picasso

Akcje wykonane, z jednym małym wyjątkiem. Odtworzył się usuwany folder C:\ProgramData\Safe. Sprawdź co w nim jest.

Na koniec zastosuj DelFix (GMER dokasuj ręcznie) oraz wyczyść foldery Przywracania systemu: KLIK.

To nie koniec. Dostarcz dane:

Przekierowania isearch.omiga-plus.com są nadal w Google Chrome, pozostały też polityki Google wprowadzone przez adware. Dodatkowo drobne kosmetyczne korekty po kątem wpisów pustych i czyszczenie Temp. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1422313482&from=cor&uid=ST1000LM014-SSHD-8GB_W381VF31XXXXW381VF31 CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1422313482&from=cor&uid=ST1000LM014-SSHD-8GB_W381VF31XXXXW381VF31" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-4218959263-1578342697-2654768450-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-21-4218959263-1578342697-2654768450-1002\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe HKU\S-1-5-21-4218959263-1578342697-2654768450-1002\...\Run: [Napisy24Update] => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep" HKU\S-1-5-21-4218959263-1578342697-2654768450-1002\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\ChomikBox.exe S3 cpuz136; \??\C:\Users\Z510\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\ProgramData\Safe C:\Users\Z510\Downloads\SpyHunter-Installer.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

kerpal, poprzedni temat nie został skończony: https://www.fixitpc.pl/topic/25399-notoryczne-uszkadzanie-sejwów-w-grze-coś-z-dyskiem/ Tu jest ten sam komputer i po prostu kolejne skutki uboczne. Tematy zostaną sklejone.

MBAM wykrył drobny szczątek adware. Usunięty i OK. Skasuj folder "FRST" z Pobranych. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Skasuj pobrany FRST z folderu "naprawa systemu". Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Fix It 50202 naprawił bazę catroot2 - zniknął masowy odczyt braku podpisu cyfrowego. Pozostał problem z martwym AVG Web TuneUp oraz aktywnymi szczątkami PC Tools. AVG Web TuneUp jest uszkodzony przez AdwCleaner, a kopii zapasowej AdwCleaner brak, bo na tamtym forum zalecono deinstalację AdwCleaner. Na razie spróbuj usunąć powiązany sterownik i wpis instalacyjny produktu: 1. Do Notatnika wklej: R1 avgtp; D:\WINDOWS\system32\drivers\avgtpx86.sys [43296 2014-12-09] (AVG Technologies) BHO: No Name -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> No File DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {233C1507-6A77-46A4-9443-F871F945D258} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {CAFEEFAC-0017-0000-0071-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_71-windows-i586.cab CHR HKLM\...\Chrome\Extension: [pkijdmeepjhpenmighhaodgfoogncnlk] - E:\Program Files\Offline Explorer\mpoe.crx [2013-02-01] FF Plugin: @java.com/DTPlugin,version=10.5.1 -> D:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) D:\Program Files\Asprate D:\Program Files\Java D:\Program Files\OpenOffice.org 3 D:\Program Files\Opera D:\WINDOWS\system32\deployJava1.dll D:\WINDOWS\system32\drivers\avgtpx86.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. 2. Uruchom Zoek. W oknie wklej: AVG Web TuneUp;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). 3. Zapomniałam podać do deinstalacji komponent towarzyszący przeglądarce Safari: Apple Software Update. 4. Te skróty posprzątaj - wg raportu tam jest niezły śmietnik. Po tym zrób nowy log FRST Shortcut.

Nic z tego skanu nie wynika. Problem występuje tylko w przeglądarce Google Chrome, w Internet Explorer nie? Zacznij od tego: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.

Fix wykonany. Na wszelki wypadek zrób jeszcze skanowanie za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, dostarcz raport.

Wszystko pomyślnie przetworzone. Kolejny krok: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Zasady działu: KLIK. Tu nie wolno się podpinać pod cudze tematy, każdy ma mieć swój osobisty temat. Podobna sytuacja jak w linkowanym temacie. Nie odinstalowałeś programu adware YouTube Accelerator w poprawny sposób (wielu innych zresztą też), AdwCleaner na siłę skasował komponenty i uszkodził łańcuch sieciowy Winsock: Winsock: Catalog9 01 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 02 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 03 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 04 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 05 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 06 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 07 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 08 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 09 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 10 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 11 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 23 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Adware i tak nie jest dobrze wyczyszczone, masa innych obiektów widoczna, a Google Chrome zostało przekonwertowało przez adware z wersji stabilnej developerskiej i wymagana reinstalacja przeglądarki. Poza tym, naciąłeś się na lewy program z czarnej listy YAC (Yet Another Cleaner). Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: Adobe Shockwave Player 12.1, Google Chrome, Java 7 Update 71, Search App by Ask, YAC(Yet Another Cleaner!). 2. W Operze CTRL+SHIFT+E i z listy rozszerzeń odinstaluj adware iWebar, Senses. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 0c632643; "C:\Windows\system32\rundll32.exe" "c:\progra~3\intere~1\InterenetOptimizerSvc.dll",service S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] S3 L1C; system32\DRIVERS\L1C62x64.sys [X] S2 MeDM; C:\Windows\SysWOW64\MeDM.exe [X] S2 SPDRIVER_1.38.0.1425; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1.38.0.1425\jsdrv.sys [X] HKU\S-1-5-21-559403659-1954856361-4293762593-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Pio\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-559403659-1954856361-4293762593-1001\...\Policies\Explorer: [] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://www.delta-homes.com/?type=hp&ts=1418887371&from=wpm12173&uid=ST9750420AS_5WS4KMJ4XXXX5WS4KMJ4 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://www.delta-homes.com/?type=hp&ts=1418887371&from=wpm12173&uid=ST9750420AS_5WS4KMJ4XXXX5WS4KMJ4 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418887371&from=wpm12173&uid=ST9750420AS_5WS4KMJ4XXXX5WS4KMJ4 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418887371&from=wpm12173&uid=ST9750420AS_5WS4KMJ4XXXX5WS4KMJ4 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-559403659-1954856361-4293762593-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418887371&from=wpm12173&uid=ST9750420AS_5WS4KMJ4XXXX5WS4KMJ4 SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1421856453&from=zbd1&uid=st9750420as_5ws4kmj4xxxx5ws4kmj4&q={searchTerms} SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1421856453&from=zbd1&uid=st9750420as_5ws4kmj4xxxx5ws4kmj4&q={searchTerms} SearchScopes: HKU\S-1-5-21-559403659-1954856361-4293762593-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-559403659-1954856361-4293762593-1001 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3331322&octid=EB_ORIGINAL_CTID&ISID=MDBF20F81-9441-4CE3-801E-0D2812DE1DEA&SearchSource=58&CUI=&UM=8&UP=SP06FD1741-EA99-4EAB-BC64-F25D0F5CBDD4&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-559403659-1954856361-4293762593-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-559403659-1954856361-4293762593-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=F240685D436C4289&affID=119357&tsp=4944 SearchScopes: HKU\S-1-5-21-559403659-1954856361-4293762593-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1418887371&from=wpm12173&uid=ST9750420AS_5WS4KMJ4XXXX5WS4KMJ4&q={searchTerms} SearchScopes: HKU\S-1-5-21-559403659-1954856361-4293762593-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1421856453&from=zbd1&uid=st9750420as_5ws4kmj4xxxx5ws4kmj4&q={searchTerms} BHO-x32: Internet Program -> {ff0021ad-2cc3-4e0d-8e3c-b4153a64a495} -> C:\Program Files (x86)\Internet Program\Extensions\ff0021ad-2cc3-4e0d-8e3c-b4153a64a495.dll () Task: {00DFFB19-3E5B-471C-9103-067C6A21E7D2} - System32\Tasks\{5F2A6937-002A-4253-A1F3-EB80DBE85DF5} => H:\autorun.exe Task: {1F81D2F7-4957-4974-A037-3F74221100F3} - System32\Tasks\{786A4A95-754D-4696-9BB3-E17F1202FE9A} => pcalua.exe -a "D:\Gry\Instalki\CS16 Full v32.1 Non-Steam\Addon_Pack_v2.exe" -d "D:\Gry\Instalki\CS16 Full v32.1 Non-Steam" Task: {281CE71A-EE13-42B6-B74B-03F4C2D18114} - System32\Tasks\SPBIW_UpdateTask_Time_313734383336363738332d574a324178345a2a376c455a => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {2EE77630-BFC0-4D49-82C4-F59B9F9D9094} - System32\Tasks\UNELEVATE_23374 => C:\Program Files (x86)\ShopperPro\JSDriver\1.38.0.1425\jsdrv.exe Task: {7842228B-07F0-4A61-BBA5-344FCB32F7A1} - System32\Tasks\{6753005F-878E-4AC7-98D1-700F51D4D5A5} => H:\autorun.exe Task: {7E677162-CC10-44AF-841C-243B919591BF} - System32\Tasks\{8E0DF9E1-9029-4C86-A643-7E0ABE49BBDE} => pcalua.exe -a G:\install.exe -d G:\ Task: {8BF49023-DE55-43C6-AE97-47E53667D857} - System32\Tasks\{42A6345F-903D-4D9C-A977-CCB969A710F1} => pcalua.exe -a "C:\Users\Pio\Downloads\Nero 6.6.1.4_ENG_PL_ Serial_LightScribe\Nero 6.6.1.4_ENG_PL_ Serial_LightScribe\Nero-6.6.1.4_no_yt.exe" -d "C:\Users\Pio\Downloads\Nero 6.6.1.4_ENG_PL_ Serial_LightScribe\Nero 6.6.1.4_ENG_PL_ Serial_LightScribe" Task: {AB2F52EA-DE1C-4F61-B99F-97C3B8F827C0} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: {E01F95C8-7879-4B83-9243-7E494E0A98BE} - System32\Tasks\{804AD235-B5B1-4ED4-8B14-8927803E2BC9} => pcalua.exe -a D:\Gry\Instalki\skoki\skoki\Uninstall.exe -d D:\Gry\Instalki\skoki\skoki Task: {E82B6C2B-9A5A-4778-84D9-D6468289302A} - System32\Tasks\avayvaxvaa => C:\Users\Pio\AppData\Local\avayvaxvaa\avayvaxvaa.exe [2015-02-19] () Task: {EB6F9502-02CE-4B36-BA59-D7273DAE2DB0} - System32\Tasks\{F2A2A808-BD9F-4660-BC86-D6C405FA8BBD} => pcalua.exe -a D:\Gry\Instalki\skoki\skoki\Install.exe -d D:\Gry\Instalki\skoki\skoki C:\Program Files\Common Files\ShopperPro C:\Program Files\Chromium Updater C:\Program Files\saveranet C:\Program Files\saveRon C:\Program Files (x86)\Google C:\Program Files (x86)\Internet Program C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Spotify Search Plus C:\ProgramData\{*}.log C:\ProgramData\6fb1f30a-cea7-4ccf-bff8-acbecbfe46f9 C:\ProgramData\Mozilla C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Pio\AppData\Local\avayvaxvaa C:\Users\Pio\AppData\Local\GG\Application.old\gg.lnk C:\Users\Pio\AppData\Local\GG\backup_11069\gg.lnk C:\Users\Pio\AppData\Local\Google C:\Users\Pio\AppData\Local\Mozilla C:\Users\Pio\AppData\Roaming\AEMYJJTL.exe C:\Users\Pio\AppData\Roaming\appdataFr3.bin C:\Users\Pio\AppData\Roaming\HUKJO.exe C:\Users\Pio\AppData\Roaming\OZWDNTC.exe C:\Users\Pio\AppData\Roaming\sp_data.sys C:\Users\Pio\AppData\Roaming\ZDBEDRP.exe C:\Users\Pio\AppData\Roaming\Mozilla C:\Windows\system32\log Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, internet powinien zostać naprawiony. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Pio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Na temat pobierania z dobrychprogramów i podobnych: KLIK. Widzę, że Google Chrome już odinstalowałaś (choć pozostał profil na dysku), w Firefox nadal widać rozszerzenie adware Strong Signal. Działania do wdrożenia: 1. Deinstalacje: - Odinstaluj starą wersję Java 7 Update 76 i zbędny (prawdopodobnie instalacja sponsorowana) McAfee Security Scan Plus. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] Task: {62F60561-2450-4CD7-8730-23B85B256831} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {A1DE6D55-DC28-49A1-B11F-16DB299A0D31} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\SN.Booster-S-615019665.job => c:\programdata\miniapp\sn.booster\SN.Booster.exeE/schedule /profile c:\programdata\miniapp\sn.booster\615019665.iniUserSN.Boo AppInit_DLLs-x32: c:\progra~2\sn0310~1.boo => "c:\progra~2\sn0310~1.boo" File Not Found HKLM-x32\...\Run: [sessionLogon] => C:\ExpressGateUtil\SessionLogon.exe HKLM-x32\...\Run: [NWEReboot] => [X] HKLM-x32\...\Run: [WinampAgent] => "C:\Program Files (x86)\Winamp\winampa.exe" HKU\S-1-5-21-1637351539-915756313-3180054859-1000\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe HKU\S-1-5-21-1637351539-915756313-3180054859-1000\Software\Classes\.exe: => CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-1637351539-915756313-3180054859-1000 -> ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} SearchScopes: HKU\S-1-5-21-1637351539-915756313-3180054859-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: PopBlocker Class -> {7648AC4A-76F6-4d95-B2C4-F0DBD88E5DD5} -> C:\Windows\SysWow64\wmvploc.dll No File BHO-x32: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\PROGRA~2\ALLPLA~1\Iplex\IPLEXT~1.DLL No File CustomCLSID: HKU\S-1-5-21-1637351539-915756313-3180054859-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\User\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.26.9\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.26.9\npGoogleUpdate3.dll No File C:\Program Files (x86)\Mozilla Firefox\extensions C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Burger Island C:\ProgramData\Temp C:\Users\User\AppData\Local\Google C:\Users\User\AppData\Roaming\error.log C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

Tak, to już koniec. Temat rozwiązany. Zamykam.

Skasuj pobrany GMER. Zastosuj DelFix, zaktualizuj Java oraz wyczyść foldery Przywracania systemu: KLIK.

Tak, o to chodziło. DelFix wykonał zadanie. Skasuj plik C:\DelFix.txt z dysku. To tyle. Temat rozwiązany. Zamykam.

Są dwie sprawy rzucające się w oczy: 1. BitDefender nadal podejrzany. Dziennik zdarzeń ma nagrane błędy zawieszeń usług aplikacji: System errors: ============= Error: (02/25/2015 07:59:31 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi VSSERV. Error: (02/25/2015 07:50:54 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Bitdefender Virus Shield zawiesiła się podczas uruchamiania. Error: (02/25/2015 07:44:43 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa Bitdefender Virus Shield niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Error: (02/25/2015 07:29:06 AM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Bitdefender Virus Shield zawiesiła się podczas uruchamiania. Error: (02/24/2015 06:20:08 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa Bitdefender Virus Shield niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Aczkolwiek jest możliwe powiązanie z: 2. Mało wolnego miejsca na dysku - to może być problem, zwłaszcza jeśli obszar jest sfragmentowany, co wydłuża operacje odczyt/zapis. ==================== Drives ================================ Drive c: () (Fixed) (Total:148.72 GB) (Free:8.77 GB) NTFS Nie zwróciłam na to uwagi, temat startował z jeszcze gorszymi statystykami: ==================== Drives ================================ Drive c: () (Fixed) (Total:148.72 GB) (Free:4.97 GB) NTFS Zacznij od sprzątania na dysku tworząc większą przestrzeń. Do analizy miejsca przydatny jest SpaceSniffer - należy go uruchomić za pomocą "Uruchom jako Administrator", by obliczył takie obszary jak "System Volume Information". Jeśli nie wniesie to nic do sprawy, zrób testową deinstalację BitDefender.

W systemie nie ma poprawnej kopii pliku wzcsvc.dll - ten plik ewentualnie dostarczę z własnej wirtualnej maszyny XP, gdy znajdę czas. I mnie się wydaje, że tu może być inny problem ogólny, spoza infekcji - coś za dużo niesygnowanych plików. FRST ma bardzo ograniczoną weryfikację, sprawdza tylko podstawową pulę, a możliwości spoza widoczności raportu jest tu multum. Może być znacznie więcej takich kwiatków w systemie. Czy posiadasz płytę Windows XP Home OEM SP3, którą można byłoby użyć do zapuszczenia polecenia sfc /scannow?

