picasso

Fix uruchomiłeś dwa razy - skrypty są jednorazowe, prawie wszystko już zostało zrobione w pierwszym podejściu, mimo błędu. Wg zawartości Fixlog FRST odmawia posłuszeństwa, gdy ma przejść do czyszczenia Tempów. 1. Kolejne podejście. Otwórz Notatnik i wklej w nim: CloseProcesses: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Ma nastąpić restart (opuść Tryb awaryjny) i powstać kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Fix uruchomiłeś aż trzy razy, skrypty są jednorazowe i nie należy ich powtarzać, bo ponownie ta sama akcja się nie wykona. Nie, to jest niemożliwe by po wciśnięciu "Fix" powstał log główny FRST.txt, Fix generuje tylko i wyłącznie plik Fixlog.txt. Zrobiłeś dwa razy Scan i dlatego są dwa logi. Usuwam nadwyżkę. Za to brak pliku FRST Addition.

Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie wybieraj jeszcze Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wprawdzie nie dostarczyłeś mi właściwego pliku Fixlog z wynikami, ale nowe raporty FRST wskazują, iż zadania się wykonały. Drobne poprawki na wpisy odpadkowe: Otwórz Notatnik i wklej w nim: BHO-x32: No Name -> {53707962-6F74-2D53-2644-206D7942484F} -> No File Task: {17516547-FA02-444C-8509-55CA1319D43A} - System32\Tasks\Driver Booster Update => C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe Task: {451FE3FF-B9E2-4D60-9753-8937A8A3DF0B} - System32\Tasks\{6C52A862-514A-44BB-B1B5-E7DDF6934EE8} => pcalua.exe -a C:\Users\Krzysiek\AppData\Roaming\do-search\UninstallManager.exe -c -ptid=cor Task: {485B01EC-2A10-44A3-AA66-1FF6BEE285FA} - System32\Tasks\Driver Booster SkipUAC (Krzysiek) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {D4297FB2-2F20-4EF5-8EBD-1D145C46AF25} - \{A0AC54B8-2A15-41F0-9EC9-1DDD1D077ACC} No Task File Task: {ED6AA0A7-59CF-44A6-838C-1F76224BBDCE} - \{7AD5F75F-AB91-4FB7-B080-6B0F8A72A3D8} No Task File Task: {F59E574D-340E-49FC-B3AC-468B75FCA368} - System32\Tasks\Driver Booster Scan => C:\Program Files (x86)\IObit\Driver Booster\Scheduler.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Enigma Software Group RemoveDirectory: C:\Program Files (x86)\IObit RemoveDirectory: C:\Program Files (x86)\Kaspersky Lab RemoveDirectory: C:\ProgramData\{4f863d1b-3190-3610-4f86-63d1b319f46c} RemoveDirectory: C:\ProgramData\IObit RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\Krzysiek\AppData\Roaming\00000000-1424462113-0000-0000-50E5499D8219 RemoveDirectory: C:\Users\Krzysiek\AppData\Roaming\IObit RemoveDirectory: C:\Users\Krzysiek\Downloads\FRST-OlderVersion RemoveDirectory: C:\Users\Krzysiek\Downloads\Spy-Hunter-4.1.11.0-+-Crack chyba dpbry(1) CMD: del /q C:\Users\Krzysiek\Documents\fixlist.txt CMD: del /q C:\Users\Krzysiek\Downloads\avg_remover_stf_x64_2015_5501.exe CMD: del /q C:\Users\Krzysiek\Downloads\avgremover.log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - dołącz w odpowiedzi. Tylko ten Fixlog masz przedstawić. Nowe logi FRST nie są już potrzebne.

Powtórz zadanie: 1. Uruchom AdwCleaner, wybierz dwie opcje w serii: Szukaj + Usuń. 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Mnie chodziło o pokazanie wyników, które zostały znalezione, by ocenić obiekty i zdecydować co usuwać. Czy jest zapisany jakikolwiek log z poprzedniego usuwania?

Fix wykonany. Kończymy: 1. Usuń używane w temacie narzędzia z G:\Narzedzia. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To jest naturalny skutek tej akcji: Na tym komunikacie powinieneś wybrać opcję "Nie pokazuj ponownie...".

