picasso

Wszystko zrobione. W zakresie czyszczenia finiszujemy. Poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDWFP => ""="Driver" HKLM-x32\...\Run: [EaseUS EPM tray] => C:\Program Files (x86)\EaseUS\EaseUS Partition Master 10.2\bin\EpmNews.exe CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-01-08] C:\Program Files (x86)\EaseUS C:\Users\Public\Pokki C:\Users\Przemek\AppData\Local\Pokki C:\WINDOWS\system32\VisualDiscoveryOff.ini C:\WINDOWS\SysWOW64\VisualDiscovery.ini C:\WINDOWS\SysWOW64\VisualDiscoveryOff.ini Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz log z folderu C:\AdwCleaner. Czy sprawdzałeś najprostszy trik, tzn. prawoklik na Pulpit > Odśwież w menu kontektowym?

Brakuje pliku FRST Shortcut. Obiektów adware jest tu spora ilość. Ale spowolnienie może być z innej przyczyny, np. z winy antywirusa. Działania wstępne: 1. Przez Panel sterowania odinstaluj: - Adware: FoxTab FLV Player, FoxTab Music Converter, Internet Explorer Toolbar 4.6 by SweetPacks, LiveVDO plugin 1.3, PDF Writer Packages, RewardsArcade, Update for PDF Writer, weBsave, YoutubeAdblocker. - Stare wersje (w tym crackowane) i zbędniki: Acrobat.com, Adobe AIR, Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, AVG 2014, AVG PC TuneUp 10.0.0.27 PreCracked, AVG SafeGuard toolbar, Java 7 Update 71, Java™ 6 Update 35. - Zintegrowane firmowe aplikacje (jeśli nie korzystasz): Acer GameZone Console (i wszystkie gry Oberon), Acer Registration, Acer Updater, CyberLink PowerDVD 9, Identity Card, MyWinLocker Suite, Norton Online Backup. 2. Pobierz najnowszą wersję FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKU\S-1-5-21-905848300-39378253-2338670776-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=B6054C0F6E10A720&affID=119357&tt=080913_ctrl&tsp=5000 HKU\S-1-5-21-905848300-39378253-2338670776-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0415&m=aspire_5736z&r=27361110f235l0424z155v47524269 HKU\S-1-5-21-905848300-39378253-2338670776-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-905848300-39378253-2338670776-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-905848300-39378253-2338670776-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKLM-x32 -> DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={12113390-2E4B-4415-89D1-74DB9DE622BF} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKLM-x32 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={12113390-2E4B-4415-89D1-74DB9DE622BF} SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={FB4215A1-B731-4501-A2D6-AD1838594A26}&mid=8bd0cd6fdd0d47d0af0f59e75b65a113-bc3ae82cd2758b5f87515caab2e724511db09901&lang=pl&ds=gm011&coid=avgtbdisgm&cmpid=&pr=sa&d=2014-02-16 19:20:35&v=18.1.9.799&pid=safeguard&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=2&src=sp&cf=050f35f6-dd55-11e1-88a8-88ae1d8148e0&q={searchTerms} SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.golsearch.com/?q={searchTerms}&babsrc=SP_ss_Btisdt6&mntrId=B6054C0F6E10A720&affID=119357&tt=080913_ctrl&tsp=5000 SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {6FC41EDD-4B02-4442-AA2B-B635C036EFAA} URL = http://www.bing.com/search?FORM=WLETDF&PC=WLEM&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={FB4215A1-B731-4501-A2D6-AD1838594A26}&mid=8bd0cd6fdd0d47d0af0f59e75b65a113-bc3ae82cd2758b5f87515caab2e724511db09901&lang=pl&ds=gm011&coid=avgtbdisgm&cmpid=&pr=sa&d=2014-02-16 19:20:35&v=18.1.9.799&pid=safeguard&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {AE0883A7-7BCD-4BCE-A0D4-F06B92B62D40} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=EA2EB7E7-163D-474D-89C6-80D2D89736C0&apn_sauid=9CBB111D-F6A6-49BA-8435-F866CD561E14 SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&st=17&q={searchTerms}&barid={12113390-2E4B-4415-89D1-74DB9DE622BF} BHO-x32: MediaBar -> {0974BA1E-64EC-11DE-B2A5-E43756D89593} -> C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll No File BHO-x32: RewardsArcade -> {597A9974-8CB0-4f41-B61F-ED065738A397} -> C:\Program Files (x86)\RewardsArcade\RewardsArcade.dll (215 Apps) BHO-x32: IE5BarLauncherBHO Class -> {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} -> C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll No File BHO-x32: SweetPacks Browser Helper -> {EEE6C35C-6118-11DC-9C72-001320C79847} -> C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM-x32 - MediaBar - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll No File Toolbar: HKLM-x32 - StartSearchToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll No File Toolbar: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> No Name - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No File Toolbar: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\safeguard-secure-search.xml FF HKLM-x32\...\Firefox\Extensions: [crossriderapp498@crossrider.com] - C:\Users\Karolina\AppData\Local\RewardsArcade\498\Firefox FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG SafeGuard toolbar\FireFoxExt\18.1.9.799 CHR HKLM\...\Chrome\Extension: [khongjfjjmklggionajlpjcpmnppdace] - C:\Users\Karolina\AppData\Local\BargainJoy.crx [2013-09-12] CHR HKU\S-1-5-21-905848300-39378253-2338670776-1000\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files (x86)\DealPly\DealPly.crx [Not Found] CHR HKU\S-1-5-21-905848300-39378253-2338670776-1000\...\Chrome\Extension: [khongjfjjmklggionajlpjcpmnppdace] - C:\Users\Karolina\AppData\Local\BargainJoy.crx [2013-09-12] CHR HKLM-x32\...\Chrome\Extension: [dcmagccbogebndpoodhhhafmofelpffh] - C:\Users\Karolina\AppData\Local\RewardsArcade\498\Chrome\rewardsarcade.crx [2011-11-04] CHR HKLM-x32\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files (x86)\DealPly\DealPly.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Karolina\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [2012-06-14] CHR HKLM-x32\...\Chrome\Extension: [khongjfjjmklggionajlpjcpmnppdace] - C:\Users\Karolina\AppData\Local\BargainJoy.crx [2013-09-12] CHR HKLM-x32\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files (x86)\StartSearch plugin\vshareplg.crx [2011-10-27] Task: {0CCA079F-1668-41BB-B8C9-30E9B395400F} - System32\Tasks\{46797E31-69B5-4EEE-8AB7-E7A250FCA824} => C:\Users\Karolina\Downloads\Photoshop_CS2_tryout\Photoshop CS2\Setup.exe Task: {3F04A133-AB9C-4D28-BF12-A244AE1C3626} - System32\Tasks\{B18BF057-A4BC-4512-97A2-CB3306BAE6AB} => C:\Users\Karolina\Downloads\Photoshop_CS2_tryout\Photoshop CS2\Setup.exe Task: {44123C41-5CE7-4687-91D2-6A0942312E47} - System32\Tasks\DealPly => C:\Users\Karolina\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE Task: {8FE1B1C3-5297-424C-9BDD-29E0A74A7DA1} - System32\Tasks\{2BB855C5-D278-4C41-A04D-5A794105E36A} => pcalua.exe -a "C:\Users\Karolina\Desktop\z kompa\upc_webstar_2000_series_usb_drvrs_v.3.2.3222\UNDPX2K.EXE" -d "C:\Users\Karolina\Desktop\z kompa\upc_webstar_2000_series_usb_drvrs_v.3.2.3222" Task: {C59DBBD7-9AA4-4271-B186-B3804E0CE99F} - System32\Tasks\DSite => C:\Users\Karolina\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: {F84ABE94-6118-480C-8C2C-A6E84BE4EEF7} - \DealPlyUpdate No Task File Task: C:\Windows\Tasks\DSite.job => C:\Users\Karolina\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE S3 UNDPR3K; \??\C:\Windows\system32\drivers\UNDPR3K.SYS [X] S3 UNDPX2A; \??\C:\Windows\system32\drivers\UNDPX2A.SYS [X] S3 UNDPX2K; \??\C:\Windows\system32\drivers\UNDPX2K.SYS [X] C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Mozilla Firefoxsafeguard-secure-search.xml C:\Program Files (x86)\RewardsArcade C:\Program Files (x86)\StartSearch plugin C:\ProgramData\whlb32g.dll C:\ProgramData\Temp C:\Users\Karolina\AppData\Local\{*} C:\Users\Karolina\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Karolina\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Karolina\AppData\Local\RewardsArcade C:\Users\Karolina\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2Z C:\Users\Karolina\AppData\Roaming\AVG C:\Users\Karolina\AppData\Roaming\Babylon C:\Users\Karolina\AppData\Roaming\DealPly C:\Users\Karolina\AppData\Roaming\DigitalSites C:\Users\Karolina\AppData\Roaming\DSite C:\Users\Karolina\AppData\Roaming\Gadu-Gadu 10 C:\Users\Karolina\AppData\Roaming\OpenCandy C:\Users\Karolina\AppData\Roaming\OpenFM C:\Users\Karolina\AppData\Roaming\PerformerSoft C:\Users\Karolina\AppData\Roaming\Tlen.pl Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealPly /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Karolina\AppData\Local CMD: dir /a C:\Users\Karolina\AppData\LocalLow CMD: dir /a C:\Users\Karolina\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome ze śmieci: Ustawienia > karta Rozszerzenia > odinstaluj avast! WebRep, AVG SafeGuard, BargainJoy, LiveVDO plugin, RewardsArcade, SweetIM for Facebook (części może nie być po w/w deinstalacjach). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

Oznak czynnej infekcji brak, temat przenoszę do działu Windows. GMER niewiarygodny, robiony przy aktywnym sterowniku DAEMON Tools: R3 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283064 2014-05-04] (Disc Soft Ltd) Jeśli chodzi o Google Chrome, to w raporcie FRST widać tylko jakieś podejrzane blokady na poziomie Zasad grup, które będę usuwać. Dodatkowo możesz sprawdzić czy coś da odfajkowanie następującej opcji w Chrome: Ustawienia > Pokaż ustawienia zaawansowane > Prywatność > Przewiduj działania w sieci, aby przyśpieszyć ładowanie stron. Druga sprawa: masa obiektów w standardowych lokalizacjach ma atrybut C (Compressed). Przykładowy odczyt, ale większość w wycinkowym raporcie jest tak zaprawiona (w tym katalog Chrome): 2015-01-17 21:28 - 2013-05-17 19:20 - 00000000 ___DC () C:\Users\SDRG\AppData\Roaming\uTorrent 2015-01-17 21:24 - 2014-04-28 18:35 - 00000000 ___DC () C:\Users\SDRG\AppData\Roaming\IObit 2015-01-17 21:19 - 2014-04-28 18:36 - 00000000 ___DC () C:\ProgramData\ProductData 2015-01-17 21:07 - 2014-11-19 14:40 - 00000000 ___DC () C:\Users\SDRG\AppData\Roaming\ViberPC 2015-01-17 21:06 - 2014-11-19 14:38 - 00000000 ___DC () C:\Users\SDRG\AppData\Local\Viber 2015-01-17 21:05 - 2009-07-14 06:08 - 00000006 ___HC () C:\Windows\Tasks\SA.DAT 2015-01-17 20:24 - 2009-07-14 05:45 - 00010336 ___HC () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2015-01-17 20:24 - 2009-07-14 05:45 - 00010336 ___HC () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 Czy aby przypadkiem nie skompresowałeś całego dysku / globalnie istotnych lokalizacji? Kompresja globalna dysku systemowego może spowodować dłuższy dostęp do obiektów. Nie powinno się jej robić na komponentach aktywnych... Nie polecam żadnych produktów IObit ze względu na mętną reputację producenta. Grzechy na sumieniu: kradzież bazy MBAM w przeszłości, adware w instalatorach, podejrzane związki partnerskie. Więcej: KLIK. Na razie usuń polityki Google oraz przy okazji inne puste wpisy. Wątpię, by były jakieś zmiany. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: type C:\Windows\system32\GroupPolicy\Machine\Registry.pol GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ProxyServer: [s-1-5-21-2151658333-1173139235-3204586576-1001] => localhost:8080 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = StartMenuInternet: IEXPLORE.EXE - iexplore.exe ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin-x32: adobe.com/AdobeExManDetect -> C:\Program Files (x86)\Adobe\Adobe Extension Manager CS6\npAdobeExManDetectX86.dll No File Task: {B4C00ED3-8E10-4F64-8808-0F8A6E221ECA} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe S2 HPSLPSVC; C:\Users\SDRG\AppData\Local\Temp\7zS1AF7\hpslpsvc64.dll [X] S3 WinRing0_1_2_0; No ImagePath S3 xhunter1; No ImagePath S3 clwvd; system32\DRIVERS\clwvd.sys [X] S3 clwvd6; system32\DRIVERS\clwvd6.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\11306245.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\11306245.sys => ""="Driver" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się co się dzieje.

Log z FRST Addition jest urwany. Nadal nie dostarczyłeś trzeciego pliku FRST Shortcut. Zastosowanie ComboFix było tu zupełnie zbędne. Temat pod właściwszym tytułem przenoszę do działu Windows. Brak oznak infekcji. Podanie logów bez opisu problemu jest niepełnym zadaniem, gdyż logi są baaaardzo ograniczone do określonych aspektów. Opis pomaga koncentrować uwagę na określonych rzeczach i skierować do diagnostyki zupełniew innego rodzaju niż "logi". Pierwszy podejrzany to inwazyjny majdan McAfee Total Protection + McAfee SiteAdvisor. Na próbę odinstaluj oba programy i sprawdź czy ma to jakieś pozytywne skutki. Druga sprawa, sprawdź czy system możesz zaktualizować do wersji Windows 8.1: KLIK. Platform: Windows 8 (X64) OS Language: Polski (Polska) Internet Explorer Version 10 (Default browser: IE) Folder C:\RecoveryLog wygląda na związany z procesem Recovery producenta. Otwórz pliki tekstowe zlokalizowane w tym folderze i przeklej co w nich jest. Nie ma żadnych raportów z owych laptopów, więc nie można stwierdzić jakie są cechy wspólne i porównać z tu widzianym systemem.

Są tu owszem szczątki adware (w tle uruchomiony proces WindowsMangerProtect), ale mam wątpliwości czy to powiązane z opisywanym problemem. Niemniej usuń i zobaczymy co to da. Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [464384 2015-01-17] (SysTool PasSame LIMITED) [File not signed] S1 ccnfd_1_10_0_6; system32\drivers\ccnfd_1_10_0_6.sys [X] S3 MSICDSetup; \??\G:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\G:\NTIOLib_X64.sys [X] CHR StartupUrls: Default -> "hxxp://myhome.vi-view.com/?type=hp&ts=1421534747&from=cor&uid=ST500DM002-1BD142_Z3TRA7MMXXXXZ3TRA7MM" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://myhome.vi-view.com/web/?type=ds&ts=1421534747&from=cor&uid=ST500DM002-1BD142_Z3TRA7MMXXXXZ3TRA7MM&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://myhome.vi-view.com/web/?type=ds&ts=1421534747&from=cor&uid=ST500DM002-1BD142_Z3TRA7MMXXXXZ3TRA7MM&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-806157391-4031164684-680537714-1000\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-806157391-4031164684-680537714-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-806157391-4031164684-680537714-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-806157391-4031164684-680537714-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-806157391-4031164684-680537714-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://myhome.vi-view.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500DM002-1BD142_Z3TRA7MMXXXXZ3TRA7MM&ts=1421534795&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-806157391-4031164684-680537714-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://myhome.vi-view.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500DM002-1BD142_Z3TRA7MMXXXXZ3TRA7MM&ts=1421534795&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-806157391-4031164684-680537714-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://myhome.vi-view.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500DM002-1BD142_Z3TRA7MMXXXXZ3TRA7MM&ts=1421534795&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-806157391-4031164684-680537714-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\Users\Robert\AppData\Roaming\vi-view C:\Users\Robert\Documents\PC Speed Maximizer EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz zmiany.

Nie odpowiedziałeś mi na pytanie:

Zero danych. Proszę dostosuj się do zasad działu i dostarcz obowiązkowe logi: KLIK.

Z adware postępuje się w następujący sposób: - najpierw sprawdzasz listę zainstalowanych programów i deinstalujesz podejrzane / nieznane / świeżo dodane programy - następnie sprawdzasz menedżery rozszerzeń i ustawienia przeglądarek pod tym samym kątem - na końcu skany automatyczne (AdwCleaner, MBAM i antywirusy) vs. W tym samym Fixie FRST wydrukowałam zawartość raportu z usuwania właściwego (wszystko już jest wiadome) oraz skasowałam z dysku folder AdwCleaner. Wszystko zrobione. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

W systemie jest malware udające "sprawdzanie kompatybilności". Obiekt generuje liczne błędy w Dzienniku zdarzeń. R2 Verifies and fixes application compatibility issues; C:\Users\User\AppData\Roaming\Compatibility Verifier\compatibilitychecksvc.exe [87208 2014-12-31] () Application errors: ================== Error: (01/15/2015 06:09:38 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: compatibilitycheck.exe, wersja: 0.0.0.0, sygnatura czasowa: 0x54a77347 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.3.9600.17278, sygnatura czasowa: 0x53eeb460 Kod wyjątku: 0x40010006 Przesunięcie błędu: 0x00012f71 Identyfikator procesu powodującego błąd: 0x858 Godzina uruchomienia aplikacji powodującej błąd: 0xcompatibilitycheck.exe0 Ścieżka aplikacji powodującej błąd: compatibilitycheck.exe1 Ścieżka modułu powodującego błąd: compatibilitycheck.exe2 Identyfikator raportu: compatibilitycheck.exe3 Pełna nazwa pakietu powodującego błąd: compatibilitycheck.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: compatibilitycheck.exe5 Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Verifies and fixes application compatibility issues; C:\Users\User\AppData\Roaming\Compatibility Verifier\compatibilitychecksvc.exe [87208 2014-12-31] () HKLM-x32\...\Run: [mbot_gb_145] => [X] HKU\S-1-5-21-2861025251-1746614414-2761470792-1001\...\RunOnce: [Adobe Speed Launcher] => 1421339581 HKU\S-1-5-21-2861025251-1746614414-2761470792-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:56892;https=127.0.0.1:56892 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Toolbar: HKU\S-1-5-21-2861025251-1746614414-2761470792-1001 -> No Name - {4B4D5056-372D-5350-00A7-7A786E7484D7} - No File C:\Program Files\C76D26E8-6482-46EB-9CFD-364D4E20F8C1 C:\ProgramData\Informer Technologies, Inc C:\Users\User\AppData\Local\CrashDumps C:\Users\User\AppData\Local\Google C:\Users\User\AppData\Roaming\Compatibility Verifier C:\Users\User\Desktop\Continue installation .lnk C:\Users\User\Downloads\*(*)-dp*.exe C:\Users\User\Downloads\Setup*.exe C:\Users\User\Downloads\siinst.exe Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz pozytywne zmiany.

Nazwy logów FRST wskazują, że je wyciągasz z folderu C:\FRST\Logs - to jest archiwum. Bieżący log jest zawsze tam skąd uruchamiano proram. Tu problem w tym, że był startowany z tymczasowych plików Opery: Running from C:\Users\ANDRZEJ\AppData\Local\Opera\Opera\temporary_downloads W systemie jest niewiarygodny śmietnik. Sprawa główna to katastrofa z ilością sterowników oprogramowania zabezpieczającego: ArcaBit, Norton, McAfee. Na dodatek wątpliwy YAC - to nie jest wiarygodny program, podejrzane zachowania. Skomasowanie sterowników to prawdopodobna przyczyna problemów. Oprócz tego jest i adware. Działania wstępne: AKCJE Z POZIOMU TRYBU AWARYJNEGO: 1. Zastosuj McAfee Consumer Products Removal tool. 2. Pobierz FRST ponownie i zapisz na Pulpicie. Otwórz Notatnik i wklej w nim: CloseProcesses: DisableService: BHDrvx86 DisableService: eeCtrl DisableService: EraserUtilRebootDrv DisableService: IDSVix86 DisableService: iSafeKrnl DisableService: iSafeKrnlBoot DisableService: iSafeKrnlKit DisableService: iSafeKrnlMon DisableService: iSafeKrnlR3 DisableService: iSafeNetFilter DisableService: iSafeService DisableService: N360 DisableService: NAVENG DisableService: NAVEX15 DisableService: SRTSP DisableService: SRTSPX DisableService: SymDS DisableService: SymEFA DisableService: SymEvent DisableService: SymIRON DisableService: SymNetS R1 {ed7eb956-75ed-460d-8f69-29a93b07afd1}w; C:\Windows\System32\drivers\{ed7eb956-75ed-460d-8f69-29a93b07afd1}w.sys [52928 2014-07-10] (StdLib) S2 winzipersvc; C:\Program Files\WinZipper\winzipersvc.exe [425136 2014-11-26] (Taiwan Shui Mu Chih Ching Technology Limited.) S2 wpennybeed; C:\ProgramData\pennybee\wpennybeed.exe [240128 2014-06-24] (Penny Bee Agent) [File not signed] S1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw; system32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw.sys [X] S3 cpuz136; \??\C:\Users\ANDRZEJ\AppData\Local\Temp\cpuz136\cpuz136_x32.sys [X] Task: {0813F08A-30A3-4F6B-875C-33FCEC719F58} - System32\Tasks\{16B5C9B9-89A8-48E0-B288-F424EBAC23BC} => pcalua.exe -a "C:\Program Files\TheTorntv V10\Uninstall.exe" -c /fcp=1 Task: {1F767064-852D-4793-821B-0F4ADA8D16C8} - System32\Tasks\DealPly => C:\Users\ANDRZEJ\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE Task: {29EAAB03-E478-4280-A2F1-AFC6B5263302} - System32\Tasks\QtraxPlayer => 213371845.portal.qtrax.com Task: {61B04136-B7C7-457F-B96F-C238D6D7505F} - System32\Tasks\pennybee Runner => C:\PROGRA~2\pennybee\pennybee.exe Task: {64FCD040-5772-42B1-A252-E44C92D4A531} - System32\Tasks\Lyrmix Update => C:\Program Files\Lyrmix\LymxUD.exe Task: {DC779507-6C50-4876-90AF-29F0265125F7} - System32\Tasks\{29201961-1463-40B3-A394-0C3925B5A7CD} => pcalua.exe -a "C:\Program Files\PDF Complete\uninstall.exe" Task: {E6EF3F37-5AA1-4629-85BC-58B78BA12FD1} - System32\Tasks\Symantec\Norton Error Processor 5.2.2.3 => C:\Program Files\Norton 360\Engine\5.2.2.3\SymErr.exe [2012-06-08] (Symantec Corporation) Task: {F50B8551-940F-48FE-9D88-926AA915298E} - System32\Tasks\Symantec\Norton Error Analyzer 5.2.2.3 => C:\Program Files\Norton 360\Engine\5.2.2.3\SymErr.exe [2012-06-08] (Symantec Corporation) Task: {FF339E23-DDEE-437B-ACBE-36C0FE7834C5} - System32\Tasks\Tempo Runner => C:\PROGRA~2\pennybee\pennybee.exe Task: C:\Windows\Tasks\Lyrmix Update.job => C:\Program Files\Lyrmix\LymxUD.exe Task: C:\Windows\Tasks\pennybee Runner.job => C:\PROGRA~2\pennybee\pennybee.exe Task: C:\Windows\Tasks\Tempo Runner.job => C:\PROGRA~2\pennybee\pennybee.exe HKLM\...\Run: [NortonOnlineBackupReminder] => C:\Program Files\Symantec\Norton Online Backup\Activation\NobuActivation.exe [600936 2009-06-29] (Symantec Corporation) HKLM\...\Run: [sunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [248040 2010-02-18] (Sun Microsystems, Inc.) HKLM\...\Run: [Adobe Reader Speed Launcher] => C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [37296 2012-03-27] (Adobe Systems Incorporated) HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated) HKU\S-1-5-21-4226905553-3761765020-3972141223-1001\...\Run: [ALLUpdate] => C:\Program Files\ALLPlayer\ALLUpdate.exe [1379840 2011-08-16] () HKU\S-1-5-21-4226905553-3761765020-3972141223-1001\...\Run: [speedUpMyComputer] => C:\Program Files\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as HKU\S-1-5-21-4226905553-3761765020-3972141223-1001\...\Winlogon: [shell] C:\Windows\explorer.exe [2616320 2010-11-20] (Microsoft Corporation) AppInit_DLLs: C:\PROGRA~1\SupTab\SEARCH~1.DLL => C:\PROGRA~1\SupTab\SEARCH~1.DLL File Not Found CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox\Mozilla Firefox (Tryb awaryjny).lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW ShortcutWithArgument: C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW ShortcutWithArgument: C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW ShortcutWithArgument: C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW ShortcutWithArgument: C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW ShortcutWithArgument: C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW ShortcutWithArgument: C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW&q={searchTerms} HKU\S-1-5-21-4226905553-3761765020-3972141223-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW HKU\S-1-5-21-4226905553-3761765020-3972141223-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW HKU\S-1-5-21-4226905553-3761765020-3972141223-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW&q={searchTerms} HKU\S-1-5-21-4226905553-3761765020-3972141223-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW&q={searchTerms} URLSearchHook: HKU\S-1-5-21-4226905553-3761765020-3972141223-1001 - UsProvider Class - {539F76FD-084E-4858-86D5-62F02F54AE86} - C:\Program Files\Minibar\Minibar.dll (KangoExtensions) SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW&q={searchTerms} SearchScopes: HKU\S-1-5-21-4226905553-3761765020-3972141223-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW&q={searchTerms} SearchScopes: HKU\S-1-5-21-4226905553-3761765020-3972141223-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119357&tt=300513_new&babsrc=SP_ss&mntrId=E44840618635751F SearchScopes: HKU\S-1-5-21-4226905553-3761765020-3972141223-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW&q={searchTerms} SearchScopes: HKU\S-1-5-21-4226905553-3761765020-3972141223-1001 -> {8961C830-6607-4568-A11D-2DC1B1ED1490} URL = http://startsear.ch/?aff=2&src=sp&cf=4c8071e5-6ed5-11e1-a66c-40618635751f&q={searchTerms} SearchScopes: HKU\S-1-5-21-4226905553-3761765020-3972141223-1001 -> {90C99298-F9A8-4D27-A999-4704F12A8027} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=302398&p={searchTerms} BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\SupTab\SupTab.dll No File BHO: IE5BarLauncherBHO Class -> {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} -> C:\Program Files\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.) BHO: MinibarBHO -> {AA74D58F-ACD0-450D-A85E-6C04B171C044} -> C:\Program Files\Minibar\Minibar.dll (KangoExtensions) Toolbar: HKLM - No Name - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No File Toolbar: HKLM - StartSearchToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.) Toolbar: HKU\S-1-5-21-4226905553-3761765020-3972141223-1001 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKU\S-1-5-21-4226905553-3761765020-3972141223-1001 -> StartSearchToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.) CHR HomePage: Default -> hxxp://www.delta-homes.com/?type=hp&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW CHR StartupUrls: Default -> "hxxp://www.delta-homes.com/?type=hp&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW" CHR DefaultSearchKeyword: Default -> delta-homes CHR HKLM\...\Chrome\Extension: [bpeeepmahhfjiediknjejcmcfmjcjdck] - C:\Program Files\Google\Chrome\User Data\Default\Extensions\serach.crx [Not Found] CHR HKLM\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonChrome.crx [Not Found] CHR HKLM\...\Chrome\Extension: [dkdkpmmkgdbglmfmmmmehbkmnkopingb] - C:\Program Files\Google\Chrome\User Data\Default\Extensions\v9-toolbar.crx [Not Found] CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\ANDRZEJ\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-17] CHR HKLM\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files\StartSearch plugin\vshareplg.crx [2011-10-27] FF HKLM\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\ANDRZEJ\AppData\Roaming\Mozilla\Firefox\Profiles\it22xbtg.default\extensions\faststartff@gmail.com FF HKLM\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\ANDRZEJ\AppData\Roaming\Mozilla\Firefox\Profiles\it22xbtg.default\extensions\detgdp@gmail.com FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File C:\Program Files\Mozilla Firefox\plugins C:\Program Files\FoxTabFlvPlayer C:\Program Files\SupTab C:\ProgramData\pennybee C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\µTorrent.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Uninstall Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LOL Recorder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\My application C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\ANDRZEJ\AppData\Local\{*} C:\Users\ANDRZEJ\AppData\Local\*.txt C:\Users\ANDRZEJ\AppData\Local\CrashDumps C:\Users\ANDRZEJ\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\ANDRZEJ\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\ANDRZEJ\AppData\Local\NuGet C:\Users\ANDRZEJ\AppData\Roaming\dgfdgsdf.bat C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\StormFall.lnk C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ThinkPoint.lnk C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AppsHat\AppsHat.lnk C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StormFall C:\Users\ANDRZEJ\AppData\Roaming\NuGet C:\Users\ANDRZEJ\Desktop\PROGRAMY\ALLConverter PRO.lnk C:\Users\ANDRZEJ\Desktop\PROGRAMY\DAEMON Tools Lite.lnk C:\Users\ANDRZEJ\Desktop\PROGRAMY\LogMeIn Hamachi.lnk C:\Users\ANDRZEJ\Desktop\PROGRAMY\Norton 360.lnk C:\Users\ANDRZEJ\Desktop\PROGRAMY\TuneUp Konserwacja 1 kliknięciem.lnk C:\Users\ANDRZEJ\Desktop\PROGRAMY\TuneUp Utilities 2013.lnk C:\Users\ANDRZEJ\Desktop\PROGRAMY\WinZip.lnk C:\Users\ANDRZEJ\Desktop\PROGRAMY\µTorrent.lnk C:\Windows\System32\%LOCALAPPDATA% C:\Windows\System32\drivers\{ed7eb956-75ed-460d-8f69-29a93b07afd1}w.sys C:\Windows\System32\Tasks\Symantec CMD: regsvr32 /u /s "C:\Program Files\Minibar\Minibar.dll" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. AKCJE Z POZIOMU TRYBU NORMALNEGO: 1. Przez Panel sterowania odinstaluj: - Aware i PUP: AppsHat Mobile Apps, Bundled software uninstaller, FilesFrog Update Checker, LiveVDO plugin 1.3, WinZipper, YAC(Yet Another Cleaner!). - Stare wersje: Adobe Reader 9.5.1 - Polish, Java™ 6 Update 20, Mozilla Firefox (3.6.28), Mozilla Thunderbird (3.1.9), Norton 360, Norton Online Backup, OpenOffice.ux.pl 3.3, Opera 12.16. Przy deinstalacji Firefox zaznacz opcję usuwania danych użytkownika. 2. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj adware LiveVDO plugin, Quick start, Security Protection. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut. Dołącz też plik fixlog.txt.

Folder Pobrane nie jest poprawnie zdefiniowany. Korekta: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "{374DE290-123F-4565-9164-39C4925E467B}"="C:\\Users\\Alexis\\Downloads" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "{374DE290-123F-4565-9164-39C4925E467B}"=hex(2):25,00,55,00,53,00,45,00,52,00,\ 50,00,52,00,4f,00,46,00,49,00,4c,00,45,00,25,00,5c,00,44,00,6f,00,77,00,6e,\ 00,6c,00,6f,00,61,00,64,00,73,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Zresetuj system. Windows powinien wygenerować katalog w poprawnym miejscu, tzn: C:\Users\Alexis\Downloads. Stary folder C:\Users\Alexis\Application Data do skasowania, przed usunięciem przenieś z niego wszystkie pliki w jakieś inne miejsce.

Zadania wykonane. Ostatnia poprawka. Otwórz Notatnik i wklej w nim: CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - d:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2014-11-08] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: D:\Users\dom\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

adam13 Wymagane są świeże logi FRST (FRST.txt + Addition.txt) obrazujące postęp prac. Mam pytanie: czy na pewno po wykonaniu skryptu FRST (załączona komenda ipconfig /flushdns) przekierowania reklamowe nadal występują? lemko20 Zasady działu. Każdy ma mieć osobny temat.

W jakim sensie "nie działa"? Czy wybrałaś z listy połączenie do kanadyjskiego serwera? Jeśli chodzi o Fix FRST, to wykonany. Natomiast AdwCleaner wykrył komponenty Hotspot, ale na razie się tu powstrzymuję z opcją Usuń, gdyż nie wiem czy Hotspot nadal jest zainstalowany. Jeśli tak, to AdwCleaner nie może być uruchomiony bez dostosowania akcji.

To dotyczy wielu programów antymalware / antywirusowych. Nie są nieomylne. 1. Dwie linie się omyłkowo skleiły w skrypcie. Drobniutka poprawka. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Mozilla Firefox\extensions C:\Users\Public\Desktop\Adobe Reader X.lnk Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Następnie skasuj ręcznie pobrany FRST. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. O ile nic się nie zmieniło od ostatniego raportu Addition, do aktualizacji (aspekty wyjaśnione w w/w linku): ==================== Installed Programs ====================== Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.246 - Adobe Systems Incorporated) Adobe Flash Player 16 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 16.0.0.235 - Adobe Systems Incorporated) Adobe Reader XI (11.0.09) (HKLM-x32\...\{AC76BA86-7AD7-1033-7B44-AB0000000001}) (Version: 11.0.09 - Adobe Systems Incorporated) Java 7 Update 71 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F03217071FF}) (Version: 7.0.710 - Oracle) Mozilla Firefox 34.0.5 (x86 pl) (HKLM-x32\...\Mozilla Firefox 34.0.5 (x86 pl)) (Version: 34.0.5 - Mozilla) OpenOffice.org 3.3 (HKLM-x32\...\{EB87675F-5281-4767-A54B-31931794C23D}) (Version: 3.3.9567 - OpenOffice.org) Opera 12.17 (HKLM-x32\...\Opera 12.17.1863) (Version: 12.17.1863 - Opera Software ASA)

Drobna uwaga: nie polecam wyłączać tej funkcji na systemach Vista i nowszych. To cenna funkcja ratunkowa na tych platformach. Nawiasem mówiąc to Przywracanie nie wyglądało na wyłączone, gdyż FRST notował conajmniej jeden punkt Przywracania: ==================== Restore Points ========================= 11-01-2015 19:00:10 Kopia zapasowa systemu Windows Skasuj C:\Delfix.txt. To tyle.

Adware to nie jest podstawowy problem tutaj - w systemie grasuje rootkit Necurs. On ma pierwszeństwo usuwania. Dopiero po tym można zająć się adware. Działania wstępne: 1. Uruchom Kaspersky TDSSKiller. Powinien wykryć Rootkit.Win32.Necurs.gen (dwie pozycje: 1c2a86b7768b5cf3 i syshost32) - dla tych wyników zostaw domyślną akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system. 2. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz log utworzony przez TDSSKiller.

Proszę przeczytaj zasady działu na temat wymaganych logów: KLIK. Przestarzały OTL nie jest już brany pod uwagę i usuwam do niego odnośniki. Obowiązkowe są raporty z FRST - podany niekompletny zestaw, brakuje trzeciego pliku Shortcut - oraz GMER. Uzupełnij brakujące dane. Nie wstawiaj w tagach CODE linków. Preferowana metoda prezentacji: załączniki forum.

Ad "napisałeś" = jestem kobietą. Wszystko wykonane zgodnie z planem. Idziemy dalej, bo w międzyczasie pojawiły się nowe obiekty adware (Super Optimizer + ver3SpeedCheck), są też szczątki innych softów do usunięcia. Wymagane poprawki: 1. Odinstaluj adware SpeedCheck. W międzyczasie doinstalowałeś stary dziurawy Adobe Reader 7.0.5 - Polish (wersja narażająca na infekcje z tzw. wklejek iframe) i on na odstrzał. Pozbądź się też Adobe Shockwave Player 12.1, Apple Software Update, zapomniałam ich poprzednio uwzględnić. 2. Otwórz Notatnik i wklej w nim: S2 22134214; "C:\WINDOWS\system32\rundll32.exe" "c:\Program Files\Super Optimizer\SupOptStats.dll",ENT S2 GDTdiInterceptor; \??\C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [X] HKU\S-1-5-21-1004336348-2025429265-725345543-1003\...\Run: [super Optimizer] => C:\Program Files\Super Optimizer\SupOptLauncher.exe Task: C:\WINDOWS\Tasks\Norton Security Scan for hh.job => ? GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ProxyEnable: [s-1-5-21-1004336348-2025429265-725345543-1003] => Internet Explorer proxy is enabled. ProxyServer: [s-1-5-21-1004336348-2025429265-725345543-1003] => http=127.0.0.1:14154;https=127.0.0.1:14154 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-1004336348-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch URLSearchHook: [s-1-5-21-1004336348-2025429265-725345543-1004] ATTENTION ==> Default URLSearchHook is missing. C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\G Data C:\Documents and Settings\All Users\Dane aplikacji\Norton C:\Documents and Settings\All Users\Kaspersky Lab Setup Files C:\Documents and Settings\hh\Dane aplikacji\gdscan.log C:\Documents and Settings\hh\Dane aplikacji\Opera Software C:\Documents and Settings\hh\Dane aplikacji\rmi C:\Documents and Settings\hh\Moje dokumenty\Shockwave_Installer_*.exe C:\Documents and Settings\hh\Pulpit\,.exe C:\Documents and Settings\hh\Pulpit\Malavida_Download_Manager.exe C:\Documents and Settings\hh\Ustawienia lokalne\Dane aplikacji\nsw23.tmp C:\Documents and Settings\hh\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\hh\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Documents and Settings\hh\Ustawienia lokalne\Dane aplikacji\Super Radio C:\Documents and Settings\hh\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Program Files\Common Files\Symantec Shared C:\Program Files\G DATA C:\Program Files\Google C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Opera C:\Program Files\Safari C:\Program Files\ver3SpeedCheck C:\WINDOWS\0 C:\WINDOWS\system32\0 EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Po tym czyszczeniu: 2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Tu jeszcze nas czeka robota, AVG i Avira nadal są w systemie. Ale w pierwszej kolejności spróbuj odzyskać dane: Czy po rozszerzeniu partycji wcześniej resetowałeś system, czy może był to pierwszy restart w ogóle po operacji z dyskiem? Jeśli nigdy nie resetowałeś systemu po rozszerzeniu partycji, to jest możliwe, że to i tak miało się ujawnić przy resecie. Jak mówię, zajmij się wyszukiwaniem utraconych danych za pomocą TestDisk. Jeszcze dodam, że porównanie dwóch raportów Addition wykazuje, że raptownie zmienił się rozmiar partycji C, tzn. zmniejszyła się ona ze 128.2 GB do 88 GB. Ten brakujący kawałek C został "doklejony" do tej Rozszerzonej (dawne D). Mnie się jednak wydaje, że tu był jakiś błąd w rozszerzeniu partycji, który się nagle ujawnił, gdyż to "przesunięcie" jest niewytłumaczalne w inny logiczny sposób (nie były podejmowane w FRST żadne działania związane z partycjami). ==================== Drives ================================ Drive c: (OS) (Fixed) (Total:128.18 GB) (Free:66.53 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: (DATA) (Fixed) (Total:144.91 GB) (Free:2.09 GB) NTFS ==================== MBR & Partition Table ================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298.1 GB) (Disk ID: B2A0A341) Partition 1: (Not Active) - (Size=25 GB) - (Type=1C) Partition 2: (Active) - (Size=128.2 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=144.9 GB) - (Type=OF Extended) vs. ==================== Drives ================================ Drive c: (OS) (Fixed) (Total:88.03 GB) (Free:27.4 GB) NTFS ==>[Drive with boot components (obtained from BCD)] ==================== MBR & Partition Table ================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298.1 GB) (Disk ID: B2A0A341) Partition 1: (Not Active) - (Size=25 GB) - (Type=1C) Partition 2: (Active) - (Size=88 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=185.1 GB) - (Type=OF Extended)

OK, w związku z tym temat uznaję za zakończony i zamykam.

Post innego użytkownika nie wiadamo co mający oznaczać (tylko cytat mojego posta) usuwam. W kwestii PW: odpisuję w temacie, gdy jestem w stanie (jestem obecna i mam czas). Przypominanie się na PW nie jest potrzebne, nie przeskoczę własnych ograniczeń. Skrypty są jednorazowe i niepowtarzalne. Ponowne użycie skryptu FRST było bez sensu (i tak zresztą z błędem to zrobiłeś przeklejajc tagi BBCode z posta). FRST już zrobił zadanie w poprzednim podejściu, tzn. usunął kwarantannę FRST. Skrypt ten nie ma związku ze sprawą rozwalonych usług. To jest osobny wątek. W związku z tym, że ServicesRepair nie umie zrekonstruować usług, trzeba to zrobić ręcznie: 1. Odbudowa BITS, WinDefend, wscsvc, wuauserv. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS] "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\ 72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\ 63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance] "Library"="bitsperf.dll" "Open"="PerfMon_Open" "Collect"="PerfMon_Collect" "Close"="PerfMon_Close" "InstallType"=dword:00000001 "PerfIniFile"="bitsctrs.ini" "First Counter"=dword:000007d2 "Last Counter"=dword:000007e2 "First Help"=dword:000007d3 "Last Help"=dword:000007e3 "Object List"="2002" "PerfMMFileName"="Global\\MMF_BITS_s" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\ 00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\ 00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\ 00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\ 00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\ 00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\ 00,20,02,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv] "PreshutdownTimeout"=dword:036ee800 "DisplayName"="Windows Update" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%systemroot%\\system32\\wuaueng.dll,-106" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceMain"="WUServiceMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Odbudowa MpsSvc, SharedAccess. Wykonujesz ręczną odbudowę: KLIK. To znaczy import plików REG dla MpsSvc i SharedAccess oraz nałożenie dla tych dwóch usług oryginalnych uprawnień za pomocą SetACL. 3. Restart systemu. Zrób nowy log z Farbar Service Scanner.

Skasuj plik C:\Delfix.txt z dysku. Temat rozwiązany. Zamykam.

Tak te pozycje adware brałam z raportu Addition. Coś tu w międzyczasie się działo, bo zniknęło kilka pozycji i nie widać ich już w nowym Additon. Pozostałości doczyszczę ręcznie. AdwCleaner był używany w trybie usuwania. AdwCleaner to jest program brutalnie usuwający obiekty z dysku i rejestru. Nie prowadzi prawidłowej deinstalacji programów. Stosuje się go już po deinstalacjach, a nie przed, gdyż właśnie ta odwrotna kolejność skutkuje pozostawieniem większej ilości śmieci. Dlatego też mówiłam, iż możliwy skutek uboczny po jego zastosowaniu to odpadkowe niedobrze wyczyszczne wpisy na liście zainstalowanych. AdwCleaner nie jest też wolny od błędów i np. ten niepoprawny skrót IE to zapewne wynik czyszczenia AdwCleaner, który tylko wyczyścił dopisany URL adware i nie przywrócił systemowego argumentu "-extoff". Prosiłam o logi z poprzednich uruchomień AdwCleaner a nie o jego ponowne uruchomienie. Mnie nie chodzi o to, by sprawdzić co on teraz widzi (bo wiem że nic), tylko co on wcześniej usuwał i skąd. Zawartość raportu który mnie interesuje wydrukuję sobie w pliku Fixlog. Poprawki: Otwórz Notatnik i wklej w nim: CMD: type C:\AdwCleaner\AdwCleaner[s0].txt S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File FF Plugin-x32: @java.com/DTPlugin,version=1.6.0_39 -> C:\windows\SysWOW64\npdeployJava1.dll (Sun Microsystems, Inc.) RemoveDirectory: C:\!KillBox RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\Marta\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\Marta\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Marta\Desktop\x8k1mu41.exe Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{AD11DADE-C597-45D9-D8C5-1D2EB0B89613} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.