picasso

Temat przenoszę do działu Windows, może do Sieci pójdzie. Oznak infekcji brak. W spoilerze masz kosmetykę, tzn. usuwanie pustych wpisów i inne drobnostki, to jednak nie ma związku z problemami i jest jedynie pobocznym zagadnieniem. 1. W Dzienniku zdarzeń jest błąd kontenera wtyczek Firefox: Application errors: ================== Error: (01/16/2015 00:39:34 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: plugin-container.exe, wersja: 35.0.0.5486, sygnatura czasowa: 0x54af7153 Nazwa modułu powodującego błąd: mozalloc.dll, wersja: 35.0.0.5486, sygnatura czasowa: 0x54af69d4 Kod wyjątku: 0x80000003 Przesunięcie błędu: 0x00001425 Identyfikator procesu powodującego błąd: 0x1418 Godzina uruchomienia aplikacji powodującej błąd: 0xplugin-container.exe0 Ścieżka aplikacji powodującej błąd: plugin-container.exe1 Ścieżka modułu powodującego błąd: plugin-container.exe2 Identyfikator raportu: plugin-container.exe3 Pozbądź się pewnego zakresu wtyczek, bo jest ich duża ilość: - Przez Panel sterowania odinstaluj Adobe Shockwave Player 12.0 (to nie jest Adobe Player związany z Youtube). - Wejdź do menedżera wtyczek Firefox i wyłącz wszystkie wtyczki Intel, Microsoft Office, Real, Nexon i Unity. Przeładuj Firefox i sprawdź czy polepszyło się coś. 2. Kolejny zestaw błędów z Dziennika: System errors: ============= Error: (01/22/2015 11:04:20 PM) (Source: BROWSER) (EventID: 8032) (User: ) Description: Usługa przeglądarki zbyt wiele razy nie zdołała pobrać listy kopii zapasowych w transporcie \Device\NetBT_Tcpip_{92F93706-8754-4AAD-816F-F3051F2612BF}. Przeglądarka zapasowa jest zatrzymywana. Error: (01/21/2015 09:27:39 PM) (Source: bowser) (EventID: 8003) (User: ) Description: Przeglądarka główna odebrała anons serwera z komputera PATRYK. Komputer ten zachowuje się tak, jakby był przeglądarką główną dla domeny w transporcie NetBT_Tcpip_{92F93706-8754-4AAD-816F-F3051F2612BF}. Przeglądarka główna właśnie jest zatrzymywana albo wymuszany jest wybór. Error: (01/18/2015 05:48:41 PM) (Source: BROWSER) (EventID: 8032) (User: ) Description: Usługa przeglądarki zbyt wiele razy nie zdołała pobrać listy kopii zapasowych w transporcie \Device\NetBT_Tcpip_{92F93706-8754-4AAD-816F-F3051F2612BF}. Przeglądarka zapasowa jest zatrzymywana. Error: (01/16/2015 10:49:36 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Adapter odbiornika Net.Tcp zależy od usługi Usługa udostępniania portów Net.Tcp, której nie można uruchomić z powodu następującego błędu: %%1053 Error: (01/16/2015 10:49:36 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Adapter odbiornika Net.Pipe z powodu następującego błędu: %%1053 Error: (01/16/2015 10:49:36 AM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Adapter odbiornika Net.Pipe. Error: (01/16/2015 10:49:00 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa udostępniania portów Net.Tcp z powodu następującego błędu: %%1053 Error: (01/16/2015 10:49:00 AM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa udostępniania portów Net.Tcp. Error: (01/16/2015 00:51:06 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Adapter odbiornika Net.Tcp zależy od usługi Usługa udostępniania portów Net.Tcp, której nie można uruchomić z powodu następującego błędu: %%1053 Jeśli chodzi o usługi Net.*, to Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator > dwuklik na usługi Adapter odbiornika Net.Pipe + Usługa udostępniania portów Net.Tcp i Typ uruchomienia ustaw na Ręczny. 3. Jeśli chodzi o ogólne spowolnienie systemu i sieci, to do sprawdzenia wstępnie Avast (tymczasowa deinstalacja). Po pierwsze, jest jakiś problem z nim - w GMER jego obiekty stoją jako zablokowane. Po drugie, to stara edycja: ==================== Installed Programs ====================== avast! Free Antivirus (HKLM-x32\...\avast) (Version: 8.0.1497.0 - AVAST Software) Czyli: odinstaluj Avast przez Panel sterowania, następnie popraw usuwaczem Avast Uninstall Utility, nic na razie nie instaluj tylko upewnij się czy są jakieś zmiany w systemie. Jeśli będą pozytywne zmiany, spróbuj zainstalować od nowa najnowszą edycję Avast 2015.

Nadal brakuje trzeciego pliku FRST Shortcut. Nie zaznaczyłeś opcji w konfiguracji, by ten log powstał: Log wyprodukujesz potem. Zabierzmy się już do usuwania adware: 1. Na początek deinstalacje: - Przez Panel sterowania odinstaluj: Pixsta, Pokki, Softonic Assistant, Yahoo! Search. - Są w systemie liczne uruchamiające się obiekty niepoprawnie usuniętego McAfee. Zastosuj McAfee Consumer Products Removal tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {00c97d86-accb-4288-9972-6d929c1fe93a}Gw64; C:\Windows\System32\drivers\{00c97d86-accb-4288-9972-6d929c1fe93a}Gw64.sys [48776 2014-10-13] (StdLib) R1 {00c97d86-accb-4288-9972-6d929c1fe93a}w64; C:\Windows\System32\drivers\{00c97d86-accb-4288-9972-6d929c1fe93a}w64.sys [48776 2014-10-15] (StdLib) R1 {19b94dbb-e67e-43ec-827b-c943f0fc9c16}w64; C:\Windows\System32\drivers\{19b94dbb-e67e-43ec-827b-c943f0fc9c16}w64.sys [48776 2014-10-25] (StdLib) R1 {2859046f-5dca-482a-8c2d-37943d33a392}w64; C:\Windows\System32\drivers\{2859046f-5dca-482a-8c2d-37943d33a392}w64.sys [48792 2014-11-04] (StdLib) R1 {29302da5-1178-40ac-a178-4cb57ebcc501}w64; C:\Windows\System32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}w64.sys [48792 2014-10-25] (StdLib) R1 {51d6aaf3-0bd7-47b0-8963-1c6f4d58b8fd}w64; C:\Windows\System32\drivers\{51d6aaf3-0bd7-47b0-8963-1c6f4d58b8fd}w64.sys [48776 2014-11-01] (StdLib) R1 {6b9234ab-d79f-41db-86f9-8be7a3e9ee74}w64; C:\Windows\System32\drivers\{6b9234ab-d79f-41db-86f9-8be7a3e9ee74}w64.sys [48776 2014-11-07] (StdLib) R1 {6db7eb66-a30b-41a3-809c-addb2341dafb}w64; C:\Windows\System32\drivers\{6db7eb66-a30b-41a3-809c-addb2341dafb}w64.sys [48792 2014-11-01] (StdLib) R1 {7012eec1-4f37-42d4-a2cd-26727494d248}w64; C:\Windows\System32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}w64.sys [48792 2014-10-15] (StdLib) R1 {88155b61-d5d0-401c-9c66-16b32c330fd8}w64; C:\Windows\System32\drivers\{88155b61-d5d0-401c-9c66-16b32c330fd8}w64.sys [48784 2014-11-29] (StdLib) R1 {8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}w64; C:\Windows\System32\drivers\{8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}w64.sys [48792 2014-11-06] (StdLib) R1 {9642e31c-2703-4a31-ba45-9e8dfb693e38}w64; C:\Windows\System32\drivers\{9642e31c-2703-4a31-ba45-9e8dfb693e38}w64.sys [48776 2014-11-13] (StdLib) R1 {972b8ad0-9d6f-4688-9227-759df6914df4}w64; C:\Windows\System32\drivers\{972b8ad0-9d6f-4688-9227-759df6914df4}w64.sys [48776 2014-10-22] (StdLib) R1 {98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}w64; C:\Windows\System32\drivers\{98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}w64.sys [48776 2014-11-10] (StdLib) R1 {9de7e012-74d3-4f9d-b4b0-2d3150073168}w64; C:\Windows\System32\drivers\{9de7e012-74d3-4f9d-b4b0-2d3150073168}w64.sys [48792 2014-11-10] (StdLib) R1 {a2df9e48-ce26-4812-87d1-df6c5bed5ea9}w64; C:\Windows\System32\drivers\{a2df9e48-ce26-4812-87d1-df6c5bed5ea9}w64.sys [48776 2014-11-04] (StdLib) R1 {a6762132-8e80-4305-b1ba-2bec91757ac2}w64; C:\Windows\System32\drivers\{a6762132-8e80-4305-b1ba-2bec91757ac2}w64.sys [48792 2014-10-22] (StdLib) R1 {adb41315-fba7-4b86-be27-b2401a20c8d2}w64; C:\Windows\System32\drivers\{adb41315-fba7-4b86-be27-b2401a20c8d2}w64.sys [48776 2014-11-19] (StdLib) R1 {b30c55f2-a940-4907-8051-f13c9acdacdd}w64; C:\Windows\System32\drivers\{b30c55f2-a940-4907-8051-f13c9acdacdd}w64.sys [48784 2014-11-27] (StdLib) R1 {c0b542ce-0b43-4536-9ff3-886eaf9fb44c}w64; C:\Windows\System32\drivers\{c0b542ce-0b43-4536-9ff3-886eaf9fb44c}w64.sys [48776 2014-11-16] (StdLib) R1 {cd63c300-b231-4a93-a479-5a1e96976d74}w64; C:\Windows\System32\drivers\{cd63c300-b231-4a93-a479-5a1e96976d74}w64.sys [48784 2014-11-30] (StdLib) R1 {d04f5c84-12ff-4486-8e31-240e7ca6e6d3}w64; C:\Windows\System32\drivers\{d04f5c84-12ff-4486-8e31-240e7ca6e6d3}w64.sys [48776 2014-10-29] (StdLib) R1 {dda91daf-e6f8-4453-88d1-df18d861c904}w64; C:\Windows\System32\drivers\{dda91daf-e6f8-4453-88d1-df18d861c904}w64.sys [48792 2014-10-29] (StdLib) R2 HPSLPSVC; C:\Users\ocznik1986\AppData\Local\Temp\7zS7926\hpslpsvc64.dll [1039360 2013-07-19] (Hewlett-Packard Co.) [File not signed] R2 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe [2346880 2014-10-12] (ShopperPro) R2 Update Framed Display; C:\Program Files (x86)\Framed Display\updateFramedDisplay.exe [632560 2015-01-22] () R2 Util Framed Display; C:\Program Files (x86)\Framed Display\bin\utilFramedDisplay.exe [632560 2015-01-22] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-26] (Fuyu LIMITED) [File not signed] S1 ccnfd_1_10_0_5; system32\drivers\ccnfd_1_10_0_5.sys [X] Task: {0433F46A-51DB-4FA7-9067-839294A9A7C5} - System32\Tasks\d784e807-3b92-40a5-9d32-7e1e763f4849-4 => C:\Program Files (x86)\Dr. PC\d784e807-3b92-40a5-9d32-7e1e763f4849-4.exe Task: {2209D319-ACB0-4886-AF64-16594212962B} - System32\Tasks\SPBIW_UpdateTask_Time_33383231323031362d2a5b45342d4134455b5a326c => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {24EC9E3F-27ED-4692-9265-19CBCFD74C3A} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-4 => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-4.exe Task: {25CB066D-F8D5-4E11-A3A2-19176E2A0509} - System32\Tasks\globalUpdateUpdateTaskMachineCore1cfe64f7b69dee7 => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {2B782DFE-FD1E-4142-843E-60DFAEF73CA1} - System32\Tasks\d47bd50f-7472-49c0-a46a-79132ec670bd => C:\Program Files (x86)\Internet Speed Checker\d47bd50f-7472-49c0-a46a-79132ec670bd.exe [2014-10-12] () Task: {360676BC-FD45-4AF6-8C19-798A36BD8EB3} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-1 => C:\Program Files (x86)\Apps Hat\Apps Hat-codedownloader.exe Task: {3D2CB29B-2ED1-4E93-B7B9-A8ADF58BFDBB} - System32\Tasks\DoctorPC_Start => C:\Program Files (x86)\Doctor PC\DoctorPC.exe Task: {4E1E9CE9-F5E1-42D0-8D1E-342EB65E4E92} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-11 => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-11.exe Task: {7591ECFF-3574-469D-94B7-27FF6DDA8AFC} - System32\Tasks\globalUpdateUpdateTaskMachineUA1cfe68bfb40df5d => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {7877279F-8CA5-4F39-9F4E-3C116024ECBF} - System32\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-5 => C:\Program Files (x86)\Senses\8b8af638-f8bc-4972-8c79-82d268796676-5.exe Task: {A636FAA5-7671-425D-86CA-6C5B6C370406} - System32\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-1 => C:\Program Files (x86)\Senses\Senses-codedownloader.exe Task: {CA58B337-97A9-43AE-9C0C-850334A514B8} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-5 => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-5.exe Task: {D5FCCAB7-E8F0-4DE9-988D-358EB7598F3F} - System32\Tasks\DoctorPC_Popup => C:\Program Files (x86)\Doctor PC\Splash.exe Task: {EA18341D-F18C-4C20-BBBD-DCA6B037E079} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-5_user => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-5.exe Task: {EF8DBDA5-77E6-4EDF-8D34-23BC8A5D6885} - System32\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-5_user => C:\Program Files (x86)\Senses\8b8af638-f8bc-4972-8c79-82d268796676-5.exe Task: C:\WINDOWS\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-1.job => C:\Program Files (x86)\Apps Hat\Apps Hat-codedownloader.exe Task: C:\WINDOWS\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-11.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-11.exe Task: C:\WINDOWS\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-4.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-4.exe Task: C:\WINDOWS\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-5.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-5.exe Task: C:\WINDOWS\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-5_user.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-5.exe Task: C:\WINDOWS\Tasks\46f7cf9a-8167-44ad-8818-86d68ce518b4-1.job => C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-codedownloader.exe Task: C:\WINDOWS\Tasks\46f7cf9a-8167-44ad-8818-86d68ce518b4-11.job => C:\Program Files (x86)\Internet Speed Checker\46f7cf9a-8167-44ad-8818-86d68ce518b4-11.exe Task: C:\WINDOWS\Tasks\46f7cf9a-8167-44ad-8818-86d68ce518b4-2.job => C:\Program Files (x86)\Internet Speed Checker\46f7cf9a-8167-44ad-8818-86d68ce518b4-2.exe Task: C:\WINDOWS\Tasks\46f7cf9a-8167-44ad-8818-86d68ce518b4-4.job => C:\Program Files (x86)\Internet Speed Checker\46f7cf9a-8167-44ad-8818-86d68ce518b4-4.exe Task: C:\WINDOWS\Tasks\46f7cf9a-8167-44ad-8818-86d68ce518b4-5.job => C:\Program Files (x86)\Internet Speed Checker\46f7cf9a-8167-44ad-8818-86d68ce518b4-5.exe Task: C:\WINDOWS\Tasks\46f7cf9a-8167-44ad-8818-86d68ce518b4-5_user.job => C:\Program Files (x86)\Internet Speed Checker\46f7cf9a-8167-44ad-8818-86d68ce518b4-5.exe Task: C:\WINDOWS\Tasks\46f7cf9a-8167-44ad-8818-86d68ce518b4-7.job => C:\Program Files (x86)\Internet Speed Checker\46f7cf9a-8167-44ad-8818-86d68ce518b4-7.exe Task: C:\WINDOWS\Tasks\6c963813-d45e-4bd2-8db0-ce5d852deb9d.job => C:\Program Files (x86)\Internet Speed Checker\6c963813-d45e-4bd2-8db0-ce5d852deb9d.exe Task: C:\WINDOWS\Tasks\8a351a44-78d6-4771-9403-9ba5c39b6a3a-1.job => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe Task: C:\WINDOWS\Tasks\8a351a44-78d6-4771-9403-9ba5c39b6a3a-11.job => C:\Program Files (x86)\iWebar\8a351a44-78d6-4771-9403-9ba5c39b6a3a-11.exe Task: C:\WINDOWS\Tasks\8a351a44-78d6-4771-9403-9ba5c39b6a3a-4.job => C:\Program Files (x86)\iWebar\8a351a44-78d6-4771-9403-9ba5c39b6a3a-4.exe Task: C:\WINDOWS\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-1.job => C:\Program Files (x86)\Senses\Senses-codedownloader.exe Task: C:\WINDOWS\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-11.job => C:\Program Files (x86)\Senses\8b8af638-f8bc-4972-8c79-82d268796676-11.exe Task: C:\WINDOWS\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-2.job => C:\Program Files (x86)\Senses\8b8af638-f8bc-4972-8c79-82d268796676-2.exe Task: C:\WINDOWS\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-3.job => C:\Program Files (x86)\Senses\8b8af638-f8bc-4972-8c79-82d268796676-3.exe Task: C:\WINDOWS\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-4.job => C:\Program Files (x86)\Senses\8b8af638-f8bc-4972-8c79-82d268796676-4.exe Task: C:\WINDOWS\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-5.job => C:\Program Files (x86)\Senses\8b8af638-f8bc-4972-8c79-82d268796676-5.exe Task: C:\WINDOWS\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-5_user.job => C:\Program Files (x86)\Senses\8b8af638-f8bc-4972-8c79-82d268796676-5.exe Task: C:\WINDOWS\Tasks\AE.job => C:\Users\ocznik1986\AppData\Roaming\AE.exe Task: C:\WINDOWS\Tasks\BGLSCY.job => C:\Users\ocznik1986\AppData\Roaming\BGLSCY.exe Task: C:\WINDOWS\Tasks\CXNAYXY.job => C:\Users\ocznik1986\AppData\Roaming\CXNAYXY.exe Task: C:\WINDOWS\Tasks\d47bd50f-7472-49c0-a46a-79132ec670bd.job => C:\Program Files (x86)\Internet Speed Checker\d47bd50f-7472-49c0-a46a-79132ec670bd.exe Task: C:\WINDOWS\Tasks\DUPBJQ.job => C:\Users\ocznik1986\AppData\Roaming\DUPBJQ.exe Task: C:\WINDOWS\Tasks\DXDCU.job => C:\Users\ocznik1986\AppData\Roaming\DXDCU.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore1cfe64f7b69dee7.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA1cfe68bfb40df5d.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe HKU\S-1-5-21-2702095170-3591425996-2869741432-1002\...\Run: [TornTv Downloader] => C:\Users\ocznik1986\AppData\Roaming\TornTV.com\Torntv Downloader.exe /c=startup HKU\S-1-5-21-2702095170-3591425996-2869741432-1002\...\Run: [softonicAssistant] => C:\Users\ocznik1986\AppData\Local\SoftonicAssistant\SoftonicAssistant.exe [1829832 2014-11-11] () HKU\S-1-5-21-2702095170-3591425996-2869741432-1002\...\Run: [Pokki] => "%LOCALAPPDATA%\Pokki\Engine\HostAppServiceUpdater.exe" /LOGON HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 Startup: C:\Users\ocznik1986\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TornTvDownloader.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://websearch.thesearchpage.info/?pid=21975&r=2015/01/13&hid=4584051747337171107&lg=EN&cc=PL&unqvl=74 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419596853&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419596853&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419596853&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419596853&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms} HKU\S-1-5-21-2702095170-3591425996-2869741432-1002\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419596853&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1&q={searchTerms}&pid=21975&r=2015/01/13&hid=4584051747337171107&lg=EN&cc=PL&unqvl=74 SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1&q={searchTerms}&pid=21975&r=2015/01/13&hid=4584051747337171107&lg=EN&cc=PL&unqvl=74 SearchScopes: HKU\S-1-5-21-2702095170-3591425996-2869741432-1002 -> {65EDDB8C-7C5A-4971-941D-09128ADEB0D9} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=755 SearchScopes: HKU\S-1-5-21-2702095170-3591425996-2869741432-1002 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1&q={searchTerms}&pid=21975&r=2015/01/13&hid=4584051747337171107&lg=EN&cc=PL&unqvl=74 CHR RestoreOnStartup: Default -> "hxxp://rts.dsrlte.com?affID=pr_4f29543f-4219-4d6e-bb72-b45869b8e802" CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com?affID=pr_4f29543f-4219-4d6e-bb72-b45869b8e802" C:\Program Files\Common Files\ShopperPro C:\Program Files (x86)\Framed Display C:\Program Files (x86)\Internet Speed Checker C:\Program Files (x86)\iWebar C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\Program Files (x86)\Senses C:\Program Files (x86)\uNisales C:\ProgramData\{5df33ef5-86ee-98a7-5df3-33ef586efbd6} C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321 C:\ProgramData\3872871776 C:\ProgramData\6096187034163968438 C:\ProgramData\ecbaef90-5696-41e1-a1c3-3e8112ce2840 C:\ProgramData\InstallMate C:\ProgramData\Mozilla C:\ProgramData\Premium C:\ProgramData\WindowsMangerProtect C:\Users\ocznik1986\AppData\Local\nslCDC0.tmp C:\Users\ocznik1986\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\ocznik1986\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\ocznik1986\AppData\Local\Mozilla C:\Users\ocznik1986\AppData\Local\Opera Software C:\Users\ocznik1986\AppData\Local\Pokki C:\Users\ocznik1986\AppData\Local\SoftonicAssistant C:\Users\ocznik1986\AppData\Roaming\AE C:\Users\ocznik1986\AppData\Roaming\BGLSCY C:\Users\ocznik1986\AppData\Roaming\CXNAYXY C:\Users\ocznik1986\AppData\Roaming\DUPBJQ C:\Users\ocznik1986\AppData\Roaming\DXDCU C:\Users\ocznik1986\AppData\Roaming\EZDownloader C:\Users\ocznik1986\AppData\Roaming\Mozilla C:\Users\ocznik1986\AppData\Roaming\omiga-plus C:\Users\ocznik1986\AppData\Roaming\OpenCandy C:\Users\ocznik1986\AppData\Roaming\Opera Software C:\Windows\*.temp C:\Windows\System32\drivers\{00c97d86-accb-4288-9972-6d929c1fe93a}Gw64.sys C:\Windows\System32\drivers\{00c97d86-accb-4288-9972-6d929c1fe93a}w64.sys C:\Windows\System32\drivers\{19b94dbb-e67e-43ec-827b-c943f0fc9c16}w64.sys C:\Windows\System32\drivers\{2859046f-5dca-482a-8c2d-37943d33a392}w64.sys C:\Windows\System32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}w64.sys C:\Windows\System32\drivers\{51d6aaf3-0bd7-47b0-8963-1c6f4d58b8fd}w64.sys C:\Windows\System32\drivers\{6b9234ab-d79f-41db-86f9-8be7a3e9ee74}w64.sys C:\Windows\System32\drivers\{6db7eb66-a30b-41a3-809c-addb2341dafb}w64.sys C:\Windows\System32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}w64.sys C:\Windows\System32\drivers\{88155b61-d5d0-401c-9c66-16b32c330fd8}w64.sys C:\Windows\System32\drivers\{8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}w64.sys C:\Windows\System32\drivers\{9642e31c-2703-4a31-ba45-9e8dfb693e38}w64.sys C:\Windows\System32\drivers\{972b8ad0-9d6f-4688-9227-759df6914df4}w64.sys C:\Windows\System32\drivers\{98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}w64.sys C:\Windows\System32\drivers\{9de7e012-74d3-4f9d-b4b0-2d3150073168}w64.sys C:\Windows\System32\drivers\{a2df9e48-ce26-4812-87d1-df6c5bed5ea9}w64.sys C:\Windows\System32\drivers\{a6762132-8e80-4305-b1ba-2bec91757ac2}w64.sys C:\Windows\System32\drivers\{adb41315-fba7-4b86-be27-b2401a20c8d2}w64.sys C:\Windows\System32\drivers\{b30c55f2-a940-4907-8051-f13c9acdacdd}w64.sys C:\Windows\System32\drivers\{c0b542ce-0b43-4536-9ff3-886eaf9fb44c}w64.sys C:\Windows\System32\drivers\{cd63c300-b231-4a93-a479-5a1e96976d74}w64.sys C:\Windows\System32\drivers\{d04f5c84-12ff-4486-8e31-240e7ca6e6d3}w64.sys C:\Windows\System32\drivers\{dda91daf-e6f8-4453-88d1-df18d861c904}w64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\ocznik1986\AppData\Local CMD: dir /a C:\Users\ocznik1986\AppData\LocalLow CMD: dir /a C:\Users\ocznik1986\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj adware Framed Display, Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan - zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Ustawienia DNS w wartości DhcpNameServer są pobierane z urządzenia zewnętrznego i nie da się ich oczyścić z poziomu Windows (próbowałam to na wszelki wypadek). Skoro nie ma tu dostępu do routera to do czego jest dostęp - jakiś modem? W zakresie czyszczenia adware już skończyliśmy. Ostatni skrypt do FRST - otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\McAfee Security Scan RemoveDirectory: C:\Users\Niiesmiertelny\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wszystko wykonane. Poprawki: 1. Nadal widzę uruchamiające się składniki Symantec. Zastosuj Norton Removal Tool. Po akcji zrób nowy log FRST z opcji Scan - zaznacz pole Addition, Shortcut zbędny. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Posiadasz nowoczesny Adobe Flash Player 16. Jeśli on działa bez zarzutu, nie widzę podstaw, by go zastępować starszą wersją typu "Extended", która zwróć uwagę jest pozbawiona tego: "Adobe makes available a version of Flash Player called the "Extended Support Release" (ESR) to organizations that prefer Flash Player stability over new functionality. We have created a branch of the Flash Player code that we keep up to date with all of the latest security updates, but none of the new features or bug fixes available in our current release branch." A jeśli chodzi o ten nieszczęsny artefakt COMODO, to prawdopodobnie jest to obcięte okno widżetu desktopowego COMODO: KLIK. Jeśli jeszcze nie odinstalowałeś programu, sprawdź czy wyłączenie opcji pokazywania widżetu zlikwiduje ten kwiatek. Wstępnie przeleciałam na szybko forum COMODO, wprawdzie nie udało mi się znaleźć nic identycznego jak Twój problem, ale widżet jest problematyczny (inne kłopoty renderingowe z nim zgłaszane).

Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

To zupełnie inny typ zadań. AdwCleaner zajmuje się czyszczeniem adware (tu były w systemie ślady tego rodzaju), zaś CCleaner to sprzątanie Tempów i poboczne moduły (deinstalacja programów, ogólnikowe czyszczenie rejestru). Proszę podaj rezultaty jego pracy:

Fix FRST się nie wykonał. Sprawdź Fixlog - jest całkowicie pusty, gdyż nic nie wkleiłaś do Notatnika. Powtarzaj zadanie.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Jaki powód konkretnie? GG10 to najgorsza z wersji Gadu: ciężka, najwięcej reklam, wiele funkcji w niej już nie działa (usunięte niektóre serwisy Gadu), nie obsługuje też nowych cech protokołu GG. Najnowsze GG12 jest lepsze: nieco lżejsze, mniej reklam, nowe funkcje autoryzacyjne, najlepsza obsługa protokołu GG. Dokładne opisy wersji GG tutaj: KLIK. Polecam też zamiast GG alternatywny program WTW - ma bardzo dobrą obsługę GG (włączając w to protokół wersji GG11/12) i całkowity brak reklam. Zakładam, że zainstalowałaś najnowszą wersję. Tego nie wiem, bo log Addition pochodzi sprzed tej operacji. 1. Nie został odinstalowany SpyHunter. To do wykonania. Jest to niepożądany program, który nabiera użytkownika. 2. Pozostałe poprawki. Otwórz Notatnik i wklej w nim: BootExecute: autocheck autochk * sdnclean64.exe FF Plugin-x32: @java.com/DTPlugin,version=10.7.2 -> C:\windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll No File C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\Spybot - Search & Destroy C:\Users\User\AppData\Local\Google\Chrome\User Data\Default DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt. 3. W kwestii: Przy zamkniętym Google Chrome w pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1 Wstaw tam te dwa przekopiowane wcześniej pliki Bookmarks + Bookmarks.bak zastępując pliki aktualnie tam występujące. Uruchom Google Chrome i sprawdź czy przyjęło zakładki. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Trudno tu podać ogólną instrukcją, jeśli skaner antywirusowy tego samodzielnie nie wykrywa. Usuwanie ręczne jest oparte na skryptach FRST kombinujących usuwanie z rejestru i dysku, a te są zawsze budowane w oparciu o konkretny niepowtarzalny log z systemu z danego punktu czasowego. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKU\S-1-5-21-2797469910-1678933392-3196651384-1000\...\Run: [pwo7] => C:\Users\CORTEZ\AppData\Roaming\pwo7\svchost.exe [8164139 2014-10-11] () C:\ProgramData\TEMP C:\Users\CORTEZ\AppData\Roaming\pwo7 S3 VGPU; No ImagePath Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wielokrotne adresy dosearches.com i mysearch.avg.com, przestaw na "Otwórz stronę nowej karty". 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

SpyHunter to program wątpliwej reputacji, z czarnej listy. Z daleka od niego. W systemie nadal są małe szczątki adware oraz odinstalowanego Google Chrome. 1. Przez Dodaj/Usuń programy odinstaluj adware Foxtab, nieszczęsny wątpliwy skaner SpyHunter 4 oraz stare wersje i zbędniki Adobe Flash Player 15 ActiveX, Gadu-Gadu 10, HP Customer Participation Program 7.0, Java™ 6 Update 27. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: BootExecute: autocheck autochk * BootDefrag.exe S0 BootDefragDriver; System32\drivers\BootDefragDriver.sys [X] S3 catchme; \??\C:\DOCUME~1\Grzegorz\USTAWI~1\Temp\catchme.sys [X] R3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] U3 TlntSvr; No ImagePath HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1123561945-1580818891-725345543-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes C:\Documents and Settings\All Users\Menu Start\Programy\FlvPlayer C:\Documents and Settings\Grzegorz\Dane aplikacji\FoxTab C:\Documents and Settings\Grzegorz\Dane aplikacji\Opera Software C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\foxtab_speeddial.crx C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Documents and Settings\NetworkService\Dane aplikacji\FoxTab C:\Program Files\Google\Chrome C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj IE8. Link w przyklejonym: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Niewiele tu już zostało, ale jednak jest co czyścić - jest adware w Operze. Akcje do przeprowadzenia: 1. W Operze CTRL+SHIFT+E i na liście Rozszerzeń odinstaluj adware Cinemax, iWebar. 2. Przez Panel sterowania odinstaluj gpedt.msc 1.0. Działanie pozorowane, nie da się wstawić gpedit na edycjach tego nie obsługujących. Przeczytaj mój komentarz tutaj (a w podlinku jest szczegółowy opis): KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {045FE7F2-8CF9-4DF9-B824-8D379766DC39} - System32\Tasks\{3079D775-01E7-4D1A-A066-6C73EB729E8B} => pcalua.exe -a "C:\Users\daria1\Downloads\CDM v2.12.00 WHQL Certified.exe" -d C:\Users\daria1\Downloads Task: {0B378213-A571-421F-8844-2AEA1AD894AC} - System32\Tasks\QDWVEM => C:\Users\daria1\AppData\Roaming\QDWVEM.exe Task: {41892EF8-896E-4F0F-AE9A-EE483B600B04} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {4D7F08FF-BD02-465C-B851-D86CF52621A9} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton Internet Security\Engine\21.1.0.18\WSCStub.exe Task: {54B16C43-7700-4CBA-BA07-760B631997F0} - System32\Tasks\Inst_Rep => C:\Users\daria1\AppData\Local\Installer\Install_7967\DCytdieamo_amodc_setup.exe [2015-01-26] () Task: {9F006367-734C-4969-A181-D0E4E1344908} - System32\Tasks\Norton Internet Security\Norton Error Processor => C:\Program Files (x86)\Norton Internet Security\Engine\21.1.0.18\SymErr.exe Task: {AC3CCE51-E85F-46D8-A9B6-FE4F8E6C701C} - System32\Tasks\{01B2E54B-F654-4981-B799-7D6AB13C3EBE} => pcalua.exe -a "C:\Users\daria1\Downloads\CDM v2.12.00 WHQL Certified (1).exe" -d C:\Users\daria1\Downloads Task: {C5EEA6B8-ED3C-49A4-9F68-AB3AD56D2C9C} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {ED82E5F8-3ECE-40A2-9843-5ED1A76D1C48} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Internet Security\Engine\21.1.0.18\SymErr.exe Task: {EFB1E031-2818-4CAA-81B6-14705F5018F3} - \SPBIW_UpdateTask_Time_323635393433333037302d7837235a576c4a3241345041 No Task File Task: C:\WINDOWS\Tasks\QDWVEM.job => C:\Users\daria1\AppData\Roaming\QDWVEM.exe S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File BHO: Cinemax -> {11111111-1111-1111-1111-110711011101} -> C:\Program Files (x86)\Cinemax\Cinemax-bho64.dll No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-2870285692-4238083046-3277192755-1001\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-21-2870285692-4238083046-3277192755-1001\...\Policies\Explorer: [NofolderOptions] 0 C:\ProgramData\Temp C:\Users\daria1\AppData\Local\CrashDumps C:\Users\daria1\AppData\Roaming\QDWVEM C:\Users\daria1\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\daria1\Desktop\dk\pcmscan.exe — skrót.lnk C:\Users\Public\Documents\ShopperPro C:\Windows\System32\Tasks\Norton Internet Security Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\daria1\AppData\Local CMD: dir /a C:\Users\daria1\AppData\LocalLow CMD: dir /a C:\Users\daria1\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (by było wiadome co nim usuwałeś wcześniej).

Jeśli chodzi o "niejasne okoliczności", to conajmniej jedna grupa adware weszła z tego lewego instalatora: 2015-01-25 23:20 - 2015-01-25 23:20 - 00065472 _____ () C:\Users\win7\Downloads\FLVPlayer-FF.exe Akcje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-01-25] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-01-25] (globalUpdate) [File not signed] R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [464384 2015-01-25] (SysTool PasSame LIMITED) [File not signed] S3 ose64; "C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE" [X] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] Task: {1ADF0A09-1B0C-4C8C-BB96-DFECE1D35489} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-01-25] (globalUpdate) Task: {250A0613-3670-4117-9016-40C3402D1ECB} - System32\Tasks\{75882F08-92C7-4CDF-B4BB-F3684C95289D} => pcalua.exe -a C:\Users\win7\AppData\Local\Temp\Temp1_ga1031_pcl6_v249_Vista_64bit_pl.zip\2K&XP&Vista_64bit\Disk1\setup.exe Task: {52F30E3D-DA04-469E-9DC4-E6460020F8F9} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-01-25] (globalUpdate) Task: {73B97580-A808-4773-AEFC-B878C360DC05} - System32\Tasks\{C47902CD-2327-4E71-B422-E4661ED5E86D} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{EE171732-BEB4-4576-887D-CB62727F01CA}\setup.exe" -c -runfromtemp -l0x415 -removeonly Task: {8DF9F217-440B-4021-88B4-761929EA0796} - System32\Tasks\IEBUZ => C:\Users\win7\AppData\Roaming\IEBUZ.exe [2015-01-25] (joep) Task: {DCAF96F9-5A59-4E4B-B66D-E485DBD3D724} - System32\Tasks\KVKOP => C:\Users\win7\AppData\Roaming\KVKOP.exe [2015-01-25] (joep) Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\IEBUZ.job => C:\Users\win7\AppData\Roaming\IEBUZ.exe Task: C:\Windows\Tasks\KVKOP.job => C:\Users\win7\AppData\Roaming\KVKOP.exe IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKU\S-1-5-21-2904449942-2374099523-1852780327-1001\...\Run: [speedUpMyComputer] => C:\Program Files (x86)\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as HKLM\...\Run: [bCSSync] => "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices Startup: C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AQQUpdate.lnk ShortcutWithArgument: C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 ShortcutWithArgument: C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 ShortcutWithArgument: C:\Users\win7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 ShortcutWithArgument: C:\Users\win7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&q={searchTerms} HKU\S-1-5-21-2904449942-2374099523-1852780327-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 HKU\S-1-5-21-2904449942-2374099523-1852780327-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&q={searchTerms} SearchScopes: HKLM-x32 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW SearchScopes: HKU\S-1-5-21-2904449942-2374099523-1852780327-1001 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&ts=1422224707&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2904449942-2374099523-1852780327-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&ts=1422224707&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2904449942-2374099523-1852780327-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&ts=1422224707&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2904449942-2374099523-1852780327-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&ts=1422224707&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2904449942-2374099523-1852780327-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&ts=1422224707&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2904449942-2374099523-1852780327-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&ts=1422224707&type=default&q={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll No File Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\Mozilla C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Maxis C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims C:\Users\win7\AppData\Local\globalUpdate C:\Users\win7\AppData\Local\Mozilla C:\Users\win7\AppData\Roaming\Mozilla C:\Users\win7\AppData\Roaming\IEBUZ C:\Users\win7\AppData\Roaming\IEBUZ.exe C:\Users\win7\AppData\Roaming\KVKOP C:\Users\win7\AppData\Roaming\KVKOP.exe C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AppsHat C:\Users\win7\Downloads\FLVPlayer-FF.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Na razie z Twojego rejestru nic nie wynika. Nadal szukam. Tu jest podejrzenie, że uszkodzenie może być różnież na dysku, bo zawartość folderu Windows Defender wygląda niepokojąco i wskazuje na szyfrowanie danych. Niestety brak jakichkolwiek punktów Przywracania systemu i nie jest wykluczone, że skończy się na reinstalacji. Mam pytanie: czy jest jakikolwiek log AdwCleaner w folderze C:\AdwCleaner który by pokazał co on usuwał? Jeśli są raporty, to je doczep. Tu nie ma problemu, już masz to tak ustawione. Konfiguracja usługi RpcSs jest poprawna, nic jej nie brakuje, ani nic nie jest zmodyfikowane, uprawnienia też są w porządku. Taki czarny ekran przy logowaniu tworzy cała masa usterek. To co wyszukałeś to tylko jedna z wielu możliwości. I mam przecież cały Twój rejestr (pliki SYSTEM, SOFTWARE, NTUSER.DAT i kilka innych), kopię którą utworzył FRST: I tu także nic nie brakuje. HKEY_LOCAL_MACHINE\SYSTEM to nie jest klucz Twojego Windowsa tylko klucz środowiska RE z płyty. Rejestr Windows nie jest automatycznie podmontowany w tym środowisku. Dopiero ręczne ładowanie pliku C:\Windows\system32\config\SYSTEM ujawnia część (tylko SYSTEM) co jest w rejestrze Twojego Windows. W tej kwestii: CurrentControlSet jest widoczne tylko i wyłącznie spod działającego Windows. W środowisku zewnętrznym nie ma w ogóle CurrentControlSet, gdyż jest to tylko link symboliczny do jednego z kluczy ControlSet00x. Kluczy ControlSet00x jest kilka, gdyż jeden z nich to bieżąca konfiguracja, drugi to Ostatnia poprawna konfiguracja wywoływana z F8, a reszta to kopie typu "Failed" (niepoprawne). W normalnych okolicznościach jest ControlSet001 (bieżąca konfiguracja) i ControlSet002 (Ostatnia poprawna konfiguracja). W przypadku problemów startowych klucze się mnożą, a biężąca konfiguracja jest "przesuwana" do coraz to nowszych numerów. Jedyna konfiguracja, która ma znaczenie i którą należy ewentualnie edytować, to konfiguracja bieżąca. Ostatnia poprawna i tak zostanie zastąpiona przy pierwszym pomyślnym bootowaniu, a Failed są bez znaczenia. Na początku log z FRST zawiadamiał, że bieżącą konfiguracją jest ControlSet003: The current controlset is ControlSet003 Skoro już widzisz ControlSet004, to układ się ponownie zmienił. .

Uzupełnione raporty nie są do końca takie jak należy: log z FRST zrobiony inaczej niż zalecenia (niepotrzebnie zaznaczone opcje "Drivers MD5" i "List BCD"), a zamiast GMER jest limitowany aswMBR. Jeśli rzecz o szkodliwym oprogramowaniu, to są tylko drobne szczątki. Pod tym kątem: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} HKU\S-1-5-21-3125670856-3659484653-3208966508-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R HKU\S-1-5-21-3125670856-3659484653-3208966508-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} SearchScopes: HKU\S-1-5-21-3125670856-3659484653-3208966508-1001 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={F248F14B-59C6-4A4F-96E1-87DA77C1C3BE}&mid=61f86600962947cda1d029e0253ffe02-7f6672bf4582164481bafc8f4aaf6ed3c4f25650&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2015-01-19 22:53:44&v=4.0.5.7&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-3125670856-3659484653-3208966508-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms} SearchScopes: HKU\S-1-5-21-3125670856-3659484653-3208966508-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} SearchScopes: HKU\S-1-5-21-3125670856-3659484653-3208966508-1001 -> {3B4D267E-D127-44F0-ABFE-5B80AF9624B8} URL = SearchScopes: HKU\S-1-5-21-3125670856-3659484653-3208966508-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={F248F14B-59C6-4A4F-96E1-87DA77C1C3BE}&mid=61f86600962947cda1d029e0253ffe02-7f6672bf4582164481bafc8f4aaf6ed3c4f25650&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2015-01-19 22:53:44&v=4.0.5.7&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File Task: {7B63B95B-514F-4E03-BFAE-5D3174352378} - System32\Tasks\{F91AFC00-2D32-4775-A543-D1FBB84F0199} => pcalua.exe -a "C:\Program Files\Acer\Remote Files\AcerRemoteFileSetup.exe" -c -uninstall S1 avgtp; \??\C:\WINDOWS\system32\drivers\avgtpx64.sys [X] U3 aswMBR; \??\C:\Users\Daria\AppData\Local\Temp\aswMBR.sys [X] U3 aswVmm; \??\C:\Users\Daria\AppData\Local\Temp\aswVmm.sys [X] C:\Program Files (x86)\AVG Web TuneUp C:\Program Files (x86)\Opera C:\ProgramData\AVG Security Toolbar C:\ProgramData\Norton C:\ProgramData\WindowsMangerProtect C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Packard Bell Quick Access.lnk C:\Users\Daria\AppData\Local\CrashDumps C:\Users\Daria\AppData\Local\DanuSoft C:\Users\Daria\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Daria\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Daria\AppData\Local\Opera Software C:\Users\Daria\AppData\Roaming\Mobogenie C:\Users\Daria\AppData\Roaming\omiga-plus C:\Users\Daria\AppData\Roaming\Opera Software C:\Users\Public\Documents\GenieSoft C:\Users\Public\Pokki C:\WINDOWS\msdownld.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty". 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

vs. System errors: ============= Error: (01/24/2015 11:18:17 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie C:. Error: (01/24/2015 11:18:17 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie C:. Error: (01/24/2015 11:18:17 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume2. 1. Wywołaj nowe sprawdzanie dysku komendą chkdsk /f /r i zresetuj system. Powinien zostać nagrany nowy rekord - wklej wyniki. 2. Dopiero, gdy wykonasz sprawdzanie dysku, przeprowadź skan na naruszenia plików Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. PS. Widzę, że korzystałeś z wątpliwego produktu DLLFixer - z daleka od takich wynalazków, można nabroić. W spoilerze drobne korekty na wpisy puste i odpadki adware. Nie mają jednak związku z problemem zasadniczym.

Link wklej.org jest błędny i zwraca błąd 404. Proszę wszystkie obowiązkowe logi (FRST i GMER) wstawić jako załączniki posta a nie na serwisach hostingowych. Każdy log jako osobny plik (nie scalać trewści plików). eFiX Pro firmy Reimage to niepożądany program: KLIK.

vs. Pierwsze uruchomienie owszem z D - to było moje niedopatrzenie, bo przed uruchomieniem FRST jest inna litera. Tylko że jak już się FRST uruchomi następuje przetasowanie mapowania dysków w locie i po uruchomieniu FRST D staje się C. FRST więc powinien znaleźć Fixlist. W związku z tym, że uruchomiony FRST nie wyczuwa jego obecności skorzystaj z pendrive jak radzi Zappa (litera pendrive będzie statyczna i nie zmieni się w pamięci), ale rób to z RE a nie Trybu awaryjnego. W Trybie awaryjnym komendy CMD zrócą wyniki "Odmowa dostępu". Środowisko RE jest po to, by obejść problem uprawnień. Dzięki, poprawię. Znalazłam jeszcze kilka innych takich kwiatków w innych topikach. Chyba ostatnia aktualizacja forum coś skopciła.

Masz sprawdzić listę woluminów w konfiguracji Ochrony systemu, a nie w menedżerze partycji diskmgmt.msc. EDIT: Pisałam nie widząc odpowiedzi wieslaw531.

Zadanie wykonane. możesz usunąć z dysku plik C:\Delfix.txt. To tyle.

Zadanie wykonane. Teraz uruchom najnowszą wersję AdwCleaner. Wybierz Szukaj (nie stosuj na razie Usuń) i dostarcz raport z folderu C:\AdwCleaner

Proszę stosuj opcję Edytuj, gdy nikt jeszcze nie odpisał, a chcesz uzupełnić informacje. Wszystkie posty sklejam. I to Cię "martwi", że program nic nie znalazł? To bardzo dobrze, że wyników brak, system jest wyczyszczony porządnie. A te znaleziska Hitman to malutkie śmietki (związane z adware i ciastko) i nic szczególnego. vs. W międzyczasie możesz jeszcze zapuścić skan Kaspersky Virus Removal Tool. Domyślnie jest prowadzony ekspresowy przebieg, pełny skan ustawia się w opcjach.

Zasady działu się zmieniły, przestarzały OTL nie jest już obowiązkowy. Niestety mam bardzo niedobre wieści, system jest zainfekowany wirusem wykonywalnych Sality - wirus atakuje wszystkie pliki tego rodzaju na wszystkich dostępnych dyskach. Jego pobyt zwykle kończy się formatem dysku, nawet jeśli wirus zostanie "zdeaktywowany" (po wyczyszczeniu plików z kodu wirusa mogą powstać trwałe uszkodzenia o niemożliwym do oceny zakresie). Znaki Sality w Twoich raportach to losowe procesy z Temp i ukryty sterownik Sality (widzi go tylko GMER): ==================== Processes (Whitelisted) ================= () C:\DOCUME~1\Tomi\USTAWI~1\temp\eowwal.exe ---- Kernel code sections - GMER 2.1 ---- ? C:\WINDOWS\system32\drivers\hiojf.sys Nie można odnaleźć określonego pliku. ! ---- Devices - GMER 2.1 ---- Device \Driver\amsint32 \Device\amsint32 hiojf.sys + autoryzacje w Zaporze oznaczone opisem "ipsec". Jest tu dysk twardy podzielony na dwie partycje oraz pendrive - wszystkie partycje są pod radarem Sality i nie wystarczy tylko format C:. Decyduj jakie działania podejmujesz: format (z dysków nie wolno skopiować żadnych plików wykonywalnych, czyli instalatorów programów / sterowników etc., gdyż zainicjują ponownie wirusa) czy próba ręcznego czyszczenia. Jeśli czyszczenie ręczne, to wstępne działania: 1. Uruchom SalityKiller. Należy wykonać skan do skutku, tzn. powtarzany kilka razy, aż do wyraźnego zwrotu "zero zainfekowanych". 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz GMER.

Kolejne poprawki: 1. Uruchom ponownie AdwCleaner, lecz tym razem zastosuj po kolei opcje Szukaj + Usuń. Gdy AdwCleaner ukończy pracę: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\Doctor Web RemoveDirectory: C:\Users\Aga\Doctor Web RemoveDirectory: C:\Users\Aga\Downloads\FRST-OlderVersion RemoveDirectory: C:\zoek_backup Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.