Prosiłam Cię, byś dodał główny log FRST.txt, bo o nim zapomniałeś w poprzednim poście.

Wszystkie akcje pomyślnie wykonane. Ostatni skrypt do FRST - do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Bozena\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Bozena\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Bozena\Downloads\g54lddlc.exe Reg: reg query HKLM\SOFTWARE\Google\Chrome\Extensions\blbkdnmdcafmfhinpmnlhhddbepgkeaa /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\blbkdnmdcafmfhinpmnlhhddbepgkeaa /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Czy na pewno to nadal ma miejsce po przeprowadzonym właśnie usuwaniu? Był resetowany Winsock, co ma duże znaczenie w kontekście nakreślonego problemu.

Mówisz, że płytę pobierałeś z Microsoftu, ale są w systemie ślady używania KSMPico. To nie jest więc w pełni oryginalny system tylko z matactwami, nie wiem co jeszcze próbowałeś robić. Proponuję przeinstalować system z tej samej płyty co poprzednio, ale nic nie crackować i dostarczyć nowy log FRST (włącznie z Addition).

Fix FRST wprawdzie wykonany, ale mam wątpliwości. Czy na pewno w AdwCleaner została dobrana opcja Usuń a nie Odinstaluj? Fix nie znalazł folderu C:\AdwCleaner (on znika przy deinstalacji narzędzia). Wyniki wyglądają tak jakbyś nie usunął adware za pomocą AdwCleaner, tylko odinstalował narzędzie.

Wszystko wygląda bardzo dobrze. Kolejne kroki: 1. Usuń pobrane narzędzia za pomocą DelFix. 2. Zrób skan za pomocą Hitman Pro i dostarcz wyniki.

Wszystko zrobione. Kończymy: 1. Usuń pobrany FRST uruchamiany z folderu C:\Users\Dariusz\Desktop\farb. 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj aplikacje Adobe + Java: KLIK.

