picasso

Błąd przy wysyłaniu załącznika to możliwe, że pod wpływem aktywności programu antywirusowego. Delfix wykonał zadanie, skasuj plik C:\Delfix.txt z dysku. Temat rozwiązany. Zamykam.

Skoro masz problem z przeklejeniem tego w całości, kopiuj linia po linii do Notatnika. Jest 27 linii, wklejasz po kolei i po każdej ENTER.

Rzeczywiście, nie ma karty Opera. Skoro więc nie było wykluczeń, AdwCleaner broił w preferencjach Opery. Ale nie wygląda na to, by coś się tu stało, gdyż FRST wydrukował zawartość Preferences i wygląda ona prawidłowo. Adware w Operze też nie widać. Kończymy: Usuń używane skanery z C:\Users\User\Desktop\naprawa. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Kończymy. Skasuj pobrane narzędzia z F:\new. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj wtyczki Adobe Flash: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.246 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 15 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 15.0.0.246 - Adobe Systems Incorporated) ----> wtyczka dla FF

Rozumiem, że radość dotyczy poprawnego uruchomienia Windows Defender. Natomiast, czy poniższy problem relatywny do Microsoft Security Essentials już nie występuje?

Zawartość jednego z folderów była odtwarzana, określone wpisy w rejestrze są, zdaje się że brakuje tylko usługi Windows Defender. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Zresetuj system. Sprawdź czy jesteś w stanie uruchomić systemowy Windows Defender.

1. Przez SHIFT+DEL (omija Kosz) skasuj D:\Narzedzia\FRST i inne pobrane narzędzia. 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu i uzupełnij te instalacje Adobe których potrzebujesz: KLIK. Koniec.

Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS Reg: reg delete HKLM\SOFTWARE\MATS /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

I nie tylko to, nie zainstalował się również .NET Framework, o którego uzupełnienie z Windows Update mi głównie chodziło: System errors: ============= Error: (12/17/2014 05:48:33 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT) Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x80070643: Program Microsoft .NET Framework 4.5.1 w systemie Windows 7 dla systemów opartych na procesorach x64 (KB2858725). Error: (12/17/2014 05:47:48 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT) Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x80070643: Dodatek Service Pack 1 dla produktu Microsoft Office 2013 (KB2850036) Wersja 64-bitowa. Na początek proszę zastosuj procedury podane w tym artykule: KB976982. Chodzi mi o Metodę 1 oraz Metodę 2 (z wykluczeniem wątku aktualizowania Microsoft Security Essentials, gdyż go tu w ogóle nie ma). Metoda 3 była już wdrażana i zakładam, że .NET Framework Cleanup Tool był rzeczywiście poprawnie zastosowany.

Chodziło mi o zaprezentowanie zrzutu ekranu co pokazuje program. Ogólnie zaś chodzi o to jakie konto do jakiego folderu jest obecnie podpięte, a na dalszą metę swoje konto należy odłączyć od niepoprawnego folderu i podłączyć ponownie do poprzedniego folderu C:\Users\Kwacek.

Czy notujesz poprawę w działaniu systemu? Wszystko zrobione, infekcje pomyślnie usunięte. Kolejna porcja czynności: 1. Zastosuj DelFix, by usunąć kwarantanny narzędzi. 2. Odinstaluj stare wersje Adobe Reader 9.5.0 - Polish, Java 8 Update 20, Java SE Development Kit 8 Update 20, Malwarebytes Anti-Malware wersja 1.75.0.1300. 3. Zainstaluj najnowszą wersję Malwarebytes Anti-Malware (przy instalacji odznacz trial). Wykonał pełny skan systemu. Jeśli coś zostanie znalezione, zaprezentuj raport wynikowy.

Uruchom AdwCleaner ponownie, wybierz sekwencję Szukaj + Usuń i zaprezentuj log z usuwania (oznaczenie [snumer]).

Na tym zrzucie ekranu to ledwo co widać. To ma wyglądać tak: Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator > wklejasz poniższą komendę i ENTER. C:\Temp\dd.exe --list W Firefox wyłącz wtyczki Real. Następnie w Autoruns odznacz poniższe elementy i zresetuj system. - Logon:: TkBellExe, RealDownloader - Services: RealNetworks Downloader Resolver Service, RealPlayer Cloud Service, RealPlayerUpdateSvc - Scheduled Tasks: wszystkie zadania Real Zastosuj DelFix i czyszczenie folderów Przywracania systemu: KLIK. Zawsze zaczynasz od deinstalacji poprzez Panel sterowania nieznanych / podejrzanych / nowo doinstalowanych pozycji, potem w menedżerach przeglądarek, dopiero na końcu AdwCleaner i podobne. Przestawienie kolejności może spowodować większy brud w rejestrze i na dysku.

1. Zapomniałam wcześniej podać jeszcze Norton Security Scan do deinstalacji. Następnie do Notatnika wklej: C:\Program Files\Java C:\Program Files\Malicious Software Removal Tool C:\Program Files\NortonInstaller C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Norton C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\NortonInstaller C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Sun C:\Documents and Settings\Greg.GS\Dane aplikacji\Sun C:\Documents and Settings\Greg.GS\Dane aplikacji\uTorrent C:\Documents and Settings\Greg.GS\Dane aplikacji\wsInspector C:\Documents and Settings\Greg.GS\Pulpit\Continue VuuPC Installation.lnk C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\*.tmp C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\BonanzaDealsLive C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\CrashRpt C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\freeSOFTtoday C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\Sun C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\Torch C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. 2. Uruchom AdwCleaner, wybierz opcję Szukaj i pokaż wynikowy log z folderu C:\AdwCleaner.

Tu nie chodziło o wyrzucenie Adobe Reader na zawsze z systemu, tylko pozbycie się starej niebezpiecznej wersji narażającej na infekcje z tzw. "wklejek www" (iframe i podobne). Najnowsze wersje Adobe będziesz instalować na końcu. Na razie czyścimy system ze śmieci. Kolejna porcja czynności. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-861567501-1604221776-839522115-1003\...\Run: [se] => "C:\Documents and Settings\Greg.GS\Dane aplikacji\SkypEmoticons\se.exe" /minimized HKU\S-1-5-21-861567501-1604221776-839522115-1003\...\Run: [YTDownloader] => "C:\Program Files\YTDownloader\YTDownloader.exe" /boot BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ShopperPro\ShopperPro.dll No File DPF: {17492023-C23A-453E-A040-C7C580BBF700} http://go.microsoft.com/fwlink/?linkid=39204 C:\Documents and Settings\Administrator.GS\Dane aplikacji\Adobe C:\Documents and Settings\Administrator.GS\Dane aplikacji\Macromedia C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Adobe C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Macromedia C:\Documents and Settings\Greg.GS\Dane aplikacji\Adobe C:\Documents and Settings\Greg.GS\Dane aplikacji\Macromedia C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\Adobe C:\WINDOWS\system32\Adobe C:\WINDOWS\system32\Macromed CMD: netsh firewall reset CMD: del /q C:\WINDOWS\DUMP*.tmp CMD: del /q C:\WINDOWS\Minidump\*.dmp CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Administrator.GS\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Administrator.GS\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Greg.GS\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie kolejny plik fixlog.txt. Przedstaw go, nowy skan FRST nie jest potrzebny.

W systemie jest ogromna ilość sterowników adware i to jest przyczyna BSOD. Akcja: 1. Otwórz Notatnik i wklej w nim: R1 {0c7dc56c-1fb8-4d6b-a40f-10611881a3b6}t; C:\WINDOWS\System32\drivers\{0c7dc56c-1fb8-4d6b-a40f-10611881a3b6}t.sys [55824 2014-10-11] (StdLib) R1 {18fa7aee-6838-42dd-8d32-3fd665a7e664}t; C:\WINDOWS\System32\drivers\{18fa7aee-6838-42dd-8d32-3fd665a7e664}t.sys [55824 2014-10-17] (StdLib) R1 {1dc3c8ee-7a5c-414f-bf32-ae563ad31ed1}t; C:\WINDOWS\System32\drivers\{1dc3c8ee-7a5c-414f-bf32-ae563ad31ed1}t.sys [55824 2014-12-06] (StdLib) R1 {1fe5a9eb-d0ad-44c6-8e0e-e079118db915}t; C:\WINDOWS\System32\drivers\{1fe5a9eb-d0ad-44c6-8e0e-e079118db915}t.sys [55824 2014-10-13] (StdLib) R1 {2429c312-24d3-4127-94ed-c247fe9e02fc}t; C:\WINDOWS\System32\drivers\{2429c312-24d3-4127-94ed-c247fe9e02fc}t.sys [55824 2014-10-22] (StdLib) R1 {2ac9eb83-636e-4a51-ab66-bf4f388a02ab}t; C:\WINDOWS\System32\drivers\{2ac9eb83-636e-4a51-ab66-bf4f388a02ab}t.sys [55824 2014-10-20] (StdLib) R1 {2f6db162-50b5-48ec-8bd0-c6ac5074038f}t; C:\WINDOWS\System32\drivers\{2f6db162-50b5-48ec-8bd0-c6ac5074038f}t.sys [55824 2014-12-09] (StdLib) R1 {38f72c19-9857-4bc2-b729-9d00bd429872}t; C:\WINDOWS\System32\drivers\{38f72c19-9857-4bc2-b729-9d00bd429872}t.sys [55824 2014-10-15] (StdLib) R1 {6610c2c8-50f9-4a6a-b791-c2b9e2bdc00d}t; C:\WINDOWS\System32\drivers\{6610c2c8-50f9-4a6a-b791-c2b9e2bdc00d}t.sys [55824 2014-11-30] (StdLib) R1 {6cfec6a5-9d93-4492-985a-470a68eff4e9}t; C:\WINDOWS\System32\drivers\{6cfec6a5-9d93-4492-985a-470a68eff4e9}t.sys [55824 2014-10-24] (StdLib) R1 {9390ab08-5703-448b-94f8-b8b1934c8841}t; C:\WINDOWS\System32\drivers\{9390ab08-5703-448b-94f8-b8b1934c8841}t.sys [55824 2014-10-18] (StdLib) R1 {9794b31c-7078-45aa-8534-9fee5d10dfe6}t; C:\WINDOWS\System32\drivers\{9794b31c-7078-45aa-8534-9fee5d10dfe6}t.sys [55824 2014-12-03] (StdLib) R1 {b35afcf6-0992-4551-b2da-3af8a5dc5119}t; C:\WINDOWS\System32\drivers\{b35afcf6-0992-4551-b2da-3af8a5dc5119}t.sys [55824 2014-10-11] (StdLib) R1 {b8202deb-d90b-4859-9db1-238d59fbcdd4}t; C:\WINDOWS\System32\drivers\{b8202deb-d90b-4859-9db1-238d59fbcdd4}t.sys [55824 2014-11-30] (StdLib) R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gt; C:\WINDOWS\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gt.sys [55056 2014-09-19] (StdLib) R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t; C:\WINDOWS\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t.sys [55056 2014-09-21] (StdLib) R1 {c89879cb-75b8-4cb6-bc13-07c704396fd0}t; C:\WINDOWS\System32\drivers\{c89879cb-75b8-4cb6-bc13-07c704396fd0}t.sys [55824 2014-10-13] (StdLib) R1 {f8280ede-2ab0-420d-ae0f-169ba406978b}t; C:\WINDOWS\System32\drivers\{f8280ede-2ab0-420d-ae0f-169ba406978b}t.sys [55824 2014-10-21] (StdLib) R1 {fff2d2b4-0f90-4edd-a75a-047e2658236a}t; C:\WINDOWS\System32\drivers\{fff2d2b4-0f90-4edd-a75a-047e2658236a}t.sys [55824 2014-10-17] (StdLib) S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-11-30] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-11-30] (globalUpdate) [File not signed] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 catchme; \??\C:\DOCUME~1\Greg.GS\USTAWI~1\Temp\catchme.sys [X] Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\SMupdate1.job => C:\PROGRA~1\COMMON~1\System\SysMenu.dll Task: C:\WINDOWS\Tasks\SMupdate2.job => C:\PROGRA~1\COMMON~1\System\SysMenu.dll Task: C:\WINDOWS\Tasks\SMupdate3.job => C:\PROGRA~1\COMMON~1\System\SysMenu.dll Task: C:\WINDOWS\Tasks\SPBIW_UpdateTask_Time_333436303534383239362d3437415a556c2a3223346c41.job => C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ShopperPro\spbihe.js" spbiu.exe Task: C:\WINDOWS\Tasks\YTDownloader.job => C:\Program Files\YTDownloader\YTDownloader.exe HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-861567501-1604221776-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms} HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome HKU\S-1-5-21-861567501-1604221776-839522115-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trovi.com/?gd=&ctid=CT3319709&octid=EB_ORIGINAL_CTID&ISID=MDDAA7C1E-524E-4416-9E5A-7C4A68724F5A&SearchSource=55&CUI=&UM=6&UP=SPE1FEEB4D-FD3A-4308-9233-AC61828D2C7C&SSPV= HKU\S-1-5-21-861567501-1604221776-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-861567501-1604221776-839522115-1003\Software\Microsoft\Internet Explorer\Main,Strona wyszukiwania = http://www.msn.com/access/allinone.asp HKU\S-1-5-21-861567501-1604221776-839522115-1003\Software\Microsoft\Internet Explorer\Main,Strona początkowa = http://www.microsoft.com/msoffice/ HKU\S-1-5-21-861567501-1604221776-839522115-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042 HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://rts.dsrlte.com/?m=tab&affID=na" SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms} SearchScopes: HKLM -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms} SearchScopes: HKU\S-1-5-21-861567501-1604221776-839522115-1003 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3319709&octid=EB_ORIGINAL_CTID&ISID=MDDAA7C1E-524E-4416-9E5A-7C4A68724F5A&SearchSource=58&CUI=&UM=6&UP=SPE1FEEB4D-FD3A-4308-9233-AC61828D2C7C&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-861567501-1604221776-839522115-1003 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3319709&octid=EB_ORIGINAL_CTID&ISID=MDDAA7C1E-524E-4416-9E5A-7C4A68724F5A&SearchSource=58&CUI=&UM=6&UP=SPE1FEEB4D-FD3A-4308-9233-AC61828D2C7C&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-861567501-1604221776-839522115-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms} Handler: ipp - No CLSID Value - Handler: msdaipp - No CLSID Value - HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\mntemp C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\15553404656720149986 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\1790955706 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ahphemkffjccicjbnjjgmkiibfngenlf C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\APN C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\d7d8cb213bb5fde2 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\DriverGenius C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\F-Secure C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\FileOpen C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\InstallMate C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ShopperPro C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Trusted Publisher C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\UDL C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Catalyst Control Center C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Nokia PC Suite C:\Documents and Settings\Greg.GS\Dane aplikacji\DownLite C:\Documents and Settings\Greg.GS\Dane aplikacji\FileOpen C:\Documents and Settings\Greg.GS\Dane aplikacji\OpenCandy C:\Documents and Settings\Greg.GS\Dane aplikacji\Pay-By-Ads C:\Documents and Settings\Greg.GS\Dane aplikacji\RHEng C:\Documents and Settings\Greg.GS\Dane aplikacji\VOPackage C:\Documents and Settings\Greg.GS\Menu Start\Programy\VOPackage C:\Documents and Settings\Greg.GS\Menu Start\Programy\YTDownloader C:\Documents and Settings\Greg.GS\Pulpit\StartDownload.exe C:\Documents and Settings\Greg.GS\Pulpit\Symulator Farmy 2013.lnk C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\globalUpdate C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\iWebar C:\Program Files\BuyNsave C:\Program Files\ESET C:\Program Files\globalUpdate C:\Program Files\YoutubeAdBlocke C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\drivers\{0c7dc56c-1fb8-4d6b-a40f-10611881a3b6}t.sys C:\WINDOWS\System32\drivers\{18fa7aee-6838-42dd-8d32-3fd665a7e664}t.sys C:\WINDOWS\System32\drivers\{1dc3c8ee-7a5c-414f-bf32-ae563ad31ed1}t.sys C:\WINDOWS\System32\drivers\{1fe5a9eb-d0ad-44c6-8e0e-e079118db915}t.sys C:\WINDOWS\System32\drivers\{2429c312-24d3-4127-94ed-c247fe9e02fc}t.sys C:\WINDOWS\System32\drivers\{2ac9eb83-636e-4a51-ab66-bf4f388a02ab}t.sys C:\WINDOWS\System32\drivers\{2f6db162-50b5-48ec-8bd0-c6ac5074038f}t.sys C:\WINDOWS\System32\drivers\{38f72c19-9857-4bc2-b729-9d00bd429872}t.sys C:\WINDOWS\System32\drivers\{6610c2c8-50f9-4a6a-b791-c2b9e2bdc00d}t.sys C:\WINDOWS\System32\drivers\{6cfec6a5-9d93-4492-985a-470a68eff4e9}t.sys C:\WINDOWS\System32\drivers\{9390ab08-5703-448b-94f8-b8b1934c8841}t.sys C:\WINDOWS\System32\drivers\{9794b31c-7078-45aa-8534-9fee5d10dfe6}t.sys C:\WINDOWS\System32\drivers\{b35afcf6-0992-4551-b2da-3af8a5dc5119}t.sys C:\WINDOWS\System32\drivers\{b8202deb-d90b-4859-9db1-238d59fbcdd4}t.sys C:\WINDOWS\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gt.sys C:\WINDOWS\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t.sys C:\WINDOWS\System32\drivers\{c89879cb-75b8-4cb6-bc13-07c704396fd0}t.sys C:\WINDOWS\System32\drivers\{f8280ede-2ab0-420d-ae0f-169ba406978b}t.sys C:\WINDOWS\System32\drivers\{fff2d2b4-0f90-4edd-a75a-047e2658236a}t.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C:" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\se" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Softonic for Windows" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\StartCCC" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Deinstalacje: - Przez Dodaj/Usuń programy odinstaluj: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader 8.1.0 - Polish, Adobe Shockwave Player 12.0, Java 7 Update 67. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

FRST remapuje tymczasowo liternictwo w pamięci, tak by dysk systemowy zawsze był widziany podczas skanu i usuwania pod "C:", co właśnie ma pomóc uniknąć domysłów jakie liternictwo występuje w środowisku zewnętrznym. Nic nie trzeba sprawdzać, jeśli jest uruchamiany FRST - za każdym razem przemontowuje układ. U Ciebie jest jednak pewna "wada" - w rejestrze Windows są na twardo zakodowane ścieżki kierujące na dysk "I:", stąd większość wpisów jest fałszywie przedstawiona jako "wybrakowana". Zgłaszałam to jakiś czas temu autorowi, ale korekta tego jest pracochłonna i nie wiadomo czy zostanie wdrożona. Jeśli chodzi o infekcję: 1. W Notatniku przygotuj plik o treści: HKU\PatrykG\...\Winlogon: [shell] explorer.exe,I:\Documents and Settings\PatrykG\Dane aplikacji\Other.res HKU\Administrator\...\RunOnce: [Report] => I:\AdwCleaner[s4].txt GroupPolicy: Group Policy on Chrome detected C:\Documents and Settings\PatrykG\Dane aplikacji\Other.res Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt tam gdzie siedzi FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. System powinien zostać odblokowany. Loguj się normalnie do Windows i zrób pełne raporty FRST spod Windows: KLIK. Dołącz też plik fixlog.txt.

Wszystko zostało uwidocznione na urządzeniu. Na koniec odinstaluj USBFix oraz skasuj pobrany FRST i folder C:\FRST.

W systemie nie ma oznak infekcji, zdefektowane jest tylko urządzenie. Operacja przy podpiętym telefonie: 1. Otwórz Notatnik i wklej w nim: CMD: attrib /d /s -s -h H:\* S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] HKU\S-1-5-21-439881807-2267140225-2275272404-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-439881807-2267140225-2275272404-1001\...\MountPoints2: {8bc1956d-416c-11e4-8252-448a5b2438ba} - "F:\Nokia_Link.exe" HKU\S-1-5-21-439881807-2267140225-2275272404-1001\...\MountPoints2: {fee3d220-3fd3-11e4-824f-448a5b2438ba} - "G:\Set-up.exe" CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found] CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found] C:\ProgramData\Norton Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log USBFix z opcji Listing. Dołącz też plik fixlog.txt.

Usunięcie kont to jedno. Ale dodatkowo ingerowałeś w mój skrypt. Na dysku były foldery: C:\Documents and Settings\dda\Dane aplikacji\eCyber C:\Documents and Settings\dda\Dane aplikacji\iSafe Natomiast Ty wstawiłeś rzeczy, których w raportach nie było wcale (nie ma takiego konta ani ścieżki w ogóle w żadnym spisie): C:\Documents and Settings\ddabrowski\Dane aplikacji\eCyber C:\Documents and Settings\ddabrowski\Dane aplikacji\iSafe Pomijając to, reszta zadań wykonana i przejdź do czynności finalizujących: 1. Standardowe kroki z DelFix i czyszczeniem folderów Przywracania systemu: KLIK. 2. Zmień dane logowania w serwisach (bank i podobne).

Delfix w porządku, usuń plik C:\Delfix.txt z dysku. Temat rozwiązany, zamykam. I wielkie dzięki za dotację!

To konto jest zainfekowane, uruchamia się na nim następujący wpis: HKU\S-1-5-21-2094431546-3998815993-849199213-4764\...\Run: [speechEngines] => C:\Documents and Settings\bsz\Dane aplikacji\SpeechEngines\spcommon.exe [113664 2014-11-17] (zLoBrZWvG) Czyli poprzednie instrukcje na koncie "pma" nieaktualne, wszystko zrobisz z poziomu konta "bsz": 1. Odinstaluj dziurawce: Adobe Flash Player 10 Plugin, Adobe Flash Player 11 ActiveX, Adobe Shockwave Player 11.5, Java 7 Update 65, Java™ 6 Update 33, Java™ 6 Update 5. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKU\S-1-5-21-2094431546-3998815993-849199213-4764\...\Run: [speechEngines] => C:\Documents and Settings\bsz\Dane aplikacji\SpeechEngines\spcommon.exe [113664 2014-11-17] (zLoBrZWvG) R2 tor; C:\Program Files\Tor\tor.exe [3233806 2013-09-02] () [File not signed] S3 catchme; \??\C:\DOCUME~1\DDABRO~1\USTAWI~1\Temp\catchme.sys [X] U2 CertPropSvc; No ImagePath S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S2 hoxxzuk; C:\WINDOWS\system32\xzrmiry.dll [X] NETSVC: hoxxzuk -> C:\WINDOWS\system32\xzrmiry.dll ==> No File. HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2094431546-3998815993-849199213-4764\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2094431546-3998815993-849199213-4764\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-2094431546-3998815993-849199213-4764 -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = SearchScopes: HKU\S-1-5-21-2094431546-3998815993-849199213-4764 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = SearchScopes: HKU\S-1-5-21-2094431546-3998815993-849199213-4764 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\bsz\Dane aplikacji\eCyber C:\Documents and Settings\bsz\Dane aplikacji\iSafe C:\Documents and Settings\bsz\Dane aplikacji\SpeechEngines C:\Documents and Settings\dda\Dane aplikacji\eCyber C:\Documents and Settings\dda\Dane aplikacji\iSafe C:\Documents and Settings\LocalService\Dane aplikacji\tor C:\Program Files\Tor C:\WINDOWS\grep.exe C:\WINDOWS\MBR.exe C:\WINDOWS\PEV.exe C:\WINDOWS\sed.exe C:\WINDOWS\zip.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Nie udało mi się znaleźć tej wersji komponentu u siebie, nadal szukam: C:\Windows\winsxs\amd64_microsoft-windows-t..alservices-webproxy_31bf3856ad364e35_7.2.7601.16415_none_493e0efe98a00e73\TSWbPrxy.exe [2014-04-07 19:35][2013-10-02 01:08] 0083968 ____A () CBD00AC69B92C8B884FD368098BF10B7 C:\Windows\System32\TSWbPrxy.exe [2014-04-07 19:35][2013-10-02 01:08] 0083968 ____A () CBD00AC69B92C8B884FD368098BF10B7 Naprawa reszty plików: 1. Paczka poprawnych plików z mojego systemu x64 (Pliki.zip): KLIK. Utwórz tymczasowy folder C:\TMP i w nim umieść wszystkie rozpakowane pliki oraz FRST. 2. Przygotuj w Notatniku skrypt do FRST fixlist.txt o postaci: CMD: copy /y C:\TMP\_TransactionBridgePerfCounters1.ini C:\Windows\winsxs\amd64_wcf-m_tx_bridge_perf_c_ini_31bf3856ad364e35_6.1.7600.16385_none_dc743a7047f5372e\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\msjtes40.dll C:\Windows\winsxs\x86_microsoft-windows-m..ss-components-jetes_31bf3856ad364e35_6.1.7600.16385_none_36886cdd2e3bf7e4\msjtes40.dll CMD: copy /y C:\TMP\msjtes40.dll C:\Windows\SysWOW64\msjtes40.dll CMD: copy /y C:\TMP\user32.amx C:\Windows\System32\manifeststore\user32.amx CMD: copy /y C:\TMP\user32.amx C:\Windows\winsxs\amd64_microsoft-windows-a..structure-manifests_31bf3856ad364e35_6.1.7601.17514_none_fbf16a81c9f1ea8f\user32.amx CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\Microsoft.NET\Framework64\v4.0.30319\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\Microsoft.NET\Framework\v4.0.30319\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0816\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0804\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0416\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0404\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\001F\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\001D\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0019\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0015\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0014\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0013\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0012\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0011\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0010\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\000E\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\000D\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\000C\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\000B\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\000A\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0009\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0008\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0007\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0006\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0005\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0001\_TransactionBridgePerfCounters.ini Plik fixlist.txt także umieść w folderze C:\TMP. 3. F8 > Napraw komputer > Wiersz polecenia > C:\TMP\FRST64.exe i ENTER > w FRST opcja Fix. Przedstaw wynikowy fixlog.txt utworzony w folderze C:\TMP.

Nie wiem, ale nie jest to wykluczone (próba otworzenia pliku Preferences, który jest w użyciu). Na wszelki wypadek zamknij Operę na czas wykonywania skryptu.

Nic nowego się nie pojawiło. Już prawie kończymy. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Agnese\Desktop\Dati precedenti di Firefox CMD: for /d %f in (C:\Users\Agnese\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.