picasso

Podałam już wcześniej kroki końcowe. Temat rozwiązany. Zamykam.

Te komunikaty były właśnie związane z zadaniem adware PriceFountain w Harmonogramie, co pomyślnie FRST usunął. Zapomniałeś dodać plik Fixlog.txt z wynikami skryptu, ale już to sobie darujmy, gdyż w logach widać pozytywne zmiany. Przeoczyłam błędy w Dzienniku zdarzeń, masz uszkodzony rejestr: Dziennik Aplikacja: ================== Error: (08/12/2016 12:42:08 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Baza danych rejestru konfiguracji jest uszkodzona. Error: (08/12/2016 12:42:08 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1508) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować rejestru. Częstą przyczyną tego problemu jest za mała ilość pamięci lub brak wystarczających praw zabezpieczeń. SZCZEGÓŁY - Baza danych rejestru konfiguracji jest uszkodzona. for C:\Users\Kamil\AppData\Local\Microsoft\Windows\\UsrClass.dat Rozwiązaniem jest założenie nowego konta użytkownika w Windows i usunięcie starego.

Hmm, FRST poprawnie uzgodnił wejścia NameSpace (licznik wpisów koresponduje do ilości wejść). Czy to na pewno jest obecnie problem z Winsock? Ten plik wywalony przez AdwCleaner należał do instalacji ProxyCap. Program jest nadal na liście zainstalowanych. Odinstaluj go, zresetuj system i podaj czy są jakieś zmiany.

Czyli tak jak przypuszczałam, nie ma to związku z (właśnie usuniętym) sterownikiem adware. Zamykając temat czyszczenia w dziale infekcji: Temat przenoszę na diagnostykę do działu Hardware. Dostarcz dane wymagane działem: KLIK.

Poproszę o pełny wyciąg kluczy Winsock. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\WinSock2 /s Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

KOMPUTER Z WINDOWS 8: Czy na pewno odinstalowałeś wcześniej adware Browser-Security? Nadal to widać w starcie. Poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3872225513-4102284116-2658569052-1001\...\Run: [safe_urls768] => C:\Users\Madzia\AppData\Roaming\Browser-Security\s768.exe [2548944 2016-06-20] () HKU\S-1-5-21-3872225513-4102284116-2658569052-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Madzia\AppData\Roaming\Browser-Security RemoveDirectory: C:\Users\Madzia\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. KOMPUTER Z WINDOWS XP: Pomyliłeś się przy wklejaniu, obciąłeś literę w pierwszej komendzie CloseProcesses:, dlatego nie wykonało się zabijanie procesów. Reszta komend wykonana. Na koniec skorzystaj z DelFix i wyczyść foldery Przywracania systemu: KLIK. PENDRIVE: W Opcjach folderów włącz pokazywanie ukrytych, tzn. odznacz opcję Ukryj chronione pliki systemu operacyjnego. Następnie przez SHIFT+DEL (omija Kosz) skasuj z dysku te elementy infekcji: [06/08/2016 - 10:39:28 | A | 2 Ko] - G:\USB DISK.lnk [20/07/2016 - 10:57:32 | RASHD] - G:\WindowsServices Natomiast z poniższego folderu przenieść swoje dane poziom wyżej, a po tym skasuj folder "z kreską": [20/07/2016 - 10:57:32 | SHD] - G:\_