Adware zostało nabyte prawdopodobnie z któregoś portalu: KLIK. Jest tu jeszcze co usuwać - szkodliwy immunizer WindowsMangerProtect i masowe przekierowania do-search.com. Ponadto, system może mulić nie tylko ze względu na aktywność WindowsMangerProtect - tu jest niepoprawnie odinstalowany pakiet Kaspersky - liczne sterowniki czynne. Akcje do przeprowadzenia: 1. Przejdź w Tryb awaryjny Windows. Zastosuj specjalistyczny usuwacz Kaspersky Remover. 2. Opuść Tryb awaryjny. Poprzez Panel sterowania (a nie IOBit Uninstaller) odinstaluj: Adobe AIR, Adobe Flash Player 11 ActiveX, Java 7 Update 60, Java 8 Update 25, Java SE Development Kit 7 Update 15, MyFreeCodec, Smart File Advisor 1.1.1, UsbFix By TeamXscript. Smart File Advisor 1.1.1 to niepożądany program, reszta stare wersje. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [493712 2015-03-12] (SysTool PasSame LIMITED) S1 MpKsle7f29d17; \??\C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{E0744095-0A5E-44E9-9BCF-BFA1153B3893}\MpKsle7f29d17.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426188065&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426188065&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2664477281-1290234535-2196259844-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=dspp&ts=1426188203&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&q={searchTerms} HKU\S-1-5-21-2664477281-1290234535-2196259844-1003\Software\Microsoft\Internet Explorer\Main,Default_search_url = http://do-search.com/web/?type=dspp&ts=1426188203&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2664477281-1290234535-2196259844-1003 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=dspp&ts=1426188203&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2664477281-1290234535-2196259844-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&ts=1426188216&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2664477281-1290234535-2196259844-1003 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&ts=1426188216&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2664477281-1290234535-2196259844-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=dspp&ts=1426188203&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2664477281-1290234535-2196259844-1003 -> {36222043-542C-49D1-8F69-702470B129EC} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&ts=1426188216&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2664477281-1290234535-2196259844-1003 -> {4E0E17DB-2615-4F76-AE25-BB25CD5BEC40} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&ts=1426188216&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2664477281-1290234535-2196259844-1003 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&ts=1426188216&type=default&q={searchTerms} FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Users\A\AppData\Roaming\Mozilla\Firefox\Profiles\g4bs46q4.default-1406216111318\extensions\searchengine@gmail.com FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\A\AppData\Roaming\Mozilla\Firefox\Profiles\g4bs46q4.default-1406216111318\extensions\fftoolbar2014@etech.com Task: {130A1754-A921-46FB-9621-D4F754F75237} - \GlaryInitialize 4 No Task File Task: {3B9FC579-A925-475A-B5BC-E3BEA67C97C0} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: {8AB192D5-295D-4B6B-9B28-09FA0581B207} - System32\Tasks\{0168E345-B01C-4925-951F-907C95154A0D} => pcalua.exe -a "C:\Programy\mp4 to mp3\uninstall\uninstall.exe" -d "C:\Programy\mp4 to mp3\uninstall" Task: {DF30D9CD-51AC-4983-9564-C0996BEABC98} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: C:\Windows\Tasks\GlaryInitialize 4.job => C:\Programy\Optymalizacja\Glary Utilities 4\Initialize.exe C:\Program Files\Mozilla Firefox\plugins C:\Program Files\XTab C:\ProgramData\9EDE8056CF.sys C:\ProgramData\KGyGaAvL.sys C:\ProgramData\HidManager.dll C:\ProgramData\IHProtectUpDate C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\Users\A\AppData\Local\Google\Chrome C:\Users\A\AppData\Local\FluxSoftware C:\Users\A\AppData\Local\PriceFountain C:\Users\A\AppData\Roaming\Helper Scripts C:\Users\A\AppData\Roaming\Hip Hop C:\Users\A\AppData\Roaming\Home C:\Users\A\AppData\Roaming\Sys6925.Config Collection.sys C:\Users\A\AppData\Roaming\Sys2662.Config.Repository.bin C:\Users\A\AppData\Roaming\UserTile.png C:\Users\Gość\Desktop\VueScan.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\System32\Tasks\Norton Identity Safe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdvancedSystemCareService6" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AVGIDSAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Bonjour Service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gusvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Advanced SystemCare 6" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FacebookUpdate.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Mobile Device Center" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy jest jakaś poprawa w działaniu systemu.

Skasuj z dysku plik C:\Delfix.txt. To tyle. Załóż osobny temat tyczący drugiego komputera.

W takim razie na siłę dokasujmy elementy: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy widać na liście pozycję SpyHunter 4 > jeśli tak, podświetl i Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {293E420D-4B2E-4CDB-8A6A-0A00A887D1C9} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-03-02] (Enigma Software Group USA, LLC.) R2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [1026432 2015-03-02] (Enigma Software Group USA, LLC.) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-03-02] () S2 0094501425373793mcinstcleanup; C:\Users\Joanna\AppData\Local\Temp\009450~1.EXE -cleanup -nolog [X] S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] C:\sh4ldr C:\Program Files\Enigma Software Group C:\Program Files\Common Files\McAfee C:\Program Files (x86)\McAfee C:\ProgramData\Baidu C:\ProgramData\Malwarebytes C:\ProgramData\McAfee C:\Users\Joanna\AppData\Roaming\Enigma Software Group C:\Users\Joanna\Start Menu\Programs\SpyHunter C:\Users\Public\Documents\Baidu C:\Users\Public\Pokki C:\WINDOWS\system32\Drivers\EsgScanner.sys C:\WINDOWS\system32\VisualDiscoveryOff.ini C:\WINDOWS\SysWOW64\VisualDiscovery.ini C:\WINDOWS\SysWOW64\VisualDiscoveryOff.ini Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SpyHunter /f Reg: reg query HKCU\Software Reg: reg query HKLM\SOFTWARE Reg: reg query HKLM\SOFTWARE\Wow6432Node EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Nie wszystko wykonało się - nadal są niepożądane ustawienia wprowadzone przez nieszczęsny WWDC. Poprawki: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Rpc\Internet Reg: reg add HKLM\SOFTWARE\Microsoft\Rpc /v "DCOM Protocols" /t REG_MULTI_SZ /d ncacn_ip_tcp /f Reg: reg query HKLM\SOFTWARE\Microsoft\Ole /s Reg: reg query HKLM\SOFTWARE\Microsoft\Rpc /s Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, by COMODO nie przeszkadzał. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. Powstanie kolejny plik fixlog.txt. 2. W ostatnim dostarczonym FRST brak oznak wykonania tego i to do zrobienia: 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Potencjalne przyczyny: uszkodzony cały profil, albo uszkodzony / skasowany plik places.sqlite (w nim Firefox trzyma Bookmarki i Historię), blokada zapisu (np. pochodząca od COMODO Defense+). Jak mówię, dostarcz poprawne zrzuty ekranu to pokazujące, bo coś mi się wydaje, że następuje tu jakiś błąd interpretacji. Takie małe są, bo takie dostarczyłeś. Popatrz do czego linkujesz: hxxp://wstaw.org/m/2015/03/17/troj_png_300x300_q85.jpg hxxp://wstaw.org/m/2015/03/17/troj1_png_300x300_q85.jpg hxxp://wstaw.org/m/2015/03/12/cba_png_300x300_q85.jpg Pliki zuploadowałeś na serwis zewnętrzny i podałeś linki do miniatur utworzonych przez serwis wstaw.org, a nie obrazków oryginalnego rozmiaru. Tu nikt nie manipulował. Pokaż na zrzucie ekranu gdzie Ty to konkretnie sprawdzasz... Różne wyjaśnienia tego mogą być. Np. e-mail w ogóle nie doszedł, e-mail omyłkowo wylądował w folderze typu Spam lub COMODO Firewall zablokował odbiór. Podkreślam: nie ma tu oznak infekcji rodzaju który insynuujesz. Opisywane zjawiska mogą mieć całkiem inne uzasadnienie. Na razie to kilka problemów (problem z połączeniem sieciowym, błędy "Odmowa dostępu") dzwoni zbyt przedsiębiorczym COMODO Firewall i Defense+, aniżeli infekcją. I sugeruję od razu na próbę odinstalować ten program, by się przekonać które problemy nadal będą mieć miejsce.

Temat przenoszę do działu Vista, brak oznak czynnej infekcji. Dostarczony zestaw logów niekompletny, o czym prawi Rucek. Plik FRST Addition jest na dodatek urwany, a jest to kwestia miejsca skąd kopiowano pliki. Zaś nazwy podanych tu logów FRST wskazują, że zostały wyciągnięte z folderu C:\FRST\Logs - tam się nie grzebie, to archiwum logów. Bieżące logi FRST powstają zawsze tam skąd uruchamiano narzędzie, w tym przypadku jest to folder Pobrane. W Dzienniku zdarzeń widać następującą grupę błędów: 1. Notuję uszkodzoną usługę Instrumentacji zarządzania Windows, co odpowiada części błędów sekcji System. S2 Winmgmt; No ImagePath Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. 2. Pod kątem błędów typu "moduł powodujący błąd mpengine.dll, ole32.dll, scecli.dll" wykonaj podstawowe sprawdzanie poprawności plików systemowych: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >C:\Users\r\Desktop\sfc.txt Na Pulpicie powstanie plik sfc.txt, dołącz go tutaj.

Temat przenoszę do działu Windows 7, brak oznak infekcji. vs. ==================== Faulty Device Manager Devices ============= Name: ASUS Touchpad Description: ASUS Touchpad Class Guid: {4d36e96f-e325-11ce-bfc1-08002be10318} Manufacturer: ASUS Service: i8042prt Problem: : This device cannot start. (Code10) Resolution: Device failed to start. Click "Update Driver" to update the drivers for this device. On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Name: Standardowa klawiatura PS/2 Description: Standardowa klawiatura PS/2 Class Guid: {4d36e96b-e325-11ce-bfc1-08002be10318} Manufacturer: (Klawiatury standardowe) Service: i8042prt Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Przypuszczalnym powodem wszystkich awarii jest Avast. Jest tu komercyjny wariant Avast Internet Security, który wprowadza sterownik filtrujący klawiaturę, touchpad też może podlegać pod to działanie. Podobny temat z forum: KLIK. R1 aswKbd; C:\Windows\system32\drivers\aswKbd.sys [28144 2015-03-20] (Avast Software s.r.o.) Rozpocznij od: 1. Deinstalacje: - Poprzez Panel sterowania odinstaluj Avast, przy okazji także Akamai NetSession Interface (zbędny) oraz Oracle VM VirtualBox 4.3.22 (puste skróty wskazują na częściową deinstalację, bądź uszkodzenie Przywracaniem systemu). - Po deinstalacji Avast przejdź w Tryb awaryjny i zastosuj jeszcze Avast Uninstall Utility. 2. Modyfikacja filtrów klawiatury (usunięcie odwołania do aswKbd), przy okazji także usunięcie różnych wpisów pustych. Otwórz Notatnik i wklej w nim: CloseProcesses: Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4d36e96f-e325-11ce-bfc1-08002be10318} /s Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f S3 ACTION_SVC; C:\Program Files (x86)\Mirillis\Action!\action_svc.exe [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 pwdrvio; \??\C:\Windows\system32\pwdrvio.sys [X] S3 x64kdss; syswow64\Drivers\x64kdss.sys [X] S3 X6va021; \??\C:\Windows\SysWOW64\Drivers\X6va021 [X] S3 X6va022; \??\C:\Windows\SysWOW64\Drivers\X6va022 [X] S3 X6va025; \??\C:\Windows\SysWOW64\Drivers\X6va025 [X] S3 X6va027; \??\C:\Windows\SysWOW64\Drivers\X6va027 [X] S3 X6va028; \??\C:\Windows\SysWOW64\Drivers\X6va028 [X] S3 X6va029; \??\C:\Windows\SysWOW64\Drivers\X6va029 [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] HKLM-x32\...\Run: [] => [X] CustomCLSID: HKU\S-1-5-21-2832837052-2721902705-4106856573-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File Task: {0EDE1C06-31C4-4F5F-A272-8339FFDA456F} - System32\Tasks\{112B7D02-E05B-4471-82ED-D92ED2D0B397} => C:\Games\The Binding of Isaac Rebirth\isaac-ng.exe Task: {21D23775-B5AA-42A2-AF3A-BB37F8849436} - System32\Tasks\{3BC7364D-A7B3-42A3-A32C-7E1C930984F0} => pcalua.exe -a "C:\Users\user\Downloads\Talesrunner_SGP_20140715_v1664_1 (1).exe" -d C:\Users\user\Downloads Task: {248A0C64-302E-46DF-AB4D-527795A00569} - System32\Tasks\{58881454-063E-4341-AC7D-0C8ABB657801} => C:\Games\The Binding of Isaac Rebirth\isaac-ng.exe Task: {78C48C76-5E18-4B26-9B01-B744337F10C6} - System32\Tasks\{F73FE386-757F-4400-9B33-08C7668E82D3} => C:\Games\The Binding of Isaac Rebirth\isaac-ng.exe Task: {ACB91E86-0D76-4E87-83D4-64E2CFC54D03} - System32\Tasks\{1E678CB1-A557-421A-966D-10E69BCEC054} => C:\Games\The Binding of Isaac Rebirth\isaac-ng.exe Task: {AFF6318B-7A8A-4983-8CFA-7EEAAB580D32} - System32\Tasks\{75D42FB4-34E7-40E5-A032-1C3D0C9C7FA8} => pcalua.exe -a C:\Users\user\Downloads\Talesrunner_SGP_20140715_v1664_1.exe -d C:\Users\user\Downloads Task: {F0AC117E-3037-4DB9-B4EB-F3F9D3A5947D} - System32\Tasks\{EB32D7A0-38EE-44D3-9729-D370A7812ACB} => C:\Games\The Binding of Isaac Rebirth\isaac-ng.exe Task: {FECFA357-6942-48A8-9DC9-9A98F3668471} - System32\Tasks\{3ED876F5-A430-4EFC-B1AB-BCA48B6A9296} => pcalua.exe -a "C:\Users\user\Downloads\Talesrunner_SGP_20140715_v1664_1 (4).exe" -d C:\Users\user\Downloads HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\GOG.com Downloader.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Treasure Adventure Game C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oracle VM VirtualBox C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Oracle VM VirtualBox.lnk C:\Users\user\Desktop\Rougelegacy\Rogue Legacy.lnk C:\Users\user\Desktop\skanery\Malwarebytes Anti-Malware.lnk C:\Users\user\Desktop\skanery\MiniTool Partition Wizard Home Edition.lnk C:\Users\user\Downloads\Niepotwierdzony*.crdownload EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Brakuje głównego raportu FRST.txt. Poza tym, w Twoim cytacie jest bardzo niepokojący znak, tzn. takie oto podkreślenie wskazujące na aktywne adware tworzące injekcje na przeglądanych stronach: Czy te "podkreślenia" występują tylko gdy korzystasz z Google Chrome?

Temat pod zmienionym tytułem przenoszę do działu Windows 7, być może dział Hardware się klaruje. 1. Zacznij od deinstalacji starej wersji avast! Free Antivirus 9.0.2021 i sprawdź czy przyśpieszy to system. Najnowsza to 2015.10.2.2214. 2. W Dzienniku zdarzeń błędy tego rodzaju: System errors: ============= Error: (03/20/2015 07:55:18 PM) (Source: atikmdag) (EventID: 10261) (User: ) Description: Display is not active Error: (03/20/2015 07:55:18 PM) (Source: atikmdag) (EventID: 19468) (User: ) Description: CPLIB :: General - Invalid Parameter Error: (03/20/2015 07:19:28 PM) (Source: atikmdag) (EventID: 10261) (User: ) Description: Display is not active Error: (03/20/2015 07:19:28 PM) (Source: atikmdag) (EventID: 19468) (User: ) Description: CPLIB :: General - Invalid Parameter Error: (03/20/2015 07:19:30 PM) (Source: EventLog) (EventID: 6008) (User: ) Description: Poprzednie zamknięcie systemu przy 17:23:07 na ‎2015-‎03-‎20 było nieoczekiwane. Error: (03/20/2015 04:00:45 PM) (Source: atikmdag) (EventID: 10261) (User: ) Description: Display is not active Error: (03/20/2015 04:00:45 PM) (Source: atikmdag) (EventID: 19468) (User: ) Description: CPLIB :: General - Invalid Parameter Error: (03/20/2015 08:05:04 AM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: ZARZĄDZANIE NT) Description: Wystąpił krytyczny błąd sprzętowy. Zgłoszone przez składnik: rdzeń procesora Źródło błędu: 3 Typ błędu: 256 Identyfikator procesora: 0 Widok szczegółów tego wpisu zawiera dodatkowe informacje. Error: (03/20/2015 08:04:46 AM) (Source: atikmdag) (EventID: 10261) (User: ) Description: Display is not active Error: (03/20/2015 08:04:46 AM) (Source: atikmdag) (EventID: 19468) (User: ) Description: CPLIB :: General - Invalid Parameter Błędy ze źródłem atikmdag = prawdopodobnie należy zaktualizować sterowniki graficzne AMD. Natomiast "Wystąpił krytyczny błąd sprzętowy" = kierunek na analizę w dziale Hardware. PS. W spoilerze kosmetyka wpisów pustych, jest to bez znaczenia dla zgłaszanych problemów.

Brakuje trzeciego obowiązkowego raportu FRST Shortcut oraz GMER. Temat przenoszę do działu Vista, nie ma żadnych oznak czynnej infekcji. Określ o co Ci w ogóle chodzi z owym "syfem" (jakim i gdzie) oraz do których błędów z Dziennika zdarzeń zmierzasz? W ostatnim zestawie błędów podanych w FRST Addition nie ma nic szczególnego, część błędów ma nikłe znaczenie (jest wynikiem niekompletnej deinstalacji MBAM, próbują się uruchamiać wybrakowane usługi), a żaden z nich nie ma powiązań z infekcją. PS. Usuń starocie oraz doczyść wpisy puste / szczątkowe. W spoilerze:

