picasso

System jest w bardzo złym stanie. W raportach widoczne następujące problemy: - Kupa problematycznych sterowników: Mnóstwo sterowników adware. Fatalne skomasowanie dwóch potężnych instalacji Avast + niepoprawnie odinstalowany stary AVG - i ten układ jest jeszcze zaprawiony przez trzeci sterownikowy program, co dopiero doinstalowany IObit Malware Fighter (w ogóle zbędny przy antywirusach). Ponadto, na liście zainstalowanych nie ma śladów instalacji Acronis, a ładowana jest cała grupa powiązanych sterowników, sterowniki filtrują dysk twardy i trzeba będzie rozwiązać filtr przed jakąkolwiek próbą ich usuwania. Jedna z tych sytuacji, a może ich połączenie, to prawdopodobna przyczyna BSOD i niemożności załadowania systemu. - Uszkodzenie funkcjonalności Usług kryptograficznych. Wszystkie usługi / sterowniki Microsoftu są przedstawione jako niepodpisane cyfrowo. Te programy nie są istotne. W systemie za to jest sterownik SPTD pozostawiony przez instalację Alcohol. Alcohol wygląda na odinstalowany (martwe skróty w Menu Start), więc sterownik będę usuwać. Wstępnie: AKCJE Z POZIOMU TRYBU AWARYJNEGO: 1. Zastosuj AVG Remover. 2. Uruchom plik C:\Program Files\IObit\IObit Malware Fighter\unins000.exe. Nie wiem czy deinstalacja jest możliwa z poziomu Trybu awaryjnego. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S1 {1b466f6c-dc3a-43cc-be85-cf3645641e49}t; C:\WINDOWS\System32\drivers\{1b466f6c-dc3a-43cc-be85-cf3645641e49}t.sys [55872 2014-10-22] (StdLib) S1 {2d11e69f-33c6-44c6-ac04-bb1b36bd5d05}t; C:\WINDOWS\System32\drivers\{2d11e69f-33c6-44c6-ac04-bb1b36bd5d05}t.sys [55872 2014-11-22] (StdLib) S1 {2e099d13-43b4-4786-97b8-180d8e368316}t; C:\WINDOWS\System32\drivers\{2e099d13-43b4-4786-97b8-180d8e368316}t.sys [55872 2014-11-28] (StdLib) S1 {2ed6f06d-c282-422a-bd97-39d8f3b7bfbe}t; C:\WINDOWS\System32\drivers\{2ed6f06d-c282-422a-bd97-39d8f3b7bfbe}t.sys [55872 2014-11-30] (StdLib) S1 {3bcd1a06-f942-43b2-83f3-1b446001ad4c}t; C:\WINDOWS\System32\drivers\{3bcd1a06-f942-43b2-83f3-1b446001ad4c}t.sys [55872 2014-11-03] (StdLib) S1 {4658e599-44ac-4503-ad88-1bb24d581e6b}t; C:\WINDOWS\System32\drivers\{4658e599-44ac-4503-ad88-1bb24d581e6b}t.sys [55872 2014-11-26] (StdLib) S1 {487feb77-84bf-4620-9b7d-e3091f0d8c1a}t; C:\WINDOWS\System32\drivers\{487feb77-84bf-4620-9b7d-e3091f0d8c1a}t.sys [55872 2014-11-25] (StdLib) S1 {5f8e00a8-575d-48e6-8d65-64af80d8d3c1}t; C:\WINDOWS\System32\drivers\{5f8e00a8-575d-48e6-8d65-64af80d8d3c1}t.sys [55872 2014-10-29] (StdLib) S1 {66ebe552-c0b3-42d2-8572-ea4c8b37cf9e}t; C:\WINDOWS\System32\drivers\{66ebe552-c0b3-42d2-8572-ea4c8b37cf9e}t.sys [55872 2014-11-29] (StdLib) S1 {69344dc5-97c6-446f-ab93-78620f9ce080}t; C:\WINDOWS\System32\drivers\{69344dc5-97c6-446f-ab93-78620f9ce080}t.sys [55872 2014-11-16] (StdLib) S1 {ac0ddd40-091b-4a3f-89cd-5279f84da3bc}t; C:\WINDOWS\System32\drivers\{ac0ddd40-091b-4a3f-89cd-5279f84da3bc}t.sys [55872 2014-11-19] (StdLib) S1 {af16652c-3cdd-4795-b89b-2d9cf16806d6}Gt; C:\WINDOWS\System32\drivers\{af16652c-3cdd-4795-b89b-2d9cf16806d6}Gt.sys [55872 2014-10-07] (StdLib) S1 {af16652c-3cdd-4795-b89b-2d9cf16806d6}t; C:\WINDOWS\System32\drivers\{af16652c-3cdd-4795-b89b-2d9cf16806d6}t.sys [55872 2014-10-20] (StdLib) S1 {b6bca5b8-0633-4bd4-aff8-a8eac231017e}t; C:\WINDOWS\System32\drivers\{b6bca5b8-0633-4bd4-aff8-a8eac231017e}t.sys [55872 2014-11-12] (StdLib) S1 {c1080099-5e1a-43c5-80f0-41cd67821448}t; C:\WINDOWS\System32\drivers\{c1080099-5e1a-43c5-80f0-41cd67821448}t.sys [55872 2014-11-27] (StdLib) S1 {cc1c7882-de6a-4305-8b39-485dcaa147b6}t; C:\WINDOWS\System32\drivers\{cc1c7882-de6a-4305-8b39-485dcaa147b6}t.sys [55872 2014-11-13] (StdLib) S1 {d0e4096d-22f7-4d51-86f7-85e4dcb81f43}t; C:\WINDOWS\System32\drivers\{d0e4096d-22f7-4d51-86f7-85e4dcb81f43}t.sys [55872 2014-10-25] (StdLib) S1 {f7ba53d8-c3df-4a43-84a3-af76826da955}t; C:\WINDOWS\System32\drivers\{f7ba53d8-c3df-4a43-84a3-af76826da955}t.sys [55872 2014-10-31] (StdLib) S1 {f8625ba0-c2d7-40f8-b773-382964b0698d}t; C:\WINDOWS\System32\drivers\{f8625ba0-c2d7-40f8-b773-382964b0698d}t.sys [55872 2014-11-07] (StdLib) S2 APNMCP; C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe [166296 2014-10-30] (APN LLC.) S2 MaintainerSvc3.93.1720192; C:\Documents and Settings\All Users\Dane aplikacji\cab4fbb2-1ac7-44d2-9b7d-0c921d8827f4\maintainer.exe [123680 2014-11-30] () S2 Update allgenius; C:\Program Files\allgenius\updateallgenius.exe [526112 2014-11-30] () S2 Util allgenius; C:\Program Files\allgenius\bin\utilallgenius.exe [526112 2014-11-30] () S0 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [436792 2011-10-07] (Duplex Secure Ltd.) S1 StarOpen; C:\WINDOWS\system32\Drivers\StarOpen.sys [5632 2006-07-24] () [File not signed] S3 ASFWHide; \??\C:\DOCUME~1\macio\USTAWI~1\Temp\ASFWHide [X] S3 LVUSBSta; system32\DRIVERS\LVUSBSta.sys [X] S3 MarkFun_NT; \??\C:\Program Files\Gigabyte\Face_wizard\markfun.w32 [X] S3 PID_0928; system32\DRIVERS\LV561AV.SYS [X] S3 ucenkpec; No ImagePath U3 Winsock - Google Desktop Search Backup Before First Install; No ImagePath U3 Winsock - Google Desktop Search Backup Before Last Install; No ImagePath HKLM\...\Run: [ApnTBMon] => C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [2039192 2014-11-24] (APN) HKLM\...\Run: [TkBellExe] => C:\Program Files\Common Files\Real\Update_OB\realsched.exe [185896 2008-09-04] (RealNetworks, Inc.) HKLM\...\Run: [sunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [253816 2013-03-12] (Oracle Corporation) BootExecute: autocheck autochk * C:\PROGRA~1\AVG\AVG10\avgchsvx.exe /syncC:\PROGRA~1\AVG\AVG10\avgrsx.exe /sync /restartSmartDefragBootTime.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC URLSearchHook: HKU\S-1-5-21-343818398-823518204-725345543-1004 - SearchHook Class - {D8278076-BC68-4484-9233-6E7F1628B56C} - C:\Program Files\AskPartnerNetwork\Toolbar\searchhook.dll (APN LLC.) URLSearchHook: HKU\S-1-5-21-343818398-823518204-725345543-1004 - (No Name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No File HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://rts.dsrlte.com/?m=tab&affID=na" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC&q={searchTerms} SearchScopes: HKU\S-1-5-21-343818398-823518204-725345543-1004 -> {9877429D-11F8-4E95-BF19-FCEDF718F3A7} URL = http://www.search.ask.com/web?tpid=ORJ-ST-SPE&o=APN11461&pf=V7&p2=^BE7^OSJ000^YY^PL&gct=sb&itbv=12.18.0.81&apn_uid=B99E999C-BAB2-48FF-98B9-AC7D90990771&apn_ptnrs=BE7&apn_dtid=^OSJ000^YY^PL&apn_dbr=Opera.exe_0_12.17.1863.0&doi=2014-10-28&trgb=IE&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-343818398-823518204-725345543-1004 -> {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6OyZQHDG3O&loc=skw&search={searchTerms} BHO: Shopping App by Ask -> {4F524A2D-5354-2D53-5045-7A786E7484D7} -> C:\Program Files\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport.dll (APN LLC.) BHO: allgenius 1.0.0.4 -> {963e8e8b-052d-46d7-abe6-6728f612ae99} -> C:\Program Files\allgenius\allgeniusBHO.dll (allgenius) BHO: allgenius -> {b69e6465-8844-4d10-8a6f-22d056e4c2bf} -> C:\Program Files\allgenius\allgeniusbho.dll (allgenius) Toolbar: HKLM - No Name - {a0b1221c-a3ff-4f7c-a393-dc63af5301e9} - No File Toolbar: HKLM - Shopping App by Ask - {4F524A2D-5354-2D53-5045-7A786E7484D7} - C:\Program Files\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport.dll (APN LLC.) Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1004 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1004 -> No Name - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1004 -> No Name - {51A86BB3-6602-4C85-92A5-130EE4864F13} - No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1004 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1004 -> No Name - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1004 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-343818398-823518204-725345543-1004 -> No Name - {A0B1221C-A3FF-4F7C-A393-DC63AF5301E9} - No File ShellIconOverlayIdentifiers: ["DropboxExt1"] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt2"] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt3"] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt4"] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt5"] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt6"] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt7"] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt8"] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => No File DPF: {68282C51-9459-467B-95BF-3C0E89627E55} DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0045-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_45-windows-i586.cab DPF: {CAFEEFAC-0018-0000-0025-ABCDEFFEDCBA} http://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab FF Plugin: yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 -> C:\Program Files\Yahoo!\Common\npyaxmpb.dll No File FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\Program Files\Real\RealPlayer\browserrecord FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [{1E73965B-8B48-48be-9C8D-68B920ABC1C4}] - C:\Program Files\AVG\AVG10\Firefox4 FF HKLM\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Documents and Settings\macio\Dane aplikacji\Mozilla\Firefox\Profiles\wd1c8wso.default\extensions\faststartff@gmail.com FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC C:\Documents and Settings\All Users\Dane aplikacji\uxxadbmu.rlu C:\Documents and Settings\All Users\Dane aplikacji\188F1432-103A-4ffb-80F1-36B633C5C9E1 C:\Documents and Settings\All Users\Dane aplikacji\ashampoo C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\Documents and Settings\All Users\Dane aplikacji\AVG10 C:\Documents and Settings\All Users\Dane aplikacji\Badoo C:\Documents and Settings\All Users\Dane aplikacji\cab4fbb2-1ac7-44d2-9b7d-0c921d8827f4 C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10 C:\Documents and Settings\All Users\Dane aplikacji\GG C:\Documents and Settings\All Users\Dane aplikacji\Grisoft C:\Documents and Settings\All Users\Dane aplikacji\install_clap C:\Documents and Settings\All Users\Dane aplikacji\MFAData C:\Documents and Settings\All Users\Dane aplikacji\OpenFM C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\Tlen.pl C:\Documents and Settings\All Users\Dane aplikacji\tmp C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software C:\Documents and Settings\All Users\Dane aplikacji\Ulead Systems C:\Documents and Settings\All Users\Menu Start\Programy\Gadu-Gadu 10.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Skype.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Switch Sound File Converter.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Canon Utilities C:\Documents and Settings\All Users\Menu Start\Programy\Alcohol 120% C:\Documents and Settings\All Users\Menu Start\Programy\Audio Related Programs C:\Documents and Settings\All Users\Menu Start\Programy\Java C:\Documents and Settings\All Users\Menu Start\Programy\NCH Software Suite C:\Documents and Settings\All Users\Menu Start\Programy\Ski Jump International C:\Documents and Settings\ania\Dane aplikacji\AutoUpdate C:\Documents and Settings\ania\Dane aplikacji\AVG C:\Documents and Settings\ania\Dane aplikacji\AVG10 C:\Documents and Settings\ania\Dane aplikacji\Pay-By-Ads C:\Documents and Settings\ania\Dane aplikacji\TuneUp Software C:\Documents and Settings\ania\Dane aplikacji\VSRevoGroup C:\Documents and Settings\ania\Pulpit\Nieużywane skróty pulpitu C:\Documents and Settings\Default User\Dane aplikacji\TuneUp Software C:\Documents and Settings\LocalService\Dane aplikacji\AVG C:\Documents and Settings\LocalService\Dane aplikacji\Systweak C:\Documents and Settings\LocalService\Dane aplikacji\TuneUp Software C:\Program Files\*.tmp C:\Program Files\globalUpdate C:\Program Files\Mozilla Firefox\extensions C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\*.tmp C:\WINDOWS\System32\roboot.exe C:\WINDOWS\System32\unrar.dll C:\WINDOWS\System32\drivers\{1b466f6c-dc3a-43cc-be85-cf3645641e49}t.sys C:\WINDOWS\System32\drivers\{2d11e69f-33c6-44c6-ac04-bb1b36bd5d05}t.sys C:\WINDOWS\System32\drivers\{2e099d13-43b4-4786-97b8-180d8e368316}t.sys C:\WINDOWS\System32\drivers\{2ed6f06d-c282-422a-bd97-39d8f3b7bfbe}t.sys C:\WINDOWS\System32\drivers\{3bcd1a06-f942-43b2-83f3-1b446001ad4c}t.sys C:\WINDOWS\System32\drivers\{4658e599-44ac-4503-ad88-1bb24d581e6b}t.sys C:\WINDOWS\System32\drivers\{487feb77-84bf-4620-9b7d-e3091f0d8c1a}t.sys C:\WINDOWS\System32\drivers\{5f8e00a8-575d-48e6-8d65-64af80d8d3c1}t.sys C:\WINDOWS\System32\drivers\{66ebe552-c0b3-42d2-8572-ea4c8b37cf9e}t.sys C:\WINDOWS\System32\drivers\{69344dc5-97c6-446f-ab93-78620f9ce080}t.sys C:\WINDOWS\System32\drivers\{ac0ddd40-091b-4a3f-89cd-5279f84da3bc}t.sys C:\WINDOWS\System32\drivers\{af16652c-3cdd-4795-b89b-2d9cf16806d6}Gt.sys C:\WINDOWS\System32\drivers\{af16652c-3cdd-4795-b89b-2d9cf16806d6}t.sys C:\WINDOWS\System32\drivers\{b6bca5b8-0633-4bd4-aff8-a8eac231017e}t.sys C:\WINDOWS\System32\drivers\{c1080099-5e1a-43c5-80f0-41cd67821448}t.sys C:\WINDOWS\System32\drivers\{cc1c7882-de6a-4305-8b39-485dcaa147b6}t.sys C:\WINDOWS\System32\drivers\{d0e4096d-22f7-4d51-86f7-85e4dcb81f43}t.sys C:\WINDOWS\System32\drivers\{f7ba53d8-c3df-4a43-84a3-af76826da955}t.sys C:\WINDOWS\System32\drivers\{f8625ba0-c2d7-40f8-b773-382964b0698d}t.sys C:\WINDOWS\System32\Drivers\sptd.sys C:\WINDOWS\system32\Drivers\StarOpen.sys Hosts: CMD: netsh firewall reset Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Translate this web page with Babylon" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Translate with Babylon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\MenuExt\Translate this web page with Babylon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\MenuExt\Translate with Babylon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox 4.0.1 (x86 pl)" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318} Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. AKCJE Z POZIOMU TRYBU NORMALNEGO: Sprawdź czy jesteś w stanie wejść w Tryb normalny. Jeśli tak: 1. Uruchom narzędzie Fix It 50202 (zaznacz tryb agresywny): KLIK. To narzędzie działa na XP, a tryb agresywny resetuje bazę Usług kryptograficznych. 2. Przez Dodaj/Usuń programy odinstaluj: Adware: allgenius, mystartsearch uninstall, Shopping App by Ask. Stare wersje i zbędniki: Adobe Download Assistant, Adobe Flash Player 9 ActiveX, Adobe Flash Player 10 ActiveX, Adobe Flash Player 15 Plugin, Adobe Shockwave Player 11.6, ffdshow [rev 2975] [2009-05-28], Foxit Reader 5.1, Google Chrome, Java™ 6 Update 12, Java™ 6 Update 26, Java™ 6 Update 32, Java 7 Update 25, Opera 12.15, Opera 12.17, RealPlayer, Surfing Protection. Sugeruję pozbyć się wszystkich pozostałych programów IOBit: Advanced SystemCare 7, Driver Booster 2, IObit Uninstaller, Smart Defrag 3 . Firma ma grzeszki na sumieniu (adware w instalatorach, podejrzane związki partnerskie, kradzież bazy danych MBAM w przeszłości), nie pokładam żadnego zaufania i programów nie polecam. Na razie nie instaluj żadnych nowych wersji, to na szarym końcu. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. W systemie są dwa konta, wymagane logi z każdego z osobna: ========================= Accounts: ========================== ania (S-1-5-21-343818398-823518204-725345543-1004 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\ania macio (S-1-5-21-343818398-823518204-725345543-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\macio Po kolei zaloguj się na każde konto poprzez pełny restart komputera (a nie opcję Wyloguj lub Przełącz użytkownika). Na każdym koncie zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Wszystko zrobione. Kończymy: 1. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zainstaluj najnowszy Adobe Flash dla Firefox: KLIK. 2. Proponowany program zabezpieczający przez exploitami: Malwarebytes Anti-Exploit (dostępna darmowa edycja).

Na razie nie kontynuuję dalszych operacji czyszczących, gdy: 12 KB w uszkodzonych sektorach - proszę załóż nowy temat w dziale Hardware (linkując tu do tematu) i podając dane wymagane do diagnostyki sprzętowej dysku: KLIK.

Mała poprawka. Otwórz Notatnik i wklej w nim: Replace: C:\FRST\Quarantine\regsvr32.exe30-11-2014_13-44-33 C:\Windows\system32\regsvr32.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Mimo że błąd explorer.exe już nie występuje, na wszelki wypadek podaj ten log z ShellExView.

Nowa niekorzystna zmiana w systemie. W trakcie czynności doinstalowałeś wątpliwy skaner SpyHunter - program z czarnej listy, który stosuje naciski socjotechniczne i reklamodawcze (reklamuje się jako dedykowany usuwacz infekcji "A" lub "B"), by go zainstalować, a po instalacji miły komunikat o opłatach, bo o to tu chodzi. Odinstaluj go. Z poleceń prawie wszystko zrobione, z wyjątkiem jednej komendy. Poproszę o dodatkowe dane - otwórz Notatnik i wklej w nim: Folder: C:\FRST\Quarantine RemoveDirectory: C:\Users\Filip\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.

Nie wiem ile obecnie wolnego miejsca zostało na dysku C. Mogę się odnieść do wcześniejszych wyników. Statystyki z samego początku: ==================== Drives ================================ Drive c: (ACER) (Fixed) (Total:51.14 GB) (Free:15.67 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: (DATA) (Fixed) (Total:50.89 GB) (Free:50.61 GB) NTFS Drive h: (Expansion Drive) (Fixed) (Total:465.76 GB) (Free:158.6 GB) NTFS ==================== MBR & Partition Table ================== Disk: 0 (Size: 111.8 GB) (Disk ID: C2D6B1CA) Partition 1: (Not Active) - (Size=9.8 GB) - (Type=27) Partition 2: (Active) - (Size=51.1 GB) - (Type=06) Partition 3: (Not Active) - (Size=50.9 GB) - (Type=07 NTFS) ======================================================== Disk: 1 (Size: 465.8 GB) (Disk ID: 0C3057C5) Partition 1: (Not Active) - (Size=465.8 GB) - (Type=07 NTFS) Po akcjach w temacie zyskane tylko niecałe 2GB: ==================== Drives ================================ Drive c: (ACER) (Fixed) (Total:51.14 GB) (Free:17.39 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: (DATA) (Fixed) (Total:50.89 GB) (Free:50.61 GB) NTFS Drive h: (Expansion Drive) (Fixed) (Total:465.76 GB) (Free:158.3 GB) NTFS Prawdopodobnie w prosty sposób nie można zmienić układu partycji / ich rozmiaru i są wymagane szczególne działania zaawansowane, gdyż dysk posiada ukrytą partycję ~10GB z Recovery Acer. Prawdopodobnie jest uwzględniona sztywna geometria dysku i po zmianie rozmiarów partycji C+D sposobami standardowymi zostanie uszkodzony dostęp do Recovery. Miejsce na dysku nie jest stałe i nie będzie, w Windows zachodzi wiele procesów, które powoduje fluktuacje miejsca. Wg statystyk podanych wyżej poblemem raczej nie było miejsce na dysku, zwolniło się tylko niecałe 2GB, co ja nie podepnę pod frazę "zrobiło się luźno". Póki co, to efekty końcowe wskazują, że jest tu problem z czymś innym - logi sugerują brak pamięci (wysoki procent pamięci w użyciu). A osobiste dane należy dla własnego bezpieczeństwa starać się trzymać na innej partycji niż systemowa C. PS. Nawiasem mówiąc ostatni z dostarczonych logów FRST i tak był źle zrobiony (nie mogę się doprosić o odznaczenie pola Services) i się poddałam.

Kolejna porcja czynności: 1. Odinstaluj starą dziurawą wersję Adobe Flash Player 10 Plugin (wersja dla Firefox). Dodatkowo, rozważ deinstalację Expat Shield - reputacja: KLIK. 2. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware PodoWeb oraz szczątek AVG Secure Search. Wydaje mi się też, że należy wyrzucić Custom new tab, Define your own new tab! - rozszerzenia wyglądają na stare, nie istnieją już w sklepie Chrome Web Store, a jest tu nowa wersja Google Chrome 39.0.2171.71 która blokuje rozszerzenia spoza sklepu i prawdopodobnie oba rozszrzenia i tak są nieczynne. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2868711597-264946777-3682003278-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trovi.com/?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M25BB64EB-7F01-44D8-A0BE-782BE4DE1A8F&SearchSource=55&CUI=&UM=6&UP=SPF57C8540-833E-4D13-8C99-E145079A25A9&SSPV= SearchScopes: HKU\S-1-5-21-2868711597-264946777-3682003278-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M25BB64EB-7F01-44D8-A0BE-782BE4DE1A8F&SearchSource=58&CUI=&UM=6&UP=SPF57C8540-833E-4D13-8C99-E145079A25A9&q={searchTerms}&SSPV= HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2868711597-264946777-3682003278-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction RestoreQuarantine: C:\FRST\Quarantine\C\Windows\System32\regsvr32.exe.xBAD C:\ProgramData\boost_interprocess Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny fixlog.txt. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Nawet nie wiadomo czy format rozwiąże sprawę. Wyraźnie zgłaszasz nie tylko problem z Windows na dysku, ale i z odseparowanym środowiskiem zewnętrznym, co może insynuować problem natury sprzętowej: Mógłbyś ostatecznie podać raport z FRST dla ogólnej orientacji. Raport jest limitowany do określonych aspektów.

O ile dobrze rozumiem, przed restartem ikona jest, po restarcie brak. Sprawdź czy pomoże przeładowanie bufora ikon: Start > w polu szukania wpisz cmd > uruchom i zostaw okno otwarte. Uruchom menedżer zadań i zabij proces explorer.exe. Następnie w otwartym oknie cmd wklep dwie komendy, każdą zatwierdzając ENTER: cd %userprofile%\AppData\Local del /a:h IconCache.db W menedżerze zadań z menu Plik > Nowe zadanie uruchom explorer.exe.

Posiadasz wejście do środowiska WinRE, które daje duże możliwości dostępu do danych: KLIK. W Wierszu polecenia można odpalić dla ułatwienia graficzną wersję jakiegoś menedżera plików portable, który może pracować w środowisku zewnętrznym. Np. dla systemu 32-bit nadaje się FreeCommander (wersja ZIP). Umieszczasz rozpakowany program na pendrive w folderze o nazwie "freecommander", w Wierszu polecenia startujesz program komendą X:\freecommander\freecommander.exe (X = litera pod jaką widać pendrive w środowisku zewnętrznym) i migrujesz dane między napędami.

W systemie zagnieździła się wersja infekcji, któa modyfikuje systemową usługę Winmgmt, stąd start do Windows nie jest możliwy. Przeprowadź następujące działania: 1. W Notatniku wklej: HKU\Filip\...\Policies\Explorer: [] AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll => C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll File Not Found AppInit_DLLs-x32: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll => "C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll" File Not Found Startup: C:\Users\Filip\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8CB6068E6.lnk S2 Winmgmt; C:\ProgramData\8CB6068E6.zot [350208 2014-11-30] () S2 HiPatchService; D:\Hi-Rez Studios\HiPatchService.exe [X] S2 Update PodoWeb; "C:\Program Files (x86)\PodoWeb\updatePodoWeb.exe" [X] S2 Util PodoWeb; "C:\Program Files (x86)\PodoWeb\bin\utilPodoWeb.exe" [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 SPPD; \??\C:\Windows\system32\drivers\SPPD.sys [X] S1 {00c97d86-accb-4288-9972-6d929c1fe93a}Gw64; system32\drivers\{00c97d86-accb-4288-9972-6d929c1fe93a}Gw64.sys [X] S1 {19b94dbb-e67e-43ec-827b-c943f0fc9c16}Gw64; system32\drivers\{19b94dbb-e67e-43ec-827b-c943f0fc9c16}Gw64.sys [X] S1 {972b8ad0-9d6f-4688-9227-759df6914df4}Gw64; system32\drivers\{972b8ad0-9d6f-4688-9227-759df6914df4}Gw64.sys [X] S1 {c0b542ce-0b43-4536-9ff3-886eaf9fb44c}w64; system32\drivers\{c0b542ce-0b43-4536-9ff3-886eaf9fb44c}w64.sys [X] GroupPolicy: Group Policy on Chrome detected C:\ProgramData\6E8606BC8.cpp C:\ProgramData\8CB6068E6.zot C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321 C:\Users\Filip\AppData\Local\cache Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt na pendrive, skąd jest uruchamiany FRST. Uruchom FRST i kliknij w Fix. Na pendrive powstanie plik fixlog.txt. 2. System zostanie odblokowany. Zaloguj się normalnie do Windows i zrób nowe logi FRST spod Windows (FRST.txt, Addition.txt i Shortcut.xt): KLIK. Dołącz też plik fixlog.txt. .

Co z resztą kroków - log z ShellExView oraz instalacja Adobe Flash? Ale która operacja uczyniła największą różnicę w starcie systemu, deaktywacje w Autoruns czy deinstalacja AVG? Jeśli to pierwsze, AVG wraca na miejsce. Jeśli to drugie, nie, tylko szukasz innego antywirusa, który nie spowalnia startu.

Skoro krok numer jeden pomógł, kroki 2+3 nie są już potrzebne (pierwszy log FRST nadal aktualny do dalszych operacji i nie potrzebuję nowego). Miałeś jednak dostarczyć wyniki skanowania dysku:

Kontynuuj. A w punkcie 2 do skryptu, który podałam, dostaw jeszcze tę linię (to usunie wejście "optymizera" z listy zainstalowanych): Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{c632643} /f

1. Deinstalacja AMD Quick Stream nie usunęła swojego sterownika: S2 APXACC; C:\Windows\system32\DRIVERS\appexDrv.sys [219360 2013-04-18] (AppEx Networks Corporation) Uruchom Autoruns, w karcie Drivers skasuj pozycję APXACC, zaś powiązany plik z dysku ręcznie. 2. Deinstalacja ESET również niekompletna, w tle nadal uruchomiony sterownik ESET filtrujący sieć: R1 EpfwLWF; C:\Windows\system32\DRIVERS\EpfwLWF.sys [38288 2012-03-29] (ESET) Skorzystaj z narzędzia ESET Uninstaller. Narzędzie musi zostać uruchomione z poziomu Trybu awaryjnego. Metody wejścia do tego trybu (wybierz tą z SHIFTem): KLIK. 3. Po operacjach wykonaj nowy log z FRST.

Z raportu FRST nic nie wynika. Spróbuj cofnąć cały rejestr wstecz do ostatniej pomyślnej daty bootowania (czyli dwa dni przed założeniem tematu). FRST cofając rejestr robi kopię bieżącej wersji, więc w razie czego i tak można wszystko odkręcić. Do Notatnika wklej tę komendę: LastRegBack: 2014-11-16 23:18 Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść na pendrive J:\ tam skąd uruchamiany jest FRST. Uruchom FRST i kliknij w Fix. Na pendrive powstanie plik fixlog.txt - przedstaw go. I sprawdź czy jesteś w stanie uruchomić Windows.

Start > w polu szukania wpisz eventvwr.msc > uruchom

Jak mówiłam, Fix stosowany trzy razy, pierwszy nie mój, drugie podejście to był mój Fix i przetworzył te rzeczy, których nie zadano na innym forum, a trzeci raz uruchomienie mojego Fix bez sensu (skrypt jest jednorazowy). Na przyszłość: zakładasz temat w jednym miejscu i oczekujesz na zakończenie zadań, następnie zakładasz temat na drugim forum i podajesz świeże dane po wykonaniu wszystkich operacji, informujesz obie strony o topikach, by się pomocnicy nie nadziali na takie niespodzianki i głowili o co chodzi z "not found" w Fixach. I jeszcze wymagane drobne poprawki. Otwórz Notatnik i wklej w nim: CHR HKU\S-1-5-21-4031139651-2253220957-3423017622-1000\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-4031139651-2253220957-3423017622-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-4031139651-2253220957-3423017622-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f RemoveDirectory: C:\Users\Kamil\Doctor Web RemoveDirectory: C:\Users\Kamil\Downloads\backups DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Brak oznak infekcji. Temat przenoszę, wstępnie do działu Windows, choć nie wykluczony dział sprzętowy. W raportach brak oznak replikacji, czy odpalania innych kopii niż systemowe, a jedyny znak pasujący do opisu, to ten oto rekord z Dziennika zdarzeń: Application errors: ================== Error: (11/29/2014 06:37:30 PM) (Source: Winlogon) (EventID: 4005) (User: ) Description: Proces usługi logowania systemu Windows został nieoczekiwanie zakończony. Jest tu problem z wydajnością, toteż proponuję rozpocząć od wykluczenia oprogramowania zabezpieczającego jako przyczyny, tzn. COMODO Internet Security + Avast. W ramach testu odinstaluj oba (i nie instaluj na razie żadych zamienników), pograj i podaj czy widzisz zmiany.

Jaki błąd? 1. Pierwsza sprawa, w Dzienniku zdarzeń jest dużo błędów pokazujących problem uszkodzeń bazy Windows Update: Z poziomu Trybu awaryjnego zmień nazwę katalogu C:\Windows\SoftwareDistribution na C:\Windows\SoftwareDistribution.old. Następnie wykonaj sprawdzanie dysku pod kątem błędów: Start > w polu szukania wpisz cmd > w oknie wklej komendę i ENTER: chkdsk /f /r Zatwierdź uruchomienie przy następnym starcie i resetuj system, by checkdisk wykonał pracę. Wynik zostanie nagrany w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki. 2. Skoro jest różnica między trybami, proponuję wykonać również deinstalację tego programu, który jest bardzo rozbudowany (dużo usług / sterowników), a nie ładuje się w Trybie awaryjnym. Odinstaluj Norton 360, o ile to możliwe z poziomu Trybu awaryjnego. Jeśli awykonalne, to zastosuj narzędzie Norton Removal Tool. Sprawdź czy jesteś w stanie wejść w Tryb normalny. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa pliki. Na podstawie nowych raportów będzie dalsze czyszczenie systemu, bo jest więcej do korekty, ale na razie chodzi tu o odblokowanie startu Windows. I nie edytuj już pierwszego posta. Nowe dane w nowym poście.

Uruchomiłeś linię komend na zbyt niskich uprawnieniach, co widać po lokalizacji pliku C:\Users\Maciek\sfc.txt. Owszem, poprzednio nie podałam elewacji uprawnień, bo siedziałeś w Trybie awaryjnym (konto administratorskie nie idzie przez UAC). Ale już to samo z poziomu Trybu normalnego wymaga: Start > w polu szukania wpisz cmd > z prawoliku Uruchom jako Administrator > w oknie wklej komendę i ENTER Czy Ty w ogóle pobrałeś program z linka? Masz pobrać program, rozpakować, uruchomić i wtedy wdrożyć podane instrukcje. .

Podałeś mi tylko jeden plik, czyli Addition. Mówiłam "log główny + Addition", czyli dwa pliki dostarcz: FRST.txt + Addition.txt.

Otwórz plik Fixlog i popatrz co tam jest! Przeklejając z posta do Notatnika zepsułeś cały format skryptu, przepuściłeś go przez translator przeglądarki! Angielskie słowa zamienione na polskie, ścieżki rozbite (spacje) i nic nie zostało wykonane z punktu 1. Jeśli przeglądarka pyta "czy tłumaczyć stronę", nie wolno tego zrobić tu na polskim forum, gdzie jest podawany skrypt, bo to niszczy skrypt. Przykład, wpis adware: S2 Update Techgile; "C:\Program Files (x86)\Techgile\updateTechgile.exe" [X] ... został "przetłumaczony" jako (takie wejście nie istnieje w systemie): S2 Aktualizacja Techgile; "C: \ Program Files (x86) \ Techgile \ updateTechgile.exe" [X] Do powtórki cały punkt numer 1, a po tym nowy log FRST zrób (bez Addition i Shortcut). .

Był używany ComboFix i na ten temat: KLIK. Po edycji tematu nadal brakuje dwóch raportów: FRST Shortcut oraz GMER. Odpowiadasz mi już w nowym poście, nie edytuj pierwszego: Opisz bliżej problemy "programy dziwnie działają, w przeglądarkach otwierają się reklamy", czyli dokładnie co to znaczy "dziwnie" oraz jakie reklamy (adresy) i w których przeglądarkach (we wszystkich, czy tylko wybranej). W podanych raportach nie widać żadnych oznak infekcji, więc opisz co widzisz i gdzie, gdyż pomoże mi to szukać przyczyny. Wstępnie na razie doczyść system z różnych odpadkowych wpisów po odinstalowanych programach: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 ezGOSvc; C:\Windows\SysWOW64\ezGOSvc.dll [80256 2011-06-11] () NETSVC: ezGOSvc -> C:\Windows\SysWOW64\ezGOSvc.dll () HKU\S-1-5-18\...\Run: [bitdefender Wallet Agent] => "C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe" HKU\S-1-5-18\...\Run: [bitdefender Wallet] => "C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe" --hidden --nowizard HKU\S-1-5-18\...\Run: [bitdefender Wallet Application Agent] => "C:\Program Files\Bitdefender\Bitdefender\antispam32\bdapppassmgr.exe" ShellIconOverlayIdentifiers: [__SafeBox1] -> {152C96EB-288E-4EDC-B7C6-D21F8250ADF3} => No File ShellIconOverlayIdentifiers: [__SafeBox2] -> {342DAA0B-D796-460D-8566-901E08A1CCAD} => No File ShellIconOverlayIdentifiers: [__SafeBox3] -> {57595DAE-1AE1-4D97-A49E-67CBB53B52DF} => No File ShellIconOverlayIdentifiers: [__SafeBox4] -> {33816773-98AE-4723-ADE0-EBE54C8B5A67} => No File BootExecute: autocheck autochk * URLSearchHook: HKU\S-1-5-21-3549357173-1526242869-3047463242-1000 - (No Name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - No File URLSearchHook: HKU\S-1-5-21-3549357173-1526242869-3047463242-1000 - (No Name) - {51a86bb3-6602-4c85-92a5-130ee4864f13} - No File SearchScopes: HKU\S-1-5-21-3549357173-1526242869-3047463242-1000 -> {6F7460B9-15FD-4C8A-A706-449DBAB5DF1E} URL = http://search.avg.com/route/?d=4de22af3&v=7.4.22.4&i=26&tp=chrome&q={searchTerms}&lng={language}&iy=&ychte=us Toolbar: HKU\S-1-5-21-3549357173-1526242869-3047463242-1000 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File DPF: HKLM-x32 {644E432F-49D3-41A1-8DD5-E099162EEEC5} http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab Handler: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\system32\urlmon.dll (Microsoft Corporation) Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File FF HKLM\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - FF HKLM\...\Thunderbird\Extensions: [bdThunderbird@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender\bdtbext FF HKLM-x32\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - FF HKLM-x32\...\Firefox\Extensions: [{3252b9ae-c69a-4eaf-9502-dc9c1f6c009e}] - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DMExtension FF HKLM-x32\...\Firefox\Extensions: [ffpwdman@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender\Antispam32\ffpwdman FF HKLM-x32\...\Thunderbird\Extensions: [bdThunderbird@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender\bdtbext CHR HKLM-x32\...\Chrome\Extension: [ccahoghmggldkcdjiebjkidpfongdfbl] - C:\Program Files\Bitdefender\Bitdefender\Antispam32\pmbxcr.crx [] CHR HKLM-x32\...\Chrome\Extension: [naipdapbimiiikbbgjcpbgmfhnlbagpj] - C:\Users\Admin\AppData\Local\Temp\naipdapbimiiikbbgjcpbgmfhnlbagpj.crx [] FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll No File FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll No File U4 bdselfpr; No ImagePath S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 Prot6Flt; system32\DRIVERS\Prot6Flt.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" AlternateDataStreams: C:\Users\Admin\Downloads\avg_free_x64_all_2015_5577a8546.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\ccsetup419.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\kss12.0.1.340_pl.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\mbam-setup-2.0.3.1025.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\msert.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\RSIT.exe:BDU C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files\Bitdefender C:\ProgramData\*.bdinstall.bin C:\ProgramData\TEMP C:\Users\Admin\AppData\Local\Avg2015 C:\Users\Admin\AppData\Roaming\AVG C:\Users\Admin\AppData\Roaming\AVG2013 C:\Users\Admin\AppData\Roaming\Bitdefender C:\Users\Admin\AppData\Roaming\FreeVideoConverter C:\Users\Admin\AppData\Roaming\QuickScan C:\Users\Admin\AppData\Roaming\TuneUp Software C:\Users\Admin\Downloads\AdwCleaner_*.exe C:\Users\Admin\Downloads\OTL*.exe C:\Windows\SysWOW64\ezGOSvc.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: sc config "Mobile Broadband. RunOuc" start= disabled CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Są tu szczątki niepoprawnie odinstalowanego BitDefendera. Część z nich usuwana powyższym skryptem. Przejdź w Tryb awaryjny Windows i zastosuj narzędzie BitDefender Uninstall Tool (Consumer) (wybierz stosowną edycję, która była w komputerze). 3. Przejdź z powrotem w Tryb normalny i zrób nowy log FRST z opcji Scan (bez Addition, ale zaznacz Shortcut, by powstał brakujący log) + zaległy GMER. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .