picasso

DelFix usunął już pierwszą partię skanerów, jeśli czegoś nie dokasował (mam na myśli GMER), to już ręcznie usuń. Natomiast programy Malwarebytes Anti-malware i Hitman Pro są innego typu, możesz sobie je zostawić do skanów na żądanie. MBAM jest darmowy i nie wygasa funkcjonalność usuwania, natomiast Hitman umożliwia usuwanie tylko przez okres miesiąca, po czym możliwy tylko skan bez usuwania.

To wszystko z mojej strony. Czy są jeszcze jakieś problemy?

Nie podałaś w czym antywirus widzi "HackTool" - w jakiej ścieżce dostępu. Sama nazwa nie jest decydująca, na razie jednak to nie wydaje się powiązane. "HackTool" to zwykle są jakieś cracki bądź programy do manipulacji z aktywacją aplikacji, podglądu kluczy seryjnych i podobne zjawiska. Problem reklam: której przeglądarki dotyczy? W Firefox widzę adware Ultimate Finder, natomiast nic jawnego w Chrome, IE i Operze. Działania wstępne do przeprowadzenia: 1. Odinstaluj ten stary Mozilla Firefox 14.0.1 (x86 pl). Przy deinstalacji zaznacz usuwanie danych użytkownika. 2. Napraw niepoprawnie wyczyszczony przez AdwCleaner specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [50976 2014-08-26] (AVG Technologies) HKU\S-1-5-21-155114027-604867907-1247271619-1001\...\Run: [AVG-Secure-Search-Update_0214c] => C:\Users\User\AppData\Roaming\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe /PROMPT /mid=3250adef902847d29f39d16f640efbf2-3346178eb27f82f138d823ed14bf97d88af1305e /CMPID=0214c HKU\S-1-5-21-155114027-604867907-1247271619-1001\...\MountPoints2: {e2a10e0e-3820-11e4-bbad-e936d8a2b748} - G:\Startme.exe HKUHKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] C:\Windows\system32\drivers\avgtpx64.sys Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują. Uzupełnij informację o "HackTool", gdzie on jest widziany.

A ja mówię, że masz kliknąć prawym na pozycję "Podstawowy kanał IDE" w drzewku menedżera i nie wybierać już Właściwości tylko opcję Odinstaluj.

Ale gdzie Ty klikasz prawym: na tło tego okna Właściwości czy na pozycję "Podstawowy kanał IDE" w drzewku menedżera? Chodzi o to drugie.

Brakuje trzeciego pliku FRST Shortcut. I nie musisz zmieniać nazw plików... W raporcie widać rozszerzenie Roll Around w Firefox, natomiast nic nie widać w Google Chrome. Będę analizować skąd to się ładuje w Chrome. Czy Google Chrome było uruchomione celowo? Jeśli tak, wielokrotność procesu nie jest nienaturalna, Chrome rozdziela karty do osobnych procesów. Działania wstępne: 1. Odinstaluj stare wersje: Acrobat.com, Adobe AIR, Adobe Shockwave Player 12.0, COMODO Internet Security, Java 7 Update 25 (64-bit), Java 7 Update 67. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {17E796AE-A873-4CB1-AE49-792555A11AFC} - System32\Tasks\AutoKMSDaily => C:\Windows\AutoKMS.exe Task: {7BB6AB17-3C70-45EC-9DD0-96D2CCB08D46} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS.exe Task: {886F41D5-7666-49F8-B290-D6C08A1ED109} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS.exe Task: C:\Windows\Tasks\AutoKMSDaily.job => C:\Windows\AutoKMS.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3329155505-2909789684-2895368762-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-3329155505-2909789684-2895368762-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-3329155505-2909789684-2895368762-1000 -> {2519C1CB-D792-4A32-8FDF-2C112621E215} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK SearchScopes: HKU\S-1-5-21-3329155505-2909789684-2895368762-1000 -> {80E22877-9DB0-437c-BAF5-A0CA6656A5C4} URL = http://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5480255188&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} SearchScopes: HKU\S-1-5-21-3329155505-2909789684-2895368762-1000 -> {A8C2A241-9F41-45D6-9281-5227D7803A48} URL = http://www.idg.pl?q={searchTerms} C:\ProgramData\.windows.sys C:\ProgramData\Temp C:\Users\user\AppData\Local\user_data.ini Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: type "C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115\Extensions\external_extensions.json" CMD: type "C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115\PepperFlash\manifest.json" CMD: type "C:\Users\user\AppData\Local\Google\Chrome\User Data\Profile 1\Preferences" CMD: type "C:\Users\user\AppData\Local\Google\Chrome\User Data\Profile 1\Secure Preferences" Folder: C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Ostrzeżemnie na wypadek, gdybyś ominął deinstalację COMODO powyżej: musi zostać wyłączony, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie odinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt. Potwierdź ustąpienie "Roll Around ads" z Firefox, Chrome nadal w trakcie analizy.

Infekcja jest prawdopodobnie w pliku systemowym rpcss.dll, nie jest podpisany cyfrowo, a jego suma kontrolna jest unikatowa (b81b8dd052af396b3ef36e73b9d179c9): R2 DcomLaunch; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] (Microsoft Corporation) [File not signed] S3 ImapiService; C:\WINDOWS\system32\imapi.exe [150528 2008-04-15] (Microsoft Corporation) [File not signed] R2 RpcSs; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] (Microsoft Corporation) [File not signed] Inne problemy: - Strasznie archaiczna wersja ESET z 2009, na dodatek scrackowana. - Adware (BrowserProtect, Delta, Yoonto), ale siedzi ono w systemie od lat, to stare aplikacje już nie występuje w świeżych miotach adware. To poprawna usługa od Microsoft Serial Keys Utility (SKeys): S2 SerialKeys; C:\WINDOWS\system32\skeys.exe [26112 2008-04-15] (Microsoft Corporation) Prawdopodobnie w root dysku jest ukryty nieszkodliwy plik autorun.inf związany z tym procesem: KLIK. Na początek poproszę o spis kopii plików Microsoftu oznaczonych jako niesygnowane. Uruchom FRST, w polu Search wklej: rpcss.dll;imapi.exe Klik w Search Files i dostarcz wynikowy log.

Fix pomyślnie wykonany. Na wszelki wypadek zrób jeszcze skan za pomocą Malwarebytes Anti-Malware (odznacz trial przy instalacji). Jeśli cokolwiek wykryje, dostarcz raport wynikowy.

W tej sytuacji ponów działania, ale skrypt do FRST ma mieć już inną postać: RemoveDirectory: C:\AdwCleaner Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Masz usunąć ten na którym jest wykryty Tryb PIO.

jamakaci, proszę przeczytać zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki, załóż własny temat. Po drugie brak jakichkolwiek obowiązkowych logów, dostarcz je we własnym nowym temacie.

Poprawki: 1. W AdwCleaner zastosuj sekwencję Szukaj + Usuń. Gdy program ukończy czyszczenie: 2. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Smart File Advisor Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Raportu AdwCleaner brak, bo nie prosiłam już o niego i w skrypcie FRST zadałam usuwanie całego katalogu C:\AdwCleaner z logami i kwarantanną. Coś tu się jednak nie zgadza, FRST nie znalazł tego folderu, więc on musiał zostać usunięty w inny sposób - czy przypadkiem nie pomyliłeś się i użyłeś w AdwCleaner opcję Odinstaluj zamiast Usuń?

DelFix wykonał co należy. Możesz skasować plik C:\Delfix.txt z dysku. Temat rozwiązany. Zamykam.

Tryb PIO: prawoklik na ten kanał IDE i odinstaluj > restart systemu > Windows przebuduje kanał i Windows powinien znacznie przyśpieszyć. DelFix pomyślnie wykonał zadanie. Możesz skasować plik C:\Delfix.txt.

Log Delfix.txt zaprezentuj, jak wskazane w instrukcji. Program nie jest nieomylny i musi być sprawdzone co usuwał. W kwestii trzeciego punktu: Start > Uruchom > devmgmt.msc > w menu Widok zaznacz "Urządzenia wg połączenia" > rozwijasz gałęzie aż znajdziesz kontroler IDE na którym jest podczepiony dysk twardy z systemem (prawdopodobnie Podstawowy kanał IDE) > prawoklik na ów kanał IDE > Właściwości > karta Zaawansowane > co widać jako Bieżący tryb transferu, DMA czy PIO?

To się wprawdzie da zrobić przez reset hasła z poziomu bootowalnej płyty, ale uważam, że operacja jest zbyt radykalna w kontekście zadania i to przy całkowitej niewiedzy co jest na tym koncie (może wcale nie być tam adware), narusza też prywatność cudzego konta. Lepiej byłoby gdyby to on samodzielnie się zalogował i dostarczył skany.

Wyniki "Hitman: "Suspicious files" do zignorowania (to jest FRST), dużo wyników pochodzi z folderu System Volume Inormation (Przywracania systemu) i to zostanie wyczyszczone w inny sposób, reszta wyników typu "Potential Unwanted Programs" to szczątki adware. Czyli: 1. Za pomocą Hitman usuń wszystkie wyniki typu "Potential Unwanted Programs". 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Był uruchamiany GMER, upewnij się że transfery dysku nie obniżył się z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

Skomentuję tylko tę część: Bez znaczenia i jakiegokolwiek wpływu na system. Do usunięcia tego błędu (czyli w istocie "kosmetyki" Dziennika zdarzeń) służy narzędzie Fix-it: KLIK.

Ale Krzysztof to Twoje czy cudze konto? Na koncie Przemek już skończyliśmy, skasuj stamtąd FRST. Na koncie Grzegorz: 1. Miałeś wykonać: AdwCleaner wskazuje, że to się nie stało. Skasuj z listy wyszukiwarkę adware Yahoo kierującą na adres rts.dsrlte.com. 2. Uruchom AdwCleaner ponownie, wybierz sekwencję Szukaj + Usuń. Po czyszczeniu: 3. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Skoro nic nie wykrył, to log przecież zbędny, o czym pisałam: "o ile narzędzie coś znajdzie". Teraz: Przeprowadź skanowanie za pomocą Hitman Pro i dostarcz wynikowy log. Prawdopodobnie musisz zmienić rozszerzenie pliku z *.LOg na *.TXT, by dało się doczepić plik tu w za

Ilość kanałów zależy od układu sprzętowego. Ich mnogość nie jest niczym dziwnym / nieprawidłowym. Jeśli system działa w porządku, nic już nie kombinuj. Artykuł pisałam wiele lat temu, gdy luksusem było posiadanie większej ilości RAM. Obecnie można odpuścić wiele rzeczy tam opisanych. Oczywiście niektóre rzeczy można stamtąd nadal wykonać.

Czy program cokolwiek podczas skanu wykrył?

1. Do usunięcia drobne szczątki Comodo (foldery i strumienie NTFS). Otwórz Notatnik i wklej w nim: C:\ProgramData\Comodo C:\Users\Bartek\AppData\Roaming\Comodo AlternateDataStreams: C:\Windows\system32\amdmantle64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\amdmmcl6.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\amdocl64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\amdpcom64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiadlxx.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiapfxx.exe:$CmdTcID AlternateDataStreams: C:\Windows\system32\aticalcl64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\aticaldd64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\aticalrt64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\aticfx64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atidemgy.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atidxx64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atieclxx.exe:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiesrxx.exe:$CmdTcID AlternateDataStreams: C:\Windows\system32\atig6pxx.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atig6txx.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiglpxx.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atimpc64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atimuixx.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atio6axx.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atitmm64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiu9p64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiumd64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiumd6a.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiuxp64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\clinfo.exe:$CmdTcID AlternateDataStreams: C:\Windows\system32\coinst_14.30.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\mantle64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\mantleaxl64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\OpenCL.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\OpenVideo64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\OVDecode64.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\amdmantle32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\amdmmcl.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\amdocl.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\amdpcom32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atiadlxy.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\aticalcl.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\aticaldd.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\aticalrt.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\aticfx32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atidxx32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atigktxx.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atiglpxx.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atimpc32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atioglxx.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atiu9pag.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atiumdag.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atiumdva.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atiuxpag.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\mantle32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\mantleaxl32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\OpenCL.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\OpenVideo.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\OVDecode.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\Drivers\amdacpksd.sys:$CmdTcID AlternateDataStreams: C:\Windows\system32\Drivers\ati2erec.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\Drivers\atikmdag.sys:$CmdTcID AlternateDataStreams: C:\Windows\system32\Drivers\atikmpag.sys:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Desktop\FRST64.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Desktop\FRST64.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Desktop\Protokół, Nr IV 15 projekt (2).doc:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Desktop\Wykaz_podpisĂłw_poparcia_Andrzeja_Dudy-1 (1).doc:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\DNA-ATi-Legacy_10_2_1_64.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\DNA-ATi-Legacy_10_2_1_64.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\driver_setup.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\driver_setup.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\FlacSquisher-1.3.4-Installer.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\FlacSquisher-1.3.4-Installer.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\GlyphInstall-0-1.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\GlyphInstall-0-1.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\GPU-Z.0.8.1.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\GPU-Z.0.8.1.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\LAN_Broadcom_v.10.46.0.0_Vistax86.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Maffia_II_health_decreasing_bug_fix.rar:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Minecraft.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\Minecraft.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Protokół, Nr IV 15 projekt (1).doc:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Protokół, Nr IV 15 projekt (2).doc:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Protokół, Nr IV 15 projekt.doc:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Tede Bezele - Techno Jazda Jazda.mp3:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\u06b1vir.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\u06b1vir.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\VGA_Intel_v.7.14.10.1409_Vistax86.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\VGA_Intel_v6.14.10.4885_XPx86.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Wireless LAN_Atherors_v.5.3.0.67_XPx86.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Wireless LAN_Atheros_v7.3.1.73_Vistax86.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Wireless LAN_Broadcom_v4.170.25.12_XPx86.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Wykaz_podpisĂłw_poparcia_Andrzeja_Dudy-1.doc:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\xp3264-10.0.0.274-whql_www.INSTALKI.pl.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\xvm-5.1.0.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\YChan 2.2.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\YChan 2.2.exe:$CmdZnID Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Jeszcze drobna sprawa do korekty w Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres adware home.sweetim.com. FRST to jakoby przetwarzał, a wpis nadal jest. 3. Zastosuj DelFix (losowo nazwany GMER należy dokasować ręcznie) oraz wyczyść foldery Przywracania systemu: KLIK. 4. I jak mówię, kompleksowa aktualizacja całego Windows do wykonania.

dontpanic, tu nie koniec czyszczenia. Czy sprawdziłeś podane powyżej dane?