Proszę uważniej czytaj zasady działu i instrukcje tworzenia raportów. Tu jest zakaz podpinania się pod cudze wątki, temat wydzielony w osobny. Opcje "Drivers MD5" i "List BCD" nie miały być zaznaczone w skanie FRST. vs. InternetURL: C:\ProgramData\HELP_DECRYPT.URL -> hxxp://paytoc4gtpn5czl2.torconnectpaycom/x7dmR Mam bardzo złe wieści. Formuła plików wskazuje na infekcję CryptoWall 3.0 szyfrującą dane. Opis infekcji: KLIK. Niestety zaszyfrowanych dokumentów i zdjęć nie da się otworzyć (czyli odszyfrować), ani odzyskać ich poprawnej wersji sprzed infekcji bez uiszczenia opłaty cyberprzestępcom. Brak dekodera ze względu na awykonalność tego zadania. Poza tym, CryptoWall przy zastępowaniu plików szyfrowanymi wersjami wykonuje tzw. "bezpieczne usuwanie danych" nadpisując miejsca na dysku, by uniemożliwić zastosowanie programów do odzyskania danych. Jeśli nie miałeś kopii zapasowej zgranej gdzieś, dane zostały bezpowrotnie utracone. Tu nie pomogą żadne skanery, antywirusy i inne triki - przy braku kopii zapasowej danych dokumenty przekształcone przez infekcję są do kosza. Jedyne co jestem w stanie zrobić, to usunąć pozostałe fragmenty infekcji i dodane pliki "HELP_DECRYPT" oraz naprawić inne problemy, bo tu jest dużo do roboty: - Adware nie zostało dobrze wyczyszczone i nadal uruchamiają się różne szkodliwe elementy, w tym sterownik mogący kolidować z funkcjonowaniem sieci. - System jest zmasakrowany instalacjami skanerów. W tle aktywnie działają różne skanery pozornie odinstalowane: stary McAfee z 2008 (wygląda na preintegrowany z systemem), VIPRE, YAC (Yet Another Cleaner). Próbując się ratować instalowałeś co popadnie (w tym stare i wątpliwe skanery) i tylko pogorszyłeś sytuację. Tu się działo mnóstwo, wielokrotne punkty Przywracania systemu, liczne (re)instalacje, nowe skanery dokładane (Avast, PC Tools Firewall, STOPZilla, SpyHunter, Spybot Search & Destroy, XoftSpy AntiVirus Pro). - Szukając skanerów skorzystałeś z fałszywych opisów "usuwania infekcji" lub innych tendencyjnych materiałów sugerujących instalację: ParetoLogic XoftSpy, SpyHunter oraz YAC (Yet Another Cleaner). To wszystko to niepożądane obiekty, programy z czarnej listy, naciągacze! I ten YAC to bardzo inwazyjny program oznaczający kłopoty. Dla porównania do czego może doprowadzić jego obecność w systemie: KLIK, KLIK. - Był używany ComboFix i na ten temat: KLIK. Ta próba to się chyba tu nawet nie udała, bo podstawowe warunki do uruchomienia programu nie zostały spełnione. Te liczne czynne komponenty skanerów równa się blokada. - System nie jest w ogóle aktualizowany, krytyczny stan aktualizacji. Tu jest nieomal goła Vista - tylko SP1 i bardzo stary IE7: Platform: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) OS Language: Polski (Polska) Internet Explorer Version 7 (Default browser: FF) To wygląda na skutek niepoprawnie odinstalowanych skanerów. Doczyszczanie systemu - jak mówię, z zaszyfrowanymi danymi nic się nie da zrobić. Działania do przeprowadzenia: 1. Deinstalacje: ----> Z poziomu Trybu normalnego: Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej stronie wybierz opcję Zarządzaj połączeniami sieciowymi > dla wszystkich widzialnych połączeń po kolei z prawokliku pobierz Właściwości > w pierwszej karcie Ogólne na liście używanych komponentów szukaj filtrów nazwanych podobnie do: Sunbelt / GFI / ThreatTrack NDIS IM Filter oraz innych mających konotacje nazewnicze z antywirusami. Jeśli cokolwiek znajdziesz, podświetl i odinstaluj, zresetuj system. ----> Z poziomu Trybu normalnego: Odinstaluj przez Panel sterowania (a nie Revo) Adobe Flash Player ActiveX, Adobe Reader 9 - Polish, Spybot - Search & Destroy, SpyHunter 4. Sprawdź też czy jest na dysku plik C:\Program Files\Elex-tech\YAC\uninstall.exe, a jeśli tak to go uruchom. ----> Z poziomu Trybu awaryjnego: Zastosuj specjalne narzędzie czyszczące McAfee Consumer Product Removal Tool + VIPRE Uninstaller. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}Gt; C:\Windows\System32\drivers\{dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}Gt.sys [55832 2015-02-12] (StdLib) U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation) R1 MpKsl4a29a79b; \??\C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A39BF855-FF62-47C3-9664-1696E5D26819}\MpKsl4a29a79b.sys [X] R1 MpKslee3c09ff; \??\C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A39BF855-FF62-47C3-9664-1696E5D26819}\MpKslee3c09ff.sys [X] R1 MpKsleeea4502; \??\C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A39BF855-FF62-47C3-9664-1696E5D26819}\MpKsleeea4502.sys [X] S2 SBAMSvc; "C:\Program Files\ParetoLogic\XoftSpy AntiVirus Pro\SBAMSvc.exe" [X] S2 sz7; "C:\Program Files\STOPzilla\SZServer.exe" [X] Task: {2DFE621D-6BB2-4A2E-A9C1-A2E0C29ACC1C} - System32\Tasks\ef7378cb-c2b1-4f9c-9903-06f9fc5c9bbf-10_user => C:\Program Files\SavePass 1.1\ef7378cb-c2b1-4f9c-9903-06f9fc5c9bbf-10.exe Task: {2E9060F0-D426-406A-8F65-183B46132D79} - System32\Tasks\c3209984-b1bb-4eb9-9882-8a64a02095f0-10_user => C:\Program Files\HQCinema Pro 2.1V13.02\c3209984-b1bb-4eb9-9882-8a64a02095f0-10.exe Task: {8718603D-3A10-4F14-A0B2-DC4BD6F95190} - System32\Tasks\ef7378cb-c2b1-4f9c-9903-06f9fc5c9bbf-5_user => C:\Program Files\SavePass 1.1\ef7378cb-c2b1-4f9c-9903-06f9fc5c9bbf-5.exe Task: {B627CA3B-2E44-468F-BB1A-291D3161B771} - System32\Tasks\c3209984-b1bb-4eb9-9882-8a64a02095f0-5_user => C:\Program Files\HQCinema Pro 2.1V13.02\c3209984-b1bb-4eb9-9882-8a64a02095f0-5.exe Task: {F8906555-74C0-46AE-A9A2-FD2C436E9B7E} - \Super Optimizer Schedule No Task File Task: C:\Windows\Tasks\c3209984-b1bb-4eb9-9882-8a64a02095f0-10_user.job => C:\Program Files\HQCinema Pro 2.1V13.02\c3209984-b1bb-4eb9-9882-8a64a02095f0-10.exe Task: C:\Windows\Tasks\c3209984-b1bb-4eb9-9882-8a64a02095f0-5_user.job => C:\Program Files\HQCinema Pro 2.1V13.02\c3209984-b1bb-4eb9-9882-8a64a02095f0-5.exe Task: C:\Windows\Tasks\ef7378cb-c2b1-4f9c-9903-06f9fc5c9bbf-10_user.job => C:\Program Files\SavePass 1.1\ef7378cb-c2b1-4f9c-9903-06f9fc5c9bbf-10.exe Task: C:\Windows\Tasks\ef7378cb-c2b1-4f9c-9903-06f9fc5c9bbf-5_user.job => C:\Program Files\SavePass 1.1\ef7378cb-c2b1-4f9c-9903-06f9fc5c9bbf-5.exe Task: C:\Windows\Tasks\XVJ.job => C:\Users\NOWAK\AppData\Roaming\XVJ.exe HKLM\...