picasso

Na temat używania ComboFix: KLIK. Log z ComboFix już zostaw, by było wiadome co robił. Proszę dostosuj się do zasad działu w kwestii obowiązkowych raportów: KLIK. Dołącz logi z FRST, OTL i GMER. Narzędzia nieinwazyjne i powiedzą znacznie więcej niż ubogi filtrowany odczyt z ComboFix.

Zabrakło pliku fixlog.txt pokazującego wykonanie zadań skryptu - to dodatkowe akcje czyszczące nie powiązane z głównym problemem. A log z FRST już w porządku - wykrywa poprawnie Twój profil Firefox.

Tylko się upewnię, czy sprawdzałeś i to:

"Zrobione" w rozumieniu usunięcia atrybutu "Tylko do odczytu" z dysku? Jeśli ta akcja pomyślnie wykonana, to już spod Windows masz wykonać ponownie sprawdzanie dysku i dostarczyć wyniki pracy z Dziennika zdarzeń.

Czy deinstalacja ESET pomogła? ==================== Memory info =========================== Processor: Intel® Celeron® M CPU 430 @ 1.73GHz Percentage of memory in use: 49% Total physical RAM: 503.36 MB Available physical RAM: 256.71 MB Total Pagefile: 1228.43 MB Available Pagefile: 898.71 MB Total Virtual: 2047.88 MB Available Virtual: 1948.45 MB Przykładowe propozycje przy założeniu, że ma być monitoring czasu rzeczywistego (kosztuje to zasoby): Webroot SecureAnywhere Antivirus (komercyjny) lub Panda Cloud Antivirus (darmowy). PS. Pani, nie Pan.

1. Przed importem pliku zaaplikuj skrypt FRST resetuący uprawnienia nadrzędnych kluczy. Otwórz Notatnik i wklej w nim: Unlock: HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755} Unlock: HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed} Unlock: HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58} Unlock: HKEY_CLASSES_ROOT\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58} Unlock: HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Scal FIX.REG, zresetuj system i podaj co się dzieje.

Domyślnie Outlook nie posiada takiej funkcji. Przykładowy komercyjny soft realizujący zadanie: CodeTwo Outlook Sync. Poczytaj też te linki: KLIK / KLIK.

Może to problem routera, tak jak tu w komentarzach: KLIK. "what I had done was to change my router from B/G network (54mbps) to N network (either up to 145mbps or the full N standard of 300mbps) but by doing that the printer stopped working, but the printer was always connected with good signal but the printer driver (IJ network tool) would'nt find it, after I changed my router back to B/G network (54mbps) it all started working again." "This worked for me too - had to downgrade wireless back to B/G from N and bam! - printer detected and online. No other network or driver changes. Really seems like a bug."

Czy IE w ogóle wcześniej poprawnie działał? Reset IE był (m.in. strefy zabezpieczeń sprowadza do poziomów domyślnych), więc wyłączona opcja pobierania plików to raczej nie w tym przypadku. Może jakieś biblioteki DLL są wyrejestrowane lub uszkodzone / w niepoprawnych wersjach. Zauważyłam już wcześniej (zaczynając od poprzedniego tematu), że są tu dziwne niedomyślne elementy, tzn. widzialny zdefektowany protokół Gopher, a ten archaizm już dawno został wyeliminowany z Internet Explorer (w IE7) i nie działa. Handler Gophera już został usunięty i on sam w sobie nie ma znaczenia, ale jest znakiem, że w systemie działy się dziwne rzeczy, bo skąd te wpisy w nowoczesnym IE11. Podaj skan na poprawność plików Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.

Możesz usunąć plik C:\DelFix.txt. Temat rozwiązany. Zamykam.

vs. Zacznij od sprawdzenia tej koncepcji. Proste to np. CCleaner (posiadasz). Im mniej jakiś "optymizerów" i innych "performancerów", tym lepiej. Poza tym, mnie niepokoi skąd u Was to masowe rozwalenie uprawnień linków symbolicznych. To nie jest proste ani oczywiste (a niektóre ścieżki głębiej osadzone), by zrobić samodzielnie ręcznie. Tu "coś" grzebało w systemie, ale nie mam pojęcia co. Nawiasem mówiąc masz program firmy IOBit zainstalowany. Przy tej szczególnej marce staję okoniem, IOBit to firma nierzetelna i nie budząca zaufania, bogata historia grzeszków (krzadzież bazy MBAM, adware w instalatorach, podejrzane związki partnerskie). Sugeruję deinstalację produktu IOBit i pomijanie wszelkich innych z tej stajni. Tak, oczywiście na portalach w linkowniach produkty są polecane. .

Nie trzeba się przypominać, brak odpowiedzi, bo brak czasu lub brak pomysłu. Problem jest cały czas ten sam: brak usługi Netman, ta usługa jest odpowiedzialna m.in. za wyświetlanie folderu Połączeń sieciowych. Nie rozumiem co tu się dzieje, skoro plik jest importowany i po tym restart systemu, a usługi nadal brak. Może soft zabezpieczający (Bitdefender, Sandboxie i SpyShelter) zapobiega wprowadzeniu danych. Powtórz import pliku, ale tym razem siedząc w Trybie awaryjnym Windows, po tym restart do normalnego i nowy log FRST z odfajkowaną opcją Services (bez Addition).

Nie wiem o co chodzi. Spróbuj usunąć ten cały klucz. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. Ponów reinstalację Silverlight.

Głos zabierze koleżanka. Masa adware zainstalowana, na dodatek adware przekonwertowało typ przeglądarki Google Chrome z wersji "stabilnej" do "development" i będzie konieczna kompleksowa reinstalacja. To system z masową ilością kont: ========================= Accounts: ========================== 19 (S-1-5-21-2688399222-3990677332-1833978256-1029 - Administrator - Enabled) => C:\Users\19 28 (S-1-5-21-2688399222-3990677332-1833978256-1037 - Administrator - Enabled) => C:\Users\28 29 (S-1-5-21-2688399222-3990677332-1833978256-1038 - Administrator - Enabled) => C:\Users\29 33 (S-1-5-21-2688399222-3990677332-1833978256-1042 - Administrator - Enabled) => C:\Users\33 36 (S-1-5-21-2688399222-3990677332-1833978256-1045 - Administrator - Enabled) => C:\Users\36 37 (S-1-5-21-2688399222-3990677332-1833978256-1046 - Administrator - Enabled) => C:\Users\37 39 (S-1-5-21-2688399222-3990677332-1833978256-1048 - Administrator - Enabled) ww1 (S-1-5-21-2688399222-3990677332-1833978256-1031 - Administrator - Enabled) => C:\Users\ww1 wyp 3 tyg (S-1-5-21-2688399222-3990677332-1833978256-1034 - Administrator - Enabled) => C:\Users\wyp 3 tyg Zostały tu dostarczone logi z konta 33 i na razie to konto mogę wyczyścić. Inne konta muszą być sprawdzane z osobna. Dodatkowy aspekt: system nie wygląda na oryginalny, tylko na jakąś tweakowaną przeróbkę ruskiej produkcji pobraną z torrent. W systemie są nienaturalne rzeczy jak układ ruskich przeglądarek (charakterystyczny dla modyfikowanych płyt), a także tak jakby uszkodzenia systemu, gdyż widać dużo pozycji Microsoftu bez podpisu cyfrowego. Tak jak w tym temacie: KLIK. Od razu mówię: nie biorę odpowiedzialności, nieoryginalne przerabiane systemy mogą mieć zaszyte "coś" co się kontaktuje zewnętrznie. Używasz na własną odpowiedzialność. Owszem, wyczyszczę system doraźnie, ale silnie namawiam na wymianę całego systemu legalną kopią. BĘDĄC ZALOGOWANYM NA KONCIE 33: Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: - Adware: EZDownloader, SkypEmoticons, SW-Booster, SW-Sustainer, websave. - Stare wersje Adobe Reader 9.0.1, Adobe Shockwave Player 11.5, Java™ 6 Update 21, zdefektowaną przeglądarkę Google Chrome oraz iolo technologies' System Mechanic (instalacja wygląda na szczątkową, brakuje plików). Przy deinstalacji Google Chrome zaznacz Usuń także dane przeglądarki, a resztę dokończy poniższy skrypt. Nie instaluj jeszcze nowej wersji Google Chrome. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 24c54e38; c:\Program Files\DeltaFix\DeltaFix.dll [4173312 2014-11-20] () [File not signed] S2 ioloSystemService; "C:\Program Files\iolo\Common\Lib\ioloServiceManager.exe" [X] S3 ipswuio; System32\DRIVERS\ipswuio.sys [X] S1 ttnfd; system32\drivers\ttnfd.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files\BatteryCare\WinRing0.sys [X] Task: {825F17BC-1911-45D3-8AD6-49A69D95D8F3} - System32\Tasks\iolo Process Governor => C:\Program Files\iolo\System Mechanic\iologovernor.exe Task: {F69E3278-CC58-46F1-8663-CCF665AE2C27} - System32\Tasks\SW-Booster-S-792098896 => c:\programdata\trusted publisher\sw-booster\SW-Booster.exe [2014-11-20] () Task: C:\Windows\Tasks\SW-Booster-S-792098896.job => c:\programdata\trusted publisher\sw-booster\SW-Booster.exe HKU\S-1-5-21-2688399222-3990677332-1833978256-1042\...