picasso

Fixy wykonane, będą jeszcze poprawki, ale na razie odniosę się do tych aspektów: Wg listy zainstalowanych jest nowsza Java, z której może korzystać narzędzie: ==================== Installed Programs ====================== Java 8 Update 25 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218025F0}) (Version: 8.0.250 - Oracle Corporation) Czyżby to była jakaś kolejna uszkodzona instalacja? Widzisz ten wpis na liście Dodaj/Usuń programy? A skoro podejmowałeś próbę instalacji Java 7, to czy jest i ta pozycja na liście? Sprawdź czy transfer dysku nie obniżył się z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. W przypadku, gdy jako "bieżący transfer" będzie stał PIO = odinstaluj ten kanał i zresetuj system. .

1. Fix miał trudność przetwarzając ten skrót: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk => Unable to remove or repair shortcut agument. The shortcut could be damaged. W pasku adresów eksploratora wklej ścieżkę C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Skasuj zlokalizowany tam skrót Internet explorer (bez dodatków) i zastąp go tym: KLIK. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Wykonaj: 1. Odinstaluj starsze wersje Adobe Flash Player 14 ActiveX (wtyczka dla IE) + Adobe Flash Player 15 Plugin (wtyczka dla Firefox/Opera). Używasz Google Chrome, które ma własny wbudowany Flash i nie potrzebuje tych instalacji. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1426686453-4213014111-1618088604-1001\...\Run: [] => [X] HKU\S-1-5-21-1426686453-4213014111-1618088604-1001\...\Run: [FapqAywi] => regsvr32.exe "C:\ProgramData\FapqAywi\FapqAywi.dat" BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> G:\Programy\Java\bin\ssv.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> G:\Programy\Java\bin\jp2ssv.dll No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File FF Plugin HKU\S-1-5-21-1426686453-4213014111-1618088604-1001: @lightspark.github.com/Lightspark;version=1 -> C:\Program Files (x86)\Lightspark 0.5.3-git\nplightsparkplugin.dll No File S2 TBPanel; No ImagePath S3 ATICDSDr; \??\C:\Users\Siwy\AppData\Local\Temp\ATICDSDr.sys [X] testsigning: ==> Check for possible unsigned rootkit driver C:\ProgramData\FapqAywi CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, błąd RegSvr32 nie powinien się już pokazać. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Co rozumiesz przez "dane przeglądarki" = czy opcję "Usuń także dane przeglądarki" w dialogu deinstalacji, czy folder na dysku? Na tamtym forum wspominasz: O którym folderze była mowa, C:\Program Files (x86)\Google\Chrome czy C:\Users\PC\AppData\Local\Google\Chrome? Nic nie widzę w preferencjach, ale skoro problem występuje tylko w przeglądarce Google Chrome i jest czynna funkcja synchronizacji, proponuję jeszcze raz przeładować wszystko wg następujących kroków: 1. Wyłącz całkowicie synchronizację Google. Podczas gdy synchronizacja będzie wyłączona do wdrożenia punkty 2 do 4: 2. Odinstaluj Google Chrome (obecnie masz wersję 38.0.2125.122, już jest nowsza 39.0.2171.71) oraz pozostałe programy Google (Google+ Auto Backup, Picasa 3), gdyż będzie konkretne usuwanie całościowych katalogów Google. Przy okazji odinstaluj też starsze wersje Adobe Flash Player 12 ActiveX, Adobe Flash Player 12 Plugin, Java 7 Update 60. Po deinstalacji programów Google uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy pozostał ukryty wpis Google Update Helper > jeśli tak, zaznacz go do deinstalacji > Dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKU\S-1-5-21-1758756441-3301446084-1740205803-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=170 DPF: HKLM-x32 {6A060448-60F9-11D5-A6CD-0002B31F7455} Task: {1C4419F4-FF67-4420-BB7E-790B45E0A3A9} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-11-18] (Google Inc.) Task: {FD9F6D65-7057-41A8-8636-7DAD4F88C544} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-11-18] (Google Inc.) Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe C:\Program Files\Google C:\Program Files (x86)\Google C:\Users\Administrator\AppData\Local\Google C:\Users\PC\AppData\Local\Google C:\Users\PC\AppData\Roaming\appdataFr2.bin C:\Users\PC\AppData\Roaming\Opera Software C:\Users\PC\Downloads\ChromeSetup*.exe C:\Windows\BCD5545077AC4347B24F654B1189F8D4.TMP C:\Windows\SysWOW64\GroupPolicy\GPT.INI Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - przedstaw go. 4. Zainstaluj najnowszą wersję Google Chrome: KLIK. Nie włączaj synchronizacji, dopóki z serwera Google nie zostaną wyczyszczone dane. .

Zadania wykonane. Skasuj plik C:\Delfix.txt z dysku. To wszystko.

Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: Internet Speed Checker, McAfee Security Scan Plus, MyFreeCodec, Remote Desktop Access (VuuPC), webssearches uninstall, WindowsMangerProtect20.0.0.1277. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 HKU\S-1-5-21-3038848894-515659263-2552522708-1000\...\MountPoints2: {6a017db0-253e-11e4-a8d1-001180d6d3e3} - explorer.exe http://www.drei.at/inside3 HKU\S-1-5-21-3038848894-515659263-2552522708-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 HKU\S-1-5-21-3038848894-515659263-2552522708-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985&q={searchTerms} SearchScopes: HKU\S-1-5-21-3038848894-515659263-2552522708-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985&q={searchTerms} SearchScopes: HKU\S-1-5-21-3038848894-515659263-2552522708-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985&q={searchTerms} BHO: Internet Speed Checker -> {11111111-1111-1111-1111-110611171152} -> C:\Program Files\Internet Speed Checker\Internet Speed Checker-bho.dll (Speedchecker) FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\webssearches.xml FF HKLM\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\eu0bkx8n.default\extensions\faststartff@gmail.com FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-01] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-01] (globalUpdate) [File not signed] R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [715656 2014-12-01] (Cherished Technololgy LIMITED) R2 servervo; C:\Users\Admin\AppData\Roaming\VOPackage\VOsrv.exe [135680 2014-12-01] () [File not signed] R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [484352 2014-12-01] (Fuyu LIMITED) [File not signed] Task: {407B1A72-B5AA-42D8-AFBF-244ABCEDC839} - System32\Tasks\41be1e9f-3e75-475b-8e2b-470d7b4a04c0 => C:\Program Files\Internet Speed Checker\41be1e9f-3e75-475b-8e2b-470d7b4a04c0.exe [2014-12-01] (Speedchecker) Task: {5C611655-5F58-4EB6-B78E-8E9BB02F7862} - System32\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-5 => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-5.exe [2014-12-01] (Speedchecker) Task: {6F1C9165-6A8E-41AD-8FC8-A8EB7EAD4A40} - System32\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-5_user => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-5.exe [2014-12-01] (Speedchecker) Task: {7EBCF565-DC2A-46BD-9FD6-035FC622107A} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2014-12-01] (globalUpdate) Task: {8BFDBFAB-7CBD-48DC-BD9D-AC8BB4182AE3} - System32\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-2 => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-2.exe [2014-12-01] (Speedchecker) Task: {B734B160-DD8B-410B-A0FF-053D4A9FEB78} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2014-12-01] (globalUpdate) Task: {BC45FC48-E806-4AC5-AD52-1BC3B07CBE32} - System32\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-4 => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-4.exe [2014-12-01] (Speedchecker) Task: {C7F4C2BC-00C7-4952-A8C5-0C8E5745DB1E} - System32\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-1 => C:\Program Files\Internet Speed Checker\Internet Speed Checker-codedownloader.exe [2014-12-01] (Speedchecker) Task: {D4512796-E56D-4E8C-9024-9353F10E05B0} - System32\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-11 => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-11.exe [2014-12-01] (Speedchecker) Task: {F6260223-D6B6-4D41-BB6C-15ABB34ABC49} - System32\Tasks\a6aaeeac-87bc-4503-ad5c-cc38703deace => C:\Program Files\Internet Speed Checker\a6aaeeac-87bc-4503-ad5c-cc38703deace.exe [2014-12-01] () Task: C:\Windows\Tasks\41be1e9f-3e75-475b-8e2b-470d7b4a04c0.job => C:\Program Files\Internet Speed Checker\41be1e9f-3e75-475b-8e2b-470d7b4a04c0.exe Task: C:\Windows\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-1.job => C:\Program Files\Internet Speed Checker\Internet Speed Checker-codedownloader.exe Task: C:\Windows\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-11.job => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-11.exe Task: C:\Windows\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-2.job => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-2.exe Task: C:\Windows\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-4.job => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-4.exe Task: C:\Windows\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-5.job => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-5.exe Task: C:\Windows\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-5_user.job => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-5.exe Task: C:\Windows\Tasks\a6aaeeac-87bc-4503-ad5c-cc38703deace.job => C:\Program Files\Internet Speed Checker\a6aaeeac-87bc-4503-ad5c-cc38703deace.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe C:\Program Files\globalUpdate C:\Program Files\Internet Speed Checker C:\Program Files\MyFree Codec C:\Program Files\SupTab C:\ProgramData\IePluginServices C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyFree Codec C:\Users\Admin\AppData\Local\globalUpdate C:\Users\Admin\AppData\Roaming\dlg C:\Users\Admin\AppData\Roaming\webssearches C:\Users\Admin\AppData\Roaming\VOPackage C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Admin\Desktop\Continue Live Installation.lnk C:\Users\Admin\Downloads\Samsung_GSM(2G)_GT-C3750_Aktualizacja_sterownika_10-2014.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus + DownloadHelper trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Czy na pewno wkleiłeś moją komendę a nie wpisywałeś ręcznie? A jeśli wpisywałeś ręcznie, to czy na pewno tu jest: C:\Users\DOM\Desktop\1234aa.exe.exe/uninstall A nie tu: C:\Users\DOM\Desktop\1234aa.exe.exe/uninstall ?

Kończymy: 1. Uruchom AwCleaner ponownie, tym razem zastosuj kombinację Szukaj + Usuń. Log nie jest mi potrzebny. 2. Odinstaluj w poprawny sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\DOM\Desktop\1234aa.exe.exe /uninstall 3. Usuń ręcznie pobrane narzędzia z C:\Users\DOM\Desktop\scnay. Następnie zastosuj DelFix.

W raportach nie widać oznak infekcji, ale to nic nie oznacza. W preferencjach Google coś może być, skany są jednak ograniczone. Przypuszczalne przyczyny dla których nagminnie powraca problem adware w Google Chrome, mimo namolnych reinstalacji przeglądarki: 1. Reinstalowanie Google Chrome z pominięciem opcji Usuń także dane przeglądarki (usuwa profil). Widzę, że na tamtym forum "usuwali" adware downloaditkeep z Google Chrome na pół gwizdka, przetwarzali tylko katalog adware z dysku, to nie czyści preferencji i nie jest poprawną metodą deinstalacji adware (zawsze próbuje się usuwać adware w pierwszej kolejności via opcje). Jeśli więc Google było reinstalowane bez usuwania profilu, śmietnisko w preferencjach mogło pozostać. Poproszę o: - Zrób zrzut ekranu z tego miejsca: Ustawienia > karta Rozszerzenia > włącz Tryb programisty i rozwiń okna tak, by było widać wszystkie pozycje. - Skopiuj poniżej wyliczone pliki na Pulpit, spakuj oba do ZIP, shostuj gdzieś i podaj link do paczki. C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences 2. Czynna synchronizacja Google z serwerem: KLIK. Jeśli na serwerze zostały zapisane złe preferencje, w kółko będą odtwarzane z serwera Google, a przeinstalowanie przeglądarki lokalnie nie zmieni stanu rzeczy. Tak więc, czy masz włączoną tę opcję? .

Zadany Fix powtórzony więcej niż raz (co jest bez sensu - nie zostanie przetworzone ponownie to samo), to log z trzeciego podejścia (powinna być to runda numer 2): Ran by DOM at 2014-12-02 14:04:28 Run:3 Co się działo podczas próby właściwej, że uruchamiałeś Fix ponownie? Poza tym zawirowaniem wszystko zrobione. Teraz uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Finiszujemy: 1. Uruchom AdwCleaner ponownie, tym razem zastosuj sekwencję Szukaj + Usuń. Log nie jest mi potrzebny. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj najnowszy Adobe Flash dla Firefox: KLIK. To tyle.

Operacje przetworzone jak należy, ale pojawiły się nagle dodatkowe elementy (adware Hold Page uwidoczniło się w Google Chrome). Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction BHO-x32: No Name -> {6c14185e-4de6-4a79-985b-19f23fd1e638} -> No File BHO-x32: No Name -> {B15BBE59-42F5-4206-B3F0-BE98F5DC4B93} -> No File S2 Update Hold Page; "C:\Program Files (x86)\Hold Page\updateHoldPage.exe" [X] C:\Program Files (x86)\Temp C:\ProgramData\InstallMate C:\ProgramData\McAfee C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\SoftSafe C:\ProgramData\Temp C:\ProgramData\{*}.log C:\Users\DOM\AppData\Local\Freecorder 7 Audio C:\Users\DOM\AppData\Local\Freecorder 7 Converter C:\Users\DOM\AppData\Local\Freecorder 7 Video C:\Users\DOM\AppData\LocalLow\Adblock Pro C:\Users\DOM\AppData\LocalLow\Conduit C:\Users\DOM\AppData\Roaming\Freecorder 7 Audio C:\Users\DOM\AppData\Roaming\Freecorder 7 Converter C:\Users\DOM\AppData\Roaming\Freecorder 7 Video C:\windows\System32\Tasks\Symantec EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Hold Page Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenie Avast zostanie wyłączone (aktywuj ponownie w opcjach). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Akcje wykonane zgodnie z planem i powinieneś notować znaczną poprawę w działaniu systemu. Wadliwy wpis Lollipop usunę już ręcznie. Kolejna porcja czynności poprawkowych: 1. Otwórz Notatnik i wklej: C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\Temp C:\ProgramData\BitGuard C:\ProgramData\Browser Manager C:\ProgramData\BrowserProtect C:\ProgramData\Wincert C:\Users\LOSSM Gorzów Wlkp\AppData\Local\CrashDumps C:\Users\LOSSM Gorzów Wlkp\AppData\Local\Lollipop C:\Users\LOSSM Gorzów Wlkp\AppData\Local\Mobogenie C:\Users\LOSSM Gorzów Wlkp\AppData\Local\Pay-By-Ads C:\Users\LOSSM Gorzów Wlkp\AppData\LocalLow\DataMngr C:\Users\LOSSM Gorzów Wlkp\AppData\Roaming\Movies Toolbar RemoveDirectory: C:\Users\LOSSM Gorzów Wlkp\Desktop\Stare dane programu Firefox Reg: reg delete HKU\S-1-5-21-357607493-2966654472-2249740010-1004\Software\Microsoft\Windows\CurrentVersion\Uninstall\lollipop_01131035 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Sterowniki zniknęły, a problem główny jest już rozwiązany, więc kończymy. Zastosuj DelFix, jeśli coś nie zostanie usunięte to już ręcznie dokończ.

Poproszę o pełną kopię rejestru (gałąź SYSTEM) do wglądu. Spakuj do ZIP plik C:\FRST\Hives\SYSTEM, shostuj gdzieś i podaj link.

Tytuł dostosowuję do problemu - proszę trzymaj się zasad, tytuł "Proszę o sprawdzenie logów" to nie jest właściwy tytuł, logi to tylko metoda poboru informacji. Temat przenoszę do działu Windows. Brak oznak infekcji. Z raportów nic nie wynika. Sugestie: 1. Sprawdź jaki jest bieżący transfer dysku: KLIK. 2. Wyłącz wybrane wpisy ze startu. W Autoruns przeprowadź poniżej podane akcje i zresetuj system. - W karcie Logon odfajkuj Adobe ARM, NvBackend. - W karcie Services odfajkuj AdobeARMservice, NvNetworkService, NvStreamSvc, Stereo Service, SkypeUpdate, natomiast usługę AppMgmt (artefakt dodany przez ComboFix na edycji Home nie obsługującej tej usługi) usuń całkowicie. 3. Usuń LeaugeSharp - powód poniżej. 4. Błędy Youtube - zacznij od redukcji załadowanych wtyczek w Firefox. Posiadasz Adobe Flash Player 15 Plugin, więc odinstaluj Adobe Shockwave Player 12.1. Dodatkowo, w Firefox we wtyczkach wyłącz pozycje związane z ArtistScope i nVidia: FF Plugin-x32: @artistscope.com/ArtistScope Plugin -> C:\Program Files (x86)\Common Files\ArtistScope\npArtistScope.dll (ArtistScope Pty Ltd) FF Plugin-x32: @artistscope.com/ArtistScope Plugin 5 -> C:\Program Files (x86)\Common Files\ArtistScope\npArtistScope5.dll (ArtistScope Pty Ltd) FF Plugin-x32: @nvidia.com/3DVision -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation) FF Plugin-x32: @nvidia.com/3DVisionStreaming -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation) Przy braku rezultatów sprawdź czy pomoże wyłączenie akceleracji sprzętowej: KLIK. Ten cheat produkuje błędy, więc to jest dostateczny powód, by się go pozbyć: Error: (11/22/2014 06:12:34 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: LeagueSharp.Loader.exe, wersja: 1.0.0.6, sygnatura czasowa: 0x5467f00d Nazwa modułu powodującego błąd: SharpSvn.dll, wersja: 1.8991.3289.80, sygnatura czasowa: 0x538f558c Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00340920 Identyfikator procesu powodującego błąd: 0xbb8 Godzina uruchomienia aplikacji powodującej błąd: 0xLeagueSharp.Loader.exe0 Ścieżka aplikacji powodującej błąd: LeagueSharp.Loader.exe1 Ścieżka modułu powodującego błąd: LeagueSharp.Loader.exe2 Identyfikator raportu: LeagueSharp.Loader.exe3 Błędy oznaczają uszkodzenie danych Instalatora Windows - może coś za bardzo "wyczyściłeś" jakimś czyścicielem rejestru. Mówisz, że "source" jest za każdym razem inne, ale czy nazwa pliku MSI też (tu na obrazku: GFWLClient.msi)? "Niektórych rzeczy" = jakich, podaj nazwy programów oraz wszystkie błędy które widzisz. - FRST i OTL mają przecież swoje strony domowe, autoryzowane linki pobierania tylko stamtąd, z żadnych portali (nie mają nawet autoryzacji, by rehostować te programy): KLIK. Przykładowo, dobreprogramy udostępniają jakieś stare wersje FRST sprzed kilku miesięcy. Ostatnio były tu trzy przypadki na forum posługiwania się wersją z sierpnia. - CCleaner ma przejrzystą stronę pobierania, dostępne też edycje Slim (bez sponsora w instalatorze) oraz portable: KLIK - Jeśli ma się odbywać pobieranie z serwisu dobreprogramy, to tylko poprzez Linki bezpośrednie po prawej stronie, co objaśniłam w artykule: KLIK. - Trudno polecić jakiś ogólny portal, teraz prawie wszędzie są problemy (albo downloader, albo gierki z reklamami rozpraszającymi uwagę). Nawet FileHippo się zeszmaciło. Pomijając nawet problem sponsoringu, na portalach jest też inny problem: niemożność nadążenia nad zmianami i nieadekwatne informacje na temat aplikacji. Przykładowo: Windows Defender ma wypisane platformy takie jak Vista czy Windows 7, tylko że na tych systemach to komponent zintegrowany (składnik instalatora Windows) i ów link jest tylko dla starych platform XP/2003 - a potem użytkownicy mi tu wpadają na pomysły, by "przeinstalować" Defendera z dobrychprogramów. Polecam odwiedzać stronę domową programu, a nie portale, nawet jeśli pobieranie będzie trwało dłużej (każdy program odrębnie z własnej strony domowej). .

Brak trzeciego pliku FRST Shortcut. W systemie działają inwazyjne obiekty adware (m.in. "Movies Toolbar" i sterownik Sambreel), co zapewne jest przyczyną ogólnych problemów z przeglądarkami. Widzę że pobrałeś ComboFix, nie przymierzaj się do tego, nie ma potrzeby dręczyć systemu tym skanerem, nie rozwiąże on zresztą problemów. Przeprowadź następujące akcje: 1. Przez Panel sterowania odinstaluj adware Bundled software uninstaller, FilesFrog Update Checker, Lollipop, Movies Toolbar for Firefox (Dist. by Somoto Ltd.), Sweet Page oraz starą wersję Adobe Flash Player 11 Plugin. Najnowszy Adobe Flash dla Firefox zainstalujesz na szarym końcu - podam stosowny link. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}w64; C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys [48832 2014-11-12] (StdLib) R2 MaintainerSvc4.07.4104264; C:\ProgramData\398c0b96-ebd3-4f67-a5c7-1899a15c12be\maintainer.exe [123680 2014-12-02] () R1 MpKsl9cda3682; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{20FBBCDA-4F88-44AE-9A5A-CAA83DD443B9}\MpKsl9cda3682.sys [X] HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browsemngr.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browsermngr.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe IFEO\cltmngsvc.exe: [Debugger] tasklist.exe IFEO\delta babylon.exe: [Debugger] tasklist.exe IFEO\delta tb.exe: [Debugger] tasklist.exe IFEO\delta2.exe: [Debugger] tasklist.exe IFEO\deltainstaller.exe: [Debugger] tasklist.exe IFEO\deltasetup.exe: [Debugger] tasklist.exe IFEO\deltatb.exe: [Debugger] tasklist.exe IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\iminentsetup.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\rjatydimofu.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\sweetimsetup.exe: [Debugger] tasklist.exe IFEO\tbdelta.exetoolbar783881609.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe Task: {1D6CE0BA-C6F6-4CED-8CE3-1BFC86CCE691} - \WPD\SqmUpload_S-1-5-21-357607493-2966654472-2249740010-1001 No Task File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-357607493-2966654472-2249740010-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na HKU\S-1-5-21-357607493-2966654472-2249740010-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0&q={searchTerms} SearchScopes: HKLM -> {52db1893-8a90-4192-aede-08e00b8f8473} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=102&systemid=473&v=a13277-228&apn_uid=9142054734214392&apn_dtid=BND101&o=APN10640&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0&q={searchTerms} SearchScopes: HKLM-x32 -> {52db1893-8a90-4192-aede-08e00b8f8473} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=102&systemid=473&v=a13277-228&apn_uid=9142054734214392&apn_dtid=BND101&o=APN10640&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-357607493-2966654472-2249740010-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1402423066&from=cor&uid=ST500DM002-1BD142_Z3T8VQJ0XXXXZ3T8VQJ0&q={searchTerms} SearchScopes: HKU\S-1-5-21-357607493-2966654472-2249740010-1004 -> {52db1893-8a90-4192-aede-08e00b8f8473} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=102&systemid=473&v=a13277-228&apn_uid=9142054734214392&apn_dtid=BND101&o=APN10640&apn_ptnrs=AG1&q={searchTerms} BHO-x32: Windows Live Sign-in Helper -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\Ask.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\sweet-page.xml CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com?affID=na" C:\Program Files (x86)\Movies Toolbar C:\ProgramData\398c0b96-ebd3-4f67-a5c7-1899a15c12be C:\ProgramData\SafetyNut C:\Users\LOSSM Gorzów Wlkp\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\LOSSM Gorzów Wlkp\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\LOSSM Gorzów Wlkp\AppData\Local\Packages C:\Users\LOSSM Gorzów Wlkp\AppData\Local\WebPlayer C:\Users\LOSSM Gorzów Wlkp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker C:\Users\LOSSM Gorzów Wlkp\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} C:\Users\LOSSM Gorzów Wlkp\AppData\Roaming\sweet-page C:\Users\LOSSM Gorzów Wlkp\Downloads\*(*)-dp*.exe C:\Users\Public\*.tmp C:\Windows\system32\%LOCALAPPDATA% C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "mobilegeni daemon" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Yahoo! Search" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "FLV Player" /f CMD: sc config "Multimedia mobilNET. RunOuc" start= disabled CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a "C:\Users\LOSSM Gorzów Wlkp\AppData\Local" CMD: dir /a "C:\Users\LOSSM Gorzów Wlkp\AppData\LocalLow" CMD: dir /a "C:\Users\LOSSM Gorzów Wlkp\AppData\Roaming" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj adware Widget context. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. .

Logi z Administratora są bezużyteczne - inny kontekst konta i brak pokazanych wpisów charakterystycznych dla danego konta. Wymagane logi ze zdefektowanego konta Artur. Przenieś FRST ze ścieżki zależnej od konta do uniwersalnej wprost na C:\. Zastartuj do Trybu awaryjnego z Wierszem polecenia, zaloguj się na konto Artur, w linii komend wpisz C:\FRST.exe i ENTER. Dostarcz nowe logi FRST (włącznie z Addition, ale bez Shortcut).

Duża poprawa, również został usunięty defekt Usług kryptograficznych. Wymagane dalsze poprawki na szczątki adware oraz innych aplikacji (np. pozycje ffdshow i Google Chrome nadal widzę na liście zainstalowanych), w tym ściąganie filtrów Acronis z dysku twardego i woluminów USB: ========= reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318} ========= HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318} UpperFilters REG_MULTI_SZ PartMgr\0snapman\0\0 Class REG_SZ DiskDrive REG_SZ Stacje dysków Installer32 REG_SZ StorProp.Dll,DiskClassInstaller SilentInstall REG_SZ 1 NoInstallClass REG_SZ 1 TroubleShooter-0 REG_SZ hcp://help/tshoot/tsdrive.htm Icon REG_SZ -53 ========= reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} ========= HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} UpperFilters REG_MULTI_SZ VolSnap\0tdrpman\0snapman\0timounter\0\0 Class REG_SZ Volume REG_SZ Woluminy magazynu EnumPropPages32 REG_SZ StorProp.Dll,VolumePropPageProvider SilentInstall REG_SZ 1 NoInstallClass REG_SZ 1 Icon REG_SZ -53 Installer32 REG_SZ syssetup.dll,VolumeClassInstaller OPERACJE NA KONCIE MACIO: 1. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d PartMgr /f Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} /v UpperFilters /t REG_MULTI_SZ /d VolSnap /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\gupdate /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\gupdatem /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\snapman /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\timounter /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ffdshow_is1 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PDFCreator Toolbar" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IObit Malware Fighter_is1" /f Reg: reg delete HKU\S-1-5-21-343818398-823518204-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ignite /f Reg: reg delete "HKU\S-1-5-21-343818398-823518204-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search" /f Reg: reg delete HKU\S-1-5-21-343818398-823518204-725345543-1003\Software\Google\Chrome /f Reg: reg delete HKU\S-1-5-21-343818398-823518204-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-343818398-823518204-725345543-1003\Software\Mozilla\SeaMonkey /f S2 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [2283296 2014-10-28] (IObit) S2 StarWindServiceAE; E:\wav\Alcohol 120\StarWind\StarWindServiceAE.exe [370688 2009-12-23] (StarWind Software) [File not signed] S4 UleadBurningHelper; C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe [49152 2004-12-13] (Ulead Systems, Inc.) [File not signed] S2 IMFservice; C:\Program Files\IObit\IObit Malware Fighter\IMFsrv.exe [X] S2 JavaQuickStarterService; "C:\Program Files\Java\jre1.6.0_26\bin\jqs.exe" -service -config "C:\Program Files\Java\jre1.6.0_26\lib\deploy\jqs\jqs.conf" R0 tdrpman; C:\WINDOWS\System32\DRIVERS\tdrpman.sys [368480 2012-02-02] (Acronis) R2 tifsfilter; C:\WINDOWS\System32\DRIVERS\tifsfilt.sys [44384 2012-02-02] (Acronis) S3 FileMonitor; \??\C:\Program Files\IObit\IObit Malware Fighter\Drivers\wxp_x86\FileMonitor.sys [X] S3 RegFilter; \??\C:\Program Files\IObit\IObit Malware Fighter\drivers\wxp_x86\regfilter.sys [X] S3 UrlFilter; \??\C:\Program Files\IObit\IObit Malware Fighter\drivers\wxp_x86\UrlFilter.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\IMFservice => ""="Service" HKLM\...\Run: [iObit Malware Fighter] => "C:\Program Files\IObit\IObit Malware Fighter\IMF.exe" /autostart Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-823518204-725345543-1003Core.job => C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-823518204-725345543-1003UA.job => C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\ReclaimerUpdateFiles_macio.job => C:\Documents and Settings\macio\Dane aplikacji\Real\Update\UpgradeHelper\RealPlayer\11.02\agent\rnupgagent.exe Task: C:\WINDOWS\Tasks\ReclaimerUpdateXML_macio.job => C:\Documents and Settings\macio\Dane aplikacji\Real\Update\UpgradeHelper\RealPlayer\11.02\agent\rnupgagent.exe Task: C:\WINDOWS\Tasks\RNUpgradeHelperLogonPrompt_macio.job => C:\Documents and Settings\macio\Dane aplikacji\Real\Update\UpgradeHelper\RealPlayer\11.02\agent\rnupgagent.exe HKU\S-1-5-21-343818398-823518204-725345543-1003\...\Run: [Google Update] => C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [116648 2013-07-02] (Google Inc.) HKU\S-1-5-21-343818398-823518204-725345543-1003\...\Run: [Advanced SystemCare 7] => "C:\Program Files\IObit\Advanced SystemCare 7\ASCTray.exe" /auto HKU\S-1-5-21-343818398-823518204-725345543-1003\...\Run: [Yahoo! Search] => C:\Documents and Settings\macio\Dane aplikacji\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe [533352 2014-11-10] (Pay By Ads LTD) HKU\S-1-5-21-343818398-823518204-725345543-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-343818398-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na HKU\S-1-5-21-343818398-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC&q={searchTerms} HKU\S-1-5-21-343818398-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC&q={searchTerms} HKU\S-1-5-21-343818398-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC URLSearchHook: HKU\S-1-5-21-343818398-823518204-725345543-1003 - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File URLSearchHook: HKU\S-1-5-21-343818398-823518204-725345543-1003 - (No Name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - No File URLSearchHook: HKU\S-1-5-21-343818398-823518204-725345543-1003 - (No Name) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - No File SearchScopes: HKU\S-1-5-21-343818398-823518204-725345543-1003 -> DefaultScope {7BB22B29-1157-46CC-B5B7-A8E1DF62118C} URL = http://www.search.ask.com/web?tpid=ORJ-ST-SPE&o=APN11461&pf=V7&p2=^BE7^OSJ000^YY^PL&gct=sb&itbv=12.18.0.81&apn_uid=B99E999C-BAB2-48FF-98B9-AC7D90990771&apn_ptnrs=BE7&apn_dtid=^OSJ000^YY^PL&apn_dbr=Opera.exe_0_12.17.1863.0&doi=2014-10-28&trgb=IE&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-343818398-823518204-725345543-1003 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-343818398-823518204-725345543-1003 -> {7BB22B29-1157-46CC-B5B7-A8E1DF62118C} URL = http://www.search.ask.com/web?tpid=ORJ-ST-SPE&o=APN11461&pf=V7&p2=^BE7^OSJ000^YY^PL&gct=sb&itbv=12.18.0.81&apn_uid=B99E999C-BAB2-48FF-98B9-AC7D90990771&apn_ptnrs=BE7&apn_dtid=^OSJ000^YY^PL&apn_dbr=Opera.exe_0_12.17.1863.0&doi=2014-10-28&trgb=IE&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-343818398-823518204-725345543-1003 -> {F4939972-756F-40CA-A72A-2482EB2993CC} URL = http://search.aol.pl/aol/search?s_it=tb50winamp&q={searchTerms} BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll No File BHO: Ads Removal -> {9D974C8C-6D92-44FB-BEAF-B45A1C0CF17F} -> C:\Program Files\IObit\IObit Malware Fighter\adsremoval\IE\Adblock.dll No File BHO: JQSIEStartDetectorImpl Class -> {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -> C:\Program Files\Java\jre1.6.0_26\lib\deploy\jqs\ie\jqs_plugin.dll No File Toolbar: HKLM - ExplorerWnd Helper - {10921475-03CE-4E04-90CE-E2E7EF20C814} - C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1003 -> No Name - {B2E293EE-FD7E-4C71-A714-5F4750D8D7B7} - No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1003 -> No Name - {A0B1221C-A3FF-4F7C-A393-DC63AF5301E9} - No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1003 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} - No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1003 -> No Name - {4F524A2D-5354-2D53-5045-7A786E7484D7} - No File DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab DPF: {CAFEEFAC-0018-0000-0025-ABCDEFFEDCBA} http://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre1.6.0_26\lib\deploy\jqs\ff FF Plugin: @Apple.com/iTunes,version=1.0 -> C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll No File FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre1.8.0_25\bin\new_plugin\npjp2.dll No File FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin HKU\S-1-5-21-343818398-823518204-725345543-1003: opencandy.com/Ignite -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Ignite\npOCDM.1.1.4.0.dll (OpenCandy, Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{022105BD-948A-40C9-AB42-A3300DDF097F}\localserver32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe (Google Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{22181302-A8A6-4F84-A541-E5CBFC70CC43}\localserver32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.25.11\GoogleUpdateOnDemand.exe (Google Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{2F0E2680-9FF5-43C0-B76E-114A56E93598}\localserver32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.25.11\GoogleUpdateOnDemand.exe (Google Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{51F9E8EF-59D7-475B-A106-C7EA6F30C119}\localserver32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.25.11\GoogleUpdateOnDemand.exe (Google Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{6fc9af94-39ee-5a57-935c-17c37e34e33b}\InprocServer32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Ignite\npOCDM.1.1.4.0.dll (OpenCandy, Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{C3101A8B-0EE1-4612-BFE9-41FFC1A3C19D}\InprocServer32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{C442AC41-9200-4770-8CC0-7CDB4F245C55}\InprocServer32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.25.11\psuser.dll (Google Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{E67BE843-BBBE-4484-95FB-05271AE86750}\localserver32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.25.11\GoogleUpdateOnDemand.exe (Google Inc.) CustomCLSID: HKU\S-1-5-21-343818398-823518204-725345543-1003_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.25.11\psuser.dll (Google Inc.) C:\Documents and Settings\ania\Dane aplikacji\Real C:\Documents and Settings\ania\Dane aplikacji\IObit C:\Documents and Settings\macio\*.exe C:\Documents and Settings\macio\Dane aplikacji\IObit C:\Documents and Settings\macio\Dane aplikacji\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} C:\Documents and Settings\macio\Dane aplikacji\mystartsearch C:\Documents and Settings\macio\Dane aplikacji\Pay-By-Ads C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Ignite C:\Program Files\Common Files\Real C:\Program Files\Common Files\Ulead Systems C:\Program Files\Google\Update C:\Program Files\IObit C:\Program Files\Real C:\WINDOWS\Tasks\ImCleanDisabled C:\WINDOWS\system32\REN*.tmp C:\WINDOWS\system32\config\*.iobit C:\WINDOWS\system32\config\*.iodefrag.* C:\WINDOWS\system32\drivers\snapman.sys C:\WINDOWS\System32\DRIVERS\tdrpman.sys C:\WINDOWS\System32\DRIVERS\tifsfilt.sys C:\WINDOWS\system32\drivers\timntr.sys E:\wav\Alcohol 120 RestoreQuarantine: C:\FRST\Quarantine\C\Documents and Settings\All Users\Dane aplikacji\GG CMD: dir /a "C:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\ania\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\ania\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\macio\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji" Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Do usunięcia zdefektowanych wersji Java zastosuj Java Uninstall Tool. 3. Wyrejestruj martwe kodeki. Uruchom Codec Tweak Tool i zastosuj funkcję Fixes. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. OPERACJE NA KONCIE ANIA: 1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). .

To co pobrałeś to nie był instalator docelowy właściwy tylko downloader portalowy. I wygląda na to, że załatwił Cię portal dobreprogramy.pl. Na dysku widać sekwencję przeprowadzoną w ciągu dwóch minut: pobranie "Asystenta pobierania" dobrychprogramów > utworzenie folderu adware "Hold Page": 2014-11-30 21:42 - 2014-11-30 21:42 - 00000000 ____D () C:\Program Files (x86)\Movie Maker 2.6 2014-11-30 21:39 - 2014-11-30 21:48 - 00000000 ____D () C:\Program Files (x86)\Hold Page 2014-11-30 21:39 - 2014-11-30 21:39 - 07364096 _____ () C:\Users\DOM\Downloads\MM26_PL(dobreprogramy.pl).msi 2014-11-30 21:37 - 2014-11-30 21:38 - 00754240 _____ ( ) C:\Users\DOM\Downloads\Windows-Movie-Maker(11546)-dp.exe Więcej na temat tego rodzaju działań: KLIK. Nie podałeś raportu, który utworzył ComboFix. ComboFix nie jest dobrym programem do usuwania tego typu rzeczy, nie ruszył w ogóle adware. Za to w systemie zostały dorobione sztuczne obiekty np. nieistniejąca na edycjach Home usługa AppMgmt (ComboFix nie jest wolny od błędów i w systemie mogą się pojawić po "resetach" rzeczy, których uprzednio w Windows nie było). Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: Hold Page, Freecorder 7 Applications, Freecorder extension, Freecorder extension for Chrome, Freecorder extension x64, McAfee Security Scan Plus. Na temat Freecorder: KLIK. 2. Otwórz Notatnik i wklej w nim: R1 {df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64; C:\Windows\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys [48776 2014-11-29] (StdLib) U5 AppMgmt; C:\Windows\system32\svchost.exe [27648 2011-03-01] (Microsoft Corporation) S3 catchme; \??\C:\1234aa.exe168021\catchme.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1480235242-2075340924-4091109271-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1480235242-2075340924-4091109271-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1480235242-2075340924-4091109271-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 -> {CAAF45EA-FED9-4150-A588-64A3DD21CE05} URL = http://startsear.ch/?aff=1&src=sp&cf=078e0ab0-9927-11e1-bb33-dca971544231&q={searchTerms} SearchScopes: HKU\S-1-5-21-1480235242-2075340924-4091109271-1001 -> {CAAF45EA-FED9-4150-A588-64A3DD21CE05} URL = http://startsear.ch/?aff=1&src=sp&cf=078e0ab0-9927-11e1-bb33-dca971544231&q={searchTerms} Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File CustomCLSID: HKU\S-1-5-21-1480235242-2075340924-4091109271-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\DOM\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1480235242-2075340924-4091109271-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\DOM\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1480235242-2075340924-4091109271-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\DOM\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1480235242-2075340924-4091109271-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\DOM\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {108BEE63-2766-4082-94F9-A61E192C52BD} - System32\Tasks\{B7E75CE9-1262-4690-AA0A-5B03EA04AA5B} => D:\PowerPoint\Microsoft Office PowerPoint 2007 PL.exe Task: {27D837BC-2143-491D-AAB6-043871D9C48A} - System32\Tasks\{A749C1FF-4F43-4E34-8BB2-9E0759156C2F} => D:\PowerPoint\Microsoft Office PowerPoint 2007 PL.exe Task: {56C2E152-8EE1-4DF0-B489-E3118A984267} - System32\Tasks\{B1419125-866F-4406-8442-C3CA4BF07D48} => D:\NARUTOSGNTS\GAME.exe Task: {5A1E3B8E-1DD6-4885-A917-1AF56E4BDD58} - System32\Tasks\{E0BAC9A1-853D-4B28-B3A8-4814E0F48583} => C:\PROGRAMY\SubEdit-Player\subedit.exe Task: {78C543BB-5491-46F2-B572-B618DDB772C4} - System32\Tasks\Symantec\Norton Error Analyzer 18.6.0.29 => C:\Program Files (x86)\Norton Internet Security\Engine\18.6.0.29\SymErr.exe Task: {8FD4B633-27C6-4D34-904B-870C7AC40493} - System32\Tasks\{8E82E1DF-2265-4724-9017-FBDF336CF588} => D:\SpellForce - Cień Feniksa\spellforce.exe Task: {AFA14807-B62A-44BB-98BB-5394FC2D9302} - System32\Tasks\{64097DB9-622C-4BED-A5F5-946A01432E4B} => D:\NARUTOSGNTS\Dolphin.exe Task: {CC3B5B95-0F13-4475-AC8E-CB14D3680AA5} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Task: {CC94F45D-CB75-4B11-B3B7-CE2E3CA684B0} - System32\Tasks\{3844D976-0EC0-498F-9D35-5DA155B9BDEF} => D:\NARUTOSGNTS\GAME.exe Task: {D3A1BC40-F056-4BA3-B1CE-AFE331FF2774} - System32\Tasks\Symantec\Norton Error Processor 18.6.0.29 => C:\Program Files (x86)\Norton Internet Security\Engine\18.6.0.29\SymErr.exe Task: {D632650A-7DB2-49F0-AFD0-6E6E31BA5068} - System32\Tasks\{280B954B-E01B-4065-B48E-30F2D5F04042} => D:\NARUTOSGNTS\Dolphin.exe Task: {DADCEB1A-04AA-4007-BC0E-A6B622E9928D} - System32\Tasks\{1A45A83B-276F-46FB-8DF6-E3587F1EA7DD} => D:\Sniper Elite III\Sniper Elite 3\bin\SniperElite3.exe Task: {E73E0127-3400-4A10-8C53-34120909C727} - System32\Tasks\{D46EF293-11F6-406A-A7F4-140C0A7D2BBF} => D:\SpellForce - Cień Feniksa\spellforce.exe Task: {E7F3B44A-8828-4797-804E-3A60B5B45784} - System32\Tasks\{1D3E57E1-D932-47F5-B65F-65A564596CB6} => D:\SpellForce - Cień Feniksa\spellforce.exe CHR HKLM-x32\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\DOM\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [2013-02-03] CHR HKLM-x32\...\Chrome\Extension: [gpicboiclhmnllnjdcfcffifpoaebgkm] - C:\Program Files (x86)\Freecorder extension\Freecorder.crx [2012-10-13] FF Plugin HKU\S-1-5-21-1480235242-2075340924-4091109271-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File C:\Program Files\Freecorder extension x64 C:\Program Files (x86)\Freecorder extension C:\Program Files (x86)\Hold Page C:\Users\DOM\AppData\Local\CRE C:\Users\DOM\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\DOM\AppData\Local\WMTools Downloaded Files C:\Users\DOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Norton C:\Users\DOM\AppData\Roaming\Thinstall C:\Users\DOM\Downloads\*(*)-dp*.exe C:\Users\DOM\Downloads\Niepotwierdzony*.crdownload C:\Users\DOM\Downloads\wlsetup*.exe C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-1480235242-2075340924-4091109271-1000\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete HKU\S-1-5-21-1480235242-2075340924-4091109271-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-1480235242-2075340924-4091109271-1000\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete "HKU\S-1-5-21-1480235242-2075340924-4091109271-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome" /f CMD: for /d %f in (C:\Users\DOM\AppData\Local\{*}) do rd /s /q "%f" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\DOM\AppData\Local CMD: dir /a C:\Users\DOM\AppData\LocalLow CMD: dir /a C:\Users\DOM\AppData\Roaming Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz C:\ComboFix.txt. .

Nie ma żadnych zmian z Fix FRST, sterowniki adware nadal na chodzie. Powtórz punkt 3, ale usuń ze skryptu pierwszą komendę (CloseProcesses:) oraz ostatnią (EmptyTemp:). Jeśli Fix się wykona, system należy zresetować ręcznie. I dalej jak omawiane.

W tej sytuacji opuść deinstalację tych starych Oper.

Do wglądu zasady działu: KLIK. OTL to przestarzałe narzędzie sprawdzane tylko pobocznie. Obowiązkowe są raporty z FRST.

Komunikat odnoszący się do metadanych NTFS \$Extend\$Reparse (indeks linków symbolicznych) sugeruje, że nadal są uszkodzenia struktury plików na dysku. Na razie jednak powstrzymuję się przed zaleceniem innych akcji, gdyż nie mogę się doliczyć dysków twardych. Wygląda na to, że dysk z XP nie jest nawet wykrywany: FRST przedstawia układ w następujący sposób: ==================== Drives ================================ Drive c: (DANE) (Fixed) (Total:154.76 GB) (Free:19.13 GB) NTFS ----> System Vista Drive e: (LRMCFRE_PL_DVD) (CDROM) (Total:2.83 GB) (Free:0 GB) CDFS ----> płyta instalacyjna DVD Vista Drive j: (KINGSTON) (Removable) (Total:3.73 GB) (Free:0.07 GB) FAT32 ----> pendrive Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS ----> zbootowane środowisko RE z DVD Vista Drive y: () (Fixed) (Total:78.12 GB) (Free:0.16 GB) NTFS ==>[system with boot components (obtained from reading drive)] ----> "D - na pliki", wg tego odczytu są tu pliki startowe bootujące system Vista ==================== MBR & Partition Table ================== Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 232.9 GB) (Disk ID: 8AB4C816) Partition 1: (Active) - (Size=78.1 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=154.8 GB) - (Type=OF Extended) ======================================================== Disk: 5 (MBR Code: Windows XP) (Size: 3.7 GB) (Disk ID: C3072E18) ----> Pendrive Kingston Partition 1: (Active) - (Size=3.7 GB) - (Type=0C) Liternictwem się nie sugeruj, bo FRST tymczasowo przemontowuje układ liter, by dysk z Windows zawsze był widziany pod "C" podczas uruchomienia FRST - zmiana jest w pamięci tylko do następnego restartu i nie wpływa na nic. Z tego spisu wynika, że partycja z zainstalowaną Vista ~150GB (tymczasowo widziana pod literą C:) nie jest partycją startową Vista, pliki bootowania są na innej partycji ~78GB (tymczasowo widziana pod literą Y:), czyli na tej która rzekomo "nie powinna zawierać żadnych plików systemowych". Twój system Vista operuje na dwóch partycjach, partycja z Vista nie jest niezależna. * Wykryte dwa dyski, HDD z 2 partycjami oraz pendrive z jedną partycją. Opowiadasz o dwóch dyskach i trzech partycjach, wg spisu drugi dysk twardy z XP w ogóle nie jest nawet wykryty. Jeśli dysk nie został celowo odpięty, to masz tu problem natury sprzętowej - brak detekcji urządzenia. Potwierdz więc czy dysk z XP był podłączony podczas skanu FRST. Jeśli chodzi natomiast o dysk z Vista, to pliki rozruchu nie wydają się uszkodzone, bo dochodzi bardzo daleko aż do ekranu logowania. Skoro dysk z XP nie jest widziany, to komunikat o uszkodzeniu metadanych \$Extend\$Reparse zdaje się być relatywny właśnie do dysku z Vista. Jest tu używana płyta instalacyjna DVD Vista. Moduł "Napraw komputer" jest starszy niż ekwiwalent w płytach Windows 7. Płyty Windows 7 posiadają pewne ulepszenia (m.in. obchodzące problem uszkodzenia metadanych). Rozważam czy by coś pomogło zastosowanie płyty Windows 7. * Nawiasem mówiąc: Wg spisu Twoja partycja z Vista to nie jest partycja podstawowa tylko rozszerzona, a na takiej nie mogą być instalowane pliki startowe systemu (wymagają partycji podstawowej aktywnej) i w sytuacji niekompatybilnej partycji następuje rozdzielenie systemu per se od jego plików startowych (plik BOOTMGR i folder Boot) - instalator szuka pierwszej w kolejności partycji podstawowej aktywnej i na niej lokuje pliki. Pierwsza podstawowa aktywna partycja w środowisku zewnęrznym zawsze otrzymuje literę C, dlatego Twój układ jest widziany "na odwrót" z poziomu DVD instalacyjnej Vista.

Błąd produkujący ten defekt został już naprawiony w FRST. Ale nadal u Ciebie jest ten zablokowany klucz. Proszę zresetuj system i podaj nowy skan FRST (bez Addition i Shortcut), w celu weryfikacji czy ten efekt się utrzymuje nadal.