picasso

Tym razem Fix pomyślnie wykonany. Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. I teraz można już zainstalować najnowsze stabilne Google Chrome. o ile chcesz z tej przeglądarki korzystać.

Hold Page zadałam do deinstalacji, co jak widzę wykonane. EnterDigital nie był widoczny w logu *, czy również go odinstalowałeś w opcjach? Ogólnie: czy są jeszcze jakieś problemy w Google Chrome? * FRST nie pokazuje rozszerzeń, które pozostały w preferencjach, lecz nie mają już folderu na dysku - to jest skutek czyszczenia AdwCleaner zamiast poprawnej deinstalacji rozszerzenia.

IMAP - wiadomości nie są automatycznie usuwane po pobraniu z serwera (czyli w kółko może być podsuwana ta sama wiadomość z poziomu różnych komputerów), o ile użytkownik ręcznie jej nie usunie, poza tym w pierwszej kolejności są ładowane tylko nagłówki wiadomości. Ale otworzenie e-mail w kliencie pocztowym ładuje całą wiadomość wraz z jej załącznikami i jest ściąganie na dysk z serwera, w przeciwnym wypadku jak miałoby się odbyć to "sprawdzanie poczty". vs. Nie chodzi o infekcję, tylko o odpadkowe preferencje (np. widoczne w raportach stare rozszerzenie "Search Enhancement Pack" Microsoftu, czy preferencje Bing). Na wszelki wypadek zaznaczę: żadne operacje w FRST nie są powiązane z problemem, to tylko poboczna kosmetyka.

Pokaż te wyniki - zapisz tę część raportu do pliku lub podaj zdjęcie ekranu pokazujące ścieżki dostępu (tak, by było je dobrze widać).

gryznar, mam wyraźnie napisane w profilu, że nie reaguję na prośby via PW. Jeśli nie zajmuję się tematem na forum, to znaczy że nie mogę, nie mam czasu, nie wiem, etc. Klasa {F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} w HKLM jest domyślną klasą systemową. To nie ten element definiuje infekcję ZeroAccess tylko całkiem inna modyfikacja. Poza tym, to nie klasa {F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} (związana z WMI a nie eksploratorem) tworzy problem z układem ikon na Pulpicie. Nie tędy droga. A infekcja ZeroAccess jest martwa (zamknięty botnet), na Windows 8 zresztą ma problemy "instalacyjne" (inna architektura systemu). Nie podałeś żadnych raportów systemowych (ogłoszenie na forum) umożliwiających ogólną ocenę systemu, co się uruchamia, jakie błędy są nagrane w Dzienniku zdarzeń i tak dalej. Proszę o dostarczenie raportów z FRST. EDIT: Nie podałeś, że temat został napoczęty gdzie indziej: KLIK. Na dodatek tam snujesz inne wnioski: Podobnie jak wyżej, ta klasa w HKLM jest poprawna i inne miejsce jest problemem przy tej infekcji. Tu nie ma żadnej infekcji ZeroAccess. Operacje podane na tamtym forum (SpyHunter i Fix FRST) to były tylko podrzędne akcje bez związku, nie wyjaśnili tego (to jest nowa choroba pod tytułem "przetwarzanie Fixów FRST" bez uzasadnienia, zamiast koncentrowanie się na meritum problemu). Odpowiedź co jest nie tak była w pliku FRST Addition. Masz uszkodzone konto, nie jest ładowany rejestr strony użytkownika: Application errors: ================== Error: (02/06/2015 02:58:59 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Baza danych rejestru konfiguracji jest uszkodzona. Error: (02/06/2015 02:58:59 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1508) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować rejestru. Częstą przyczyną tego problemu jest za mała ilość pamięci lub brak wystarczających praw zabezpieczeń. SZCZEGÓŁY - Baza danych rejestru konfiguracji jest uszkodzona. for C:\Users\Grzegorz\AppData\Local\Microsoft\Windows\\UsrClass.dat Tak więc tu się aplikuje założenie nowego konta, częściowe przekopiowanie ze starego tylko najważniejszych rzeczy i skasowanie starego konta. O które dane konkretnie chodzi? Rozpiszę co należy, gdy podasz do czego się tu ograniczamy. Konto bieżące jest uszkodzone, uszkodzeń może być więcej niż zgłaszane w dzienniku i nie wydaje się zasadne kopiowanie wszystkiego jak leci.

Ostatnia akcja w FRST nie wykonana - popatrz do pliku Fixlog, kompletnie pusty, nic nie wkleiłeś. Powtarzaj zadanie i dostarcz wynikowy Fixlog.

Tego w ogóle nie było widać w żadnym z logów FRST. Albo skan FRST jest nieprecyzyjny (są pewne rozszerzenia adware, które się ładują bez folderu na dysku - ścieżka fantom - i tego nie będzie w FRST), albo od ostatniej operacji coś się zmieniło (przeglądarka została zmieniona przez adware ze stabilnej w development). Zrobię skan pod tym kątem. Teraz do wykonania: 1. Uruchom ponownie AdwCleaner, lecz tym razem wybierz sekwencję Szukaj + Usuń. Następnie: 2. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Admin\Downloads\wzjur5rm.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState /s CMD: type "C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Preferences" CMD: type "C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Proszę nie podbijaj tematu postami w stylu "pomoże ktoś" (usuwam), odpowiedzi nie ma, bo może nikt nie wie lub nie ma czasu na analizę. Z raportów FRST nic nie wynika. Skoro podejrzewasz tę aktualizację, to spróbuj powrócić do poprzedniej wersji. Nie jestem do końca przekonana czy w tym rzecz, bo jeszcze zgłaszasz problem z operacjami sieciowymi typu przeglądanie stron czy pobieranie plików - tu firewall Avast bardziej pasuje i ja bym jednak na wszelki wypadek sprawdziła czy tymczasowa deinstalacja Avast Premier coś wnosi do sprawy. Wątków stricte sprzętowych się nie podejmuję, nie jest to moja specjalizacja. Tyle ode mnie. Nic więcej nie wymyślę.

Nie jestem pewna czy skan Kasperskiego gwarantuje 100% bezpieczeństwa, ani czy leczenie z wirusa plików wykonywanych nie uszkodziło leczonych programów (wymagałyby i tak reinstalacji, dołożona robota). Raport Kasperskiego niby sugeruje, że wszystko się udało, był także wyrzucany plik infekcji moplousq.exe z Autostartu. To może spróbujmy, skoro chcesz uniknąć formatu, uruchom Windows i zrób nowe raporty z FRST i GMER.

vs. W podanych raportach FRST konsekwentnie brak oznak czynnej infekcji. Mówisz, że stawiałeś nowy system, więc jak rozumiem dane Thunderbird były kopiowane ze starego za pomocą MozBackup? Czy zostały usunięte wszystkie maile mające załączniki, czy jakieś pozostały? I tu trudno stwierdzić co wykrywał skaner, bo on po prostu kierował na ścieżkę Skrzynki odbiorczej i Kosza, a nie do konkretnego obiektu. Póki co, wszystkie fakty wskazują na to, że jedyna detekcja po stronie lokalnej maszyny odbywała się na poziomie folderów Thunderbird, nie ma oznak by był czynny wirus / robak w systemie. Problem z przychodzącym spamem może być pochodną innego komputera, na którym adres e-mail żony figuruje w książce adresowej. PS. Do wykonania drobne porządki, szczątki aplikacji / puste wpisy i skanerów oraz czyszczenie Temp: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Bing Rewards Client Installer > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 mdareDriver_52; \??\C:\Program Files (x86)\Fortinet\FortiClient\mdare64_52.sys [X] Task: {7713E786-21E7-4406-89C1-FBBB21DAC773} - System32\Tasks\{F8B1F6DD-732A-4F1D-A7C1-2E8E6BC5425C} => pcalua.exe -a C:\windows\TEMP\avast_ash\IrfanView\iview436_setup.exe -d "C:\Program Files\AVAST Software\Avast" Task: {8331B718-6901-46D9-BEA6-A02876511D42} - System32\Tasks\{A54057CC-70BF-4624-A4CE-C2F5806B2662} => pcalua.exe -a D:\Pobrane\iview433_setup.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {85501DC6-FD96-4FC1-AA3B-B8C2EC790DA5} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1236169856-3573213423-1841828282-1001UA => C:\Users\BMFOTO\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {90714E9E-1E8D-4E07-A7C7-9E361BA9E069} - System32\Tasks\{31E861AA-E7CD-4AE7-A034-0970F59AA1C6} => pcalua.exe -a "C:\Program Files (x86)\Mozilla Thunderbird\uninstall\helper.exe" -d "C:\Program Files (x86)\Mozilla Thunderbird" -c /UpdateShortcutAppUserModelIds Task: {DEA472E9-D129-4D52-919E-3D559FCCA2A4} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {FD6C54A2-56D2-494C-864B-54EFD4B82B1E} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1236169856-3573213423-1841828282-1001Core => C:\Users\BMFOTO\AppData\Local\Facebook\Update\FacebookUpdate.exe FF HKLM-x32\...\Firefox\Extensions: [{3252b9ae-c69a-4eaf-9502-dc9c1f6c009e}] - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DMExtension C:\ProgramData\{*}.log C:\Users\BMFOTO\AppData\Local\{35EBD8BB-CDF5-4122-B6DE-EC4755A3AE3F} C:\windows\system32\Drivers\mdare64_54.sys C:\windows\system32\Drivers\TrueSight.sys RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\Program Files (x86)\Fortinet RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\ProgramData\RogueKiller RemoveDirectory: C:\Users\BMFOTO\Doctor Web RemoveDirectory: C:\Users\BMFOTO\Downloads\FRST-OlderVersion EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nastąpi restart. Zaprezentuj wynikowy fixlog.txt. 3. Preferencje Firefox można wyczyścić ze staroci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

"C:\Windows\system32\msi.dll nie jest przeznaczony do uruchamiania w systemie Windows albo zawiera błąd" = uszkodzony plik wymieniony na komunikacie. Były tu aktualizacje Windows, w raporcie wiele odświeżonych instancji plików Microsoftu, więc coś poszło nie tak podczas tego procesu. I wg raportu FRST uszkodzone jest 32-bitowe wystąpienie w SysWOW64, a nie 64-bitowe w system32 pokazane na komunikacie, gdyż to właśnie plik w SysWOW64 nie ma sygnatury Microsoftu i równy jest zero bajtów: 2015-02-04 23:46 - 2014-10-14 03:13 - 03241984 _____ (Microsoft Corporation) C:\Windows\system32\msi.dll 2015-02-04 23:46 - 2014-10-14 02:50 - 00000000 _____ () C:\Windows\SysWOW64\msi.dll Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. PS. Nie został odinstalowany AVG Web TuneUp - to taki firmowy "PUP".

Sprawdź czy te same objawy występują po całkowitym wyłączeniu wszystkich osłon Avast. Aczkolwiek problem może być związany ze sterownikiem Intel: Z tych trzech plików DMP jeden zdaje się być wykluczony z rozważań, bo to zrzut pokazujący w stosie sterownik GMER (potencjalna przyczyna awarii). Dwa pozostałe nie są spójne: 2: kd> !analyze -v ******************************************************************************* PAGE_FAULT_IN_NONPAGED_AREA (50) Invalid system memory was referenced. This cannot be protected by try-except, it must be protected by a Probe. Typically the address is just plain bad or it is pointing at freed memory. Arguments: Arg1: fffff8817f2d96a0, memory referenced. Arg2: 0000000000000000, value 0 = read operation, 1 = write operation. Arg3: fffff88005979878, If non-zero, the instruction address which referenced the bad memory address. Arg4: 0000000000000005, (reserved) Debugging Details: ------------------ Could not read faulting driver name READ_ADDRESS: GetPointerFromAddress: unable to read from fffff800034bd100 GetUlongFromAddress: unable to read from fffff800034bd1c0 fffff8817f2d96a0 Nonpaged pool FAULTING_IP: igdpmd64+15a878 fffff880`05979878 8b0408 mov eax,dword ptr [rax+rcx] MM_INTERNAL_CODE: 5 CUSTOMER_CRASH_COUNT: 1 DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT BUGCHECK_STR: 0x50 PROCESS_NAME: csrss.exe CURRENT_IRQL: 0 TRAP_FRAME: fffff880041e69e0 -- (.trap 0xfffff880041e69e0) NOTE: The trap frame does not contain all registers. Some register values may be zeroed or incorrect. rax=fffff880063ab6a0 rbx=0000000000000000 rcx=0000000178f2e000 rdx=fffffa800a1214a0 rsi=0000000000000000 rdi=0000000000000000 rip=fffff88005979878 rsp=fffff880041e6b70 rbp=fffffa800b4fcb00 r8=0000000000000001 r9=fffff880041e6bd0 r10=0000000000000001 r11=0000000000000001 r12=0000000000000000 r13=0000000000000000 r14=0000000000000000 r15=0000000000000000 iopl=0 nv up ei pl nz na po nc igdpmd64+0x15a878: fffff880`05979878 8b0408 mov eax,dword ptr [rax+rcx] ds:fffff881`7f2d96a0=???????? Resetting default scope LAST_CONTROL_TRANSFER: from fffff80003302603 to fffff80003286e80 STACK_TEXT: fffff880`041e6878 fffff800`03302603 : 00000000`00000050 fffff881`7f2d96a0 00000000`00000000 fffff880`041e69e0 : nt!KeBugCheckEx fffff880`041e6880 fffff800`03284fae : 00000000`00000000 fffff881`7f2d96a0 fffffa80`0bc69f00 fffff880`041e6f70 : nt! ?? ::FNODOBFM::`string'+0x43801 fffff880`041e69e0 fffff880`05979878 : fffffa80`0a115000 fffffa80`0a1214a0 fffffa80`0a115000 fffffa80`0a1214a0 : nt!KiPageFault+0x16e fffff880`041e6b70 fffffa80`0a115000 : fffffa80`0a1214a0 fffffa80`0a115000 fffffa80`0a1214a0 fffffa80`0a115000 : igdpmd64+0x15a878 fffff880`041e6b78 fffffa80`0a1214a0 : fffffa80`0a115000 fffffa80`0a1214a0 fffffa80`0a115000 fffff880`0bc79700 : 0xfffffa80`0a115000 fffff880`041e6b80 fffffa80`0a115000 : fffffa80`0a1214a0 fffffa80`0a115000 fffff880`0bc79700 fffffa80`0b86a298 : 0xfffffa80`0a1214a0 fffff880`041e6b88 fffffa80`0a1214a0 : fffffa80`0a115000 fffff880`0bc79700 fffffa80`0b86a298 fffff880`00000000 : 0xfffffa80`0a115000 fffff880`041e6b90 fffffa80`0a115000 : fffff880`0bc79700 fffffa80`0b86a298 fffff880`00000000 fffffa80`0bc69ff8 : 0xfffffa80`0a1214a0 fffff880`041e6b98 fffff880`0bc79700 : fffffa80`0b86a298 fffff880`00000000 fffffa80`0bc69ff8 fffff880`05979cac : 0xfffffa80`0a115000 fffff880`041e6ba0 fffffa80`0b86a298 : fffff880`00000000 fffffa80`0bc69ff8 fffff880`05979cac fffffa80`0bc69fe8 : 0xfffff880`0bc79700 fffff880`041e6ba8 fffff880`00000000 : fffffa80`0bc69ff8 fffff880`05979cac fffffa80`0bc69fe8 fffffa80`0a1214a0 : 0xfffffa80`0b86a298 fffff880`041e6bb0 fffffa80`0bc69ff8 : fffff880`05979cac fffffa80`0bc69fe8 fffffa80`0a1214a0 fffffa80`00000001 : 0xfffff880`00000000 fffff880`041e6bb8 fffff880`05979cac : fffffa80`0bc69fe8 fffffa80`0a1214a0 fffffa80`00000001 fffff880`00000001 : 0xfffffa80`0bc69ff8 fffff880`041e6bc0 fffffa80`0bc69fe8 : fffffa80`0a1214a0 fffffa80`00000001 fffff880`00000001 fffffa80`0a1214a0 : igdpmd64+0x15acac fffff880`041e6bc8 fffffa80`0a1214a0 : fffffa80`00000001 fffff880`00000001 fffffa80`0a1214a0 fffff880`041e6cc8 : 0xfffffa80`0bc69fe8 fffff880`041e6bd0 fffffa80`00000001 : fffff880`00000001 fffffa80`0a1214a0 fffff880`041e6cc8 fffffa80`0bc6a1a8 : 0xfffffa80`0a1214a0 fffff880`041e6bd8 fffff880`00000001 : fffffa80`0a1214a0 fffff880`041e6cc8 fffffa80`0bc6a1a8 fffffa80`0bc6a608 : 0xfffffa80`00000001 fffff880`041e6be0 fffffa80`0a1214a0 : fffff880`041e6cc8 fffffa80`0bc6a1a8 fffffa80`0bc6a608 fffffa80`00000001 : 0xfffff880`00000001 fffff880`041e6be8 fffff880`041e6cc8 : fffffa80`0bc6a1a8 fffffa80`0bc6a608 fffffa80`00000001 fffffa80`0a115000 : 0xfffffa80`0a1214a0 fffff880`041e6bf0 fffffa80`0bc6a1a8 : fffffa80`0bc6a608 fffffa80`00000001 fffffa80`0a115000 fffffa80`00000000 : 0xfffff880`041e6cc8 fffff880`041e6bf8 fffffa80`0bc6a608 : fffffa80`00000001 fffffa80`0a115000 fffffa80`00000000 fffffa80`0a1214a0 : 0xfffffa80`0bc6a1a8 fffff880`041e6c00 fffffa80`00000001 : fffffa80`0a115000 fffffa80`00000000 fffffa80`0a1214a0 00000000`00000001 : 0xfffffa80`0bc6a608 fffff880`041e6c08 fffffa80`0a115000 : fffffa80`00000000 fffffa80`0a1214a0 00000000`00000001 00000000`00000000 : 0xfffffa80`00000001 fffff880`041e6c10 fffffa80`00000000 : fffffa80`0a1214a0 00000000`00000001 00000000`00000000 00000000`00000000 : 0xfffffa80`0a115000 fffff880`041e6c18 fffffa80`0a1214a0 : 00000000`00000001 00000000`00000000 00000000`00000000 00000000`00000000 : 0xfffffa80`00000000 fffff880`041e6c20 00000000`00000001 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0xfffffa80`0a1214a0 fffff880`041e6c28 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x1 STACK_COMMAND: kb FOLLOWUP_IP: igdpmd64+15a878 fffff880`05979878 8b0408 mov eax,dword ptr [rax+rcx] SYMBOL_STACK_INDEX: 3 SYMBOL_NAME: igdpmd64+15a878 FOLLOWUP_NAME: MachineOwner MODULE_NAME: igdpmd64 IMAGE_NAME: igdpmd64.sys DEBUG_FLR_IMAGE_TIMESTAMP: 4d41a3e1 FAILURE_BUCKET_ID: X64_0x50_igdpmd64+15a878 BUCKET_ID: X64_0x50_igdpmd64+15a878 Followup: MachineOwner --------- 0: kd> !analyze -v ******************************************************************************* DRIVER_POWER_STATE_FAILURE (9f) A driver has failed to complete a power IRP within a specific time (usually 10 minutes). Arguments: Arg1: 0000000000000004, The power transition timed out waiting to synchronize with the Pnp subsystem. Arg2: 0000000000000258, Timeout in seconds. Arg3: fffffa8007332040, The thread currently holding on to the Pnp lock. Arg4: fffff800049d23d0, nt!TRIAGE_9F_PNP on Win7 Debugging Details: ------------------ Implicit thread is now fffffa80`07332040 DRVPOWERSTATE_SUBCODE: 4 CUSTOMER_CRASH_COUNT: 1 DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT BUGCHECK_STR: 0x9F PROCESS_NAME: System CURRENT_IRQL: 2 LAST_CONTROL_TRANSFER: from fffff800032798f2 to fffff80003286d8a STACK_TEXT: fffff880`033a1000 fffff800`032798f2 : fffffa80`07332040 fffffa80`07332040 00000000`00000000 00000000`00000000 : nt!KiSwapContext+0x7a fffff880`033a1140 fffff800`0328ac9f : 00000000`00000000 00000000`00000100 00000000`00000000 fffffa80`0c0907f0 : nt!KiCommitThreadWait+0x1d2 fffff880`033a11d0 fffff800`033938c5 : 00000000`00000000 fffffa80`00000000 fffffa80`0c090200 fffffa80`0c082700 : nt!KeWaitForSingleObject+0x19f fffff880`033a1270 fffff880`011ce9ea : fffffa80`0c092e00 fffffa80`0c0907f0 fffffa80`21444d55 00000000`0000041f : nt!IoReleaseRemoveLockAndWaitEx+0x45 fffff880`033a12b0 fffff880`011cde52 : 00000000`00000000 fffffa80`0c0907f0 fffffa80`0bce0002 fffffa80`0c092e00 : WUDFRd!RdDevice::MarkForDelete+0x26 fffff880`033a12e0 fffff880`011cd37e : fffffa80`0c088860 fffffa80`0c088860 fffff880`011f3158 fffffa80`0c090800 : WUDFRd!RdDriver::DeleteDrvMgrCtrlDevice+0x1e fffff880`033a1310 fffff880`011d6db4 : 00000000`00000001 fffffa80`0c090800 fffffa80`7c444d55 00000000`0000046b : WUDFRd!RdDriver::UnprepareSharedResources+0x92 fffff880`033a1340 fffff880`011d69dc : 00000000`00000001 fffffa80`0c090050 00000000`ffffffff fffffa80`0c07d7a0 : WUDFRd!RdFdoDevice::~RdFdoDevice+0x264 fffff880`033a13c0 fffff880`011cad0d : 00000000`00000000 fffff880`011d0e05 fffffa80`0bce0002 fffff880`011f3158 : WUDFRd!RdFdoDevice::`vector deleting destructor'+0x14 fffff880`033a13f0 fffff880`011cb1af : fffffa80`0c07d7a0 fffff880`011cad0d 00000000`00000000 fffff800`03286d00 : WUDFRd!CUMDFUnknown::Release+0x21 fffff880`033a1420 fffff880`011d170a : fffffa80`07319740 fffffa80`0c0904c0 fffffa80`09c33840 00000000`00000000 : WUDFRd!WdfObject::ReleaseWait+0x7f fffff880`033a1460 fffff880`011d1a33 : 00000000`00000000 00000000`00000001 00000000`00000000 00000000`00000001 : WUDFRd!RdPnpTracker::RdPnpProcessor+0x342 fffff880`033a14f0 fffff880`011d132f : fffffa80`09c33840 fffffa80`09c33840 fffffa80`0c09041b 00000000`00000103 : WUDFRd!RdPnpTracker::RdPnpProcessor+0x66b fffff880`033a1580 fffff880`011cfde6 : 00000000`0000001b fffffa80`0c0904c0 fffffa80`09c33840 fffff8a0`04513670 : WUDFRd!RdPnpTracker::RdPnp+0x407 fffff880`033a15f0 fffff880`011cc4ce : 00000000`00000000 00000000`c000001b fffffa80`09c33840 00000000`c000001b : WUDFRd!RdDevice::ProcessIrp+0x132 fffff880`033a1630 fffff800`034efea1 : fffffa80`0c0902c0 fffff880`033a1728 00000000`c00000bb fffffa80`09c33840 : WUDFRd!RdDriver::RdDispatch+0xda fffff880`033a1670 fffff800`0366fd91 : fffffa80`0bce0060 00000000`00000000 fffffa80`09f6ec50 00000000`00000801 : nt!IopSynchronousCall+0xe1 fffff880`033a16e0 fffff800`033850b3 : fffff8a0`111f2ed0 fffff8a0`111f2ed0 00000000`0000002b 00000000`00000000 : nt!IopRemoveDevice+0x101 fffff880`033a17a0 fffff800`0366f8e4 : fffffa80`09f6ec50 00000000`00000000 00000000`00000002 00000000`00000004 : nt!PnpRemoveLockedDeviceNode+0x1a3 fffff880`033a17f0 fffff800`0366f9f0 : 00000000`00000000 fffffa80`0bce0000 fffff8a0`13e9a820 fffff800`03486ca0 : nt!PnpDeleteLockedDeviceNode+0x44 fffff880`033a1820 fffff800`0366fae9 : fffffa80`09fb6102 fffffa80`09fb61f0 00000000`00000001 00000000`00000000 : nt!PnpDeleteLockedDeviceNodes+0xa0 fffff880`033a1890 fffff800`0366fc61 : fffffa80`09fb61f0 00000000`00000000 fffffa80`09fb61f0 00000000`00000001 : nt!PnpDelayedRemoveWorker+0x79 fffff880`033a18e0 fffff800`033852ea : 00000000`00000000 fffffa80`0b23f830 00000000`0000000a 00000000`00000000 : nt!PnpChainDereferenceComplete+0x131 fffff880`033a1920 fffff800`03700ab0 : 00000000`00000000 fffffa80`09f6ec50 fffff8a0`12458b90 00000000`00000001 : nt!PnpIsChainDereferenced+0xda fffff880`033a19a0 fffff800`03700d4c : fffff880`033a1b78 00000000`00000000 fffff8a0`04b12400 fffffa80`00000000 : nt!PnpProcessQueryRemoveAndEject+0xff0 fffff880`033a1ae0 fffff800`035e9d9e : 00000000`00000000 fffffa80`0c763bd0 fffff8a0`12458b90 00000000`00000001 : nt!PnpProcessTargetDeviceEvent+0x4c fffff880`033a1b10 fffff800`0328d561 : fffff800`034eed08 fffff8a0`12458b90 fffff800`034282d8 fffffa80`07332040 : nt! ?? ::NNGAKEGL::`string'+0x54d7b fffff880`033a1b70 fffff800`035200ca : 00000000`00000000 fffffa80`07332040 00000000`00000080 fffffa80`07319740 : nt!ExpWorkerThread+0x111 fffff880`033a1c00 fffff800`03274be6 : fffff880`031d7180 fffffa80`07332040 fffff880`031e1fc0 00000000`00000000 : nt!PspSystemThreadStartup+0x5a fffff880`033a1c40 00000000`00000000 : fffff880`033a2000 fffff880`0339c000 fffff880`1fa19730 00000000`00000000 : nt!KxStartSystemThread+0x16 STACK_COMMAND: kb FOLLOWUP_IP: WUDFRd!RdDevice::MarkForDelete+26 fffff880`011ce9ea 4883c428 add rsp,28h SYMBOL_STACK_INDEX: 4 SYMBOL_NAME: WUDFRd!RdDevice::MarkForDelete+26 FOLLOWUP_NAME: MachineOwner MODULE_NAME: WUDFRd IMAGE_NAME: WUDFRd.sys DEBUG_FLR_IMAGE_TIMESTAMP: 5010aabe FAILURE_BUCKET_ID: X64_0x9F_4_WUDFRd!RdDevice::MarkForDelete+26 BUCKET_ID: X64_0x9F_4_WUDFRd!RdDevice::MarkForDelete+26 Followup: MachineOwner Zacznij od tego pierwszego rekordu pokazującego kontekst sterownika Intel igdpmd64. Jeśli posiadasz kartę hybrydową AMD-Intel, to do wglądu te wątki: KLIK, KLIK.

Poprawki: 1. Kolejne deinstalacje: - Odinstaluj Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables (to są komponenty pozostawione przez instalację AVG). - Jest tu trochę szczątów McAfee, więc użyj McAfee Consumer Product Removal Tool. 2. Otwórz Notatnik i wklej w nim: OPR Extension: (HQ-Video-Pro-2.1V27.12) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\eagomcfjiefffhpaejnlpjccikpipdoe [2014-12-27] OPR Extension: (Media+PlayerVidEd2.1) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\hniiadklfgdhjcmmkpggffjngihaaoip [2014-12-27] C:\Program Files (x86)\16aaa09b-8dec-431a-8646-831e986169e9 C:\Program Files (x86)\DeltaFix C:\Program Files (x86)\e16569ea-3776-4c7c-badd-7384cb4c864c C:\Program Files (x86)\Temp C:\ProgramData\{A5CCDB92-FA53-47D1-89E6-32B82D86621A} C:\ProgramData\3831199576290697427 C:\ProgramData\Apple C:\ProgramData\AVAST Software C:\ProgramData\cnnknchknkconngmplgpgjgkjlmlehnp C:\ProgramData\ideceebndgipdkknkofjoiffpoecbjkn C:\ProgramData\IHProtectUpDate C:\ProgramData\Malwarebytes C:\ProgramData\TCE C:\ProgramData\Temp C:\Users\Admin\AppData\Local\Avg2015 C:\Users\Admin\AppData\Local\com C:\Users\Admin\AppData\Local\MFAData C:\Users\Admin\AppData\Roaming\appdataFr3.bin C:\Users\Admin\AppData\Roaming\Dropbox C:\Users\Admin\AppData\Roaming\GoforFiles C:\Users\Admin\AppData\Roaming\HD Tune Pro C:\Users\Admin\AppData\Roaming\WebTest C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\LuckyTab Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

GMER nie zapisuje automatycznie żadnych raportów na dysku. Raport jest zawsze kopiowany przez użytkownika ręcznie wprost z okna GMER. Czyli raportu brak. GMER nie modyfikuje też danych, to skan "tylko do odczytu", więc modyfikacje na dysku C są pochodną innego procesu, Temat przenoszę do działu Windows, nie jest wykluczony też Hardware (może tu być czysto sprzętowy problem, np. z dyskiem twardym). Nie wygląda na to, by problemem była infekcja, a zastosowanie ComboFix było tu zupełnie niepotrzebne (system został dodatkowo wymęczony). Potem będą do korekty drobnostki oraz artefakty wstawione przez ComboFix (nie wszystkie resety w narzędziu są poprawne), na razie jest to kompletnie bez znaczenia i w niczym nie pomoże. Nie wolno się koncentrować na głupotach. Trudno tu coś wyłuskać z raportów, a Dziennik zdarzeń upstrzony błędami jest niejasny - zawieszenie usługi Avira, błędy Instalatora modułów Windows, błędy Kopiowania woluminów w tle i wykonywania Kopii zapasowej oraz inne. Sugestie wstępne: 1. Usuń złą konfigurację Kopii zapasowej w Panelu sterowania. Błąd w Dzienniku wskazuje, że jest zaplanowane jej zrzucanie na nieistniejący dysk F:\. 2. Odinstaluj całkowicie pozycje Avira + Avira Free Antivirus, by wykluczyć wpływ antywirusa na złą kondycję systemu. To jest test, nie wstawiaj żadnego antywirusa ponownie. 3. Sprawdź poprawność plików systemowych. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.

Log z FRST zrobiony na złych ustawieniach, żadne opcje Whitelist nie mają być odznaczne - odfajkowałeś opcję Internet. Oporny Media+PlayerVidEd2.1 zostanie usunięty ręcznie. W mięczyczasie pojawiły się kolejne niepożądane elementy, tzn. szkodnik DownloadManager nabyty podczas próby szukania cracka do .... wątpliwego skanera SpyHunter z czarnej listy!! Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {F9E04659-7BED-4935-B0C9-903915999941} - System32\Tasks\Microsoft\d85905a753f3d1c26ec81ed7e9d98e29 => C:\Users\Admin\AppData\Roaming\DownloadManager\Loader.exe [2015-02-07] (SOFTWARE AGILITY LIMITED) C:\ProgramData\shopshop C:\Users\Admin\AppData\Roaming\appdataFr3.bin C:\Users\Admin\AppData\Roaming\DownloadManager C:\Users\Admin\Downloads\{SpyHunter_4_Crack_Keygen_Setup}.exe C:\Users\Admin\Downloads\{SpyHunter_4_Crack_Keygen_Setup} (1).exe C:\Users\Admin\Downloads\SpyHunter-Installer.exe Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\MSC /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Media+PlayerVidEd2.1 /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Admin\AppData\Local CMD: dir /a C:\Users\Admin\AppData\LocalLow CMD: dir /a C:\Users\Admin\AppData\Roaming Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 2. W Operze nadal jest widoczne adware HQ-Video-Pro-2.1V27.12, Media+PlayerVidEd2.1. Czy jest jakiś problem z deinstalacją w Rozszerzeniach? 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Zasady działu się zmieniły. Przestarzały OTL nie jest już obowiązkowy (usuwam). Niekompletny zestaw raportów FRST - brak trzeciego pliku Shortcut. Temat przenoszę do działu Windows. To nie jest problem infekcji. W spoilerze tylko drobnostki, bez żadnego wpływu na zgłoszony problem. Z raportów nic nie wynika. Jedyne co się rzuca w oczy, to jakieś niesprecyzowane i różne błędy w Dzienniku zdarzeń (w tym "Odmowa dostępu" związana ze sferą Przywracania systemu): Application errors: ================== Error: (01/07/2015 09:46:40 AM) (Source: VSS) (EventID: 8194) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas badania interfejsu IVssWriterCallback. hr = 0x80070005, Odmowa dostępu. . To jest często spowodowane przez niepoprawne ustawienia zabezpieczeń w procesie zapisującym lub żądającym. Operacja: Zbieranie danych modułu zapisującego Kontekst: Identyfikator klasy modułu zapisującego: {e8132975-6f93-4464-a53e-1050253ae220} Nazwa modułu zapisującego: System Writer Identyfikator wystąpienia modułu zapisującego: {d38c7f72-b168-488a-b60f-c7db6dce72a8} Error: (12/15/2014 00:33:01 AM) (Source: MsiInstaller) (EventID: 1024) (User: oem-Komputer) Description: Produkt: Adobe Reader XI (11.0.09) - Polish - nie można zainstalować aktualizacji '{AC76BA86-7AD7-0000-2550-7A8C40011010}'. Kod błędu 1625. Instalator Windows może tworzyć dzienniki, aby ułatwić rozwiązywanie problemów z instalowaniem pakietów oprogramowania. Użyj następującego łącza, aby uzyskać instrukcje dotyczące włączania obsługi rejestrowania: http://go.microsoft.com/fwlink/?LinkId=23127 Error: (11/07/2014 03:30:21 PM) (Source: CoreLib) (EventID: 1000) (User: ) Description: Wystąpił błąd podczas deserializacji obiektu typu NetLimiter.Service.NLSvcSettings. Nieprawidłowe dane na poziomie głównym. Wiersz 1, pozycja 1. System errors: ============= Error: (01/20/2015 10:54:44 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Steam Client Service z powodu następującego błędu: %%1053 Error: (01/20/2015 10:54:44 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Steam Client Service. Error: (01/14/2015 06:41:27 PM) (Source: NetBT) (EventID: 4321) (User: ) Description: Nie można zarejestrować nazwy „WORKGROUP :1d” w interfejsie o adresie IP 192.168.0.101. Komputer o adresie IP 192.168.0.103 nie zezwolił na przejęcie tej nazwy przez ten komputer. Error: (01/03/2015 03:50:04 PM) (Source: Microsoft-Windows-Application-Experience) (EventID: 205) (User: ZARZĄDZANIE NT) Description: Usługa Asystent zgodności programów nie może wykonać inicjowania fazy drugiej. Error: (12/29/2014 10:29:02 PM) (Source: Microsoft-Windows-Application-Experience) (EventID: 205) (User: ZARZĄDZANIE NT) Description: Usługa Asystent zgodności programów nie może wykonać inicjowania fazy drugiej. Error: (12/27/2014 04:12:32 PM) (Source: EventLog) (EventID: 6008) (User: ) Description: Poprzednie zamknięcie systemu przy 16:09:56 na ‎2014-‎12-‎27 było nieoczekiwane. Zastanowił mnie na moment ten NetLimiter 4 (oparty na aktywnym sterowniku). Sprawdziłabym co się stanie po jego tymczasowej deinstalacji. I nic więcej nie przychodzi mi do głowy.

vs. 1. Miałeś usunąć plik instalatora z Pobranych. YAC nie występuje na liście zainstalowanych programów. 2. Uruchom AdwCleaner ponownie, lecz tym razem wybierz sekwencję Szukaj + Usuń. Po czyszczeniu: 3. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [HotKeysCmds] => C:\windows\system32\hkcmd.exe HKLM\...\Run: [Persistence] => C:\windows\system32\igfxpers.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\sławek\Downloads\krelf1du.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Kolejna porcja zadań: 1. W Google Chrome odmontuj rozszerzenie Speed Dial. Zastanawiałam się nad nim, a AdwCleaner ma zastrzeżenia i chce to usuwać. 2. Następnie uruchom AdwCleaner ponownie, lecz tym razem wybierz sekwencję Szukaj + Usuń. Po czyszczeniu: 3. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. Czy tytułowy problem z komunikatem "Serwer zajęty" nadal występuje?

1. Uruchom AdwCleaner ponownie, lecz tym razem wybierz sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\Aga\Pulpit\FRST-OlderVersion RemoveDirectory: C:\Documents and Settings\Aga\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wszystkie operacje pomyślnie wykonane. Kończymy: KOMPUTER 1: 1. Skasuj z Pulpitu foldery FRST2 i Stare dane programu Firefox. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. KOMPUTER 2: 1. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy pozycję Ask (o ile widoczna). Przypuszczalnie tego śmiecia ładuje rozszerzenie Norton Security Toolbar. Symantec się zeszmacił i swoje paski ma sponsorowane niepożądanymi wyszukiwarkami Ask. 2. Skasuj z Pulpitu foldery FRST i Stare dane programu Firefox. 3. Zastosuj DelFix.

Na koniec: 1. Były usuwane zaszyfrowane pliki, co oznacza określone uszczerbki w katalogach aplikacji (np. katalogi rozszerzeń Google Chrome zostały przetrzebione). W przypadku widocznej usterki (brak ładowania jakiejś grafiki, etc.) należy dany program przeinstalować. 2. Na wszelki wypadek zmień hasła logowania w ważnych serwisach. PS. A ten odczyt ostrzeżeniowy na temat tapety już wiem skąd. To była adnotacja z załadowanego w tle konta nVidia UpdatusUser (konto nietypowe, niedostępne jako "normalne"). Już zgłosiłam ten fakt autorowi i znaczniki ostrzeżeniowe zostały usunięte.

Nazwy logów FRST wskazują, że wyciągasz je z katalogu C:\FRST\Logs. To jest archiwum logów i tam się głównie nie grzebie (o ile nie zajdzie potrzeba pokazania starszego raportu). Bieżące raporty są zawsze tam skąd uruchamiano FRST, czyli tu katalog Pobrane. Problem z czyszczeniem Google Chrome może wynikać z faktu, że są tu wstawione przez adware polityki blokujące określone funkcje przeglądarki. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1419852990&from=cor&uid=HitachiXHTS541060G9SA00_MPBCP0XGKJ30ZGKJ30ZGX" CHR Extension: (Hold Page) - C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Default\Extensions\oneffdhofljmikcgfdanogcpiebjcmin [2014-12-31] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com S1 SBRE; \SystemRoot\system32\drivers\SBREDrv.sys [X] HKLM\...\Run: [sBRegRebootCleaner] => "C:\Program Files\STOPzilla\SBRC.exe" HKU\S-1-5-21-2700525546-531602145-408075403-1000\...\Run: [ALLUpdate] => "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-2700525546-531602145-408075403-1000\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files\ALLPlayer Remote\ALLPlayerRemoteControl.exe HKU\S-1-5-21-2700525546-531602145-408075403-1000\...\Run: [Napisy24.pl] => "C:\Program Files\Napisy24\Napisy24.exe" AutoStart HKU\S-1-5-21-2700525546-531602145-408075403-1000\...\MountPoints2: {35269662-47c2-11e4-af7e-0016419e83e0} - F:\LGAutoRun.exe C:\Program Files\STOPzilla C:\ProgramData\STOPzilla! C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Hold Page. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (nie uruchamiaj ponownie, chodzi o poprzednie logi).

W systemie jest ogromna ilość instalacji adware. Działania do wykonania: 1. Przez Panel sterowania odinstaluj adware Media+PlayerVidEd2.1, Reimage Repair, SmartWeb. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {4889ddce-7a83-45e6-afc9-1e4f1149fff4}Gw64; C:\Windows\System32\drivers\{4889ddce-7a83-45e6-afc9-1e4f1149fff4}Gw64.sys [48832 2015-02-03] (StdLib) R2 webinstrNewH; C:\Windows\system32\Drivers\webinstrNewH.sys [106456 2014-12-27] (Corsica) R2 82bea50f; c:\Program Files (x86)\CutterEdit\CutterEdit.dll [2353664 2015-01-18] () [File not signed] R2 b4704e3b; c:\Program Files (x86)\SystemAssister\SystemAssister.dll [1927680 2015-01-18] () [File not signed] R2 IHProtect Service; C:\Program Files (x86)\STab\ProtectService.exe [158864 2014-11-10] (TODO: ) R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [7410024 2015-01-14] (Reimage®) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [464384 2015-02-03] (SysTool PasSame LIMITED) [File not signed] S2 4dd8d474; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\RelayDouble\RelayDouble.dll",serv S3 cpuz136; \??\C:\Users\Admin\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S3 SMUpdd; \??\C:\Program Files\Common Files\Goobzo\GBUpdate\smw.sys [X] S2 Update Cyti Web; "C:\Program Files (x86)\Cyti Web\updateCytiWeb.exe" [X] S2 Util Cyti Web; "C:\Program Files (x86)\Cyti Web\bin\utilCytiWeb.exe" [X] Task: {09268FFA-65EC-4DFA-A183-33DF086675E9} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {4295E571-F86E-4BA5-AAFA-E0EDC7487210} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {56066274-369E-4977-AFA9-4F2DE98B2998} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {580E06B7-AC26-4553-A8A9-9E1D1EB800D6} - System32\Tasks\{8950104A-BAA4-4D7D-8ECA-A9CF20156427} => pcalua.exe -a "C:\Program Files (x86)\Cyti Web\CytiWebuninstall.exe" Task: {5D2309D7-290B-42AF-954E-E5A5F80533D1} - System32\Tasks\Reimage Reminder => C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe [2014-11-30] () Task: {6FC20A39-6CD8-425B-9BF1-18DB8E193F55} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {80C54186-01D1-49CC-866D-7F4A7D038AD9} - System32\Tasks\LuckyTab => C:\Program Files (x86)\LuckyTab\LuckyTab.exe Task: {A36AA8A6-D688-492E-B0AA-2103E92356E4} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [2015-01-14] (Reimage®) Task: {D27F3C77-2841-415D-BB7C-3DF10A750B55} - System32\Tasks\SMupdate1 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update1 Task: {D488BCAA-FCEB-4E1B-AA3A-DE4EE4E2303F} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe [2015-01-28] (SoftBrain Technologies Ltd.) Task: {E3172335-1454-4B78-AA66-232D3BBB13D7} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe HKLM-x32\...\Run: [gmsd_pl_5] => [X] HKLM-x32\...\Run: [gmsd_pl_42] => [X] HKLM-x32\...\Run: [rec_pl_1] => [X] HKLM-x32\...\Run: [rec_pl_2] => [X] HKLM-x32\...\Run: [smartWeb] => C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe [270368 2015-01-28] (SoftBrain Technologies Ltd.) HKLM\...\Policies\Explorer: [NoControlPanel] 0 Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File BootExecute: autocheck autochk * aswBoot.exe /M:e3c391c91 /wow /dir:"C:\Program Files\AVAST Software\Avast" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hppp&ts=1418079068&from=exp&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX /verysilent /hideuninstall HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422968011&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hppp&ts=1418079068&from=exp&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX /verysilent /hideuninstall HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422968011&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422968011&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422968011&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&q={searchTerms} SearchScopes: HKLM -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422968011&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422968011&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&q={searchTerms} SearchScopes: HKLM-x32 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-2305985715-200173359-747348330-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2305985715-200173359-747348330-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&ts=1422968126&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2305985715-200173359-747348330-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&ts=1422968126&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2305985715-200173359-747348330-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2305985715-200173359-747348330-1001 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&ts=1422968126&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2305985715-200173359-747348330-1001 -> {ADE86A6D-9873-40C4-985B-EFC8D13D3878} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&ts=1422968126&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2305985715-200173359-747348330-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&ts=1422968126&type=default&q={searchTerms} BHO: HQ-Video-Pro-2.1V27.12 -> {11111111-1111-1111-1111-110611571181} -> C:\Program Files (x86)\HQ-Video-Pro-2.1V27.12\HQ-Video-Pro-2.1V27.12-bho64.dll No File BHO: Media+PlayerVidEd2.1 -> {11111111-1111-1111-1111-110611791113} -> C:\Program Files (x86)\Media+PlayerVidEd2.1\Media+PlayerVidEd2.1-bho64.dll (Enter) BHO: deaoielyyprize -> {140848b7-ba94-4612-871b-1419493e870c} -> C:\ProgramData\deaoielyyprize\5nn11NmzMfokOG.x64.dll () BHO: apaPsave -> {48d798ae-8cb8-4403-8e2e-a2cfd02abbab} -> C:\ProgramData\apaPsave\bhaNKpXrgVKPy1.x64.dll () BHO: nitroDeal -> {59de4826-a00e-475f-8311-b5580916e3c1} -> C:\ProgramData\nitroDeal\KTLTd32RimTYV7.x64.dll () BHO: nnItrodeeal -> {87f6fba8-c6eb-4f03-9e18-12a29daee7a7} -> C:\ProgramData\nnItrodeeal\yaL8qPURPSmwEB.x64.dll () BHO-x32: HQ-Video-Pro-2.1V27.12 -> {11111111-1111-1111-1111-110611571181} -> C:\Program Files (x86)\HQ-Video-Pro-2.1V27.12\HQ-Video-Pro-2.1V27.12-bho.dll No File BHO-x32: Media+PlayerVidEd2.1 -> {11111111-1111-1111-1111-110611791113} -> C:\Program Files (x86)\Media+PlayerVidEd2.1\Media+PlayerVidEd2.1-bho.dll (Enter) BHO-x32: deaoielyyprize -> {140848b7-ba94-4612-871b-1419493e870c} -> C:\ProgramData\deaoielyyprize\5nn11NmzMfokOG.dll () BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: apaPsave -> {48d798ae-8cb8-4403-8e2e-a2cfd02abbab} -> C:\ProgramData\apaPsave\bhaNKpXrgVKPy1.dll () BHO-x32: nitroDeal -> {59de4826-a00e-475f-8311-b5580916e3c1} -> C:\ProgramData\nitroDeal\KTLTd32RimTYV7.dll () BHO-x32: nnItrodeeal -> {87f6fba8-c6eb-4f03-9e18-12a29daee7a7} -> C:\ProgramData\nnItrodeeal\yaL8qPURPSmwEB.dll () StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\webssearches.xml FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\pn8gqu1z.default\extensions\fftoolbar2014@etech.com FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\pn8gqu1z.default\extensions\faststartff@gmail.com FF HKU\S-1-5-21-2305985715-200173359-747348330-1001\...\Firefox\Extensions: [{4B55B3C6-B7D6-F951-65AD-4BBEB0EF1F8E}] - C:\Program Files (x86)\ver2SpeedCheck\184.xpi CHR StartupUrls: Default -> "hxxp://istart.webssearches.com/?type=hppp&ts=1418079068&from=exp&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX\t/verysilent /hideuninstall" CHR DefaultSearchKeyword: Default -> webssearches HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\Program Files\Common Files\mcafee C:\Program Files\Common Files\System\SysMenu.dll C:\Program Files\Reimage C:\Program Files (x86)\6add4cc5-a266-486a-81cd-809c0a8fba83 C:\Program Files (x86)\CutterEdit C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\HQ-Video-Pro-2.1V27.12 C:\Program Files (x86)\LuckyTab C:\Program Files (x86)\Media+PlayerVidEd2.1 C:\Program Files (x86)\predm C:\Program Files (x86)\RelayDouble C:\Program Files (x86)\STab C:\Program Files (x86)\SystemAssister C:\Program Files (x86)\XTab C:\ProgramData\352b27b7506f20d3 C:\ProgramData\apaPsave C:\ProgramData\CoupExtension C:\ProgramData\d09d987b00003f95 C:\ProgramData\deaoielyyprize C:\ProgramData\GreatSave4U C:\ProgramData\ifophngfmomhnbechadpikpkbopikibe C:\ProgramData\MFAData C:\ProgramData\nitroDeal C:\ProgramData\nnItrodeeal C:\ProgramData\pbfmjflhfenidpddejoaeggopfdbepjd C:\ProgramData\Trusted Publisher C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair C:\Users\Admin\AppData\Local\nsyCEF3.tmp C:\Users\Admin\AppData\Local\Avg2014 C:\Users\Admin\AppData\Local\CrashRpt C:\Users\Admin\AppData\Local\globalUpdate C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Local storage\*localstorage* C:\Users\Admin\AppData\Local\SmartWeb C:\Users\Admin\AppData\Roaming\appdataFr2.bin C:\Users\Admin\AppData\Roaming\BMFHCHWA C:\Users\Admin\AppData\Roaming\LBOVY C:\Users\Admin\AppData\Roaming\OLLRJBOY C:\Users\Admin\AppData\Roaming\TCEAppLauncherLog.txt C:\Users\Admin\AppData\Roaming\UNDIQAF C:\Users\Admin\AppData\Roaming\337Games C:\Users\Admin\AppData\Roaming\AnyProtectEx C:\Users\Admin\AppData\Roaming\omiga-plus C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Admin\AppData\Roaming\systweak C:\Users\Admin\Desktop\Continue Live Installation.lnk C:\Users\Public\Documents\ShopperPro C:\Windows\patsearch.bin C:\Windows\Reimage.ini C:\Windows\system32\OptimizerMonitorOff.ini C:\Windows\system32\roboot64.exe C:\Windows\System32\drivers\{4889ddce-7a83-45e6-afc9-1e4f1149fff4}Gw64.sys C:\Windows\system32\drivers\Msft_Kernel_webinstrNHKT_01009.Wdf C:\Windows\system32\drivers\webinstrNewH.sys C:\Windows\SysWOW64\OptimizerMonitor.ini C:\Windows\SysWOW64\OptimizerMonitorOff.ini Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Wyczyść Operę z adware: CTRL+SHIFT+E i na liście Rozszerzeń odinstaluj adware HQ-Video-Pro-2.1V27.12, Media+PlayerVidEd2.1 oraz jeden z Adblocków (obecnie za dużo). 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Infekcja pomyślnie usunięta. 1. Ustawienia tapety nadal nie zostały skorygowane na poziomie rejestru. Miałeś w opcjach zmienić ją wskazując dowolny niezaszyfrowany plik. 2. Pokaż listę zaszyfrowanych plików z dysku C. Uruchom FRST, w polu Search wklej: *scqwxua* Klik w Search Files i dostarcz wynikowy log. Może być bardzo duży.

Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1031630780-3175621160-1081558820-1000\...\Run: [Tok-Cirrhatus-1431] => C:\Users\max\AppData\Local\br3885on.exe [49152 2008-05-29] () HKU\S-1-5-21-1031630780-3175621160-1081558820-1000\...\Run: [Tok-Cirrhatus] => [X] Startup: C:\Users\max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () Task: {C5486121-A29D-43BA-AEC4-3C7F1F3F62A9} - System32\Tasks\{0081150D-F2CE-4CAB-BFCE-A3206AAAD7E3} => pcalua.exe -a F:\programy\programy.exe -d F:\programy C:\Users\max\AppData\Local\*.bin C:\Users\max\AppData\Local\*.exe C:\Users\max\AppData\Local\*.txt CMD: for /d %f in (C:\Users\max\AppData\Local\*bron*) do rd /s /q "%f" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj zbędnik Akamai NetSession Interface. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.