\Run: [se] => C:\Users\33\AppData\Roaming\SkypEmoticons\SE.exe [5679008 2014-11-18] (SkypEmoticons) HKU\S-1-5-21-2688399222-3990677332-1833978256-1042\...\MountPoints2: {f31eaffb-6f0c-11e3-90f5-20cf3059b800} - F:\setup.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ioloSystemService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ioloSystemService => ""="Service" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\33\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 ShortcutWithArgument: C:\Users\33\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 ShortcutWithArgument: C:\Users\33\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 ShortcutWithArgument: C:\Users\33\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 ShortcutWithArgument: C:\Users\33\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 HKU\S-1-5-21-2688399222-3990677332-1833978256-1042\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.search-plaza.info/?pid=3540&r=2014/11/20&hid=12411846271718644983&lg=EN&cc=PL&unqvl=69 HKU\S-1-5-21-2688399222-3990677332-1833978256-1042\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.search-plaza.info/?pid=3540&r=2014/11/20&hid=12411846271718644983&lg=EN&cc=PL&unqvl=69 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066&q={searchTerms} URLSearchHook: HKLM - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 SearchScopes: HKLM -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.search-plaza.info/?l=1&q={searchTerms}&pid=3540&r=2014/11/20&hid=12411846271718644983&lg=EN&cc=PL&unqvl=69 SearchScopes: HKLM -> Google URL = http://www.google.ru/search?hl=ru&q={searchTerms}\ SearchScopes: HKLM -> Wikipedia URL = http://ru.wikipedia.org/wiki/{searchTerms}\ SearchScopes: HKLM -> Yahoo URL = http://ru.search.yahoo.com/search?p={searchTerms}\ SearchScopes: HKLM -> Yandex URL = http://www.yandex.ru/yandsearch?stype=&nl=0&text={searchTerms}\ SearchScopes: HKLM -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.search-plaza.info/?l=1&q={searchTerms}&pid=3540&r=2014/11/20&hid=12411846271718644983&lg=EN&cc=PL&unqvl=69 SearchScopes: HKU\S-1-5-21-2688399222-3990677332-1833978256-1042 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.search-plaza.info/?l=1&q={searchTerms}&pid=3540&r=2014/11/20&hid=12411846271718644983&lg=EN&cc=PL&unqvl=69 SearchScopes: HKU\S-1-5-21-2688399222-3990677332-1833978256-1042 -> Google URL = SearchScopes: HKU\S-1-5-21-2688399222-3990677332-1833978256-1042 -> Wikipedia URL = SearchScopes: HKU\S-1-5-21-2688399222-3990677332-1833978256-1042 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066&q={searchTerms} SearchScopes: HKU\S-1-5-21-2688399222-3990677332-1833978256-1042 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.search-plaza.info/?l=1&q={searchTerms}&pid=3540&r=2014/11/20&hid=12411846271718644983&lg=EN&cc=PL&unqvl=69 BHO: websave -> {1fcb8c05-0464-4397-a841-f8cb872f3f9a} -> C:\Program Files\websave\dcgOp3j2p93B9j.dll () BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\mystartsearch.xml FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\sweet-page.xml FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://www.mystartsearch.com/?type=sc&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 CustomCLSID: HKU\S-1-5-21-2688399222-3990677332-1833978256-1042_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\33\Downloads\N8FanClub.com_CuteRadio_0.2.1_anna_belle_unsigned.sis.exe () C:\Program Files\DeltaFix C:\Program Files\EZDownloader C:\Program Files\GoSave C:\Program Files\websave C:\Program Files\YoutubeAdBlocke C:\ProgramData\websave C:\ProgramData\23405448 C:\ProgramData\782ccbc22351b486 C:\ProgramData\8659520218203272326 C:\ProgramData\ognfgikghbchhcgbjemenmfodehlahme C:\ProgramData\Trusted publisher C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZDownloader C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SkypEmoticons C:\Users\19\AppData\Local\Chromatic Browser C:\Users\19\AppData\Local\Comodo C:\Users\19\AppData\Local\Google C:\Users\19\AppData\Local\Torch C:\Users\28\AppData\Local\Chromatic Browser C:\Users\28\AppData\Local\Comodo C:\Users\28\AppData\Local\Google C:\Users\28\AppData\Local\Torch C:\Users\29\AppData\Local\Chromatic Browser C:\Users\29\AppData\Local\Comodo C:\Users\29\AppData\Local\Google C:\Users\29\AppData\Local\Torch C:\Users\33\AppData\Local\Chromatic Browser C:\Users\33\AppData\Local\Comodo C:\Users\33\AppData\Local\Google C:\Users\33\AppData\Local\Torch C:\Users\33\AppData\Roaming\SkypEmoticons C:\Users\33\Downloads\N8FanClub.com*.exe C:\Users\33\Downloads\UploadingDesktop.exe C:\Users\36\AppData\Local\Chromatic Browser C:\Users\36\AppData\Local\Comodo C:\Users\36\AppData\Local\Google C:\Users\36\AppData\Local\Torch C:\Users\36\AppData\Roaming\ioloGovernor C:\Users\37\AppData\Local\Chromatic Browser C:\Users\37\AppData\Local\Comodo C:\Users\37\AppData\Local\Google C:\Users\37\AppData\Local\Torch C:\Users\37\AppData\Roaming\ioloGovernor C:\Users\37\Downloads\*(*)-dp*.exe C:\Users\39\AppData\Local\Chromatic Browser C:\Users\39\AppData\Local\Comodo C:\Users\39\AppData\Local\Google C:\Users\39\AppData\Local\Torch C:\Users\Administrator C:\Users\Gość C:\Users\Public\Desktop\EZDownloader.lnk C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\ww1\AppData\Local\Chromatic Browser C:\Users\ww1\AppData\Local\Comodo C:\Users\ww1\AppData\Local\Google C:\Users\ww1\AppData\Local\Torch C:\Users\ww1\Desktop\WorldofTanks.lnk C:\Users\ww1\Desktop\Kontynuuj instalację Origin.lnk C:\Users\ww1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\ww1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks\WorldofTanks.lnk C:\Users\wyp 3 tyg\AppData\Local\Chromatic Browser C:\Users\wyp 3 tyg\AppData\Local\Comodo C:\Users\wyp 3 tyg\AppData\Local\Google C:\Users\wyp 3 tyg\AppData\Local\Torch Hosts: Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Reg: reg delete "HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome" /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{A52C66B3-D4A9-4d10-A67D-2BEF0A85AB3F} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{A52C66B3-D4A9-4d10-A67D-2BEF0A85AB3F}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Discount Dragon-repairJob" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\icq" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wmagent.exe" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\gopher /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies" /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Folder: C:\Users\33\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\33\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\33\AppData\Local CMD: dir /a C:\Users\33\AppData\LocalLow CMD: dir /a C:\Users\33\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz wszystkie logi z folderu C:\AdwCleaner (był używany). Wypowiedz się które z pozostałych kont są w użyciu, a które można usunąć, gdyż każde niestety będziemy musieli sprawdzać z osobna: ========================= Accounts: ========================== 19 (S-1-5-21-2688399222-3990677332-1833978256-1029 - Administrator - Enabled) => C:\Users\19 28 (S-1-5-21-2688399222-3990677332-1833978256-1037 - Administrator - Enabled) => C:\Users\28 29 (S-1-5-21-2688399222-3990677332-1833978256-1038 - Administrator - Enabled) => C:\Users\29 36 (S-1-5-21-2688399222-3990677332-1833978256-1045 - Administrator - Enabled) => C:\Users\36 37 (S-1-5-21-2688399222-3990677332-1833978256-1046 - Administrator - Enabled) => C:\Users\37 39 (S-1-5-21-2688399222-3990677332-1833978256-1048 - Administrator - Enabled) ww1 (S-1-5-21-2688399222-3990677332-1833978256-1031 - Administrator - Enabled) => C:\Users\ww1 wyp 3 tyg (S-1-5-21-2688399222-3990677332-1833978256-1034 - Administrator - Enabled) => C:\Users\wyp 3 tyg .

Nie wiem co się nie podoba instalacji Silverlight w tym kluczu, u mnie zresztą jest identyczny układ uprawnień. Jedyne co mi przychodzi na myśl to fakt, że Właścicielem klucza jest SYSTEM, co w przypadku kontekstu konta użytkownika / administratora może być problemem w określonych okolicznościach. Spróbujmy przestawić Właściciela i zobaczymy jakie skutki tej akcji się pojawią. Otwórz Notatnik i wklej w nim: Unlock: HKLM\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0 Unlock: HKLM\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0\Suffixes Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. Ponów reinstalację Silverlight.

Pokaż mi uprawnienia klucza, który jest zgłaszany na komunikacie błędu. Otwórz Notatnik i wklej w nim: ListPermissions: HKLM\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0 ListPermissions: HKLM\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0\Suffixes Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.

Fix wykonany pomyślnie, więc zastosuj DelFix.

Czy na pewno tej opcji w DelFix nie użyłeś wcześniej? On nic nie usunął i tak może być, gdy próbujesz ponowić coś co już zrobiłeś.

Temat przenoszę do działu Windows. W spoilerze doczyszczanie szczątków adware, pustych wpisów i Tempów: Temat z forum: KLIK.

To za mało. Autostart to tylko cząstka aktywności, jest jeszcze zestaw usług i sterowników (m.in. filtrujących sieć). Ich wyłączanie po pierwsze zajmie więcej czasu (nie wszystko jest dostępne via opcje Windows i wymagane cyrki z importami rejestru), po drugie uczyni program kompletnie nieużytkowym. Wiarygodna metoda znosząca wszystkie aktywności to deinstalacja (przy założeniu, że deinstalacja będzie kompletna i bez błędu). Jeśli po deinstalacji poprawi się funkcjonowanie sieci, winowajca znaleziony. Jeśli nie, program przywrócisz na miejsce. Może Norton bruździ. O ile sobie przypominam, tu były podobne zgłoszenia na forum. Zawartość pliku jest mała, więc po prostu przeklej do posta. .

W prefs.js nie widać przejęcia strony domowej czy strony nowej karty, ani dodatkowej wyszukiwarki. Przekierowania produkuje lewe rozszerzenie hdplugin final: [2014-11-17 22:22:27 | 000,181,108 | ---- | M] () (No name found) -- C:\Users\Shiver\AppData\Roaming\mozilla\firefox\profiles\l5qtrcm4.Domyślny użytkownik\extensions\jid0-aSChrRyNMdJxBmorrZFa2r4Vv4w@jetpack.xpi Przeprowadź następujące działania: 1. W Firefox odinstaluj hdplugin final oraz wyczyść Historię. 2. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\TEMP EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Pobierz nową wersję FRST (naprawiony bug polskich czcionek) i zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Przedstaw też wynikowy fixlog.txt i potwierdź, że problem reklam ustąpił. PS. Posty skompaktowałam dla lepszej merytoryki. Odpowiedź mi jednak już umieszczasz w nowym poście oczywiście.

Fixlog ponownie nie potrzebny, usuwam ten plik, bo już go podałeś. Reset Firefox wreszcie wykonany, więc możemy kończyć: 1. Usuń ręcznie poniższe foldery i plik GMER: C:\Users\Łukasz\Desktop\Stare dane programu Firefox C:\Users\Łukasz\Downloads\FRST-OlderVersion C:\Users\Łukasz\Downloads\ls781xod.exe 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj starsze wersje Adobe i Java, zastąp najnowszymi: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.167 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 15 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 15.0.0.152 - Adobe Systems Incorporated) -----> wtyczka dla FF Adobe Reader X (10.1.12) MUI (HKLM-x32\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.12 - Adobe Systems Incorporated) Java 7 Update 67 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.670 - Oracle)

Jeśli chodzi Ci o to, że masz dwa foldery jak poniżej podane, to jest normalne i to się dzieje także podczas naturalnej aktualizacji. Google Chrome i tak używa wyższej wersji i ten starszy folder można ręcznie skasować. C:\Program Files (x86)\Google\Chrome\Application\30.0.1599.101 C:\Program Files (x86)\Google\Chrome\Application\39.0.2171.65

Po prostu zatwierdź to "usuwanie z listy" i uruchom instalator z tej strony: KLIK. On nadpisze całą instalację (przy zachowaniu profilu).