picasso

Poproszę o raporty zrobione z poziomu środowiska zewnętrznego WinRE, tzn.: 1. Uruchom FRST zgodnie ze wskazówka i zrób skan: KLIK. 2. Dodatkowo, w FRST w polu Search wklep nazwę winload.exe, klik w Search files i dostarcz także i ten log.

Jeden wpis COMODO nie puścił. Poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\CmdAgent RemoveDirectory: C:\_OTL RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Hubert\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Hubert\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe CMD: del /q C:\Users\Hubert\Downloads\snc1zest.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Wszystko zrobione za wyjątkiem: Nie, nie o to chodzi. Podałam, by usunąć poprzedni profil, czyli w Google Chrome: menu Ustawienia > Ustawienia > Osoby > podświetl stary profil (nie pomyl go z bieżącym) i Usuń. Czy widzisz tam więcej niż jedną "Osobę"? Wszystko w porządku. Nie mam specjalnych zastrzeżeń, programy możesz sobie oczywiście zostawić. Ale dodam, że uważam: im mniej cudownych optymalizacji, tym zmniejsza się ryzyko przeinwestowania i skutków ubocznych. Tu było wielu użytkowników, którzy próbując optymalizacji zaszkodzili sobie (wyłączyli za dużo, wyczyścili za dużo z rejestru). Proste ograniczenie ilości uruchamianych procesów, czyszczenie Tempów / niepotrzebnych plików oraz defragmentacja dysku to podstawowe działania zdrowotne. Ale już zbyt przedsiębiorczym czyszczeniem rejestru można sobie zaszkodzić - takie moduły są automatyczne i nie są nieomylne.

Nie wykonałeś zadania w punkcie 2. Podałeś plik skryptu fixlist (usuwam) a nie plik fixlog (wyniki przetwarzania skryptu). Skrypt w ogóle nie został uruchomiony i nie ma żadnych zmian. Powtarzaj punkty 2+3.

Proponuję jednak na wszelki wypadek wykonać diagnostykę sprzętową. Proszę założ nowy temat w dziale Hardware i dostarcz dane wymagane działem: KLIK. Zlinkuj też do tego topiku, by było wiadome jaka była geneza, co już zrobione w systemie. Kto inny będzie się zajmował tematem w dziale sprzętowym, to nie jest moja specjalizacja.

Prawie wszystko zrobione. Jednak nadal na liście zainstalowanych są pozycje IObit Apps Toolbar v10.3 i Java 6 - nie widzisz tego? Usuwanie szczątków COMODO jeszcze nie skończone. W ramach bezpieczeństwa podzieliłam zadania i w skrypcie FRST tylko wyłączyłam sterowniki COMODO. Czas się ich pozbyć całkowicie. Kolejna porcja zadań: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis IObit Apps Toolbar v10.3 > Dalej. Powtórz zadanie dla Java™ 6 Update 31. Jeśli obu wpisów nie będzie widać w narzędziu, i tak zajmie się nimi punkt poniżej. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> D:\Programy\IObit Uninstaller\UninstallExplorer64.dll No File S2 CmdAgent; No ImagePath S4 cmderd; C:\Windows\System32\DRIVERS\cmderd.sys [20184 2014-12-09] (COMODO) S4 cmdGuard; C:\Windows\System32\DRIVERS\cmdguard.sys [792648 2014-12-09] (COMODO) S4 cmdHlp; C:\Windows\System32\DRIVERS\cmdhlp.sys [45880 2014-12-09] (COMODO) S4 inspect; C:\Windows\System32\DRIVERS\inspect.sys [104608 2014-12-09] (COMODO) C:\Windows\System32\DRIVERS\cmderd.sys C:\Windows\System32\DRIVERS\cmdguard.sys C:\Windows\System32\DRIVERS\cmdhlp.sys C:\Windows\System32\DRIVERS\inspect.sys DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\VLC media player Packages DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{26A24AE4-039D-4CA4-87B4-2F83216031FF} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{9192EBE9-2C4E-4C69-8ED8-CC0CCBFDBB62} CreateRestorePoint: Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Podsumuj jak działa system i czy wszystko w porządku po usuwaniu komponentów COMODO.

MBAM znalazł drobne szczątki adware oraz "downloadery" / instalatory mające adware. Wszystko do usunięcia. Program możesz zostawić w systemie, przyda się do skanów na żądanie. Przypominam: SpyHunter won. Na koniec wyczyść foldery Przywracania systemu i uzupełnij najnowsze wersje Adobe, Java oraz Internet Explorer: KLIK.

Nie widać żadnych obiektów adware, tylko drobne szczątki po niepoprawnie odinstalowanym AVG. Był w obrotach AdwCleaner, a nie można sprawdzić co robił, bo uruchomiłeś DelFix usuwający permanentnie logi. Działania poprawkowe: 1. Komputer firmowy, więc nie wiem czy można przeprowadzić dalsze deinstalacje związane już z innym oprogramowaniem. Konkretnie chodzi o pozbycie się starych niebezpiecznych wersji: Adobe Flash Player 14 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 25. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\WINDOWS\TEMP\{25D3E218-1AE8-49E1-A9BC-DF2284AE6F66}.exe Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{9A7B8BFE-9DF7-4CFA-9125-5B9C0208E058}.exe Task: C:\WINDOWS\Tasks\ROC_JAN2013_TB_rmv.job => C:\Program Files\AVG Secure Search\PostInstall\ROC.exe R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [37664 2013-05-21] (AVG Technologies) S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 massfilter; system32\drivers\massfilter.sys [X] S3 RTL8192su; system32\DRIVERS\RTL8192su.sys [X] S1 trjjvtvo; \??\C:\WINDOWS\system32\drivers\trjjvtvo.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] HKLM\...\Run: [] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-1004_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup C:\WINDOWS\system32\drivers\avgtpx86.sys CMD: rd /s /q "USERPROFILE%\Dane aplikacji\Azureus" CMD: del /q "USERPROFILE%\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Vuze.lnk" CMD: del /q "USERPROFILE%\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK" CMD: del /q "USERPROFILE%\Pulpit\PROGRAMY\Odkurzacz.lnk" CMD: del /q "USERPROFILE%\Pulpit\PROGRAMY\Szybkie Czyszczenie Dysku.lnk" CMD: del /q "USERPROFILE%\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GEST" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Dopisałeś tę informację w którymś momencie, nie widziałam tego wcześniej w poście. Infekcja blokuje. Infekcja nie chce się w ogóle usunąć i cały czas powraca. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe Task: {10B77EDF-C057-403D-A743-CAC4B85058EA} - System32\Tasks\wecutil => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [wecutil] => "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\RunOnce: [K79gM] => C:\Users\Kuba\AppData\Roaming\K79gM.exe [801792 2015-02-22] (Cortado AG) HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Policies\Explorer: [Run] "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Command Processor: "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wecutil.lnk C:\Users\Kuba\AppData\Roaming\*.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Nastąpi restart, opuść Tryb awaryjny, powstanie kolejny fixlog.txt. 2. Sprawdź czy możesz pobrać i uruchomić TDSKiller. Zrób też nowy log FRST z opcji Scan (z Addition) i dołącz fixlog.txt.