Zabrakło obowiązkowego pliku FRST Shortcut. Nie podałeś co konkretnie i gdzie wykrywa Windows Defender. W raportach FRST widać tylko szczątki adware (głównie PriceFountain) i dziwną zawartość pliku Hosts. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Java 7 Update 72 (64-bit), Java 7 Update 72. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń szczątkowy wpis Google Update Helper. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0854BC54-7C46-4962-962C-F5D321F372EF} - System32\Tasks\Windows Installer => C:\Users\Kamil\AppData\Roaming\Updater\winupd.exe <==== UWAGA Task: {0CC712E4-9DA9-49B7-AFA9-61ACC5354FBB} - System32\Tasks\Uninstaller_SkipUac_Administrator => E:\1Programy\IObit Uninstaller\IObitUninstaler.exe Task: {26568B8A-0EBC-4A85-9DB9-AE48E919EB36} - System32\Tasks\{183202AE-979F-8454-99D4-15E30054407C} => C:\Users\Kamil\AppData\Roaming\{183202AE-979F-8454-99D4-15E30054407C}\SynHelper [Argument = /Check] <==== UWAGA Task: {5B84AAAC-B9A0-43C6-871E-03F5A8768162} - \Full Cleaner -> Brak pliku <==== UWAGA Task: {6D1BC589-9FB2-465A-BF57-6D59F3479CB9} - System32\Tasks\Driver Booster SkipUAC (Kamil) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {7F8D85F1-DC1B-46F8-93D3-1022963C4903} - System32\Tasks\Open Chrome => Chrome.exe --new-window hxxp://toolbar.avg.com/almost-done?pid=safeguard&amp;lang=en Task: {8F9A17DF-8D87-4D80-888C-D1EBA40DF948} - System32\Tasks\{693C22F5-8A7A-4095-8627-C2487720AC8A} => pcalua.exe -a D:\Baldur.exe -d D:\ Task: {96CC9F8C-B458-4993-8ACE-76D0B1419663} - System32\Tasks\Driver Booster SkipUAC (SYSTEM) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {A40B047C-602C-4180-82F0-6C02487ED1EE} - System32\Tasks\KamilCalendsVariablenessV2 => Rundll32.exe SentencedSneaked.dll,main 7 1 <==== UWAGA Task: {DC3429B6-DB41-4C29-93E5-2BC075AE035A} - System32\Tasks\Uninstaller_SkipUac_Kamil => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: {F879CBF5-D5AB-49D9-9FFE-1F5E831A25C4} - \Full Cleaner Logon -> Brak pliku <==== UWAGA Task: C:\WINDOWS\Tasks\Open Chrome.job => c:\program files (x86)\Google\Chrome\Application\chrome.exeF--new-window hxxp:/toolbar.avg.com/ Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Administrator.job => E:\1Programy\IObit Uninstaller\IObitUninstaler.exe Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Kamil.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: C:\WINDOWS\Tasks\{183202AE-979F-8454-99D4-15E30054407C}.job => C:\Users\Kamil\AppData\Roaming\{183202AE-979F-8454-99D4-15E30054407C}\SynHelper/Check Kamyk\Kamil 0ߕ ֠< <==== UWAGA HKLM-x32\...\Run: [QuickTime Task] => C:\Windows\SysWOW64\qttask.exe [98304 2013-06-03] (Apple Computer, Inc.) HKU\S-1-5-18\...\Run: [Advanced SystemCare 8] => "C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASCTray.exe" /Auto HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\str => ""="service" S3 ALSysIO; \??\C:\Users\Kamil\AppData\Local\Temp\ALSysIO64.sys [X] S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{183202AE-979F-8454-99D4-15E30054407C} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\CalendsVariableness DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Desktop iCalendar.exe" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ALLUpdate /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v f.lux /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v FreeAC /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v NetMon /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Steam /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Google Desktop Search" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "EaseUS EPM tray" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "QuickTime Task" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v CodecPackTrayMenu.lnk /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v CodecPackUpdateChecker.lnk /f C:\Program Files\Enigma Software Group C:\Program Files (x86)\Computer Computer C:\Program Files (x86)\Google C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} C:\ProgramData\mtbjfghn.xbe C:\Users\Kamil\AppData\Local\{6578B065-08AA-4068-BDA3-A439751D5B3B} C:\Users\Kamil\AppData\Local\{7987E687-E3B7-4E1D-9EEE-5464375D6873} C:\Users\Kamil\AppData\Local\CalendsVariableness C:\Users\Kamil\AppData\Local\Google C:\Users\Kamil\AppData\Roaming\*.* C:\Users\Kamil\AppData\Roaming\{183202AE-979F-8454-99D4-15E30054407C} C:\Users\Kamil\AppData\Roaming\Full Cleaner C:\Users\Kamil\AppData\Roaming\Updater C:\Windows\SysWOW64\qttask.exe CMD: netsh advfirewall reset RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Ustaw Vivaldi jako domyślną przeglądarkę, gdyż obecnie brak zdefiniowanej. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy WindowsDefender nadal coś wykrywa.

Wszystko wykonane pomyślnie. Nic się nie wypowiadasz czy po użyciu skryptu FRST i restarcie systemu odzyskałeś dostęp do sieci. FRST powinien w prawidłowy sposób skorygować Winsock na poziomie rejestru (usunięcie wejścia i przenumerowanie wpisów w łańcuchu). Jeśli sieć już działa, wykonaj kroki końcowe, tzn.: Usuń D:\frst program diagnostyczny z FRST i jego logami. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Zasady działu: KLIK. Dostarcz obowiązkowe raporty z FRST: KLIK.

Problemem jest, że AdwCleaner wywalił na chama plik z dysku, który był wpięty w Winsock: :: Winsock2 - usunięto pcapwsp.dll ... pozostawiając niezsynchronizowany Winsock (zero akcji na poziomie rejestru): Winsock: Catalog5-x64 07 pcapwsp.dll Brak pliku Uszkodzona część to Winsock NameSpace, dlatego nie pomaga komenda "netsh winsock reset", która resetuje jedynie Winsock Protocol. I jest tu więcej do interwencji niż tylko uszkodzony dostęp do internetu. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Winsock: Catalog5-x64 07 pcapwsp.dll Brak pliku InternetURL: C:\Users\Maniek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winol.url -> URL: C:\Users\Maniek\AppData\Roaming\Winol\winol.exe BootExecute: autocheck autochk * sh4native Sh4Removal Task: {30D17A75-A2D0-445D-A734-06D91A2C7B2C} - System32\Tasks\{8FEA13AD-C995-4D3D-B629-A2B3AD9F1730} => E:\PENTAGRAM.exe Task: {407FEB86-4FED-4CE6-836B-5258ACE61828} - System32\Tasks\{C923ABFE-E423-4E88-A56D-BD9A6135DF39} => Task: {5473067B-88B6-48B8-88AC-0BD20734C915} - System32\Tasks\DropboxUpdateTaskMachineUA => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe Task: {7E5F8E9E-A72F-45A7-A8D0-167749622FE5} - System32\Tasks\SkypeUpdater => C:\Users\Maniek\AppData\Roaming\Skype\download.exe Task: {ABFFF1C9-8419-484A-B190-DA2977490F9A} - System32\Tasks\SkypeAutoUpdate => C:\Users\Maniek\AppData\Roaming\Skype\download.exe Task: {B80EA246-8C31-4765-8127-3D999BFFD2F3} - System32\Tasks\DropboxUpdateTaskMachineCore => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe Task: {BDB8C76A-7CED-4A95-A6A1-E4B08F745511} - System32\Tasks\DriverMaxAgent => F:\Program Files (x86)\Innovative Solutions\DriverMax\drivermax.exe Task: C:\Windows\Tasks\DropboxUpdateTaskMachineCore.job => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe Task: C:\Windows\Tasks\DropboxUpdateTaskMachineUA.job => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe HKLM-x32\...\Run: [sSBkgdUpdate] => "C:\Program Files (x86)\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-199027117-3936704272-4168754261-1001\...\Run: [AdobeBridge] => [X] S4 ACTION_SVC; C:\Program Files (x86)\Mirillis\Action!\action_svc.exe [X] S4 dbupdate; "C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe" /svc [X] S4 dbupdatem; "C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe" /medsvc [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = URLSearchHook: [s-1-5-21-199027117-3936704272-4168754261-1001] UWAGA => Brak domyślnego URLSearchHook SearchScopes: HKU\S-1-5-21-199027117-3936704272-4168754261-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = IE trusted site: HKU\S-1-5-21-199027117-3936704272-4168754261-1001\...\hola.org -> hxxp://hola.org DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-18\Software\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset C:\iexplore.bat C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Extreme Picture Finder 3\Extreme Internet Software on the Web.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks C:\Users\Maniek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk C:\Users\Maniek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk C:\Users\Maniek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr (64-bit).lnk C:\Users\Maniek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk C:\Users\Maniek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk C:\Users\Maniek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\Maniek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr.lnk C:\Users\Maniek\AppData\Roaming\Winol C:\Users\Maniek\Desktop\GRY\7DaysToDie — skrót.lnk C:\Users\Maniek\Desktop\GRY\Darkest — skrót.lnk C:\Users\Maniek\Desktop\GRY\Fallout New Vegas.lnk C:\Users\Maniek\Desktop\GRY\fnv4gb - skrót.lnk C:\Users\Maniek\Desktop\GRY\Punch Club — skrót.lnk C:\Users\Maniek\Desktop\GRY\Saints Row Gat out of Hell.lnk C:\Users\Maniek\Desktop\GRY\Saints Row IV.lnk C:\Users\Maniek\Desktop\GRY\Sexy Beach Premium Resort.lnk C:\Users\Maniek\Desktop\Programy\Avira Control Center.lnk C:\Users\Maniek\Desktop\Programy\Avira System Speedup.lnk C:\Users\Maniek\Desktop\Programy\DTLite — skrót.lnk C:\Users\Maniek\Desktop\Programy\ESET Ochrona bankowości internetowej.lnk C:\Users\Maniek\Desktop\Programy\Genymotion.lnk C:\Users\Maniek\Desktop\Programy\Genymotion Shell.lnk C:\Users\Maniek\Desktop\Programy\WireShare 5.6.4.3.lnk C:\Windows\SysWOW64\zlib.dll EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Skróty przeglądarek zostały przekierowane na szkodliwe pliki BAT, toteż zostały usunięte skryptem FRST. Ręcznie odtwórz w wybranych miejscach skróty do przeglądarek. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition lecz bez Shortcut. Dołącz też plik fixlog.txt.

