picasso

Temat przenoszę do działu Windows. Był uruchamiany GMER. Do wykonania Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

Cóż, w tym przypadku pierwszy podejrzany to BitDefender - bardzo rozbudowany układ startowy.

Tu nastąpił jakiś proces podmiany plików, powstały kopie BAK dla dwóch kluczowych plików: ==================== One Month Created Files and Folders ======== 2015-02-15 16:13 - 2015-02-15 16:13 - 05554112 _____ (Microsoft Corporation) C:\Windows\System32\ntoskrnl.bak 2015-02-15 16:13 - 2015-02-15 16:13 - 00605552 _____ (Microsoft Corporation) C:\Windows\System32\winload.bak ==================== One Month Modified Files and Folders ======= 2015-02-15 16:13 - 2013-12-23 13:19 - 00346112 _____ (Microsoft Corporation) C:\Windows\System32\bcdedit.exe 2015-02-15 16:13 - 2013-12-22 18:34 - 00605552 _____ (Microsoft Corporation) C:\Windows\System32\winload.exe Zasadniczy plik winload.exe jest niepoprawny, powinien mieć sumę 78C918D3612FE5937D32E488F053F10A jak jego kopia w katalogu Boot: ================== Search Files: "winload.exe" ============= C:\Windows\winsxs\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.1.7601.17556_none_b923808583650cfb\winload.exe [2013-12-22 18:34][2015-02-15 16:13] 0605552 ____A (Microsoft Corporation) 24818326FC867D5B8E5B09AC4911E24F C:\Windows\System32\winload.exe [2013-12-22 18:34][2015-02-15 16:13] 0605552 ____A (Microsoft Corporation) 24818326FC867D5B8E5B09AC4911E24F C:\Windows\System32\Boot\winload.exe [2013-12-22 18:34][2011-02-05 18:06] 0605552 ____A (Microsoft Corporation) 78C918D3612FE5937D32E488F053F10A Dla porównania moje sumy kontrolne: ================== Search Files: "winload.exe" ============= C:\Windows\winsxs\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.1.7601.17556_none_b923808583650cfb\winload.exe [2012-11-24 18:24][2011-02-05 18:06] 0605552 ____A (Microsoft Corporation) 78C918D3612FE5937D32E488F053F10A [File is signed] C:\Windows\System32\winload.exe [2012-11-24 18:24][2011-02-05 18:06] 0605552 ____A (Microsoft Corporation) 78C918D3612FE5937D32E488F053F10A [File is signed] C:\Windows\System32\Boot\winload.exe [2012-11-24 18:24][2011-02-05 18:06] 0605552 ____A (Microsoft Corporation) 78C918D3612FE5937D32E488F053F10A [File is signed] 1. Podmiana pliku winload.exe. Do Notatnika wklej: CMD: copy /y C:\Windows\System32\Boot\winload.exe C:\Windows\System32\winload.exe CMD: copy /y C:\Windows\System32\Boot\winload.exe C:\Windows\winsxs\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.1.7601.17556_none_b923808583650cfb\winload.exe Plik zapisz pod nazwą fixlist.txt tam skąd uruchamiasz FRST (F:). Uruchom FRST i klik w Fix. Dostarcz wynikowy plik fixlog.txt. 2. W związku z tym, że występuje tu także ntoskrnl.bak oraz widać odświeżenie edytora BCD, w polu Search wklep: bcdedit.exe;ntoskrnl.exe Klik w Search Files i dostarcz wyniki. 3. W artykule były wyliczane edycje BCD. Poproszę o ponowny raport FRST, lecz tym razem zaznacz opcję List BCD.

Ja natomiast uważam, że reinstalacja systemu jako taka (przy zachowaniu obecnej struktury partycji) nic nie wniesie do sprawy (pod warunkiem że chodzi tu o uprawnienia), bo problem tyczy partycji innej niż systemowa. Oniryczny, czy partycja jest dostępna z poziomu Trybu awaryjnego?

W raporcie nic podejrzanego. Z obrazka wynika, że chce się pobierać po prostu reklama z serwisu Onet w formacie SWF. To może być problem ze skojarzeniami typu MIME w Firefox. Proponuję przeładować skojarzenia plików: 1. Zamknij Firefox. Skasuj plik: C:\Users\Jarek\AppData\Roaming\Mozilla\Firefox\Profiles\v872orva.default\mimeTypes.rdf 2. Uruchom ponownie Firefox, wygeneruje nowy plik. Podaj czy problem nadal występuje.

Czy analizowałeś sprawę BSOD, czy po usunięciu Pandy problem nadal występuje? Mówiłam, by nie instalować nic nowego, a tu pojawił się Avast. Ale jeśli usunięcie zablokowanej Pandy spowodowało ustąpienie problemu resetów, to OK i nic już więcej bym nie robiła. I poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, HKU\S-1-5-18\...\RunOnce: [panda4_2dn] => reg.exe delete "HKCU\Software\AppDataLow\Software\panda4_2dn" /f HKU\S-1-5-18\...\RunOnce: [panda] => reg.exe delete "HKCU\Software\AppDataLow\Software\panda" /f HKU\S-1-5-18\...\RunOnce: [panda_XP] => reg.exe delete "HKCU\Software\panda" /f FF user.js: detected! => C:\Users\Adam\AppData\Roaming\Mozilla\Firefox\Profiles\va6uu8fo.default\user.js C:\Program Files (x86)\Panda Security C:\ProgramData\Panda Security C:\ProgramData\panda_url_filtering C:\Users\Adam\AppData\Roaming\Panda Security Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

W Dzienniku zdarzeń są błędy związane ze sterownikami ATI: Application errors: ================== Error: (02/23/2015 06:24:57 PM) (Source: ATIeRecord) (EventID: 16398) (User: ) Description: ATI EEU failed to post message to CCC Error: (02/23/2015 06:24:57 PM) (Source: ATIeRecord) (EventID: 16398) (User: ) Description: ATI EEU failed to post message to CCC Error: (02/23/2015 06:24:57 PM) (Source: ATIeRecord) (EventID: 16398) (User: ) Description: ATI EEU failed to post message to CCC Error: (02/23/2015 06:24:57 PM) (Source: ATIeRecord) (EventID: 16398) (User: ) Description: ATI EEU failed to post message to CCC Error: (02/23/2015 06:14:59 PM) (Source: ATIeRecord) (EventID: 16398) (User: ) Description: ATI EEU failed to post message to CCC Error: (02/23/2015 06:12:52 PM) (Source: ATIeRecord) (EventID: 16398) (User: ) Description: ATI EEU failed to post message to CCC Jest tu stare oprogramowanie z 2011. Zainstalowana wersja menedżera: ATI Catalyst Install Manager (HKLM\...\{06921707-E9C9-FFE9-F4B8-7821B944BD43}) (Version: 3.0.808.0 - ATI Technologies, Inc.) Poszukaj na stronie producenta aktualizacji sterowników graficznych AMD (dawne ATI).

Jeśli nikt jeszcze nie odpisał, proszę używaj opcję Edytuj, by uzupełnić post, zamiast pisać post pod postem. Sklejam. Nie dostarczyłeś żadnych precyzyjnych danych - zasady działu np. mówią o tym, by dostarczyć raporty z FRST umożliwiające orientację co jest w systemie. Przypuszczalna przyczyna to COMODO. Był podobny temat na forum. Nie dostarczyłeś raportów FRST, na razie tylko tyle mogę powiedzieć. SpyHunter to naciągacz i wątpliwy program z czarnej listy! Deinstalacja permanentna! Nie ponawiaj prób jego instalacji, by "czyścić". Godny zaufania skaner to Malwarebytes Anti-Malware (dostępna wersja darmowa). 1clickmoviedownloader to nie wirus tylko adware/PUP. Oczywiście przy założeniu, że SpyHunter nie pokazał fałszywych wyników.

Temat przenoszę do działu Windows. Brak oznak infekcji. 1. W Dzienniku zdarzeń są takie oto błędy: Application errors: ================== Error: (02/23/2015 09:58:27 AM) (Source: NvStreamSvc) (EventID: 2001) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (02/23/2015 09:58:27 AM) (Source: NvStreamSvc) (EventID: 2001) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Error: (02/23/2015 09:58:27 AM) (Source: NvStreamSvc) (EventID: 2001) (User: ) Description: NvStreamSvcNvVAD endpoint registration failed [0] Błąd usługi nVidia: możesz w całości odinstalować oprogramowanie NVIDIA GeForce Experience 2.2.2. Przy okazji pozbądź się też zbędnika Akamai NetSession Interface, co urwie jeszcze jeden wpis startowy. System errors: ============= Error: (02/24/2015 05:16:29 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Internet w Cyfrowym Polsacie. OUC z powodu następującego błędu: %%1053 Błąd aktualizatora Cyfrowego Polsatu: wyłącz usługę, by zapobiec jej uruchamianiu. Komenda uwzględniona w skrypcie FRST, wraz z drobnymi dodatkowymi akcjami. Otwórz Notatnik i wklej w nim: CMD: sc config c2cautoupdatesvc start= disabled CMD: sc config c2cpnrsvc start= disabled CMD: sc config "Internet w Cyfrowym Polsacie. RunOuc" start= disabled CMD: sc config WinDefend start= demand Task: {24D30181-2417-4FF0-82EA-B554D22B574B} - System32\Tasks\{0FD00983-A70C-4F9D-A1BB-5827B3886B9F} => pcalua.exe -a "C:\Users\Soya\Downloads\vcredist_x64 (1).exe" -d C:\Users\Soya\Downloads Task: {C2268C8B-6CB3-4EE2-944A-EB4CC6F79BD0} - System32\Tasks\{93E8A165-04B2-47FF-9097-1B1EABAD220A} => pcalua.exe -a C:\Users\Soya\Downloads\starcraft\SETUP.EXE -d C:\Users\Soya\Downloads\starcraft S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Pokaż ten plik. 2. Jeśli pozbycie się GeForce Experience (redukcja uruchomionych usług) nie wniesie nic do sprawy, zwykle w takich przypadkach podejrzany program zabezpieczający, tu Avast + MBAM.

Nie widać tu czynnej infekcji. Tylko drobne działania do przeprowadzenia. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2192512233-2440722427-3420272389-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-google-search.blogspot.com FF Keyword.URL: hxxp://www.google.com/cse?cx=partner-pub-5528014799800033:cevktqnfrvl&ie=ISO-8859-1&q= Task: {89B7CFCE-4A40-4D23-8794-96F8149E7A71} - System32\Tasks\{4C3F38B6-B4B2-49FA-B4A7-20BB647A1DA3} => Firefox.exe http://ui.skype.com/ui/0/5.10.0.116/pl/go/help.faq.installer?LastError=1618 Task: {BE9F9ED2-A7EC-440B-BA42-F4B24D944AB3} - System32\Tasks\{C0F969F2-D58B-49A1-864D-2B2CE11A4776} => pcalua.exe -a E:\ISO\Might.and.Magic.X.Legacy-RELOADED\Might.and.Magic.X.Legacy.Update.1-RELOADED\Update\setup.exe -d E:\ISO\Might.and.Magic.X.Legacy-RELOADED\Might.and.Magic.X.Legacy.Update.1-RELOADED\Update Task: {D3BB7FD4-360A-4D0C-AA0F-3F80C0AB3C2E} - System32\Tasks\{07366C4D-B6D3-4638-A14E-B1E62938418A} => E:\ISO\Might.and.Magic.X.Legacy-RELOADED\Might.and.Magic.X.Legacy.Update.1-RELOADED\Update\setup.exe Task: {E86BC747-0FED-4692-9FBC-74997B796CDA} - System32\Tasks\{5F240D26-5E8B-44B8-B059-319BDC5C0747} => Iexplore.exe http://ui.skype.com/ui/0/6.14.0.104/en/abandoninstall?page=tsProgressBar CMD: ipconfig /flushdns EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO. Uruchom FRST i kliknij w Fix. Nastąpi restart, w folderze skąd uruchamiasz FRST powstanie kolejny fixlog.txt. Przedstaw go.

1. Wyniki Hitman "Suspicious files" na plikach FRST to fałszywe alarmy. Reszta do usunięcia. Dodatkowo, w całości dokasuj ręcznie te foldery i plik: C:\TEMP\Temp1_Minecraft Force Op(1).zip C:\Users\dom\Desktop\przegladarki\Palemoon_download\Minecraft Force Op(1) C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST-OlderVersion 2. Usuń pobray FRST z folderu Pale Moon. Zastosuj DelFix oraz wyczyść foldery Przywrcania systemu: KLIK.

Był uruchamiany GMER, do sprawdzenia transfer dysku. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Jeśli "Tryb bieżący: PIO" > odinstaluj z prawokliku kanał IDE > zresetuj system. W kwestii problemów sieciowych: nie widzę innej możliwości niż zmiana tego zbanowanego IP (czyli kontakt z dostawcą), ale na odniesienie się do wszystkich aspektów poczekaj na odpowiedź kogoś bardziej kompetentnego niż ja.

DelFix wykonał zadanie. Skasuj z dysku plik C:\Delfix.txt. Zainfekowany router oddziaływał na wszystkie urządzenia w sieci domowej. Ale oczywiście dla sprawdzenia czy nie ma dodatkowych aspektów należy dostarczyć świeżutki komplet logów (FRST + GMER) z laptopa.

1. Wyniki Hitman: wszystkie rekordy "Suspicious files" (FRST, PunkBuster, FanaLEDs) do zignorowania, resztę usuń. 2. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Kris1995, co Ty wyprawisz w innym temacie!? Uruchomiłeś cudzy skrypt do FRST dla systemu Windows 7! Nie wolno takich rzeczy robić, skrypty są unikatowe, przeznaczone tylko dla jednego systemu i zrobione w oparciu o konkretne logi. Masz szczęście, że nic się nie wykonało i nic nie uszkodziłeś, bo kompletnie inne ścieżki. Post z cudzego tematu kasuję. Tu posty uporządkowałam. Czekam jeszcze na GMER. Raportu z GMER nie możesz dołączyć, bo nie postąpiłeś identycznie z instrukcją - opcja Kopiuj i zapis do pliku TXT. Wybór opcji zapisu od razu tworzy niedopuszczalny w załącznikach plik *.LOG. Zapisz plik do nowego o rozszerzeniu TXT. Od razu powiem, że mamy poważny problem, czyli infekcję szyfrującą dane (bez możliwości ich dekrypcji). Czyszczeniem zajmę się, gdy uzyskam komplet logów.

Fix wykonany. Nie wszystkie wyniki AdwCleaner są OK - wykrył w profilach Firefox / Pale Moon poprawne nieszkodliwe rozszerzenie Eliminator Slajdów. 1. W AdwCleaner uruchom Szukaj, w karcie Files odznacz dwie pozycje Eliminatora Slajdów = jid0-GaZOxvWNYcafEsmayJDIG3XXVi8@jetpack.xpi, dopiero po tym wybierz Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\yee9564c.default RemoveDirectory: C:\Users\dom\Desktop\Old Pale Moon Data Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Uruchom Hitman Pro i podaj wyniki skanu.

1. Uruchom AdwCleaner ponownie, wybierz sekwencję Szukaj + Usuń. Gdy ukończy się czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. 3. Wykonaj skan za pomocą Hitman Pro i dostarcz wynikowy raport.

Jaką przeglądarką się posługujesz przeklejając treść z posta do Notatnika? 1. Odinstaluj zadane pozycje Adobe + Java, zainstaluj najnowsze. 2. Ucięło mi "procenty". Drobny poprawkowy skrypt do FRST: RemoveDirectory: C:\Documents and Settings\Andrzej Dratwa\Pulpit\FRST-OlderVersion CMD: del /q "%USERPROFILE%\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Vuze.lnk" CMD: del /q "%USERPROFILE%\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK" CMD: del /q "%USERPROFILE%\Pulpit\PROGRAMY\Odkurzacz.lnk" CMD: del /q "%USERPROFILE%\Pulpit\PROGRAMY\Szybkie Czyszczenie Dysku.lnk" CMD: del /q "%USERPROFILE%\Ustawienia lokalne\Dane aplikacji\SocialSafe-Helper.log" CMD: del /q "%USERPROFILE%\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences" EmptyTemp: Plik zapisz pod nazwą fixlist.txt > uruchom Fix w FRST > nastąpi restart i powstaje kolejny fixlog.txt. 3. Zrób nowy log FRST (bez Addition i Shortcut). Dołącz fixlog.txt.

Firmware zaktualizowane, urządzenie skonfigurowane i test pomyślnie przechodzi. Nie widzę tu nic więcej do roboty w zakresie routera na dzień dzisiejszy. Winą były przekierowania DNS wykonywane na poziomie routera. Identyczny hijack był w tym temacie, notabene ten sam model routera (firma go wycofała): KLIK. Skrypt wykonany. Na koniec: 1. Usuń folder C:\Windows\erdnt z kopią rejestru utworzoą przez ComboFix. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Ostatni Fix wykonany pomyślnie. Teraz uruchom AdwCleaner. Wybierz tylko opcję Szukaj (nie używaj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Proszę bez podbijania tematów. Odpowiedź nadchodzi gdy ktoś jest obecny, ma czas i pomysł przetworzyć temat. To nie jest problem, jeśli możesz się dostać do tych folderów / plików. Kłódka oznacza specyficzne uprawnienia obiektu, tzn. że określone grupy użytkowników nie mają dostępu. Folder nie jest dostępny ogólnie dla całej grupy "Użytkownicy" (Twoje konto częściowo należy do niej), "Wszyscy", "Użytkownicy uwierzytelnieni" lub "HomeUsers". Kłódka znika, gdy jedna z tych grup otrzyma conajmniej Odczyt. Reprofiler wykonywał reset uprawnień przy udziale SetACL - prawdopodobnie przypisał w uprawnieniach tylko Twoje konto (a nie Twoje konto + grupa Użytkownicy), stąd te kłódki. - Jeśli tak strasznie zależy Ci na pozbyciu się kłódek z tych obiektów na których ich wcześniej nie było, prawoklik na dany obiekt > Właściwości > karta Zabezpieczenia > Dodaj > wprowadź grupę Użytkownicy > zaznacz stosowne uprawnienia. - W systemie są jednak niektóre obszary standardowo tak skonfigurowane i nie należy tego zmieniać, np. w widoku C:\Users kłódki wiszą na folderach: All Users, Default User (matryca zakładania nowych kont), Twoje konto. Prawie wszystko z poprzednich zadań wykonane i wadliwe urządzenia poznikały. Aczkolwiek mam pewne wątpliwości czy Twoje konto jest sprawne po przekierowaniu - Dziennik zdarzeń ma nowe rekordy o tej samej treści co poprzednio. Czy na pewno nie ma tu żadnych nowych problemów z ładowaniem konta? Application errors: ================== Error: (02/17/2015 06:03:06 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1505) (User: Solskier-PC) Description: Windows cannot load the user's profile but has logged you on with the default profile for the system. DETAIL - Access is denied. Kolejne działania: 1. Nadal nie zostały odinstalowane PUPy AVG Security Toolbar + Vuze_Remote Toolbar - czy jest jakiś problem z tą operacją? Dodatkowo, z pakietu Windows Live Essentials odinstaluj składnik Messengera (on już nie działa, zastąpił go Skype), albo usuń pakiet w całości. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj sponsoringową wstawkę Avast SafePrice. 3. Otwórz Notatnik i wklej w nim: S3 Symantec Core LC; C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe [X] Toolbar: HKLM - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-01-31] C:\Users\Solskier\AppData\Loca C:\Users\Solskier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YouTube Downloader C:\Users\Solskier\AppData\Roaming\Gadu-Gadu 10 C:\Users\Solskier\AppData\Roaming\OpenFM RemoveDirectory: C:\Users\Guest RemoveDirectory: C:\Users\TEMP RemoveDirectory: C:\Users\Solskier\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\system32\cache Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Nie widzę potrzeby prowadzenia tak drastycznych działań. Kilka uwag: - To czym się obecnie zajmujemy to dość błahe sprawy. - Jest tu archaiczny system XP pozbawiony wsparcia: KLIK. Jeśli wymiana systemu, to na nowoczesną platformę a nie to próchno. - To na dodatek modyfikowany kastrat, nie jest to oryginał. Widać to po wielu śladach i niedomyślnych ustawieniach. - Reinstalacja XP wymaga szczególnych środków odstrożności: KLIK. Problem instalacji robaków już podczas instalacji systemu nie dotyczy nowych platform. Ale jeśli na to się zdecydujesz, to daj mi znać, gdyż dalsze czyszczenie jest bezcelowe.

Prawie wszystko usunięte, z wyjątkiem sterownika WinDivert (Windows Packet Divert), który wygląda na doinstalowany w grupie adware. Poprawka: Otwórz Notatnik i wklej w nim: CloseProcesses: R2 WinDivert64; C:\Windows\system32\drivers\WinDivert64.sys [35376 2013-12-03] (Basil Projects) C:\Windows\system32\drivers\WinDivert64.sys RemoveDirectory: C:\Users\Mateusz\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Tomek\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. Wypowiedz się czy są jeszcze jakieś problemy.

OK, tylko drobna poprawka do załadowania. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Users\jarosław\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\jarosław\Downloads\FRST-OlderVersion SearchScopes: HKU\S-1-5-21-2397908092-2257794209-2186997661-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt.

Tak ma być. Cytuję co napisałam: