picasso

Na zakończenie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To tyle.

Na pewno są, to ukryte foldery. W Mój komputer > Narzędzia > Opcje folderów > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. A folder GRAZYNA to nieczynny odpadek niepowiązany z żadnym kontem. Wyniki checkdisk pochodzą z innego dysku, czyli F (a nie systemowego C: na którym jest problem): Sprawdzanie systemu plików na F: Typ systemu plików to FAT32. ==================== Drives ================================ Drive c: (VOBIS) (Fixed) (Total:37.27 GB) (Free:5.65 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive f: (My Passport) (Fixed) (Total:298.01 GB) (Free:40.13 GB) FAT32 Zdarzenie Winlogon pochodzi z 6 stycznia, skan zadałam dziś, więc to nie ten rekord. Szukaj kolejnego w Dzienniku, o ile zrobiłeś sprawdzanie dysku. PS. A plik C:\Delfix.txt do kasacji.

Zasady działu - tu jest zakaz podpinania się: KLIK. Temat wydzieliłam. Poza tym, posługujesz się cholernie starym FRST pozbawionym mnóstwa skanów / poprawek / nowych komend: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 23-09-2013 (ATTENTION: ====> FRST version is 472 days old and could be outdated) Wracaj do przyklejonego i pobierz najnowszą wersję: FRST. Mają powstać trzy logi (włącznie z Shortcut).

1. Uruchom AdwCleaner ponownie, lecz tym razem wybierz opcje Szukaj + Usuń. Po ukończeniu czyszczenia: 2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Wszystko wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {3672EE5F-4031-4CB2-9C1C-CD077897A8ED} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {51A99528-AC3F-4E1E-9B9D-048AD1AAE92E} - System32\Tasks\Voo Update => C:\Users\Adrian\AppData\Roaming\VooUpdate\UpdateProc\UpdateTask.exe [2015-01-07] () Task: {585D745E-E8B5-448A-8642-86BDF01FFB23} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {79E2E7DC-B057-4BAF-96A9-EF6D000C7BEA} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {AB6DE1CB-FEC7-4958-88BA-0A2F43B37585} - System32\Tasks\OECCTZ => C:\Users\Adrian\AppData\Roaming\OECCTZ.exe [2015-01-06] (Object Browser) Task: {EAA2AF69-E45E-4A83-B105-1498CB5772EB} - System32\Tasks\AJGQBYXZ => C:\Users\Adrian\AppData\Roaming\AJGQBYXZ.exe [2015-01-06] (Object Browser) Task: C:\WINDOWS\Tasks\AJGQBYXZ.job => C:\Users\Adrian\AppData\Roaming\AJGQBYXZ.exe Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\OECCTZ.job => C:\Users\Adrian\AppData\Roaming\OECCTZ.exe Task: C:\WINDOWS\Tasks\Voo Update.job => C:\Users\Adrian\AppData\Roaming\VOOUPD~1\UPDATE~1\UPDATE~1.EXE HKLM-x32\...\Run: [gmsd_pl_18] => [X] HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Run: [EpicScale] => C:\Users\Adrian\AppData\Roaming\uTorrent\uTorrent.exe [1725776 2014-11-30] (BitTorrent Inc.) HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=170 SearchScopes: HKU\S-1-5-21-1229153242-3201741155-1693493588-1001 -> DefaultScope {1838EEB7-D790-4C38-977B-7610FC411ABC} URL = SearchScopes: HKU\S-1-5-21-1229153242-3201741155-1693493588-1001 -> {1838EEB7-D790-4C38-977B-7610FC411ABC} URL = BHO: No Name -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> No File BHO: No Name -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> No File C:\Program Files (x86)\globalUpdate C:\ProgramData\EpicScale C:\ProgramData\TEMP C:\Users\Adrian\AppData\Local\nshEAC8.tmp C:\Users\Adrian\AppData\Local\CrashRpt C:\Users\Adrian\AppData\Local\globalUpdate C:\Users\Adrian\AppData\Local\Google C:\Users\Adrian\AppData\Roaming\*.exe C:\Users\Adrian\AppData\Roaming\AnyProtectEx C:\Users\Adrian\AppData\Roaming\VooUpdate C:\Users\Adrian\AppData\Roaming\WebTest C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Epic Scale.lnk C:\Users\Adrian\Desktop\Continue Live Installation.lnk C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\ShopperPro C:\Users\Public\Documents\YTAHelper C:\Users\Adrian\Downloads\SpyHunter-Installer.exe C:\WINDOWS\patsearch.bin EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Jaki powód sprawdzania raportów, tzn. czy coś się dzieje? Oznak infekcji brak. PS. Rozumiem, że poprzedni temat do zamknięcia? Wygląda na to, że logi są z tego samego komputera, najnowsze tu podane pokazują zaistalowany SP1. Jeśli temat ma być zamknięty, zaktualizuj w nim informacje w jaki sposób rozwiązałeś sprawę.

Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\WinZipper Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files (x86)\Opera\Launcher.exe"" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\SysWOW64\nvinit.dll" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Zaprezentuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz log z folderu C:\AdwCleaner.

Akcje pomyślnie wykonane i kończymy: 1. Drobne poprawki na szczątkowe wpisy. Do Notatnika wklej: Task: {3592C8CB-900B-4B23-9698-541C2CBAA24F} - System32\Tasks\{3ADEDF9B-8570-4817-8651-F68A70217269} => pcalua.exe -a "C:\Program Files (x86)\GOG.com\Theme Hospital\Graphic mode setup.exe" -d "C:\Program Files (x86)\GOG.com\Theme Hospital" Task: {607A59BE-55FE-4890-90AF-57986949D86E} - System32\Tasks\{AF216FBE-B200-4C9F-9D12-38B6F11A66B2} => pcalua.exe -a G:\Sims3Setup.exe -d G:\ Task: {8207020B-4AEE-4714-87A5-BA48669654C6} - System32\Tasks\{67FDE1F9-605C-4C25-8155-CC703D5416E4} => pcalua.exe -a C:\Users\admin\Desktop\EasyMU_v2_S8.exe -d C:\Users\admin\Desktop Task: {A2197A41-6C40-4526-A7FA-E42563E2C739} - System32\Tasks\{0926CE42-825C-4C7A-BB7F-B30A488B15C5} => pcalua.exe -a G:\Sims3Setup.exe -d G:\ Task: {D0CC15AF-8393-4000-90AF-1F264609823B} - System32\Tasks\{E48DB1C1-6D29-45A3-9F8C-3DEBFF3F2B5A} => pcalua.exe -a "D:\Program Files (x86)\SiegeWars MuOnline Season6\Uninstall.exe" DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Fixlog jest ucięty, zatrzymał się skrypt w połowie i nie wygląda na to, by przetworzył resztę. Poza tym, pojawiły się nowe niepożądane wpisy adware (stąt komunikaty MBAM). W związku z tym, że logi pochodzą sprzed wielu dni, poproszę o zrobienie świeżych raportów FRST (wszystkie trzy) z najnowszej wersji FRST.

Wszystko wykonane i zostały drobne poprawki (np. komenda otwierania Opery jest zmodyfikowana przez adware), ale w związku z tym iż upłynęło sporo czasu na wszelki wypadek proszę o świeże raporty FRST z najnowszej wersji FRST (główny + Addition).

Adware Faster Light 1.0.1 zostało pomyślnie usunięte. Teraz sprawdź czy nadal jest problem z pobraniem i uruchomieniem narzędzia Fix-it Microsoftu.

Usuń FRST z D:\Pobrane. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu i uzupełnij brakujące wtyczki Adobe/Java: KLIK. To wszystko.

Podstawowy szkodnik usunięty. Drobne poboczne poprawki w Firefox zostały. Przez zamkniętym Firefox: 1. Otwórz w Notatniku do edycji plik: C:\Users\kokix_000\AppData\Roaming\Mozilla\Firefox\Profiles\ebfm7wye.default\prefs.js Z pliku wytnij te linie (odpadki po adware + odinstalowanych rozszerzeniach / stare preferencje sprzed aktualizacji): user_pref("browser.search.defaultthis.engineName", "IsoBuster Customized Web Search"); user_pref("browser.search.useDBForOrder", true); user_pref("extensions.enabledItems", "{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.2,{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}:6.0.18,{20a82645-c095-46ed-80e3-08825760534b}:0.0.0,jqs@sun.com:1.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6.13"); user_pref("extensions.youtubemp3podcaster@jeremy.d.gregorio.com.addonVersion", "2.4.4"); user_pref("extensions.{20a82645-c095-46ed-80e3-08825760534b}.install-event-fired", true); user_pref("extensions.{B5EDFBB0-9827-11DA-A72B-0800200C9A66}.install-event-fired", true); user_pref("extensions.{bc03d92d-9a29-4663-a16b-26fb5538975c}.install-event-fired", true); user_pref("extentions.webcake.defaultEnableAppsList", "layers/banner,layers/inline,layers/search,layers/shopping,newOffers/wc"); user_pref("extentions.webcake.installId", "26111b9f-f7d9-43de-ad83-9f421b05ca3b"); user_pref("fireuploader.counter", "1"); user_pref("fireuploader.dropcounter", "0"); user_pref("fireuploader.identifier", "{4dbb5a99-ff6f-4ba3-8662-9043943d779f}"); user_pref("fireuploader.localdir", "C:\\Documents and Settings\\Koki"); user_pref("fireuploader.prefVersion", "0.3.8"); user_pref("fireuploader.processInterval", "604800000"); user_pref("fireuploader.showInitPanel", "0"); user_pref("fireuploader.timestamp", "1231693805186"); user_pref("forecastfox.cc.cache", "linkscache-Koki.xml"); user_pref("forecastfox.cc.last", "1215451792102"); user_pref("forecastfox.dayf.cache", "linkscache-Koki.xml"); user_pref("forecastfox.dayf.last", "1215451792102"); user_pref("forecastfox.general.locid", "PLXX0036"); user_pref("forecastfox.links.cache", "linkscache-Koki.xml"); user_pref("forecastfox.links.last", "1215451792102"); user_pref("forecastfox.migrated", "0.7"); user_pref("forecastfox.profile.current", "Koki"); 2. Skasuj plik: C:\Users\kokix_000\AppData\Roaming\Mozilla\Firefox\Profiles\ebfm7wye.default\user.js

Infekcja definitywnie się tu uruchamia w systemie - wielokrotny wpis uruchamiający skrypt Chrome.VBE. Operacje będą podzielone na dwa etapy, gdyż urządzenie pendrive musi być czyszczone z osobna. Działania wstępne: 1. Odinstaluj zbędnik AVG SafeGuard toolbar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\RunOnce: [Chrome] => wscript.exe //B "C:\Users\Kamil\AppData\Local\Temp\Chrome.VBE" HKU\S-1-5-21-3957041923-2222250137-705892869-1000\...\RunOnce: [Chrome] => wscript.exe //B "C:\Users\Kamil\AppData\Local\Temp\Chrome.VBE" Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome.VBE () Toolbar: HKU\S-1-5-21-3957041923-2222250137-705892869-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File S3 cleanhlp; \??\C:\Program Files\Ashampoo\Ashampoo Anti-Virus\cleanhlp64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" Task: {1A1E5C66-2CA5-4102-A7F4-2E26DB453DBB} - System32\Tasks\e-pity2013_styczen => F:\Saved Games\e-pity2013\Assets\signxml.exe Task: {239A77A4-25EC-4C7A-9F1E-020F71467B6B} - System32\Tasks\e-pity2013_kwiecien => F:\Saved Games\e-pity2013\Assets\signxml.exe Task: {A65A23A3-6FCB-4D7D-BD06-7347EF48789D} - System32\Tasks\{481F9C9E-8C8D-4143-8600-F4C7AEF09CA3} => pcalua.exe -a "C:\Users\Kamil\Desktop\Riva Tuner\RivaTuner224.exe" -d "C:\Users\Kamil\Desktop\Riva Tuner" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Aktywator C:\Program Files (x86)\mozilla firefox C:\Users\Kamil\AppData\Roaming\mozilla C:\Windows\system32\Drivers\26ED58AC.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz USBFix z opcji Listing przy podpiętym pendrive. Dołącz też plik fixlog.txt.

1. Nie wykonałaś podstawowego zadania usuwającego infekcję i to do zrobienia: 2. Otwórz Notatnik i wklej w nim: URLSearchHook: HKU\S-1-5-21-1343024091-1336601894-839522115-1003 - BitTorrentControl_v12 Toolbar - {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} - C:\Program Files\BitTorrentControl_v12\prxtbBit0.dll No File BHO: BitTorrentControl_v12 Toolbar -> {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} -> C:\Program Files\BitTorrentControl_v12\prxtbBit0.dll No File Toolbar: HKLM - BitTorrentControl_v12 Toolbar - {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} - C:\Program Files\BitTorrentControl_v12\prxtbBit0.dll No File Toolbar: HKU\S-1-5-21-1343024091-1336601894-839522115-1003 -> BitTorrentControl_v12 Toolbar - {B6AC5E3C-5CEB-4E72-B451-F0E1BA983C14} - C:\Program Files\BitTorrentControl_v12\prxtbBit0.dll No File S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Doącz też fixlog.txt.

Raport obowiązkowy dołączany do każdej prośby o pomoc Farbar Recovery Scan Tool (FRST) Platforma: Windows XP do Windows 11 32-bit i 64-bit Strona domowa Autoryzowany polski tutorial obsługi (dla osób prowadzących pomoc) Pobierz wersję dla systemów 32-bit: Pobierz Pobierz wersję dla systemów 64-bit: Pobierz FRST ma system filtrowania dostosowany do określonych warunków. Na niektórych systemach filtrowanie nie będzie poprawne (widoczność wielu wpisów MS lub fałszywe "uszkodzenia" / "nieprawidłowości"): - Platformy serwerowe Windows 2003, Windows 2008, Windows 2012. - Modyfikowane systemy XP z atypową ścieżką do katalogu Windows taką jak np. C:\WINXP, C:\WINNT i podobne (zamiast C:\WINDOWS). - FRST nie jest kompatybilny z XP 64-bit (brak detekcji procesów). Niezależnie od powyższych FRST uruchamia się na tych systemach i log narzędzia dostarczy wystarczającą ilość informacji do analizy wstępnej. Farbar Recovery Scan Tool (FRST) - Narzędzie może pracować w dwóch trybach, spod Windows oraz z poziomu środowiska zewnętrznego RE. Obecnie jest to główne narzędzie diagnostyczne stosowane na forum zastępujące wcześniej używany OTL. Jego przewagą nad nierozwijanym OTL jest natywne wsparcie systemów x64, poprawna detekcja i filtrowanie wpisów Windows 8/10, detekcja podpisów cyfrowych plików, obsługa Harmonogramu zadań systemów Vista i nowszych, skan przeglądarek Microsoft Edge i Opera, oraz ogólnie szerszy zakres skanów. FRST ma wbudowane różne tłumaczenia językowe, w tym polskie mojego autorstwa. W zależności od wykrytego natywnego języka systemu interfejs zostanie przedstawiony w tym języku. INSTRUKCJA URUCHOMIENIA SPOD WINDOWS: Pobieranie i uruchomienie FRST mogą blokować antywirusy oraz malware. W przypadku problemów skorzystaj z instrukcji: Gdy nie można uruchomić narzędzi. Proszę także nie umieszczać FRST w folderze C:\FRST, wszystkie pliki wykonywalne są automatycznie usuwane z tego folderu. 1. Pobraną aplikację należy uruchomić z dwukliku. Windows 8/8.1 i nowsze: Na tych systemach pojawi się komunikat Windows SmartScreen blokujący uruchomienie. Należy rozwinąć komunikat klikając w link Więcej informacji i wybrać Uruchom mimo to: Na systemach Vista i nowszych wymagany tryb administracyjny i potwierdzenie dialogu UAC. 2. Zgłosi się klauzula użytkowa, którą należy potwierdzić: 3. Program rozpocznie wykonywanie kopii rejestru ("Backing up registry..."), proszę czekać dopóki ten proces nie zostanie ukończony. Kopia rejestru jest tworzona tylko podczas pierwszego uruchomienia, kolejne starty programu nie nadpisują jej. 4. FRST posiada funkcję autoaktualizacji. Jeżeli jest dostępna nowsza wersja, program ją pobierze, samoczynnie się zamknie i uruchomi ponownie. Stara kopia FRST jest przesuwana do folderu FRST-OlderVersion zlokalizowanego w tym samym katalogu skąd uruchamiano FRST. 5. Pojawi się status Narzędzie jest gotowe do pracy (The tool is ready to use). Należy skonfigurować jak na obrazku: W sekcji Filtrowanie (Whitelist) wszystkie opcje zaznaczone. W sekcji Skan opcjonalny (Optional Scan) zaznaczona opcja Addition.txt oraz Shortcut.txt. Proszę nie zaznaczać opcji "Lista BCD" (List BCD), "SigCheckExt" i "Pliki z 90 dni" (90 Days Files). 6. Skanowanie właściwie jest rozpoczynane przyciskiem Skanuj (Scan). Przycisk zmienia się w Skanowanie (Scanning). Postęp skanowania jest obrazowany dynamicznym paskiem postępu i zmieniającymi się ścieżkami. Proszę cierpliwie czekać. 7. Ukończenie skanowania jest sygnalizowane stosownym komunikatem, dla każdego raportu po kolei. Zatwierdzenie tych komunikatów automatycznie otwiera w Notatniku raporty: FRST.txt, Addition.txt oraz Shortcut.txt. Są zlokalizowane na dysku w tym samym katalogu, z którego uruchamiano FRST. Wszystkie trzy proszę załączyć w poście. Proszę nie wyciągać logów z folderu C:\FRST\Logs - to archiwum, bieżące logi są w folderze z którego uruchomiono FRST.

1. Uruchom ponownie AdwCleaner, ale tym razem wybierz sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Corsodyl, nie ma potrzeby "odświeżania". Obecność tematu na dalszych stronach nie oznacza, że o nim nie wiem, w końcu cały czas siedzę w tym dziale. Odpowiadam gdy jestem w stanie, a kolejność wyboru tematów do przetwarzania jest uzależniona od różnych rzeczy. Po urlopie świątecznym mam tyle zaległości, że nie jestem w stanie odpowiadać wszystkim. Tylko jeśli jest to odpadek / program z którym są trudności deinstalacyjne. Narzędzie Microsoftu nie deinstaluje programu w sposób tradycyjny, usuwa tylko rejestrację MSI, elementy startowe oraz foldery aplikacji nadal mogą zostać na dysku. Poza tym, jest wiele programów ukrytych celowo, na których nie należy podejmować żadnych działań. Kończymy zadania czyszczące: 1. Był problem z usuwaniem dwóch katalogów, być może przez kontekst zalogowanego konta. Zaloguj się na GRAŻKĘ i sprawdź czy są na dysku poniższe foldery. Znalezione skasuj. C:\Documents and Settings\GRAŻKA\Dane aplikacji\Mozilla C:\Documents and Settings\GRAŻKA\Ustawienia lokalne\Dane aplikacji\Google 2. Usuń z obu kont pobrane narzędzia. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Został ten problem: Start > Uruchom > cmd, wklep komendę chkdsk /f /r i ENTER, na pytanie o dezinstalację woluminu odpowiedz twierdząco z klawiatury i zresetuj system. Podczas restartu powinno się wykonać sprawdzanie dysku. Start > Uruchom > eventvwr.msc, w sekcji Aplikacja wyszukaj zdarzenie Winlogon numer 1001, pobierz jego Szczegóły, skopiuj je i wklej do posta.

Skasuj z dysku plik C:\Delfix.txt. To wszystko. Temat rozwiązany, zamykam.

Nie, nie sprawdzałam, gdyż nie mogę wyłączyć komputera (mam otwarte ważne prace w tle). Na koniec jeszcze przypomnę wątek synchronizacji Google Chrome: nie można jej włączyć ponownie, dopóki nie będzie pewne, iż dane z serwera zostały usunięte. Nie wiem ile trwa ten proces.

Poproszę o nowe raporty FRST (pobierz najnowszą wersję), które mają przedstawić co się zmieniło w systemie.

Temat założony w niewłaściwym dziale. Przenoszę do działu diagnostyki malware. Zestaw logów FRST niekompletny - brakuje pliku FRST Shortcut. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [Windows Defender] => [X] HKU\S-1-5-21-261541194-3550694387-445725353-1000\...\Run: [nvxasync] => C:\Users\Seba\AppData\Roaming\nvxasync\nvxasync.exe [142679040 2015-01-06] () HKU\S-1-5-21-261541194-3550694387-445725353-1000\...\Winlogon: [shell] C:\ProgramData\nvxasync\cvxasync.exe [142679040 2015-01-06] () HKU\S-1-5-21-261541194-3550694387-445725353-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.surfvox.com/ SearchScopes: HKU\S-1-5-21-261541194-3550694387-445725353-1000 -> DefaultScope {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 SearchScopes: HKU\S-1-5-21-261541194-3550694387-445725353-1000 -> {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 C:\prefs.js C:\ProgramData\nvxasync C:\Users\Seba\AppData\Roaming\fpacked.exe C:\Users\Seba\AppData\Roaming\nvxasync Folder: C:\Users\Seba\AppData\Roaming\fportable Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał drugi brakujący log. Dołącz też plik fixlog.txt.

Nie uruchamia się, bo jakimś cudem wpisu nie załączyłam w Fix FRST. Poprawka - do Notatnika wklej: HKU\S-1-5-21-2354558839-626714277-1970587182-1001\...\Winlogon: [shell] C:\explorer\explorer.exe [2872320 2012-09-06] (Microsoft Corporation) RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\BonanzaDeals RemoveDirectory: C:\Users\Ewa\Desktop\Stare dane programu Firefox EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Pokaż wynikowy fixlog.txt.

W związku z tym na razie opuść ten wątek i przejdź do dalszych czynności, by nie przeciągać sprawy. Wrócę do wpisu Google potem.

Kolejne czynności: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj szkodnika Security Protection. 2. Uruchom AdwCleaner ponownie, ale tym razem zastosuj kombinację Szukaj + Usuń. 3. Otwórz Notatnik i wklej w nim: BHO: No Name -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> No File FF Plugin: @google.com/npPicasa3,version=3.0.0 -> C:\Users\Dominik\Desktop\Picasa3\npPicasa3.dll No File RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.