To przypuszczalnie nie jest problem infekcji, ale owszem, w Twoim systemie widać odpadki po instalacji adware/PUP, w tym ofensywny sterownik UCGuard (i to jedyny obiekt który ewentualnie mógłby skutkować opisywanymi objawami, reszta to głównie nieaktywne drobne śmieci). Wstępnie przeczyść z tych śmieci, a jeśli nie będzie wyników, przeniosę temat do stosowniejszego działu. Działania do przeprowadzenia:

Tak, wszystko wykonane. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

W tej sytuacji to wszystko z mojej strony. Urządzenia TAP będą wracać i nie można tego zablokować, dopóki siedzi obiekt startowy w Harmonogramie.

A czy to właśnie nie Comodo (i jego zabezpieczenia) jest tu winny? Nazwa sugeruje, że odwiedzasz nie to miejsce co należy. Ta konkretna ścieżka to nie jest folder tylko link symboliczny dla wstecznej kompatybilności, zabezpieczony przez uprawnienia celowo. Nie należy nic zmieniać. Upewnij się, że w opcjach folderów masz włączone pokazywanie ukrytych folderów i dopiero po tym wejdź do folderu C:\Users\Dawid B. Powinnaś tam widzieć dwa obiekty: Appdata (tu wchodzisz) oraz Dane aplikacji (to link do Appdata, to nas nie interesuje).

Otwórz Notatnik i wklej w nim: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "Desktop"="C:\\Users\\Diana\\Desktop" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "Desktop"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,44,00,65,00,73,00,6b,00,74,00,6f,00,70,00,00,00 EndRegedit: Reboot: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu. Przedstaw wynikowy fixlog.txt. Jeśli wszystko poprawnie się wykona, skasuj folder D:\Diana\Desktop. Rzecz jasna wcześniej wyciągnij z niego ewentualne potrzebne rzeczy.

Sugerowałam się obrazkiem z Process Hacker pokazującym usługę wuauserv w składzie. Czy to oznacza, że ta usługa nie jest w ogóle aktywna? Wymieniłam obie pro forma, lecz zaznaczyłam, że nowsza łata wypiera poprzednią, czyli powinieneś mierzyć w ściąganie tylko tej drugiej. Ale jeśli Windows Update nie jest aktywna, to problem może być innej natury. Tylko że to wyłączone Windows Update sugeruje mi, że może brakować także innych łat, które mogą coś polepszyć w systemie. W związku z tym włączyłabym usługę Windows Update i sprawdziła co się pokazuje do pobrania. Niemniej przy braku łaty KB3172605 wyszukiwanie może być bardzo powolne... Rzeczywiście, wczoraj nawet nie mogłam się dostać na niektóre linki, po czym się "naprawiło", ale akurat to pobieranie u mnie nadal nie działa. Skorzystaj z trzeciej metody tam umieszczonej, czyli Microsoft Update Catalog. Stronę musisz otworzyć w Internet Explorer, nie w Firefox. Do czego konkretnie zmierzasz, jakie wpisy i gdzie? W raportach nie ma żadnych śladów Kaspersky Total Security ani Emsisoft w rejestrze. Jedyny widoczny (i martwy) wpis rejestru pochodzi od ekspresowego skanera Kaspersky Security Scan, na dysku też jeden plik Emsisoft (ale już bez odnośników uruchomieniowych). Rekordy zawierające frazę "Emsisoft" to są wyciągi z Dziennika zdarzeń a nie rejestru. Tak więc pokaż konkretnie które wpisy masz na myśli. ps. Jeśli chodzi o "kosmetykę" wpisów szczątkowych widocznych w raporcie FRST, to popatrz do spoilera. To działanie podrzędne i nie zadane przeze mnie wcześniej, gdyż nie ma żadnego wpływu na problem zasadniczy.

Zappa Nie w tym przypadku: [01/08/2016 - 18:34:03 | RASHD] - C:\Autorun.inf [01/08/2016 - 18:34:04 | RASHD] - G:\Autorun.inf Veron POPRZEDNI KOMPUTER: Sprawy czyszczenia nieukończone, w raporcie FRST było więcej wpisów do interwencji od adware, tzn. polityki blokujące któreś ustawienia w Chrome, zanieczyszczony Firefox, usługa adware MustangService, niechciane instalacje PUP od Lenovo (tu nie ma komputera Lenovo tylko ASUS). Również immunizację USBFix z dysku C usunę, to ma skutki uboczne dla dysków lokalnych, a poza tym to ten rodzaj zabezpieczenia od dawna ma nikłą rolę, bo systemy Windows 7 z łatami i nowsze nie umożliwiają wykonania autorun.inf, infekcje stosują inne metody. Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-3872225513-4102284116-2658569052-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3872225513-4102284116-2658569052-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.piesearch.com/?type=sc&ts=1451822655&pid=etc0103&uid=9ed4e68e-014a-4f81-9fa2-ea14dbc02584 FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Madzia\AppData\Roaming\Mozilla\Firefox\Profiles\utsynkfr.default\extensions\deskCutv2@gmail.com => nie znaleziono S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer34.exe [235776 2015-12-15] (MustangService) S3 e1edc438-f640-4184-a443-d2a7c37a01dc; \??\C:\OA30\690b33e1-0462-4e84-9bea-c7552b45432a.sys [X] Task: {310BA02C-9380-48ED-8CAB-645720B6EB56} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\ProgramData\TempMoudleSet C:\Program Files (x86)\Lenovo C:\Users\Madzia\AppData\Local\Lenovo C:\Users\Madzia\Desktop\Magda\szkoła\Nowy folder\Skrót do praca z socjologii.lnk C:\Windows\System32\Tasks\Lenovo RemoveDirectory: C:\Autorun.inf EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus zostanie zdegradowany. Sugeruję w zamian wstawić uBlock Origin. Menu Historia > Wyczyść całą historię przeglądania. 3. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń wpis Metric Collection SDK (od niechcianej instalacji Lenovo).. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. KOMPUTER Z XP: Co masz na myśli mówiąc "+ pendrive nr 2"? FRST w ogóle nie skanuje pendrivów, od tego jest USBFix lub komendy w skryptach FRST. Działania na poziomie XP: 1. Odinstaluj Adobe AIR, Adobe Shockwave Player 12.1, HP Customer Participation Program 13.0, Java 8 Update 60. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Szymon\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\Szymon\DANEAP~1\PRICEF~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\BVRFVTD.job => rundll32.exe 0 C:\WINDOWS\system32\compobjk.dll Task: C:\WINDOWS\Tasks\PFExe.job => C:\Documents and Settings\Szymon\Ustawienia lokalne\Dane aplikacji\PriceFountain\pricefountain.exe Task: C:\WINDOWS\Tasks\SzymonStaplersFloatV2.job => rundll32 exe RejudgesAttaching dll S1 {fe331f63-d0ef-486b-89da-478e619996a9}Gt; system32\drivers\{fe331f63-d0ef-486b-89da-478e619996a9}Gt.sys [X] HKU\S-1-5-21-329068152-746137067-1644491937-1003\...\Run: [tsiVideo] => rundll32.exe C:\DOCUME~1\Szymon\USTAWI~1\Temp\mdi064.dll,dalmat SearchScopes: HKU\S-1-5-21-329068152-746137067-1644491937-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-329068152-746137067-1644491937-1003\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{0265E1E5-A74F-8601-9120-4A1B8ED37D9D} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PriceFountain DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Skype C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\All Users\Menu Start\Programy\PDFCreator\Licenses C:\Documents and Settings\Szymon\Dane aplikacji\PriceFountain C:\Documents and Settings\Szymon\Dane aplikacji\WindowsServices C:\Documents and Settings\Szymon\Ustawienia lokalne\Dane aplikacji\PriceFountain C:\Documents and Settings\Szymon\Ustawienia lokalne\Dane aplikacji\StaplersFloat C:\WINDOWS\system32\compobjk.dll EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\Szymon\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. 5. Jeśli masz zaprawiony jakiś drugi pendrive, wymagane kolejny log USBFix z opcji Listing zrobiony przy podpiętym pendrive.

W logu podanym powyżej jest definitywnie ustawiony zły profil jako domyślny (to nazwa tożsama z folderem, w opcjach Chrome jest inna nazwa wyświetlana), a folder ChromeDefaultData istnieje na dysku: Chrome: ======= CHR HomePage: ChromeDefaultData -> hxxp://google.pl/ CHR DefaultSearchKeyword: ChromeDefaultData -> lp CHR Profile: C:\Users\Dawid B\AppData\Local\Google\Chrome\User Data\ChromeDefaultData (i kupa rozszerzeń) Owszem, może to być jedyny widoczny profil (tak było też w kilku tematach z tym adware tu na forum) i może nawet zawierać "Twoje" dane (wystąpiła synchronizacja z serwerem Google), tylko że to na pewno nie jest profil utworzony przez Chrome. Chrome domyślnie tworzy profil w folderze "Default" (to też masz na dysku, ale to wygląda na martwy folder), a w przypadku tworzenia kolejnych "Profile Numer". Natomiast folder o nazwie "ChromeDefaultData" wstawia adware. Twój opis sugeruje mi, że na serwerze Google możesz mieć ten cały profil skopiowany i będzie ładowany w kółko podczas synchronizacji. Dlatego też instruowałam, by eksportować zakładki ręcznie, następnie utworzyć zupełnie nowy profil, bo to rozwiązuje zależność synchronizacyjną. Proponuję zrobić jeszcze raz taką operację: 1. CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Zresetuj synchronizację: KLIK. 2. Odinstaluj całkowicie Google Chrome, przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. Po deinstalacji przez SHIFT+DEL (omija Kosz) skasuj całkowicie z dysku poniższy folder: C:\Users\Dawid B\AppData\Local\Google 3. Zainstaluj Chrome od nowa, zaimportuj zakładki, zainstaluj ręcznie po kolei wybrane potrzebne rozszerzenia. Synchronizację z serwerem Chrome włączysz później, gdy będzie potwierdzone, że poprzednie dane z serwera zostały rzeczywiście wyzerowane. 4. Dla potwierdzenia nowy log FRST.txt.

O ile Cię dobrze rozumiem: - Ta akcja z Chrome została wykonana już po zrobieniu podanych powyżej raportów FRST? - Profil usunięty "na żywca" z dysku a nie via opcje przeglądarki? Mi chodziło mi o usuwanie profilu w opcjach Chrome, bo to poprawniejsza metoda niż brutalne usuwanie folderu profilu z dysku. Na wszelki wypadek poproszę o świeży log FRST.txt (bez Addition i Shortcut) mający obrazować te zmiany w profilach Chrome.

Czy w ogóle były wykonywane jakieś operacje? Nie przedstawiłaś pliku Fixlog.txt oraz nadal widzę w Google Chrome ustawiony jako domyślny niepożądany profil ChromeDefaultData. Nic konkretnego dla Chrome nie przychodzi mi teraz do głowy. Niestety wiele "downloaderów" podobnego typu w Chrome Web Store budzi zastrzeżenia. Ten typ programów jest po prostu dobrą bazą dla forsowania adware, reklam i podobnych, gdyż jest duże zapotrzebowanie na taki typ aplikacji.

Ja się jednak obawiam, że ta "naprawa" XP z płyty zdewastowała dużo więcej i są większe niezgodności oraz braki, a może i uszkodzenia też. Np. w wynikach Fixlog kolejne błędy przy wykonywaniu komend netsh "Klasa niezarejestrowana"... Nie za bardzo wiem co poradzić, bo pole manewru wygląda na ograniczone.

Przyjrzałam się jeszcze raz na logi. Te urządzenia TAP wyglądają na pochodną cracka aktywacji, który jest w Harmonogramie zadań: Task: {B9BE3B91-44AB-47CF-A612-EF836D8A4CCE} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe [2015-12-28] () O tym cracku m.in. w tym temacie: KLIK. Decyduj co robimy, czy usuwamy crack w całości.

Czy wyniki Centrum zabezpieczeń pokazane na obrazku na pewno są aktualne? FRST twierdzi, że obecnie nie ma żadnej rejestracji programów antywirusowych we WMI - goło: ==================== Centrum zabezpieczeń ======================== (Załączenie wejścia w fixlist spowoduje jego usunięcie.) I wg raportu odinstalowałeś G Data na rzecz 360 Total Security i Zone Alarm, żaden z nich nie jest wykryty w Centrum, a dlaczego to zaraz się wypowiem. Windows Defender zintegrowany w systemie Windows 10 automatycznie samodzielnie się deaktywuje, gdy jest instalowany program zewnętrzny. Z tym że tu jest problem z tym, iż programy nie są rejestrowane we WMI i nie widać ich w Centrum.... Rejestracje programów w Centrum nie są poprawnie prowadzone, a Pomoc IP (zależna od usłuigi Instrumentacja Windows) nie chce się uruchomić, gdyż jest jakiś problem z funkcjonowaniem WMI. W Dzienniku zdarzeń następujący błąd: Dziennik Aplikacja: ================== Error: (08/09/2016 06:27:39 PM) (Source: SecurityCenter) (EventID: 3) (User: ) Description: Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić zapytań dotyczących zdarzeń z usługi WMI, aby monitorować program antywirusowy, program antyszpiegowski i zaporę innej firmy. Poproszę o raport diagnostyczny z WMI Diagnosis Utility. Skrypt należy uruchomić jako Administrator, czyli po rozpakowaniu narzędzia do jakiegoś folderu w krótkiej ścieżce dostępu i bez spacji: klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklep ścieżkę do pliku WMIDiag.vbs i ENTER. Wynikowemu raportowi zmień ręcznie rozszerzenie z *.log na *.txt, by wszedł w załączniki.

Komentując Fixlog: wklejałeś do Notatnika niedokładnie, "ucięło" Ci literę w pierwszej komendzie zabijania procesów, dlatego się nie wykonała. Jeśli rzecz o reszcie, to nie ma śladów wykonania punktu 3, nadal widać strony adware w Google Chrome: CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=sy&ts=1435597077&z=8afcf42752125a84e138084g5zac3w0w7t7m1e5m1w&from=smt&uid=ST500DM002-1BD142_Z6E4GE59XXXXZ6E4GE59 CHR StartupUrls: Default -> "hxxp://search.conduit.com/?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M486E8DD3-338A-4D2F-8481-5A54586888CF&SearchSource=55&CUI=&UM=5&UP=SP5B546ED7-912D-4C4B-9B30-ED04FEBB673E&SSPV=","hxxp://www.oursurfing.com/?type=hp&ts=1435597040&z=af967304df28f82b50eaf49gbz7c5wcwbtbmaeaccb&from=smt&uid=ST500DM002-1BD142_Z6E4GE59XXXXZ6E4GE59","hxxp://www.oursurfing.com/?type=hppp&ts=1435597077&z=8afcf42752125a84e138084g5zac3w0w7t7m1e5m1w&from=smt&uid=ST500DM002-1BD142_Z6E4GE59XXXXZ6E4GE59" 1. Wdróż punkt z czyszczeniem Google Chrome. 2. Przez SHIFT+DEL (omija Kosz) skasuj te puste skróty z dysku: C:\Users\mentol\Desktop\skan\ComboFix - Shortcut.lnk C:\Users\mentol\Desktop\skan\ComboFix - Shortcut (2).lnk C:\Users\mentol\AppData\Roaming\Microsoft\Word\PEWNIAKI%20EGZAMIN305282680747599287\PEWNIAKI%20EGZAMIN.docx.lnk Z folderu "skan" także FRST i jego logi oraz ewentualnie inne pobrane wcześniej narzędzia usuwające. 3. A na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

To nie koniec zadań. Proszę dostarcz wynikowe logi potwierdzające operacje: