picasso

Potwierdzam rozwiązanie problemu z profilem Google Chrome. Obecnie jest tak jak powinno być, czyli stoi profil domyślny Default jako domyślny. Widzę że wrócił na miejsce Avast i jak sądzę teraz już nie miał zastrzeżeń do instalacji Google Chrome. Drobne czynności końcowe, tzn. usunięcie szczątków po odinstalowanym Comodo (foldery na dysku i strumienie ADS) oraz profilu odinstalowanego Firefox. Otwórz Notatnik i wklej w nim: AlternateDataStreams: C:\WINDOWS\system32\aclui.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\acmigration.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Chakra.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Chakradiag.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Chakrathunk.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\CloudExperienceHost.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DataSenseHandlers.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DeveloperOptionsSettingsHandlers.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\difx64.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DPTopologyApp.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DPTopologyAppv2_0.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\edgehtml.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\fbnative.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\GdiPlus.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\GfxUIEx.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Gfxv2_0.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Gfxv4_0.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\iertutil.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxCUIService.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxEM.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxext.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxHK.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxTray.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\indexeddbserver.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\IntelCpHDCPSvc.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\IntelWiDiUMS64.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\LaunchWinApp.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\lsasrv.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\MRT.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\mshtml.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\mspaint.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\offlinelsa.dll:$CmdTcID [130] AlternateDataStreams: C:\WINDOWS\system32\SettingsHandlers_Bluetooth.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SettingsHandlers_nt.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\shell32.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\shutdownux.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SystemSettings.UserAccountsHandlers.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\twinui.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\urlmon.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\win32k.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\win32kbase.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\win32kfull.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\win32u.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Windows.Shell.Search.UriHandler.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Windows.UI.Search.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Windows.UI.Shell.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\aclui.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Chakra.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Chakradiag.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Chakrathunk.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\edgehtml.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\GdiPlus.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\iertutil.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\igd12umd32.dll:$CmdTcID [130] AlternateDataStreams: C:\WINDOWS\SysWOW64\indexeddbserver.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\IntelCpHeciSvc.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\LaunchWinApp.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\mshtml.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\mspaint.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\offlinelsa.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\shell32.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\twinui.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\urlmon.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\win32k.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\win32kfull.sys:$CmdTcID [130] AlternateDataStreams: C:\WINDOWS\SysWOW64\win32u.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.Shell.Search.UriHandler.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.UI.Search.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\cng.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\eubakup.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\EUBKMON.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\eudskacs.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\EuFdDisk.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\ksecpkg.sys:$CmdTcID [64] DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\COMODO DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\VTRoot RemoveDirectory: C:\Users\Dawid B\AppData\Local\Mozilla\Firefox RemoveDirectory: C:\Users\Dawid B\AppData\Roaming\Comodo RemoveDirectory: C:\Users\Dawid B\AppData\Roaming\Mozilla\Firefox RemoveDirectory: C:\WINDOWS\System32\Tasks\COMODO Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy plik fixlog.txt. Nowe skany FRST nie są już potrzebne.

Poproszę o zrzut ekranu jak ten komunikat wygląda i co właściwie na nim jest. W raportach nie widzę konkretnego wpisu powiązanego z tym zachowaniem, choć i tak jest co czyścić (instrukcje poniżej). Drugie pytanie: co było robione za pomocą programu OTL, jaki skrypt był uruchamiany? Działania do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare programy i zbędniki: Bing Bar, Facebook Video Calling 3.1.0.521, HP Deskjet 1050 J410 series — badanie mające na celu poprawę produktów, Java 8 Update 77 (64-bit), Java 8 Update 77, Real Alternative 2.0.2. - Uruchom Program Install and Uninstall Troubleshooter i zajego pomocą usuń ukryty wpis Metric Collection SDK 35 (po niechcianej instalacji Lenovo). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\...\CurrentVersion\Windows: [Load] C:\Users\pcc\LOCALS~1\Temp\mstyxgcuo.pif HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\...\Policies\Explorer: [] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = www.bing.com SearchScopes: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000 -> {szukaj.gazeta.pl} URL = hxxp://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - Brak pliku Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - Brak pliku CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-09-04] R1 avgtp; C:\windows\system32\drivers\avgtpx64.sys [50976 2014-08-15] (AVG Technologies) S3 cpuz136; \??\C:\windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] Task: {02FA39FD-DFE1-44C6-AB89-9D1B09975B14} - System32\Tasks\{8AD4B995-0AD5-4517-B5A7-6F44C22F4034} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {07862DC4-927F-4DBB-9649-16A814197BA8} - System32\Tasks\{CCD3D25B-C4D9-4664-9865-88C9B2FBF856} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {07C71F3B-DEE2-4EEE-8B04-93E4B392A255} - System32\Tasks\{D12469C1-2FC4-425E-9A14-A6FFFD3B2D2D} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {09668005-4FC7-4F08-BF0C-1AD9A27505CB} - System32\Tasks\{1A564D90-04EC-4B1D-B2F9-C6728CDFDFCA} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {143562C8-83A2-4A65-8F8C-8F53CEB16302} - System32\Tasks\{5F1CA3AA-7A13-4645-AD89-23503A1F4C0C} => C:\Users\pcc\Downloads\Edytor_Tekstu.exe Task: {1C566971-5AD5-4427-A4F4-C38E62FF3644} - System32\Tasks\{3F430B8C-6681-4FEF-811B-AF1F3457A76F} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {1D5E64CD-2A82-4982-98F3-FEA99EF51981} - System32\Tasks\{F5184DC8-E0B0-4A16-AD8C-66455226C605} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {2133B9BE-ADBE-496E-870A-1FDBA022D8D9} - System32\Tasks\{CCD49F6C-B4A9-44B2-AB02-4078A70C65BC} => pcalua.exe -a F:\Setup.exe -d F:\ Task: {2202DC82-A0E8-4906-AE01-8BEF18ED3F42} - System32\Tasks\{ACD7073F-9015-4E3E-ABFE-3126AB8F19B7} => pcalua.exe -a C:\Users\pcc\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {24D0E333-F647-4CBA-89E8-11DE688672C6} - System32\Tasks\{4C46945D-EB79-43BD-9529-5FC7196F23C2} => pcalua.exe -a "C:\Users\pcc\Downloads\Worms 3D\SetupReg.exe" -d "C:\Users\pcc\Downloads\Worms 3D" Task: {253BAF50-A40C-4D86-B45C-64D79AC4FCF4} - System32\Tasks\{E7DDEBD7-D788-4034-A742-AB543671C8B2} => C:\Users\pcc\Downloads\Edytor_Tekstu.exe Task: {26F306E4-52D0-45DE-A1D7-FA3C11DCB54D} - System32\Tasks\{762A3D58-C777-4948-875A-24B93D0234BA} => C:\Users\pcc\Downloads\Edytor_Tekstu.exe Task: {2FEE03BE-8D4D-4741-BC96-CF0CABFEBF6F} - System32\Tasks\{55BAD1D0-BB26-46C5-A99A-76EDF380642E} => C:\Users\pcc\Farming Simulator 2015\x86\FarmingSimulator2015Game.exe Task: {3017946D-3B1D-4532-B83D-437417DC0AB4} - System32\Tasks\{0F84A58E-FA53-4903-90D5-725F6AF84732} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {43ACF6C5-4045-43F7-BDEB-9C6667F29C9E} - System32\Tasks\{07766880-3BFB-4CBB-9C3E-70929321EA10} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {49A180FE-7F6C-4826-BDDC-3BF1C3252D2D} - System32\Tasks\{F5D43614-BF71-4FE0-ABE4-993C5DF787D2} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {4C2EAAB6-1331-4E64-A78C-156AFD20E965} - System32\Tasks\{6601E1ED-8D6D-46A9-9DC7-CAFEE6D99085} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {4C83AD88-CEEB-4B53-824D-968EFCCCF554} - System32\Tasks\{A7B8956D-E12C-4DD8-97CF-7940CD186871} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {597689CC-A418-4D57-AE87-20232CFB90C0} - System32\Tasks\{866A2F12-B300-4E85-A44F-5FBCDF8B4083} => C:\Program Files (x86)\GTA SA\Gta_sa.exe Task: {676FF599-6FD1-44A6-BD14-53F8C8B10639} - System32\Tasks\{11715649-2583-4E1D-A6A6-F4E2C8CAD082} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {6ABB2754-6C5E-4153-899B-591690CE6BA6} - System32\Tasks\{ECB0109C-7AC9-4B81-9168-E5B4120A3DE0} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {7C81E7CD-3061-49C7-9B56-BF68F93AFCF0} - System32\Tasks\{5756E078-1362-4804-80DA-03ABEFD2F16F} => D:\Train Simulator 2015\RailWorks.exe Task: {8AC56FB8-21F9-499D-A713-465DA555BCB7} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Task: {921C48F9-93CB-49C4-B6C6-48B8A2CE8CF1} - System32\Tasks\{513A2BF3-21AD-4885-B591-0754E19C70BE} => pcalua.exe -a "C:\Program Files (x86)\NSR_Stage_1\uninst.exe" Task: {922F1385-6C61-4333-A268-4F7C65D7BF3B} - System32\Tasks\{D7E0F0BE-1604-4BB3-AA75-FD5E47A8366D} => C:\Users\pcc\kuba\Grand Theft Auto IV full game PC + Multiplayer ^^nosTEAM^^\Grand Theft Auto IV\LaunchGTAIV.exe Task: {A51254D3-2444-4BDB-B6F0-7E92D16061C0} - System32\Tasks\{6BCD8E52-AA8F-46BF-A7F6-0CBE90831C29} => C:\Program Files (x86)\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe Task: {ACA08BF3-2350-4369-AE84-E8E2DCADCD9B} - System32\Tasks\{704CD5A9-5E06-4B06-919A-4D0E78EA6086} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {B3128809-A0BD-49C8-9F7C-82D8A9239FBA} - System32\Tasks\{17D0E8FE-624A-4827-A58E-A14F773BC60E} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {BBE94C15-601E-4E3B-BC7B-7AD15AA93204} - System32\Tasks\{EFA45F49-6F6F-4451-ABFF-A9680529D082} => C:\Users\pcc\Downloads\Edytor_Tekstu.exe Task: {BC51609D-D250-4D83-9153-430B6717BAC9} - System32\Tasks\{C983E86B-C3C6-465C-8B73-6F18A5FE4764} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {BD272AB3-511F-4D10-AA20-3EB29A19D5E6} - System32\Tasks\{7D8EDE4C-12DA-4B96-8431-AA7C1DA261F9} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {C15A2EEC-A5E0-4AE5-B548-FD39B1BC249A} - System32\Tasks\{8F9142A0-FD09-43D6-ADBD-56DFAA4BBC90} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {C3F55AA8-84F3-4D0B-9800-185E2923CB38} - System32\Tasks\{97A052B6-398F-4C8F-97A9-2401870B13CE} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {C45B65B6-510B-4436-954D-C8A34042DACD} - System32\Tasks\{6F972FBE-A549-4903-A917-F439A87EFD87} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {D296A5BF-2D69-4BA4-9D77-A02C85E1AD3C} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {DFD7FECB-FAE1-4423-90BF-475BC638565D} - System32\Tasks\{E54AA1E0-7643-4C47-B059-DB4C2B1FC21C} => C:\Users\pcc\Downloads\Edytor_Tekstu.exe Task: {E8FC6AE7-D882-47AF-95DD-4DCB024A2AAD} - System32\Tasks\{48BC2671-B74C-4610-956A-D85DE3B438C3} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {EC6F7936-9D68-4BA5-AFC2-2BAE7B149AB3} - System32\Tasks\{EAC6FFBC-AA32-4B27-BFFD-B5431E691A4D} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {EE06EFC2-6481-483D-835C-D7E60CB67F39} - System32\Tasks\{E013120E-9679-4C02-904D-C702078F573E} => pcalua.exe -a "C:\Program Files (x86)\ShopperPro\SPremove.exe" Task: {F0C69E25-3026-47B0-8A87-0AE469F8A574} - System32\Tasks\{D0A4E922-959C-4C8E-9E76-6CD2A8F339F9} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {FF46EA4D-2DB5-4454-BCCA-BEE9F05F05CC} - System32\Tasks\{B829C2F4-D92E-4F79-81E4-65DFF386A544} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\Software\Classes\exefile: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\Software\Classes\.exe: exefile => DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\DLL Suite C:\Program Files (x86)\DllTool C:\Program Files (x86)\Lenovo C:\ProgramData\1441394140.bdinstall.bin C:\ProgramData\1441394392.bdinstall.bin C:\ProgramData\1441394395.bdinstall.bin C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall Messenger for Desktop.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVIConverter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Recovery C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{F5E88F43-1E40-4D96-92E5-D1DF03ECC7DE} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{f5aa5b6a-a384-422b-a907-d999459ba78e} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{c0ece13b-586f-4a9f-97b9-c4ce9580cdb8} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{adbbcb61-5032-4d77-bed4-7c74d86c07b8} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{858832fa-2921-4f05-ab02-1e13a842ae39} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{7ad64128-be81-4f69-9356-9934f0d3c5b8} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{56e56f32-3715-450b-aa67-5bcd65a3a212} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{367a1a34-e291-466e-b1c8-0380d1b3646c} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{34effc27-0104-4012-af9a-331b3ddfb271} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{32aea27d-498e-4ee7-86da-127272427b0c} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{1dd28cf6-954c-426b-a6cb-f704e09f6689} C:\Users\pcc\AppData\Local\Lenovo C:\Users\pcc\AppData\Local\Mozilla C:\Users\pcc\AppData\Roaming\Mozilla C:\Users\pcc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\pcc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\NIEOFICJALNE SPOLSZCZENIE PES2013 v.1.1 C:\Users\pcc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder C:\Users\pcc\Favorites\GG dysk.lnk C:\Users\pcc\Links\GG dysk.lnk C:\Windows\System32\drivers\avgtpx64.sys C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Tzw. Rocznicowa aktualizacja Windows 10 (Wersja 1607) wprowadza Edge 38.14393.0.0 obsługujące rozszerzenia. Dodałam wstępny opis tej części.

Prawoklik na plik C:\Windows\system32\lusrmgr.msc > Uruchom jako Administrator > powinna uruchomić się przystawka zarządzania lokalnymi kontami, z poziomu której można alternatywnie przeprowadzić dodawanie lokalnego konta.

Podałam już wcześniej kroki końcowe. Temat rozwiązany. Zamykam.

Te komunikaty były właśnie związane z zadaniem adware PriceFountain w Harmonogramie, co pomyślnie FRST usunął. Zapomniałeś dodać plik Fixlog.txt z wynikami skryptu, ale już to sobie darujmy, gdyż w logach widać pozytywne zmiany. Przeoczyłam błędy w Dzienniku zdarzeń, masz uszkodzony rejestr: Dziennik Aplikacja: ================== Error: (08/12/2016 12:42:08 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Baza danych rejestru konfiguracji jest uszkodzona. Error: (08/12/2016 12:42:08 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1508) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować rejestru. Częstą przyczyną tego problemu jest za mała ilość pamięci lub brak wystarczających praw zabezpieczeń. SZCZEGÓŁY - Baza danych rejestru konfiguracji jest uszkodzona. for C:\Users\Kamil\AppData\Local\Microsoft\Windows\\UsrClass.dat Rozwiązaniem jest założenie nowego konta użytkownika w Windows i usunięcie starego.

Hmm, FRST poprawnie uzgodnił wejścia NameSpace (licznik wpisów koresponduje do ilości wejść). Czy to na pewno jest obecnie problem z Winsock? Ten plik wywalony przez AdwCleaner należał do instalacji ProxyCap. Program jest nadal na liście zainstalowanych. Odinstaluj go, zresetuj system i podaj czy są jakieś zmiany.

Czyli tak jak przypuszczałam, nie ma to związku z (właśnie usuniętym) sterownikiem adware. Zamykając temat czyszczenia w dziale infekcji: Temat przenoszę na diagnostykę do działu Hardware. Dostarcz dane wymagane działem: KLIK.

Poproszę o pełny wyciąg kluczy Winsock. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\WinSock2 /s Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

KOMPUTER Z WINDOWS 8: Czy na pewno odinstalowałeś wcześniej adware Browser-Security? Nadal to widać w starcie. Poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3872225513-4102284116-2658569052-1001\...\Run: [safe_urls768] => C:\Users\Madzia\AppData\Roaming\Browser-Security\s768.exe [2548944 2016-06-20] () HKU\S-1-5-21-3872225513-4102284116-2658569052-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Madzia\AppData\Roaming\Browser-Security RemoveDirectory: C:\Users\Madzia\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. KOMPUTER Z WINDOWS XP: Pomyliłeś się przy wklejaniu, obciąłeś literę w pierwszej komendzie CloseProcesses:, dlatego nie wykonało się zabijanie procesów. Reszta komend wykonana. Na koniec skorzystaj z DelFix i wyczyść foldery Przywracania systemu: KLIK. PENDRIVE: W Opcjach folderów włącz pokazywanie ukrytych, tzn. odznacz opcję Ukryj chronione pliki systemu operacyjnego. Następnie przez SHIFT+DEL (omija Kosz) skasuj z dysku te elementy infekcji: [06/08/2016 - 10:39:28 | A | 2 Ko] - G:\USB DISK.lnk [20/07/2016 - 10:57:32 | RASHD] - G:\WindowsServices Natomiast z poniższego folderu przenieść swoje dane poziom wyżej, a po tym skasuj folder "z kreską": [20/07/2016 - 10:57:32 | SHD] - G:\_

Zabrakło obowiązkowego pliku FRST Shortcut. Nie podałeś co konkretnie i gdzie wykrywa Windows Defender. W raportach FRST widać tylko szczątki adware (głównie PriceFountain) i dziwną zawartość pliku Hosts. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Java 7 Update 72 (64-bit), Java 7 Update 72. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń szczątkowy wpis Google Update Helper. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0854BC54-7C46-4962-962C-F5D321F372EF} - System32\Tasks\Windows Installer => C:\Users\Kamil\AppData\Roaming\Updater\winupd.exe <==== UWAGA Task: {0CC712E4-9DA9-49B7-AFA9-61ACC5354FBB} - System32\Tasks\Uninstaller_SkipUac_Administrator => E:\1Programy\IObit Uninstaller\IObitUninstaler.exe Task: {26568B8A-0EBC-4A85-9DB9-AE48E919EB36} - System32\Tasks\{183202AE-979F-8454-99D4-15E30054407C} => C:\Users\Kamil\AppData\Roaming\{183202AE-979F-8454-99D4-15E30054407C}\SynHelper [Argument = /Check] <==== UWAGA Task: {5B84AAAC-B9A0-43C6-871E-03F5A8768162} - \Full Cleaner -> Brak pliku <==== UWAGA Task: {6D1BC589-9FB2-465A-BF57-6D59F3479CB9} - System32\Tasks\Driver Booster SkipUAC (Kamil) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {7F8D85F1-DC1B-46F8-93D3-1022963C4903} - System32\Tasks\Open Chrome => Chrome.exe --new-window hxxp://toolbar.avg.com/almost-done?pid=safeguard&amp;lang=en Task: {8F9A17DF-8D87-4D80-888C-D1EBA40DF948} - System32\Tasks\{693C22F5-8A7A-4095-8627-C2487720AC8A} => pcalua.exe -a D:\Baldur.exe -d D:\ Task: {96CC9F8C-B458-4993-8ACE-76D0B1419663} - System32\Tasks\Driver Booster SkipUAC (SYSTEM) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {A40B047C-602C-4180-82F0-6C02487ED1EE} - System32\Tasks\KamilCalendsVariablenessV2 => Rundll32.exe SentencedSneaked.dll,main 7 1 <==== UWAGA Task: {DC3429B6-DB41-4C29-93E5-2BC075AE035A} - System32\Tasks\Uninstaller_SkipUac_Kamil => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: {F879CBF5-D5AB-49D9-9FFE-1F5E831A25C4} - \Full Cleaner Logon -> Brak pliku <==== UWAGA Task: C:\WINDOWS\Tasks\Open Chrome.job => c:\program files (x86)\Google\Chrome\Application\chrome.exeF--new-window hxxp:/toolbar.avg.com/ Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Administrator.job => E:\1Programy\IObit Uninstaller\IObitUninstaler.exe Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Kamil.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: C:\WINDOWS\Tasks\{183202AE-979F-8454-99D4-15E30054407C}.job => C:\Users\Kamil\AppData\Roaming\{183202AE-979F-8454-99D4-15E30054407C}\SynHelper/Check Kamyk\Kamil 0ߕ ֠< <==== UWAGA HKLM-x32\...\Run: [QuickTime Task] => C:\Windows\SysWOW64\qttask.exe [98304 2013-06-03] (Apple Computer, Inc.) HKU\S-1-5-18\...\Run: [Advanced SystemCare 8] => "C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASCTray.exe" /Auto HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\str => ""="service" S3 ALSysIO; \??\C:\Users\Kamil\AppData\Local\Temp\ALSysIO64.sys [X] S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{183202AE-979F-8454-99D4-15E30054407C} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\CalendsVariableness DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Desktop iCalendar.exe" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ALLUpdate /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v f.lux /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v FreeAC /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v NetMon /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Steam /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Google Desktop Search" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "EaseUS EPM tray" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "QuickTime Task" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v CodecPackTrayMenu.lnk /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v CodecPackUpdateChecker.lnk /f C:\Program Files\Enigma Software Group C:\Program Files (x86)\Computer Computer C:\Program Files (x86)\Google C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} C:\ProgramData\mtbjfghn.xbe C:\Users\Kamil\AppData\Local\{6578B065-08AA-4068-BDA3-A439751D5B3B} C:\Users\Kamil\AppData\Local\{7987E687-E3B7-4E1D-9EEE-5464375D6873} C:\Users\Kamil\AppData\Local\CalendsVariableness C:\Users\Kamil\AppData\Local\Google C:\Users\Kamil\AppData\Roaming\*.* C:\Users\Kamil\AppData\Roaming\{183202AE-979F-8454-99D4-15E30054407C} C:\Users\Kamil\AppData\Roaming\Full Cleaner C:\Users\Kamil\AppData\Roaming\Updater C:\Windows\SysWOW64\qttask.exe CMD: netsh advfirewall reset RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Ustaw Vivaldi jako domyślną przeglądarkę, gdyż obecnie brak zdefiniowanej. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy WindowsDefender nadal coś wykrywa.

Wszystko wykonane pomyślnie. Nic się nie wypowiadasz czy po użyciu skryptu FRST i restarcie systemu odzyskałeś dostęp do sieci. FRST powinien w prawidłowy sposób skorygować Winsock na poziomie rejestru (usunięcie wejścia i przenumerowanie wpisów w łańcuchu). Jeśli sieć już działa, wykonaj kroki końcowe, tzn.: Usuń D:\frst program diagnostyczny z FRST i jego logami. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Zasady działu: KLIK. Dostarcz obowiązkowe raporty z FRST: KLIK.

Problemem jest, że AdwCleaner wywalił na chama plik z dysku, który był wpięty w Winsock: :: Winsock2 - usunięto pcapwsp.dll ... pozostawiając niezsynchronizowany Winsock (zero akcji na poziomie rejestru): Winsock: Catalog5-x64 07 pcapwsp.dll Brak pliku Uszkodzona część to Winsock NameSpace, dlatego nie pomaga komenda "netsh winsock reset", która resetuje jedynie Winsock Protocol. I jest tu więcej do interwencji niż tylko uszkodzony dostęp do internetu. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Winsock: Catalog5-x64 07 pcapwsp.dll Brak pliku InternetURL: C:\Users\Maniek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winol.url -> URL: C:\Users\Maniek\AppData\Roaming\Winol\winol.exe BootExecute: autocheck autochk * sh4native Sh4Removal Task: {30D17A75-A2D0-445D-A734-06D91A2C7B2C} - System32\Tasks\{8FEA13AD-C995-4D3D-B629-A2B3AD9F1730} => E:\PENTAGRAM.exe Task: {407FEB86-4FED-4CE6-836B-5258ACE61828} - System32\Tasks\{C923ABFE-E423-4E88-A56D-BD9A6135DF39} => Task: {5473067B-88B6-48B8-88AC-0BD20734C915} - System32\Tasks\DropboxUpdateTaskMachineUA => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe Task: {7E5F8E9E-A72F-45A7-A8D0-167749622FE5} - System32\Tasks\SkypeUpdater => C:\Users\Maniek\AppData\Roaming\Skype\download.exe Task: {ABFFF1C9-8419-484A-B190-DA2977490F9A} - System32\Tasks\SkypeAutoUpdate => C:\Users\Maniek\AppData\Roaming\Skype\download.exe Task: {B80EA246-8C31-4765-8127-3D999BFFD2F3} - System32\Tasks\DropboxUpdateTaskMachineCore => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe Task: {BDB8C76A-7CED-4A95-A6A1-E4B08F745511} - System32\Tasks\DriverMaxAgent => F:\Program Files (x86)\Innovative Solutions\DriverMax\drivermax.exe Task: C:\Windows\Tasks\DropboxUpdateTaskMachineCore.job => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe Task: C:\Windows\Tasks\DropboxUpdateTaskMachineUA.job => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe HKLM-x32\...\Run: [sSBkgdUpdate] => "C:\Program Files (x86)\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-199027117-3936704272-4168754261-1001\...\Run: [AdobeBridge] => [X] S4 ACTION_SVC; C:\Program Files (x86)\Mirillis\Action!\action_svc.exe [X] S4 dbupdate; "C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe" /svc [X] S4 dbupdatem; "C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe" /medsvc [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = URLSearchHook: [s-1-5-21-199027117-3936704272-4168754261-1001] UWAGA => Brak domyślnego URLSearchHook SearchScopes: HKU\S-1-5-21-199027117-3936704272-4168754261-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = IE trusted site: HKU\S-1-5-21-199027117-3936704272-4168754261-1001\...\hola.org -> hxxp://hola.org DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-18\Software\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset C:\iexplore.bat C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Extreme Picture Finder 3\Extreme Internet Software on the Web.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks C:\Users\Maniek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk C:\Users\Maniek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk C:\Users\Maniek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr (64-bit).lnk C:\Users\Maniek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk C:\Users\Maniek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk C:\Users\Maniek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\Maniek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr.lnk C:\Users\Maniek\AppData\Roaming\Winol C:\Users\Maniek\Desktop\GRY\7DaysToDie — skrót.lnk C:\Users\Maniek\Desktop\GRY\Darkest — skrót.lnk C:\Users\Maniek\Desktop\GRY\Fallout New Vegas.lnk C:\Users\Maniek\Desktop\GRY\fnv4gb - skrót.lnk C:\Users\Maniek\Desktop\GRY\Punch Club — skrót.lnk C:\Users\Maniek\Desktop\GRY\Saints Row Gat out of Hell.lnk C:\Users\Maniek\Desktop\GRY\Saints Row IV.lnk C:\Users\Maniek\Desktop\GRY\Sexy Beach Premium Resort.lnk C:\Users\Maniek\Desktop\Programy\Avira Control Center.lnk C:\Users\Maniek\Desktop\Programy\Avira System Speedup.lnk C:\Users\Maniek\Desktop\Programy\DTLite — skrót.lnk C:\Users\Maniek\Desktop\Programy\ESET Ochrona bankowości internetowej.lnk C:\Users\Maniek\Desktop\Programy\Genymotion.lnk C:\Users\Maniek\Desktop\Programy\Genymotion Shell.lnk C:\Users\Maniek\Desktop\Programy\WireShare 5.6.4.3.lnk C:\Windows\SysWOW64\zlib.dll EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Skróty przeglądarek zostały przekierowane na szkodliwe pliki BAT, toteż zostały usunięte skryptem FRST. Ręcznie odtwórz w wybranych miejscach skróty do przeglądarek. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition lecz bez Shortcut. Dołącz też plik fixlog.txt.

To przypuszczalnie nie jest problem infekcji, ale owszem, w Twoim systemie widać odpadki po instalacji adware/PUP, w tym ofensywny sterownik UCGuard (i to jedyny obiekt który ewentualnie mógłby skutkować opisywanymi objawami, reszta to głównie nieaktywne drobne śmieci). Wstępnie przeczyść z tych śmieci, a jeśli nie będzie wyników, przeniosę temat do stosowniejszego działu. Działania do przeprowadzenia:

Tak, wszystko wykonane. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

W tej sytuacji to wszystko z mojej strony. Urządzenia TAP będą wracać i nie można tego zablokować, dopóki siedzi obiekt startowy w Harmonogramie.

A czy to właśnie nie Comodo (i jego zabezpieczenia) jest tu winny? Nazwa sugeruje, że odwiedzasz nie to miejsce co należy. Ta konkretna ścieżka to nie jest folder tylko link symboliczny dla wstecznej kompatybilności, zabezpieczony przez uprawnienia celowo. Nie należy nic zmieniać. Upewnij się, że w opcjach folderów masz włączone pokazywanie ukrytych folderów i dopiero po tym wejdź do folderu C:\Users\Dawid B. Powinnaś tam widzieć dwa obiekty: Appdata (tu wchodzisz) oraz Dane aplikacji (to link do Appdata, to nas nie interesuje).

Otwórz Notatnik i wklej w nim: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "Desktop"="C:\\Users\\Diana\\Desktop" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "Desktop"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,44,00,65,00,73,00,6b,00,74,00,6f,00,70,00,00,00 EndRegedit: Reboot: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu. Przedstaw wynikowy fixlog.txt. Jeśli wszystko poprawnie się wykona, skasuj folder D:\Diana\Desktop. Rzecz jasna wcześniej wyciągnij z niego ewentualne potrzebne rzeczy.

Sugerowałam się obrazkiem z Process Hacker pokazującym usługę wuauserv w składzie. Czy to oznacza, że ta usługa nie jest w ogóle aktywna? Wymieniłam obie pro forma, lecz zaznaczyłam, że nowsza łata wypiera poprzednią, czyli powinieneś mierzyć w ściąganie tylko tej drugiej. Ale jeśli Windows Update nie jest aktywna, to problem może być innej natury. Tylko że to wyłączone Windows Update sugeruje mi, że może brakować także innych łat, które mogą coś polepszyć w systemie. W związku z tym włączyłabym usługę Windows Update i sprawdziła co się pokazuje do pobrania. Niemniej przy braku łaty KB3172605 wyszukiwanie może być bardzo powolne... Rzeczywiście, wczoraj nawet nie mogłam się dostać na niektóre linki, po czym się "naprawiło", ale akurat to pobieranie u mnie nadal nie działa. Skorzystaj z trzeciej metody tam umieszczonej, czyli Microsoft Update Catalog. Stronę musisz otworzyć w Internet Explorer, nie w Firefox. Do czego konkretnie zmierzasz, jakie wpisy i gdzie? W raportach nie ma żadnych śladów Kaspersky Total Security ani Emsisoft w rejestrze. Jedyny widoczny (i martwy) wpis rejestru pochodzi od ekspresowego skanera Kaspersky Security Scan, na dysku też jeden plik Emsisoft (ale już bez odnośników uruchomieniowych). Rekordy zawierające frazę "Emsisoft" to są wyciągi z Dziennika zdarzeń a nie rejestru. Tak więc pokaż konkretnie które wpisy masz na myśli. ps. Jeśli chodzi o "kosmetykę" wpisów szczątkowych widocznych w raporcie FRST, to popatrz do spoilera. To działanie podrzędne i nie zadane przeze mnie wcześniej, gdyż nie ma żadnego wpływu na problem zasadniczy.

Zappa Nie w tym przypadku: [01/08/2016 - 18:34:03 | RASHD] - C:\Autorun.inf [01/08/2016 - 18:34:04 | RASHD] - G:\Autorun.inf Veron POPRZEDNI KOMPUTER: Sprawy czyszczenia nieukończone, w raporcie FRST było więcej wpisów do interwencji od adware, tzn. polityki blokujące któreś ustawienia w Chrome, zanieczyszczony Firefox, usługa adware MustangService, niechciane instalacje PUP od Lenovo (tu nie ma komputera Lenovo tylko ASUS). Również immunizację USBFix z dysku C usunę, to ma skutki uboczne dla dysków lokalnych, a poza tym to ten rodzaj zabezpieczenia od dawna ma nikłą rolę, bo systemy Windows 7 z łatami i nowsze nie umożliwiają wykonania autorun.inf, infekcje stosują inne metody. Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-3872225513-4102284116-2658569052-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3872225513-4102284116-2658569052-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.piesearch.com/?type=sc&ts=1451822655&pid=etc0103&uid=9ed4e68e-014a-4f81-9fa2-ea14dbc02584 FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Madzia\AppData\Roaming\Mozilla\Firefox\Profiles\utsynkfr.default\extensions\deskCutv2@gmail.com => nie znaleziono S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer34.exe [235776 2015-12-15] (MustangService) S3 e1edc438-f640-4184-a443-d2a7c37a01dc; \??\C:\OA30\690b33e1-0462-4e84-9bea-c7552b45432a.sys [X] Task: {310BA02C-9380-48ED-8CAB-645720B6EB56} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\ProgramData\TempMoudleSet C:\Program Files (x86)\Lenovo C:\Users\Madzia\AppData\Local\Lenovo C:\Users\Madzia\Desktop\Magda\szkoła\Nowy folder\Skrót do praca z socjologii.lnk C:\Windows\System32\Tasks\Lenovo RemoveDirectory: C:\Autorun.inf EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus zostanie zdegradowany. Sugeruję w zamian wstawić uBlock Origin. Menu Historia > Wyczyść całą historię przeglądania. 3. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń wpis Metric Collection SDK (od niechcianej instalacji Lenovo).. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. KOMPUTER Z XP: Co masz na myśli mówiąc "+ pendrive nr 2"? FRST w ogóle nie skanuje pendrivów, od tego jest USBFix lub komendy w skryptach FRST. Działania na poziomie XP: 1. Odinstaluj Adobe AIR, Adobe Shockwave Player 12.1, HP Customer Participation Program 13.0, Java 8 Update 60. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Szymon\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\Szymon\DANEAP~1\PRICEF~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\BVRFVTD.job => rundll32.exe 0 C:\WINDOWS\system32\compobjk.dll Task: C:\WINDOWS\Tasks\PFExe.job => C:\Documents and Settings\Szymon\Ustawienia lokalne\Dane aplikacji\PriceFountain\pricefountain.exe Task: C:\WINDOWS\Tasks\SzymonStaplersFloatV2.job => rundll32 exe RejudgesAttaching dll S1 {fe331f63-d0ef-486b-89da-478e619996a9}Gt; system32\drivers\{fe331f63-d0ef-486b-89da-478e619996a9}Gt.sys [X] HKU\S-1-5-21-329068152-746137067-1644491937-1003\...\Run: [tsiVideo] => rundll32.exe C:\DOCUME~1\Szymon\USTAWI~1\Temp\mdi064.dll,dalmat SearchScopes: HKU\S-1-5-21-329068152-746137067-1644491937-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-329068152-746137067-1644491937-1003\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{0265E1E5-A74F-8601-9120-4A1B8ED37D9D} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PriceFountain DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Skype C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\All Users\Menu Start\Programy\PDFCreator\Licenses C:\Documents and Settings\Szymon\Dane aplikacji\PriceFountain C:\Documents and Settings\Szymon\Dane aplikacji\WindowsServices C:\Documents and Settings\Szymon\Ustawienia lokalne\Dane aplikacji\PriceFountain C:\Documents and Settings\Szymon\Ustawienia lokalne\Dane aplikacji\StaplersFloat C:\WINDOWS\system32\compobjk.dll EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\Szymon\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. 5. Jeśli masz zaprawiony jakiś drugi pendrive, wymagane kolejny log USBFix z opcji Listing zrobiony przy podpiętym pendrive.

W logu podanym powyżej jest definitywnie ustawiony zły profil jako domyślny (to nazwa tożsama z folderem, w opcjach Chrome jest inna nazwa wyświetlana), a folder ChromeDefaultData istnieje na dysku: Chrome: ======= CHR HomePage: ChromeDefaultData -> hxxp://google.pl/ CHR DefaultSearchKeyword: ChromeDefaultData -> lp CHR Profile: C:\Users\Dawid B\AppData\Local\Google\Chrome\User Data\ChromeDefaultData (i kupa rozszerzeń) Owszem, może to być jedyny widoczny profil (tak było też w kilku tematach z tym adware tu na forum) i może nawet zawierać "Twoje" dane (wystąpiła synchronizacja z serwerem Google), tylko że to na pewno nie jest profil utworzony przez Chrome. Chrome domyślnie tworzy profil w folderze "Default" (to też masz na dysku, ale to wygląda na martwy folder), a w przypadku tworzenia kolejnych "Profile Numer". Natomiast folder o nazwie "ChromeDefaultData" wstawia adware. Twój opis sugeruje mi, że na serwerze Google możesz mieć ten cały profil skopiowany i będzie ładowany w kółko podczas synchronizacji. Dlatego też instruowałam, by eksportować zakładki ręcznie, następnie utworzyć zupełnie nowy profil, bo to rozwiązuje zależność synchronizacyjną. Proponuję zrobić jeszcze raz taką operację: 1. CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Zresetuj synchronizację: KLIK. 2. Odinstaluj całkowicie Google Chrome, przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. Po deinstalacji przez SHIFT+DEL (omija Kosz) skasuj całkowicie z dysku poniższy folder: C:\Users\Dawid B\AppData\Local\Google 3. Zainstaluj Chrome od nowa, zaimportuj zakładki, zainstaluj ręcznie po kolei wybrane potrzebne rozszerzenia. Synchronizację z serwerem Chrome włączysz później, gdy będzie potwierdzone, że poprzednie dane z serwera zostały rzeczywiście wyzerowane. 4. Dla potwierdzenia nowy log FRST.txt.

O ile Cię dobrze rozumiem: - Ta akcja z Chrome została wykonana już po zrobieniu podanych powyżej raportów FRST? - Profil usunięty "na żywca" z dysku a nie via opcje przeglądarki? Mi chodziło mi o usuwanie profilu w opcjach Chrome, bo to poprawniejsza metoda niż brutalne usuwanie folderu profilu z dysku. Na wszelki wypadek poproszę o świeży log FRST.txt (bez Addition i Shortcut) mający obrazować te zmiany w profilach Chrome.

Czy w ogóle były wykonywane jakieś operacje? Nie przedstawiłaś pliku Fixlog.txt oraz nadal widzę w Google Chrome ustawiony jako domyślny niepożądany profil ChromeDefaultData. Nic konkretnego dla Chrome nie przychodzi mi teraz do głowy. Niestety wiele "downloaderów" podobnego typu w Chrome Web Store budzi zastrzeżenia. Ten typ programów jest po prostu dobrą bazą dla forsowania adware, reklam i podobnych, gdyż jest duże zapotrzebowanie na taki typ aplikacji.

Ja się jednak obawiam, że ta "naprawa" XP z płyty zdewastowała dużo więcej i są większe niezgodności oraz braki, a może i uszkodzenia też. Np. w wynikach Fixlog kolejne błędy przy wykonywaniu komend netsh "Klasa niezarejestrowana"... Nie za bardzo wiem co poradzić, bo pole manewru wygląda na ograniczone.