picasso

Teraz możemy zająć się innymi sprawami. FRST zgłasza niemożność pobrania danych Przywracania systemu ze względu na dysfunkcję WMI: ==================== Restore Points ========================= Could not list restore points Check "winmgmt" service or repair WMI. Wstępne działania: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Instrumentacja zarządzania Windows" "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,00,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 "Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Enum] "0"="Root\\LEGACY_WINMGMT\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Z dwukliku uruchom plik i potwierdź import do rejestru. 2. Otwórz Notatnik i wklej w nim: CMD: sc stop winmgmt C:\Windows\system32\wbem\Repository Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST, ale tylko jeden. tzn. Addition. Dostarcz też fixlog.txt.

Pomyliłam się w jednej linii (za późno zedytowałam). Jeszcze mini poprawka: Reg: reg delete "HKU\S-1-5-21-329068152-117609710-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached" /v "{0B35E520-7E16-4FCE-8543-A65972F817AA} {98467961-4F27-4A1F-9629-22B06D0B5CCB} 0x401" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Skan ujawnił jeszcze powiązane z infekcją odpadki w rejestrze. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Classes\Drive\shellex\FolderExtensions\{0B35E520-7E16-4FCE-8543-A65972F817AA} /f Reg: reg delete HKU\S-1-5-21-329068152-117609710-1801674531-1004_Classes\Drive\ShellEx\FolderExtensions\{0B35E520-7E16-4FCE-8543-A65972F817AA} /f Reg: reg delete "HKU\S-1-5-21-329068152-117609710-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached" /v "{0B35E520-7E16-4FCE-8543-A65972F817AA} {98467961-4F27-4A1F-9629-22B06D0B5CCB} 0x401" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Infekcje pomyślnie usunięte, z wyjątkiem skutków na pendrive. Fix FRST nie znalazł dysku "H" podczas przetwarzania, prawdopodobnie z powodu pracy w Trybie awaryjnym. Kolejne poprawki: 1. Nie odinstalowałeś adware Search App by Ask. To nadal do wykonania. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2431670907-3491424385-537474094-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1436878630&z=e4e2de05a7cf759d75d5928g3z6c1q8bam5b4qfg5o&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} HKU\S-1-5-21-2431670907-3491424385-537474094-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1436878630&z=e4e2de05a7cf759d75d5928g3z6c1q8bam5b4qfg5o&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} RemoveDirectory: C:\autorun.inf H:\pendrive (16GB).lnk CMD: attrib /d /s -s -h H:\* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. Przedstaw go. 3. Jeśli powyższa akcja się wykona, na pendrive zostanie uwidoczniony folder "bez nazwy", w którym infekcja schowała dane. Wejdź do niego, swoje dane przenieś poziom wyżej, a następnie folder przez SHIFT+DEL skasuj. Po akcji zrób nowy log USBFix z opcji Listing. 4. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nic jeszcze nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Nareszcie akcja wykonana. Wpis infekcji usunięty. Jeszcze na wszelki wypadek zrób dodatkowe szukanie w rejestrze: Uruchom FRST, w polu Search wklej: {0B35E520-7E16-4FCE-8543-A65972F817AA};{ECEFC883-CB1D-4EA1-819B-7A12A9D4E645} Klik w Search Registry i dostarcz wynikowy log Search.txt.

Brakuje pliku fixlog.txt z wynikami usuwania. Dostarcz ten plik.

Adware było usuwane, jeszcze dla pewności uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Usuwanie tej infekcji jest proste i już dawno powinno zostać wdrożone, a idzie nam jak z kamienia. Niestety operacja nie została wykonana. Proszę otwórz plik Fixlog i porównaj z zawartością w moim poście. Plik Fixlist został źle zapisany w Notatniku - zostały sklejone wszystkie linie podczas przeklejania do Notatnika, co powoduje że FRST nie interpretuje ich. Skrypt musi wyglądać identycznie jak w moim poście - tzn. muszą być przejścia do nowej linii. Prawdopodobnie to przeglądarka Internet Explorer powoduje, że do Notatnika jest wstawiany zniekształcony zestaw. Powtarzaj zadanie. Jeśli linie się sklejają, kopiuj do Notatnika po jednej, aż przekleisz wszystko.

Brakuje pliku fixlog.txt z wynikami usuwania FRST. Pliku nie ma, bo wygląda na to, że w ogóle nie wykonałeś zadania poprawnie. Żadnych zmian. Jaki był problem? Na dysku owszem widzę, że plik fixlist utworzyłeś, tylko Fix FRST nie został nawet zaincjowany (wtedy Fixlist znika z pierwotnej lokalizacji i jest przenoszony do archiwum): 2015-07-15 17:13 - 2015-07-08 16:06 - 01636352 _____ (Farbar) C:\Documents and Settings\ASD\Pulpit\FRST.exe 2015-07-15 16:50 - 2015-07-15 16:50 - 00001906 _____ C:\Documents and Settings\ASD\Pulpit\fixlist.txt Powtarzaj zadanie. Końcowe logi do dostarczenia to nowy FRST (z Addition) oraz fixlog.txt. Reszta logów ponownie już niepotrzebna.

krych Standardowa sprawa na systemach Windows. To historia uruchamianych programów w obszarze powiadomień, pozostaje mimo usunięcia programów z dysku. Jest przechowywana w rejestrze, ale wyszukiwanie w rejestrze wg nazwy nic nie znalazło, bo wartości są zakodowane. Czyści się to w następujący sposób: Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > wejdź do kluicza: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify Skasuj wartości IconStreams + PastIconsStream. By uwidocznić zmiany, należy przeładować powłokę, np. przez ręczne zabicie explorer.exe. jessika W spoilerze komentarze:

