picasso

1. Coś szybko jesteś z powrotem - to na pewno był pełny skan MBAM a nie szybki? Jeśli chodzi o wyniki, to tylko drobne szczątki adware - usuń za pomocą programu. 2. Na koniec skasuj pobrany FRST. Następnie zaaplikuj Delfix i wyczyść foldery Przywracania systemu: KLIK.

Teraz: 1. Nowy skrypt do FRST o postaci: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\Windows\system32\config\HiveBackup Zaprezentuj wynikowy fixlog.txt. 2. Po wykonaniu skryptu zrób pełne skanowanie systemu za pomocą Malwarebytes Anti-Malware (przy instalacji odznacz trial). Jeśli coś znajdzie, zaprezentuj raport.

Za późno doedytowałam, jeszcze te obiekty z folderu Windows Defender trzeba skasować: C:\Program Files\Windows Defender\MSASCui.exe.config C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C\MpAsDesc.dll.mui.9iz3S.aGhM6 C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C\MpEvMsg.dll.mui.fSRV1.5269q C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C\MsMpRes.dll.mui.yv8.x65m Zrób nowy skrypt do FRST i pokaż log wynikowy. Wielkie dzięki!

Zmieniłeś kolejność, McAfee był deinstalowany dopiero po przetworzeniu skryptu. Kolejność instrukcji jest ścisła (tu: deinstalacja miała być przed komendą czyszczenia Tempów). Wszystko pomyślnie usunięte, ale to nie koniec działań. Brontok tworzy w ogromnej ilości katalogów falsyfikaty, tzn. pliki EXE o nazwie jak katalog w którym siedzą, a przypadkowe uruchomienie takiego pliku zainfekuje ponownie system. Logi już tu nie pomogą, bo są zbyt ograniczone, potrzebny pełny skan za pomocą programu który wykrywa takie pliki. Kolejna porcja działań: 1. Będąc zalogowanym na koncie dom. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1880997745-2878968255-1170384601-1003\...\Run: [Tok-Cirrhatus] => "C:\Users\dom\AppData\Local\smss.exe" RemoveDirectory: C:\32788R22FWJFW RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Temp RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\Windows\system32\%LOCALAPPDATA% Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Dopiero po wykonaniu powyższego działania zainstaluj ponownie Malwarebytes Anti-Malware. Zrób pełny skan (a nie ekspresowy) komputera. MBAM wykrywa fslsyfikaty Brontok pod nazwą kodową Trojan.Dropper. Jeśli program coś znajdzie, dostarcz raport.

Fix wykonany, napęd CD powinien już działać, ale potwierdź to. Na zakończenie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. W mojej sygnaturze jest link do publicznych danych. Dzięki!

DelFix wykonał zadanie. Skasuj z dysku plik C:\Delfix.txt oraz GMER (o ile nadal jest gdzieś). Temat rozwiązany. Zamykam.

Wszystko zrobione. W zakresie czyszczenia systemu prawie kończymy. Nie zwróciłam uwagi, że po usunięciu niezgodnego sterownika pfc.sys padł napęd: ==================== Faulty Device Manager Devices ============= Name: HL-DT-ST DVDRAM GH22NS70 ATA Device Description: Stacja dysków CD-ROM Class Guid: {4d36e965-e325-11ce-bfc1-08002be10318} Manufacturer: (Standardowe stacje dysków CD-ROM) Service: cdrom Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. To zapewne jest wynik filtrów pfc.sys na urządzeniach. Korekta. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v LowerFilters /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v UpperFilters /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Poaż wynikowy fixlog.txt. vs. Jeśli poprawa nie jest aż tak znaczna, to niestety pakiet zabezpieczający może być problemem. Obecnie pakiety zabezpieczające to gęsta siatka usług / sterowników.

Fix FRST wykonany. AdwCleaner wykrył dużo śmieci adware. Kolejna porcja czynności: 1. Uruchom ponownie AdwCleaner, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\user\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\user\Desktop\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe CMD: del /q C:\Users\user\Desktop\MicrosoftFixit50688.msi CMD: del /q C:\Users\user\Downloads\f7g3m7w6.exe CMD: del /q "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Poprawki pod kątem adware i odpadków: 1. Otwórz Notatnik i wklej w nim: BHO: Sense -> {11111111-1111-1111-1111-110411821192} -> C:\Program Files (x86)\Sense\Sense-bho64.dll (Object Browser) BHO-x32: Sense -> {11111111-1111-1111-1111-110411821192} -> C:\Program Files (x86)\Sense\Sense-bho.dll (Object Browser) S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] C:\Program Files (x86)\Sense C:\Program Files (x86)\Spybot - Search & Destroy C:\ProgramData\Spybot - Search & Destroy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Sense Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i zaprezentuj log z folderu C:\AdwCleaner.

Ale to stara dziurawa wersja Opera 12.16. Jest nowsza wydana w 2014 Opera 12.17 na silniku Presto a nie Blink, która zawiera łatę na krytyczną lukę Heartbleed. Link w przyklejonym: KLIK. Zadania wykonane. Poprawki pod kątem odpadkowych folderów. Otwórz Notatnik i wklej w nim: C:\Program Files\F-Secure Internet Security C:\Program Files\Farbrka Gier Onet C:\Program Files\Gadu-Gadu 10 C:\Program Files\GUM1678.tmp C:\Program Files\Java C:\Program Files\Temp C:\ProgramData\Freemake C:\ProgramData\fssg C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\InstallMate C:\ProgramData\NortonInstaller C:\ProgramData\Oracle C:\ProgramData\RegCure C:\ProgramData\Sun C:\ProgramData\Symantec C:\Users\Właściciel\AppData\Local\cache C:\Users\Właściciel\AppData\Local\WindowsUpdate C:\Users\Właściciel\AppData\LocalLow\BrotherSoft_Extreme C:\Users\Właściciel\AppData\LocalLow\Sun C:\Users\Właściciel\AppData\LocalLow\Temp C:\Users\Właściciel\AppData\Roaming\dclogs C:\Users\Właściciel\AppData\Roaming\FlashGet C:\Users\Właściciel\AppData\Roaming\Gadu-Gadu 10 C:\Users\Właściciel\AppData\Roaming\GetRightToGo Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. EDIT: Zapomniałam dodać te śmieci z katalogu Windows Defender. To w nasępnym poście.

DelFix wykonał robotę. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

OTL to przestarzały program i nie jest tu brany pod uwagę. Proszę dostosuj się do zasad działu i dostarcz obowiązujące tu logi: KLIK. A tytuł tematu dostosowuję do problemu zasadniczego. EDIT: Logi dodane. Odpowiadasz mi już w nowym poście, nie edytuj pierwszego. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj zbędnik sponsoringowy McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKLM\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\bronstab.exe [42065 2006-06-20] () HKLM\...\Winlogon: [shell] Explorer.exe "C:\Windows\eksplorasi.exe" [x ] () HKU\S-1-5-21-1880997745-2878968255-1170384601-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Kasia\AppData\Local\smss.exe [42065 2006-06-20] () HKU\S-1-5-21-1880997745-2878968255-1170384601-1000\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-1880997745-2878968255-1170384601-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-1880997745-2878968255-1170384601-1000\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () Startup: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp\Empty.pif () HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Users\dom\AppData\Local\*.bat C:\Users\dom\AppData\Local\*.bin C:\Users\dom\AppData\Local\*.exe C:\Users\dom\AppData\Local\*.txt C:\Users\dom\Documents\Documents.exe C:\Users\Kasia\AppData\Local\*.bat C:\Users\Kasia\AppData\Local\*.bin C:\Users\Kasia\AppData\Local\*.exe C:\Users\Kasia\AppData\Local\*.txt C:\Users\Kasia\Desktop\kasku\programy\*.lnk C:\Users\Kasia\Documents\Documents.exe C:\Windows\eksplorasi.exe C:\Windows\ShellNew\bronstab.exe C:\Windows\system32\dom's Setting.scr C:\Windows\system32\Kasia's Setting.scr CMD: for /d %f in (C:\Users\dom\AppData\Local\*Bron*) do rd /s /q "%f" CMD: for /d %f in (C:\Users\Kasia\AppData\Local\*Bron*) do rd /s /q "%f" Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W systemie są dwa konta dom i Kasia. Oba są zainfekowane - wstępnie czyszczone skryptem FRST, ale to nie wystarczy. Wymagane logi z każdego konta z osobna. Logujesz się po kolei na każde poprzez pełny restart systemu (a nie Wyloguj czy Przełącz użytkownika) i zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition, by powstały po dwa logi). Dołącz też plik fixlog.txt.

W systemie są obiekty adware - a wpływ na długi start Windows może mieć odpadkowy sterownik wStLib64 - jest to wysoce problematyczny obiekt z grupy adware Sambreel, może powodować problemy ze startem Windows oraz działaniem internetu. Ale wcale nie musi być to przyczyna długiego wczytywania Windows, równie dobrze problem może tworzyć bardzo rozbudowany i inwazyjny pakiet Avast Premier. Póki co, będę usuwać szczątki adware, rekonfigurować niektóre usługi Windows (tryb Ręczny zamiast Auto) oraz adresować też te błędy z Dziennika zdarzeń: Application errors: ================== Error: (01/29/2015 04:15:30 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/29/2015 01:43:00 AM) (Source: MsiInstaller) (EventID: 11316) (User: ZARZĄDZANIE NT) Description: Product: Google Update Helper -- Error 1316. Określone konto już istnieje. System errors: ============= Error: (01/29/2015 04:14:50 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \SystemRoot\SysWow64\drivers\pfc.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Przeprowadź następujące działania: 1. Na początek deinstalacje: - Przez Panel sterowania odinstaluj adware Internet Explorer Toolbar 4.6 by SweetPacks, Sense, Update_for_BonanzaDeals oraz przestarzały Spybot - Search & Destroy. Jeśli jakieś wpisy nie będą widoczne lub nie będą dały się odinstalować, nie szkodzi, kontynuuj. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wStLib64; C:\Windows\System32\drivers\wStLib64.sys [61120 2014-04-23] (StdLib) S3 pfc; C:\Windows\SysWOW64\drivers\pfc.sys [9856 2012-01-23] (Padus, Inc.) [File not signed] S3 MSICDSetup; \??\E:\CDriver64.sys [X] ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File CustomCLSID: HKU\S-1-5-21-3017187921-1793405025-1133042684-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File Task: {2494FFA9-AA52-441B-AD78-20DB48F80F94} - System32\Tasks\{0B80D1CC-9FEF-4950-80AE-AA526DE04C2D} => Firefox.exe http://ui.skype.com/ui/0/5.5.0.124.259/pl/abandoninstall?source=lightinstaller&page=tsProblems&LastError=12007&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;disabled Task: {376B1C9A-B922-407C-9477-207FA811552D} - System32\Tasks\{9A087C6C-6323-4476-B2A6-45E105FC527C} => pcalua.exe -a "C:\Program Files (x86)\Sense\Uninstall.exe" -c /fromcontrolpanel=1 Task: {6B6095B9-1E27-4AF6-800D-252250D38ABA} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-05-02] (Google Inc.) Task: {789B5B86-C6D2-4553-8800-2E369A1D0499} - System32\Tasks\{426E5C90-584F-4CC2-ABBC-B2A1A1C39449} => pcalua.exe -a C:\Users\user\Desktop\l3codecx.exe -d C:\Users\user\Desktop Task: {97150842-6A18-400E-9932-CBBE296908E2} - System32\Tasks\{5D1EAD23-C157-44A8-985A-EC065628FFB2} => Firefox.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsMain Task: {AB9B71AA-7A0E-48CA-80C1-DCD1E470DD01} - System32\Tasks\Sense-enabler => C:\Program Files (x86)\Sense\Sense-enabler.exe [2014-02-26] (Object Browser) Task: {B6D789C0-4767-4933-9776-C412A0DACE14} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-05-02] (Google Inc.) Task: {FF68E047-06C1-420D-8BED-B7DFAE85EE94} - System32\Tasks\{B828FEC2-E17B-40B8-9793-1FA7C996A0C3} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\Sense-enabler.job => C:\Program Files (x86)\Sense\Sense-enabler.exe FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM-x32 -> DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = SearchScopes: HKU\S-1-5-21-3017187921-1793405025-1133042684-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKU\S-1-5-21-3017187921-1793405025-1133042684-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dee2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall C:\ProgramData\Temp C:\Users\user\AppData\Roaming\LiveSupport.exe_log.txt C:\Users\user\AppData\Roaming\regsvr32.exe_log.txt C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MX Skype Recorder C:\Windows\System32\drivers\wStLib64.sys C:\Windows\SysWOW64\drivers\pfc.sys CMD: sc config c2cautoupdatesvc start= demand CMD: sc config c2cpnrsvc start= demand CMD: sc config NvNetworkService start= demand CMD: sc config NvStreamSvc start= demand CMD: sc config WinDefend start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenie WOT trzeba będzie przeinstaowa. 4. Uruchom narzędzie Fix it korygujące błąd WMI numer 10: KLIK. 5. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition, Shortcut już nie jest potrzebny). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

Na koniec: 1. Usuń używane narzędzia logów z folderu D:\Programy. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

OK. Końcowe poprawki: 1. Zresetuj cache wtyczek Google Chrome, by pozbyć się pustych wpisów. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Otwórz Notatnik i wklej w nim: U4 srservice; No ImagePath DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Pokaż wynikowy fixlog.txt. 3. Dopiero po przeprowadzeniu powyższego zrób pełny skan za pomocą Malwarebytes Anti-Malware. W przypadku wykrycia czegoś dostarcz raport z wynikami.

Pomyślny start systemu oznacza, że był uszkodzony któryś kluczowy plik, tylko niestety nie mogę sprawdzić który, bo brak rekordów w CBS.LOG. Jest pewne, że katalog Windows Defender był naruszony, ale ten rodzaj usterki nie powinien tworzyć czarnego ekranu... Oczywiście teraz już log FRST spod RE jest nieaktualny, liczą się bogatsze logi FRST spod Windows. Przechodzimy do doczyszczania systemu ze śmieci. Będę usuwać także komponenty Firefox, który jest niepoprawnie zainstalowany (brak wejścia deinstalacji, skróty jednak są). 1. Włącz Przywracanie systemu, gdyż aktualnie jest wyłączone. 2. Odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Reader X (10.1.13), Adobe Shockwave Player 12.0, Gadu-Gadu 10, Java 7 Update 45, Mozilla Maintenance Service, Opera 12.16. Przed wykonaniem punktu numer 3 usuwającym Firefox możesz zrobić kopię zapasową zakładek i haseł (ale nic więcej) za pomocą MozBackup. 3. Otwórz Notatnik i wklej w nim: CreateRestorePoint: HKU\S-1-5-19\...\Run: [Winrar_Update] => "C:\ProgramData\Winrar_Update\dtdasndku.exe" HKU\S-1-5-20\...\Run: [Winrar_Update] => "C:\ProgramData\Winrar_Update\dtdasndku.exe" HKU\S-1-5-21-671787287-3483274435-3103815376-1001\...\Run: [WerFault] => C:\Users\Właściciel\AppData\Roaming\1819.exe HKU\S-1-5-21-671787287-3483274435-3103815376-1001\...\Run: [Winrar_Update] => "C:\ProgramData\Winrar_Update\dtdasndku.exe" HKU\S-1-5-21-671787287-3483274435-3103815376-1001\...\RunOnce: [Adobe Speed Launcher] => 1422546875 CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1419848387&from=cor&uid=MAXTORXSTM3320820AS_6QF2HM69XXXX6QF2HM69" CHR HKLM\...\Chrome\Extension: [edaejikblbkinejkmkkodkjofpkfibdi] - C:\ProgramData\DownloadnSave\edaejikblbkinejkmkkodkjofpkfibdi.crx [Not Found] CHR HKLM\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - No Path HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-671787287-3483274435-3103815376-1001 -> Backup.Old.DefaultScope {FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD} SearchScopes: HKU\S-1-5-21-671787287-3483274435-3103815376-1001 -> {6FD0B21A-6782-57C1-E6C2-3F41F0380BDE} URL = http://www.google.com/custom?q={searchTerms}&sa.x=0&sa.y=0&safe=active&client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&hl=en&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1 Task: {F736E87B-8B56-457E-A9C6-A9CCF5806C18} - System32\Tasks\{DDA2CD83-7AE5-426D-B3C5-FD7D8DC9DAA6} => pcalua.exe -a C:\Users\Właściciel\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{00021401-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{0C7EFBDE-0303-4C6F-A4F7-31FA2BE5E397}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{0E890F83-5F79-11D1-9043-00C04FD9189D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.25.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{16D51579-A30B-4C8B-A276-0FF4DC41E755}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{16F3DD56-1AF5-4347-846D-7C10C4192619}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{1E66F26B-79EE-11D2-8710-00C04F79ED0D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{25336920-03F9-11CF-8FD0-00AA00686F13}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{275C23E2-3747-11D0-9FEA-00AA003F8646}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{2933BF91-7B36-11D2-B20E-00C04F983E60}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{3050F391-98B5-11CF-BB82-00AA00BDCE0B}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{3050F3B2-98B5-11CF-BB82-00AA00BDCE0B}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{3050F406-98B5-11CF-BB82-00AA00BDCE0B}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{3050F4CF-98B5-11CF-BB82-00AA00BDCE0B}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{30C3B080-30FB-11D0-B724-00AA006C1A01}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.23.9\psuser.dll No File CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{385A91BC-1E8A-4E4A-A7A6-F4FC1E6CA1BD}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{4CB26C03-FF93-11D0-817E-0000F87557DB}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{4DF0C730-DF9D-4AE3-9153-AA6B82E9795A}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{4FD2A832-86C8-11D0-8FCA-00C04FD9189D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{50D5107A-D278-4871-8989-F4CEAAF59CFC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{50EF4544-AC9F-4A8E-B21B-8A26180DB13F}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{527C9A9B-B9A2-44B0-84F9-F0DC11C2BCFB}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{555278E2-05DB-11D1-883A-3C8B00C10000}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{607FD4E8-0A03-11D1-AB1D-00C04FC9B304}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{62112AA1-EBE4-11CF-A5FB-0020AFE7292D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{6A01FDA0-30DF-11D0-B724-00AA006C1A01}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{6F237DF9-9DDB-47AD-B218-400D54C286AD}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{7057E952-BD1B-11D1-8919-00C04FC2C836}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{76765B11-3F95-4AF2-AC9D-EA55D8994F1A}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{782355DA-B9DB-48F3-84D4-340E450EF3A5}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{807563E5-5146-11D5-A672-00B0D022E945}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{81397204-F51A-4571-8D7B-DC030521AABD}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{8856F961-340A-11D0-A96B-00C04FD705A2}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.24.15\psuser.dll No File CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{920E6DB1-9907-4370-B3A0-BAFC03D81399}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{99FD978C-D287-4F50-827F-B2C658EDA8E7}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{9BA05972-F6A8-11CF-A442-00A0C90A8F39}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{9CFC2DF3-6BA3-46EF-A836-E519E81F0EC4}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{A3CCEDF7-2DE2-11D0-86F4-00A0C913F750}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{A4A1A128-768F-41E0-BF75-E4FDDD701CBA}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{A5DC33CE-214B-4C26-8596-8A45456C9EB8}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{A7EE7F34-3BD1-427F-9231-F941E9B7E1FE}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{ADC6CB82-424C-11D2-952A-00C04FA34F05}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{B54F3741-5B07-11CF-A4B0-00AA004A55E8}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{B8967F85-58AE-4F46-9FB2-5D7904798F4B}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{CACAF262-9370-4615-A13B-9F5539DA4C0A}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{CD773740-B187-4974-A1D5-E0FF91372277}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{D1FE6762-FC48-11D0-883A-3C8B00C10000}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{D7B70EE0-4340-11CF-B063-0020AFC2CD35}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{DA5F0C98-4A7B-4C92-915E-4BE1BC95DE99}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{E569BDE7-A8DC-47F3-893F-FD2B31B3EEFD}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{E77CC89B-7401-4C04-8CED-149DB35ADD04}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.22.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{F414C260-6AC0-11CF-B6D1-00AA00BBBB58}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{FBF23B40-E3F0-101B-8488-00AA003E56F8}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.24.7\psuser.dll No File CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{FF393560-C2A7-11CF-BFF4-444553540000}\InprocServer32 -> No File Path C:\service.log C:\Program Files\Mozilla Firefox C:\ProgramData\aygda_save.log C:\ProgramData\Mozilla C:\ProgramData\TEMP C:\Users\Właściciel\AppData\Local\DownloadLog.txt C:\Users\Właściciel\AppData\Local\Temp*.html C:\Users\Właściciel\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Właściciel\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Właściciel\AppData\Local\Mozilla C:\Users\Właściciel\AppData\Roaming\Mozilla C:\Users\Właściciel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Fabryka Gier Onet C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinsysMon" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Warning /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKU\S-1-5-21-671787287-3483274435-3103815376-1002_Classes\CLSID /f Reg: reg delete HKU\S-1-5-21-671787287-3483274435-3103815376-1002\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete "HKU\S-1-5-21-671787287-3483274435-3103815376-1002\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-671787287-3483274435-3103815376-1002\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Właściciel\AppData\Local CMD: dir /a C:\Users\Właściciel\AppData\LocalLow CMD: dir /a C:\Users\Właściciel\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (ręcznie aktywuj). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Napraw uszkodzony specjalny skrót IE. W pasku adresów eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Właściciel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Scan (z Addition, bez Shortcut). Dołącz też plik fixlog.txt. PS. Oczywiście odpowiadasz w nowym poście, nie edytuj poprzedniego.

Infekcji w rozumieniu wirusów i trojanów tu nie ma, są tu tylko odpadki adware. Adware nabyłeś na jeden z tych sposobów (był w obrotach jakiś "downloader"): KLIK. Adware produkowało owszem reklamy, ale jest już w postaci szczątkowej. Problemów u Ciebie nie tworzą infekcje. Obecnie widać całkiem gdzie indziej poważny problem: system jest zamęczony oprogramowaniem zabezpieczającym - w tle równolegle działają ESET Smart Security i Ad-Aware, są także ślady niedobrze odinstalowanych AVG i Avira. Nie wolno instalować równolegle kilku antywirusów z czynnymi osłonami rezydentnymi. Taki układ mógł spowodować nawet niemożność uruchomienia systemu, niewątpliwie też degraduje wydajność systemu. Pierwszy jest hostem bibliotek - zwykle pojawia się (w postaci wielokrotnych wystąpień), gdy do czynienia mamy z plikami multimedialnym: przeglądanie ich w eksploratorze z widokiem miniatury, uruchamianie jakiś czynności związanych z takimi plikami. Drugi jest od aplikacji XSManager (od mobilnego netu). R2 WTGService; C:\Program Files (x86)\XSManager\WTGService.exe [329848 2012-11-13] () To jest aktualizator Java. HKLM-x32\...\Run: [sunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [507776 2014-10-07] (Oracle Corporation) Na temat używania ComboFix: KLIK. ComboFix był uruchamiany wielokrotnie i dostarczony tu log nie jest zasadniczym (reszta poprzednich logów jest w C:\Qoobox). Wyniki skanerów Ad-Aware i ESET: - Połowa wyników nieistotna. Pochodzi z katalogu C:\Qoobox = kwarantanna ComboFix... - Reszta to adware w katalogach tymczasowych i innych miejscach dysku. Ogólnie nic szczególnego i nie jest to związane z problemami. Pod kątem antywirusów i odpadków adware: 1. Czyszczenie gruntu z instalacji antywirusowych (wszystkich) oraz starych programów: - Deinstalacje przez Panel sterowania: Ad-Aware Antivirus, Ad-Aware Web Companion, Adobe AIR, Adobe Reader X (10.1.0) MUI, Avira, ESET Online Scanner, ESET Smart Security, Google Chrome, Java 7 Update 55, Java 8 Update 25, Java™ 6 Update 20, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables, Web Companion. Obie instalacje "Visual Studio" są od AVG. - Po tym wejdź w Tryb awaryjny Windows i zastosuj specjalne usuwacze: AVG Remover, Avira Registry Cleaner i ESET Uninstaller. Na razie nie instaluj żadnych nowych wersji i kolejnych antywirusów. 2. Przejdź w Tryb normalny. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 1a34a8e0; "C:\Windows\system32\rundll32.exe" "c:\progra~2\SWSvc.dll",service S3 Trufos; C:\Windows\System32\DRIVERS\Trufos.sys [389240 2014-07-10] (BitDefender S.R.L.) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] Task: {9878ED9E-C093-4D13-8FA5-79D82730C0A2} - System32\Tasks\YourFile Update => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe Task: {CC6610D3-5884-47CC-8A15-A19C9FA18BBA} - System32\Tasks\BitGuard => Sc.exe start BitGuard GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2084366123-426833693-2885736349-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2084366123-426833693-2885736349-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2084366123-426833693-2885736349-1000\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=8454047D7B05A2B4&affID=125036&tsp=5027 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.amaizingsearches.info/?l=1&q={searchTerms}&pid=34&r=2014/04/08&hid=10677299689271255244&lg=EN&cc=DE&unqvl=51 SearchScopes: HKLM-x32 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=6b354f69-286a-4e70-8ab3-1942f6078358&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=07/01/2014&type=hp1000 SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.amaizingsearches.info/?l=1&q={searchTerms}&pid=34&r=2014/04/08&hid=10677299689271255244&lg=EN&cc=DE&unqvl=51 SearchScopes: HKU\S-1-5-21-2084366123-426833693-2885736349-1000 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.amaizingsearches.info/?l=1&q={searchTerms}&pid=34&r=2014/04/08&hid=10677299689271255244&lg=EN&cc=DE&unqvl=51 SearchScopes: HKU\S-1-5-21-2084366123-426833693-2885736349-1000 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=6b354f69-286a-4e70-8ab3-1942f6078358&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=07/01/2014&type=hp1000 SearchScopes: HKU\S-1-5-21-2084366123-426833693-2885736349-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?pc=COSP&ptag=D121114-AA9FED7399E21497DA0F&form=CONBDF&conlogo=CT3330947&q={searchTerms} SearchScopes: HKU\S-1-5-21-2084366123-426833693-2885736349-1000 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.amaizingsearches.info/?l=1&q={searchTerms}&pid=34&r=2014/04/08&hid=10677299689271255244&lg=EN&cc=DE&unqvl=51 BHO-x32: No Name -> {02478D38-C3F9-4efb-9B51-7695ECA05670} -> No File BHO-x32: No Name -> {93DBF2BB-A2B3-4683-A92E-57E60751F346} -> No File Toolbar: HKLM - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File Toolbar: HKLM-x32 - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File C:\Program Files (x86)\Google C:\Program Files (x86)\JustCloud C:\Program Files (x86)\MyPC Backup C:\Program Files (x86)\Yahoo! C:\ProgramData\Avira C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Administrator C:\Users\Gast C:\Users\HomeGroupUser$ C:\Users\Toshiba\AppData\Local\Google C:\Users\Toshiba\AppData\Roaming\msregsvv.dll C:\Users\Toshiba\AppData\Roaming\msvcr90-ruby191.dll C:\Users\Toshiba\AppData\Roaming\osu.txt C:\Users\Toshiba\AppData\Roaming\wtgoverride.wdb C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\AAMS.lnk C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Toshiba\Desktop\Narzedzia\Avira Control Center.lnk C:\Windows\System32\DRIVERS\Trufos.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\avgnt" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\starter4g" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sweetpacks Communicator" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Updater" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{EA8FA6BE-29BE-4AF2-9352-841F83215EB0} /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Toshiba\AppData\Local CMD: dir /a C:\Users\Toshiba\AppData\LocalLow CMD: dir /a C:\Users\Toshiba\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz resztę logów z C:\Qoobox. Wypowiedz się co się dzieje po przeprowadzonych działaniach.

Przywrócenie poprzedniej wersji rejestru zapewne przywróciło też poprzednio usuwane wpisy szkodników, ale one są już puste i to na razie nie jest istotne. AdwCleaner nie przedstawia żadnych tipów, nie było usuwane nic powiązanego. Spróbuj jeszcze zrobić sprawdzanie poprawności plików na dysku: 1. Uruchom środowisko RE, nie uruchamiaj FRST, by nie przemapował liter. W Wierszu polecenia wklep notepad i przez nawigację boczną upewnij się jaki jest układ liter. Następnie w linii komend wpisz polecenie: sfc /scannow /offbootdir=X:\ /offwindir=Y:\windows X - podstawiasz literę partycji rozruchowej Windows (etykieta "Boot"), powinno być to C. Y - podstawiasz literę partycji na której jest zainstalowany Windows. Przypuszczalnie D. Podaj jaki zwrot z tej komendy otrzymasz. Jeli będzie tekst o uszkodzeniach i sprawdzaniu CBS.LOG, to się nie aplikuje, gdyż SFC uruchomione z zewnątrz w ogóle nie nagrywa raportu i nie będzie można sprawdzić jakie pliki zostaną naprawione. Ale conajmniej katalog C:\Program Files\Windows Defender powinien zostać zrekonstruowany. 2. Dodatkowo, rejestr był odkręcany, więc po powyższej akcji zrób nowy log z FRST. Ale zrób go na innych warunkach, tzn. odznacz pola Whitelist dla Services i Drivers.

SFC naprawił sporo plików: 2015-01-29 12:10:25, Info CSI 00000230 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files (x86)\Windows Defender"\[l:24{12}]"MpClient.dll" from store 2015-01-29 12:10:25, Info CSI 00000231 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files (x86)\Windows Defender"\[l:24{12}]"MpAsDesc.dll" from store 2015-01-29 12:10:25, Info CSI 00000232 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files (x86)\Windows Defender"\[l:24{12}]"MsMpLics.dll" from store 2015-01-29 12:10:25, Info CSI 00000233 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files (x86)\Windows Defender"\[l:18{9}]"MpOAV.dll" from store 2015-01-29 12:10:25, Info CSI 00000234 [sR] Repairing corrupted file [ml:520{260},l:98{49}]"\??\C:\Program Files (x86)\Windows Defender\pl-PL"\[l:30{15}]"MpEvMsg.dll.mui" from store 2015-01-29 12:10:25, Info CSI 00000235 [sR] Repairing corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:30{15}]"FirewallAPI.dll" from store 2015-01-29 12:10:25, Info CSI 00000236 [sR] Repairing corrupted file [ml:520{260},l:98{49}]"\??\C:\Program Files (x86)\Windows Defender\pl-PL"\[l:32{16}]"MpAsDesc.dll.mui" from store 2015-01-29 12:10:34, Info CSI 00000288 [sR] Repairing corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:24{12}]"WerFault.exe" from store 2015-01-29 12:10:42, Info CSI 000002b2 [sR] Repairing corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:14{7}]"mmc.exe" from store Poprawki: 1. Trzeba wyrzucić śmieci z naprawionego katalogu Windows Defender. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Windows Defender\MpAsDesc.dll.b8x0E40.7b90e C:\Program Files (x86)\Windows Defender\MpClient.dll.FCmU4.h0G9a C:\Program Files (x86)\Windows Defender\MpOAV.dll.z30d.SJ6044s C:\Program Files (x86)\Windows Defender\MsMpLics.dll.90rF.7Tc4 C:\Program Files (x86)\Windows Defender\pl-PL.13407S.W2DbL5 C:\Users\rwi\AppData\Roaming\Microsoft\Word\STARTUP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. McAfee został przeinstalowany, więc na wszelki wypadek jeszcze zrób nowy log FRST z opcji Scan (z Addition, bez Shortcut).

Skoro manipulujesz w układzie oprogramowania, to log FRST zawsze musi pochodzić z czasu po tejże akcji. Dostarczony tu log FRST jest nieadekwatny, nadal pokazuje zainstalowany ESET, nie można ocenić czy deinstalacja nie pozostawiła jakiś sterowników ESET w systemie. Proszę o ponowne raporty FRST (włącznie z Addition).

W kwestii doczyszczania po adware: 1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przedstaw wynikowy fixlog.txt. vs. Jaki konkretnie błąd zwracają osłony McAfee? Spróbuj jeszcze raz przeinstalować program, ale wg tych kroków: - Odinstaluj wszystkie komponenty (McAfee LiveSafe, McAfee SafeKey(uninstall only), McAfee SiteAdvisor) tradycyjnie przez Panel sterowania. - Następnie zastosuj McAfee Consumer Product Removal Tool. - Zainstaluj program ponownie. Jeśli to nie przyniesie rezultatów, proponuję skontaktować się bezpośrednio z supportem McAfee.

Adresy DNS na poziomie routera są już poprawne - czy test dostępu do routera wypadł pomyślnie? Reszta zadań też wykonana. Kończymy: Zastosuj DelFix (GMER dokasuj ręcznie) oraz wyczyść foldery Przywracania systemu: KLIK.

Jak sądzę żadnych zmian w operatywności McAfee? Jeśli chodzi o zadania związane z adware, to zostały pomyślnie wykonane, na pozostałych kontach nie widać żadnych jawnych szkodników. Drobne poprawki na koncie ROBERT: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\AppEnable C:\Program Files (x86)\Common Files\Symantec Shared C:\ProgramData\374311380 C:\ProgramData\NortonInstaller Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj Usuń na razie) i dostarcz log z folderu C:\AdwCleaner.

Zewnętrzne środowisko oznacza nie tylko WinRE, ale dowolną inną płytę, która umożliwia uruchomienie programów skompilowanych pod Windows. W temacie jest też stara płyta OTLPE - możesz spróbować, ale wątpię czy się nadaje (problem braku sterowników nowszego kontrolera dysku). Płyta Kaspersky (Linux) odpada w przedbiegach, tym bardziej że nawet dysków nie rozpoznaje. Jaki konkretnie błąd? I całość obecnych problemów wygląda mimo wszystko jak problem inny niż związany z wpływem infekcji czy Avast, ponieważ: - Jest problem nawet z załadowaniem Trybu awaryjnego w wersji minimalnej (w tym trybie nie działają ani odpadki adware, ani Avast widoczne w pierwszym logu). - Jest problem z załadowaniem zewnętrznego środowiska WinRE z poziomu pendrive. To środowisko jest niezależne od zainstalowanego Windows. Zwłaszcza ten ostatni fakt skłania mnie do teorii, że usterka wykracza poziom Windows, może to być usterka sprzętowa, a problemy mogły się zbiec w czasie.

Jeszcze nie skończyliśmy. Nie dostarczyłeś wyników Zoek.