picasso

Wszystko zrobione. Kończymy: 1. Napraw błąd WMI numer 10 zgłaszany w Dzienniku zdarzeń narzędziem Fix it: KLIK. 2. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek zmieniłabym login do banku.

Pomimo tych błędów w przystawce Harmonogramu przejdź do zadania \Microsoft\Windows\Defrag > z prawokliku na zadanie ScheduledDefrag pobierz Właściwości > skoryguj co jest inaczej niż domyślne ustawienia: - Karta Uprawnienia: Konto SYSTEM + Uruchom z najwyższymi uprawnieniami zaznaczone - Karta Wyzwalacze: Cotygodniowo, o godzinie 01.00, dzień środa - Karta Akcje: Uruchom program i komenda %windir%\system32\defrag.exe -c (przy czym %windir%\system32\defrag.exe wprowadzane w polu program/skrypt, a -c w polu argument) - Karta Warunki: Wszystko zaznaczone z wyjątkiem dwóch ostatnich pozycji "Wznów pracę komputera..." + "Uruchom tylko wtedy...", a dla bezczynności ustawione 3 minuty oraz 7 dni - Karta Ustawienia: wszystko zaznaczone z wyjątkiem "Po błędzie uruchom ponownie co" + "Jeśli zadanie nie jest ponownie zaplanowane". Dla "Jeśli zadanie jest już uruchomione" ustawić z listy "Nie uruchamiaj nowego wystąpienia".

OK. Wszystkie poprzednie operacje wykonane, infekcja pomyślnie usunięta. Skoro nie rozpoznajesz tego dodatku "Firefox Google Search", to musi być coś szkodliwego. Kolejna porcja czynności: 1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane dodatki Adblock Plus i Eliminator Slajdów trzeba będzie przeinstalować. 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\MATS DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt

Założyłeś temat w dziale infekcji, to na pewno nie jest ten trop, więc jeśli zmierzasz do usterki Software, to temat i tak ma kierunek conajmniej na dział Windows. Zakładając wstępnie trop softwarowy, to przychodzą na myśl filtry sprzętowe. Np. w logu widzę takie oto sterowniki sugerujące obecność filtrów (ostatnia ze świeżych instalacji to Trackball Controller): ==================== Drivers (Whitelisted) ==================== R3 moufiltr; C:\Windows\System32\DRIVERS\moufiltr.sys [7680 2009-03-08] (Windows ® Codename Longhorn DDK provider) S3 Ti64; C:\Windows\System32\DRIVERS\Ti64.sys [31232 2011-03-23] (Windows ® Codename Longhorn DDK provider) S3 Ti64; C:\Windows\SysWOW64\DRIVERS\Ti64.sys [31232 2011-03-23] (Windows ® Codename Longhorn DDK provider) 2014-11-11 00:33 - 2014-11-11 00:33 - 00001113 _____ () C:\Users\Administrator\Desktop\Trackball Controller keyboard.lnk 2014-11-11 00:33 - 2014-11-11 00:33 - 00000000 ____D () C:\Windows\Ti64 2014-11-11 00:33 - 2014-11-11 00:33 - 00000000 ____D () C:\Users\Kordian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Trackball Controller 2014-11-11 00:33 - 2014-11-11 00:33 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Trackball Controller 2014-11-11 00:33 - 2011-03-23 15:10 - 00031232 _____ (Windows ® Codename Longhorn DDK provider) C:\Windows\SysWOW64\Drivers\Ti64.sys 2014-11-11 00:33 - 2011-03-23 15:10 - 00031232 _____ (Windows ® Codename Longhorn DDK provider) C:\Windows\system32\Drivers\Ti64.sys Podaj wyciąg z rejestru dla klas urządzeń USB, woluminów i myszy. Przy okazji i wpisy puste usunę, w tym korekta tego błędu: ==================== Faulty Device Manager Devices ============= Name: AppEx Networks Accelerator LWF Description: AppEx Networks Accelerator LWF Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: APXACC Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. System errors: ============= Error: (12/04/2014 01:57:22 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi AppEx Networks Accelerator LWF z powodu następującego błędu: %%2 Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\System\CurrentControlSet\Control\Class\{36FC9E60-C465-11CF-8056-444553540000} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} /s Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Task: {8028F7CF-3C14-4BEB-B4A2-548D261AEFF5} - System32\Tasks\Norton Anti-Theft\Norton Error Processor => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: {8B179054-AB36-47CA-8F31-7FF8C3E084C0} - System32\Tasks\MSI_Dragoon Gaming Center => C:\Program Files (x86)\MSI\Dragoon Gaming Center\Dragoon Gaming Center.exe Task: {9CDA0C06-D170-43FB-AE03-8292188166FE} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {F1BA8CC8-8803-4925-B907-4F705CBC752B} - System32\Tasks\Norton Anti-Theft\Norton Error Analyzer => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe S2 APXACC; system32\DRIVERS\appexDrv.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 WINIO; \??\C:\Program Files (x86)\MSI\Dragoon Gaming Center\winio64.sys [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2521794128-4105105606-2663523909-1000\...\Run: [AdobeBridge] => [X] BHO-x32: No Name -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: No Name -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> No File BHO-x32: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File C:\Windows\System32\Tasks\Norton Anti-Theft Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Tak, dokładnie jest tu ta modyfikacja. Przechodzimy do korekty: 1. Otwórz Notatnik i wklej w nim: S4 nvvad_WaveExtensible; system32\drivers\nvvad32v.sys [X] S3 TuneUpUtilitiesDrv; \??\C:\Program Files\TuneUp Utilities 2014\TuneUpUtilitiesDriver32.sys [X] S2 TuneUp.UtilitiesSvc; "C:\Program Files\TuneUp Utilities 2014\TuneUpUtilitiesService32.exe" [X] S2 UxTuneUp; %SystemRoot%\System32\uxtuneup.dll [X] Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{00711705-12C5-420B-A4E5-6413F2AB3C7B} /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{7986d495-ce42-4926-8afc-26dfa299cadb}\InprocServer32 /v {00711705-12C5-420B-A4E5-6413F2AB3C7B} /f Reg: reg add HKLM\SOFTWARE\Classes\CLSID\{7986d495-ce42-4926-8afc-26dfa299cadb}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%SystemRoot^%\system32\authui.dll /f Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{7986d495-ce42-4926-8afc-26dfa299cadb} /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt - przedstaw go. 2. Czarny ekran powinien zniknąć. Zaloguj się do Windows i wykonaj zaległe punkty:

Jak mówiłam, nie sądzę, by to był problem infekcji. Na razie: ========= SET ========= Path=C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files (x86)\Windows Live\Shared Ustawienia Zmiennych środowiskowych do korekty, by zidentyfikować które wpisy są naprawdę "not found" a które tylko pozornymi. 1. Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe zaznacz Path i klik w Edytuj. Przeklej całą ścieżkę do Notatnika, by łatwo można było to zedytować i zamalowany na pomarańczowo blok: C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files (x86)\Windows Live\Shared ... przesuń w to miejsce: C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files (x86)\Windows Live\Shared Nie omiń żadnego średnika oddzielającego ścieżki. Tak poprawiony ciąg wklejasz w oknie edycji Path zastępując poprzedni, zapisujesz zmiany i resetujesz system. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Fix zrobiony. Te wszystkie wyniki pokazane w MBAM (szczątki adware) do usunięcia za pomocą programu - czy wykonane to zostało? Na zakończenie: 1. Usuń ręcznie folder C:\Documents and Settings\Artur\Pulpit\frst. Następnie zastosuj DelFix. 2. Sugeruję instalację Malwarebytes Anti-Exploit (dostępna darmowa wersja), by ograniczyć podobne zjawiska infekcyjne.

Następnym razem proszę powstrzymaj się przed działaniami na własną rękę. Rozmyślnie podałam tylko AdwCleaner w trybie Szukaj, ostatnio są fałszywe alarmy i w obawie, by nie poleciało za dużo jestem teraz bardzo ostrożna. No cóż, AdwCleaner wywalił nieszkodliwy wpis związany z rejestracją LiveBox: URLSearchHook: HKU\S-1-5-21-1060284298-796845957-1417001333-1005 - Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Livebox\SearchURLHook\SearchPageURL.dll () W tym przypadku jednak nic się nie stało, nie jest to ważne. O ile tego nie zrobiłeś, jeszcze DelFix i czyszczenie folderów Przywracania systemu: KLIK. Do instalacji także Internet Explorer 8 - obecnie Microsoft usunął wszystkie instalacje offline, więc uruchom Windows Update i sprawdź czy jest proponowany. .

Skan FRST nic nie widzi, ale wiem już gdzie jest usterka i jak to naprawić - naprawa jest wbrew pozorom prosta i nie rób przypadkiem reinstalacji. Plik authuitu.dll modyfikuje klasę Authentication UI Logon UI zamieniając odnośnik do systemowej biblioteki na własny. W związku z tym poproszę o dodatkowe skany przed próbą korekty wpisów rejestru. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{00711705-12C5-420B-A4E5-6413F2AB3C7B} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{7986d495-ce42-4926-8afc-26dfa299cadb} /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.

W tej sytuacji muszę już założyć po prostu, że skany były dokładne i sprawa z Sality jest ukończona. Temat uznaję za rozwiązany i zamykam. Gdyby coś się działo, poproś o otworzenie via PW.

Nie wiem skąd takie wnioski wyciągasz. Było przecież odwrotnie i temat nie został rozpoczęty bez otrzymania raportów FRST. Na dodatek w przyklejonym jest opisane, że OTL jest przestarzały i nawet nie pobiera adekwatnych danych z platformy Windows 8. Oczekuję na logi FRST - one są obowiązkowe.

Jeśli jeszcze nie użyłeś AdwCleaner, to się z nim powstrzymaj. Ostatnio sypie fałszywymi alarmami, więc w pierwszej kolejności tylko log z opcji Szukaj. Dodatkowo (zakładając że AdwCleaner nie został użyty, załączone niektóre wpisy które adresuje, ale nie wszystkie): 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1215798757-1829326793-2782969332-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=6bce43d2-752a-11e1-9f59-54424929d58e HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=6bce43d2-752a-11e1-9f59-54424929d58e SearchScopes: HKLM -> {5F363A65-66F1-4D6B-AC3E-7264A799DF99} URL = http://startsear.ch/?aff=1&src=sp&cf=6bce43d2-752a-11e1-9f59-54424929d58e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1215798757-1829326793-2782969332-1000 -> DefaultScope {5F363A65-66F1-4D6B-AC3E-7264A799DF99} URL = http://startsear.ch/?aff=1&src=sp&cf=6bce43d2-752a-11e1-9f59-54424929d58e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1215798757-1829326793-2782969332-1000 -> {2C91119B-4C8C-4B55-BA50-C1E91ABF43A3} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=9D4BD560-5673-4E8D-81FD-F822A886235D&apn_sauid=CBBC60BB-5684-43D2-8658-22328D6BB32F SearchScopes: HKU\S-1-5-21-1215798757-1829326793-2782969332-1000 -> {4762D151-CED2-45D7-9FBB-881F13508534} URL = http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc= SearchScopes: HKU\S-1-5-21-1215798757-1829326793-2782969332-1000 -> {5F363A65-66F1-4D6B-AC3E-7264A799DF99} URL = http://startsear.ch/?aff=1&src=sp&cf=6bce43d2-752a-11e1-9f59-54424929d58e&q={searchTerms} CHR HomePage: Default -> hxxp://startsear.ch/?aff=1&cf=6bce43d2-752a-11e1-9f59-54424929d58e CHR StartupUrls: Default -> "hxxp://startsear.ch/?aff=1&cf=6bce43d2-752a-11e1-9f59-54424929d58e" CHR DefaultSearchKeyword: Default -> ask.com CHR DefaultSearchURL: Default -> http://websearch.ask.com/redirect?client=cr&src=kw&tb=ORJ&o=100000027&locale=en_US&apn_uid=9D4BD560-5673-4E8D-81FD-F822A886235D&apn_ptnrs=U3&apn_sauid=CBBC60BB-5684-43D2-8658-22328D6BB32F&apn_dtid=OSJ000YYPL&q={searchTerms} CHR DefaultSuggestURL: Default -> http://ss.websearch.ask.com/query?qsrc=2922&li=ff&sstype=prefix&q={searchTerms} FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File C:\Program Files\Mozilla Firefox\extensions C:\Users\Halina\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Halina\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Halina\AppData\Roaming\driveridentifier C:\Users\Halina\AppData\Roaming\TuneUp Software EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście Ask Toolbar Updater > Dalej. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj StartSearch Video plug-in Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt .

Gładko poszło. Działania poprawkowe: 1. Przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Po przyjrzeniu się bliżej, sądzę że błąd spowodowało usunięcie pliku authuitu.dll pozostawionego po TuneUp, czyli deinstalacja TuneUp była jeszcze mniej kompletna niż sugerował to log. Ten plik jest ładowany jako część procesów Winlogon. Oczekuję na log FRST z poziomu środowiska zewnętrznego i będziemy działać dalej.

W GMER są pokazywane różne czynności, interpretacja tego czy jest to szkodliwe leży w gestii analizującego. GMER nie jest programem który pokazuje tylko i wyłącznie złe wpisy. Przechodząc do czyszczenia systemu: 1. Przez Panel sterowania odinstaluj: - Adware: Przyspiesz Komputer, Remote Desktop Access (VuuPC), webssearches uninstall, WindowsMangerProtect20.0.0.1277 - Zbędniki/stare wersje: Adobe Reader X (10.1.0) - Polish, Akamai NetSession Interface, AVG Web TuneUp, Java™ 6 Update 45. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 HKU\S-1-5-21-1308830828-1798495019-3460747243-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 HKU\S-1-5-21-1308830828-1798495019-3460747243-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} SearchScopes: HKU\S-1-5-21-1308830828-1798495019-3460747243-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} SearchScopes: HKU\S-1-5-21-1308830828-1798495019-3460747243-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} SearchScopes: HKU\S-1-5-21-1308830828-1798495019-3460747243-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={8B6E0B60-5379-4105-946E-455943DAAEB7}&mid=8a82eb747f3b47d0a582d16f5e2fd441-85df8d4512f1eaf88b037167303c81c209679137&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-12 18:13:15&v=4.0.0.19&pid=wtu&sg=&sap=dsp&q={searchTerms} FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\18.1.10\\npsitesafety.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\hyowgsfq.default\extensions\faststartff@gmail.com CHR HomePage: Default -> www.wp.pl/?src01=dp220140831 CHR DefaultSearchKeyword: Default -> webssearches CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [715656 2014-12-03] (Cherished Technololgy LIMITED) S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] HKU\S-1-5-21-1308830828-1798495019-3460747243-1000\...\Policies\Explorer: [] HKU\S-1-5-21-1308830828-1798495019-3460747243-1000\...\Policies\Explorer: [NoDrives] 8388608 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Przyspiesz Komputer C:\Program Files (x86)\SupTab C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Przyspiesz Komputer C:\ProgramData\IePluginServices C:\ProgramData\WindowsMangerProtect C:\Users\user\AppData\Local\Akamai C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\user\AppData\Roaming\dlg C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\user\AppData\Roaming\Systweak C:\Users\user\AppData\Roaming\VOPackage C:\Users\user\AppData\Roaming\webssearches C:\Users\user\Documents\PCSpeedUp C:\Windows\grep.exe C:\Windows\MBR.exe C:\Windows\PEV.exe C:\Windows\sed.exe C:\Windows\zip.exe C:\Windows\SysWow64\unrar.dll CMD: netsh advfirewall reset Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. - Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zazacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Na temat używania ComboFix: KLIK. Proszę zacząć od zasad działu, które wyszczególniają jakie logi są tu obowiązkowe: KLIK. Raport z ComboFix już zostaw, by było wiadome co robiło narzędzie.

Kolejny przypadek na forum z ogromną ilością sterowników adware (19 sztuk). Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S1 {24616444-765b-4b21-a0d9-3f0c17b29bfe}t; C:\WINDOWS\System32\drivers\{24616444-765b-4b21-a0d9-3f0c17b29bfe}t.sys [55872 2014-11-28] (StdLib) S1 {29b7765c-96a7-42da-b89f-2a7b5f6b5cba}t; C:\WINDOWS\System32\drivers\{29b7765c-96a7-42da-b89f-2a7b5f6b5cba}t.sys [55872 2014-11-30] (StdLib) S1 {397e3208-0393-47ca-9748-370b27e14021}t; C:\WINDOWS\System32\drivers\{397e3208-0393-47ca-9748-370b27e14021}t.sys [55832 2014-10-19] (StdLib) S1 {4059f7a9-d023-4137-a1c8-01f0f6fe6110}t; C:\WINDOWS\System32\drivers\{4059f7a9-d023-4137-a1c8-01f0f6fe6110}t.sys [55832 2014-10-20] (StdLib) S1 {55825785-0831-456c-8958-bd781398505d}t; C:\WINDOWS\System32\drivers\{55825785-0831-456c-8958-bd781398505d}t.sys [55872 2014-11-26] (StdLib) S1 {5eeb83d0-96ea-4249-942c-beead6847053}t; C:\WINDOWS\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}t.sys [55064 2014-09-12] (StdLib) S1 {632916e0-3570-41b8-afb5-b10d86ad94c7}t; C:\WINDOWS\System32\drivers\{632916e0-3570-41b8-afb5-b10d86ad94c7}t.sys [55832 2014-10-21] (StdLib) S1 {71d5e150-c72b-4e5b-a773-e49420251642}t; C:\WINDOWS\System32\drivers\{71d5e150-c72b-4e5b-a773-e49420251642}t.sys [55832 2014-10-22] (StdLib) S1 {8e282837-b584-46f4-a220-bfdd4678d061}t; C:\WINDOWS\System32\drivers\{8e282837-b584-46f4-a220-bfdd4678d061}t.sys [55872 2014-12-01] (StdLib) S1 {98a55059-ac5d-40d9-81ae-6bff294c9b89}t; C:\WINDOWS\System32\drivers\{98a55059-ac5d-40d9-81ae-6bff294c9b89}t.sys [55832 2014-10-19] (StdLib) S1 {c28516e7-f1f3-4437-81ce-ec213355cd9c}t; C:\WINDOWS\System32\drivers\{c28516e7-f1f3-4437-81ce-ec213355cd9c}t.sys [55872 2014-12-01] (StdLib) S1 {c393de5d-8149-4434-ab91-01ec8ea15264}t; C:\WINDOWS\System32\drivers\{c393de5d-8149-4434-ab91-01ec8ea15264}t.sys [55872 2014-11-30] (StdLib) S1 {d0ee745f-6f92-44ac-a7b8-87dfc4a60a3a}t; C:\WINDOWS\System32\drivers\{d0ee745f-6f92-44ac-a7b8-87dfc4a60a3a}t.sys [55872 2014-11-29] (StdLib) S1 {e168bb47-74a7-440b-bf7d-d17153007d6b}t; C:\WINDOWS\System32\drivers\{e168bb47-74a7-440b-bf7d-d17153007d6b}t.sys [55832 2014-10-11] (StdLib) S1 {efa349b9-003c-4506-9e55-957c1cff853c}t; C:\WINDOWS\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}t.sys [55832 2014-10-22] (StdLib) S1 {f06ee1ad-d0c2-4bf7-ada2-fa0fb563c169}t; C:\WINDOWS\System32\drivers\{f06ee1ad-d0c2-4bf7-ada2-fa0fb563c169}t.sys [55832 2014-10-15] (StdLib) S1 {fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}t; C:\WINDOWS\System32\drivers\{fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}t.sys [55832 2014-10-11] (StdLib) S1 {fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}t; C:\WINDOWS\System32\drivers\{fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}t.sys [55832 2014-10-16] (StdLib) S1 {fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}t; C:\WINDOWS\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}t.sys [55832 2014-10-13] (StdLib) S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X] S3 GMSIPCI; \??\F:\INSTALL\GMSIPCI.SYS [X] S3 KUsbGuard; \??\C:\program files\kingsoft\kingsoft antivirus\kusbquery.sys [X] S2 MaintainerSvc7.71.837357; C:\Documents and Settings\All Users\Dane aplikacji\66d59f5c-9429-4c86-9f63-c339daeaabaf\maintainer.exe [123680 2014-12-02] () S2 Util SmarterPower; "C:\Program Files\SmarterPower\bin\utilSmarterPower.exe" [X] HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ProxyEnable: [s-1-5-21-1060284298-796845957-1417001333-1005] => Internet Explorer proxy is enabled. HKU\S-1-5-21-1060284298-796845957-1417001333-1005\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140911 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140911 C:\Documents and Settings\All Users\Dane aplikacji\66d59f5c-9429-4c86-9f63-c339daeaabaf C:\WINDOWS\System32\drivers\{24616444-765b-4b21-a0d9-3f0c17b29bfe}t.sys C:\WINDOWS\System32\drivers\{29b7765c-96a7-42da-b89f-2a7b5f6b5cba}t.sys C:\WINDOWS\System32\drivers\{397e3208-0393-47ca-9748-370b27e14021}t.sys C:\WINDOWS\System32\drivers\{4059f7a9-d023-4137-a1c8-01f0f6fe6110}t.sys C:\WINDOWS\System32\drivers\{55825785-0831-456c-8958-bd781398505d}t.sys C:\WINDOWS\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}t.sys C:\WINDOWS\System32\drivers\{632916e0-3570-41b8-afb5-b10d86ad94c7}t.sys C:\WINDOWS\System32\drivers\{71d5e150-c72b-4e5b-a773-e49420251642}t.sys C:\WINDOWS\System32\drivers\{8e282837-b584-46f4-a220-bfdd4678d061}t.sys C:\WINDOWS\System32\drivers\{98a55059-ac5d-40d9-81ae-6bff294c9b89}t.sys C:\WINDOWS\System32\drivers\{c28516e7-f1f3-4437-81ce-ec213355cd9c}t.sys C:\WINDOWS\System32\drivers\{c393de5d-8149-4434-ab91-01ec8ea15264}t.sys C:\WINDOWS\System32\drivers\{d0ee745f-6f92-44ac-a7b8-87dfc4a60a3a}t.sys C:\WINDOWS\System32\drivers\{e168bb47-74a7-440b-bf7d-d17153007d6b}t.sys C:\WINDOWS\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}t.sys C:\WINDOWS\System32\drivers\{f06ee1ad-d0c2-4bf7-ada2-fa0fb563c169}t.sys C:\WINDOWS\System32\drivers\{fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}t.sys C:\WINDOWS\System32\drivers\{fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}t.sys C:\WINDOWS\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}t.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Folder: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Opera Software\Opera Stable\Extensions CMD: type "C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj starocie Adobe Reader 9.5.0 - Polish, Java 7 Update 17. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Logi nie są w stanie już nic tu dodać. Używane narzędzia diagnostyczne koncentrują się wokół dysku systemowego w specyficzny sposób, USBFix rozciągający nieco temat jest zaś bardzo powierzchownym narzędziem do podstawowego wybiórczego sprawdzania innych napędów. Żaden stosowany tu log nie jest adekwatny przy detekcji modyfikacji plików na dysku, dlatego był tu nacisk na pełne skany antywirusowe wszystkich partycji po kolei. Zakładam, że skany były rzetelne i nic sobie sztucznie nie "przyśpieszyłeś" / opuściłeś.

Nie podałeś kluczowej informacji. Zrozumiałam, że w ogóle system się nie uruchamia. Operacja LastRegBack była więc zbędna. Dziennik zdarzeń enigmatyczny: Application errors: ================== Error: (12/04/2014 02:28:44 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: LogonUI.exe, wersja: 6.1.7601.17514, sygnatura czasowa: 0x4ce79f70 Nazwa modułu powodującego błąd: USER32.dll, wersja: 6.1.7601.17514, sygnatura czasowa: 0x4ce7c9f1 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0000000000005357 Identyfikator procesu powodującego błąd: 0x1340 Godzina uruchomienia aplikacji powodującej błąd: 0xLogonUI.exe0 Ścieżka aplikacji powodującej błąd: LogonUI.exe1 Ścieżka modułu powodującego błąd: LogonUI.exe2 Identyfikator raportu: LogonUI.exe3 Zacznij od próby deinstalacji najbardziej inwazyjnych aplikacji (po jednej na raz), przeważnie zdeaktywowanych w awaryjnym: Bitdefender Internet Security / Zemana AntiLogger Free / Sandboxie - przy czym zaczęłabym od najstarszego i najbardziej złożonego BitDefender. Nie wiem czy jest możliwa jego deinstalacja w trybie awaryjnym - alternatywnie możesz skorzystać z narzędzia BitDefender Uninstall Tool (Consumer) (wybierz stosowną edycję, która była w komputerze).

Nie wiem o co chodzi, Fix nie przedstawia żadnych innych operacji niż zadane. Czy działa Ostatnia poprawna konfiguracja? Czy da się zrobić log FRST z poziomu środowiska zewnętrznego: KLIK?

Zakładając, że skan wszytkich partycji był prowadzony rzetelnie, sprawy wyglądają na ukończone. 1. Odinstaluj USBFix, usuń ręcznie pobrane narzędzia z D:\Download. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do wykonania pełna aktualizacja Windows z Windows Update. USBFix wskazuje, że w międzyczasie doinstalowałeś SP1 - ale nadal IE8. 3. Według uznania doinstaluj pełnego antywirusa z ochroną rezydentną. Dowolny z darmowych lub komercyjnych popularnych marek, byle nie niszowe egzotyczne rozwiązanie.

Dodaj raport z Farbar Service Scanner. Wg Dziennika są dwa odrębne urządzenia zgłaszane na błędach: ROOT\LENOVOVHID\0000 (Lenovo VHid Device od Lenovo Energy Management) + ROOT\WPD\0000 (Microsoft Visual Studio Location Simulator Sensor od Visual Studio). Ja bym to zostawiła na razie w spokoju, to urządzenie od Visual całkowicie wyłącz. W tym konkretnym przypadku skupiłam się na COMODO (funkcje kierują większą uwagę) i na razie zdaje się być trafiony i zatopiony. Ale uwaga ogólna: nie należy nic zakładać, niezależnie od tego ile już używasz konkretne oprogramowanie. Bieżące oprogramowanie zabezpieczające bazuje na inwazyjnych sterownikach (Avira nie jest wyjątkiem), nie są to rzeczy obojętne dla systemu, a konfiguracja nigdy nie jest identyczna (aktualizacje Windows, aktualizacje samego programu). Już tu byli użytkownicy, którym wszystko działało i "nigdy nie było problemów", aż nagle jakieś blokady w Windows, problemy ze startem i zamykaniem, BSODy etc. Usuń na stałe, dodatkowo i inne odpadki: 1. Odinstaluj jeszcze PrivDog (z zestawu COMODO). 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1716999734-2480157188-1133812662-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20140927 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20140927 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20140927 HKLM\...\Run: [CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}] => C:\ProgramData\cisCB32.exe [5181144 2014-04-16] (COMODO) S2 KMService; C:\Windows\SysWOW64\srvany.exe [8192 2014-08-24] () [File not signed] S3 cpuz137; \??\C:\Windows\TEMP\cpuz137\cpuz137_x64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] C:\Program Files (x86)\AdTrustMedia C:\ProgramData\cisCB32.exe C:\Users\Jacek\Downloads\*(*)-dp*.exe C:\Windows\system32\17A.tmp C:\Windows\system32\B655.tmp C:\Windows\SysWOW64\srvany.exe Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Wszystko zrobione. Kończymy: 1. W ostatnim podejściu usuwałam stare rozszerzenie. NET Framework z Firefox. Uruchom Firefox ponownie, by zaktualizował sobie plik extensions.ini. 2. Usuń używane narzędzia za pomocą DelFix (GMER dokasuj ręcznie): KLIK. 3. Odinstaluj stare wersje Adobe Flash i Java na korzyść najnowszych, zaktualizuj też Operę: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 10.1.102.64 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 14 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 14.0.0.125 - Adobe Systems Incorporated) ----> wtyczka dla FF Java 7 Update 60 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F03217060FF}) (Version: 7.0.600 - Oracle) Opera Stable 25.0.1614.50 (HKLM\...\Opera 25.0.1614.50) (Version: 25.0.1614.50 - Opera Software ASA)

Nareszcie. Teraz musimy dokończyć to co się poprzednio nie wykonało: 1. Z poziomu Trybu awaryjnego zaaplikuj kolejny fixlist.txt o treści: C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\tmaw22zk.default-1396274136437\Extensions\staged(2) C:\Documents and Settings\Administrator\Dane aplikacji\OpenCandy C:\Documents and Settings\Administrator\Dane aplikacji\SimilarAddon C:\Documents and Settings\Administrator\Dane aplikacji\Solvusoft C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\FileViewPro C:\WINDOWS\system32\roboot.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKLM\SOFTWARE\Mozilla\Firefox\Extensions /v {20a82645-c095-46ed-80e3-08825760534b} /f EmptyTemp: 2. Przejdź w Tryb normalny, podaj wynikowy fixlog.txt oraz nowy skan FRST (bez Addition i Shortcut).

Jest znacznie lepiej, dwa wpisy odblokowane, został trzeci: Toolbar: HKLM - QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) Toolbar: HKLM - QT TabBar - {d2bf470e-ed1c-487f-a333-2bd8835eb6ce} - C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) Toolbar: HKLM - No Name - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - No File Przejdź ponownie w Tryb awaryjny, powtórz ostatni Fix i przedstaw rezultaty.