Brak oznak infekcji. Temat przenoszę, wstępnie do działu Hardware. W Dzienniku zdarzeń jest następujący zestaw błędów: System errors: ============= Error: (02/16/2015 10:51:10 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Garmin Core Update Service z powodu następującego błędu: %%1053 Error: (02/16/2015 10:51:10 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Garmin Core Update Service. Error: (02/16/2015 10:01:18 PM) (Source: iaStor) (EventID: 9) (User: ) Description: Urządzenie \Device\Ide\iaStor0 nie odpowiedziało w ramach ustalonego limitu czasu. Error: (02/16/2015 07:13:14 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Garmin Core Update Service z powodu następującego błędu: %%1053 Error: (02/16/2015 07:13:14 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Garmin Core Update Service. Error: (02/15/2015 05:35:24 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi DellDataVault. Error: (02/15/2015 05:08:11 PM) (Source: iaStor) (EventID: 9) (User: ) Description: Urządzenie \Device\Ide\iaStor0 nie odpowiedziało w ramach ustalonego limitu czasu. Error: (02/15/2015 04:00:01 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Garmin Core Update Service z powodu następującego błędu: %%1053 Error: (02/15/2015 04:00:01 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Garmin Core Update Service. Error: (02/15/2015 09:26:35 AM) (Source: DCOM) (EventID: 10010) (User: ) Description: {752073A1-23F2-4396-85F0-8FDB879ED0ED} 1. "Urządzenie \Device\Ide\iaStor0 nie odpowiedziało w ramach ustalonego limitu czasu" - ten błąd może być związany ze sterownikami Della lub jakimiś ustawienia kontrolera w BIOS, obniżonym transferem dysku z DMA do PIO, a nawet problemem stricte sprzętowym. Podaj model Della oraz specyfikację wymaganą w dziale: KLIK. 2. Wyłącz problematyczne usługi, a przy okazji i inne zbędne. Uruchom Autoruns, w karcie Services odznacz pozycje: DellDataVault, DellDataVaultWiz, Garmin Core Update Service, WinDefend (by widzieć tę ostatnią, należy mieć włączone poazywanie wpisów Microsoftu). Zresetuj system. Jeśli to nie problem z dyskiem, to jak zwykle w takich przypadkach podejrzane oprogramowanie zabezpieczające (tu: Avira).

Jest bez zmian. Na razie nie wiem jak to ugryźć. Gdy coś wymyślę, zgłoszę się.

Tak jak mówiłam, mamy tu źle doczyszczone adware i to nie tylko to zwracające błąd SysMenu.dll. Ale to nie koniec problemów - jest tu także niepoprawnie "odinstalowany" COMODO, który właściwie wygląda jak nie odinstalowany. Wszystkie sterowniki Comodo prują w tle. Jeśli używałeś do deinstalacji programu IOBit Uninstaller lub czegoś podobnego, to był błąd, powinno się używać natywny deinstalator COMODO (zasada tyczy też innych programów zabezpieczających). A sama firma IOBit nie jest godna zaufania, na sumieniu grzeszki (podejrzane związki partnerskie, adware w instalatorach, kradzież bazy MBAM w przeszłości). Ten IObit Malware Fighter słaby, a przy Avast kompletnie zbędny. Przeprowadź następujące działania: 1. Odinstaluj stare wersje i zbędniki: IObit Apps Toolbar v10.3 (adware od IOBit), IObit Malware Fighter, Java 8 Update 25, Java™ 6 Update 31, Surfing Protection. 2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej klik w Zmień ustawienia karty sieciowej > z prawokliku na każde obecne tam połączenie sieciowe pobierz Właściwości > na liście używanych komponentów podświetl pozycję COMODO, odinstaluj + restart systemu. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator > wyszukaj zdefektowany szczątek po komercyjnej wersji avast! Firewall NDIS Filter Miniport > z prawokliku odinstaluj i zresetuj system. 3. Otwórz Notatnik i wklej w nim: CreateRestorePoint: DisableService: cmderd DisableService: cmdGuard DisableService: cmdHlp DisableService: inspect R2 svcgdp; C:\Program Files (x86)\Software Plate\svcgdp.exe [224416 2012-07-02] (Beijing ELEX Technology Co., Ltd.) S2 CmdAgent; No ImagePath S3 cmdvirth; No ImagePath S0 sptd; No ImagePath S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] Task: {02A1542D-7D16-4DCE-AB12-C272E49A9CDE} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {43E4C5BE-9452-41CE-86C7-AE94599105B9} - System32\Tasks\{21CD9D93-ABB2-489A-8262-D8B77702CF95} => Chrome.exe http://ui.skype.com/ui/0/6.20.0.104/pl/abandoninstall?page=tsPlugin Task: {4659A0DE-EBF9-44E0-A1FF-45F375FB0D3A} - System32\Tasks\{8257FDA3-FEB3-48DA-BEA8-988202248EAE} => Chrome.exe http://ui.skype.com/ui/0/6.16.0.105/pl/abandoninstall?page=tsProgressBar Task: {56DEA540-7757-401F-97D9-ED4258460741} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe Task: {89F8E6C7-557D-46DA-B820-EE6EADFCD779} - System32\Tasks\{42533AC2-D226-47A5-AECF-32F839DAD083} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.5.0.117&LastError=404 Task: {91699E04-0D45-4679-ACCE-293F87A59317} - System32\Tasks\{D23F55FA-EED9-4199-87BB-EE3AC7C3FAF7} => Firefox.exe http://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar Task: {AC34A251-84BB-4560-BBAF-797E1C7A6354} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe Task: {AF507756-D567-48B4-8411-567252FA5894} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe Task: {C97BE190-22D0-43B5-A192-9D1CB4AD6CC1} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {ED30B592-DBEA-4A4A-B300-73BC2DC2BAE6} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe Task: {EDA7E35B-78AC-45D0-A3F8-E806870F55E6} - System32\Tasks\Driver Booster SkipUAC (Hubert) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {FE6D46D0-C76E-4D1A-9ADF-4430E4803B13} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe CHR HKU\S-1-5-21-3305830765-1307672135-6286609-1001\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hp&ts=1421438541&from=cor&uid=ST31000524AS_6VPCCGGSXXXX6VPCCGGS HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3305830765-1307672135-6286609-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com URLSearchHook: HKU\S-1-5-21-3305830765-1307672135-6286609-1001 - (No Name) - {5bcf818d-78c8-41b8-ba89-65c5fdac4fc4} - No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File C:\Program Files\COMODO C:\Program Files\Common Files\System\SysMenu.dll C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Software Plate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk C:\ProgramData\TEMP C:\Users\Hubert\AppData\Local\newhb2.crx C:\Users\Hubert\Downloads\AdwCleaner*.exe C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\pss\Start GeekBuddy.lnk.CommonStartup C:\Windows\System32\Tasks\COMODO DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\COMODO Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Start GeekBuddy.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MKLOL" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TrojanScanner" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tvncontrol" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, a błąd SysMenu.dll przy starcie systemu już się nie pokaże. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 5. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 7. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition (Shortcut nie jest mi już potrzebny), by powstały dwa logi. Dołącz też plik fixlog.txt oraz wszystkie raporty z folderu C:\AdwCleaner (nie uruchamiaj programu ponownie, chodzi o poprzednie wyniki co było usuwane)

Ale co właściwie chcesz odkręcać? Fixlist miał poprawną zawartość (usuwanie adware), w nowych raportach brak oznak infekcji i zadaję po raz trzeci pytanie czy problem reklam nadal występuje.

Nic z tego nie wynika. Usługa winmgmt jest uruchomiona (a uprzednio FIX.REG importował jej dane), repozytorium WMI spójne, a konto SYSTEM ma uprawnienia do folderu C:\Windows\System32\LogFiles\WMI\RtBackup. Zresetuj ponownie system i dla pewności zrób nowy log Addition.

Temat przenoszę do działu Windows, to nie jest problem infekcji. Co widać w raportach: 1. Uszkodzony system Usług kryptograficznych (baza catroot lub catroot2) - masowy odczyt braku podpisu cyfrowego prawie wszystkich usług i sterowników. To oznacza niedziałanie wielu funkcji i inne problemy. W tej kwestii: - Sprawdź czy masz zainstalowaną aktualizację KB3004394. Jeśli tak, odinstaluj. - Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, gdyż to on m.in. zawiera reset bazy catroot2. 2. Archaiczny ESET NOD32 Antivirus z roku 2009. Jeśli powyższa usterka z Usługami kryptograficznymi zostanie skorygowana, odinstaluj tę staroć via Panel sterowania. Następnie z poziomu Trybu awaryjnego Windows zastosuj ESET Uninstaller. 3. Po wszystkich operacjach zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition.

Proszę zacząć od zasad działu jakie materiały są obowiązkowe: KLIK. Wymagane są raporty z FRST. PS. Poprzedni tytuł przywróciłam, lepiej oddaje treść i przedstawia poblem. Notabene, to nie wirus tylko adware/PUP, a błąd się pojawia, gdyż w Harmonogramie zadań pozostały wpisy startowe. Do analizy potrzebne raporty FRST.