W systemie dwie infekcje oraz dużo adware. Adware nabyłeś poprzez "Asystenta pobierania" dobrychprogramów: KLIK. Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware/PUP: istartsurf uninstall, FileViewPro, Search App by Ask, WordAnchor 1.10.0.20. - Stare wersje: Adobe AIR, Adobe Flash Player 10 Plugin, Adobe Reader 8.1.1, Driver Cleaner 3, Java 8 Update 40. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [125112 2015-06-24] (XTab system) R2 VSSS; C:\Users\Lenovo\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [99147904 2015-06-23] (Microsoft Corporation) [File not signed] S3 SWDUMon; C:\Windows\system32\DRIVERS\SWDUMon.sys [16056 2015-07-09] (SlimWare Utilities, Inc.) R1 wafd_vw_1_10_0_20; C:\Windows\System32\drivers\wafd_vw_1_10_0_20.sys [57728 2015-07-06] (WA) R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] HKU\S-1-5-21-2431670907-3491424385-537474094-1001\...\CurrentVersion\Windows: [Load] C:\ProgramData\msnbr.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 Task: {059C5B36-6F18-4FF0-AFA2-19C0028EB7F1} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe Task: {5F41E279-F71D-4B36-890D-68513E876D9F} - System32\Tasks\UpdateTask => C:\Users\Lenovo\AppData\Local\Chromium\APPLIC~1\450244~1.0\INSTAL~1\UNINST~1.EXE Task: {C74D064E-5113-42EE-A932-90C51D0DDA2D} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe Task: {C9871C15-CAA9-4E61-BDBB-49498D67BE70} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} HKU\S-1-5-21-2431670907-3491424385-537474094-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH HKU\S-1-5-21-2431670907-3491424385-537474094-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} SearchScopes: HKLM -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} SearchScopes: HKU\S-1-5-21-2431670907-3491424385-537474094-1001 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&ts=1436878654&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2431670907-3491424385-537474094-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&ts=1436878654&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2431670907-3491424385-537474094-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&ts=1436878654&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2431670907-3491424385-537474094-1001 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&ts=1436878654&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2431670907-3491424385-537474094-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&ts=1436878654&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2431670907-3491424385-537474094-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&ts=1436878654&type=default&q={searchTerms} BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\MiuiTab\SupTab.dll [2015-06-24] (Thinknice Co. Limited) CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2015-05-26] CHR HKLM-x32\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2015-05-26] C:\Program Files\*.exe C:\Program Files (x86)\AVG C:\Program Files (x86)\MiuiTab C:\Program Files (x86)\Opera C:\Program Files (x86)\WordAnchor_1.10.0.20 C:\ProgramData\msnbr.exe C:\ProgramData\IHProtectUpDate C:\ProgramData\AVG C:\ProgramData\Temp C:\Users\Lenovo\AppData\Local\Avg C:\Users\Lenovo\AppData\Local\Chromium C:\Users\Lenovo\AppData\Local\Opera Software C:\Users\Lenovo\AppData\Roaming\AVG C:\Users\Lenovo\AppData\Roaming\istartsurf C:\Users\Lenovo\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\Users\Lenovo\AppData\Roaming\OpenCandy C:\Users\Lenovo\AppData\Roaming\Opera Software C:\Users\Lenovo\AppData\Roaming\Shortcut C:\Windows\system32\Drivers\wafd_vt_1_10_0_20.sys C:\Windows\system32\Drivers\wafd_vw_1_10_0_20.sys C:\Windows\system32\Drivers\SWDUMon.sys C:\WINDOWS\SysWOW64\sqlite3.dll H:\pendrive (16GB).lnk CMD: attrib /d /s -s -h H:\* Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Reader Speed Launcher" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Ask Search (w logu widziane jako "no name"), o ile nadal będzie widoczny po w/w deinstalacji globalnej. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie pole Addition) + Farbar Service Scanner + USBFix z opcji Listing. Dołącz też plik fixlog.txt.

Fix wykonany, więc standardowe koki na koniec z DelFix i czyszczeniem folderów Przywracania: KLIK. Podejrzany program antywirusowy. Wiele AV nie potrafi dobrze sformułować detekcji i klasyfikuje FRST jako "trojana" zapobiegając jego pobraniu lub natychmiast usuwając z dysku po pobraniu. Rozumiem, że w IE wyłączyłeś akcelerację sprzętową? Firefoxa wcześniej w systemie nie było, ale dla tej przeglądarki podobny trop z akceleracją: Opcje > Zaawansowane > Ogólne > Korzystaj z akceleracji sprzętowej, jeśli dostępna.

Po skanie MBAM nie ma pożądanych zmian. Malware nadal widoczne w Addition. Moje instrukcje nadal aktualne.

Skan nie wykazuje naruszeń globalnych. Ale jeszcze usuń szczątki po nieistniejących już przeglądarkach: Otwórz Notatnik i wklej w nim: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Chromium /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\Chromium.3WKGBBX5GLKWDXRQUZNUXR74H4 /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\Opera /f Reg: reg delete HKLM\SOFTWARE\Classes\.htm\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.htm\OpenWithProgIDs /v ChromiumHTM.3WKGBBX5GLKWDXRQUZNUXR74H4 /f Reg: reg delete HKLM\SOFTWARE\Classes\.html\OpenWithProgIDs /v Opera.HTM /f Reg: reg delete HKLM\SOFTWARE\Classes\.html\OpenWithProgIDs /v ChromiumHTM.3WKGBBX5GLKWDXRQUZNUXR74H4 /f Reg: reg delete HKLM\SOFTWARE\Classes\.shtml\OpenWithProgids /v ChromiumHTM.3WKGBBX5GLKWDXRQUZNUXR74H4 /f Reg: reg delete HKLM\SOFTWARE\Classes\.xht\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.xht\OpenWithProgIDs /v ChromiumHTM.3WKGBBX5GLKWDXRQUZNUXR74H4 /f Reg: reg delete HKLM\SOFTWARE\Classes\.xhtml\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.xhtml\OpenWithProgIDs /v ChromiumHTM.3WKGBBX5GLKWDXRQUZNUXR74H4 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wygląda na to, że wszystko wykonane. Na zakończenie: 1. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. 2. Sugeruję też na wszelki wypadek zmienić hasła logowania w serwisach internetowych.

Logi nic tu nie wnoszą do sprawy, choć jest nowy element, tzn wadliwe serwisy Malwarebytes Anti-Malware. Opisywane przez Ciebie błędy nawet nie wiadomo czy z powodu infekcji. Na razie sugeruję: 1. Odinstaluj wadliwy Malwarebytes Anti-Malware. 2. Przeprowadź sprawdzanie dysku pod kątem błędów. Start > w polu szukania wpisz cmd > w oknie wklej komendę i ENTER: chkdsk /f /r Zatwierdź uruchomienie przy następnym starcie i resetuj system, by checkdisk wykonał pracę. Wynik zostanie nagrany w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki. 3. Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy dostarcz plik C:\Windows\Logs\CBS\Checksur.log (po zmianie rozszerzenia z *.log na *.txt).

Jeszcze poprawki (uwzględniam to co wykrył AdwCleaner). Otwórz Notatnik i wklej w nim: Reg: reg delete HKCU\Software\AppDataLow\Software\PriceGong /f Reg: reg delete HKCU\Software\AppDataLow\Software\Tbccint /f Reg: reg delete "HKCU\Software\Avg Secure Update" /f Reg: reg delete HKCU\Software\PRODUCTSETUP /f Reg: reg delete HKCU\Software\Tbccint /f Reg: reg delete HKCU\Software\Tbccint_HKLM /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48} /f Reg: reg delete HKLM\SOFTWARE\Classes\Toolbar.CT3327997 /f Reg: reg delete "HKU\.DEFAULT\Software\Avg Secure Update" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\apn RemoveDirectory: C:\ProgramData\Tbccint RemoveDirectory: C:\Users\Artur\AppData\LocalLow\Tbccint Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. Sprawdź czy zmienia postać rzeczy rekonfiguracja akceleracji sprzętowej: KLIK. O co konkretnie chodzi? Komentując to co jest widoczne w Addition: Application errors: ================== Error: (07/11/2015 03:47:17 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (07/11/2015 03:45:53 PM) (Source: Software Protection Platform Service) (EventID: 12293) (User: ) Description: Publikowanie usługi zarządzania kluczami w systemie DNS w domenie „” nie powiodło się. Informacje: 0x80070057 Error: (07/11/2015 03:45:48 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: NvNetworkService.exe, wersja: 1.0.2.5, sygnatura czasowa: 0x52e70698 Nazwa modułu powodującego błąd: NvNetworkService.exe, wersja: 1.0.2.5, sygnatura czasowa: 0x52e70698 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000b057c Identyfikator procesu powodującego błąd: 0x8a0 Godzina uruchomienia aplikacji powodującej błąd: 0xNvNetworkService.exe0 Ścieżka aplikacji powodującej błąd: NvNetworkService.exe1 Ścieżka modułu powodującego błąd: NvNetworkService.exe2 Identyfikator raportu: NvNetworkService.exe3 System errors: ============= Error: (07/11/2015 03:50:44 PM) (Source: volsnap) (EventID: 36) (User: ) Description: Wykonywanie kopii w tle woluminu C: zostało przerwane, ponieważ nie można powiększyć magazynu kopii w tle z powodu limitu wprowadzonego przez użytkownika. Error: (07/11/2015 03:45:49 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa NVIDIA Network Service niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. - Błąd WMI (WinMgmt) numer 10 nie ma żadnego znaczenia. Jego likwidacja to jedynie "kosmetyka": KLIK. - Błąd "Software Protection Platform Service" - nie wiem. - Błędy Usługi NVIDIA Network Service (NvNetworkService.exe) - usługę możesz po prostu wyłączyć via services.msc. Alternatywnie, możesz rozważyć deinstalację aktualizatora NVIDIA GeForce Experience 1.8.2. - to nie jest kluczowy elewment zestawu nVidia, może tworzyć problemy. - "Wykonywanie kopii w tle woluminu" - ograniczony magazyn na punkty Przywracania systemu.

Temat przenoszę do działu Windows. Oznak infekcji brak. Nie za bardzo jest też czym się zajmować w rozumieniu "potężnych porządków". 1. Drobne odpadkowe / puste wpisy do usunięcia, czyli "kosmetyka": ----> Uruchom Menedżer urządzeń, w menu Widok włącz pokazywanie ukrytych urządzeń. Sprawdź czy są jakieś odpadki po Paragonie (możliwe nazwy: Universal Image Mounter, UIM Direct Device Image Plugin) oraz HostSpotShield (Anchorfree HSS VPN Adapter). Znalezione odinstaluj. ----> Panel sterowania > Połączenia sieciowe > z prawokliku na każde po kolei Właściwości > w karcie Ogólne sprawdź czy widnieje coś związanego z Anchorfree / HostspotShield. Znalezione odinstaluj. ----> Pozostałe szczątki: 2. Błędy z Dziennika: System errors: ============= Error: (07/14/2015 10:02:09 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (07/14/2015 10:02:09 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (07/14/2015 10:02:09 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (07/14/2015 10:02:09 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (07/14/2015 10:02:09 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Error: (07/14/2015 10:02:09 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Ten zestaw powinno rozwiązać skasowanie plików C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* załączone w Fixlist w spoilerze. Application errors: ================== Error: (07/14/2015 10:33:43 AM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Ten błąd nie ma żadnego znaczenia, ale można go dla "czystości dziennika" zlikwidować, posiłkując się instrukcjami z KB2545227. 3. Jest problem z wolnym miejscem na dysku - zbyt mało, postaraj się poszerzyć przestrzeń: ==================== Drives ================================ Drive c: () (Fixed) (Total:111.79 GB) (Free:4.99 GB) NTFS 4. Po wszystkim zrób nowy log FRST z opcji Scan - dla pozycji Services + Drivers odznacz pola Whitelist, ponadto zaznacz pole Addition. Dołącz też Fixlog.txt ze spoilera. Zacytuję swoją wypowiedź na podobne pytanie:

Jeśli usunięcie potężnego majdanu antywirusowego ma tak nikłe skutki, że sformułowanie to "jakby trochę", to z nowych raportów nic konkretnego nie wynika. 1. W Dzienniku zdarzeń jest bardzo dużo błędów TuneUp Utilities 2012 tego typu: Error: (06/22/2015 06:03:24 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: TuneUpUtilitiesService32.exe, wersja: 12.0.3600.84, sygnatura czasowa: 0x4fc4ec64 Nazwa modułu powodującego błąd: TuneUpUtilitiesService32.exe, wersja: 12.0.3600.84, sygnatura czasowa: 0x4fc4ec64 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0001f423 Identyfikator procesu powodującego błąd: 0xc78 Godzina uruchomienia aplikacji powodującej błąd: 0xTuneUpUtilitiesService32.exe0 Ścieżka aplikacji powodującej błąd: TuneUpUtilitiesService32.exe1 Ścieżka modułu powodującego błąd: TuneUpUtilitiesService32.exe2 Identyfikator raportu: TuneUpUtilitiesService32.exe3 Sugeruję więc całkowitą deinstalację i tej aplikacji. 2. Sprawdzić też jak Windows się zachowuje w stadium czystego rozruchu: KLIK.

tra Temat jedzie do działu Windows. Wprawdzie brak GMER (niemożliwe uruchomienie), ale póki co brak wskazań że chodzi tu o infekcję. A ten Fix FRST nie miał znaczenia - to była "kosmetyka" i nic poza tym. + No cóż, ten komputer ma mierne parametry sprzętowe - bardzo mało pamięci RAM: ==================== Memory info =========================== Processor: Intel® Celeron® M processor 1.40GHz Percentage of memory in use: 90% Total physical RAM: 503.37 MB Available physical RAM: 46.53 MB Total Pagefile: 1228.19 MB Available Pagefile: 669.7 MB Total Virtual: 2047.88 MB Available Virtual: 1933.42 MB Przy takich statystykach może być ciężko osiągnąć pożądany stan... Tu prędzej nasuwa się dołożenie kostki RAM (o ile jest sens inwestować w stary komputer oraz o ile jest to technicznie wykonalne). Niemniej mam pewne sugestie: 1. Sprawdź czy transfer dysku nie obniżył się z DMA do PIO. Instrukcje w sekcji Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Ten stan może powstać także bez ingerencji GMER. 2. W systemie bardzo stara wersja Avast - datowanie sterowników na rok 2012. Program mocno inwazyjny, wersja stara, mogą być kłopoty. Odinstaluj program via Dodaj/Usuń programy. Następnie wejdź w Tryb awaryjny Windows i zastosuj dodatkowo Avast Uninstall Utility. Na razie nie instaluj żadnego antywirusa. 3. Wyłącz zbędne wpisy ze staru. Uruchom Autoruns i wykonaj następujące akcje: ----> w karcie Logon odznacz poniższe wpisy: HKLM\...\Run: [sunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation) HKLM\...\Run: [EaseUS EPM tray] => C:\Program Files\EaseUS\EaseUS Partition Master 9.2.2\bin\EpmNews.exe HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [998088 2015-06-12] (Adobe Systems Incorporated) HKLM\...\Run: [MMTray] => "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe" HKLM\...\Run: [TkBellExe] => C:\Program Files\Real\RealPlayer\update\realsched.exe [296096 2012-11-28] (RealNetworks, Inc.) HKU\S-1-5-21-2154615204-4275496255-3731553294-1006\...\Run: [MSMSGS] => C:\Program Files\Messenger\msmsgs.exe [1695232 2008-04-14] (Microsoft Corporation) (EaseUS EPM tray + MMTray to puyste szczątki i te zamiast wyłączać po prostu skasuj) ----> w karcie Scheduled Tasks odfajkuj zadania: Task: C:\WINDOWS\Tasks\Adobe Flash Player Updater.job => C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\Microsoft Windows XP End of Service Notification Logon.job => C:\WINDOWS\system32\xp_eos.exe Task: C:\WINDOWS\Tasks\Microsoft Windows XP End of Service Notification Monthly.job => C:\WINDOWS\system32\xp_eos.exe Task: C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-2154615204-4275496255-3731553294-1006.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-2154615204-4275496255-3731553294-1006.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe ----> w karcie Services odfajkuj: Adobe ARM, JavaQuickStarterService. 4. Zresetuj system. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition. Opisz czy nastąpiła jakakolwiek poprawa. Przy okazji, w systemie widać uszkodzenie systemowej usługi Czas systemu Windows i tym zajmę się potem: U2 W32Time; %SystemRoot%\System32\svchost.exe -k netsvcs Gdzie konkretnie widzisz pozostałości? Logi FRST są zbyt ograniczone, by ustalić to. Znak po DropBox tylko w Shortcut, skasuj po prostu ten skrót: C:\Documents and Settings\CL\SendTo\Dropbox.lnk Lista kont: ==================== Accounts: ============================= admin (S-1-5-21-2154615204-4275496255-3731553294-1011 - Limited - Enabled) => %SystemDrive%\Documents and Settings\admin Administrator (S-1-5-21-2154615204-4275496255-3731553294-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator Guest (S-1-5-21-2154615204-4275496255-3731553294-501 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Guest Tomek (S-1-5-21-2154615204-4275496255-3731553294-1007 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Tomek CL (S-1-5-21-2154615204-4275496255-3731553294-1006 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\CL Konta Administrator i Gość to konta wbudowane w system nie przeznaczone do usuwania, można je po prostu wyłączyć i zostawić w świętym spokoju. Natomiast czy jest jakiś problem z usunięciem kont admin i Tomek? Objaśnij o jakich "innych" mowa. Zaś aktualizacja Google zostaną wyłączone via Autoruns.

To nie jest problem infekcji. Temat przenoszę do innego działu, nie za bardzo wiem czy Windows (wstępnie tam jedziemy) czy Hardware przypisać, bo źródłem problemów było przepinanie dysków: Dziennik zdarzeń jest wytapetowany błędami struktury plików: System errors: ============= Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x130000000198db. The name of the file is "". Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x1a0000000198d8. The name of the file is "". Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x110000000198d4. The name of the file is "". Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x160000000198d2. The name of the file is "". Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x120000000198ce. The name of the file is "". Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x120000000198cc. The name of the file is "". Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x120000000198c7. The name of the file is "". Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x150000000198c4. The name of the file is "". Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x1c0000000198bc. The name of the file is "". Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x1b0000000198b7. The name of the file is "". 1. Jeśli chodzi o błędy w strukturze plików: - Błędy MFT kierują w pierwszej kolejności na wywołanie skanu chkdsk z poziomu WinRE. Z tym że sprawdzanie dysku najwyraźniej już miało miejsce (obecność folderu C:\found.000 ze "ścinkami" danych). Nie wiadomo czy one są aktualne, bo czasy pobrane z Dziennika zdarzeń mogą mieć przesunięcia i logi FRST nie są wiarygodne. - Sprawdź czy jest włączony tzw. "Fast startup": KLIK. A jeśli, spróbuj wyłączyć. 2. Jeśli chodzi o pozostałe błędy Windows: Sugeruję zrobić jeszcze "Reset PC". 3. Na wszelki wypadek też głębsza diagnostyka dysku na podstawie wytycznych w Hardware: KLIK.

W systemie widoczny mocno podejrzany wpis, który wygląda jak infekcja z jakiegoś cracka: HKLM\...\Run: [iBC Launcher] => C:\Users\rysio\Downloads\IBC Launcher.exe [769536 2015-06-27] () Przy okazji, jest tu laptop ASUS, toteż dużo firmowych integracji. Jeśli chodzi o uciążliwości przy nawigacji folderów, prawdopodobnie odpowiada za to ASUS WebStorage montujący rozszerzenie powłoki: ShellIconOverlayIdentifiers: [AsusWSShellExt_B] -> {6D4133E5-0742-4ADC-8A8C-9303440F7190} => C:\Program Files (x86)\ASUS\ASUS WebStorage\service\AsusWSShellExt64.dll [2009-11-26] (eCareme Technologies, Inc.) ShellIconOverlayIdentifiers: [AsusWSShellExt_O] -> {64174815-8D98-4CE6-8646-4C039977D808} => C:\Program Files (x86)\ASUS\ASUS WebStorage\service\AsusWSShellExt64.dll [2009-11-26] (eCareme Technologies, Inc.) Program znany z tworzenia błędów explorer.exe. Znaki tego rodzaju są w Dzienniku zdarzeń: Application errors: ================== Error: (07/09/2015 06:48:33 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: explorer.exe, wersja: 6.1.7601.17514, sygnatura czasowa: 0x4ce796f3 Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0026f4a6 Identyfikator procesu powodującego błąd: 0x1ef0 Godzina uruchomienia aplikacji powodującej błąd: 0xexplorer.exe0 Ścieżka aplikacji powodującej błąd: explorer.exe1 Ścieżka modułu powodującego błąd: explorer.exe2 Identyfikator raportu: explorer.exe3 Wstępnie do przeprowadzenia następujące akcje: 1. Przez Panel sterowania odinstaluj ASUS WebStorage oraz stare wersje Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.1 MUI, Java 8 Update 31 (64-bit). Sugeruję też przejrzeć głębiej listę ASUSowych integracji i pozbyć się nieużywanych programów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [iBC Launcher] => C:\Users\rysio\Downloads\IBC Launcher.exe [769536 2015-06-27] () HKLM-x32\...\Run: [gmsd_de_227] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32.dll No File U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath S3 X6va029; \??\C:\Windows\SysWOW64\Drivers\X6va029 [X] C:\ProgramData\Temp C:\Users\rysio\AppData\Local\{25FDA5A9-C2DC-4782-8CD2-8D5F7BB10CF9} C:\Users\rysio\AppData\Local\IBC_Launcher C:\Users\rysio\AppData\Local\nsc8E39.tmp C:\Users\rysio\AppData\Roaming\FFAFF180-1424352351-81DF-29C9-485B3908407B C:\Users\rysio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\rysio\Desktop\Continue CCleaner installation.lnk C:\Users\rysio\Desktop\IBC Launcher*.exe C:\Users\rysio\Desktop\ASUS NIE KASOWAC\Trend Micro Internet Security.lnk C:\Users\rysio\Desktop\gry\League of Legends.lnk C:\Users\rysio\Downloads\*(*)-dp*.exe C:\Users\rysio\Downloads\IBC Launcher.exe C:\Users\Public\Desktop\Picexa.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przy okazji wyczyść też Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\rysio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer (x86)\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Podaj które problemy są nadal aktualne.