\Run: [ConvertAd] => C:\Users\NOWAK-LP\AppData\Local\ConvertAd\ConvertAd.exe HKU\S-1-5-21-84699557-792703091-1178954015-1004\...\MountPoints2: {ad9050df-7f84-11e4-af95-00265eb03406} - F:\AutoRun.exe Startup: C:\Users\NOWAK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\superpc_soft_partner.lnk ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch. HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" CMD: del /q /s C:\HELP_DECRYPT.* C:\Program Files\0e8c68e9-f8d3-4eb3-991c-fefcdb824873 C:\Program Files\112dced7-7f86-4c9c-921d-bf3e561afa0a C:\Program Files\HQCinema Pro 2.1V13.02 C:\Program Files\Mozilla Firefox\plugins C:\Program Files\predm C:\Program Files\STOPzilla C:\ProgramData\{*}.log C:\ProgramData\{51d3a777-e1d1-7821-51d3-3a777e1d9ddf} C:\ProgramData\64edc3dc0000124c C:\ProgramData\AVAST Software C:\ProgramData\ParetoLogic C:\ProgramData\STOPzilla! C:\ProgramData\Temp C:\ProgramData\XoftSpy AntiVirus Pro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF Editor 4.0 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\STOPzilla C:\Users\NOWAK\AppData\Local\globalUpdate C:\Users\NOWAK\AppData\Local\gmsd_pl_49 C:\Users\NOWAK\AppData\Local\gmsd_pl_55 C:\Users\NOWAK\AppData\Local\SmartWeb C:\Users\NOWAK\AppData\Local\Temp{81FA4E6A-843F-4AFC-BC82-69FAB51A72EA} C:\Users\NOWAK\AppData\LocalLow\SmartWeb C:\Users\NOWAK\AppData\Roaming\AnyProtectEx C:\Users\NOWAK\AppData\Roaming\eCyber C:\Users\NOWAK\AppData\Roaming\Elex-tech C:\Users\NOWAK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup C:\Users\NOWAK\AppData\Roaming\PCToolsFirewallPlus C:\Users\NOWAK\AppData\Roaming\WinZipper C:\Users\NOWAK\Desktop\Continue *.lnk C:\Users\NOWAK-LP\AppData\Local\nsm4664.tmp C:\Users\NOWAK-LP\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\NOWAK-LP\AppData\Local\Internet Speed Checker C:\Users\NOWAK-LP\AppData\Local\Microsoft\Silverlight\OutOfBrowser C:\Users\NOWAK-LP\AppData\Roaming\pdfforge C:\Users\NOWAK-LP\AppData\Local\webkit C:\Users\NOWAK-LP\AppData\Roaming\aps.uninstall.scan.results C:\Users\NOWAK-LP\AppData\Roaming\ap_logs C:\Users\NOWAK-LP\AppData\Roaming\eCyber C:\Users\NOWAK-LP\AppData\Roaming\Elex-tech C:\Users\NOWAK-LP\AppData\Roaming\PCToolsFirewallPlus C:\Users\NOWAK-LP\AppData\Roaming\WinZipper C:\Users\NOWAK-LP\Desktop\Continue *.lnk C:\Users\NOWAK-LP\Documents\PCSpeedUp C:\Users\NOWAK-LP\Downloads\fwinstall.exe C:\Users\NOWAK-LP\Downloads\Silverlight*.exe C:\Users\NOWAK-LP\Downloads\Spybot*.exe C:\Users\NOWAK-LP\Downloads\SpyHunter*.* C:\Users\NOWAK-LP\Downloads\STOPzillaPRO_Downloader.exe C:\Users\NOWAK-LP\Downloads\XoftSpy_AV_Setup.exe C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP C:\Windows\patsearch.bin C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\system32\2015-*.log C:\Windows\system32\OptimizerMonitorOff.ini C:\Windows\system32\Drivers\{dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}Gt.sys C:\Windows\system32\Drivers\Msft_Kernel_webTinst_01009.Wdf C:\Windows\system32\Drivers\VDD C:\Windows\system32\vbox Reg: reg delete HKCU\Software\InstalledBrowserExtensions /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ConvertAd /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\gmsd_pl_55_is1 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\IGS /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\igsc /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\iSafe /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SavePass 1.1" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SmartWeb /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VOPackage /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WindowsMangerProtect /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\winzipper /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WordProser_1.10.0.6 /f Reg: reg delete HKCU\Software\Mozilla\Extends /f Reg: reg delete HKCU\Software\ParetoLogic /f Reg: reg delete "HKCU\Software\Speedchecker Limited" /f Reg: reg delete HKLM\SOFTWARE\Elex-tech /f Reg: reg delete HKLM\SOFTWARE\GAMESDESKTOP /f Reg: reg delete HKLM\SOFTWARE\hdcode /f Reg: reg delete HKLM\SOFTWARE\InstalledBrowserExtensions /f Reg: reg delete HKLM\SOFTWARE\ParetoLogic /f Reg: reg delete "HKLM\SOFTWARE\Speedchecker Limited" /f Reg: reg delete HKLM\SOFTWARE\Tutorials /f Reg: reg delete HKLM\SOFTWARE\winzipersvc /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_pl_55" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (AdBlock for Firefox i Ghostery) i trzeba będzie przeinstalować. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, używane rozszerzenia zostaną wyłączone (włącz ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Są tu dwa konta w systemie: ==================== Accounts: ============================= NOWAK (S-1-5-21-84699557-792703091-1178954015-1003 - Administrator - Enabled) => C:\Users\NOWAK NOWAK-LP (S-1-5-21-84699557-792703091-1178954015-1004 - Administrator - Enabled) => C:\Users\NOWAK-LP Dotychczas były sprawdzane raporty z konta NOWAK-LP, wymagane ze wszystkich kont. - Jeśli konto "NOWAK" nie jest używane, to je usuń via Panel sterowania (zaznaczając, by skasowano dane użytkownika). - Jeśli oba są w użyciu, zaloguj się po kolei na każde poprzez pełny restart komputera (a nie opcje Wyloguj / Przełącz użytkownika) i na każdym zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały po dwa logi. Dołącz też plik fixlog.txt. Podsumuj co się obecnie dzieje w systemie.

ESET Uninstaller i tak do zastosowania jako poprawka, na wypadek gdyby normalna deinstalacja coś ominęła. Ty cały czas oceniasz tylko usługi programowe, a nie sterowniki i wpięcia na urządzeniach. Ale ESET Trial Reset to crack ESET poza obszarem zainteresowań narzędzia firmowego ESET - ta usługa jest załączona do usunięcia w skrypcie FRST.

Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Gdy "Bieżący tryb transferu: Tryb PIO" > prawoklik na kanał IDE i odinstaluj > restart systemu > Windows przebuduje kanał asygnując szybszy transfer.

W sprzyjających okolicznościach i w zależności od użytych komend Fix może wejść jak burza. Czasem FRST się na czymś wiesza (trudno przewidzieć na czym) i stosuję ostrzeżenia dla użytkowników, by nie przerywali pracy. Wpis Yontoo zniknął, gdyż załączyłam w skrypcie komendę usuwania klucza Yontoo z Uninstall. Skutek podania starych logów FRST. Wg FRST wpis na liście wcześniej był, obecnie już nie ma (czyli odinstalowałeś), ale ostał się ukryty updater. Podobnie z Firefox: otrzymałam logi pokazujące, że go brak i cięłam w skrypcie FRST klucze Mozilla, a tu się okazuje że Firefox w międzyczasie został doinstalowany i moja operacja uszkodziła określone fragmenty. Z tym że MozillaPlugins nie były istotne, klucze wtyczek i tak się przebudowują, o ile działa soft który je wprowadził. Czy po kliku w Zmień pokazuje się okno ESET podające do wyboru kolejne opcje, a wśród nich deinstalację? I deinstalacja jest możliwa tylko w Trybie normalnym, w awaryjnym nie działa usługa Instalatora Windows. A wyłączenie usług ESET to stanowczo za mało, w tle pracują jeszcze nadrzędne sterowniki, które nie są dostępne do manipulacji z poziomu przystawki services.msc czy msconfig. Pliki Windows pomyślnie podstawione, obecnie już stoi odczyt sygnatury cyfrowej dla kluczowego: C:\WINDOWS\system32\rpcss.dll => File is digitally signed Ale to nie koniec - nie wiem jak to się stało, ale przegapiłam trzeci niesygnowany plik z system32 od usługi WZCSVC. Na razie omijam niepodpisany cyfrowo od Office. Kolejna porcja czynności: 1. Z poziomu Trybu awaryjnego zastosuj ESET Uninstaller. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście szczątek Google Update Helper > Dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S4 .EsetTrialReset; C:\WINDOWS\system32\regedt32.exe /s C:\WINDOWS\esettrialreset.reg HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u FF Plugin: @java.com/DTPlugin,version=10.11.2 -> C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) C:\Documents and Settings\KaMiLa\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Google C:\Program Files\PDFCreator C:\WINDOWS\esettrialreset.reg Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BrowserChoice" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\egui" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UserFaultCheck" /f CMD: regsvr32 /u /s "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Tym razem może być dłużej. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). W polu Search wklej wzcsvc.dll, klik w Search Files i ten log też dostarcz. Dołącz również plik fixlog.txt.

Detekcja FRST w AVG to fałszywy alarm, nie tylko AVG tak ma. Do zignorowania. Problemy się rozmnożyły. Nowa usterka to uszkodzenie systemu Usług kryptograficznych (baza catroot lub catroot2), w logu FRST masowy odczyt File not signed (brak podpisu cyfrowego) wszystkich usług i sterowników Microsoftu. Dodatkowo, tu jeszcze jest niepoprawnie odinstalowany SpywareDoctor (w tle uruchomione komponenty), tym się zajmę potem. Na razie do wdrożenia następujące działania: 1. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny, który m.in. zawiera reset bazy catroot2. 2. Deinstalacje do przeprowadzenia: ----> Tak jak mówiłam, AVG Web TuneUp został uszkodzony (część komponentów usunięta, nadal działa w tle sterownik i na liście programów martwy wpis). W obecnym stanie raczej będzie trudno go odinstalować. Zrób co następuje: zainstaluj nakładkowo ten program stąd: KLIK. Po nakładkowej instalacji odinstaluj go przez Dodaj/Usuń programy. ----> Przez Dodaj/Usuń programy odinstaluj stare dziurawe wersje: Adobe AIR, Adobe Reader X (10.1.11) - Polish, Adobe Shockwave Player 11.5, Gadu-Gadu 10, Gadu-Gadu 7.7, J2SE Runtime Environment 5.0 Update 4, Java 7 Update 71, Java SE Development Kit 7 Update 71, Java™ 6 Update 31, JavaFX 2.1.1, OpenOffice.org 3.2 (nie współpracuje z najnowszymi bezpiecznymi Java, dostępna nowsza seria 4.x), Opera 12.14 (najnowsza z tej serii to Opera 12.17 zawierająca łatę na krytyczną lukę Heartbleed), Safari (dziurawa porzucona przeglądarka), Tibia Multi IP Changer (to jest szkodnik!), TVUPlayer 2.4.8.2 (nie działa już, zamknięto sieć w której działał). 3. Wg FRST Shortcut jest ogromna ilość pustych skrótów w Menu Start i innych miejscach. Nie miałam siły tego przewertować - w skrypcie FRST adresuję tylko obszar Quick Launch. Przejrzyj i pousuwaj martwe skróty z innych miejsc. Chodzi o foldery na Pulpicie oraz te lokalizacje: D:\Documents and Settings\All Users\Menu Start\Programy D:\Documents and Settings\Kuba i Michał\Menu Start\Programy 4. Do usunięcia pozostałe puste wpisy i różne śmieci. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: StartMenuInternet: (HKLM) Opera - D:\Program Files\Opera\Opera.exe http://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=eXQ&utm_content=sc&from=smt&uid=SAMSUNGXHD252HJ_S17HJ1KQA00137&ts=1381579882 ProxyServer: [.DEFAULT] => 203.160.1.94:80 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141118 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKU\S-1-5-21-1078081533-299502267-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie SearchScopes: HKLM -> URL http://startsear.ch/?aff=2&src=sp&cf=b365d94a-2514-11e2-be72-00e04c100ab8&q={searchTerms} SearchScopes: HKU\S-1-5-21-1078081533-299502267-839522115-1003 -> URL http://startsear.ch/?aff=2&src=sp&cf=b365d94a-2514-11e2-be72-00e04c100ab8&q={searchTerms} SearchScopes: HKU\S-1-5-21-1078081533-299502267-839522115-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={3183B199-3464-49BF-A85F-F7D21EEA8723}&mid=e9e8e12cc64447d08430d1a90af4e34b-0d067dae5e7e84af70bb79418a28c71df2b2738c&lang=pl&ds=AVG&coid=avgtbavg&cmpid=1214tb&pr=fr&d=2014-11-06 18:15:46&v=4.0.5.7&pid=wtu&sg=&sap=dsp&q={searchTerms} Toolbar: HKLM - No Name - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-1078081533-299502267-839522115-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF Plugin: @gamersfirst.com/LiveLauncher -> H:\Program Files\GamersFirst\LIVE!\nplivelauncher.dll No File FF Plugin: @videolan.org/vlc,version=2.1.3 -> D:\Program Files\VideoLAN\VLC\npvlc.dll No File FF HKLM\...\Firefox\Extensions: [{cb84136f-9c44-433a-9048-c5cd9df1dc16}] - H:\Program Files\Spyware Doctor\BDT\FireFox FF HKLM\...\Firefox\Extensions: [{00ADD29A-66F4-4f22-BCC0-4C1D29DA647B}] - D:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\{00ADD29A-66F4-4f22-BCC0-4C1D29DA647B} FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - D:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] - D:\Program Files\PDF Architect\FFPDFArchitectExt FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - D:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird CustomCLSID: HKU\S-1-5-21-1078081533-299502267-839522115-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path D:\Documents and Settings\All Users\Dane aplikacji\TEMP D:\Program Files\Mozilla Firefoxavg-secure-search.xml D:\Program Files\Mozilla Firefox\extensions D:\Program Files\Mozilla Firefox\plugins D:\Documents and Settings\bot\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Tibia.lnk D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Check PC For Errors.lnk D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Chromium.lnk D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\FlashGet 2.0.lnk D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Nero StartSmart.lnk D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\ots24.net Galaxia.lnk D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\SjBoy ChingLish.lnk D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Tibia.lnk D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Xfire.lnk D:\Documents and Settings\Kuba i Michał\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences D:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension D:\WINDOWS\pss\20Dollars2Surf.lnkCommon Startup D:\WINDOWS\pss\BlueSoleil.lnkCommon Startup D:\WINDOWS\pss\BTTray.lnkCommon Startup D:\WINDOWS\pss\Game Alarm.lnkStartup D:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup D:\WINDOWS\pss\runjar.batStartup D:\WINDOWS\pss\OpenOffice.org 3.2.lnkStartup D:\WINDOWS\pss\Xfire.lnkStartup Hosts: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^20Dollars2Surf.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BlueSoleil.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BTTray.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Kuba i Michał^Menu Start^Programy^Autostart^Game Alarm.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Kuba i Michał^Menu Start^Programy^Autostart^OpenOffice.org 3.2.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Kuba i Michał^Menu Start^Programy^Autostart^runjar.bat" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Kuba i Michał^Menu Start^Programy^Autostart^tmonitor.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Kuba i Michał^Menu Start^Programy^Autostart^WinCE3.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Kuba i Michał^Menu Start^Programy^Autostart^Xfire.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BtTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IPLA!" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LG LinkAir" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RDReminder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Firefox był mocno zabrudzony. Wyczyść go konkretniej: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 6. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 7. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition + Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. Wypowiedz się czy tytułowy problem "System wolno działa mimo niskiego użycia CPU" nadal ma miejsce, bo to nie zostało sformułowane na tamtym forum.

Jak mówię, w Google Chrome nie widać nic konkretnego. Opisz jak wyglądają te reklamy - jakie adresy przekierowań, jaka treść reklam. Dodaj też skan dostosowany - do Notatnika wklej: Folder: C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115 CMD: type "C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115\Extensions\external_extensions.json" CMD: type "C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115\PepperFlash\manifest.json" CMD: type "C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Preferences" CMD: type "C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

ESET i adware było wzmiankowane w ramach ogólnego podsumowania co widzę, a nie jako wskazówka, że masz się zabierać za deinstalację. Tu jest ścisła kolejność zadań, każdy krok ma określone następstwa i rozpisuję szczegółowe instrukcje. Yontoo nie możesz odinstalować, bo uszkodziłeś go skanerami (zawsze należy deinstalować w pierwszej kolejności przed użyciem skanerów), BrowserProtect i Delta nie widnieją zaś na liście zainstalowanych, są/były w innych miejscach. Nie zauważyłam, że podane tu logi są stare - FRST pochodzi sprzed wielu dni (22 luty), na dodatek został zrobiony przed usuwaniem MBAM (23 luty), który zmienił to co widać w FRST. Temat powstał 26 lutego, dane mam zupełnie nieadekwatne i muszę się gimnastykować z nanoszeniem poprawki na zmiany poczynione przez skanery. Ale jest pewne, że w chwili obecnej pliki Windows są zmodyfikowane, bo skan FRST Search to potwierdza. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Replace: C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\rpcss.dll C:\WINDOWS\system32\rpcss.dll Replace: C:\WINDOWS\system32\dllcache\imapi.exe C:\WINDOWS\system32\imapi.exe S4 BrowserProtect; C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1095.52\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [0 2013-02-11] () S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 HWiNFO32; \??\C:\DOCUME~1\KaMiLa\USTAWI~1\Temp\HWiNFO32.SYS [X] S3 RT80x86; system32\DRIVERS\RT2860.sys [X] HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File CustomCLSID: HKU\S-1-5-21-1123561945-776561741-1801674531-1004_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\KaMiLa\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-1123561945-776561741-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.delta-search.com/?affID=119370&babsrc=NT_ss&mntrId=80c1e2a600000000000000b08c069ac4" SearchScopes: HKU\S-1-5-21-1123561945-776561741-1801674531-1004 -> {F10D8717-BF7A-4144-9CA6-E4AE455F60B4} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=57C20B5C-425A-4691-B7EB-B63C4AB36C04&apn_sauid=D13AA595-CBAC-4E16-834E-B02F7B260CEB BHO: delta Helper Object -> {C1AF5FA5-852C-4C90-812E-A7F75E011D87} -> C:\Program Files\Delta\delta\1.8.10.0\bh\delta.dll (Delta-search.com) Toolbar: HKLM - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.10.0\deltaTlbr.dll (Delta-search.com) Toolbar: HKU\S-1-5-21-1123561945-776561741-1801674531-1004 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect C:\Documents and Settings\KaMiLa\Dane aplikacji\DSite C:\Documents and Settings\KaMiLa\Dane aplikacji\PDF Creator Packages C:\Documents and Settings\KaMiLa\Menu Start\Programy\BrowserProtect C:\Documents and Settings\KaMiLa\Menu Start\Programy\eGames C:\Program Files\GUT2.tmp C:\Program Files\GUM1.tmp C:\Program Files\Delta Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DSite /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PDF Creator Packages" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B} /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f CMD: dir /a D:\ Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Sprawdź czy jesteś w stanie odinstalować przez Dodaj/Usuń programy stare wersje: Adobe Flash Player 11 ActiveX, ESET NOD32 Antivirus, Google Chrome, Java 7 Update 11. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się jakie problemy notujesz.