Sprawa mnie zadziwiła, nie wydawało mi się, by usługa śmiecia Ask była aż tak inwazyjna... Drobne poprawki przed zakończeniem spraw. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [] => [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable) RemoveDirectory: C:\Users\RHinplus\Downloads\FRST-OlderVersion CMD: del /q C:\Users\RHinplus\defogger_reenable CMD: del /q C:\Users\RHinplus\Desktop\defogger_disable.txt.log CMD: del /q C:\Users\RHinplus\Downloads\adwcleaner*.exe CMD: del /q C:\Users\RHinplus\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.13234784870129068.2.1.Run.exe CMD: del /q C:\Users\RHinplus\Downloads\Regdelnull*.zip CMD: del /q C:\Users\RHinplus\Downloads\7ih94nzj.exe CMD: del /q C:\Users\RHinplus\Downloads\d69j17jg.exe CMD: del /q C:\Users\RHinplus\Downloads\if68wy1w.exe CMD: del /q C:\Users\RHinplus\Downloads\nvm6d1oh.exe CMD: del /q C:\Users\RHinplus\Downloads\vqzkl26j.exe CMD: del /q C:\Users\RHinplus\Downloads\xsdhmsvh.exe CMD: del /q C:\Users\RHinplus\Downloads\y1q9bcol.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Z raportów nic nie wynika. Komputer działa wolno już podczas procesu startu, czy zaczyna spowalniać w trakcie użytkowania? Czy komputer nadal się przegrzewa?

Tu chodziło o wyczyszczenie po deinstalacji Google Chrome kluczy i folderów. Teraz jest to już nieistotne, bo zainstalowałeś przeglądarkę od nowa. Ona prezentuje się w raporcie jako "czysta" i już tym się nie zajmuj.

ruter321, proszę odinstaluj dla testu Avast i podaj rezultaty.

Odpowiedz na pytanie czy Vidalia z Torem to była celowa świadoma instalacja, bo nie mam pewności czy szyfrator tego nie zamontował. Niestety infekcja jest oporna, nie wszystko się usunęło i już nastąpiły rekonstrukcje. Mam też podejrzenie, że tu jest jakiś rootkit do kompletu, poprzednio GMER zaciemniony działaniem licznych procesów infekcji i miałam porównać ile aktywności się ulotni po usunięciu widocznych procesów startowych. Miałeś tylko odinstalować Google Chrome i nie instalować ponownie, a tu widzę że przeglądarka jest na miejscu i padł na łeb plan doczyszczania - nie mogę już zrobić tego co było pierwotnie planowane. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {10B77EDF-C057-403D-A743-CAC4B85058EA} - System32\Tasks\wecutil => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [wecutil] => "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\RunOnce: [79m1gM3g] => C:\Users\Kuba\AppData\Roaming\79m1gM3g.exe [801792 2015-02-22] (Cortado AG) HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Policies\Explorer: [Run] "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Command Processor: "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wecutil.lnk C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate C:\Users\Kuba\AppData\Roaming\79m1gM3g.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt (tym razem nie musisz już robić akcji z UTF-8) i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 2. Uruchom Kaspersky TDSSKiller. Jeśli cokolwiek wykryje, przyznaj Skip i tylko log zaprezentuj. 3. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition. Dołącz też plik fixlog.txt.

Log z GMER na wszelki wypadek możesz podać. No cóż, key-find z protectorem ustawień nabyłeś z serwisu dobreprogramy.pl, którego nazwa w ogóle już nie odbija jakości, częstując się ich Asystentem pobierania: KLIK. Na dysku widać nie budzący wątpliwości plik "Asystenta" i zaraz po nim pojawienie się komponentów "protectora": 2015-02-23 07:35 - 2015-02-23 07:35 - 00000000 ____D () C:\ProgramData\IHProtectUpDate 2015-02-23 07:35 - 2015-02-23 07:35 - 00000000 ____D () C:\Program Files\XTab 2015-02-23 07:33 - 2015-02-23 07:33 - 00710792 _____ (App Web ) C:\Users\Błysku\Downloads\Freemake-Video-Converter(20113)-dp.exe AKCJA NA KONCIE Blysku: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1424673280&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1424673280&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&q={searchTerms} HKU\S-1-5-21-859423121-132849420-3883132106-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=dspp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&q={searchTerms} HKU\S-1-5-21-859423121-132849420-3883132106-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST HKU\S-1-5-21-859423121-132849420-3883132106-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST HKU\S-1-5-21-859423121-132849420-3883132106-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=dspp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\XTab\SupTab.dll (Thinknice Co. Limited) StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.key-find.com/?type=sc&ts=1424673280&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Blysku\AppData\Roaming\Mozilla\Firefox\Profiles\2zl3p4u4.default-1424684247287\extensions\fftoolbar2014@etech.com CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Blysku\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File Task: {52E057F4-A6A3-4474-A62A-5CE529D9B68D} - System32\Tasks\{B6E1F1A2-555F-454A-8977-9112DE579C2D} => pcalua.exe -a C:\Users\Błysku\AppData\Roaming\key-find\UninstallManager.exe -c -ptid=cor C:\Program Files\Opera C:\Program Files\XTab C:\ProgramData\IHProtectUpDate C:\Users\Błysku\AppData\Local\Opera Software C:\Users\Błysku\AppData\Roaming\Opera Software C:\Users\Błysku\Downloads\*(*)-dp*.exe CMD: sc config WinDefend start= demand EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 2. Ponownie zresetuj Firefox. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. AKCJA NA KONCIE Błysku: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-859423121-132849420-3883132106-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150223 HKU\S-1-5-21-859423121-132849420-3883132106-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hp&ts=1424673280&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} FF HKU\S-1-5-21-859423121-132849420-3883132106-1000\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{08244EE6-92F0-47F2-9FC9-929BAA2E7235}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{16F3DD56-1AF5-4347-846D-7C10C4192619}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{1F486A52-3CB1-48FD-8F50-B8DC300D9F9D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{4E77131D-3629-431C-9818-C5679DC83E81}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{920E6DB1-9907-4370-B3A0-BAFC03D81399}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{99FD978C-D287-4F50-827F-B2C658EDA8E7}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> No File Path Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie fixlog.txt. 2. Na tym koncie także zresetuj Firefox. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Nie sprecyzowałeś od kiedy występuje problem. Jak mówiłam, podejrzany jest również Avast (instalowany pod koniec stycznia). Wykonaj testową deinstalację dla sprawdzenia rezultatów. Fix wykonany. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Nie wszystkie wyniki Hitman są istotne, "Malware" i "Suspicious files" do zignorowania. Do usunięcia będą jednak szczątki adware/PUP (Mobogenie, WinThruster, SpeedUpMyPC, Softonic) i ciastka: 1. W Google Chrome wyczyść Cookies. 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Program Files (x86)\Mobogenie RemoveDirectory: C:\Users\TNR\AppData\Local\Mobogenie RemoveDirectory: C:\Users\TNR\Desktop\Nowy folder (2)\FRST-OlderVersion RemoveDirectory: C:\Users\TNR\My Documents\Mobogenie DeleteKey: HKLM\SOFTWARE\Classes\speedupmypc DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd DeleteKey: HKU\S-1-5-21-1214679314-924237255-3835460894-1000\Software\Softonic CMD: del /q C:\Windows\system32\roboot64.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz tylko Szukaj (nic nie usuwaj) i dostarcz log z folderu C:\AdwCleaner.

A to dziwne, że jakichkolwiek zmian brak, jakieś powinny być (nawet jeśli nie te których oczekujesz), gdyż deinstalacja śmiecia YAC oznaczała usunięcie bardzo ingerenyjnych procesów (7 usług, w tym sześć sterowników). Jeśli nadal są jakieś problemy, sprawdzaj kolejne ostatnio doinstalowane programy - tu widać że był co dopiero instalowany MBAM. Odinstaluj go i sprawdź rezultaty. Jeśli i to nic nie wniesie poprawy, podejrzany jest Avast. W zakresie czyszczenia skończyliśmy. Drobna poprawka końcowa. Otwórz Notatnik i wklej w nim: S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] RemoveDirectory: C:\FRST\Quarantine Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.