picasso

Router został zmieniony, więc problem zasadniczy rozwiązany. Drobne akcje na kompie numer dwa pomyślnie wykonane. Na tym systemie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Fix FRST nie podołał usuwaniu własnej kwarantanny. Co do błędu MBAM, to spróbujmy usunąć cały katalog Temp przy udziale komendy obchodzącej problem uprawnień. Otwórz Notatnik i wklej w nim: CloseProcesses: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\rwi\AppData\Local\Temp Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, ma nastąpić restart. Pokaż wynikowy fixlog.txt.

Skoro jest problem z zacięciami checkdisk, to może tu być problem sprzętowy z dyskiem. Ten temat wybiegł już daleko poza infekcje, więc przenoszę go do Windows. Natomiast pod kątem diagnostyki sprzętowej załóż nowy temat w dziale Hardware dostarczając dane wymagane działem: KLIK. Zlinkuj też ten temat, by było wiadome co było robione na poziomie softu.

Przestarzały OTL nie jest tu już brany pod uwagę. Proszę dostosuj się do zasad działu i dostarcz obowiązujące tu logi FRST i GMER: KLIK. Logi proszę dostarcz jako oryginalne pliki w postaci załączników forum a nie na serwisach zewnętrznych.

anuska19871, na przyszłość zasady działu, każdy ma mieć swój osobisty temat, niezależnie od tego czy problem jest identyczny: KLIK. Z tego co rozumiem dane masz bezpieczne w innym miejscu, więc spokojnie można sformatować dysk z Windows i zainstalować nowy system.

Czy były stosowane specjalne narzędzia AVG Remover i Norton Removal Tool? I zrób nowy log FRST (z Addition) z poziomu konta Sol.

Na szybko odpowiedź w jednej z kwestii, bo zaraz wychodzę. Nic nie zostało usunięte. To jest wynik tej akcji: W składzie rozszerzeń było to kontekstowe które wspominasz. Na razie zostaw jednak stan testowy, bo chodzi mi o zdefiniowanie czy błędy explorer.exe w ogóle pochodzą z tej strefy. Potem będziemy partiami przywracać / włączać rozszerzenia.

Delfix wykonaj zadanie. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Temat przenoszę do działu Windows. Nie jest to problem infekcji (skąd takie podejrzenia?). W spoilerze tylko drobnostki, tzn. usunięcie szczątkowych przekierowań adware trovi.com i wpisów pustych. To nie ma związku z problemami. 1. Pierwsze delikwent do sprawdzenia to Bitdefender Antivirus Free Edition, gdyż zazębia się ze wszystkimi opisywanymi sferami. Testowa deinstalacja. W Dzienniku zdarzeń jest też błąd: System errors: ============= Error: (02/04/2015 03:23:41 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi gzserv. To usługa BitDefender: R2 gzserv; C:\Program Files\Bitdefender\Antivirus Free Edition\gzserv.exe [69368 2013-10-23] (Bitdefender) 2. W Dzienniku zdarzeń jest również zestaw następujących błędów: System errors: ============= Error: (02/04/2015 05:53:11 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Audio Service z powodu następującego błędu: %%1053 Error: (02/04/2015 05:53:11 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Audio Service. Nie wiem o którą usługę chodzi (systemowa ma inną nazwę wyświetlaną: "Windows Audio"). Uruchom services.msc i sprawdź czy widzisz taką usługę, a jeśli to podaj "Nazwę usługi" (nie tę wyświetlaną) oraz ścieżkę do pliku. Mam pytanie też, co to za Holenderski autokonfig proxy - celowa modyfikacja? AutoConfigURL: [s-1-5-21-764258043-3443933537-1065429426-1000] => file://C:/Windows/System32/drivers/etc/proxy.pac FF NetworkProxy: "autoconfig_url", "file:///C:/Windows/System32/drivers/etc/proxy.pac" FF NetworkProxy: "backup.ftp", "94.75.251.129 " FF NetworkProxy: "backup.ftp_port", 0 FF NetworkProxy: "backup.socks", "94.75.251.129 " FF NetworkProxy: "backup.socks_port", 0 FF NetworkProxy: "backup.ssl", "94.75.251.129 " FF NetworkProxy: "backup.ssl_port", 0 FF NetworkProxy: "ftp", "94.75.251.129 " FF NetworkProxy: "http", "94.75.251.129 " FF NetworkProxy: "share_proxy_settings", true FF NetworkProxy: "socks", "94.75.251.129 " FF NetworkProxy: "ssl", "94.75.251.129 " FF NetworkProxy: "type", 0 Z poprzedniego tematu nic nie wynika. W skrypcie ze spoilera dodałam sprawdzanie jeszcze dwóch kluczy: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters" /s

Jeszcze w logu widziałam dziwne foldery o nazwach jak zmienne: 2015-02-01 14:56 - 2015-02-01 14:56 - 00000000 __SHD () C:\Windows\system32\%USERPROFILE% 2015-02-01 14:56 - 2015-02-01 14:56 - 00000000 __SHD () C:\Windows\system32\%APPDATA% Na wszelki wypadek podaj mi listę określonych kluczy. Zrób nowy fixlist.txt o treści: Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /s Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Uruchom FRST i kliknij w Fix. Zaprezentuj fixlog.txt. Po prostu dokasuj z dysku te elementy: C:\Users\Roman\AppData\Roaming\PCFixKit C:\Users\Roman\Downloads\PCFixKit_Setup.exe Fixlist niepotrzebny, usuwam, Fixlog zawsze zawiera oryginalny Fixlist. Drobne uwagi co do Twojego skryptu:

1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj opcje Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\kamila\Downloads\q524071z.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Czy są jeszcze jakieś problemy?

Temat przenoszę, na razie do Windows ale może i do Hardware pójdzie. Założyłeś temat w dziale diagnostyki infekcji (nie podając nawet raportów), a sam sugerujesz że problem występuje od: Żadnych danych tu nie ma, ani nowych raportów FRST obrazujących co ew. się zmieniło, ani innych np. sprzętowych (KLIK), by móc cokolwiek powiedzieć. PS. Tylko przypominam z poprzedniego tematu, by się upewnić że jednak problem nie jest prokurowany przez:

Na początek uwaga, system został załatwiony za pomocą "Asystenta pobierania" komputerświat, w logu widać nie budzący wątpliwości plik i następstwa jego uruchomienia. Do czytania: KLIK. 2015-01-26 17:48 - 2015-01-26 17:48 - 00682248 _____ (komputerswiat.pl) C:\Users\Lenovo\Downloads\Winamp wizualizacje 5.56.exe W celu rozwiązania problemu przymierzałeś się też do uruchomienia (już pobrany) wątpliwego skanera z czarnej listy, tzn. SpyHunter. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj stare wersje Adobe Shockwave Player 11.6, Java 7 Update 45. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64; C:\Windows\System32\drivers\{1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64.sys [48792 2015-01-26] (StdLib) R1 {2635ac50-5488-40bf-9bfd-accb158f8f3f}w64; C:\Windows\System32\drivers\{2635ac50-5488-40bf-9bfd-accb158f8f3f}w64.sys [61120 2014-04-24] (StdLib) R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [464384 2015-01-26] (SysTool PasSame LIMITED) [File not signed] U3 BcmSqlStartupSvc; No ImagePath U2 IAStorDataMgrSvc; No ImagePath U2 IviRegMgr; No ImagePath U2 RichVideo; No ImagePath U3 SQLWriter; No ImagePath HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422290996&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422290996&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422290996&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422290996&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms} HKU\S-1-5-21-2998680915-4221821129-92501040-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J HKU\S-1-5-21-2998680915-4221821129-92501040-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms} HKU\S-1-5-21-2998680915-4221821129-92501040-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J HKU\S-1-5-21-2998680915-4221821129-92501040-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms} SearchScopes: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms} SearchScopes: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&ts=1422291063&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> {18AA1513-B377-48F1-88D4-50DD0399B873} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&ts=1422291063&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&ts=1422291063&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422291045&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&q={searchTerms} SearchScopes: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W7CC5JXXXXS2W7CC5J&ts=1422291063&type=default&q={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) Toolbar: HKU\S-1-5-21-2998680915-4221821129-92501040-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Task: {0281C558-1927-4F45-BCAF-D899D5AE1561} - System32\Tasks\{1E8D7D7A-7A17-4BF4-8B10-531BA0E2EA3F} => pcalua.exe -a C:\Users\Lenovo\Desktop\winamp\CLIMAX\CLIMAX11.exe -d C:\Users\Lenovo\Desktop\winamp\CLIMAX Task: {150B0A05-FCDD-4DC5-91B0-A11C4AB554AE} - \Digital Sites No Task File Task: {47530DD9-4393-434C-A4DE-B62A42EC4A88} - System32\Tasks\{BD41EE31-7CF5-4A82-9585-FD2D8DDEC283} => pcalua.exe -a "C:\Users\Lenovo\Desktop\Metal Gear Solid 2 - Substance PC + Crack.Fix\DirectX81\dxsetup.exe" -d "C:\Users\Lenovo\Desktop\Metal Gear Solid 2 - Substance PC + Crack.Fix\DirectX81" Task: {59C7DA98-F539-4B33-AD1A-44F6192D2F0C} - \Dealply No Task File Task: {5CB3B361-A15D-461E-B51E-CF9DF8279FA8} - \BitGuard No Task File Task: {65CF9611-1861-443F-91F7-8FC220C280A7} - System32\Tasks\{91A6DF79-6377-41DE-A89B-2B82C02DD0DB} => pcalua.exe -a C:\Users\Lenovo\Desktop\winamp\Geiss\geiss_423.exe -d C:\Users\Lenovo\Desktop\winamp\Geiss Task: {927FADB0-170F-4247-B6AE-B617872943BF} - \DigitalSite No Task File Task: {A9586169-E49B-48BC-B1A0-3759FAAD0D4D} - \EPUpdater No Task File Task: {B4CB07FE-3982-49D5-802B-698B6E572F2F} - System32\Tasks\{DCD2DAFD-EA69-47FB-9537-6C7DAF4D6B2D} => pcalua.exe -a "C:\Users\Lenovo\Desktop\winamp\Winamp 3DGL\wa3dgl150b.exe" -d "C:\Users\Lenovo\Desktop\winamp\Winamp 3DGL" Task: {BD784FCF-106B-4F32-9723-00256C1D5F3F} - System32\Tasks\{698395FE-8F0C-44AE-B291-C4ED64006490} => pcalua.exe -a "C:\Program Files (x86)\AbiWord\UninstallAbiWord2.exe" Task: {E44CCEEA-B715-4338-9DE4-8BDBCBE847EC} - System32\Tasks\{BDEF2D4B-06C6-4639-8758-C024651FC44D} => pcalua.exe -a C:\Users\Lenovo\Desktop\winamp\Tonic\Tonic_v_02_-_Made_In_Bulgaria.exe -d C:\Users\Lenovo\Desktop\winamp\Tonic Task: {ED5E912F-25DA-4B7D-ADF5-57965AC78F36} - System32\Tasks\{3F8DE417-CEA8-4C16-ABB2-1B98D70A5DBB} => pcalua.exe -a C:\Users\Lenovo\Desktop\winamp\Space\Space_v09b.exe -d C:\Users\Lenovo\Desktop\winamp\Space Task: {F4A33AA5-47B0-4BA1-9297-410D989B56F9} - System32\Tasks\{BDF9C1BA-5F85-49AC-8C4F-EF9BDF327647} => pcalua.exe -a C:\Users\Lenovo\Desktop\winamp\Jet\Jet.exe -d C:\Users\Lenovo\Desktop\winamp\Jet C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Solution Real C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AbiWord Word Processor C:\Users\Lenovo\AppData\Local\Gameo C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Lenovo\AppData\Roaming\GoldenGate C:\Users\Lenovo\AppData\Roaming\omiga-plus C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Lenovo\Downloads\sh-remover.exe C:\Users\Lenovo\Downloads\Winamp wizualizacje 5.56.exe C:\Windows\System32\drivers\{1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64.sys C:\Windows\System32\drivers\{2635ac50-5488-40bf-9bfd-accb158f8f3f}w64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw niepoprawnie wyleczony specjalny skrót Internet Explorer. W pasku adresu eksploratora wklej ścieżkę i ENTER: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

GMER zrobiony w złych warunkach - przy czynnym emulatorze SPTD. Temat przenoszę do działu Windows. Zgłoszone problemy nie są wynikiem infekcji. A te detekcje skanów bez znaczenia w kontekście problemów. Usuń tylko dziwny strumień ADS doklejony do katalogu system32 oraz wpisy puste - instrukcje w spoilerze. Proszę o przedstawienie owego "Fixa" FRST, czyli pliku zarchiwizowanego jako C:\FRST\Logs\fixlog.data_czas.txt (data przeprowadzenia operacji). Swoją drogą, widzę programy do czyszczenia rejestru, jakieś dziwaki PCFixKit i RegCleaner. Odradzam takie operacje, potem trudno dojść co się stało, jeśli wystąpi usterka po "czyszczeniu rejestru"... Application errors: ================== Error: (02/03/2015 11:22:23 PM) (Source: Windows Backup) (EventID: 4104) (User: ) Description: Wykonywanie kopii zapasowej plików nie powiodło się. Błąd: Nie można odnaleźć określonego pliku. (0x80070002). Jakie pozycje Microsoftu sprawdzałeś - czy chodzi o artykuł KB979281? Jeśli chodzi o ten problem, to na razie zwraca tu uwagę instalacja Acronis True Image Home - Acronis zastępuje moduł Kopii zapasowej Windows swoją i mogą pojawiać się kłopoty. Przykładowy temat: KLIK. Punkty Przywracania systemu są magazynowane niepermanentnie, gdyż magazyn kopii cieniowych jest limitowany, i po pewnym okresie czasu i tak system usuwa starsze punkty, by zrobić miejsce na nowe. Tu log sugeruje, że jak najbardziej miało prawo to wystąpić patrząc na to z jaką częstotliwością są robione punkty i jak długa lista już tu jest: Błąd w Dzienniku enigmatyczny: Application errors: ================== Error: (02/03/2015 11:38:28 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd Explorer.EXE, wersja 6.0.6002.18005, sygnatura czasowa 0x49e02a1e, moduł powodujący błąd SHELL32.dll, wersja 6.0.6002.19070, sygnatura czasowa 0x5331af2e, kod wyjątku 0xc0000005, przesunięcie błędu 0x0000000000009de5, identyfikator procesu 0xd98, godzina rozpoczęcia aplikacji 0xExplorer.EXE0. Zwykle to jednak oznacza problem z jakimś rozszerzeniem eksploratora wprowadzonym przez dany program. Jest tu mnóstwo różnych programów, w tym starych. Do wykonania test wstępny. Uruchom ShellExView x64 - ułóż wszystkie wejścia wg producenta poprzez klik w belkę Company, następnie z wciśniętym CTRL zaznacz wszystkie na różowym tle (wpisy nie-Microsoftu) i zdeaktywuj. Zresetuj system, podaj czy nadal występują błędy powłoki explorer.exe. Przestarzały Spybot do deinstalacji. Archaiczna konstrukcja, słaba skuteczność. Na dodatek niepożądana modyfikacja pliku HOSTS (archaiczna metoda zabezpieczania), który przetwarza tysiące wpisów. To jest niezdrowe i obciąża usługę Klient DNS. W krytycznym przypadku mogą się dziać takie oto kwiatki: KLIK. Odwróć tę modyfikację.

Temat przenoszę do działu Windows, teoria "wirusów" do kosza. Był tu używany ComboFix (wyniki nie podane), a cały czas mówię, by go nie używać bez potrzeby nie wiedząc jaki typ usterki występuje. Objaśnij o co chodzi z "dostęp do partycji D jest niemożliwy" - na czym to polega? A uszkodzony Kosz z dysku D łatwo usunąć, ale nie zabieram się za to nie wiedząc na czym polega brak dostępu do partycji D, gdyż problem Kosza może być tylko jednym z objawów ogólniejszej usterki (np. uszkodzona struktura plików). PS. W spoilerze drobna kosmetyka na szczątki adware i wpisy puste, nie ma to żadnego związku z objawami i jest tylko pobocznym zagadnieniem.

Fix wykonany. Na koniec: 1. Skasuj folder C:\Windows\erdnt (kopia rejestru utworzona przez ComboFix0. 2. Zastosuj DelFix oraz uzupełnij najnowszą Java (o ile potrzebna): KLIK.

Ten PriceFountain został nabyty z serwisu dobreprogramy.pl podczas pobierania uTorrent, bo na dysku widać plik "Asystenta pobierania" tego serwisu i zaraz po tym pojawienie się adware. Podsuń użytkownikowi komputera do czytania: KLIK. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware: Jump Flip, Mobogenie, PriceFountain (remove only), Skype Packages i Update for PriceFountain. Jeśli czegoś nie będzie widać lub zwróci błąd, nie szkodzi. Potem poprawimy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com?affID=na" CHR DefaultSearchKeyword: Default -> yahoo.com CHR DefaultNewTabURL: Default -> http://search.yahoo.com/?fr=hp-ddc-bd-tab&type=616_pr__alt__ddc_dsssyctab_bd_com CHR HKLM-x32\...\Chrome\Extension: [debmkdhphjfcbaomiknnceliiclnpmfg] - C:\Program Files (x86)\Jump Flip\debmkdhphjfcbaomiknnceliiclnpmfg.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [idhngdhcfkoamngbedgpaokgjbnpdiji] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Ext\realdownloader.crx [2013-08-14] HKU\S-1-5-21-2592862549-595905708-2507062346-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na SearchScopes: HKU\S-1-5-21-2592862549-595905708-2507062346-1001 -> DefaultScope {96508140-5FAC-4624-9FE9-08A58E5FBFE5} URL = SearchScopes: HKU\S-1-5-21-2592862549-595905708-2507062346-1001 -> {6197D26D-FF62-4C7C-A531-9902C633C558} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=842 SearchScopes: HKU\S-1-5-21-2592862549-595905708-2507062346-1001 -> {96508140-5FAC-4624-9FE9-08A58E5FBFE5} URL = DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab Task: {07FAFA7A-AB21-4458-8095-4C55B5DE12CF} - System32\Tasks\Price Fountain => C:\Users\sławek\AppData\Roaming\PriceFountain\UpdateProc\UpdateTask.exe [2015-01-27] () Task: {9714D8FC-B5C8-4725-89C5-10C833CFB9B4} - System32\Tasks\{46511A2A-A716-403F-9DB8-E8131D2B6156} => pcalua.exe -a "C:\Program Files (x86)\3G HSUPA Modem\UNWISE.EXE" -d "C:\Program Files (x86)\3G HSUPA Modem" -c /W6 "C:\Program Files (x86)\3G HSUPA Modem\INSTALL.LOG" Task: {9F17114C-4088-45F0-BA30-78E93B2C6BE8} - System32\Tasks\WLANStartup => C:\Program Files (x86)\Samsung\Easy Settings\WLANStartup.exe Task: C:\WINDOWS\Tasks\Price Fountain.job => C:\Users\SAWEK~1\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE C:\Program Files (x86)\Jump Flip C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\2ce8e63b-5e53-4efc-b4cf-6a6e52e017a4 C:\ProgramData\APN C:\Users\sławek\AppData\Local\genienext C:\Users\sławek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\sławek\AppData\Local\Google\Chrome\User Data\Default\Local storage\*localstorage* C:\Users\sławek\AppData\Local\PriceFountain C:\Users\sławek\AppData\Roaming\newnext.me C:\Users\sławek\AppData\Roaming\PriceFountain C:\Users\sławek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mobogenie.lnk C:\Users\sławek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\sławek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain C:\Users\sławek\Downloads\*(*)-dp*.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v NextLive /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Yahoo! Search" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "mobilegeni daemon" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: sc config "Mobile Partner. RunOuc" start= disabled CMD: sc config "PLAY ONLINE. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Jump Flip, a przy okazji RealDownloader (on jest prawdopodobnie i tak zablokowany przez Chrome). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy to fałszywe Yahoo oraz niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Jeśli chodzi o modyfikację strzałek skrótów, to jest omawiane w tym temacie: KLIK. W owym momencie sprawdzany przeze mnie Sunrise, choć w ogóle tu nie polecany, tworzył poprawną edycję. I nie tu leży problem, gdyż: Popatrz dokładnie na obrazek, on mówi co jest nie tak: explorer.exe = Wydawca: Nieznany. Wygląda na to, że posunąłeś się w Sunrise Seven znacznie dalej i użyłeś prawdopodobnie funkcji wymiany przycisku Start, co edytuje plik explorer.exe. Plik utracił sygnaturę cyfrową producenta. Mówi o tym zarówno zrzut ekranu, jak i log z FRST: ==================== Bamital & volsnap Check ================= C:\Windows\explorer.exe [2010-11-21 04:24] - [2013-09-22 10:45] - 2872320 ____A (Microsoft Corporation) A6104413A0E1276878ABFFB3D6B10A12 Przywróć oryginalny sygnowany plik. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scanfile=C:\Windows\explorer.exe Jeśli komunikat potwierdzi przywrócenie oryginału, zresetuj system i przetestuj czy nadal są problemy. PS. Do usunięcia czynny sterownik adware, "downloadery" portalowe oraz puste wpisy. W spoilerze instrukcja. I przeczytaj czego unikać: KLIK.

Przestarzały OTL nie jest tu brany pod uwagę. Dostosuj się do zasad działu jakie logi są tu obowiązkowe: KLIK. Wręcz przeciwnie, problem byłby gdybyś się podpiął (kosz). Zasady mówią wyraźnie, że tu jest zakaz podpinania się pod cudze tematy i każdy ma mieć osobny temat.

Wszystko zrobione, więc czekam na wyniki czy nadal są jakieś problemy i przekierowania. Na teraz drobny skrypt końcowy. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: del /q C:\Windows\system32\npDeployJava1.dll CMD: del /q C:\Windows\system32\deployJava1.dll CMD: del /q C:\Users\Aniut\Downloads\f0o8ssyv.exe CMD: C:\Users\Aniut\Downloads\ComboFix.exe /uninstall Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Ostatnia komenda to deinstalacja ComboFix.

W porządku. Na koniec zastosuj DelFix, wyczyść foldery Przywracania systemu oraz odinstaluj wszystkie Java zastępując najnowszą wersją: KLIK.

Puste okno Kopii zapasowej sugeruje jedno z dwóch: albo nie działa usługa Kopii zapasowej (wyłączona lub usunięta), albo uszkodzone moduły interfejsu (wyrejestrowane lub brak pliku). Podaj informacje wstępne. Uruchom SystemLook (jeśli system 32-bit) lub SystemLook x64 (jeśli system 64-bit) i do okna wklej: :reg HKLM\SOFTWARE\Classes\CLSID\{B98A2BEA-7D42-4558-8BD1-832F41BAC6FD} /s HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{B98A2BEA-7D42-4558-8BD1-832F41BAC6FD} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsBackup /s HKLM\SYSTEM\CurrentControlSet\services\SDRSVC /s :filefind sdcpl.dll sdrsvc.dll Klik w Look i przedstaw wynikowy raport.

Jeśli podczas usuwania otrzymałeś komunikat o usuwaniu "system-wide", to do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe] @="exefile" "Content Type"="application/x-msdownload" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler] @="{098f2470-bae0-11cd-b579-08002b30bfeb}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile] @="Application" "EditFlags"=hex:38,07,00,00 "FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\ 00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,\ 32,00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,\ 00,2c,00,2d,00,31,00,30,00,31,00,35,00,36,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\DefaultIcon] @="%1" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open] "EditFlags"=hex:00,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] @="\"%1\" %*" "IsolatedCommand"="\"%1\" %*" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ResourceHacker] @="Open using Resource &Hacker" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ResourceHacker\command] @="\"C:\\Program Files\\Resource Hacker\\reshacker.exe\" \"%1\"" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runas] "HasLUAShield"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runas\command] @="\"%1\" %*" "IsolatedCommand"="\"%1\" %*" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runasuser] @="@shell32.dll,-50944" "Extended"="" "SuppressionPolicyEx"="{F211AA05-D4DF-4370-A2A0-9F19C09756A7}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runasuser\command] "DelegateExecute"="{ea72d00e-4960-42fa-ba92-7792a7944c1d}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\ContextMenuHandlers] @="Compatibility" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\ContextMenuHandlers\Compatibility] @="{1d27f844-3a1f-4410-85ac-14651078412d}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\DropHandler] @="{86C86720-42A0-1069-A2E8-08002B30309D}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\PropertySheetHandlers] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\PropertySheetHandlers\PifProps] @="{86F19A00-42A0-1069-A2E9-08002B30309D}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page] @="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Uruchom plik przez dwuklik, zatwierdż import i zresetuj system.

Fix w FRST w ogóle nie wykonany - otwórz plik Fixlog, jest kompletnie pusty, nic nie wkleiłeś do Notatnika. Do powtórzenia punkt 2 oraz 4 (ale log z GMER już nie jest potrzebny).

- Jeśli chodzi o budowę Chrome widzianą w raportach, to pozornie nic nie widać w konfiguracji, ale posiadasz świeżo dodane nieoficjalne rozszerzenie Silverlight for Chrome (to nie jest rozszerzenie Microsoftu). Przeczytaj podobny temat, gdzie sugerowałam, że to rozszerzenie może być problemem: KLIK. - Jeśli chodzi o infekcję ogólną, to owszem jest - ładuje się Bitcoin miner ze strumieni NTFS podczepionych pod katalog C:\temp, towarzyszy tego też taki długi wpis startowy "AAAAAAA...". Przy okazji, log z GMER wykazuje dziwną sprawę, tzn. ukryte uruchomione procesy jakoby "Ad-Aware Antivirus", choć nie ma śladów tej instalacji. - YAC (Yet Another Cleaner) to niepożądany podejrzany program: KLIK. - O jakich folderach mówisz? Raportu z ComboFix brak - nie jest widoczny plik C:\ComboFix.txt, za to dużo innych komponentów ComboFix. Jest za to folder C:\AdwCleaner - czy tam nie ma jakiś logów? Działania wstępne: 1. Odinstaluj stare wersje: Adobe Flash Player 11 ActiveX, Java 7 Update 25 (64-bit), Java 7 Update 45 (64-bit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-4088076161-2145778700-1263544819-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-4088076161-2145778700-1263544819-1000\...\Run: [KiesAirMessage] => C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe -startup HKU\S-1-5-21-4088076161-2145778700-1263544819-1000\...\Run: [AVG-Secure-Search-Update_0913b] => C:\Users\Aniut\AppData\Roaming\AVG 0913b Campaign\AVG-Secure-Search-Update-0913b.exe /PROMPT --mid d7d99be1fdb047d3b0af416272bd952b-7b84e138c2dd6d732339f8a915c00ffe944619fe --CMPID 0913b HKU\S-1-5-21-4088076161-2145778700-1263544819-1000\...\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] => 1 HKU\S-1-5-21-4088076161-2145778700-1263544819-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-4088076161-2145778700-1263544819-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Toolbar: HKU\S-1-5-21-4088076161-2145778700-1263544819-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File Task: {B992F898-14DC-46B6-919B-FCA513BA9082} - System32\Tasks\{63A47BC4-989C-42B1-87A6-BEACADDAEABA} => pcalua.exe -a "D:\fotografia\Nero 12 Platinum 12.0.020 + Patch + Key [EC]\Nero 12 Platinum 12.0.020 + Patch + Key [EC]\Patch + Key\Nero-12.0.02000_trial .exe" -d "D:\fotografia\Nero 12 Platinum 12.0.020 + Patch + Key [EC]\Nero 12 Platinum 12.0.020 + Patch + Key [EC]\Patch + Key" Task: C:\Windows\Tasks\0414bUpdateInfo.job => C:\ProgramData\Avg_Update_0414b\0414b_AVG-Secure-Search-Update.exe S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 NDSPCIIO; \??\C:\Windows\system32\DRIVERS\NDSPCIIO64.SYS [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\temp C:\Program Files\Common Files\Lavasoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anki.lnk C:\Users\Aniut\AppData\Local\Google\Chrome\User Data\Profile 1\Preferences C:\Users\Aniut\AppData\Local\Google\Chrome\User Data\Profile 1\Local Storage\*localstorage* C:\Users\Aniut\AppData\Roaming\LavasoftStatistics Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Silverlight for Chrome Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale pozostałe rozszerzenia zostaną wyłączone (aktywuj ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + GMER. Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany oraz objaśnij jakie foldery Cię niepokoją.