picasso

Zadania wykonane. Poprawki: 1. Uruchom AdwCleaner, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. PS. Co z ikoną Grupy domowej?

Fix FRST pomyślnie wykonany. AdwCleaner dopatrzył się większej ilości szczątków adware. Kolejna porcja zadań: 1. Uruchom AdwCleaner, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\Users\Kasia\Desktop\Stare dane programu Firefox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Temat przenoszę do działu XP. Podobnie jak w poprzednim wypadku, brak oznak infekcji. 1. Jest tu jakiś błąd związany z woluminem dysku: Error: (01/10/2015 06:18:32 PM) (Source: 0) (EventID: 1) (User: ) Description: 0xC0000001HarddiskVolume1 Wejdź do Dziennika zdarzeń i przeklej oryginalne szczegóły błędu. 2. Jeden z plików Microsoftu nie ma sygnatury cyfrowej: R2 Dhcp; C:\WINDOWS\System32\dhcpcsvc.dll [111616 2006-08-10] (Microsoft Corporation) [File not signed] Uruchom FRST, w polu Search wklep dhcpcsvc.dll, klik w Search Files i dostarcz wynikowy log.

Temat przenoszę do działu Windows. Nic tu nie wskazuje na problem infekcji - skąd jej podejrzenie? W spoilerze doczyszczanie wpisów szczątkowych, które jest jednak bez znaczenia w kontekście problemów. Jeśli chodzi o problem odtwarzania video i zielone ekrany, to może być to problem z akceleracją sprzętową. Natomiast pod kątem wolnego wczytywania systemu i długiego inicjowania aplikacji: 1. Rozpocznij od deinstalacji Avast - starsza wersja (edycja 2014). Przy okazji pozbądź się też starszych wersji Adobe i Java oraz Freemake Video Downloader i Pando Media Booster. 2. Po operacjach ze spoilera oraz powyższych deinstalacjach zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. Wypowiedz się dzieje. Nie jest wykluczony problem sprzętowy. .

Widać tu tylko źle wyczyszczone adware - najcięższym elementem uruchamianym z zestawu jest sterownik {665e51a3-da93-4d76-a3a4-e4194c384ce8}w64, który może mieć bardzo negatywny wpływ na system. Natomiast komponenty McAfee zwracają w Dzienniku zdarzeń błędy typu "is not trusted", jedna z usług brak pliku (tę będę usuwać). Dodatko licencja Windows wygląda na scrackowaną (to się nasuwa, gdyż do kompletu w pliku HOSTS są charakterystyczne blokady serwerów MS, które robią cracki). Application errors: ================== Error: (01/27/2015 11:15:55 PM) (Source: AVLogEvent) (EventID: 5010) (User: ZARZĄDZANIE NT) Description: McShield failed to start because it is not trusted. Error Code:a7f40905 Error: (01/27/2015 11:15:55 PM) (Source: AVLogEvent) (EventID: 5010) (User: ZARZĄDZANIE NT) Description: McShield failed to start because it is not trusted. Error Code:a7f40905 Error: (01/27/2015 11:15:41 PM) (Source: AVLogEvent) (EventID: 5010) (User: ZARZĄDZANIE NT) Description: McShield failed to start because it is not trusted. Error Code:a7f40905 Error: (01/27/2015 11:15:41 PM) (Source: AVLogEvent) (EventID: 5010) (User: ZARZĄDZANIE NT) Description: McShield failed to start because it is not trusted. Error Code:a7f40905 Error: (01/27/2015 11:06:37 PM) (Source: Winlogon) (EventID: 4103) (User: ) Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x00000000. System errors: ============= Error: (01/27/2015 11:14:25 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee Anti-Spam Service z powodu następującego błędu: %%1053 Error: (01/27/2015 11:14:25 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Anti-Spam Service. Error: (01/27/2015 10:52:36 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee CSP Service z powodu następującego błędu: %%2 Na razie usuń adware, choć mam szczere wątpliwości, czy to ma związek z McAfee. Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {665e51a3-da93-4d76-a3a4-e4194c384ce8}w64; C:\Windows\System32\drivers\{665e51a3-da93-4d76-a3a4-e4194c384ce8}w64.sys [48784 2015-01-27] (StdLib) S1 {820a714f-c526-4777-8e87-e9d6612e0938}Gw64; system32\drivers\{820a714f-c526-4777-8e87-e9d6612e0938}Gw64.sys [X] S2 0165441422395760mcinstcleanup; C:\Users\KAHLR\AppData\Local\Temp\016544~1.EXE [854720 2014-11-19] (McAfee, Inc.) S2 0c632643; "C:\Windows\system32\rundll32.exe" "c:\progra~3\intere~1\InterenetOptimizerSvc.dll",service S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X] S2 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\1.3.336.0\McCSPServiceHost.exe" [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] Task: {80F9AE36-6054-4DBE-97DA-6C5674208116} - System32\Tasks\{7F420921-0A3A-4C35-A7C4-681F2A7B61AD} => pcalua.exe -a C:\Users\ROBERT\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=sien HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-1773470009-2733455634-175904507-1001\...\MountPoints2: {6b98147a-94ce-11e4-8aa1-00241dd78311} - J:\LGAutoRun.exe AppInit_DLLs: C:\PROGRA~3\INTERE~1\INTERE~2.DLL => C:\PROGRA~3\INTERE~1\INTERE~2.DLL File Not Found AppInit_DLLs-x32: c:\progra~3\intere~1\intere~1.dll => "c:\progra~3\intere~1\intere~1.dll" File Not Found GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760&q={searchTerms} C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\SupTab C:\Program Files (x86)\Temp C:\ProgramData\IePluginServices C:\ProgramData\Norton C:\ProgramData\Symantec C:\ProgramData\WindowsMangerProtect C:\Users\ROBERT\*.exe C:\Users\ROBERT\AppData\Local\globalUpdate C:\Users\ROBERT\AppData\Roaming\systweak C:\Windows\system32\roboot64.exe C:\Windows\System32\drivers\{665e51a3-da93-4d76-a3a4-e4194c384ce8}w64.sys Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WindowsMangerProtect /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\ROBERT\AppData\Local CMD: dir /a C:\Users\ROBERT\AppData\LocalLow CMD: dir /a C:\Users\ROBERT\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony skrót IE. W pasku adresów eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Logi pochodzą z konta ROBERT, ale w systemie jest większa ilość kont: ========================= Accounts: ========================== KAHLR (S-1-5-21-1773470009-2733455634-175904507-1003 - Administrator - Enabled) => C:\Users\KAHLR Malinka (S-1-5-21-1773470009-2733455634-175904507-1004 - Limited - Enabled) => C:\Users\Malinka ROBERT (S-1-5-21-1773470009-2733455634-175904507-1001 - Administrator - Enabled) => C:\Users\ROBERT Wymagane logi FRST z każdego konta z osobna. Tzn. po kolei zaloguj się na każde konto poprzez pełny restart systemu (a nie Wyloguj czy Przełącz użytkownika) i zrób nowy zestaw FRST z opcji Scan (zaznacz pole Addition, ale nie Shortcut). Na koncie limitowanym Malinka uruchom FRST poprzez dwuklik a nie "Uruchom jako Administrator" (to zmieni kontekst konta). Dołącz też plik fixlog.txt.

Greener Web to adware. Owszem, odinstalowałeś, ale jest tu jeszcze co czyścić (odpadki po tym śmieciu oraz innych adware). Akcja: 1. Odinstaluj Kaspersky Virus Removal, gdyż czyszczenie Tempów zadane poniżej uziemi deinstalator. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 {a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64; system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64.sys [X] S3 DIRECTIO; \??\C:\Program Files (x86)\PerformanceTest\DirectIo.sys [X] S2 MaintainerSvc4.07.4104264; "C:\ProgramData\398c0b96-ebd3-4f67-a5c7-1899a15c12be\maintainer.exe" [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-1760723777-208154846-305114149-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-1760723777-208154846-305114149-1000 -> {099D38E0-3780-4695-9CB3-B95EF46DEE57} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=515 C:\Program Files (x86)\Greener Web C:\ProgramData\398c0b96-ebd3-4f67-a5c7-1899a15c12be C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DSite /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Image Editor Packages" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Qtrax Connection Manager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Update Greener Web" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Util Greener Web" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż przeszkodzi FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń). Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

To program jednorazowego użytku - kompilację ściąga się za każdym razem od nowa. Cytuję z supportu Kasperskiego: Kaspersky Virus Removal Tool 2011 does not have a function to update its antivirus databases. The only way to actualize the tool is to download it again from Kaspersky Lab servers and install it. It is also necessary to uninstall the previous version of Kaspersky Virus Removal Tool 2011 before installing a newer one. Your computer may crash to BSOD, hang and etc. in the result of simultaneous execution of more than one version. Mnie interesują tylko wyniki typu "Detected", a nie cały log z masą zbędnych informacji typu "OK" / "zablokowany" / "archiwum na hasło". + ESET wykrył błahą część tej infekcji, tzn. te "pomocnicze" pliki TXT i HTML. One nie są groźne per se, zawierają "instrukcje" jak odszyfrować pliki, tzn. jak zapłacić haracz cyberprzestępcom. Reszta wyników z Documents i Downloads to mało istotne rzeczy, czyli po prostu instalatory z adware / downloadery. Dla porównania ta wypowiedź: KLIK. Tu było już tak dużo zapisów na dysku (samo działanie systemu Windows powoduje nieustanne zapisy), że rezultaty są mocno wątpliwe i podejrzewam, że nici z interesu. Gdy infekcja wystąpiła, należało natychmiast w momencie jej inicjacji odciąć komputer od prądu, by zablokować zapisy na dysku i od razu podjąć próbę zewnętrzną odzysku danych. W obecnej sytuacji: ani nie wiadomo jak długo trwała infekcja, ani nie wiadomo jak bardzo zapisy na dysku pogrążyły sprawę. Możesz oczywiście próbować, ale czarno to widzę. Poza tym, nie jestem pewna czy przypadkiem ten nowy wariant nie wbija zer na dysku w miejsce zastępowanych oryginałów, co uniemożliwia zastosowanie softu do odzysku danych. Ten wątek do działu Hardware. Załóż tam nowy temat z danymi wymaganymi działem: KLIK. Zlinkuj im też tutejszy temat, by wiedzieli co jeszcze się działo.

Temat w niewłaściwym dziale. Przenoszę do Windows. Could not access network location Program Files (x86)\. Moim zdaniem błąd jest definitywnie skutkiem Twojego przekierowania ręcznego: Gdzieś w rejestrze są niepoprawne odnośniki. Skoro to się dzieje tylko przy instalacjach typu MSI, sugerowany jest problem w kluczach Instalatora Windows (Installer). Pro forma mógłbyś mi pokazać rejestr do wglądu, tzn. spakuj do ZIP cały folder C:\FRST\Hives, shostuj gdzieś i podaj do tego link. Ale proponuję nie męczyć się i od razu w całości pozbyć się tej edycji i nie ponawiać z nią już prób. Widzę jej małą przydatność: Edycja którą pokazujesz, jest ledwie wycinkiem, jeśli przekierowanie katalogów miałoby być zrobione porządnie. Jest cała chmara wpisów w rejestrze (związanych z komponentami systemowymi), które nie zostaną zaktualizowane tą metodą i odwołują do starej lokalizacji, może to mieć skutki uboczne, gdyż po przekierowaniu ProgramFilesDir i CommonFilesDir poprzednie lokalizacje nie są traktowane jako specjalne. I tu w systemie już sypie błędami związanymi z tym co mówię - błędy typu "not found": System errors: ============= Error: (01/25/2015 01:42:23 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi WMPNetworkSvc z powodu następującego błędu: %%2 Error: (01/25/2015 01:40:18 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa WinDefend zakończyła działanie; wystąpił następujący błąd: %%126 Poza tym, ta edycja jest mało pomocna do ograniczania instalacji programów na dysku C: - Po pierwsze: bez żadnej globalnej edycji (która może mieć skutki uboczne) podobny efekt uzyskasz przy instalacji programów w dialogu instalacji danego programu wskazując daną ścieżkę. - Ta edycja nie zapobiega tworzeniu folderów aplikacji na dysku C w tych miejscach: C:\ProgramData\Program C:\Users\Konto\AppData\Local\Program C:\Users\Konto\AppData\LocalLow\Program C:\Users\Konto\AppData\Roaming\Program Przykład z Twojego raportu: 2015-01-22 14:00 - 2015-01-22 14:00 - 00000000 ____D () C:\Users\x\AppData\Roaming\SketchUp 2015-01-22 14:00 - 2015-01-22 14:00 - 00000000 ____D () C:\ProgramData\SketchUp PS. A o poniższych pomysłach zapomnij. Usunięcie tych kluczy spowodowałoby jeszcze więcej problemów.

Ponawiam prośbę: W kwestii niemożności startu Windows spróbuj jeszcze cofnąć cały rejestr części systemowej przy udziale kopii typu RegBack: 1. Do Notatnika wklej: LastRegBack: 2015-01-24 03:53 Tak jak poprzednio: zapisz jako fixlist.txt i ulokuj tam gdzie siedzi FRST. Uruchom FRST i klik w Fix. Dostarcz fixlog.txt. 2. Sprawdź czy są jakiekolwiek zmiany przy starcie.

Pogram należy zastosować z poziomu Trybu awaryjnego Windows. Czy tak to stosowałeś?

Temat przenoszę do działu Windows, może do Sieci pójdzie. Oznak infekcji brak. W spoilerze masz kosmetykę, tzn. usuwanie pustych wpisów i inne drobnostki, to jednak nie ma związku z problemami i jest jedynie pobocznym zagadnieniem. 1. W Dzienniku zdarzeń jest błąd kontenera wtyczek Firefox: Application errors: ================== Error: (01/16/2015 00:39:34 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: plugin-container.exe, wersja: 35.0.0.5486, sygnatura czasowa: 0x54af7153 Nazwa modułu powodującego błąd: mozalloc.dll, wersja: 35.0.0.5486, sygnatura czasowa: 0x54af69d4 Kod wyjątku: 0x80000003 Przesunięcie błędu: 0x00001425 Identyfikator procesu powodującego błąd: 0x1418 Godzina uruchomienia aplikacji powodującej błąd: 0xplugin-container.exe0 Ścieżka aplikacji powodującej błąd: plugin-container.exe1 Ścieżka modułu powodującego błąd: plugin-container.exe2 Identyfikator raportu: plugin-container.exe3 Pozbądź się pewnego zakresu wtyczek, bo jest ich duża ilość: - Przez Panel sterowania odinstaluj Adobe Shockwave Player 12.0 (to nie jest Adobe Player związany z Youtube). - Wejdź do menedżera wtyczek Firefox i wyłącz wszystkie wtyczki Intel, Microsoft Office, Real, Nexon i Unity. Przeładuj Firefox i sprawdź czy polepszyło się coś. 2. Kolejny zestaw błędów z Dziennika: System errors: ============= Error: (01/22/2015 11:04:20 PM) (Source: BROWSER) (EventID: 8032) (User: ) Description: Usługa przeglądarki zbyt wiele razy nie zdołała pobrać listy kopii zapasowych w transporcie \Device\NetBT_Tcpip_{92F93706-8754-4AAD-816F-F3051F2612BF}. Przeglądarka zapasowa jest zatrzymywana. Error: (01/21/2015 09:27:39 PM) (Source: bowser) (EventID: 8003) (User: ) Description: Przeglądarka główna odebrała anons serwera z komputera PATRYK. Komputer ten zachowuje się tak, jakby był przeglądarką główną dla domeny w transporcie NetBT_Tcpip_{92F93706-8754-4AAD-816F-F3051F2612BF}. Przeglądarka główna właśnie jest zatrzymywana albo wymuszany jest wybór. Error: (01/18/2015 05:48:41 PM) (Source: BROWSER) (EventID: 8032) (User: ) Description: Usługa przeglądarki zbyt wiele razy nie zdołała pobrać listy kopii zapasowych w transporcie \Device\NetBT_Tcpip_{92F93706-8754-4AAD-816F-F3051F2612BF}. Przeglądarka zapasowa jest zatrzymywana. Error: (01/16/2015 10:49:36 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Adapter odbiornika Net.Tcp zależy od usługi Usługa udostępniania portów Net.Tcp, której nie można uruchomić z powodu następującego błędu: %%1053 Error: (01/16/2015 10:49:36 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Adapter odbiornika Net.Pipe z powodu następującego błędu: %%1053 Error: (01/16/2015 10:49:36 AM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Adapter odbiornika Net.Pipe. Error: (01/16/2015 10:49:00 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa udostępniania portów Net.Tcp z powodu następującego błędu: %%1053 Error: (01/16/2015 10:49:00 AM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa udostępniania portów Net.Tcp. Error: (01/16/2015 00:51:06 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Adapter odbiornika Net.Tcp zależy od usługi Usługa udostępniania portów Net.Tcp, której nie można uruchomić z powodu następującego błędu: %%1053 Jeśli chodzi o usługi Net.*, to Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator > dwuklik na usługi Adapter odbiornika Net.Pipe + Usługa udostępniania portów Net.Tcp i Typ uruchomienia ustaw na Ręczny. 3. Jeśli chodzi o ogólne spowolnienie systemu i sieci, to do sprawdzenia wstępnie Avast (tymczasowa deinstalacja). Po pierwsze, jest jakiś problem z nim - w GMER jego obiekty stoją jako zablokowane. Po drugie, to stara edycja: ==================== Installed Programs ====================== avast! Free Antivirus (HKLM-x32\...\avast) (Version: 8.0.1497.0 - AVAST Software) Czyli: odinstaluj Avast przez Panel sterowania, następnie popraw usuwaczem Avast Uninstall Utility, nic na razie nie instaluj tylko upewnij się czy są jakieś zmiany w systemie. Jeśli będą pozytywne zmiany, spróbuj zainstalować od nowa najnowszą edycję Avast 2015.

Nadal brakuje trzeciego pliku FRST Shortcut. Nie zaznaczyłeś opcji w konfiguracji, by ten log powstał: Log wyprodukujesz potem. Zabierzmy się już do usuwania adware: 1. Na początek deinstalacje: - Przez Panel sterowania odinstaluj: Pixsta, Pokki, Softonic Assistant, Yahoo! Search. - Są w systemie liczne uruchamiające się obiekty niepoprawnie usuniętego McAfee. Zastosuj McAfee Consumer Products Removal tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {00c97d86-accb-4288-9972-6d929c1fe93a}Gw64; C:\Windows\System32\drivers\{00c97d86-accb-4288-9972-6d929c1fe93a}Gw64.sys [48776 2014-10-13] (StdLib) R1 {00c97d86-accb-4288-9972-6d929c1fe93a}w64; C:\Windows\System32\drivers\{00c97d86-accb-4288-9972-6d929c1fe93a}w64.sys [48776 2014-10-15] (StdLib) R1 {19b94dbb-e67e-43ec-827b-c943f0fc9c16}w64; C:\Windows\System32\drivers\{19b94dbb-e67e-43ec-827b-c943f0fc9c16}w64.sys [48776 2014-10-25] (StdLib) R1 {2859046f-5dca-482a-8c2d-37943d33a392}w64; C:\Windows\System32\drivers\{2859046f-5dca-482a-8c2d-37943d33a392}w64.sys [48792 2014-11-04] (StdLib) R1 {29302da5-1178-40ac-a178-4cb57ebcc501}w64; C:\Windows\System32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}w64.sys [48792 2014-10-25] (StdLib) R1 {51d6aaf3-0bd7-47b0-8963-1c6f4d58b8fd}w64; C:\Windows\System32\drivers\{51d6aaf3-0bd7-47b0-8963-1c6f4d58b8fd}w64.sys [48776 2014-11-01] (StdLib) R1 {6b9234ab-d79f-41db-86f9-8be7a3e9ee74}w64; C:\Windows\System32\drivers\{6b9234ab-d79f-41db-86f9-8be7a3e9ee74}w64.sys [48776 2014-11-07] (StdLib) R1 {6db7eb66-a30b-41a3-809c-addb2341dafb}w64; C:\Windows\System32\drivers\{6db7eb66-a30b-41a3-809c-addb2341dafb}w64.sys [48792 2014-11-01] (StdLib) R1 {7012eec1-4f37-42d4-a2cd-26727494d248}w64; C:\Windows\System32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}w64.sys [48792 2014-10-15] (StdLib) R1 {88155b61-d5d0-401c-9c66-16b32c330fd8}w64; C:\Windows\System32\drivers\{88155b61-d5d0-401c-9c66-16b32c330fd8}w64.sys [48784 2014-11-29] (StdLib) R1 {8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}w64; C:\Windows\System32\drivers\{8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}w64.sys [48792 2014-11-06] (StdLib) R1 {9642e31c-2703-4a31-ba45-9e8dfb693e38}w64; C:\Windows\System32\drivers\{9642e31c-2703-4a31-ba45-9e8dfb693e38}w64.sys [48776 2014-11-13] (StdLib) R1 {972b8ad0-9d6f-4688-9227-759df6914df4}w64; C:\Windows\System32\drivers\{972b8ad0-9d6f-4688-9227-759df6914df4}w64.sys [48776 2014-10-22] (StdLib) R1 {98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}w64; C:\Windows\System32\drivers\{98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}w64.sys [48776 2014-11-10] (StdLib) R1 {9de7e012-74d3-4f9d-b4b0-2d3150073168}w64; C:\Windows\System32\drivers\{9de7e012-74d3-4f9d-b4b0-2d3150073168}w64.sys [48792 2014-11-10] (StdLib) R1 {a2df9e48-ce26-4812-87d1-df6c5bed5ea9}w64; C:\Windows\System32\drivers\{a2df9e48-ce26-4812-87d1-df6c5bed5ea9}w64.sys [48776 2014-11-04] (StdLib) R1 {a6762132-8e80-4305-b1ba-2bec91757ac2}w64; C:\Windows\System32\drivers\{a6762132-8e80-4305-b1ba-2bec91757ac2}w64.sys [48792 2014-10-22] (StdLib) R1 {adb41315-fba7-4b86-be27-b2401a20c8d2}w64; C:\Windows\System32\drivers\{adb41315-fba7-4b86-be27-b2401a20c8d2}w64.sys [48776 2014-11-19] (StdLib) R1 {b30c55f2-a940-4907-8051-f13c9acdacdd}w64; C:\Windows\System32\drivers\{b30c55f2-a940-4907-8051-f13c9acdacdd}w64.sys [48784 2014-11-27] (StdLib) R1 {c0b542ce-0b43-4536-9ff3-886eaf9fb44c}w64; C:\Windows\System32\drivers\{c0b542ce-0b43-4536-9ff3-886eaf9fb44c}w64.sys [48776 2014-11-16] (StdLib) R1 {cd63c300-b231-4a93-a479-5a1e96976d74}w64; C:\Windows\System32\drivers\{cd63c300-b231-4a93-a479-5a1e96976d74}w64.sys [48784 2014-11-30] (StdLib) R1 {d04f5c84-12ff-4486-8e31-240e7ca6e6d3}w64; C:\Windows\System32\drivers\{d04f5c84-12ff-4486-8e31-240e7ca6e6d3}w64.sys [48776 2014-10-29] (StdLib) R1 {dda91daf-e6f8-4453-88d1-df18d861c904}w64; C:\Windows\System32\drivers\{dda91daf-e6f8-4453-88d1-df18d861c904}w64.sys [48792 2014-10-29] (StdLib) R2 HPSLPSVC; C:\Users\ocznik1986\AppData\Local\Temp\7zS7926\hpslpsvc64.dll [1039360 2013-07-19] (Hewlett-Packard Co.) [File not signed] R2 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe [2346880 2014-10-12] (ShopperPro) R2 Update Framed Display; C:\Program Files (x86)\Framed Display\updateFramedDisplay.exe [632560 2015-01-22] () R2 Util Framed Display; C:\Program Files (x86)\Framed Display\bin\utilFramedDisplay.exe [632560 2015-01-22] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-26] (Fuyu LIMITED) [File not signed] S1 ccnfd_1_10_0_5; system32\drivers\ccnfd_1_10_0_5.sys [X] Task: {0433F46A-51DB-4FA7-9067-839294A9A7C5} - System32\Tasks\d784e807-3b92-40a5-9d32-7e1e763f4849-4 => C:\Program Files (x86)\Dr. PC\d784e807-3b92-40a5-9d32-7e1e763f4849-4.exe Task: {2209D319-ACB0-4886-AF64-16594212962B} - System32\Tasks\SPBIW_UpdateTask_Time_33383231323031362d2a5b45342d4134455b5a326c => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {24EC9E3F-27ED-4692-9265-19CBCFD74C3A} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-4 => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-4.exe Task: {25CB066D-F8D5-4E11-A3A2-19176E2A0509} - System32\Tasks\globalUpdateUpdateTaskMachineCore1cfe64f7b69dee7 => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {2B782DFE-FD1E-4142-843E-60DFAEF73CA1} - System32\Tasks\d47bd50f-7472-49c0-a46a-79132ec670bd => C:\Program Files (x86)\Internet Speed Checker\d47bd50f-7472-49c0-a46a-79132ec670bd.exe [2014-10-12] () Task: {360676BC-FD45-4AF6-8C19-798A36BD8EB3} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-1 => C:\Program Files (x86)\Apps Hat\Apps Hat-codedownloader.exe Task: {3D2CB29B-2ED1-4E93-B7B9-A8ADF58BFDBB} - System32\Tasks\DoctorPC_Start => C:\Program Files (x86)\Doctor PC\DoctorPC.exe Task: {4E1E9CE9-F5E1-42D0-8D1E-342EB65E4E92} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-11 => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-11.exe Task: {7591ECFF-3574-469D-94B7-27FF6DDA8AFC} - System32\Tasks\globalUpdateUpdateTaskMachineUA1cfe68bfb40df5d => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {7877279F-8CA5-4F39-9F4E-3C116024ECBF} - System32\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-5 => C:\Program Files (x86)\Senses\8b8af638-f8bc-4972-8c79-82d268796676-5.exe Task: {A636FAA5-7671-425D-86CA-6C5B6C370406} - System32\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-1 => C:\Program Files (x86)\Senses\Senses-codedownloader.exe Task: {CA58B337-97A9-43AE-9C0C-850334A514B8} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-5 => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-5.exe Task: {D5FCCAB7-E8F0-4DE9-988D-358EB7598F3F} - System32\Tasks\DoctorPC_Popup => C:\Program Files (x86)\Doctor PC\Splash.exe Task: {EA18341D-F18C-4C20-BBBD-DCA6B037E079} - System32\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-5_user => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-5.exe Task: {EF8DBDA5-77E6-4EDF-8D34-23BC8A5D6885} - System32\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-5_user => C:\Program Files (x86)\Senses\8b8af638-f8bc-4972-8c79-82d268796676-5.exe Task: C:\WINDOWS\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-1.job => C:\Program Files (x86)\Apps Hat\Apps Hat-codedownloader.exe Task: C:\WINDOWS\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-11.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-11.exe Task: C:\WINDOWS\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-4.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-4.exe Task: C:\WINDOWS\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-5.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-5.exe Task: C:\WINDOWS\Tasks\07050b38-1064-4757-a89c-fb7383a998f7-5_user.job => C:\Program Files (x86)\Apps Hat\07050b38-1064-4757-a89c-fb7383a998f7-5.exe Task: C:\WINDOWS\Tasks\46f7cf9a-8167-44ad-8818-86d68ce518b4-1.job => C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-codedownloader.exe Task: C:\WINDOWS\Tasks\46f7cf9a-8167-44ad-8818-86d68ce518b4-11.job => C:\Program Files (x86)\Internet Speed Checker\46f7cf9a-8167-44ad-8818-86d68ce518b4-11.exe Task: C:\WINDOWS\Tasks\46f7cf9a-8167-44ad-8818-86d68ce518b4-2.job => C:\Program Files (x86)\Internet Speed Checker\46f7cf9a-8167-44ad-8818-86d68ce518b4-2.exe Task: C:\WINDOWS\Tasks\46f7cf9a-8167-44ad-8818-86d68ce518b4-4.job => C:\Program Files (x86)\Internet Speed Checker\46f7cf9a-8167-44ad-8818-86d68ce518b4-4.exe Task: C:\WINDOWS\Tasks\46f7cf9a-8167-44ad-8818-86d68ce518b4-5.job => C:\Program Files (x86)\Internet Speed Checker\46f7cf9a-8167-44ad-8818-86d68ce518b4-5.exe Task: C:\WINDOWS\Tasks\46f7cf9a-8167-44ad-8818-86d68ce518b4-5_user.job => C:\Program Files (x86)\Internet Speed Checker\46f7cf9a-8167-44ad-8818-86d68ce518b4-5.exe Task: C:\WINDOWS\Tasks\46f7cf9a-8167-44ad-8818-86d68ce518b4-7.job => C:\Program Files (x86)\Internet Speed Checker\46f7cf9a-8167-44ad-8818-86d68ce518b4-7.exe Task: C:\WINDOWS\Tasks\6c963813-d45e-4bd2-8db0-ce5d852deb9d.job => C:\Program Files (x86)\Internet Speed Checker\6c963813-d45e-4bd2-8db0-ce5d852deb9d.exe Task: C:\WINDOWS\Tasks\8a351a44-78d6-4771-9403-9ba5c39b6a3a-1.job => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe Task: C:\WINDOWS\Tasks\8a351a44-78d6-4771-9403-9ba5c39b6a3a-11.job => C:\Program Files (x86)\iWebar\8a351a44-78d6-4771-9403-9ba5c39b6a3a-11.exe Task: C:\WINDOWS\Tasks\8a351a44-78d6-4771-9403-9ba5c39b6a3a-4.job => C:\Program Files (x86)\iWebar\8a351a44-78d6-4771-9403-9ba5c39b6a3a-4.exe Task: C:\WINDOWS\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-1.job => C:\Program Files (x86)\Senses\Senses-codedownloader.exe Task: C:\WINDOWS\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-11.job => C:\Program Files (x86)\Senses\8b8af638-f8bc-4972-8c79-82d268796676-11.exe Task: C:\WINDOWS\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-2.job => C:\Program Files (x86)\Senses\8b8af638-f8bc-4972-8c79-82d268796676-2.exe Task: C:\WINDOWS\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-3.job => C:\Program Files (x86)\Senses\8b8af638-f8bc-4972-8c79-82d268796676-3.exe Task: C:\WINDOWS\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-4.job => C:\Program Files (x86)\Senses\8b8af638-f8bc-4972-8c79-82d268796676-4.exe Task: C:\WINDOWS\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-5.job => C:\Program Files (x86)\Senses\8b8af638-f8bc-4972-8c79-82d268796676-5.exe Task: C:\WINDOWS\Tasks\8b8af638-f8bc-4972-8c79-82d268796676-5_user.job => C:\Program Files (x86)\Senses\8b8af638-f8bc-4972-8c79-82d268796676-5.exe Task: C:\WINDOWS\Tasks\AE.job => C:\Users\ocznik1986\AppData\Roaming\AE.exe Task: C:\WINDOWS\Tasks\BGLSCY.job => C:\Users\ocznik1986\AppData\Roaming\BGLSCY.exe Task: C:\WINDOWS\Tasks\CXNAYXY.job => C:\Users\ocznik1986\AppData\Roaming\CXNAYXY.exe Task: C:\WINDOWS\Tasks\d47bd50f-7472-49c0-a46a-79132ec670bd.job => C:\Program Files (x86)\Internet Speed Checker\d47bd50f-7472-49c0-a46a-79132ec670bd.exe Task: C:\WINDOWS\Tasks\DUPBJQ.job => C:\Users\ocznik1986\AppData\Roaming\DUPBJQ.exe Task: C:\WINDOWS\Tasks\DXDCU.job => C:\Users\ocznik1986\AppData\Roaming\DXDCU.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore1cfe64f7b69dee7.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA1cfe68bfb40df5d.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe HKU\S-1-5-21-2702095170-3591425996-2869741432-1002\...\Run: [TornTv Downloader] => C:\Users\ocznik1986\AppData\Roaming\TornTV.com\Torntv Downloader.exe /c=startup HKU\S-1-5-21-2702095170-3591425996-2869741432-1002\...\Run: [softonicAssistant] => C:\Users\ocznik1986\AppData\Local\SoftonicAssistant\SoftonicAssistant.exe [1829832 2014-11-11] () HKU\S-1-5-21-2702095170-3591425996-2869741432-1002\...\Run: [Pokki] => "%LOCALAPPDATA%\Pokki\Engine\HostAppServiceUpdater.exe" /LOGON HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 Startup: C:\Users\ocznik1986\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TornTvDownloader.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://websearch.thesearchpage.info/?pid=21975&r=2015/01/13&hid=4584051747337171107&lg=EN&cc=PL&unqvl=74 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419596853&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419596853&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419596853&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419596853&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms} HKU\S-1-5-21-2702095170-3591425996-2869741432-1002\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419596853&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1&q={searchTerms}&pid=21975&r=2015/01/13&hid=4584051747337171107&lg=EN&cc=PL&unqvl=74 SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1&q={searchTerms}&pid=21975&r=2015/01/13&hid=4584051747337171107&lg=EN&cc=PL&unqvl=74 SearchScopes: HKU\S-1-5-21-2702095170-3591425996-2869741432-1002 -> {65EDDB8C-7C5A-4971-941D-09128ADEB0D9} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=755 SearchScopes: HKU\S-1-5-21-2702095170-3591425996-2869741432-1002 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1&q={searchTerms}&pid=21975&r=2015/01/13&hid=4584051747337171107&lg=EN&cc=PL&unqvl=74 CHR RestoreOnStartup: Default -> "hxxp://rts.dsrlte.com?affID=pr_4f29543f-4219-4d6e-bb72-b45869b8e802" CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com?affID=pr_4f29543f-4219-4d6e-bb72-b45869b8e802" C:\Program Files\Common Files\ShopperPro C:\Program Files (x86)\Framed Display C:\Program Files (x86)\Internet Speed Checker C:\Program Files (x86)\iWebar C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\Program Files (x86)\Senses C:\Program Files (x86)\uNisales C:\ProgramData\{5df33ef5-86ee-98a7-5df3-33ef586efbd6} C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321 C:\ProgramData\3872871776 C:\ProgramData\6096187034163968438 C:\ProgramData\ecbaef90-5696-41e1-a1c3-3e8112ce2840 C:\ProgramData\InstallMate C:\ProgramData\Mozilla C:\ProgramData\Premium C:\ProgramData\WindowsMangerProtect C:\Users\ocznik1986\AppData\Local\nslCDC0.tmp C:\Users\ocznik1986\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\ocznik1986\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\ocznik1986\AppData\Local\Mozilla C:\Users\ocznik1986\AppData\Local\Opera Software C:\Users\ocznik1986\AppData\Local\Pokki C:\Users\ocznik1986\AppData\Local\SoftonicAssistant C:\Users\ocznik1986\AppData\Roaming\AE C:\Users\ocznik1986\AppData\Roaming\BGLSCY C:\Users\ocznik1986\AppData\Roaming\CXNAYXY C:\Users\ocznik1986\AppData\Roaming\DUPBJQ C:\Users\ocznik1986\AppData\Roaming\DXDCU C:\Users\ocznik1986\AppData\Roaming\EZDownloader C:\Users\ocznik1986\AppData\Roaming\Mozilla C:\Users\ocznik1986\AppData\Roaming\omiga-plus C:\Users\ocznik1986\AppData\Roaming\OpenCandy C:\Users\ocznik1986\AppData\Roaming\Opera Software C:\Windows\*.temp C:\Windows\System32\drivers\{00c97d86-accb-4288-9972-6d929c1fe93a}Gw64.sys C:\Windows\System32\drivers\{00c97d86-accb-4288-9972-6d929c1fe93a}w64.sys C:\Windows\System32\drivers\{19b94dbb-e67e-43ec-827b-c943f0fc9c16}w64.sys C:\Windows\System32\drivers\{2859046f-5dca-482a-8c2d-37943d33a392}w64.sys C:\Windows\System32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}w64.sys C:\Windows\System32\drivers\{51d6aaf3-0bd7-47b0-8963-1c6f4d58b8fd}w64.sys C:\Windows\System32\drivers\{6b9234ab-d79f-41db-86f9-8be7a3e9ee74}w64.sys C:\Windows\System32\drivers\{6db7eb66-a30b-41a3-809c-addb2341dafb}w64.sys C:\Windows\System32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}w64.sys C:\Windows\System32\drivers\{88155b61-d5d0-401c-9c66-16b32c330fd8}w64.sys C:\Windows\System32\drivers\{8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}w64.sys C:\Windows\System32\drivers\{9642e31c-2703-4a31-ba45-9e8dfb693e38}w64.sys C:\Windows\System32\drivers\{972b8ad0-9d6f-4688-9227-759df6914df4}w64.sys C:\Windows\System32\drivers\{98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}w64.sys C:\Windows\System32\drivers\{9de7e012-74d3-4f9d-b4b0-2d3150073168}w64.sys C:\Windows\System32\drivers\{a2df9e48-ce26-4812-87d1-df6c5bed5ea9}w64.sys C:\Windows\System32\drivers\{a6762132-8e80-4305-b1ba-2bec91757ac2}w64.sys C:\Windows\System32\drivers\{adb41315-fba7-4b86-be27-b2401a20c8d2}w64.sys C:\Windows\System32\drivers\{b30c55f2-a940-4907-8051-f13c9acdacdd}w64.sys C:\Windows\System32\drivers\{c0b542ce-0b43-4536-9ff3-886eaf9fb44c}w64.sys C:\Windows\System32\drivers\{cd63c300-b231-4a93-a479-5a1e96976d74}w64.sys C:\Windows\System32\drivers\{d04f5c84-12ff-4486-8e31-240e7ca6e6d3}w64.sys C:\Windows\System32\drivers\{dda91daf-e6f8-4453-88d1-df18d861c904}w64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\ocznik1986\AppData\Local CMD: dir /a C:\Users\ocznik1986\AppData\LocalLow CMD: dir /a C:\Users\ocznik1986\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj adware Framed Display, Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan - zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Ustawienia DNS w wartości DhcpNameServer są pobierane z urządzenia zewnętrznego i nie da się ich oczyścić z poziomu Windows (próbowałam to na wszelki wypadek). Skoro nie ma tu dostępu do routera to do czego jest dostęp - jakiś modem? W zakresie czyszczenia adware już skończyliśmy. Ostatni skrypt do FRST - otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\McAfee Security Scan RemoveDirectory: C:\Users\Niiesmiertelny\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wszystko wykonane. Poprawki: 1. Nadal widzę uruchamiające się składniki Symantec. Zastosuj Norton Removal Tool. Po akcji zrób nowy log FRST z opcji Scan - zaznacz pole Addition, Shortcut zbędny. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Posiadasz nowoczesny Adobe Flash Player 16. Jeśli on działa bez zarzutu, nie widzę podstaw, by go zastępować starszą wersją typu "Extended", która zwróć uwagę jest pozbawiona tego: "Adobe makes available a version of Flash Player called the "Extended Support Release" (ESR) to organizations that prefer Flash Player stability over new functionality. We have created a branch of the Flash Player code that we keep up to date with all of the latest security updates, but none of the new features or bug fixes available in our current release branch." A jeśli chodzi o ten nieszczęsny artefakt COMODO, to prawdopodobnie jest to obcięte okno widżetu desktopowego COMODO: KLIK. Jeśli jeszcze nie odinstalowałeś programu, sprawdź czy wyłączenie opcji pokazywania widżetu zlikwiduje ten kwiatek. Wstępnie przeleciałam na szybko forum COMODO, wprawdzie nie udało mi się znaleźć nic identycznego jak Twój problem, ale widżet jest problematyczny (inne kłopoty renderingowe z nim zgłaszane).

Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

To zupełnie inny typ zadań. AdwCleaner zajmuje się czyszczeniem adware (tu były w systemie ślady tego rodzaju), zaś CCleaner to sprzątanie Tempów i poboczne moduły (deinstalacja programów, ogólnikowe czyszczenie rejestru). Proszę podaj rezultaty jego pracy:

Fix FRST się nie wykonał. Sprawdź Fixlog - jest całkowicie pusty, gdyż nic nie wkleiłaś do Notatnika. Powtarzaj zadanie.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Jaki powód konkretnie? GG10 to najgorsza z wersji Gadu: ciężka, najwięcej reklam, wiele funkcji w niej już nie działa (usunięte niektóre serwisy Gadu), nie obsługuje też nowych cech protokołu GG. Najnowsze GG12 jest lepsze: nieco lżejsze, mniej reklam, nowe funkcje autoryzacyjne, najlepsza obsługa protokołu GG. Dokładne opisy wersji GG tutaj: KLIK. Polecam też zamiast GG alternatywny program WTW - ma bardzo dobrą obsługę GG (włączając w to protokół wersji GG11/12) i całkowity brak reklam. Zakładam, że zainstalowałaś najnowszą wersję. Tego nie wiem, bo log Addition pochodzi sprzed tej operacji. 1. Nie został odinstalowany SpyHunter. To do wykonania. Jest to niepożądany program, który nabiera użytkownika. 2. Pozostałe poprawki. Otwórz Notatnik i wklej w nim: BootExecute: autocheck autochk * sdnclean64.exe FF Plugin-x32: @java.com/DTPlugin,version=10.7.2 -> C:\windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll No File C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\Spybot - Search & Destroy C:\Users\User\AppData\Local\Google\Chrome\User Data\Default DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt. 3. W kwestii: Przy zamkniętym Google Chrome w pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1 Wstaw tam te dwa przekopiowane wcześniej pliki Bookmarks + Bookmarks.bak zastępując pliki aktualnie tam występujące. Uruchom Google Chrome i sprawdź czy przyjęło zakładki. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Trudno tu podać ogólną instrukcją, jeśli skaner antywirusowy tego samodzielnie nie wykrywa. Usuwanie ręczne jest oparte na skryptach FRST kombinujących usuwanie z rejestru i dysku, a te są zawsze budowane w oparciu o konkretny niepowtarzalny log z systemu z danego punktu czasowego. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKU\S-1-5-21-2797469910-1678933392-3196651384-1000\...\Run: [pwo7] => C:\Users\CORTEZ\AppData\Roaming\pwo7\svchost.exe [8164139 2014-10-11] () C:\ProgramData\TEMP C:\Users\CORTEZ\AppData\Roaming\pwo7 S3 VGPU; No ImagePath Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wielokrotne adresy dosearches.com i mysearch.avg.com, przestaw na "Otwórz stronę nowej karty". 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

SpyHunter to program wątpliwej reputacji, z czarnej listy. Z daleka od niego. W systemie nadal są małe szczątki adware oraz odinstalowanego Google Chrome. 1. Przez Dodaj/Usuń programy odinstaluj adware Foxtab, nieszczęsny wątpliwy skaner SpyHunter 4 oraz stare wersje i zbędniki Adobe Flash Player 15 ActiveX, Gadu-Gadu 10, HP Customer Participation Program 7.0, Java™ 6 Update 27. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: BootExecute: autocheck autochk * BootDefrag.exe S0 BootDefragDriver; System32\drivers\BootDefragDriver.sys [X] S3 catchme; \??\C:\DOCUME~1\Grzegorz\USTAWI~1\Temp\catchme.sys [X] R3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] U3 TlntSvr; No ImagePath HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1123561945-1580818891-725345543-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes C:\Documents and Settings\All Users\Menu Start\Programy\FlvPlayer C:\Documents and Settings\Grzegorz\Dane aplikacji\FoxTab C:\Documents and Settings\Grzegorz\Dane aplikacji\Opera Software C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\foxtab_speeddial.crx C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Documents and Settings\NetworkService\Dane aplikacji\FoxTab C:\Program Files\Google\Chrome C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj IE8. Link w przyklejonym: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Niewiele tu już zostało, ale jednak jest co czyścić - jest adware w Operze. Akcje do przeprowadzenia: 1. W Operze CTRL+SHIFT+E i na liście Rozszerzeń odinstaluj adware Cinemax, iWebar. 2. Przez Panel sterowania odinstaluj gpedt.msc 1.0. Działanie pozorowane, nie da się wstawić gpedit na edycjach tego nie obsługujących. Przeczytaj mój komentarz tutaj (a w podlinku jest szczegółowy opis): KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {045FE7F2-8CF9-4DF9-B824-8D379766DC39} - System32\Tasks\{3079D775-01E7-4D1A-A066-6C73EB729E8B} => pcalua.exe -a "C:\Users\daria1\Downloads\CDM v2.12.00 WHQL Certified.exe" -d C:\Users\daria1\Downloads Task: {0B378213-A571-421F-8844-2AEA1AD894AC} - System32\Tasks\QDWVEM => C:\Users\daria1\AppData\Roaming\QDWVEM.exe Task: {41892EF8-896E-4F0F-AE9A-EE483B600B04} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {4D7F08FF-BD02-465C-B851-D86CF52621A9} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton Internet Security\Engine\21.1.0.18\WSCStub.exe Task: {54B16C43-7700-4CBA-BA07-760B631997F0} - System32\Tasks\Inst_Rep => C:\Users\daria1\AppData\Local\Installer\Install_7967\DCytdieamo_amodc_setup.exe [2015-01-26] () Task: {9F006367-734C-4969-A181-D0E4E1344908} - System32\Tasks\Norton Internet Security\Norton Error Processor => C:\Program Files (x86)\Norton Internet Security\Engine\21.1.0.18\SymErr.exe Task: {AC3CCE51-E85F-46D8-A9B6-FE4F8E6C701C} - System32\Tasks\{01B2E54B-F654-4981-B799-7D6AB13C3EBE} => pcalua.exe -a "C:\Users\daria1\Downloads\CDM v2.12.00 WHQL Certified (1).exe" -d C:\Users\daria1\Downloads Task: {C5EEA6B8-ED3C-49A4-9F68-AB3AD56D2C9C} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {ED82E5F8-3ECE-40A2-9843-5ED1A76D1C48} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Internet Security\Engine\21.1.0.18\SymErr.exe Task: {EFB1E031-2818-4CAA-81B6-14705F5018F3} - \SPBIW_UpdateTask_Time_323635393433333037302d7837235a576c4a3241345041 No Task File Task: C:\WINDOWS\Tasks\QDWVEM.job => C:\Users\daria1\AppData\Roaming\QDWVEM.exe S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File BHO: Cinemax -> {11111111-1111-1111-1111-110711011101} -> C:\Program Files (x86)\Cinemax\Cinemax-bho64.dll No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-2870285692-4238083046-3277192755-1001\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-21-2870285692-4238083046-3277192755-1001\...\Policies\Explorer: [NofolderOptions] 0 C:\ProgramData\Temp C:\Users\daria1\AppData\Local\CrashDumps C:\Users\daria1\AppData\Roaming\QDWVEM C:\Users\daria1\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\daria1\Desktop\dk\pcmscan.exe — skrót.lnk C:\Users\Public\Documents\ShopperPro C:\Windows\System32\Tasks\Norton Internet Security Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\daria1\AppData\Local CMD: dir /a C:\Users\daria1\AppData\LocalLow CMD: dir /a C:\Users\daria1\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (by było wiadome co nim usuwałeś wcześniej).

Jeśli chodzi o "niejasne okoliczności", to conajmniej jedna grupa adware weszła z tego lewego instalatora: 2015-01-25 23:20 - 2015-01-25 23:20 - 00065472 _____ () C:\Users\win7\Downloads\FLVPlayer-FF.exe Akcje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-01-25] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-01-25] (globalUpdate) [File not signed] R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [464384 2015-01-25] (SysTool PasSame LIMITED) [File not signed] S3 ose64; "C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE" [X] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] Task: {1ADF0A09-1B0C-4C8C-BB96-DFECE1D35489} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-01-25] (globalUpdate) Task: {250A0613-3670-4117-9016-40C3402D1ECB} - System32\Tasks\{75882F08-92C7-4CDF-B4BB-F3684C95289D} => pcalua.exe -a C:\Users\win7\AppData\Local\Temp\Temp1_ga1031_pcl6_v249_Vista_64bit_pl.zip\2K&XP&Vista_64bit\Disk1\setup.exe Task: {52F30E3D-DA04-469E-9DC4-E6460020F8F9} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-01-25] (globalUpdate) Task: {73B97580-A808-4773-AEFC-B878C360DC05} - System32\Tasks\{C47902CD-2327-4E71-B422-E4661ED5E86D} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{EE171732-BEB4-4576-887D-CB62727F01CA}\setup.exe" -c -runfromtemp -l0x415 -removeonly Task: {8DF9F217-440B-4021-88B4-761929EA0796} - System32\Tasks\IEBUZ => C:\Users\win7\AppData\Roaming\IEBUZ.exe [2015-01-25] (joep) Task: {DCAF96F9-5A59-4E4B-B66D-E485DBD3D724} - System32\Tasks\KVKOP => C:\Users\win7\AppData\Roaming\KVKOP.exe [2015-01-25] (joep) Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\IEBUZ.job => C:\Users\win7\AppData\Roaming\IEBUZ.exe Task: C:\Windows\Tasks\KVKOP.job => C:\Users\win7\AppData\Roaming\KVKOP.exe IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKU\S-1-5-21-2904449942-2374099523-1852780327-1001\...\Run: [speedUpMyComputer] => C:\Program Files (x86)\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as HKLM\...\Run: [bCSSync] => "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices Startup: C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AQQUpdate.lnk ShortcutWithArgument: C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 ShortcutWithArgument: C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 ShortcutWithArgument: C:\Users\win7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 ShortcutWithArgument: C:\Users\win7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&q={searchTerms} HKU\S-1-5-21-2904449942-2374099523-1852780327-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 HKU\S-1-5-21-2904449942-2374099523-1852780327-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422224643&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&q={searchTerms} SearchScopes: HKLM-x32 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW SearchScopes: HKU\S-1-5-21-2904449942-2374099523-1852780327-1001 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&ts=1422224707&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2904449942-2374099523-1852780327-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&ts=1422224707&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2904449942-2374099523-1852780327-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&ts=1422224707&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2904449942-2374099523-1852780327-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&ts=1422224707&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2904449942-2374099523-1852780327-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&ts=1422224707&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2904449942-2374099523-1852780327-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=WDCXWD3200BEVT-22ZCT0_WD-WX50A89V9980V9980&ts=1422224707&type=default&q={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll No File Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\Mozilla C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Maxis C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims C:\Users\win7\AppData\Local\globalUpdate C:\Users\win7\AppData\Local\Mozilla C:\Users\win7\AppData\Roaming\Mozilla C:\Users\win7\AppData\Roaming\IEBUZ C:\Users\win7\AppData\Roaming\IEBUZ.exe C:\Users\win7\AppData\Roaming\KVKOP C:\Users\win7\AppData\Roaming\KVKOP.exe C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AppsHat C:\Users\win7\Downloads\FLVPlayer-FF.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Na razie z Twojego rejestru nic nie wynika. Nadal szukam. Tu jest podejrzenie, że uszkodzenie może być różnież na dysku, bo zawartość folderu Windows Defender wygląda niepokojąco i wskazuje na szyfrowanie danych. Niestety brak jakichkolwiek punktów Przywracania systemu i nie jest wykluczone, że skończy się na reinstalacji. Mam pytanie: czy jest jakikolwiek log AdwCleaner w folderze C:\AdwCleaner który by pokazał co on usuwał? Jeśli są raporty, to je doczep. Tu nie ma problemu, już masz to tak ustawione. Konfiguracja usługi RpcSs jest poprawna, nic jej nie brakuje, ani nic nie jest zmodyfikowane, uprawnienia też są w porządku. Taki czarny ekran przy logowaniu tworzy cała masa usterek. To co wyszukałeś to tylko jedna z wielu możliwości. I mam przecież cały Twój rejestr (pliki SYSTEM, SOFTWARE, NTUSER.DAT i kilka innych), kopię którą utworzył FRST: I tu także nic nie brakuje. HKEY_LOCAL_MACHINE\SYSTEM to nie jest klucz Twojego Windowsa tylko klucz środowiska RE z płyty. Rejestr Windows nie jest automatycznie podmontowany w tym środowisku. Dopiero ręczne ładowanie pliku C:\Windows\system32\config\SYSTEM ujawnia część (tylko SYSTEM) co jest w rejestrze Twojego Windows. W tej kwestii: CurrentControlSet jest widoczne tylko i wyłącznie spod działającego Windows. W środowisku zewnętrznym nie ma w ogóle CurrentControlSet, gdyż jest to tylko link symboliczny do jednego z kluczy ControlSet00x. Kluczy ControlSet00x jest kilka, gdyż jeden z nich to bieżąca konfiguracja, drugi to Ostatnia poprawna konfiguracja wywoływana z F8, a reszta to kopie typu "Failed" (niepoprawne). W normalnych okolicznościach jest ControlSet001 (bieżąca konfiguracja) i ControlSet002 (Ostatnia poprawna konfiguracja). W przypadku problemów startowych klucze się mnożą, a biężąca konfiguracja jest "przesuwana" do coraz to nowszych numerów. Jedyna konfiguracja, która ma znaczenie i którą należy ewentualnie edytować, to konfiguracja bieżąca. Ostatnia poprawna i tak zostanie zastąpiona przy pierwszym pomyślnym bootowaniu, a Failed są bez znaczenia. Na początku log z FRST zawiadamiał, że bieżącą konfiguracją jest ControlSet003: The current controlset is ControlSet003 Skoro już widzisz ControlSet004, to układ się ponownie zmienił. .