picasso

Obowiązkowym raportem jest też GMER. W systemie są aktywne procesy adware oraz różne ustawienia przejęte przez niepożądane adresy. Do przeprowadzenia następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Danlax; C:\Documents and Settings\All Users\Dane aplikacji\\Danlax\\Danlax.exe [441856 2015-09-17] () [brak podpisu cyfrowego] AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Danlax\Holdzap.dll => C:\Documents and Settings\All Users\Dane aplikacji\Danlax\Holdzap.dll [384512 2015-09-21] () HKLM\...\Run: [GEST] => = HKLM\...\Run: [Web Protector Plus Agent] => "C:\Program Files\WebProtectorPlus\WebProtectorPlus.exe" HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGSNUjrwY1y6yS7vkz8roO8peJ4F9SYM4HOhApitXQUOItRk9MpwBiCqZBDkjNCK8Cx2rdsM3dSaoYg,, HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms} HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms} HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGSNUjrwY1y6yS7vkz8roO8peJ4F9SYM4HOhApitXQUOItRk9MpwBiCqZBDkjNCK8Cx2rdsM3dSaoYg,, HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms} HKU\S-1-5-21-343818398-602162358-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGSNUjrwY1y6yS7vkz8roO8peJ4F9SYM4HOhApitXQUOItRk9MpwBiCqZBDkjNCK8Cx2rdsM3dSaoYg,, HKU\S-1-5-21-343818398-602162358-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms} HKU\S-1-5-21-343818398-602162358-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms} HKU\S-1-5-21-343818398-602162358-1801674531-1004\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms} URLSearchHook: HKLM -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = CHR HKLM\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-343818398-602162358-1801674531-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\All Users\Dane aplikacji\Danlax C:\Documents and Settings\All Users\Dane aplikacji\Danlaxs C:\Documents and Settings\CoolPizza\SetupComponents.exe C:\Documents and Settings\CoolPizza\Ustawienia lokalne\Dane aplikacji\updater.log C:\Documents and Settings\CoolPizza\Ustawienia lokalne\Dane aplikacji\UserProducts.xml C:\Program Files\Common Files\Subgodom C:\WINDOWS\system32\findit.xml C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0B451150-3691-41C6-9AD0-B7CC164A02C2} /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystkie niedomyślne przeglądarki zostawiając tylko Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\CoolPizza\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz na wszelki wypadek też brakujący GMER. Dołącz też plik fixlog.txt.

Śmieci zostały usunięte, system zaktualizowany. Widzę, że zainstalowałeś Avira. Drobne ostrzeżenie, wsparcie Avira dla XP jest wycofywane. Najnowsze wersje nie obsługują XP (zainstalowałeś akurat starszą która ma je jeszcze obsługę), a definicje będą dostarczane tylko do kwietnia 2016. Na zakończenie: 1. Był uruchamiany GMER, upewnij się że nie obniżył się transfer dysku. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Zastosuj DelFix (GMER i jego log trzeba dokasować ręcznie) oraz wyczyść foldery Przywracania systemu: KLIK.

W systemie jest aktywna duża ilość adware. Dodatkowa uwaga, wyłączyłeś usługę BFE, która jest niezbędna do obsługi Zapory systemu Windows, używa jej też Avast - usługę będę włączać. Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {6939a927-ce62-4a88-a27a-fd77343fd696}Gw64; C:\Windows\System32\drivers\{6939a927-ce62-4a88-a27a-fd77343fd696}Gw64.sys [48784 2015-10-08] (StdLib) R1 {b666938f-73a7-45e6-be3c-578b46fc5b7e}Gw64; C:\Windows\System32\drivers\{b666938f-73a7-45e6-be3c-578b46fc5b7e}Gw64.sys [48784 2015-10-09] (StdLib) R2 Crashhd; C:\Users\Grzesiek\AppData\Local\Crsoft\crsvc.exe [185800 2015-09-25] () R2 gyvixodu; C:\Program Files (x86)\A8187454-1442618321-21E7-006D-B4B52F29A7E8\hnspDEA2.tmp [203776 2015-09-19] () [brak podpisu cyfrowego] R2 IhPul; C:\Users\Grzesiek\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com) R2 NetTcpHandler; C:\Users\Grzesiek\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [169632 2015-10-10] (TODO: ) S2 Update Web Amplified; C:\Program Files (x86)\Web Amplified\updateWebAmplified.exe [461048 2015-10-11] () S2 Util Web Amplified; C:\Program Files (x86)\Web Amplified\bin\utilWebAmplified.exe [461048 2015-10-11] () R2 WdsManPro; C:\ProgramData\1WdsManPro1\WdsManPro.exe [442504 2015-10-10] (DTools LIMITED) R1 wwfd_vt_1_10_0_24; C:\Windows\System32\drivers\wwfd_vt_1_10_0_24.sys [61312 2015-09-02] (WordWizard) R2 wwsvc_1.10.0.24; C:\Program Files (x86)\WordWizard_1.10.0.24\Service\wwsvc.exe [301656 2015-09-02] (WordWizard) S3 clwvd; system32\DRIVERS\clwvd.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] R2 zicumiji; C:\Program Files (x86)\A8187454-1442618321-21E7-006D-B4B52F29A7E8\knsz7EDE.tmpfs [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\KNet => ""="service" HKLM-x32\...\Run: [tuto4pc_pl_5] => [X] HKLM-x32\...\Run: [gmsd_pl_005010091] => [X] HKLM-x32\...\Run: [gmsd_pl_005010099] => [X] HKLM-x32\...\Run: [gmsd_pl_005010106] => C:\Program Files (x86)\gmsd_pl_005010106\gmsd_pl_005010106.exe [3978384 2015-10-04] () HKLM-x32\...\Run: [gmsd_pl_005010107] => C:\Program Files (x86)\gmsd_pl_005010107\gmsd_pl_005010107.exe [3976336 2015-10-05] () HKLM-x32\...\Run: [gmsd_pl_005010109] => C:\Program Files (x86)\gmsd_pl_005010109\gmsd_pl_005010109.exe [3977872 2015-10-08] () HKLM-x32\...\RunOnce: [upgmsd_pl_005010107.exe] => C:\Users\Grzesiek\AppData\Local\gmsd_pl_005010107\upgmsd_pl_005010107.exe [3302544 2015-10-05] () HKU\S-1-5-21-1994262508-4124847217-438547347-1001\...\Run: [GoogleChromeAutoLaunch_ACF11CF5586B43242B6CC8B92C5B5F1D] => C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe [636928 2015-08-29] (MyBrowser) HKU\S-1-5-18\...\Run: [KurupiraNet] => "C:\Program Files (x86)\Kurupira\WebFilter\kurupirawf.exe" Task: {4B01A0FF-FC2B-4F83-AB75-49C93DA425B6} - System32\Tasks\WordWizard Auto Updater 1.10.0.24 Pending Update => C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe [2015-09-02] (WordWizard) Task: {5333BE7A-6640-4D54-8D6B-870FABABEB5B} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe Task: {5B7F5C8D-932F-47E7-8619-A4EFAFC23C75} - System32\Tasks\FF305F69-D19D-4D18-A3A7-BF797FC7CDB => C:\Users\Grzesiek\AppData\Local\FF305F69-D19D-4D18-A3A7-BF797FC7CDB\FF305F69-D19D-4D18-A3A7-BF797FC7CDB.exe [2015-10-07] () Task: {69815643-FF6E-47DF-A58B-B04AEBAE9E49} - System32\Tasks\{C5E7D8C2-FC56-48B7-A7BD-451615BD0D9F} => Chrome.exe http://ui.skype.com/ui/0/6.11.0.102/pl/abandoninstall?page=tsProgressBar Task: {7576D194-9504-4C72-A07D-7D17FAFAFA9D} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2015-10-07] () Task: {8A2225D8-C183-4451-8099-F78228A7A6E6} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2015-10-07] () Task: {90BCA0F5-B723-4BD0-9DD7-2EBB6BCB2278} - System32\Tasks\{5A670A30-0215-4AB8-AD52-C6E42D36182E} => pcalua.exe -a C:\Users\Grzesiek\Desktop\FreeRapid-0.9u1\frd.exe -d C:\Users\Grzesiek\Desktop\FreeRapid-0.9u1 Task: {935A2DDE-F0E3-48D5-A931-8F4ABCC7FDEB} - System32\Tasks\WordWizard Auto Updater 1.10.0.24 Core => C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe [2015-09-02] (WordWizard) Task: {97700335-1BD3-41CA-A12A-E13712DD269F} - System32\Tasks\{B3F69E9C-7B55-4F67-AC96-7CCD987E245D} => Chrome.exe http://ui.skype.com/ui/0/6.14.60.104/pl/abandoninstall?page=tsProgressBar Task: {A1B9CDF1-BB87-475F-B413-4D45081F4558} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe Task: {BAB791B8-777C-4A01-8DEA-6CB929FA6CE6} - System32\Tasks\{FFF060CB-8F09-4AA0-9D99-39A023A26C6D} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.21.0.104&LastError=12002 Task: {BD0CA5A1-2281-4D40-A714-67C4EEE384B2} - System32\Tasks\E68C052A-B27D-42D2-8242-C43157D2EC5D => C:\Users\Grzesiek\AppData\Local\E68C052A-B27D-42D2-8242-C43157D2EC5D\E68C052A-B27D-42D2-8242-C43157D2EC5D.exe Task: {DA6EAD2C-BC61-47D6-AE3A-FA1D21B25767} - System32\Tasks\Funmoods => C:\Users\Grzesiek\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE Task: {FCBCC7DD-40D6-4001-8B41-29AEA8D7E112} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2015-10-07] () Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [brak pliku] FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1215155.dll [brak pliku] FF Plugin HKU\S-1-5-21-1994262508-4124847217-438547347-1001: SkypePlugin -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\npGatewayNpapi.dll Brak pliku FF Plugin HKU\S-1-5-21-1994262508-4124847217-438547347-1001: SkypePlugin64 -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\npGatewayNpapi-x64.dll Brak pliku FF Plugin HKU\S-1-5-21-1994262508-4124847217-438547347-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll Brak pliku FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Grzesiek\AppData\Roaming\Mozilla\Firefox\Profiles\eh54ahxz.default\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Grzesiek\AppData\Roaming\Mozilla\Firefox\Profiles\eh54ahxz.default\extensions\deskCutv2@gmail.com FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\all-gemius.js [2013-08-19] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswwebrepchrome-sp.crx [2014-08-04] StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.istartsurf.com/?type=sc&ts=1444206053&z=63fb0728259f1eb64ace079g0z0c4m4b2q0z2g7g2g&from=face&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Marvel Super Hero Squad Online.lnk -> C:\Program Files (x86)\HP Games\Web Link - Marvel Super Hero Squad Online\launcher.exe (WildTangent) -> hxxp://www.istartsurf.com/?type=sc&ts=1444206053&z=63fb0728259f1eb64ace079g0z0c4m4b2q0z2g7g2g&from=face&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX ShortcutWithArgument: C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1444206053&z=63fb0728259f1eb64ace079g0z0c4m4b2q0z2g7g2g&from=face&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX ShortcutWithArgument: C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1444206053&z=63fb0728259f1eb64ace079g0z0c4m4b2q0z2g7g2g&from=face&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1994262508-4124847217-438547347-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302 HKU\S-1-5-21-1994262508-4124847217-438547347-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302 HKU\S-1-5-21-1994262508-4124847217-438547347-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {d43b3890-80c7-4010-a95d-1e77b5924dc3} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms} BHO-x32: Web Amplified 1.0.0.7 -> {4f93c386-c677-4212-9bc8-47814de68c52} -> C:\Program Files (x86)\Web Amplified\WebAmplifiedbho.dll [2015-07-11] (Web Amplified) Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll Brak pliku Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll Brak pliku CustomCLSID: HKU\S-1-5-21-1994262508-4124847217-438547347-1001_Classes\CLSID\{0825CC0E-34BD-4FE4-B78D-EF6582A94B6A}\InprocServer32 -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\GatewayActiveX-x64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1994262508-4124847217-438547347-1001_Classes\CLSID\{8E00BFA9-1C7B-4E45-BF2F-0FAEA236E1CC}\localserver32 -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\GatewayVersion-x64.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-1994262508-4124847217-438547347-1001_Classes\CLSID\{CBF9CD8C-2714-4F36-B76A-43E6C7547BC2}\localserver32 -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\EdgeCalling.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-1994262508-4124847217-438547347-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Grzesiek\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku HKU\S-1-5-21-1994262508-4124847217-438547347-1001\Software\Classes\.exe: => C:\task.vbs C:\Program Files (x86)\GUT1DEC.tmp C:\Program Files (x86)\A8187454-1442618321-21E7-006D-B4B52F29A7E8 C:\Program Files (x86)\predm C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\GameExplorer\{1E9B598D-22A7-4AE2-86AB-146A09171AAE}\PlayTasks\1 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadwin Systems C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mp3cutter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyBrowser C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PESEdit.com 2011 Patch\PESEdit.com 2011 Patch.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PESEdit.com 2011 Patch\Settings.lnk C:\Users\Grzesiek\AppData\Local\Crsoft C:\Users\Grzesiek\AppData\Local\FF305F69-D19D-4D18-A3A7-BF797FC7CDB C:\Users\Grzesiek\AppData\Roaming\Thumbs.db C:\Users\Grzesiek\AppData\Roaming\istartsurf C:\Users\Grzesiek\AppData\Roaming\mystartsearch C:\Users\Grzesiek\AppData\Roaming\NetService C:\Users\Grzesiek\AppData\Roaming\RunDir C:\Users\Grzesiek\AppData\Roaming\shortCutStore C:\Users\Grzesiek\AppData\Roaming\SoftOrbits C:\Users\Grzesiek\AppData\Roaming\systweak C:\Users\Grzesiek\AppData\Roaming\TSv C:\Users\Grzesiek\AppData\Roaming\VOPackage C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MyBrowser.lnk C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\MyBrowser.lnk C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Alcohol 120%.lnk C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\bobyte C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google+ Auto Backup C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\jogotempo C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Grzesiek\AppData\Roaming\Microsoft\Word\Grafik%20Phillip%20Morris302487943129193636\Grafik%20Phillip%20Morris.docx.lnk C:\Users\Grzesiek\Desktop\AnyProtect.lnk C:\Users\Grzesiek\Desktop\Continue Live Installation.lnk C:\Users\Grzesiek\Desktop\jogotempo.lnk C:\Users\Grzesiek\Favorites\GG dysk.lnk C:\Users\Public\Desktop\MyBrowser.lnk C:\Windows\system32\roboot64.exe C:\Windows\System32\drivers\{6939a927-ce62-4a88-a27a-fd77343fd696}Gw64.sys C:\Windows\System32\drivers\{b666938f-73a7-45e6-be3c-578b46fc5b7e}Gw64.sys C:\Windows\System32\drivers\wwfd_vt_1_10_0_24.sys C:\Windows\system32\Drivers\etc\hp.bak Folder: C:\program1 Folder: C:\results Folder: C:\Windows\SysWOW64\GroupPolicy Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleDriveSync" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HKCU" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesAirMessage" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPDLR" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPreload" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KurupiraNet" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetPanel" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Onet.pl AutoUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spybot-S&D Cleaning" /f CMD: for /d %f in (C:\ProgramData\*WdsManPro*) do rd /s /q "%f" CMD: netsh advfirewall reset CMD: sc config BFE start= auto DisableService: PLAY ONLINE. RunOuc Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware/PUP: AnyProtect, GamesDesktop 008.005010106, GamesDesktop 008.005010107, GamesDesktop 008.005010109, jogotempo 3.4, MyBrowser, Setup, Web Amplified, WordWizard 1.10.0.2. Na Twoim obrazku jest jeszcze pozycja Plus.HD_3.5V04.10, tylko że w raporcie FRST jej nie widać. Czy ten program został już odinstalowany? - Starsze wersje i zbędne programy: Adobe Reader XI - Polish, Adobe Shockwave Player + Authorware Web Player, Adobe Shockwave Player 12.0, Spybot - Search & Destroy. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > Osoby > Dodaj osobę, czyli załóż nowy profil i się na niego zaloguj, uprzednio otwarte okna przeglądarki z zalogowanymi innymi profilami zamknij. Pozostałe "Osoby" skasuj. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Opera: CTRL+SHITF+E i na liście rozszerzeń odinstaluj za pomocą "iksa" Web Amplified, o ile nie zniknie samodzielnie po w/w deinstalacji. Obecnie domyślną przeglądarką jest szkodliwy MyBrowser. W wybranej przeglądarce ustaw ją jako domyślna. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pola Addition + Shortcut. Dołącz też plik fixlog.txt. Powiedz mi też co to za plik na Pulpicie: C:\Users\Grzesiek\Desktop\fb b.exe

Aneks Artykuły Microsoftu: KB928228 - How to analyze the log file entries that the Microsoft Windows Resource Checker (SFC.exe) program generates in Windows Vista KB929833 - Use the System File Checker tool to repair missing or corrupted system files KB929840 - You cannot use the System File Checker tool to verify or to repair Windows Vista if Windows Vista is in a mounted image file or in a bootable WIM file KB936212 - How to repair the operating system and how to restore the operating system configuration to an earlier point in time in Windows Vista KB947595 - The SFC.exe command reports Settings.ini file errors in the CBS.log file after you add gadgets to the Windows Vista Sidebar by using the Sysprep tool and an Autounattend.xml file KB947821 - Fix Windows Update errors by using the DISM or System Update Readiness tool KB954402 - The CBS.log file contains entries that some files are not repaired even after you successfully run the SFC utility on a Windows Server 2008-based computer KB957310 - Windows Update error 0x80073712 (wcześniej pod nazwą "The "Windows Features" dialog box is empty in Windows 7 or Windows Vista, or you receive an error message that includes the following code when you try to use Windows Update: "0x80073712"") KB966305 - SFC.exe (System File Checker) shows it is repairing corrupted files per the CBS log after installing Windows Vista SP1 KB2680245 - Error: 0x80320009 appears when you try to launch Windows Firewall KB2864252 - System File Checker finds corrupt files after installing KB2821895 KB3083824 - Update 2830477 install from Windows Update fails with error 0x8004401E How to repair the .NET Framework 2.0 and 3.0 on Windows Vista

Został uruchomiony specjalny czyściciel sterowników AMD, czego bezpośrednią konsekwencją po restarcie było przełączenie na podstawowy sterownik Windows o ograniczonych możliwościach (to degradacja rozdzielczości a nie Tryb awaryjny). Przypominam Twój stary temat omawiający problem karty hybrydowej AMD-Intel, gdy miałeś jeszcze Windows 7. Już wtedy był problem z funkcjonowaniem sterowników i była sugerowana ich aktualizacja. Wątku nie pociągnąłeś wtedy. Nowy upgrade do Windows 10, żadnych zmian w układzie zainstalowanego softu, te same stare wersje widziane tu w pierwszym logu FRST Addition: AMD Catalyst Control Center (HKLM\...\WUCCCApp) (Version: 1.00.0000 - AMD) AMD Catalyst Install Manager (HKLM\...\{9B931181-D3E6-B7C8-6AC1-0415CAE8821F}) (Version: 8.0.881.0 - Advanced Micro Devices, Inc.) Intel® Display Audio Driver (HKLM\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 6.14.00.3086 - Intel Corporation) Ten układ został podwójnie naruszony: - W poście #14 zgłosiłeś nagłe błędy paczki Catalyst związane z uszkodzeniami plików. W poście #16 na dodatek jeszcze powiedziałeś, że nie widać tej paczki już jako zainstalowanej, co rozumiem jako niewyjaśniony zanik w/w pozycji AMD z Addition. - W poście #20 został użyty deinstalator AMD, który zabrał się za powiązane sterowniki i nastąpiła spodziewana degradacja. Co dokładnie zostało usunięte, nie jest wiadome. Czy jest na dysku log utworzony przez narzędzie? Wymagane jest ponowne zainstalowanie pasujących sterowników. Jak powiedziane, wejdź na stronę Lenovo i szukaj dla swojego modelu Lenovo jakie sterowniki ogólnie są proponowane i czy są zgodne z Windows 10. Pobieranie prawdopodobnie będzie opisane jako kombinowane "AMD Radeon HD and Intel Graphic Driver".

Czy uporałeś się ze sprawą Aviry? Ostatnie zadane czynności wykonane pomyślnie. Wcześniej już był używany AdwCleaner, więc nie zadaję ponownie tej operacji. Myślę, że możemy kończyć: 1. Był używany GMER, toteż upewnij się, że nie obniżył się transfer dysku. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Zastosuj DelFix (GMER trzeba dokasować ręcznie) i wyczyść Przywracanie systemu: KLIK. 3. Zaktualizuj systemowy Internet Explorer z bieżącej wersji IE7 do wersji IE8. Link do instalatora również podany w/w temacie.

Czy na pewno ten Fixlist posiada treść odpowiadającą mojemu postowi? Jeśli tak, ponownie uruchom Fix w FRST i przedstaw wyniki.

Ten PriceFountain to jest adware, nabyte na jeden z tych sposobów: KLIK. Widzę jego szczątki w Harmonogramie zadań i na dysku. 1. Doczyść owe szczątki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Tomek\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\PFExe.job => C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\PriceFountain\pricefountain.exe C:\Documents and Settings\Tomek\Dane aplikacji\PriceFountain C:\{b6a94784-0ffb-4121-88c6-435139067ee2}.xpi EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Następnie proszę zaktualizuj cały XP, bo stan obecny marny: KLIK (sekcja "Aktualizacje Windows"). Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) Język: Polski Internet Explorer Wersja 6 (Domyślna przeglądarka: FF) 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

Reset synchronizacji jest po to, by umożliwić zmiany w lokalnym Chrome na dysku. Przy czynnej synchronizacji czyszczenie Chrome jest nieskuteczne, gdyż z serwera Google są ładowane ponownie poprzednie ustawienia. A owe ustawienia o które mi tu chodziło, to był sponsorowany obiekt instalowany przez Avast (zbędny Avast SafePrice) oraz nieobsługiwane + puste wpisy wtyczek pozostawione po nakładkowej aktualizacji wersji Chrome: CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\45.0.2454.101\ppGoogleNaClPluginChrome.dll => No File CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\45.0.2454.101\pdf.dll => No File CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll => No File CHR Plugin: (Java Deployment Toolkit 6.0.200.2) - C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll => No File CHR Plugin: (Java™ Platform SE 6 U20) - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll => No File CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll => No File CHR Plugin: (Windows Live Photo Gallery) - C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) CHR Plugin: (Silverlight Plug-In) - c:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll => No File Jak mówię, kompletnie nie związane z tematem zasadniczym. Szczątki adware: KLIK. Pobierałeś i uruchamiałeś kiedyś "downloader" ze sponsorami. Więcej na temat tego typu obiektów: KLIK. Temat nie wyczerpuje wszystkich możliwości, nakreśla tylko ogólną metodologię. Nazwa pliku u Ciebie wskazuje, że źródłem był inny portal niż wymieniane.

Plik C:\delfix.txt możesz skasować z dysku. Zakładam, że trefna paczka z torrent już dawno zlikwidowana. Jak mówiłam, na wszelki wypadek zmieniłabym jednak hasła.

Zapewniam Cię, że raporty zostały dobrze sprawdzone. Różnica polega na tym, że w tamtym temacie infekcja samoczynnie wracała z powodu winy użytkownika (ręcznie uruchamiał scrackowany program przywracający infekcję), a jedno z podejść było nieudane ze względu na brak komendy zabijania procesów w skrypcie. Temat Chrome nie ma żadnego związku. Były tu wykonywane tylko poboczne nie związane z infekcją zasadniczą zadania czyszczące innej natury. Podobnie w temacie drugiego użytkownika, tam akcje Chrome związane z odpadkami adware. Na dysku powstał raport C:\delfix.txt zawierający wykaz operacji. DelFix usuwa z rejestru tylko wpisy powiązane z narzędziami skanerów, nie zajmuje się czyszczeniem rejestru w ogólnym wymiarze.

Tak, Fixlist powinien zniknąć po naprawie. Co się działo podczas uruchamiania opcji Fix z tego posta? Czy był jakiś błąd? Czy FRST i ten Fixlist na pewno są w tym samym folderze?

SFCFix - Automatyzacja napraw SFCFix Platforma: Windows Vista do Windows 10 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz SFCFix to narzędzie autorstwa niemiro z forum sysnative.com, automatyzujące naprawy SFC oraz DISM. Podczas skanu odczytuje m.in. raporty CBS.log oraz CheckSur.log (produkowany w Windows 7 i Vista przez Narzędzie analizy gotowości aktualizacji systemu, w nowszych systemach niedostępny, gdyż funkcjonalność została zintegrowana w DISM). Na systemach Windows 8 i nowszych wywołuje komendę DISM /Online /Cleanup-image /Restorehealth. Narzędzie działa w dwóch trybach: w pełni automatycznym oraz ręcznym (mocno inspirowanym narzędziem ComboFix). SFCFix jest w stanie rozwiązać wiele przypadków uszkodzeń, ale nie wszystkie. W tej sytuacji jest wymagana pomoc eksperta. Tryb automatyczny Po uruchomieniu narzędzie sprawdza dostępne aktualizacje. Następnie pojawi się ekran powitalny proszący o wciśnięcie jakiegolwiek klawisza, by kontynuować: Welcome to SFCFix! This program will attempt to detect & repair as many SFC and Windows Update corruptions as it can. When it completes, a logfile will open automatically, and will also be saved to your Desktop under the name of SFCFix.txt. If someone has instructed you to run SFCFix, you should copy and paste the contents of that logfile into your next reply to that helper. For those not currently being instructed in the use of SFCFix, in the event that not all detected corruptions could be repaired automatically, or your problems persist, you should seek further (and completely free) advice from sysnative.com Diagnostic times will be approximately 5-10 minutes, with an additional 10 minutes of processing time should corruptions be detected. Please close all open programs now before proceeding. Press any key to continue . . . Pojawi się ostrzeżenie punktujące, że narzędzie nie powinno być stosowane na zainfekowanym malware systemie. W przypadku obecnej infekcji należy zamknąć okno narzędzia, w przeciwnym wypadku kontynuacja przez wciśnięcie jakiegokolwiek klawisza. WARNING! This tool has been designed to fix file system and registry corruptions only. It has not been designed to work around the tricks and traps so often left in place by modern malware. Do not use this tool on an infected computer. If you are running this tool on a computer system with a known infection, please exit now and seek disinfection advice from a forum offering such a service. If you do not already have a preference for a particular forum, sysnative.com will offer such a service free of any charge. Press any key to continue . . . Wreszcie zawiadomienie o używaniu na własne ryzyko, potwierdzane wciśnięciem jakiegokolwiek klawisza: Disclaimer Please understand that the use of this tool is entirely at your own risk. Neither niemiro nor sysnative.com will be held responsible for any loss or damage caused as a result of the use or misuse of this program. If you do not agree to these terms, or if you wish not to continue for any other reason, please exit now. Otherwise press any key to continue . . . Rozpocznie się sprawdzanie systemu, co w zależności od napotkanych naruszeń może długo trwać: Welcome to SFCFix by niemiro and sysnative.com. Checking for updates . . . No new update is available at this time. Processing directive 1 of 1 (AutoAnalysis::) Checking store directories . . . Checking CBS.log . . . ----> W przypadku braku wykrycia naruszeń status wygląda następująco: Welcome to SFCFix by niemiro and sysnative.com. Checking for updates . . . No new update is available at this time. Processing directive 1 of 1 (AutoAnalysis::) Checking store directories . . . Checking CBS.log . . . Checking CBS.persist.log . . . Checking CheckSUR.log . . . Checking CheckSUR.persist.log . . . SUMMARY: CBS & SFC total detected corruption count: 0 CBS & SFC total unimportant corruption count: 0 CBS & SFC total fixed corruption count: 0 SURT total detected corruption count: 0 SURT total unimportant corruption count: 0 SURT total fixed corruption count: 0 Press any key to continue to explanation of summary . . . ... a wciśnięcie jakiegokolwiek klawisza wyświetla opis podsumowania, również zamykany dowolnym klawiszem: --- Displaying Message 1 of 1 --- No corruptions have been detected on this computer. Whilst this is a good thing, be aware that not all types of corruption can be detected by this tool. Therefore, if you are currently experiencing continued problems with your computer it is likely that you are going to need the assistance of a human analyst in order to find and fix them. If your problems persist, and you are currently being instructed by a helper, you should let them know about this development by sending them the logfile which will soon be generated and opened so that they can perform a manual fix. If you are not currently being instructed by a helper but still need assistance, you should seek free advice from your favourite forum or sysnative.com. Create a new thread and provide this logfile in the first post of that thread along with a complete description of the problems you were experiencing which led you to run this tool. * Press any key to continue . . . ----> W przypadku wykrycia naruszeń pojawi się zawiadomienie o wydłużeniu skanu i zostaną podjęte czynności korekcyjne, m.in. jest uruchamiany systemowy DISM: Welcome to SFCFix by niemiro and sysnative.com. Checking for updates . . . No new update is available at this time. Processing directive 1 of 1 (AutoAnalysis::) Checking store directories . . . Checking CBS.log . . . Checking CheckSUR.log . . . Checking CheckSUR.persist.log . . . Attempting repair . . . Stage 1 Stage 2 Stage 3 Due to the nature of your corruptions, scan times have been extended by approximately 15-20 minutes. Please be patient and allow the operation to complete. Deployment Image Servicing and Management tool Version: 6.3.9600.16384 Image Version: 6.3.9600.16384 [==========================100.0%==========================] Error: 0x80240021 DISM failed. No operation was performed. For more information, review the log file. The DISM log file can be found at C:\Windows\Logs\DISM\dism.log Wciśnięcie jakiegokolwiwk klawisza wyświetla podsumowanie. Tryb ręczny Tryb ręczny jest egzekwowany, gdy SFCFix nie potrafi samodzielnie naprawić usterki. Polega on na załadowaniu skryptu instruującego narzędzie co naprawić: specjalista prowadzący pomoc przygotowuje plik SFCFix.zip zawierający skopiowaną ze sprawnego systemu lub wyekstraktowaną z pobranych aktualizacji strukturę idealnie dopasowanych komponentów oraz skrypt tekstowy odpalający podmianę komponentów, a użytkownik przeciąga i upuszcza SFCFix.zip na ikonę SFCFix.exe. Opis budowy SFCFix.zip nie jest publiczny. Raporty Narzędzie tworzy raport SFCFix.txt na Pulpicie. Jego forma naśladuje log Narzędzia analizy gotowości aktualizacji systemu. Przykładowe raporty: FIXED - Usterki naprawione. CORRUPT - Wykryte uszkodzenia wymagające naprawy ręcznej. 2. Czynności wykonywane przez systemowy DISM (o ile był wywoływany przez narzędzie) można sprawdzić w raporcie C:\Windows\Logs\DISM\dism.log lub CBS.log. Przykład: Analiza tych raportów nie jest zadaniem dla początkujących użytkowników, gdyż wymaga ogromnej wiedzy o strukturze komponentów Windows.

Uruchamianie SFC z poziomu WinRE Skan SFC jest wykonalny także z poziomu środowiska zewnętrznego, co jest przydatne gdy nie można uruchomić Windows. Komenda w tym środowisku wymaga zastosowania dodatkowych przełączników /OFFBOOTDIR i /OFFWINDIR. Formuła komendy to: sfc /scannow /offbootdir=Y:\ /offwindir=Z:\windows Dodatkowo może się przydać komenda innego narzędzia (patrz na końcowy fragment tego posta): DISM /Image:Z: /Cleanup-Image /RevertPendingActions Y - Do podstawienia litera kierująca na partycję z plikami startowymi Windows Z - Do podstawienia litera kierująca na partycję z zainstalowanym Windows Uruchamianie WinRE Metody wejścia do WinRE na Windows 7 i Vista: Opis startu do środowiska WinRE na systemach Windows 7 i Vista Metody wejścia do WinRE na Windows 10 i 8/8.1: Spod uruchomionego systemu, co odpada gdy nie można się dostać do systemu lub są poważne uszkodzenia (np. konta). Na Windows 10: klik w ikonę Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz. Na Windows 8/81: z klawiatury + I > Zmień ustawienia komputera > Aktualizacja i odzyskiwanie (8.1) lub Ogólne (8) > i dalej jak w/w. Z poziomu DVD lub USB instalacyjnego Windows: zbootuj komputer z nośnika > na pierwszym ekranie klik w Dalej (Next) > na kolejnym wybierz Napraw komputer (Repair your computer) > wybierz pozycję Rozwiąż problemy (Thoubleshoot) > wybierz Opcje zaawansowane (Advanced options). Jeśli nie posiadasz nośnika, można go utworzyć na innym dostępnym komputerze z zainstalowanym systemem Windows 7 lub nowszym. Klucz produktu nie jest potrzebny, gdyż chodzi tu o wejście do opcji naprawczych a nie instalację systemu. Pobierz i uruchom Narzędzie do tworzenia nośnika Windows 10. Wybierz opcję Utwórz nośnik instalacyjny dla innego komputera. Wybierz język, wersję i architekturę (32-bit lub 64-bit) odpowiadającą parametrom poszkodowanego systemu, odznacz "Użyj opcji zalecanych dla tego komputera". Następnie zdecyduj czy ma być tworzony bootowalny nośnik USB, czy obraz ISO do późniejszego zgrania na DVD. Narzędzie pobierze Windows 10 i utworzy nośnik instalacyjny. Pomimo że jest to nośnik z Windows 10, można go użyć też na starszych systemach (ale bity muszą się zgadzać). Płyta nie uruchomi się jednak na bardzo starym sprzęcie. Uruchamianie SFC 1. Zastartuj do środowiska WinRE według powyższych wytycznych i wybierz opcję Wiersz polecenia (Command Prompt): Windows 10, Windows 8/8.1: Windows 7, Vista: 2. Sprawdź mapowanie dysków, konieczne do prawidłowego zdefiniowania liter partycji z plikami startowymi i z zainstalowanym Windows w poleceniu SFC. Najprostszy sposób to posłużenie się trikiem z Notatnikiem. W linii komend wpisz notepad i ENTER. W Notatniku z menu File / Plik wybierz Open / Otwórz i w oknie eksploratora po lewej kliknij w pozycję Komputer. Zostanie otworzony widok z listą wszystkich dysków twardych i wymiennych aktualnie dostępnych pod WinRE. W przykładzie: Zastrzeżone przez system (C:) - Partycja z plikami startowymi Windows. Litera C do zastosowania z przełącznikiem /OFFBOOTDIR. Dysk lokalny (D:) - Partycja z zainstalowanym Windows. Litera D do zastosowania z przełącznikami /OFFWINDIR i /SCANFILE oraz w komendzie DISM. Boot (X:) - Podmontowane wirtualnie WinRE. Do zignorowania. Wielu użytkowników sugeruje się słowem "Boot", przypisując mu znaczenie partycji z plikami startowymi naprawianego Windows. W przypadku gdy partycja z plikami startowymi i systemem jest wspólna, ta sama litera do zastosowania z /OFFBOOTDIR i /OFFWINDIR. 3. W linii komend wpisz wybrane polecenie podstawiając w kolorowe miejsca litery dysków pasujące do Twojego układu i ENTER. W przykładzie są to litery C i D. W przypadku kompleksowej naprawy: sfc /scannow /offbootdir=C:\ /offwindir=D:\windows W przypadku naprawy pojedynczego pliku: sfc /scanfile=D:\Windows\explorer.exe /offbootdir=C:\ /offwindir=D:\windows Czekaj cierpliwie na ukończenie skanu. SFC w tym trybie zwraca taki sam zestaw komunikatów jak spod Windows. Przeglądanie raportu CBS W tym scenariuszu wyniki skanu nie są dostępne, akcje nie są nagrywane do raportu CBS.log na dysku twardym. Użytkownicy na forum, wykonujący naprawę na własną rękę, sugerują się fragmentem komunikatu SFC opowiadającym o takiej możliwości i kopiują ten plik do analizy. To nie jest odpowiedni raport, wykaz z naprawy nie jest dostępny. Na systemach Windows 7 i Vista SFC zwraca mylący komunikat. W nowszych systemach dodano zdanie precyzujące, że logowanie nie jest obsługiwane: Details are included in the CBS.Log windir\Logs\CBS\CBS.log. For example C:\Windows\Logs\CBS\CBS.log. Note that logging is currently not supported in offline servicing scenarios. Problemy z wykonaniem polecenia Typowo błędy "Windows Resource Protection could not start the repair service" lub "Windows Resource Protection could not perform the requested operation" są zwracane w przypadku błędów składni polecenia, np. użyto gołe "sfc /scannow" bez parametrów /OFFBOOTDIR i /OFFWINDIR, zastosowano błędne litery dysków, etc. There is a system repair pending which requires reboot to complete. Restart Windows and run sfc again. Istnieje oczekująca naprawa systemu, której ukończenie wymaga ponownego rozruchu. Ponownie uruchom system Windows i ponownie uruchom program sfc. Uruchom w linii poleceń poniższą komendę, w kolorowe miejsce podstawiając literę partycji z zainstalowanym Windows pozyskaną w/w trikiem z Notatnikiem, i ENTER. W przykładzie jest to D. DISM /Image:D: /Cleanup-Image /RevertPendingActions DISM zawiadomi o wykonaniu operacji i planowanym wdrożeniu zmian przy kolejnym restarcie systemu: X:\Sources>DISM /Image:D: /Cleanup-Image /RevertPendingActions Deployment Image Servicing and Management tool Version: 6.3.9600.16384 Image Version: 6.3.9600.16384 The scratch directory size might be insufficient to perform this operation. This can cause unexpected behavior. Use the /ScratchDir option to point to a folder with sufficient scratch space. The recommended size is at least 1024 MB. Reverting pending actions from the image... The operation completed. Revert of pending actions will be attempted after the reboot. The operation completed successfully. X:\Sources> X:\Sources>DISM /Image:D: /Cleanup-Image /RevertPendingActions Wersja narzędzia do obsługi obrazu wdrażania i zarządzania nim: 6.1.7601.17514 Wersja obrazu: 6.1.7600.16385 Rozmiar katalogu zapasowego może być zbyt mały, aby wykonać operację. Może to spowodować nieoczekiwane zachowanie. Użyj opcji /ScratchDir, aby wskazać folder zawierający wystarczającą ilość miejsca na pliki tymczasowe. Zalecany rozmiar to co najmniej 1024 MB. Trwa wycofywanie oczekujących akcji z obrazu... Operacja została wykonana. Wszelkie próby przywrócenia oczekujących akcji zostaną wykonane po ponownym rozruchu. Operacja ukończona pomyślnie. X:\Sources> Zresetuj system. Powinien się pojawić komunikat typu "Odwracanie zmian". Ponów skan SFC spod Windows, a jeśli Windows nie jest dostępny z poziomu WinRE.

Uruchamianie SFC spod Windows Skan w trybie tylko do odczytu Komenda sprawdzania wszystkich plików objętych ochroną: sfc /verifyonly Komenda sprawdzania pojedynczego pliku, w kolorowe miejsce oczywiście należy podstawić pasującą do własnego przypadku ścieżkę dostępu: sfc /verifyfile=C:\Windows\explorer.exe Skan w trybie naprawy Komenda kompleksowej naprawy wszystkich plików objętych ochroną: sfc /scannow Komenda naprawy pojedynczego pliku, w kolorowe miejsce oczywiście należy podstawić pasującą do własnego przypadku ścieżkę dostępu: sfc /scanfile=C:\Windows\explorer.exe 1. Uruchom linię poleceń jako Administrator: Windows 10 i Windows 8/81: z klawiatury + X > z menu wybierz pozycję Wiersz polecenia (administrator) Windows 7 i Vista: Start > w polu szukania wpisz cmd > z prawokliku na wynik Uruchom jako administrator 2. Wpisz wybrane polecenie naprawcze i ENTER. Rozpocznie się skanowanie i naprawa, należy czekać cierpliwie dopóki ten proces nie zostanie ukończony (status 100%). C:\WINDOWS\system32>sfc /scannow Beginning system scan. This process will take some time. Beginning verification phase of system scan. Verification 20% complete. Rozpoczynanie skanowania systemu. Ten proces zajmie trochę czasu. Rozpoczynanie fazy weryfikacji w skanowaniu systemu. Weryfikowanie ukończone w 20%. Wyniki: Windows Resource Protection did not find any integrity violations. Funkcja Ochrona zasobów systemu Windows nie znalazła naruszeń integralności. Akcja: Narzędzie nie wykryło uszkodzonych lub brakujących plików i tu kończy się jego rola. Windows Resource Protection found corrupt files and successfully repaired them. Details are included in the CBS.Log windir\Logs\CBS\CBS.log. For example C:\Windows\Logs\CBS\CBS.log. Note that logging is currently not supported in offline servicing scenarios. Funkcja Ochrona zasobów systemu Windows odnalazła uszkodzone pliki i naprawiła je pomyślnie. Szczegóły znajdują się w pliku CBS.Log windir\Logs\CBS\CBS.log. Na przykład C:\Windows\Logs\CBS\CBS.log. Akcja: Należy przeglądnąć raport CBS.log, w celu sprawdzenia jakie pliki zostały naprawione. Funkcja Ochrona zasobów systemu Windows odnalazła uszkodzone pliki, ale nie może naprawić niektórych z tych plików. Szczegóły znajdują się w pliku CBS.Log windir\Logs\CBS\CBS.log. Na przykład C:\Windows\Logs\CBS\CBS.log. Akcja: Należy przeglądnąć raport CBS.log w celu zweryfikowania które pliki stanowią problem oraz czy na pewno jest to problem. Użytkownik początkujący może skorzystać z opisanego dalej narzędzia SFCFix, które może obejść niektóre ograniczenia SFC i mimo wszystko naprawić usterkę. W przypadku gdy zawiedzie, wymagana ręczna podmiana plików. Analiza CBS.log i dobór plików do zamiany to zadanie dla eksperta. Proszę nie próbować: - Szukać i pobierać plików do zamiany na Google. Nazwa pliku i jego wersja podstawowa to za mało danych. Jest wymagana identyczna wersja komponentu o określonej sumie kontrolnej. - Używać cudacznych programów wątpliwej reputacji typu DLLFixer. Można zaszkodzić sobie i pogłębić usterkę. Przeglądanie raportu CBS Narzędzie SFC nagrywa swoje operacje do zbiorczego pliku C:\Windows\Logs\CBS\CBS.log. Plik ten gromadzi rozmaite akcje, nie tylko aktywność SFC, dlatego jest wymagane przefiltrowanie danych. Wejścia związane z naprawami SFC są otagowane znacznikiem [sR]. Automatyczne fitrowanie wyników i tworzenie końcowego raportu tekstowego: 1. Uruchom linię poleceń jako Administrator: Windows 10 i Windows 8/81: z klawiatury + X > z menu wybierz pozycję Wiersz polecenia (administrator) Windows 7 i Vista: Start > w polu szukania wpisz cmd > z prawokliku na wynik Uruchom jako administrator 2. Wpisz poniższe polecenie i ENTER: findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfc.txt" 3. Na Pulpicie zostanie utworzony raport sfc.txt. Przedstaw go na forum korzystając z funkcji Załączniki. SFC uruchomione w trybie bez naprawy (/VERIFYFILE i /VERIFYONLY) ma mylące adnotacje "Repairing corrupted file", pomimo że nie odbyła się żadna naprawa. Problemy z wykonaniem polecenia Windows Resource Protection could not start the repair service. Funkcja Ochrona zasobów systemu Windows nie może uruchomić usługi naprawczej. Problemem jest niedziałanie kluczowej usługi Instalator modułów systemu Windows / Windows Modules Installer. Defekt usługi może występować na wielu poziomach: usługa jest wyłączona, usługa została usunięta z rejestru, brakuje powiązanych plików na dysku (lub ... są uszkodzone), występują poważne naruszenia komponentów. Wstępnie należy sprawdzić pierwszy wariant, tzn. wejść do przystawki services.msc i upewnić się, że Typ uruchomienia jest ustawiony na Ręczny: Jeśli w/w ustawienie jest poprawne lub nie można znaleźć tej usługi, diagnostyka problemu i naprawa może wymagać bardziej zaawansowanych czynności. Proszę się zgłosić na forum w celu otrzymania pomocy. Wymieniony błąd można obejść uruchamiając SFC spod WinRE (opis w następnym poście), gdyż w tym środowisku "usługa naprawcza" działa na innym poziomie. Niemniej i tak mogą być wymagane kolejne ręczne naprawy spod Windows. Windows Resource Protection could not perform the requested operation. Funkcja Ochrona zasobów systemu Windows nie może wykonać żądanej operacji. Ten błąd jest charakterystyczny dla uszkodzeń struktury plików i złych bloków dysku, choć nie są wykluczone inne scenariusze. Może pomóc uruchomienie systemu w Trybie awaryjnym i ponowienie komendy, a gdy to nie zadziała wywołanie komendy chkdsk /f /r sprawdzającej dysk pod kątem błędów i ponowienie akcji sfc. W przypadku braku rezultatów należy obejrzeć CBS.log i wyszukać problematyczne miejsce, by ewentualnie podjąć się ręcznej podmiany potencjalnie uszkodzonych komponentów. Analiza problemu wymaga pomocy eksperta. There is a system repair pending which requires reboot to complete. Restart Windows and run sfc again. Istnieje oczekująca naprawa systemu, której ukończenie wymaga ponownego rozruchu. Ponownie uruchom system Windows i ponownie uruchom program sfc. Należy dostosować się do komunikatu i zresetować system. W przypadku gdy powiadomienie to nie znika, pomimo wykonania restartu systemu, uruchom SFC spod WinRE (opis w następnym poście) i wywołaj polecenie DISM z przełącznikiem /RevertPendingActions. Polecenie to nie jest obsługiwane z poziomu uruchomionego systemu. Nie dotyczy systemu Vista. Narzędzie DISM jest zintegrowane w Windows 7 i nowszych, nie obsługuje serwisowania systemów Vista w tym kontekście.

SFC (System File Checker) Windows Vista do Windows 10 Uruchamianie SFC spod Windows Uruchamianie SFC z poziomu WinRE SFCFix - Automatyzacja napraw Aneks - Artykuły Microsoftu Ochrona zasobów systemu Windows / Windows Resource Protection (WRP) - Technologia zastępująca archaiczny mechanizm Windows File Protection (WFP) obecny w XP, która ogranicza dostęp do określonych ważkich systemowych plików, folderów i kluczy rejestru poprzez redukcję uprawnień dla Administratorów. Te zasoby mogą być modyfikowane jedynie przez usługę Instalator modułów systemu Windows / Windows Modules Installer (TrustedInstaller.exe). Systemy Vista i nowsze nie posługują się już katalogiem dllcache, zamiennie utylizując %Windir%\winsxs\Backup dla krytycznych plików systemowych. W przeciwieństwie do XP rozmiar tego cache oraz lista plików objętych ochroną są niemodyfikowalne. Mechanizm ten, choć unowocześniony i pracujący w oparciu o inną metodę, udostępnia narzędzie o tej samej nazwie SFC (System File Checker), które oczywiście działa w inny sposób i jest wzbogacone o nowe przełączniki. SFC umożliwia skan integralności wszystkich (lub wybranych) chronionych plików systemowych i ewentualne zastąpienie niepoprawnych / uszkodzonych plików wersjami firmy Microsoft. C:\WINDOWS\system32>sfc /? Microsoft (R) Windows (R) Resource Checker Version 6.0 Copyright (C) Microsoft Corporation. All rights reserved. Scans the integrity of all protected system files and replaces incorrect versions with correct Microsoft versions. SFC [/SCANNOW] [/VERIFYONLY] [/SCANFILE=<file>] [/VERIFYFILE=<file>] [/OFFWINDIR=<offline windows directory> /OFFBOOTDIR=<offline boot directory> [/OFFLOGFILE=<log file path>]] /SCANNOW Scans integrity of all protected system files and repairs files with problems when possible. /VERIFYONLY Scans integrity of all protected system files. No repair operation is performed. /SCANFILE Scans integrity of the referenced file, repairs file if problems are identified. Specify full path <file> /VERIFYFILE Verifies the integrity of the file with full path <file>. No repair operation is performed. /OFFBOOTDIR For offline repair, specify the location of the offline boot directory /OFFWINDIR For offline repair, specify the location of the offline windows directory /OFFLOGFILE For offline repair, optionally enable logging by specifying a log file path e.g. sfc /SCANNOW sfc /VERIFYFILE=c:\windows\system32\kernel32.dll sfc /SCANFILE=d:\windows\system32\kernel32.dll /OFFBOOTDIR=d:\ /OFFWINDIR=d:\windows sfc /SCANFILE=d:\windows\system32\kernel32.dll /OFFBOOTDIR=d:\ /OFFWINDIR=d:\windows /OFFLOGFILE=c:\log.txt sfc /VERIFYONLY C:\WINDOWS\system32> [Natywnie polskie systemy: Na Windows 10 i Windows 8/8.1 SFC nie jest spolszczone, w odróżnieniu od Windows 7 i Vista.] Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

Tak, jeśli się choć raz logowałeś gdzieś wpisując hasło.

Zadanie pomyślnie wykonane. Na zakończenie: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\FRST oraz pobrany FRST i jego logi. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. W związku z nieznaną naturą cracka, sugeruję na wszelki wypadek pozmieniać hasła logowania w ważnych serwisach online, o ile w ogóle były używane podczas aktywności malware. Myślę, że problem infekcji jest rozwiązany, ale na wszelki wypadek zostawię temat otwarty do czasu potwierdzenia, iż "wlanconnect" nie wraca.

Ostatnia porcja zadań usuwających. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\Users\podpa\Downloads\FRST-OlderVersion CMD: del /q C:\Users\podpa\Downloads\73b1gibi.exe CMD: del /q C:\Users\podpa\Downloads\iwcy9thl.exe CMD: del /q C:\Users\podpa\Downloads\et0yfpd0.exe CMD: del /q C:\Users\podpa\Downloads\gm.zip CMD: del /q C:\Users\podpa\Downloads\KVRT.exe CMD: del /q C:\Users\podpa\Downloads\SPTD2inst-v204-x64.exe CMD: del /q C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Zaprezentuj wynikowy fixlog.txt.

Fixlog muszę zobaczyć. Skoro za duży na załącznik, to spróbuj użyć wklej.org. Jeśli nawet tam nie wejdzie, to do zip i shostuj gdzieś. EDIT: Plik dodałeś. Proszę już mi odpowiadaj w nowym poście. Fixlog jest duży, bo wydrukowałam w nim zawartość skryptu wlanconnect.vbs. Jego zawartość nie jest dla mnie czytelna. Są w nim masowe odwołania funkcyjne do konwersji znaków Unicode (a sprawdzając kody ChrW w tabeli Unicode wychodzą jakieś chińskie krzaki). Ten skrypt prawdopodobnie ma w zamiarze coś wysyłać w eter, jeśli weźmiemy dosłownie słowa "logssender". W każdym razie, wszystko zostało usunięte. Ale dodaj mi jeszcze nowy skan FRST Addition, gdyż na dysku powstało podejrzane (a uprzednio w ogóle nieobecne) zadanie Harmonogramu CreateExplorerShellUnelevatedTask.job.

Folder jest prawdopodobnie zablokowany przez szkodliwe procesy. Poprzednio podane linie to nie był skrypt do FRST, nie miałeś tego przetwarzać za pomocą FRST... Skrypty są podane w sposób, który jasno mówi że to skrypty. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: type C:\Users\podpa\AppData\Roaming\wlanconnect.vbs Startup: C:\Users\podpa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk [2015-10-11] ShortcutTarget: wlanconnect.lnk -> C:\Users\podpa\AppData\Roaming\wlanconnect.vbs () RemoveDirectory: C:\Users\podpa\Documents\Universe Sandbox ² EmptyTemp: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. EDIT: Proszę nie podmieniaj plików w poprzednim poście! Przywróciłam. Nowe dane = nowy post. Napisz nowy post i doczep ponownie pliki.

vs. Czyli masz scrackowaną grę, w przeciwnym wypadku nie wiem do jakiej aplikacji pijesz. I to wygląda na źródło infekcji - użytkownik w innym temacie też sugerował lewy torrent. Poproszę o link do tego torrenta podany oględnie (czyli na PW). Rzecz jasna trzeba będzie się tego definitywnie pozbyć i nie próbować tego znikąd już pobierać. W raportach FRST widzę poniższe elementy, czy to jedyne miejsce przetrzymywania? 2015-10-10 07:40 - 2015-10-10 07:40 - 00000000 ____D C:\Users\podpa\Documents\Universe Sandbox ² 2015-10-09 22:28 - 2015-10-09 22:28 - 00000000 ____D C:\Users\podpa\Desktop\Universe.Sandbox.2.Alpha.15.2 Oczywiście musisz zrobić nowy log FRST (bez Addition i Shortcut) pokazujący jakie zmiany nastąpiły.

Wiem do czego ma służyć plik. Pytam skąd był pobierany - pokaż dokładny link. Jakie aplikacje uruchamiałeś w tym zakresie czasowym?

PodpalaczTv, w sekcji "Pokaż przycisk strony startowej" proszę kliknij w Zmień i wymaż stamtąd adres mystartsearch.com. Masz owszem ustawione na "Nową kartę", ale to w tym drugim oknie zobaczysz, że jest więcej zapisane i jest tam adres zarchiwizowany. Twój spis aplikacji zainstalowanych znany już od pierwszego raportu FRST - w Addition widać wszystko z obrazka. Nie do końca o to nam tu chodziło. Był tu pobierany conajmniej jeden plik, który wg szukania na Google jest linkowany na serwisach hostingowych, więc zero gwarancji że jest to czysta sprawa: 2015-10-09 22:39 - 2015-01-03 14:31 - 01166142 _____ () C:\Users\podpa\Desktop\Shiginima Launcher SE v1.602.exe Skąd ten plik był pobierany, czy był uruchamiany? Czy coś podobnego było jeszcze pobierane? Przywracałeś ustawienia systemu, infekcja była conajmniej raz pomyślnie usunięta i samoistnie wróciła, co sugeruje że jest w systemie jakiś obiekt (prawdopodobnie nieświadomie uruchamiany przez Ciebie ręcznie), który to ładuje. Najbardziej podejrzane "pomoce do gier".

Nadal brak pliku FRST Shortcut. Co do GMER i błędu "Brak dysku", nie widać okna GMER i co na pasku postępu było w tym momencie skanowane. Ale ogólnie nie ma się czym przejmować, ten błąd to wynik nieistniejącej ścieżce w rejestrze, np. w kluczu MountPoints2 (to i tak będę czyścić), Setup lub innym. Podobne tematy: KLIK / KLIK. Ten system jest zainfekowany adware - w tle działa aktywna usługa, poza tym liczne odpadki po niekompletnym usuwaniu śmieci. Do przeprowadzenia będą następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Documents and Settings\PRZOD1\Dane aplikacji\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com) S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] S3 USBPNPA; system32\drivers\CM108.sys [X] HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-homes.com/?type=hp&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056&q={searchTerms} HKU\S-1-5-21-1708537768-1425521274-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1708537768-1425521274-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056&q={searchTerms} SearchScopes: HKU\S-1-5-21-1708537768-1425521274-1801674531-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1440235272&z=dc04bf7d238245b586b2a04gczfz4eao4cbw6geqae&from=cor&uid=ADATAXSP800_02C19134500200001056 FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Documents and Settings\PRZOD1\Dane aplikacji\Mozilla\Firefox\Profiles\kwlm5fyb.default\extensions\defsearchp@gmail.com FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\PRZOD1\Dane aplikacji\Mozilla\Firefox\Profiles\kwlm5fyb.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Documents and Settings\PRZOD1\Dane aplikacji\Mozilla\Firefox\Profiles\kwlm5fyb.default\extensions\default_newtabff@gmail.com FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - C:\Program Files\Adobe\Acrobat 11.0\Acrobat\Browser\WCChromeExtn\WCChromeExtn.crx [2014-05-08] C:\Documents and Settings\All Users\Dane aplikacji\3WinManPro3 C:\Documents and Settings\All Users\Dane aplikacji\UWinManProU C:\Documents and Settings\All Users\Dane aplikacji\update C:\Documents and Settings\PRZOD1\UserData C:\Documents and Settings\PRZOD1\Dane aplikacji\eCyber C:\Documents and Settings\PRZOD1\Dane aplikacji\Picexa Viewer C:\Documents and Settings\PRZOD1\Dane aplikacji\TSv C:\Program Files\MiniLite C:\Program Files\Picexa C:\Program Files\SFK C:\WINDOWS\pss\MyPC Backup.lnkStartup C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^PRZOD1^Menu Start^Programy^Autostart^MyPC Backup.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\390ebfb990ddcb4d3008f50886260f65" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: type C:\windows\system32\pl.html DisableService: Mobile Partner. RunOuc EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia AntiGameOrigin i Adblock Plus trzeba będzie ponownie zainstalować. Menu Historia > Wyczyść historię przeglądania 3. Uruchom AdwCleaner. Wybierz tylko opcję Skanuj (nie używaj jeszcze Usuń). Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), dostarcz brakujący Shortcut. Dołącz też plik fixlog.txt oraz log AdwCleaner.