Jeśli chodzi o czyszczenie z adware, wszystko pomyślnie wykonane. Teraz: Uruchom AdwCleaner. Wybierz na razie tylko Szukaj (nie stosuj jeszcze Usuń) i zaprezentuj log z folderu C:\AdwCleaner. Statystyki RAM z pierwszego zestawu raportów: ==================== Memory info =========================== Processor: Intel® Core™ i3 CPU M 350 @ 2.27GHz Percentage of memory in use: 72% Total physical RAM: 1964.36 MB Available physical RAM: 542.45 MB Total Pagefile: 3928.71 MB Available Pagefile: 2024.2 MB Total Virtual: 8192 MB Available Virtual: 8191.81 MB W raportach nic nie rzuca się w oczy. Mógłyś jeszcze przewertować inne zintegrowane ASUSowe aplikacje i odinstalować to co zbędne. ==================== Installed Programs ====================== ASUS AP Bank (HKLM-x32\...\ASUS AP Bank_is1) (Version: 1.0.0.0 - ASUSTEK) ----> "sklep" / ofery trial, etc. ASUS CopyProtect (HKLM-x32\...\{6B77A7F6-DD63-4F13-A6FF-83137A5AC354}) (Version: 1.0.0015 - ASUS) ----> zabezpieczenie przed nieautoryzowanym kopiowaniem danych ASUS FancyStart (HKLM-x32\...\{2B81872B-A054-48DA-BE3B-FA5C164C303A}) (Version: 1.0.8 - ASUSTeK Computer Inc.) ----> wymiana grafiki ekranu bootowania ASUS LifeFrame3 (HKLM-x32\...\{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}) (Version: 3.0.20 - ASUS) ----> zrzuter ekranu / edytor powiązany z kamerą ASUS Live Update (HKLM-x32\...\{E657B243-9AD4-4ECC-BE81-4CCF8D667FD0}) (Version: 2.5.9 - ASUS) ----> autoaktualizacja sterowników / BIOS ASUS MultiFrame (HKLM-x32\...\{9D48531D-2135-49FC-BC29-ACCDA5396A76}) (Version: 1.0.0021 - ASUS) ----> system dzielenia okien ASUS Power4Gear Hybrid (HKLM\...\{91EFE3A1-585E-4F66-B5F6-F118F56C4C47}) (Version: 1.1.30 - ASUS) ----> tweaker zasilania ASUS SmartLogon (HKLM-x32\...\{64452561-169F-4A36-A2FF-B5E118EC65F5}) (Version: 1.0.0008 - ASUS) ----> logowanie do komputera za pomocą rozpoznawania twarzy ASUS Splendid Video Enhancement Technology (HKLM-x32\...\{0969AF05-4FF6-4C00-9406-43599238DE0D}) (Version: 1.02.0028 - ASUS) ----> asusowe "poprawianie" jakości obrazu Asystent rejestracji usługi Windows Live (HKLM-x32\...\{74CC5B4D-CBB5-46F1-82B0-3169977B1D36}) (Version: 5.000.818.6 - Microsoft Corporation) ControlDeck (HKLM-x32\...\{5B65EF64-1DFA-414A-8C94-7BB726158E21}) (Version: 1.0.5 - ASUS) CyberLink LabelPrint (HKLM-x32\...\InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}) (Version: 2.5.1908 - CyberLink Corp.) CyberLink Power2Go (HKLM-x32\...\InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}) (Version: 6.1.3602c - CyberLink Corp.) Fast Boot (HKLM\...\{13F4A7F3-EABC-4261-AF6B-1317777F0755}) (Version: 1.0.5 - ASUS) ----> menedżer startu Narzędzie do przekazywania usługi Windows Live (HKLM-x32\...\{205C6BDD-7B73-42DE-8505-9A093F35A238}) (Version: 14.0.8014.1029 - Microsoft Corporation) Podstawowe programy Windows Live (HKLM-x32\...\WinLiveSuite_Wave3) (Version: 14.0.8050.1202 - Microsoft Corporation) Windows Live Sync (HKLM-x32\...\{C3335EFB-008F-44DB-A87A-9EC8EE53D045}) (Version: 14.0.8050.1202 - Microsoft Corporation) Oczywiście możesz to wgrać, ale nie powielaj funkcji. Albo Disconnect, albo Ghostery. Jeśli wybór panie na Ghostery, nie zaznaczaj udziału w GhostRank - to niepożądana funkcja wykluczająca się z zadaniem zasadniczym.

Brakuje trzeciego obowiązkowego raportu FRST Shortcut. Problem tworzy adware LibraryProc startujące za pomocą usługi. Adware nabyte podczas pobierania "VirtualDJ Pro Build" z lewego źródła (zamiast docelowego instalatora, uruchamiał się "downloader" z adware). R2 a227ee20; c:\Program Files\LibraryProc\LibraryProc.dll [1975296 2015-03-18] () [File not signed] Przeprowadź następujące działania: 1. Przez Dodaj/Usuń programy odinstaluj adware Ads Remover, LibraryProc oraz potwornie stary Mozilla Firefox (3.5.4). Przy deinstalacji Firefox zaznacz usuwanie danych użytkownika. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Documents and Settings\Marcin\Menu Start\Programy\Autostart\VirtualDJ Pro Build 1995.815.lnk S3 gdrv; \??\C:\WINNT\gdrv.sys [X] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://pl.v9.com/idg/idg_1342389078_310092 CHR StartupUrls: Default -> "hxxp://www.google.com/", "hxxp://blekko.com/ws/?source=5f97ddbe&tbp=homepage&u=e0b0929a000000000000001f1f065675", "hxxp://websearch.simplespeedy.info/" HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423787126&from=cor&uid=ST380211AS_6PS0GQ2QXXXX6PS0GQ2Q&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423787126&from=cor&uid=ST380211AS_6PS0GQ2QXXXX6PS0GQ2Q&q={searchTerms} HKU\S-1-5-21-1547161642-1580436667-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423787126&from=cor&uid=ST380211AS_6PS0GQ2QXXXX6PS0GQ2Q&q={searchTerms} HKU\S-1-5-21-1547161642-1580436667-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423787126&from=cor&uid=ST380211AS_6PS0GQ2QXXXX6PS0GQ2Q&q={searchTerms} CustomCLSID: HKU\S-1-5-21-1547161642-1580436667-725345543-1003_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Documents and Settings\Marcin\Ustawienia lokalne\Temp\EED8\temp\VirtualDJ Pro Build 1995.815.exe () C:\Documents and Settings\All Users\Dane aplikacji\{162d5d2d-5bb1-8cf8-162d-d5d2d5bb74b5} C:\Documents and Settings\All Users\Dane aplikacji\2261315843338188402 C:\Documents and Settings\All Users\Dane aplikacji\Ads Remover C:\Documents and Settings\All Users\Dane aplikacji\ffgglpimleafmdhciphmidiofldkkdkn C:\Documents and Settings\Marcin\Dane aplikacji\appdataFr3.bin C:\Documents and Settings\Marcin\Dane aplikacji\key-find C:\Program Files\LibraryProc C:\Program Files\Splashtop C:\Program Files\UniDeeals EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj IE8: KLIK. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut i powstały trzy logi. Dołącz też plik fixlog.txt.

Moje pytanie o to co się dzieje po akcjach było raczej związane z tym, czy nadal notujesz problemy zgłoszone w pierwszym poście. Akcje wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: Startup: C:\Users\Tadek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup.lnk SearchScopes: HKLM-x32 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.coolsearches.info/?l=1&q={searchTerms}&pid=23157&r=2015/03/17&hid=487562181006891389&lg=EN&cc=PH&unqvl=85 SearchScopes: HKU\S-1-5-21-3771866864-3196559225-104913496-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3771866864-3196559225-104913496-1000 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.coolsearches.info/?l=1&q={searchTerms}&pid=23157&r=2015/03/17&hid=487562181006891389&lg=EN&cc=PH&unqvl=85 FF HKLM-x32\...\Firefox\Extensions: [searchpredict@speedbit.com] - RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\{c92e26f0-d240-83e4-c92e-e26f0d249bc3} RemoveDirectory: C:\ProgramData\SpeedBit RemoveDirectory: C:\Users\Tadek\Desktop\Stare dane programu Firefox Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W1S4PDR1-S045-4T8J-HVXG-2E4364P2J570}" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.