Temat przenoszę do działu Windows. Brak oznak infekcji. Wstępnie sprawdź czy problem nie ma banalnej przyczyny, tzn. aktywność oprogramowania zabezpieczającego. Po kolei dla testu odinstaluj AVG 2015 + AVG Web TuneUp, a także MBAM. Po akcji podaj rezultaty czy jest poprawa.

Wspominasz, że dołączasz GMER, a brak tego raportu. Używałeś ComboFix i na ten temat: KLIK. Nie zostały przedstawione wyniki jego pracy. W systemie grasuje infekcja, która powoduje dewiacje explorer.exe: CustomCLSID: HKU\S-1-5-21-329068152-117609710-1801674531-1004_Classes\CLSID\{0B35E520-7E16-4FCE-8543-A65972F817AA}\InprocServer32 -> C:\Documents and Settings\All Users\Dane aplikacji\{ECEFC883-CB1D-4EA1-819B-7A12A9D4E645}\certmgr.dll (Microsoft Corporation) Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\WINDOWS\explorer.exe CustomCLSID: HKU\S-1-5-21-329068152-117609710-1801674531-1004_Classes\CLSID\{0B35E520-7E16-4FCE-8543-A65972F817AA}\InprocServer32 -> C:\Documents and Settings\All Users\Dane aplikacji\{ECEFC883-CB1D-4EA1-819B-7A12A9D4E645}\certmgr.dll (Microsoft Corporation) R2 yksvc; RUNDLL32.EXE ykx32mpcoinst,serviceStartProc [X] S3 catchme; \??\C:\DOCUME~1\ASD\USTAWI~1\Temp\catchme.sys [X] U3 TlntSvr; No ImagePath HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-329068152-117609710-1801674531-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-329068152-117609710-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-329068152-117609710-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Strona wyszukiwania = http://www.msn.com/access/allinone.asp HKU\S-1-5-21-329068152-117609710-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Strona początkowa = http://www.microsoft.com/msoffice/ C:\Documents and Settings\All Users\Dane aplikacji\{ECEFC883-CB1D-4EA1-819B-7A12A9D4E645} C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowe logi: FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi - oraz Farbar Service Scanner. Dołącz też plik fixlog.txt oraz plik C:\ComboFix.txt obecny na dysku.

marcin878787 Rozwiązanie powstało tu na forum. Kilka lat temu były tu tematy z tym problemem i na skutek diagnostyki Process Monitor został wyłuskany klucz. Wszystkie późniejsze tematy niż Markiza z tymi uszkodzeniami po ZeroAccess zostały tu rozwiązane. Markiz Uprawnienia są uszkodzone conajmniej w kilku miejscach: "C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft" -> Getting permissions failed. Access Denied. "C:\Windows\System32\config\systemprofile\AppData\LocalLow" -> Getting permissions failed. Access Denied. =================================== permissions of "C:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft": Owner: BUILTIN\Administrators DACL(AI): {EMPTY} =================================== "C:\Windows\System32\config\systemprofile\AppData\Roaming" -> Getting permissions failed. Access Denied. "C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft" -> Getting permissions failed. File/Folder not found. Od razu też będę likwidować inne śmieci widziane w raportach FRST, w tym odpadki źle odinstalowanych aplikacji. Druga sprawa: układ zainstalowanych programów wygląda podejrzanie - brak na liście zainstalowanych wielu programów, które najwyraźniej są obecne na dysku i nie są to wersje "portable" (powinny mieć wejścia Uninstall). W kwestii niektórych aplikacji są też duże wątpliwości, np. w ogóle nie widzę Acronisa jako zainstalowanego, a w tle uruchamia się jego usługa (możliwe że są też sterowniki, tylko filtrowane przez FRST). Pozostałymi zgłoszonymi problemami zajmę się potem. Akcja wstępna: 1. W systemie są czynne sterowniki po niepoprawnie odinstalowanym ESET. Zastosuj narzędzie ESET Uninstaller - narzędzie musi być uruchomione z poziomu Trybu awaryjnego Windows. 2. Opuść Tryb awaryjny. Przeglądarka Google Chrome występuje w wersji "development" i prawdopodobnie to adware ją przekonwertowało, gdyż są też polityki Google (normalnie w systemie takich brak). Zresetuj synchronizację (o ile włączona): KLIK. Następnie odinstaluj przeglądarkę, przy deinstalacji zaznacz Usuń także dane przeglądarki. 3. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Winsock: Catalog5 01 C:\Windows\system32\mswsock.dll [232448 2011-02-23] (Microsoft Corporation) ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Task: {0A36378C-E030-4334-838F-D5BAF7F3B146} - \RealPlayerRealUpgradeScheduledTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {0E3C05D5-F338-4764-8F8C-75E563E28F97} - \{DDA28B75-1A94-4722-851A-08F006AC722E} No Task File Task: {11EE491C-ACD3-4466-BFC3-9C2961AB8A04} - \Update Service YourFileDownloader No Task File Task: {1439D69F-3B1F-43FC-BADB-B0F78F5A1538} - \RealDownloaderRealUpgradeLogonTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {1CD9CC3F-A321-4D47-B2C1-C0A9E3575252} - \{51FAF599-CCB5-4008-AC8D-7C04486ED45B} No Task File Task: {1E059657-4A8C-4AB1-AC01-7BA51C591431} - \IHUninstallTrackingTASK No Task File Task: {22F320F1-3ACC-4D4F-99A2-EC577DAB55B7} - \{39081E02-A958-4838-8930-A56290DE5A0B} No Task File Task: {2314A513-769C-4FD8-AB32-7F18235845CE} - \Driver Booster SkipUAC (Włodek) No Task File Task: {2FC1444D-A4F6-447C-B240-61253D34CF80} - \RealDownloaderRealUpgradeScheduledTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {346BF516-45C6-4A40-A741-C0E98A3B1257} - \GoogleUpdateTaskUserS-1-5-21-287265340-2162033715-3200400593-1001Core No Task File Task: {422ACBCF-AF3B-4E6C-8A7F-1F67A3E5F4D5} - \GoogleUpdateTaskMachineUA1cff08013b0803d No Task File Task: {4466524B-F383-4A35-9EB5-943C46E74AA1} - \Java Update Scheduler No Task File Task: {4F6EF71A-9CFA-4E7D-AFE6-762B742A43D2} - \Czyszczenie dysku No Task File Task: {50C7F83F-0603-4F4C-BD58-66D3DE0439DA} - \{2018CBF5-F285-41A0-ACC5-F03804DA4901} No Task File Task: {532A66D4-D0D0-423F-B13A-6923AD55DF79} - \{69A0E8F2-2F0B-40C2-80D5-4B5D20D23BE3} No Task File Task: {54DD2F75-E525-42A9-B48A-B82C48491945} - \{27183F03-F422-4258-AB26-70FB870685DC} No Task File Task: {56D8A254-7496-4012-9688-20DED08A4E45} - \GoogleUpdateTaskUserS-1-5-21-287265340-2162033715-3200400593-1001UA1cf6bb4a4e102af No Task File Task: {57A03158-59F1-4B92-8CBF-CE56FBAA1B49} - \RealUpgradeLogonTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {5D077313-58DC-4EB7-A5E4-48AE18121DC8} - \LuckyTab No Task File Task: {5FDB5732-6EC5-42B6-ABF9-C217C3A7F8DC} - \{B57B6D90-E4F0-47E5-8598-3B31C52DD49B} No Task File Task: {621084AB-0B5E-4244-9AED-72223A0CB676} - \{49396C17-83DE-42BF-BDD6-48F57F658EBD} No Task File Task: {66D17CCD-7611-4BDF-9B6F-1165C6B0CEAB} - \{104C05D8-8A0E-45CD-882A-34EFE0CA2F95} No Task File Task: {6871EF3B-CA32-4592-BBEE-5E0D8A037C40} - \{94C356A5-9E6A-4D7D-BAF6-B2B7A031AF1A} No Task File Task: {784D5DF4-2F27-461A-BC1C-2B6361E1453E} - \{55DD3151-0A90-4515-B51F-08CF09501E35} No Task File Task: {79869914-905D-4361-A4F5-D4D6AC98E883} - \GoogleUpdateTaskMachineUA1cf4b86568f057d No Task File Task: {7F33F1D1-DAD5-4E12-82B5-5C578585BB7D} - \{A253B073-536B-483D-8B37-9BE1372613D2} No Task File Task: {89D8349A-B399-4BF7-823B-6FE48AC7D332} - \{D5F027D9-B068-400F-8D27-97B091679729} No Task File Task: {8A0590FD-8DBA-408B-8C10-89BFB1F35A8E} - \{F7E633FF-9C35-4E9B-821D-C66E729A74D1} No Task File Task: {92D982E2-96E5-4F2F-89A6-B04FCB13024C} - \{75A83929-ADF6-46B0-8E48-329A3869F0CC} No Task File Task: {97F4616C-5E0F-495C-A95C-61EC2F6851AA} - \SidebarExecute No Task File Task: {9CC77333-A6C6-4DE3-8551-62CEB5B55255} - \RealPlayerRealUpgradeLogonTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {A5AD95F1-8262-4F3B-A4F9-D7AC96A5FC24} - \{DADA96E0-C9B8-480B-BB1A-A881039DD469} No Task File Task: {ABA40052-725D-4F60-8F2A-A55B2743D7B9} - \RealDownloaderDownloaderScheduledTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {AFC1D271-4D7C-45D8-B6D0-D38E7EFE80BB} - \Program aktualizacji online produktu Real Player. No Task File Task: {CB2785DB-FAFC-47E4-9044-9A7986E66482} - \{E4D5261F-BA1D-4E38-B62C-15F0D5476E6C} No Task File Task: {CBE2F9FF-59E5-41A0-9092-15B7331A587C} - \{5BCB4CC6-D71A-46EF-A9AA-9A0129F8F699} No Task File Task: {D485911B-EF3E-49F4-818E-1FC6E809AED3} - \User_Feed_Synchronization-{7FED5C06-C862-466E-906A-571B236BA1E1} No Task File Task: {D9CE7519-7D66-4354-BF43-5F6BA90EC9BC} - \GlaryUpdate No Task File Task: {DAC0EEB8-C5C4-45BE-B97D-633E79F7D4F7} - \GoogleUpdateTaskMachineCore No Task File Task: {E390EF55-34BE-4227-B073-40424E9FA63B} - \{DBC1F9B0-19EA-4AFD-BB92-64D42370DB8F} No Task File Task: {E9566D84-0832-4756-AE84-54D16F24E0DD} - \{FCF5B68F-8115-4DD9-9DE7-716973A23C6C} No Task File Task: {EAD7FB03-99F2-4966-BCE1-13956E55B8D4} - \GlaryInitialize No Task File Task: {EC8112B8-0604-46AE-9EA0-CFFF2B120F36} - \RealUpgradeScheduledTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {EC8A1876-EA63-45A8-BB07-4472993091D8} - \{0F1147D8-58B7-42E2-B549-A882FD45B900} No Task File Task: {F0D691ED-5F2C-4294-95CB-F8E96058D347} - \{36DE1835-4A42-4861-B4A4-FF3D4B433110} No Task File Task: {F0F5DABD-12F1-4511-BC1D-8B71BE285458} - \{164A9143-7427-44D8-BFDF-3251712C8A1E} No Task File Task: {F92F5CF6-8844-4ABB-8C73-28F6EBEF60D7} - \Program aktualizacji online firmy Adobe. No Task File Task: C:\Windows\Tasks\GlaryInitialize.job => C:\Program Files\Glary Utilities\initialize.exe Task: C:\Windows\Tasks\GlaryUpdate.job => C:\Program Files\Glary Utilities\webupdate.exe DisableService: UleadBurningHelper R1 Avgdiskx; C:\Windows\System32\DRIVERS\avgdiskx.sys [120120 2013-08-01] (AVG Technologies CZ, s.r.o.) S3 hamachi; C:\Windows\System32\DRIVERS\hamachi.sys [26176 2009-03-18] (LogMeIn, Inc.) S3 cpuz134; \??\C:\TEMP\cpuz134\cpuz134_x32.sys [X] S4 LMIRfsClientNP; No ImagePath S3 NLNdisMP; system32\DRIVERS\nlndis.sys [X] S3 NLNdisPT; system32\DRIVERS\nlndis.sys [X] S3 Pcouffin; System32\Drivers\Pcouffin.sys [X] S3 wanatw; system32\DRIVERS\wanatw4.sys [X] S3 WFSONORA; system32\drivers\wfsonora.sys [X] FF DefaultSearchEngine,S: WebSearch FF DefaultSearchUrl: hxxp://websearch.searchfix.info/?unqvl=63&idate=2014/11/19&l=1&q= FF SearchEngineOrder.1: WebSearch FF SearchEngineOrder.1,S: WebSearch FF SelectedSearchEngine: Allegro FF SelectedSearchEngine,S: WebSearch FF Keyword.URL: hxxp://websearch.searchfix.info/?unqvl=63&idate=2014/11/19&l=1&q= FF Plugin: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1214154.dll [2014-11-07] (Adobe Systems, Inc.) CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-287265340-2162033715-3200400593-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchfix.info/?unqvl=63&idate=2014/11/19 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-287265340-2162033715-3200400593-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com SearchScopes: HKLM -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchfix.info/?unqvl=63&idate=2014/11/19&l=1&q={searchTerms} SearchScopes: HKLM -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchfix.info/?unqvl=63&idate=2014/11/19&l=1&q={searchTerms} SearchScopes: HKU\S-1-5-21-287265340-2162033715-3200400593-1001 -> {46622C9B-B6D3-4f77-9CFA-5762BC9A722F} URL = http://home.speedbit.com/search.aspx?aff=206&q={searchTerms} SearchScopes: HKU\S-1-5-21-287265340-2162033715-3200400593-1001 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchfix.info/?unqvl=63&idate=2014/11/19&l=1&q={searchTerms} Toolbar: HKU\S-1-5-21-287265340-2162033715-3200400593-1005 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No File CustomCLSID: HKU\S-1-5-21-287265340-2162033715-3200400593-1001_Classes\CLSID\{39125640-8D80-11DC-A2FE-C5C455D89593}\InprocServer32 -> C:\Users\Włodek\AppData\Local\Google\Google Talk Plugin\googletalkax.dll No File CustomCLSID: HKU\S-1-5-21-287265340-2162033715-3200400593-1001_Classes\CLSID\{AB9F4455-E591-4132-A386-0B91EAEDB96C}\InprocServer32 -> C:\Users\Włodek\AppData\Local\Google\Google Talk Plugin\o1dax.dll No File C:\ProgramData\mxnhytee.feu C:\Users\UpdatusUser\Desktop\*.lnk C:\Users\Włodek\AppData\Local\{AA15A737-1359-4DC7-857E-B73A86715A29} C:\Users\Włodek\AppData\Roaming\CrashRpt1402.dll C:\Users\Włodek\AppData\Roaming\Microsoft\Windows\SendTo\Foxit Readera.lnk C:\Users\Włodek\AppData\Roaming\Microsoft\Windows\SendTo\Foxmail.LNK C:\Users\Włodek\AppData\Roaming\Microsoft\Windows\SendTo\PDFXC viewer.lnk C:\Windows\System32\DRIVERS\avgdiskx.sys C:\Windows\System32\DRIVERS\hamachi.sys RemoveDirectory: C:\Program Files\Mozilla Firefox\extensions RemoveDirectory: C:\Program Files\Mozilla Firefox\plugins RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\Users\UpdatusUser\AppData\Local\Google RemoveDirectory: C:\Users\Włodek\AppData\Roaming\Opera Software RemoveDirectory: C:\Windows\system32\Adobe RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Local\AOL RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Local\Avg2014 RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Local\ESET RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Local\GNU RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Local\Google RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\LocalGoogle Unlock: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft Unlock: C:\Windows\System32\config\systemprofile\AppData\LocalLow Unlock: C:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft Unlock: C:\Windows\System32\config\systemprofile\AppData\Roaming Folder: C:\Windows\System32\config\systemprofile\AppData Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Google /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005_Classes\CLSID /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Windows\CurrentVersion\Uninstall /f Reg: reg delete "HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\egui" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan - dla Drivers + Services odznacz pole Whitelist, ponadto zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy Acronis, RealPlayer oraz Sandboxie to programy faktycznie "zainstalowane". Również potwierdź mi czy w Firefox w spisie wtyczek pozycje pochodzące od RealPlayer oraz Real Alternative nie są aby zablokowane przez Firefox "z powodu niezgodności".