\Krzysztof\Local Settings\Application Data\webkit C:\Documents and Settings\Krzysztof\Local Settings\Application Data\WMTools Downloaded Files C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Xenocode C:\extensions C:\Program Files\20717d47-27d3-4fd5-849d-70bab7fdb68a C:\Program Files\aeafcc87-810f-4dcb-a286-bd94d8f90ac3 C:\Program Files\Atlassian C:\Program Files\Autodesk C:\Program Files\c620fa05-8fd3-422d-8b48-6fb2e023fb34 C:\Program Files\c6fdae68-5b2b-49d1-904d-708dc40b305a C:\Program Files\CasualGameBox C:\Program Files\de2a3e96-eab7-4ac0-815d-d28e00b7f723 C:\Program Files\f9138745-f797-4a7e-98f2-acd48c761d2f C:\Program Files\Feed Notifier C:\Program Files\gmsd_pl_005010096 C:\Program Files\ICTV C:\Program Files\Java C:\Program Files\jv16 PowerTools 2011 C:\Program Files\mbot_pl_014010096 C:\Program Files\Mioplanet C:\Program Files\Motorola C:\Program Files\NCH Software C:\Program Files\Norton Security Scan C:\Program Files\NortonInstaller C:\Program Files\NotePage C:\Program Files\Opera C:\Program Files\PDFCreator C:\Program Files\PITy C:\Program Files\PFConfig C:\Program Files\predm C:\Program Files\QuickTime C:\Program Files\RealArcade C:\Program Files\Common Files\Adobe-BackupByPhotoshopPortable C:\Program Files\Common Files\AVSMedia C:\Program Files\Common Files\McAfee C:\Program Files\Common Files\Oberon Media C:\Program Files\Common Files\SWiSHzone.com Hosts: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Uruchom FRST, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy log. Tencent;QQPCMgr 3. Uruchom AdwCleaner. Wybierz opcję Skanuj (na razie nic nie usuwaj) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Z Fixami FRST już skończyliśmy. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Jeśli ten efekt jest trwały, tzn. widoczny także po kolejnym restarcie, to już chyba nic w tej kwestii nie zdziałam. - Albo Avast + MBAM + Unchecky to za dużo i redukcja pozostałych do sprawdzenia. - Albo Avast "nie gra" z tą szczególną konfiguracją i trzeba szukać innego antywirusa... Mógłbyś zrezygnować w ogóle z instalacji zewnętrznych i ograniczyć się do tego co oferuje sam system, tzn. wbudowany Windows Defender. Spróbuj czy pomoże coś ta procedura: KLIK.

W Dzienniku zdarzeń powtarza się błąd związany ze zbyt długą odpowiedzią usługi Emsisoft Anti-Malware, co pasuje do powyższego objawu: Dziennik System: ============= Error: (10/29/2015 07:50:44 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Emsisoft Anti-Malware 8.0 - Service z powodu następującego błędu: %%1053 Error: (10/29/2015 07:50:44 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Emsisoft Anti-Malware 8.0 - Service. Usługa jest ustawiona na Automatycznym, lecz jak widać jest jakiś problem by ją uruchomić: S2 a2AntiMalware; C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe [7084784 2015-10-01] (Emsisoft Ltd) Tak więc rozpocznij od deinstalacji w/w programu. PS. W spoilerze kosmetyka, tzn. usunięcie wpisów pustych. Bez znaczenia dla poprawy działania systemu.

Temat przesuwam do działu Windows. W raportach nie widać żadnych oznak czynnej infekcji... Z raportów nic nie wynika. Sugestie: 1. No cóż, główny podejrzany o najbardziej rozbudowanym układzie startowym to Panda. Na próbę odinstaluj, by sprawdzić czy to polepszy sytuację. 2. Dziennik CodeIntegrity zgłasza następującą rzecz: CodeIntegrity: =================================== Date: 2015-10-28 17:13:52.760 Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\dsound.dll because the set of per-page image hashes could not be found on the system. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. 3. W Dzienniku zdarzeń powtarza się błąd gry Steam powodowany przez moduł sterowników nVidia. Trudno ocenić skalę tego problemu. Error: (10/28/2015 07:40:43 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Terraria.exe, wersja: 1.3.0.7, sygnatura czasowa: 0x55c8fafb Nazwa modułu powodującego błąd: nvd3d9wrap.dll, wersja: 9.18.13.5306, sygnatura czasowa: 0x55668111 Kod wyjątku: 0xc00000fd Przesunięcie błędu: 0x000031b1 Identyfikator procesu powodującego błąd: 0x1b60 Godzina uruchomienia aplikacji powodującej błąd: 0xTerraria.exe0 Ścieżka aplikacji powodującej błąd: Terraria.exe1 Ścieżka modułu powodującego błąd: Terraria.exe2 Identyfikator raportu: Terraria.exe3 Ponadto jest jakiś problem z ładowaniem jednego ze sterowników VirtualBox: System errors: ============= Error: (10/28/2015 10:10:14 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: VBoxDrv PS. I czas zaktualizować systemowy Internet Explorer, nawet jeśli z niego nie korzystasz. Strasznie stara wersja IE8. Tym się zajmie skrypt FRST ze spoilera. Skrypt zaadresuje też mini szczątki adware i różne puste wpisy. Bez znaczenia dla stanu systemu.

Niestety narzędzie deinstalacyjne ESET wymaga Trybu awaryjnego. W związku z tym modyfikacja instrukcji. Opuść punkt 1, a w punkcie 2 zastosuj zmodyfikowany skrypt uwzględniający sterowniki ESET: S1 EpfwLWF; C:\Windows\system32\DRIVERS\EpfwLWF.sys [44632 2015-02-23] (ESET) S3 ESETCleanersDriver; C:\Windows\system32\Drivers\ESETCleanersDriver.sys [170280 2015-07-07] (ESET) HKLM-x32\...\Run: [Malwarebytes Anti-Exploit] => C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 MFE_RR; \??\C:\USERS\WOJTUQ\APPDATA\LOCAL\TEMP\mfe_rr.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\Program Files\ESET RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java RemoveDirectory: C:\Users\wojtuq\Doctor Web RemoveDirectory: C:\Users\wojtuq\Desktop\FRST-OlderVersion RemoveDirectory: C:\WINDOWS\System32\Tasks\Safer-Networking RemoveDirectory: C:\zoek_backup CMD: del /q C:\Users\wojtuq\Desktop\KVRT.exe CMD: del /q C:\Users\wojtuq\Desktop\launch.exe CMD: del /q C:\Users\wojtuq\Desktop\zoek.exe CMD: del /q C:\Users\wojtuq\Desktop\zoek-results.txt CMD: del /q C:\Windows\system32\Drivers\EpfwLWF.sys CMD: del /q C:\Windows\system32\Drivers\ESETCleanersDriver.sys CMD: del /q C:\zoek-results.log Hosts: Reboot:

W związku z tym należy się zabrać za usuwanie ręczne wszystkiego. Przeprowadź następujące operacje: 1. W międzyczasie doinstalował się kolejny śmieć Xmas i to spróbuj odinstalować, niezależnie czy będzie błąd kontynuuj akcje. Poza tym, nadal do deinstalacji stara wersja Java 7 Update 55. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 aroductpeo; C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Planetjob.exe [46592 2015-10-29] () [File not signed] R2 Concom; C:\Program Files\Concom\Concom.exe [379904 2015-10-25] () [File not signed] S2 globalUpdate; C:\Program Files\globalUpdate\Update\globalupdate.exe [68608 2015-10-29] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\globalupdate.exe [68608 2015-10-29] (globalUpdate) [File not signed] R1 QMIEProtect; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMIEProtect.sys [49976 2015-08-18] () R2 QQPCRTP; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCRTP.exe [301728 2015-09-15] (Tencent) R2 QQSysMon; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQSysMon.sys [108472 2015-09-26] (电脑管家) R2 SSFK; C:\Program Files\SFK\SSFK.exe [458400 2015-09-26] (TODO: ) S3 TAOAccelerator; C:\WINDOWS\system32\Drivers\TAOAccelerator.sys [114520 2000-12-31] (Tencent) S3 TAOFrame; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TAOFrame.exe [293856 2015-09-26] (Tencent) R1 TAOKernelDriver; C:\WINDOWS\System32\Drivers\TAOKernelXP.sys [139064 2015-09-26] (Tencent Technology(Shenzhen) Company Limited) R3 TFsFlt; C:\WINDOWS\System32\Drivers\TFsFlt.sys [150072 2015-09-26] (电脑管家) R1 TSCPM; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\tscpm.sys [43448 2015-09-26] (电脑管家) R1 TSDefenseBt; C:\WINDOWS\System32\DRIVERS\TSDefenseBt.sys [14008 2015-09-26] (Tencent) R0 TsFltMgr; C:\WINDOWS\System32\drivers\TsFltMgr.sys [124792 2015-09-26] (电脑管家) R1 TSKSP; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSKsp.sys [204920 2015-09-26] (电脑管家) S3 TSSK; C:\WINDOWS\System32\tssk.sys [67896 2015-09-26] (电脑管家) R1 TSSysKit; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSSysKit.sys [101560 2015-09-26] (电脑管家) R2 WdsManPro; C:\Documents and Settings\All Users\Application Data\2WdsManPro2\WdsManPro.exe [442504 2015-09-26] (DTools LIMITED) S1 ppfd_vt_1_10_0_24; system32\drivers\ppfd_vt_1_10_0_24.sys [X] S1 wwfd_vt_1_10_0_24; system32\drivers\wwfd_vt_1_10_0_24.sys [X] Task: C:\WINDOWS\Tasks\469fcbcc-315d-4dd5-9804-212abb2e3cb9-1-6.job => C:\Program Files\GoHD\469fcbcc-315d-4dd5-9804-212abb2e3cb9-1-6.exe Task: C:\WINDOWS\Tasks\50278e6d-151b-4cf5-9e8d-31ed23fbc614-1-6.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-1-6.exe Task: C:\WINDOWS\Tasks\50278e6d-151b-4cf5-9e8d-31ed23fbc614-10_user.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-10.exe Task: C:\WINDOWS\Tasks\50278e6d-151b-4cf5-9e8d-31ed23fbc614-3.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-3.exe Task: C:\WINDOWS\Tasks\50278e6d-151b-4cf5-9e8d-31ed23fbc614-5.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-5.exe Task: C:\WINDOWS\Tasks\50278e6d-151b-4cf5-9e8d-31ed23fbc614-6.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-6.exe Task: C:\WINDOWS\Tasks\50278e6d-151b-4cf5-9e8d-31ed23fbc614-7.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-7.exe Task: C:\WINDOWS\Tasks\6d0ac05c-4429-4e4d-bcea-abd79f29b20e-1-6.job => C:\Program Files\CinemaP-1.9cV26.09\6d0ac05c-4429-4e4d-bcea-abd79f29b20e-1-6.exe Task: C:\WINDOWS\Tasks\7ac4ca75-d021-44c5-ba78-4c00550bafe6-1-6.job => C:\Program Files\Object Browser\7ac4ca75-d021-44c5-ba78-4c00550bafe6-1-6.exe Task: C:\WINDOWS\Tasks\7ac4ca75-d021-44c5-ba78-4c00550bafe6-1-7.job => C:\Program Files\Object Browser\7ac4ca75-d021-44c5-ba78-4c00550bafe6-1-7.exe Task: C:\WINDOWS\Tasks\7ac4ca75-d021-44c5-ba78-4c00550bafe6-4.job => C:\Program Files\Object Browser\7ac4ca75-d021-44c5-ba78-4c00550bafe6-4.exe Task: C:\WINDOWS\Tasks\7ac4ca75-d021-44c5-ba78-4c00550bafe6-5.job => C:\Program Files\Object Browser\7ac4ca75-d021-44c5-ba78-4c00550bafe6-5.exe Task: C:\WINDOWS\Tasks\7ac4ca75-d021-44c5-ba78-4c00550bafe6-6.job => C:\Program Files\Object Browser\7ac4ca75-d021-44c5-ba78-4c00550bafe6-6.exe Task: C:\WINDOWS\Tasks\7ac4ca75-d021-44c5-ba78-4c00550bafe6-7.job => C:\Program Files\Object Browser\7ac4ca75-d021-44c5-ba78-4c00550bafe6-7.exe Task: C:\WINDOWS\Tasks\a4573ab7-8417-4109-8219-08f1d1efe114-1-6.job => C:\Program Files\SavePass 1.1\a4573ab7-8417-4109-8219-08f1d1efe114-1-6.exe Task: C:\WINDOWS\Tasks\a4573ab7-8417-4109-8219-08f1d1efe114-1-7.job => C:\Program Files\SavePass 1.1\a4573ab7-8417-4109-8219-08f1d1efe114-1-7.exe Task: C:\WINDOWS\Tasks\a4573ab7-8417-4109-8219-08f1d1efe114-4.job => C:\Program Files\SavePass 1.1\a4573ab7-8417-4109-8219-08f1d1efe114-4.exe Task: C:\WINDOWS\Tasks\a4573ab7-8417-4109-8219-08f1d1efe114-5.job => C:\Program Files\SavePass 1.1\a4573ab7-8417-4109-8219-08f1d1efe114-5.exe Task: C:\WINDOWS\Tasks\Advanced System~Protector.job => C:\Program Files\ASP\AspManager.exe Task: C:\WINDOWS\Tasks\Cukoqje4zpacXzv1vzrLABj8CQG.job => C:\Documents and Settings\Krzysztof\Application Data\Cukoqje4zpacXzv1vzrLABj8CQG.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\globalupdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\globalupdate.exe Task: C:\WINDOWS\Tasks\IaKVQlxEQ3T35j.job => C:\Documents and Settings\Krzysztof\Application Data\IaKVQlxEQ3T35j.exe Task: C:\WINDOWS\Tasks\PKFkn4RDDh2SIS8ZZ.job => C:\Documents and Settings\Krzysztof\Application Data\PKFkn4RDDh2SIS8ZZ.exe Task: C:\WINDOWS\Tasks\SimpleFiles Update Service.job => C:\Program Files\SimpleFilesUpdater\SimpleFilesUpdater.exehxxp:/simple-files.com Task: C:\WINDOWS\Tasks\temp_50278e6d-151b-4cf5-9e8d-31ed23fbc614-10_user.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-10.exe Task: C:\WINDOWS\Tasks\Xmas.job => C:\WINDOWS\system32\rundll32.exe C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Xmas\xBin\Xmas.dll HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM\...\Run: [] => [X] HKLM\...\Run: [ QQPCTray] => "C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCTray.exe" /regrun HKLM\...\Run: [gmsd_pl_005010096] => [X] HKLM\...\Run: [mbot_pl_014010096] => [X] HKLM\...\Run: [mbot_pl_014010102] => [X] HKLM\...\Run: [upmbot_pl_014010102.exe] => C:\Documents and Settings\Krzysztof\Local Settings\Application Data\mbot_pl_014010102\upmbot_pl_014010102.exe -runhelper HKLM\...\Run: [sunJavaUpdateSched] => "C:\Program Files\Java\jre7\bin\jusched.exe" HKLM\...\Winlogon: [shell] explorer.exe, [x ] () HKU\S-1-5-21-1960408961-682003330-839522115-1004\...\Run: [bingSvc] => C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Microsoft\BingSvc\BingSvc.exe [144008 2015-04-07] (© 2015 Microsoft Corporation) ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMGCShellExt.dll [2015-09-26] (Tencent) ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File CustomCLSID: HKU\S-1-5-21-1960408961-682003330-839522115-1004_Classes\CLSID\{1FD1FE74-9E3C-4C1C-AEEB-AAB592AD770F}\localserver32 -> C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe (Facebook Inc.) CustomCLSID: HKU\S-1-5-21-1960408961-682003330-839522115-1004_Classes\CLSID\{5E71E4F3-E8C7-4906-9626-973E418762B6}\InprocServer32 -> C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Facebook\Update\1.2.205.0\goopdate.dll (Facebook Inc.) CustomCLSID: HKU\S-1-5-21-1960408961-682003330-839522115-1004_Classes\CLSID\{CBE9C57E-FFA9-4123-8354-AD360D6DD3CC}\InprocServer32 -> C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Facebook\Video\Skype\npFacebookVideoCalling.dll (Skype Limited) CustomCLSID: HKU\S-1-5-21-1960408961-682003330-839522115-1004_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\Krzysztof\Application Data\GG\ggdrive\ggdrive-menu.dll (GG Network S.A.) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=95751091_hao_pg HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1443293666&z=a872e2bb7050c3b9111ef6agaz0zdc8o0t3c0q0q2q&from=amt&uid=hitachixhts545025b9sa02_100719pbl200csh200zvx HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1960408961-682003330-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUSyDMFv8NAOf72g_52TO1Q8T9E1z2NFGDHko4e8BbYNV6e-AVbiqCN2a0fQhKzKTNQTY9Tmtm8gq3gdyIIACRX4xZCnmDTMzrVdBCl1wGaSuGqFTt2SOrkLvi9FyG4ABhng,,&q={searchTerms} HKU\S-1-5-21-1960408961-682003330-839522115-1004\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.hao123.com/?tn=95751091_hao_pg hxxp://www.gazeta.pl/0,0.html?p=156 HKU\S-1-5-21-1960408961-682003330-839522115-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1443293666&z=a872e2bb7050c3b9111ef6agaz0zdc8o0t3c0q0q2q&from=amt&uid=hitachixhts545025b9sa02_100719pbl200csh200zvx HKU\S-1-5-21-1960408961-682003330-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUSyDMFv8NAOf72g_52TO1Q8T9E1z2NFGDHko4e8BbYNV6e-AVbiqCN2a0fQhKzKTNQTY9Tmtm8gq3gdyIIACRX4xZCnmDTMzrVdBCl1wGaSuGqFTt2SOrkLvi9FyG4ABhng,,&q={searchTerms} HKU\S-1-5-21-1960408961-682003330-839522115-1004\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUSyDMFv8NAOf72g_52TO1Q8T9E1z2NFGDHko4e8BbYNV6e-AVbiqCN2a0fQhKzKTNQTY9Tmtm8gq3gdyIIACRX4xZCnmDTMzrVdBCl1wGaSuGqFTt2SOrkLvi9FyG4ABhng,,&q={searchTerms} HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.only-search.com/?babsrc=NT_kms&affID=132174" SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUSyDMFv8NAOf72g_52TO1Q8T9E1z2NFGDHko4e8BbYNV6e-AVbiqCN2a0fQhKzKTNQTY9Tmtm8gq3gdyIIACRX4xZCnmDTMzrVdBCl1wGaSuGqFTt2SOrkLvi9FyG4ABhng,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-1960408961-682003330-839522115-1004 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1960408961-682003330-839522115-1004 -> {36D00200-6447-4870-A80F-C551B17BDE8F} URL = hxxp://www.only-search.com/?babsrc=SP_kms&affID=132174&q={searchTerms}&r=965 SearchScopes: HKU\S-1-5-21-1960408961-682003330-839522115-1004 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUSyDMFv8NAOf72g_52TO1Q8T9E1z2NFGDHko4e8BbYNV6e-AVbiqCN2a0fQhKzKTNQTY9Tmtm8gq3gdyIIACRX4xZCnmDTMzrVdBCl1wGaSuGqFTt2SOrkLvi9FyG4ABhng,,&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-29] (globalUpdate) FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-29] (globalUpdate) GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.istartsurf.com/?type=sc&ts=1443295299&z=796cc5cf51a969ca0186f3egczdz4c1odt6w6gde8t&from=face&uid=HitachiXHTS545025B9SA02_100719PBL200CSH200ZVX Facebook Update Helper (Version: 1.2.205.0 - Google Inc.) Hidden AV: 电脑管家系统防护 (Enabled - Up to date) {9AAC524A-BF34-49b0-91D2-71838CBB8110} DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Krzysztof^Start Menu^Programs^Startup^IMVU.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Krzysztof^Start Menu^Programs^Startup^Logitech . Rejestracja produktu.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Krzysztof^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Krzysztof^Start Menu^Programs^Startup^OptimumLink.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Krzysztof^Start Menu^Programs^Startup^OptimumPCtoTV.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Krzysztof^Start Menu^Programs^Startup^ybcrlnsnniggidoderh.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EvtMgr6 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Jing DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ORAHSSSessionManager DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TP-Link USB Printer Controller DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CinemaP-1.9cV26.09 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CinemaPlus-3.2cV26.09 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\GoHD DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SavePass 1.1 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes CMD: for %i in ("C:\Program Files\globalUpdate\Update\1.3.25.0\*.dll") do regsvr32 /u /s %i CMD: for %i in ("C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\*.dll") do regsvr32 /u /s %i C:\Documents and Settings\All Users\Application Data\2WdsManPro2 C:\Documents and Settings\All Users\Application Data\TEMP C:\Documents and Settings\All Users\Start Menu\电脑管家.lnk C:\Documents and Settings\All Users\Start Menu\强力卸载电脑上的软件 .lnk C:\Documents and Settings\Gość\Favorites\Links\*.url C:\Documents and Settings\Gość\Start Menu\7Burn.lnk C:\Documents and Settings\Gość\Start Menu\Programs\FileZilla FTP Client C:\Documents and Settings\Krzysztof\sqlite3.dll C:\Documents and Settings\Krzysztof\Application Data\cTEckRNVP8 C:\Documents and Settings\Krzysztof\Application Data\Cukoqje4zpacXzv1vzrLABj8CQG C:\Documents and Settings\Krzysztof\Application Data\IaKVQlxEQ3T35j C:\Documents and Settings\Krzysztof\Application Data\NevoSoft Gameslog.txt C:\Documents and Settings\Krzysztof\Application Data\PKFkn4RDDh2SIS8ZZ C:\Documents and Settings\Krzysztof\Application Data\GG C:\Documents and Settings\Krzysztof\Desktop\Continue kED installation.lnk C:\Documents and Settings\Krzysztof\Favorites\Bing.url C:\Documents and Settings\Krzysztof\Favorites\Discover Bing.url C:\Documents and Settings\Krzysztof\Favorites\MSN Websites\MSN*.url C:\Documents and Settings\Krzysztof\Favorites\Microsoft Websites\Microsoft Showcase.url C:\Documents and Settings\Krzysztof\Favorites\Microsoft Websites\Microsoft.com.url C:\Documents and Settings\Krzysztof\Favorites\Links\go.microsoft.com-fwlink-LinkId=121315.url C:\Documents and Settings\Krzysztof\Favorites\Links\ieonline.microsoft.com-#ieslice.url C:\Documents and Settings\Krzysztof\Favorites\Links\Suggested Sites*.url C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Planetjob.exe C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Planetjob.exe.config C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Facebook C:\Documents and Settings\Krzysztof\Local Settings\Application Data\globalUpdate C:\Documents and Settings\Krzysztof\Local Settings\Application Data\mbot_pl_014010102 C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Microsoft\BingSvc C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Xmas C:\Documents and Settings\Krzysztof\Start Menu\Programs\腾讯软件 C:\Program Files\path5.ini C:\Program Files\5C8CAC0A-1443294427-5799-9460-C2325843CB2C C:\Program Files\ASP C:\Program Files\CinemaP-1.9cV26.09 C:\Program Files\CinemaPlus-3.2cV26.09 C:\Program Files\Concom C:\Program Files\globalUpdate C:\Program Files\GoHD C:\Program Files\Mozilla Firefox\browser\searchplugins C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Object Browser C:\Program Files\RayDld C:\Program Files\SavePass 1.1 C:\Program Files\SFK C:\Program Files\SimpleFilesUpdater C:\Program Files\Tencent C:\Program Files\Common Files\Tencent C:\WINDOWS\DUMP*.tmp C:\WINDOWS\QMNetworkMgr.ini C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup C:\WINDOWS\pss\IMVU.lnkStartup C:\WINDOWS\pss\Logitech . Rejestracja produktu.lnkStartup C:\WINDOWS\pss\OpenOffice.org 3.2.lnkStartup C:\WINDOWS\pss\OptimumLink.lnkStartup C:\WINDOWS\pss\OptimumPCtoTV.lnkStartup C:\WINDOWS\pss\ybcrlnsnniggidoderh.lnkStartup C:\WINDOWS\System32\tssk.sys C:\WINDOWS\system32\Drivers\TAOAccelerator.sys C:\WINDOWS\System32\Drivers\TAOKernelXP.sys C:\WINDOWS\System32\Drivers\TFsFlt.sys C:\WINDOWS\System32\Drivers\TsFltMgr.sys C:\WINDOWS\System32\Drivers\TSDefenseBt.sys Folder: C:\extensions CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Documents and Settings\All Users\Application Data" CMD: dir /a "C:\Documents and Settings\Krzysztof\Application Data" CMD: dir /a "C:\Documents and Settings\Krzysztof\Local Settings\Application Data" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows - na ekranie logowania wybierz własne konto Krzysztof a nie Administrator. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Osoby > załóż nowy profil i się na niego zaloguj, a stary całkowicie skasuj. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt. Pytanie: czy można usunąć folder C:\Documents and Settings\Krzysztof\GG dysk? GG zostało odinstalowane, ale w tym folderze mogą być jakieś potrzebne pliki osobiste.

Chodzi Ci o metodę F8, czy o wchodzenia za pomocą opcji Windows? Metoda via F8 domyśnie nie działa na nowszych rozwiązaniach, start jest "zbyt szybki", by to wdrożyć. Do Trybu awaryjnego w Windows 10 dostaje się w następujący sposób: Przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > tu jest Tryb awaryjny.

Ale przedstaw wynikowy plik fixlog.txt, który powstał podczas przetwarzania skryptu FRST. Nie uruchamiaj przypadkiem skryptu ponownie.

Skasuj FRST i jego logi z "Nowego folderu" na Pulpicie. Następnie zastosuj jeszcze DelFix i wyczyść foldery Przywracania systemu: KLIK.

Wszystko zrobione. Na koniec: Skasuj z Pulpitu folder FRST. Popraw za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

A jaki jest powód że nie chcesz go stosować? Czy widzisz jakiś błąd? Nadal na dysku cały poprzedni profil z adware. Skoro poprzednia Osoba już usunięta, skorelowany profil zostanie usunięty ręcznie.

Czy masz jakiś szczególny powód, by podejrzewać niedozwolone ingerencje? W raportach nie ma oznak sugerowanej ingerencji. Do wyczyszczenia są tylko odpadki instalacji adware/PUP, w tym niepoprawnie odinstalowany pasek AVG, oraz różne puste wpisy / skróty. Pod tym kątem działania: 1. Przez Dodaj/Usuń programy odinstaluj stare wersje: Adobe AIR, dobe Shockwave Player 11.6, Java 7 Update 76, Spybot - Search & Destroy. Ten Spybot jest przestarzałym programem. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [26984 2012-11-09] () [brak podpisu cyfrowego] R2 vToolbarUpdater13.2.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [711112 2012-11-09] () S2 ca82e1a5; "C:\WINDOWS\system32\rundll32.exe" "c:\progra~1\optimi~1\OptProCrashSvc.dll",ServiceMain U3 DfSdkS; Brak ImagePath S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 Nbdrv; system32\DRIVERS\nbdrv.sys [X] S3 swmsflt; \SystemRoot\System32\drivers\swmsflt.sys [X] S3 SWUMX20; system32\DRIVERS\swumx20.sys [X] Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean.exe HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140829 HKU\S-1-5-21-1935655697-2147138623-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1935655697-2147138623-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140829 SearchScopes: HKU\S-1-5-21-1935655697-2147138623-1801674531-1003 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://isearch.avg.com/search?cid={D8DA08D3-FBD0-4931-B838-C450E97F906E}&mid=5e7d790900df47d08053d150ffca2a9f-b5374679c38dfd8f2e2b0bb9200fc788366ca246&lang=pl&ds=xn011&pr=sa&d=2012-10-05 10:17:16&v=13.0.0.7&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1935655697-2147138623-1801674531-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1935655697-2147138623-1801674531-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=18D00019B92EC36C&affID=119357&tsp=4951 SearchScopes: HKU\S-1-5-21-1935655697-2147138623-1801674531-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://isearch.avg.com/search?cid={D8DA08D3-FBD0-4931-B838-C450E97F906E}&mid=5e7d790900df47d08053d150ffca2a9f-b5374679c38dfd8f2e2b0bb9200fc788366ca246&lang=pl&ds=xn011&pr=sa&d=2012-10-05 10:17:16&v=13.0.0.7&sap=dsp&q={searchTerms} BHO: AVG Security Toolbar -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku Toolbar: HKLM - AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - Brak pliku Toolbar: HKU\S-1-5-21-1935655697-2147138623-1801674531-1003 -> Brak nazwy - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - Brak pliku Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\13.0.0\ViProtocol.dll [2012-10-05] () CHR HKLM\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\ChromeExt\13.2.0.5\avg.crx FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\13.2.0\\npsitesafety.dll [2012-11-09] () FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [avg@toolbar] - C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\FireFoxExt\13.0.0.7 FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => nie znaleziono DisableService: Cyfrowy Polsat E3276. RunOuc C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Menu Start\Programy\AnyBizSoft C:\Documents and Settings\All Users\Menu Start\Programy\Optimizer Pro v3.2 C:\Documents and Settings\All Users\Menu Start\Programy\Web Album Generator C:\Documents and Settings\Konrad\Dane aplikacji\Explorer.EXE_log.txt C:\Documents and Settings\Konrad\Dane aplikacji\LiveSupport.exe_log.txt C:\Documents and Settings\Konrad\Dane aplikacji\Piano Hard C:\Documents and Settings\Konrad\Dane aplikacji\regsvr32.exe_log.txt C:\Documents and Settings\Konrad\Menu Start\Programy\Lollipop.lnk C:\Documents and Settings\Konrad\Menu Start\Programy\Click Studio C:\Documents and Settings\Konrad\Menu Start\Programy\Zint C:\Documents and Settings\Konrad\Pulpit\Optimizer Pro.lnk C:\Program Files\Common Files\AVG Secure Search C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Optimizer Pro C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\drivers\avgtpx86.sys reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\lollipop /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Optimizer Pro_is1" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Optimizer Pro" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ROC_ROC_NT" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Oczywiście już odpowiadasz mi w nowym poście, nie edytuj poprzednich, by zachować ciągłość dyskusji.

Poproszę o raporty z FRST. Powiedzą znacznie więcej niż obrazek z menedżera.

1. Hitman wykrył tylko szczątki, jeden kluczyk adware oraz ciastka w przeglądarkach. Wszystko usuń za pomocą programu. 2. Na koniec wyczyść foldery Przywracania systemu: KLIK.

Jeśli błędy deinstalacji były już przed uruchomieniem skryptu FRST, to był to stan wykluczający poprawną deinstalację, Fix FRST po prostu dokończył dzieła. Z "chińczykiem" nie wiadomo czy dałby się go odinstalować, bo ta instalacja została opuszczona. To wszystko niczym nie grozi, po prostu mniej elegancki sposób usuwania zostawiający więcej odpadków. Kolejne poprawki: 1. Nie za bardzo rozumiem z powyższej wypowiedzi tylko cytującej mój tekst czy użyłeś polecanego narzędzia, by zlikwidować globalupdate Helper. To nadal aktualne. 2. W Google Chrome > Ustawienia > karta ustawienia > Osoby > skasuj ten poprzedni nieużywany już profil. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [smartWeb] => C:\Users\Ja\AppData\Local\SmartWeb\SmartWebHelper.exe HKU\S-1-5-21-3932816958-4066117016-696730429-1000\...\Run: [HCDNClient] => "C:\IQIYI Video\Common\QyKernel.exe" -shell_start HKU\S-1-5-21-3932816958-4066117016-696730429-1000\...\Run: [GoogleChromeAutoLaunch_28FA449B79C225B40C4F5CB2D78FCA41] => C:\FRST\Quarantine\C\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe [637440 2015-05-12] (Crossbrowse) Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk [2015-10-28] Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk [2015-10-28] BHO-x32: °®ĆćŇŐÖúĘÖ -> {FB4F6285-4C32-49F2-950F-A5998F9CEC6C} -> C:\IQIYI Video\Common\Accelerator\IEHelper.dll => Brak pliku) OPR Extension: (CinemaP-1.9cV12.10) - C:\Users\Ja\AppData\Roaming\Opera Software\Opera Stable\Extensions\lkadffjmnaiokkdncgdlecdegajoiemi [2015-10-12] OPR Extension: (帮5淘—帮5买旗下购物助手) - C:\Users\Ja\AppData\Roaming\Opera Software\Opera Stable\Extensions\nklfajnmfbchcceflgddnkignfheooic [2015-10-26] S3 EraserUtilDrv11510; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11510.sys [X] DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Crossbrowse DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PhraseProfessor_1.10.0.24 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\IQIYI Video C:\Users\Ja\AppData\Local\Crossbrowse C:\Users\Ja\AppData\LocalLow\SmartWeb C:\Users\Public\Desktop\Crossbrowse.lnk EmptyTemp: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Reklamy "Powered by DNSUnlocker" tworzy program o takiej nazwie zainstalowany w systemie i wspomagany via zadanie DNSHUGO w Harmonogramie, które odnawia modyfikację serwerów DNS. Obecnie są ustawione przez adware adresy izraelskie: KLIK / KLIK. DNS Servers: 199.203.131.152 - 82.163.143.182 I jest więcej śmieci adware niż tylko tytułowy gagatek. Do przeprowadzenia następujące akcje: 1. Panel sterowania > Programy > odinstaluj adware DNS Unlocker version 1.4 oraz stare wersje Adobe AIR, Java 8 Update 25, Java SE Development Kit 8 Update 25. 2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {770d9261-ea7b-44d1-b1fa-cd753813d1ca}Gw; C:\Windows\System32\drivers\{770d9261-ea7b-44d1-b1fa-cd753813d1ca}Gw.sys [43152 2015-01-27] (StdLib) S1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X] S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] Task: {033DBA02-A693-4F35-AEB9-67420D6D2D46} - System32\Tasks\Bidaily Synchronize Task[8da6] => c:\programdata\{06a18553-42c1-215e-06a1-1855342c154d}\hqghumeaylnlf.exe [2014-06-23] (Super PC Tools Ltd) Task: {073ED955-F0D0-4660-BC61-0B9DED05EA1C} - System32\Tasks\Crossbrowse => C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe Task: {128F648B-912E-465F-A149-B5300CF8D336} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: {6A4D036F-6103-4FBE-86ED-42774012BFA6} - System32\Tasks\Optscan => c:\programdata\{2dfc2427-4357-3e92-2dfc-c2427435909d}\hqghumeaylnlf.exe [2014-08-21] (PC Utilities Software Limited) Task: {971B5584-238E-4CC0-BD39-2E780F248156} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: {E1194988-8C4A-427A-B9EA-DA20BCAD5C18} - System32\Tasks\DNSHUGO => dnshugo.exe Task: {E9547459-B8ED-4BE1-B381-FBCE36412B38} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Ola\AppData\Local\SmartWeb\SmartWebHelper.exe [2015-02-17] (SoftBrain Technologies Ltd.) Task: {EF317CBF-0A07-41AC-86F8-A34236045C1F} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\Bidaily Synchronize Task[8da6].job => c:\programdata\{06a18553-42c1-215e-06a1-1855342c154d}\hqghumeaylnlf.exe Task: C:\Windows\Tasks\Crossbrowse.job => C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe Task: C:\Windows\Tasks\Optscan.job => c:\programdata\{2dfc2427-4357-3e92-2dfc-c2427435909d}\hqghumeaylnlf.exe Startup: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk [2015-06-23] HKLM\...\Run: [smartWeb] => C:\Users\Ola\AppData\Local\SmartWeb\SmartWebHelper.exe [270368 2015-02-17] (SoftBrain Technologies Ltd.) HKLM\...\Run: [gmsd_pl_005010010] => [X] HKU\S-1-5-21-24371974-255015617-3181746528-1000\...\Run: [GoogleChromeAutoLaunch_E2E8869A58994379D96A2CB1A91C5570] => "C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130857594842742991&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1435072710&z=8d82c49c3c8ddae16b8e046g9zdc8wde1m3o2m1gce&from=obw&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1435072710&z=8d82c49c3c8ddae16b8e046g9zdc8wde1m3o2m1gce&from=obw&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB&q={searchTerms} HKU\S-1-5-21-24371974-255015617-3181746528-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB&q={searchTerms} HKU\S-1-5-21-24371974-255015617-3181746528-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130857594842742991&GUID=00000000-0000-0000-0000-000000000000 HKU\S-1-5-21-24371974-255015617-3181746528-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB HKU\S-1-5-21-24371974-255015617-3181746528-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB&q={searchTerms} SearchScopes: HKU\S-1-5-21-24371974-255015617-3181746528-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-24371974-255015617-3181746528-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-24371974-255015617-3181746528-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-24371974-255015617-3181746528-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-24371974-255015617-3181746528-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO: High Stairs -> {45e60e41-85ee-4c01-9dac-1ecb9bf64179} -> C:\Program Files\High Stairs\Extensions\45e60e41-85ee-4c01-9dac-1ecb9bf64179.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1435072710&z=8d82c49c3c8ddae16b8e046g9zdc8wde1m3o2m1gce&from=obw&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB ShortcutWithArgument: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB ShortcutWithArgument: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} DisableService: Multimedia mobilNET. RunOuc C:\Programdata\{2dfc2427-4357-3e92-2dfc-c2427435909d} C:\Users\Ola\AppData\Local\nsb6CBF.tmp C:\Users\Ola\AppData\Local\nsp57F2.tmp C:\Users\Ola\AppData\Local\nsz4CF.tmp C:\Users\Ola\AppData\Local\SmartWeb C:\Users\Ola\AppData\Local\StormFall C:\Users\Ola\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Ola\Desktop\Continue Speccy installation.lnk C:\Users\Ola\Downloads\Niepotwierdzony*.crdownload C:\Users\Public\Desktop\Your Software Deals.url C:\Windows\System32\drivers\{770d9261-ea7b-44d1-b1fa-cd753813d1ca}Gw.sys CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W ustawieniach Avast w konfiguracji wtyczki webowej wyłącz sponsorowaną funkcję Avast SafePrice dla przeglądarki Google Chrome. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, Shortcut już nie jest mi potrzebny. Dołącz też plik fixlog.txt.

Wsystko zrobione. Jeszcze małe poprawki: 1. ESET nie odinstalował się w poprawny sposób, pozostał po nim sterownik EpfwLWF. Wejdź w Tryb awaryjny Windows i zastosuj ESET Uninstaller. 2. Następnie otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [Malwarebytes Anti-Exploit] => C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 MFE_RR; \??\C:\USERS\WOJTUQ\APPDATA\LOCAL\TEMP\mfe_rr.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\Program Files\ESET RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java RemoveDirectory: C:\Users\wojtuq\Doctor Web RemoveDirectory: C:\Users\wojtuq\Desktop\FRST-OlderVersion RemoveDirectory: C:\WINDOWS\System32\Tasks\Safer-Networking RemoveDirectory: C:\zoek_backup CMD: del /q C:\Users\wojtuq\Desktop\KVRT.exe CMD: del /q C:\Users\wojtuq\Desktop\launch.exe CMD: del /q C:\Users\wojtuq\Desktop\zoek.exe CMD: del /q C:\Users\wojtuq\Desktop\zoek-results.txt CMD: del /q C:\zoek-results.log Hosts: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Najnowsze wersje Adobe i Java linkowane w przyklejonym: KLIK. Przy czym Adobe Air i Adobe Shockwave Player prawdopodobnie są zbędne. I jeśli Java będzie instalowana, to już po wykonaniu w/w Fix FRST, w przeciwnym wypadku uszkodzi on nową instalację Java. Jeśli ma być darmowy i posiadać wiele funkcji, to propozycją spełniającą te warunki jest Avast.

Tak, zalecona komenda usunęła plik z zastrzeżoną nazwą blokujący usuwanie. Rozumiem, że już się rozprawiłeś z całym folderem "bez nazwy". Sprawa pendrive rozwiązana. Dodatkowe działania, bo były różne odpadki adware. Uruchom AdwCleaner. Wybier opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner

1. Pendrive: obecnie na urządzeniu jest tylko ten ukryty folder "bez nazwy", w którym infekcja schowała dane. Mówiłeś: Czy na pewno teraz nie da się wejść do tego folderu "bez nazwy" i po prostu przenieś z niego dane poziom wyżej, a sam folder po opróżnieniu skasować przez SHIFT+DEL (omija Kosz)? We wszystkich tematach na forum to działało bez pudła. 2. System: wspominane drobne korekty na wpisy odpadkowe oraz czyszczenie Tempów. Otwórz Notatnik CloseProcesses: CreateRestorePoint: HKLM-x32\...\RunOnce: [] => [X] HKU\S-1-5-21-2731234556-1163057872-14892810-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Acer\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-2731234556-1163057872-14892810-1000\...\Policies\Explorer: [] HKU\S-1-5-21-2731234556-1163057872-14892810-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=135 HKU\S-1-5-21-2731234556-1163057872-14892810-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie HKU\S-1-5-21-2731234556-1163057872-14892810-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie SearchScopes: HKU\S-1-5-21-2731234556-1163057872-14892810-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear Task: {4FB7F7B3-B441-444A-A467-C4BAF7BA2A13} - System32\Tasks\{F187EEAB-2174-4F3F-AE0F-684CA1537109} => pcalua.exe -a "F:\Marcin\INSTALKI\Microsoft Office 2007 PL\office kriss32-32\office 2007\setup.exe" -d "F:\Marcin\INSTALKI\Microsoft Office 2007 PL\office kriss32-32\office 2007" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Zmiana mapowania czy nazwy nie powinna mieć wpływu na widoczność urządzenia w skanie USBFix. Tu jest coś nie tak, że urządzenie przestało być rozpoznawane (wcześniej było). Zresetuj system, tymczasowo wyłącz ESET i ponów skan Listing w USBFix. Jeśli to zawiedzie, to jeszcze spróbuję pobrać dane via FRST.

Raport ma ciągle tę samą formę, pokazuje tylko dwa dyski twarde, żadnego pendriva: C:\ (%SystemDrive%) -> Fixed disk # 146 Gb (95 Gb free - 65%) [] # NTFS D:\ -> Fixed disk # 152 Gb (65 Gb free - 43%) [] # NTFS Czy na pewno urządzenie było podpięte?

System nie został zainfekowany, będą tylko kosmetyczne korekty. Log z USBFix nie został zrobiony przy podpiętym pendrive. Powtórz zadanie z podpiętym urządzeniem.