picasso

To był dopiero początek. Teraz możemy przejść do dalszego usuwania, m.in. sterowniki adware ostały się. Kolejna porcja działań: 1. Pojawił się nowy "program" na liście - odinstaluj SystemBoost. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {089299d4-0680-4375-a6a9-d9a7c9109a71}Gw64; C:\Windows\System32\drivers\{089299d4-0680-4375-a6a9-d9a7c9109a71}Gw64.sys [48792 2015-02-06] (StdLib) R1 {dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}Gw64; C:\Windows\System32\drivers\{dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}Gw64.sys [48792 2015-02-12] (StdLib) R1 {e65048d8-bd76-44ed-ac28-c25d339ab590}Gw64; C:\Windows\System32\drivers\{e65048d8-bd76-44ed-ac28-c25d339ab590}Gw64.sys [48792 2015-02-09] (StdLib) R1 {feff35ba-2139-454f-bd8e-bc1ab8b3774d}Gw64; C:\Windows\System32\drivers\{feff35ba-2139-454f-bd8e-bc1ab8b3774d}Gw64.sys [48792 2015-02-08] (StdLib) R2 1991b13a; c:\Program Files (x86)\SystemBoost\SystemBoost.dll [1584640 2015-02-14] () [File not signed] S2 CltMngSvc; C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe [3505936 2015-01-28] () [File not signed] S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-03] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-03] (globalUpdate) [File not signed] S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [715656 2014-12-25] () [File not signed] S4 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-25] () [File not signed] S1 wpnfd_1_10_0_6; system32\drivers\wpnfd_1_10_0_6.sys [X] Task: {0D9868FB-3625-4AEC-BAD0-C68A6296D399} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {1F4DCA95-636F-4382-B80E-7D4C4583A5BE} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-02-03] (globalUpdate) Task: {4B297BBA-2CDB-4F14-94ED-D8A4A7E0BB30} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {549F9B7E-C92C-48E7-9712-42CC1FC22F44} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {6AE89E44-81A8-4080-9849-0C3DB94CA097} - System32\Tasks\Taplika => C:\Users\Masa\AppData\Roaming\Taplika\UpdateProc\UpdateTask.exe [2015-02-06] () Task: {D9895477-3D4E-4B56-B7A7-AD44A9A4D4AC} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-02-03] (globalUpdate) Task: {E2FD4A0B-622C-496C-B515-679A40710B7F} - System32\Tasks\avaxvavya => C:\Users\Masa\AppData\Local\avaxvavya\avaxvavya.exe [2015-01-28] () Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\Taplika.job => C:\Users\Masa\AppData\Roaming\Taplika\UPDATE~1\UPDATE~1.EXE AppInit_DLLs-x32: _c:\progra~2\search~1\search~1\bin\vc32lo~1.dll => c:\Program Files (x86)\SearchProtect\SearchProtect\bin\VC32Loader.dll [219408 2015-01-28] () Startup: C:\Users\Masa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TornTvDownloader.lnk HKLM\...\Run: [3D BubbleSound] => "C:\Program Files\BubbleSound\3D BubbleSound.exe" HKLM-x32\...\Run: [gmsd_de_174] => [X] HKLM-x32\...\Run: [gmsd_de_187] => [X] HKLM-x32\...\Run: [gmsd_de_192] => [X] HKLM-x32\...\RunOnce: [Taplika] => C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\Masa\AppData\Roaming\Taplika\UpdateProc\bkup.dat" HKU\S-1-5-21-4164922102-3460450381-1936108056-1000\...\Run: [TornTv Downloader] => C:\Users\Masa\AppData\Roaming\TornTV.com\Torntv Downloader.exe /c=startup HKU\S-1-5-21-4164922102-3460450381-1936108056-1000\...\RunOnce: [Taplika] => C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\Masa\AppData\Roaming\Taplika\UpdateProc\bkup.dat" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX ShortcutWithArgument: C:\Users\Masa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX ShortcutWithArgument: C:\Users\Masa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX ShortcutWithArgument: C:\Users\Masa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms} HKU\S-1-5-21-4164922102-3460450381-1936108056-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://taplika.com/?f=1&a=tpl_tuto2_15_06&cd=2XzuyEtN2Y1L1Qzuzz0Czzzy0AyDtDtCzyyD0EyBzy0B0FyBtN0D0Tzu0StCtCtAtBtN1L2XzutAtFyBtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StDyB0CtC0C0FtA0FtGtCyByEtAtG0DtD0CtCtGtBtC0CtCtGyEzz0B0CtA0EyDyEtAyE0F0A2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDyDtB0B0CtDtB0EtG0BzytCzztGyEyCtDyDtG0AyCtDtBtGyE0Bzzzy0CyD0AyDzytC0FyB2Q&cr=1211795611&ir= HKU\S-1-5-21-4164922102-3460450381-1936108056-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms} SearchScopes: HKLM -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_tuto2_15_06&cd=2XzuyEtN2Y1L1Qzuzz0Czzzy0AyDtDtCzyyD0EyBzy0B0FyBtN0D0Tzu0StCtCtAtBtN1L2XzutAtFyBtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StDyB0CtC0C0FtA0FtGtCyByEtAtG0DtD0CtCtGtBtC0CtCtGyEzz0B0CtA0EyDyEtAyE0F0A2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDyDtB0B0CtDtB0EtG0BzytCzztGyEyCtDyDtG0AyCtDtBtGyE0Bzzzy0CyD0AyDzytC0FyB2Q&cr=1211795611&ir= SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms} SearchScopes: HKLM -> {589B893E-773C-4941-88C2-0DCC718E621C} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms} SearchScopes: HKU\S-1-5-21-4164922102-3460450381-1936108056-1000 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_tuto2_15_06&cd=2XzuyEtN2Y1L1Qzuzz0Czzzy0AyDtDtCzyyD0EyBzy0B0FyBtN0D0Tzu0StCtCtAtBtN1L2XzutAtFyBtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StDyB0CtC0C0FtA0FtGtCyByEtAtG0DtD0CtCtGtBtC0CtCtGyEzz0B0CtA0EyDyEtAyE0F0A2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDyDtB0B0CtDtB0EtG0BzytCzztGyEyCtDyDtG0AyCtDtBtGyE0Bzzzy0CyD0AyDzytC0FyB2Q&cr=1211795611&ir= SearchScopes: HKU\S-1-5-21-4164922102-3460450381-1936108056-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_tuto2_15_06&cd=2XzuyEtN2Y1L1Qzuzz0Czzzy0AyDtDtCzyyD0EyBzy0B0FyBtN0D0Tzu0StCtCtAtBtN1L2XzutAtFyBtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StDyB0CtC0C0FtA0FtGtCyByEtAtG0DtD0CtCtGtBtC0CtCtGyEzz0B0CtA0EyDyEtAyE0F0A2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDyDtB0B0CtDtB0EtG0BzytCzztGyEyCtDyDtG0AyCtDtBtGyE0Bzzzy0CyD0AyDzytC0FyB2Q&cr=1211795611&ir= SearchScopes: HKU\S-1-5-21-4164922102-3460450381-1936108056-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms} SearchScopes: HKU\S-1-5-21-4164922102-3460450381-1936108056-1000 -> {589B893E-773C-4941-88C2-0DCC718E621C} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3330130&octid=EB_ORIGINAL_CTID&ISID=M00C716EB-9838-4600-A7CF-2C526BD15C9E&SearchSource=58&CUI=&UM=8&UP=SPB28B4711-4CBB-4B83-98B5-99FF36603867&q={searchTerms}&SSPV= BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\omiga-plus.xml FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Masa\AppData\Roaming\Mozilla\Firefox\Profiles\cyk539n4.default\extensions\faststartff@gmail.com StartMenuInternet: FIREFOX.EXE - firefox.exe C:\AI_RecycleBin C:\Program Files (x86)\Adblock for Gmail C:\Program Files (x86)\ApptoUa C:\Program Files (x86)\FineeDealSaOeft C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\MyPC Backup C:\Program Files (x86)\predm C:\Program Files (x86)\SearchProtect C:\Program Files (x86)\SooftCooup C:\Program Files (x86)\SupTab C:\Program Files (x86)\SystemBoost C:\Program Files (x86)\WebbsAveER C:\ProgramData\28c34e92bb2ca7ad C:\ProgramData\2937277774088153005 C:\ProgramData\ApptoUa C:\ProgramData\CouponFactory C:\ProgramData\e8df2bc8000026f4 C:\ProgramData\IePluginServices C:\ProgramData\SharkManCoupon C:\ProgramData\Uniblue C:\ProgramData\WebbsAveER C:\ProgramData\WindowsMangerProtect C:\Users\Masa\AppData\Local\nsa6E49.tmp C:\Users\Masa\AppData\Local\nsiDDBD.tmp C:\Users\Masa\AppData\Local\proxy.log C:\Users\Masa\AppData\Local\avaxvavya C:\Users\Masa\AppData\Local\ContextTrue C:\Users\Masa\AppData\Local\Gameo C:\Users\Masa\AppData\Local\GGEmpire C:\Users\Masa\AppData\Local\Google C:\Users\Masa\AppData\Local\Pirates C:\Users\Masa\AppData\Local\SearchProtect C:\Users\Masa\AppData\Local\Sparta C:\Users\Masa\AppData\Local\StormFall C:\Users\Masa\AppData\Roaming\HBTTGY.exe C:\Users\Masa\AppData\Roaming\OKXJLUU.exe C:\Users\Masa\AppData\Roaming\AnyProtectEx C:\Users\Masa\AppData\Roaming\BRT C:\Users\Masa\AppData\Roaming\EurekaLog C:\Users\Masa\AppData\Roaming\GoldenGate C:\Users\Masa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Masa\AppData\Roaming\Pirates946 C:\Users\Masa\AppData\Roaming\Pro PC Cleaner C:\Users\Masa\AppData\Roaming\StormFall C:\Users\Masa\AppData\Roaming\Taplika C:\Users\Masa\AppData\Roaming\TornTV.com C:\Users\Masa\Downloads\Installation*.exe C:\Users\UpdatusUser\Desktop\MagnoPlayer.lnk C:\Windows\patsearch.bin C:\Windows\system32\OptimizerMonitorOff.ini C:\Windows\System32\drivers\{089299d4-0680-4375-a6a9-d9a7c9109a71}Gw64.sys C:\Windows\System32\drivers\{dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}Gw64.sys C:\Windows\System32\drivers\{e65048d8-bd76-44ed-ac28-c25d339ab590}Gw64.sys C:\Windows\System32\drivers\{feff35ba-2139-454f-bd8e-bc1ab8b3774d}Gw64.sys C:\Windows\system32\Drivers\Msft_Kernel_webinstrNHKT_01009.Wdf C:\Windows\SysWOW64\OptimizerMonitor.ini C:\Windows\SysWOW64\OptimizerMonitorOff.ini Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{1991b13a} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1) /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SearchProtect /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Masa\AppData\Local CMD: dir /a C:\Users\Masa\AppData\LocalLow CMD: dir /a C:\Users\Masa\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition (Shortcut już nie jest potrzebny). Dołącz też plik fixlog.txt.

Brak trzeciego obowiązkowego raportu FRST Shortcut. Rozpocznij od poprawnych deinstalacji adware i programów, w drugiej fazie będą poprawki. Akcja: 1. Przez Panel sterowania odinstaluj: - Adware: AppEnable, Search App by Ask, Yahoo! Search. - Zbędniki i stare wersje: Adobe Shockwave Player 12.1, Akamai NetSession Interface, Google Toolbar for Internet Explorer, Java 8 Update 25. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis McAfee Shared C Run-time for x64 > Dalej. 3. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition + Shortcut, by powstały trzy logi.

Jest tu niewiarygodna ilość obiektów adware! Na początek maksymalna ilość poprawnych deinstalacji, potem będziemy poprawki robić. Do wdrożenia następujące działania: 1. Przez Panel sterowania odinstaluj adware i instalacje sponsorowane: AnyProtect, ApptoUa, BlockAndSurf, Browser Good, BubbleSound, Buzzdock, ContextTrue, ConvertAd, FineeDealSaOeft, Gameo, GamesDesktop 014.174, GamesDesktop 014.187, GamesDesktop 014.192, IGS, igsc, MagnoPlayer, McAfee Security Scan Plus, MedPLyerV1.2, Pirates, PlusHD Cinema 2.1cV02.02, Remote Desktop Access (VuuPC), Search Protect, SegmentBuilder, SharkManCoupon, SmartWeb, SooftCooup, StormFall, StormWatch, Taplika, Wajam, WebbsAveER, WinCheck, Word Proser 1.10.0.6, WSE_Taplika 2. Uruchom też te skróty deinstalacyjne: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uniblue\DriverScanner\Uninstall DriverScanner.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WIntEnhance\Uninstall Wajam\uninstall.lnk 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut, by powstały trzy logi.

W załącznikach można umieszczać tylko pliki o rozszerzeniu *.TXT, *.LOG jest wykluczony. W instrukcji robienia raportu GMER jest powiedziane, by użyć opcję Kopiuj i zapisać do nowego pliki, wtedy nie ma problemu. By dołączyć już zapisany plik o niedozwolonym rozszerzeniu, po prostu zapisz go do nowego pliku TXT. Zestaw logów FRST niekompletny - brak trzeciego pliku FRST Shortcut. Jest w systemie duża ilość obiektów adware, na dodatek adware przekonwertowało całą przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana kompleksowa reinstalacja. Na początek maksymalna ilość poprawnych deinstalacji, a potem dopiero będą inne poprawki. Nic nowego nie instaluj na razie. 1. Przez Panel sterowania odinstaluj: - Adware: $crrUnisntlDsply$, buyfAst, CommonShare, FreeSoftToday 008.8, GPU Monitor, Update for Zip Opener, VuuPC Packages, Word Proser 1.10.0.1, Yahoo! Search. - Poszkodowaną przeglądarkę, zbędniki i stare wersje: eBay Worldwide, Google Chrome, Google Toolbar for Internet Explorer, Live Updater, McAfee Internet Security (za dużo antywirusów!), McAfee SiteAdvisor, MyFreeCodec, OpenOffice.org 3.4.1, Opera 12.15. Przed deinstalacją Chrome wyeksportuj zakładki i nic więcej. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei wpisy adware Internet Explorer Toolbar 4.7 by SweetPacks, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1 > Dalej. Narzędzie należy uruchomić trzy razy, gdyż nie umożliwia akcji hurtowej. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut, by powstały trzy logi.

Infekcję złapałeś otwierając prawdopodobnie e-mail z preparowanym załącznikiem. Tak, odszyfrowanie danych załatwionych przez CTB-Locker nie jest możliwe. Podaj nowe raporty FRST (główny + Addition + Shortcut), bo należy doczyścić infekcję. Antywirus - nie polecam żadnej szczególnej marki, obojętny antywirus z puli wiodących będzie OK. Do zabezpieczenia przed infekcjami szyfrującymi można zastosować małe narzędzie CryptoPrevent.

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 15-10-2014 02 (ATTENTION: ====> FRST version is 121 days old and could be outdated) Posługujesz się starym FRST pozbawionym nowych skanów i poprawek - proszę pobierz najnowszą wersję i z przyklejonego i zrób nowe logi (wszyskie trzy): KLIK. A logi OTL nie są już obowiązowe, usuwam. Od razu powiem, że infekcja CTB-Loker = odzszyfrowanie danych jest awykonalne.

Proszę o dostarczenie raportu FRST z poziomu środowiska zewnętrznego: KLIK.

1. Uruchom AdwCleaner ponownie. Wywołaj Szukaj. W karcie Folders odznacz te dwa: C:\Program Files (x86)\OneClickInternet C:\Users\Ewa\AppData\Roaming\OneClickInternet Następnie użyj opcję Usuń. Gdy AdwCleaner ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Ewa\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\wangjihua RemoveDirectory: C:\Users\wangzhisong Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Sprawdź czy zmieni się sytuacja jeśli tymczasowo (na czas jednej rundy z resetem) trwale zdeaktywujesz moduły Kasperskiego. Nie pamiętam opcji PURE, szukaj opcji związanych z osłoną proaktywną / ochroną procesów. Fix FRST się nie wykonał do końca i zatrzymał w połowie. W spoilerze powtórka.

Wizavo, temat sprzątam z "przypominajek". Jeśli nie ma odpowiedzi, to po prostu nikt może nie mieć pomysłu jak to rozwiązać, ani czasu by się przyjrzeć sprawie. Jeśli ktoś będzie miał coś do powiedzenia, to się wypowie samodzielnie. Jeśli chodzi o problem numer dwa, to wygląda na wynik autoresetu powłoki explorer.exe. W Dzienniku zdarzeń powtarza się błąd: Application errors: ================== Error: (12/12/2014 01:09:07 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.3.9600.17284, sygnatura czasowa: 0x53f816dc Nazwa modułu powodującego błąd: QtCore_Ad_SyncNs_4.dll_unloaded, wersja: 4.8.2.0, sygnatura czasowa: 0x50d3fca7 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00000000000265fe Identyfikator procesu powodującego błąd: 0x5dc Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0 Ścieżka aplikacji powodującej błąd: Explorer.EXE1 Ścieżka modułu powodującego błąd: Explorer.EXE2 Identyfikator raportu: Explorer.EXE3 Pełna nazwa pakietu powodującego błąd: Explorer.EXE4 Identyfikator aplikacji względem pakietu powodującego błąd: Explorer.EXE5 Error: (12/12/2014 00:23:41 AM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program Explorer.EXE w wersji 6.3.9600.17284 przestał współpracować z systemem Windows i został zamknięty. Aby sprawdzić, czy jest dostępnych więcej informacji na temat tego problemu, sprawdź historię problemu w aplecie Centrum akcji w Panelu sterowania. Moduł przyczynowy: QtCore_Ad_SyncNs_4.dll. Jest to problematyczne rozszerzenie Autodesk: KLIK. Spróbuj wyłączyć zarejestrowane rozszerzenia QtCore_Ad_SyncNs_4.dll. Uruchom ShellExView x64, wyszukaj wszystkie wpisy związane z tym plikiem i wyłącz, zresetuj system. Podaj czy nadal występuje problem z niestałym układem ikon na Pulpicie. PS. Do czyszczenia są też wpisy adware. Jako, że logi zostały podane dawno temu, zrób nowe raporty FRST z najnowszej wersji (tym razem nie wyłączaj Whitelisty dla Services i Drivers).

Nie przymierzaj się do tego pobranego ComboFix. Temat przenoszę do działu Windows. Nie jest to problem infekcji. Są tylko drobne ślady adware w Google Chrome, ale to sprawa poboczna i w ogóle się nie wiąże ze sprawą. * Z raportów nic kompletnie nie wynika. Z widocznych nowych obiektów jest niejaki USB PnP Sound Device: ==================== Installed Programs ====================== USB PnP Sound Device (HKLM-x32\...\{71B53BA8-4BE3-49AF-BC3E-07F392006300}) (Version: 1.00.0006 - C-Media Electronics, Inc.) ==================== One Month Created Files and Folders ======== 2015-02-12 15:56 - 2015-02-12 17:46 - 00000567 _____ () C:\WINDOWS\system\Cm108.ini 2015-02-12 15:56 - 2015-02-12 15:56 - 00000267 _____ () C:\WINDOWS\Cm108.ini.cfl 2015-02-12 15:56 - 2015-02-12 15:56 - 00000214 _____ () C:\WINDOWS\Cm108.ini.imi 2015-02-12 15:56 - 2015-02-12 15:56 - 00000125 _____ () C:\WINDOWS\system\Dlap.pfx 2015-02-12 15:56 - 2015-02-12 15:56 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\USB PnP Sound Device 2015-02-12 15:56 - 2013-01-14 04:59 - 00001917 ____N () C:\WINDOWS\Cm108.ini.cfg 2015-02-12 15:56 - 2013-01-01 13:40 - 00827904 ____N () C:\WINDOWS\system32\Cmeau108.exe 2015-02-12 15:56 - 2012-12-24 07:06 - 00000638 ____N () C:\WINDOWS\USetup.iss 2015-02-12 15:56 - 2012-11-20 04:17 - 12935168 ____N (C-Media Corporation) C:\WINDOWS\SysWOW64\CM108.dll 2015-02-12 15:56 - 2012-10-04 09:59 - 04331520 _____ (C-Media Electronics Inc) C:\WINDOWS\system32\Drivers\CM10864.sys 2015-02-12 15:56 - 2012-09-04 09:58 - 00315392 _____ (C-Media Electronics Inc.) C:\WINDOWS\system\fltr108.dll 2015-02-12 15:56 - 2012-06-06 02:56 - 00143360 ____N () C:\WINDOWS\Vmix108.dll 2015-02-12 15:56 - 2012-06-04 07:15 - 04533760 ____N () C:\WINDOWS\system32\CM108.cpl 2015-02-12 15:56 - 2009-08-18 18:00 - 00359424 ____N () C:\WINDOWS\system32\CmiInstallResAll64.dll 2015-02-12 15:56 - 2006-10-05 07:45 - 00524768 ____R (Microsoft Corporation) C:\WINDOWS\difxapi.dll 2015-02-12 15:56 - 2006-09-13 03:21 - 00200704 ____N (C-Media) C:\WINDOWS\SysWOW64\cmpa108.dll Proponuję sprawdzić co się stanie po deinstalacji tego oprogramowania. Jeśli nie będzie wyników, to na myśl przychodzi mi Przywracanie systemu do czasu, gdy nie było problemu. Są tu następujące punkty: ==================== Restore Points ========================= 28-01-2015 14:41:27 Windows Update 06-02-2015 13:18:17 Removed Droid Explorer 0.6.0.0 (x64) 11-02-2015 14:32:49 Windows Update 12-02-2015 15:56:50 Installed USB PnP Sound Device * PS. W spoilerze drobnostki do usunięcia, ale nie ma to żadnego znaczenia pod kątem problemu i w niczym nie pomoże. To do wykonania dopiero po ewentualnym Przywracaniu systemu, które wszystko by i tak odkręciło.

Jeśli chodzi o drugi temat, to został przeniesiony do właściwego działu. Dział pomocy doraźnej służy rozwiązywaniu problemów z infekcjami, a nie innych problemów systemowych. Czy zastosowałeś zalecane Przywracanie systemu i problem naprawiony? Jeśli tak, to możesz wykonać czynności zadane poniżej: W Google Chrome jest niepożądane rozszerzenie śledzące. Ale poza tym nie ma tu oznak czynnej infekcji i tylko drobne działania "kosmetyczne" do wykonania, tzn. usunięcie wpisów pustych, artefaktów wstawionych przez ComboFix oraz czyszczenie Temp. NA KONCIE ADMIN: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj śledzący Hover Zoom. Opis dlaczego jest to niepożądane rozszerzenie (niestety po angielsku): KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 RTHDMIAzAudService; system32\drivers\RtHDMIVX.sys [X] Task: {1C8C81A2-8FD5-411C-A683-A8D3DCE6AE2B} - System32\Tasks\HP Deskjet 2050 J510 series.exe_{833C6AE2-B7D3-4281-9C6A-FF73F0C59724} => C:\Program Files\HP\HP Deskjet 2050 J510 series\Bin\HP Deskjet 2050 J510 series.exe Task: {7F102E2D-80FB-4BF3-8075-F6C0EA9BB7B5} - System32\Tasks\HPCustPartic.exe_{CF06C799-5451-41A4-BD66-798A21A5AC13} => C:\Program Files\HP\HP Deskjet 2050 J510 series\Bin\HPCustPartic.exe) Task: {83E79CF2-EA74-4458-B47C-5322737D2969} - System32\Tasks\{E30DBFBA-537F-4288-A3F7-3FD4DF584E68} => pcalua.exe -a C:\Users\Admin\Downloads\SPTD2inst-v202-x86.exe -d C:\Users\Admin\Downloads Task: {C6CDED1C-6010-4C57-BAA1-1F879A2A89CB} - System32\Tasks\Toolbox.exe_{7C24517E-973D-4D3D-A1E5-50A77BA559AF} => C:\Program Files\HP\HP Deskjet 2050 J510 series\Bin\Toolbox.exe Task: {D6B91707-BA37-4A1F-99B6-7BC952CF5F13} - System32\Tasks\{0BEF1739-245D-4D5C-AC01-ECB8CE15954A} => C:\Program Files (x86)\ezHTML\ezHTML.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3550082035-2878343640-584771193-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3550082035-2878343640-584771193-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch C:\ProgramData\HP C:\Users\Admin\AppData\Local\HP C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Soda PDF 3D Reader.lnk C:\Users\Admin\Downloads\SPTD*.exe C:\Users\Tadeusz\AppData\Local\HP C:\Users\Tadeusz\AppData\Roaming\Mozilla CMD: sc config WinDefend start= demand Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz ynikowy log z folderu C:\AdwCleaner. NA KONCIE TADEUSZ: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj śledzący Hover Zoom. 2. Otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-3550082035-2878343640-584771193-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.doko-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=8A1D902B34AAB62C&affID=125839&tsp=5039 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Proszę nie edytuj już poprzednich postów, udzielasz odpowiedzi w nowo napisanym.

Był tu stosowany ComboFix i na ten temat: KLIK. Temat przenoszę do działu Windows. Nie jest to problem infekcji. Owszem, są tu niepożądane obiekty adware (GoodGameEmpire, PrivitizeVPN oraz zaśmiecone Google Chrome przekonwertowane przez adware ze stabilnej do developerskiej), ale to nie jest powiązane z problemami. W spoilerze masz akcje poboczne związane doczyszczaniem tych śmieci i innych szczątków (np. Firefox) plus usunięcie niekompatybilnego sterownika: System errors: ============= Error: (02/12/2015 09:42:00 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \SystemRoot\SysWow64\DRIVERS\kqemu.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. 1. Zacznij od sprawdzenia głównego podejrzanego zazębiającego się ze wszystkimi opisanymi sferami, czyli ESET Smart Security. Testowo go odinstaluj i sprawdź efekty. 2. Druga sprawa: w logu główne lokalizacje mają masowo przypisany atrybut C = Compressed. Układ sugeruje, że został skompresowany cały dysk C. To nie jest dobre posunięcie przy komponentach do których jest stale wymagany dostęp i może spowalniać dostęp. Zdejmij rekursywnie kompresję z C:.

Czyszczenie w zakresie infekcji zasadniczej ukończone. Drobna uwaga: były usuwane zaszyfrowane pliki z katalogów określonych aplikacji, to nie jest poważny problem, ale gdyby ubytki obrazków / dokumentów programów objawiły się w widoczny sposób, po prostu dany program przeinstaluj. Ostatnia akcja pomyślnie wykonana. Ze względu na obiekty typu adware/PUP jeszcze dodaj na wszelki wypadek skan z AdwCleaner. Wybierz tylko opcję Szukaj i dostarcz raport z C:\AdwCleaner.

I znowu nie do końca udane podejście, przeklejając przełamujesz linie tam gdzie nie powinieneś. Przez SHIFT+DEL (omija Kosz) ręcznie dokasuj ten plik: C:\Users\zawias\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk

są tu następujące problemy: - System został zainfekowany - uruchamia się fałszywy proces svchost.exe, który dba o to, by podpinane urządzenia USB zostały zainfekowane. Pendrive jest zainfekowany również, foldery nie zmieniły się w pliki EXE tylko zostały ukryte, a te pliki EXE to pliki infekcji. - W przeglądarce Firefox jest adware Solution Real 1.0.1. - Poza tym, są tu zainstalowane wątpliwe skanery z czarnej listy (z daleka od tych dziadostw!) SpyHunter, YAC(Yet Another Cleaner!). Operacje do przeprowadzenia: 1. Odinstaluj wątpliwe skanery, zbędniki i stare wersje: Adobe Reader X (10.1.11) - Polish, Adobe Shockwave Player 12.1, , Facebook Messenger 2.1.4814.0 (już nie działa), IObit Toolbar v9.7, Java 7 Update 45, Java™ 6 Update 20, Java™ 6 Update 31, OpenOffice.org 3.2, SpyHunter, YAC(Yet Another Cleaner!), Yahoo! Install Manager. 2. Zakładam, że pendrive jest nadal podpięty i widoczny pod literą G:\. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1372833441-2193563211-3988756166-1000\...\Run: [system Network Service] => C:\Users\pc\AppData\Roaming\System32\svchost.exe [951808 2015-02-13] () HKLM\...\RunOnce: [] => [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-1372833441-2193563211-3988756166-1000 -> {201C0670-22C5-49D4-A624-980FC9D5E537} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=382950&p={searchTerms} SearchScopes: HKU\S-1-5-21-1372833441-2193563211-3988756166-1000 -> {80F6F76F-0EAB-4252-B8F8-E7048BB9CA69} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=382950&p={searchTerms} FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin: yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 -> C:\Program Files\Yahoo!\Common\npyaxmpb.dll (Yahoo! Inc.) FF Plugin HKU\S-1-5-21-1372833441-2193563211-3988756166-1000: ubisoft.com/uplaypc -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext CustomCLSID: HKU\S-1-5-21-1372833441-2193563211-3988756166-1000_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File Task: {1027F3B3-B482-404F-AD66-97FD3081C714} - System32\Tasks\{16F19419-BDF5-4205-910E-B26C657FE8D3} => pcalua.exe -a "D:\Krzysiek\Pro Evolution Soccer 6 Rip\mk_icon.exe" -d "D:\Krzysiek\Pro Evolution Soccer 6 Rip" Task: {1D0FF6CA-40C5-49E0-B109-2D69F8079973} - System32\Tasks\{BE4E6A6A-D62C-4CFD-8FEF-78DCC89BA5AF} => Firefox.exe http://www.skype.com/go/downloading?source=installer&ver=6.21.0.104&LastError=-9 Task: {1D21BF83-B113-4382-901F-DF96E14161C6} - System32\Tasks\{37F93DC3-1B39-42B1-9684-F18FE4DAC368} => D:\Program Files\League of Legends\lol.launcher.exe Task: {213F8B95-109A-4DC1-A247-4A43C177DAF9} - System32\Tasks\{F5330131-01A0-4EB4-B150-C3187F4DC08F} => pcalua.exe -a "D:\Program Files\Fifa\FIFA 13\__Installer\dotnet\dotnet35sp1\redist\dotnetfx35.exe" -d "D:\Program Files\Fifa\FIFA 13\__Installer\dotnet\dotnet35sp1\redist" Task: {6588244E-C1B3-4E14-9AAD-9ABC28C6C318} - System32\Tasks\{F545566E-0B9E-4C58-89E5-0298AC9115BC} => pcalua.exe -a "D:\Program Files\ChomikPobrane\TS3\Sims3Setup.exe" -d "D:\Program Files\ChomikPobrane\TS3" Task: {8637FB7A-B1E2-4A3D-AE02-7BB19B11D1E7} - System32\Tasks\{2262BF40-438D-487D-92CC-8DCE99AC122A} => Firefox.exe http://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar Task: {8D5B46C0-94F8-49F3-B1DA-97B9063E563A} - System32\Tasks\{CD39F1EF-522C-42E3-A7EB-4C01A9341F47} => pcalua.exe -a "D:\Program Files\Hi-Rez Studios\HiRezGamesDiagAndSupport.exe" -c uninstall=all Task: {8F3E7E2B-A8F3-49BA-B3B7-33925E73E07F} - System32\Tasks\{0B66048D-05F0-403A-B669-6C81850D79D5} => pcalua.exe -a "D:\Program Files\ChomikPobrane\The SIMS 4-Deluxe Edition-SKIDROWCRACK\__Installer\vp6\vp6install.exe" -d "D:\Program Files\ChomikPobrane\The SIMS 4-Deluxe Edition-SKIDROWCRACK\__Installer\vp6" Task: {A2E78A3B-DF0B-458F-BD68-AA844D2E568B} - System32\Tasks\{DE63A1EA-2FF9-456B-A5D1-358758DBEE1E} => pcalua.exe -a "D:\Program Files\ChomikPobrane\The Sims 3 Island Paradise [MULTI5][PCDVD][P2P][WwW.GamesTorrents.CoM]\p2p-ts3ip\p2p-ts3ip\Sims3EP10\Sims3EP10Setup.exe" -d "D:\Program Files\ChomikPobrane\The Sims 3 Island Paradise [MULTI5][PCDVD][P2P][WwW.GamesTorrents.CoM]\p2p-ts3ip\p2p-ts3ip\Sims3EP10" Task: {B4D6F6C8-FC70-4DB9-A32D-EF16A32891A6} - System32\Tasks\{6FEECA60-B62A-413A-9420-6BC41F26D296} => pcalua.exe -a "D:\Program Files\Nowy folder (2)\autorun.exe" -d "D:\Program Files\Nowy folder (2)" Task: {CF8F35BE-D640-4ED7-86C0-BC61484D5C58} - System32\Tasks\{EC9F7AAC-D590-46EE-A15E-D87F2D577209} => pcalua.exe -a "D:\Krzysiek\Simsy dodatki\1\Sims3EP01Setup.exe" -d "D:\Krzysiek\Simsy dodatki\1" Task: {E812B9F9-6B0C-47EA-A59D-EE7F4CA4C50C} - System32\Tasks\Ad-Aware Antivirus Scheduled Scan => D:\PROGRA~1\TERRAR~1.2CR\AdAwareLauncher.exe Task: {E9F0B250-A273-4066-909A-99188D16B028} - \SpyHunter4Startup No Task File R0 gfibto; C:\Windows\System32\drivers\gfibto.sys [13560 2012-12-15] (GFI Software) S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X] S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] S3 vtany; \??\C:\Windows\vtany.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] C:\user.js C:\ProgramData\IObit\Game Booster 3\BackLnk\*.lnk C:\Users\pc\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\pc\AppData\Roaming\System32 C:\Windows\System32\drivers\gfibto.sys D:\msdownld.tmp G:\Nowy folder.exe G:\Pola.exe CMD: attrib /d /s -s -h G:\* Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 4. Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie Addition) oraz USBFix z opcji Listing. Dołącz też plik fixlog.txt.

A jak jest skonfigurowana pamięć wirtualna? Z ogłoszenia:

Temat założony w niewłaściwym dziale Hardware, podaj o jakim systemie mowa, gdyż temat zostanie przeniesiony. Metoda obliczania miejsca przez zaznaczanie wszystkich pozornie widocznych obiektów jest zupełnie niewiarygodna, tym sposobem nie są obliczane elementy do których brak dostępu np. ze względu na specyficzne uprawnienia. Do diagnostyki miejsca skorzystaj z programu SpaceSniffer. Program należy wywołać przez "Uruchom jako Administrator", by pobrał dane np. o System Volume Information.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Skasuj plik C:\Delfix.txt z dysku. Oczywiście możesz zainstalować najnowsze wersje programów - lista podstawowa w tym samym linku, w którym był Delfix.

Wiele "Koszy", gdyż w folderze kosza są podfoldery związane z SID konkretnego konta. Powiedz konkretnie co to za narzędzie i która akcja pokazuje te wyniki. Czy na pewno nie jest to stara zapamiętana historia wyszukiwania (która już nie ma odbicia w tym co rzeczywiście jest na dysku)? I już się gubię o czym mowa i o co Ci tu chodzi. Pierwotnie problem był nakreślony w następujący sposób: To tylko folder starego Kosza i jego usuwanie zostało podane: RemoveDirectory: Q:\$RECYCLE.BIN Z dalszej dyskusji wynika, że Ty wcale nie chcesz go usuwać, tylko szukasz w tym Koszu rzeczy, które chcesz odzyskać?!

Wątki nie na temat usuwam. System nie startuje, FRST jest robiony z poziomu RE - w tym środowisku nie ma możliwości zrobienia Addition i Shortcut, ani "pokazania pełnej listy zainstalowanych programów", chyba że skopiuje się pliki rejestru z jego systemu, podmontuje u siebie i ręcznie przejrzy cały rejestr. Log FRST sugeruje, że była wykonywana jakaś aktualizacja Windows, dużo plików Microsoftu świeżo utworzonych (pomijam te zakolorowane na szaro, to wygląda na tą Twoją podmianę): Skoro pojawił się BSOD, to jest prawdopodobne, że mamy tu do czynienia z wadliwą aktualizacją. Niestety brak konkretów, liczba plików odświeżonych zbyt duża (zresztą problem może być tak szeroki jak liczba widzianych plików), by coś z tego wyłuskać, a sam raport FRST jest bardzo selektywny (jest więcej czeluści związanych z serwisowaniem komponentów). Jedyna droga jaką widzę to Przywracanie systemu, tylko poważnym problemem jest brak kopii. Jedyny punkt Przywracania to: ==================== Restore Points ========================= Restore point made on: 2015-02-11 15:10:53 Nie wiadomo czy dostatecznie "stary", jego data niestety pasuje do ostatniego rzutu odświeżania plików (pliki się odświeżały już wcześniej). Na dodatek brak dostępu: Jaki? Poza tym, Przywracanie systemu tu było zablokowane: HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] Mówisz że klucz już usunąłeś, ale to nie ma znaczenia dla stanu bieżącego, nie dorobi nieistniejących punktów. Skąd te pliki brane? Poproszę o dowód, że zostały wstawione poprawne pliki mające identyczne sumy kontrolne jak wersje zainstalowanych komponentów. Uruchom FRST, w polu Search wklep: csrss.exe;winlogon.exe Klik w Search files i dostarcz wynikowy log. Odwróć tę edycję. Wartość SetupExecute w domyślnym stanie jest pusta. Ona się wypełnia danymi wtedy, gdy system prowadzi jakieś operacje serwisowania przy bootowaniu. Tak swoją drogą to mnie interesuje którą gałąź edytowałeś, gdyż jedyna która się liczy w Twoim układzie to: The current controlset is ControlSet002

Jesteś logowany via profil tymczasowy. Poproszę o raporty z FRST, które określą środowisko systemowe, podadzą listę kont wraz z identyfikatorami SID oraz błędy z Dziennika zdarzeń. Nie widzisz SID kont, bo przecież nawet nie rozwinąłeś klucza! Ale to nie będzie potrzebne, gdyż: Jeśli w raportach FRST nie będzie wyraźnych przeszkód, do zastosowania będzie ReProfiler przekierowywujący konto na poprzedni katalog, tak jak w tych tematach: KLIK, KLIK. Są jednak sytuacje, gdy to nie działa, bo źródło problemu to wyklucza, przykład: KLIK.

Delfix wykonał zadanie, możesz usunąć z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam. Dzięki wielkie za ewentualną dotację!

Jeden z problemów rozwiązany, ale jeszcze roboty przed nami. Należy system posprzątać ze śmieci i niepoprawnych instalacji. Jeśli chodzi o brak internetu, powodem jest niepoprawna deinstalacja AVG. W Menedżerze urządzeń mnóstwo zdefektowanych urządzeń sieciowych filtrowanych przez nieistniejący już sterownik AVG miniport driver. Miałeś zastosować narzędzie AVG Remover - czy na pewno ono zostało użyte? Natomiast pierwsza pozycja, czyli zdefektowany "USB Disk", to raczej z winy innych filtrów, a podejrzanych tu trochę jest - informacje o filtrach pobiorę w skrypcie FRST. ==================== Faulty Device Manager Devices ============= Name: USB DISK Description: USB Flash Disk Class Guid: {eec5ad98-8080-425f-922a-dabf3de3f69a} Manufacturer: General Service: WUDFRd Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: Realtek RTL8102E/RTL8103E Family PCI-E Fast Ethernet NIC (NDIS 6.20) - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: WAN Miniport (IP) - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: WAN Miniport (Network Monitor) - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: WAN Miniport (IPv6) - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: Compact Wireless-G USB Adapter - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Name: Compact Wireless-G USB Adapter #2 - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: Compact Wireless-G USB Adapter #3 - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Operacje do przeprowadzenia: 1. Uporządkuj sprawę kont. Usuń konto Sol (w dialogu zaznacz usuwanie danych użytkownika) oraz wyłącz konto Gość. 2. Zdejmij filtry sieciowe: Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > po kolei na każde widoczne połączenie pobierz Właściwości > w karcie Ogólne wyszukaj obiekt AVG, zaznacz i odinstaluj. Zresetuj system. 3. Odinstaluj przez Panel sterowania stare wersje, zbędniki i adware: Akamai NetSession Interface, AVG Security Toolbar, Gadu-Gadu 10, Vuze_Remote Toolbar, Windows Media Player Firefox Plugin, YourFileDownloader. Sugeruję też od razu przewertować listę i pousuwać więcej nieużywanych programów. 4. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: S4 Browser Manager; Browser Manager\2.2.643.41\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe [X] S3 catchme; \??\C:\Windows\system32\config\SYSTEM~1\AppData\Local\Temp\catchme.sys [X] S3 cpuz132; \??\C:\Users\Solskier\AppData\Local\Temp\cpuz132\cpuz132_x32.sys [X] S3 IntcAzAudAddService; system32\drivers\RTKVHDA.sys [X] S3 LVcKap; system32\DRIVERS\LVcKap.sys [X] S3 LVMVDrv; system32\DRIVERS\LVMVDrv.sys [X] Task: {0277A5CC-7CA8-44E2-91C9-BC51224C34BE} - System32\Tasks\YourFile Update => C:\Program Files\YourFileDownloader\YourFileUpdater.exe Task: {0F48912C-F754-4A3F-A91C-5CFD66F4F647} - System32\Tasks\{00DAA81E-B8A2-4288-930C-F0A83073AF27} => pcalua.exe -a G:\Drivers\VGA\AsusSetup.exe -d G:\Drivers\VGA Task: {28AA3242-0D34-4BD8-991A-599F99471F57} - System32\Tasks\Browser Manager => Sc.exe start Browser Manager Task: {36AD32E0-FA7D-489A-A059-84F5DCFCEE32} - System32\Tasks\{9A4D0A0E-CA95-4771-9B3A-AD4141988CFE} => pcalua.exe -a G:\Software\DirectX\AsusSetup.exe -d G:\Software\DirectX Task: {3BD0DC3F-6F3E-4D87-A9AA-A82A09D853CE} - System32\Tasks\{5FF585DD-E372-4400-A3A6-F76B5E5635D9} => pcalua.exe -a G:\Drivers\Audio\AsusSetup.exe -d G:\Drivers\Audio Task: {53AB78D9-EC78-4FB4-AA24-2A6D44E449D0} - System32\Tasks\{F9088CA0-4F4A-4BB6-ABDE-1A15B7EAC697} => pcalua.exe -a G:\autorun.exe -d G:\ Task: {5AFDE8B1-FDE7-47BA-BF9E-FB306FE3B96E} - System32\Tasks\{267B9635-2732-4379-BAAE-88EEBA4E0C9C} => pcalua.exe -a G:\Software\AntiVirus\AsusSetup.exe -d G:\Software\AntiVirus Task: {681285EA-860D-48EE-82E0-1BEF3FE5EA90} - System32\Tasks\{1FAA204A-E672-45EC-B6D5-7198BCF157D0} => pcalua.exe -a "C:\Users\Solskier\Desktop\New folder\ATISetup.exe" -d "C:\Users\Solskier\Desktop\New folder" Task: {898CB1B7-56D6-4198-B02A-C981ABDA4561} - System32\Tasks\{34AA7B63-D4CB-4A3A-8D5E-57B042C38520} => pcalua.exe -a G:\Software\ProbeII\AsusSetup.exe -d G:\Software\ProbeII Task: {9B58A5BA-B2E9-4941-83AC-0456AEECACBC} - System32\Tasks\{EFB16370-9AE3-4CFB-9C10-92846373CBB3} => pcalua.exe -a G:\Drivers\VGA\32bit\AsusSetup.exe -d G:\Drivers\VGA\32bit Task: {AE477224-A9D9-4BB6-8320-4A296C4573D0} - System32\Tasks\{4024BF99-9CA8-4B11-B617-165D43F0F628} => pcalua.exe -a G:\Software\Photoimpact\AsusSetup.exe -d G:\Software\Photoimpact Task: {CAC169EB-CA98-4F7E-9DC3-216DCC54471E} - System32\Tasks\{326C7F0E-4D2E-4F74-8BC5-152A488D7AB1} => Firefox.exe http://ui.skype.com/ui/0/6.3.73.105.457/pl/abandoninstall?page=tsMain Task: {E5C1EE6E-6711-4F66-B876-01FDE3B5383B} - System32\Tasks\{261711DB-5E53-4435-8147-38BFC7AFA7F3} => pcalua.exe -a G:\Drivers\Chipset\AsusSetup.exe -d G:\Drivers\Chipset Task: {FEF61103-4F88-42D4-A9C5-7DEC3AD37CB0} - System32\Tasks\{7FEA2E0E-3212-44EC-8942-080317546EF3} => pcalua.exe -a C:\Users\Solskier\Desktop\mp3DC211.exe -d C:\Users\Solskier\Desktop HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" HKLM\...\Run: [vProt] => "C:\Program Files\AVG Secure Search\vprot.exe" HKLM\...\RunOnce: [AvgUninstallURL] => cmd.exe /c start http://www.avg.com/ww.special-uninstallation-feedback-app?lic=OQBJAC0AQQA3AEEAVwBQAC0AMwBYAEoAQQBZAC0AUwA4ADkAOQBSAC0ATgBaAEsATgBNAC0ATgBLAE4AUABRAA"&"inst=NwA2AC0AMQA3ADYANwAyADIAMwA (the data entry has 288 more characters). HKU\S-1-5-21-682935528-494026121-326331953-1001\...\Run: [Norton Download Manager{NIS_prod_1.19_17.1.0.19}] => C:\Users\Public\Downloads\Norton\{NIS_prod_1.19_17.1.0.19}\NISDownloader.exe /m HKU\S-1-5-21-682935528-494026121-326331953-1001\...\Run: [Gadu-Gadu] => "C:\Program Files\Gadu-Gadu\gg.exe" /tray HKU\S-1-5-21-682935528-494026121-326331953-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Solskier\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.) HKU\S-1-5-21-682935528-494026121-326331953-1001\...\Run: [sandboxieControl] => "C:\Program Files\Sandboxie\SbieCtrl.exe" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=18&barid={F71C97B2-2CEE-41BB-9487-652FA1F78108} HKU\S-1-5-21-682935528-494026121-326331953-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.avg.com/?cid={A3941D90-5CCA-4279-86D7-EFE49F2DC9DF}&mid=fdcd1e8b47ae92546b5ae9c147489c20-92f024072bd69f5f933d077302c428474e377c46&lang=pl&ds=xn011&pr=sa&d=2012-09-24 11:18:52&v=13.2.0.5&sap=hp HKU\S-1-5-21-682935528-494026121-326331953-1001\Software\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = http://search.babylon.com/?affID=110823&tt=120912_pcp_3912_4&babsrc=HP_ss&mntrId=9ce9ab4200000000000000248ce5ae70 HKU\S-1-5-21-682935528-494026121-326331953-1001\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://isearch.babylon.com/?affID=112560&tt=031012_ccp_4012_6&babsrc=HP_ss&mntrId=9ce9ab4200000000000000248ce5ae70 HKU\S-1-5-21-682935528-494026121-326331953-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = https://www.google.pl/ URLSearchHook: HKLM - (No Name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No File URLSearchHook: HKU\S-1-5-21-682935528-494026121-326331953-1001 - (No Name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - No File URLSearchHook: HKU\S-1-5-21-682935528-494026121-326331953-1001 - (No Name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No File SearchScopes: HKLM -> DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://mysearch.sweetpacks.com?src=6&q={searchTerms}&barid=&&st=23&did=10963&UPN2=92545056983517215 SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> BrowserMngrDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://isearch.babylon.com/?q={searchTerms}&affID=112560&tt=031012_ccp_4012_6&babsrc=SP_ss&mntrId=9ce9ab4200000000000000248ce5ae70 SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=&apn_uid=73B7FCC5-78D5-4EC0-86CD-B4A4ABFD6B3B&apn_sauid=5F1A284E-D19D-4AA7-9190-020F0266CDCD SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={A3941D90-5CCA-4279-86D7-EFE49F2DC9DF}&mid=fdcd1e8b47ae92546b5ae9c147489c20-92f024072bd69f5f933d077302c428474e377c46&lang=pl&ds=xn011&pr=sa&d=2012-09-24 11:18:52&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://mysearch.sweetpacks.com?src=6&q={searchTerms}&barid=&&st=23&did=10963&UPN2=92545056983517215 BHO: No Name -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> No File BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File Toolbar: HKLM - No Name - {95B7759C-8C7F-4BF1-B163-73684A933233} - No File Toolbar: HKLM - No Name - {98889811-442D-49dd-99D7-DC866BE87DBC} - No File Toolbar: HKU\.DEFAULT -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> No Name - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No File Toolbar: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab CustomCLSID: HKU\S-1-5-21-682935528-494026121-326331953-1001_Classes\CLSID\{0F130AC8-CDF1-4DAA-AA9B-7B4083F49EA4}\InprocServer32 -> C:\Program Files\Titan Poker\widgetbar\PtContainerUI.dll No File CustomCLSID: HKU\S-1-5-21-682935528-494026121-326331953-1001_Classes\CLSID\{492042A2-4432-44A1-9A39-85B2D3C0119E}\InprocServer32 -> C:\Program Files\Titan Poker\widgetbar\PtContainerUI.dll No File CustomCLSID: HKU\S-1-5-21-682935528-494026121-326331953-1001_Classes\CLSID\{876FA801-2B5E-4201-9E6B-2EF2C05A5C6B}\InprocServer32 -> C:\Program Files\Titan Poker\widgetbar\WidgetbarAPI.dll No File CustomCLSID: HKU\S-1-5-21-682935528-494026121-326331953-1001_Classes\CLSID\{89425F5E-A2BD-44CD-9E4F-F1498522F0E5}\InprocServer32 -> C:\Program Files\Titan Poker\widgetbar\WidgetbarManagerUI.dll No File CustomCLSID: HKU\S-1-5-21-682935528-494026121-326331953-1001_Classes\CLSID\{F6F8856F-374D-4397-BB1C-80AB57E60529}\InprocServer32 -> C:\Program Files\Titan Poker\widgetbar\WidgetbarAPI.dll No File FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\18.1.9\\npsitesafety.dll No File FF Plugin: @java.com/DTPlugin,version=10.21.2 -> C:\Windows\system32\npDeployJava1.dll (Oracle Corporation) FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll No File FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\avg-secure-search.xml FF HKLM\...\Firefox\Extensions: [{6E19037A-12E3-4295-8915-ED48BC341614}] - C:\Program Files\RelevantKnowledge FF HKLM\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\18.1.9.799 FF HKU\S-1-5-21-682935528-494026121-326331953-1001\...\Firefox\Extensions: [{b64982b1-d112-42b5-b1e4-d3867c4533f8}] - Browser Manager\2.3.762.17\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension CHR HKLM\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Solskier\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [Not Found] CHR HKLM\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\ProgramData\AVG Secure Search\ChromeExt\18.1.0.443\avg.crx [2014-04-28] CHR HKLM\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Windows\System32\mjcm\SweetNT.crx [2014-07-16] CHR HKLM\...\Chrome\Extension: [pgafcinpmmpklohkojmllohdhomoefph] - Browser Manager\2.3.762.17\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.crx [Not Found] C:\AVG9 C:\Program Files\Common Files\Symantec Shared C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Sandboxie C:\Program Files\YourFileDownloader C:\ProgramData\Arcabit Skaner Online C:\ProgramData\Arcabit C:\ProgramData\Symantec C:\ProgramData\Microsoft\Windows\GameExplorer\{322BB430-48EB-40F3-BECF-5921EDBD74E0} C:\ProgramData\Microsoft\Windows\GameExplorer\{438B3E66-AB74-465B-8BFF-F002558BF721} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter C:\ProgramData\Microsoft\Windows\Start Menu\YourFileDownloader C:\Users\Solskier\AppData\Local\Temp*.html C:\Users\Solskier\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Solskier\AppData\Local\Google\Chrome\User Data\Default\External Extensions C:\Users\Solskier\AppData\Local\Microsoft\Windows\GameExplorer\{C6F9DB05-6406-415F-922A-5D796713D13B} C:\Users\Solskier\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Przeglądarka internetowa w piaskownicy.lnk C:\Users\Solskier\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\179f7dcebf7e9bac\[DefaultBox] Tibia Player.lnk C:\Users\Solskier\AppData\Roaming\Microsoft\Windows\SendTo\Evernote3.5.lnk C:\Users\Solskier\AppData\Roaming\Microsoft\Windows\SendTo\Sandboxie - DefaultBox.lnk C:\Users\Solskier\AppData\Roaming\Microsoft\Windows\Start Menu\Gadu-Gadu.lnk C:\Users\Solskier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Browser Manager C:\Users\Solskier\Desktop\Pliki\New folder\AVG 9.0.lnk C:\Users\Solskier\Desktop\Pliki\New folder\Tibia - Shortcut.lnk C:\Users\Solskier\Desktop\Pliki\New folder\Tibia MULTI-IP Changer.lnk C:\Users\Solskier\Desktop\Pliki\pliki\Pokerowy kalendarzyk.lnk C:\Windows\system32\%LocalAppData% C:\Windows\system32\ARFC C:\Windows\system32\mjcm CMD: for /d %f in (C:\Users\Solskier\AppData\Local\{*}) do rd /s /q "%f" CMD: sc config WinDefend start= demand Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{EEC5AD98-8080-425F-922A-DABF3DE3F69A} /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Wyczyść przeglądarki ze śmieci i adware: ----> W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia później przeinstalujesz (Adblock Plus, Greasemonkey, Stylish). ----> W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj AVG Secure Search, SweetIM for Facebook, SweetPacks Chrome Extension Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt