picasso

Jest tu sporo niedomyślnych rozszerzeń, typuję "na duszę". Sprawdź co się stanie po deaktywacji modułu Intel: ================================================== Extension Name : TheDeskTopContextMenu Class Disabled : No Type : Context Menu Description : igfxDTCM Module Version : 6.15.10.4276 Product Name : Intel® Common User Interface Company : Intel Corporation My Computer : No Desktop : No Control Panel : No My Network Places : No Entire Network : No Remote Computer : No Filename : C:\Windows\system32\igfxDTCM.dll CLSID : {9B5F5829-A529-4B12-814A-E81BCB8D93FC} File Created Time : 27.08.2015 19:20:10 CLSID Modified Time: 31.05.2016 16:52:15 Microsoft : No File Extensions : Directory\Background File Attributes : A File Size : 230 384 .NET Extension : No Digital Signature : Missing File : No ================================================== Po deaktywacji należy wykonać restart systemu, by w pełni odładować moduł z pamięci.

W raporcie FRST w Dzienniku zdarzeń stoi: Dziennik Aplikacja: ================== Error: (06/02/2016 06:50:32 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program clover.exe w wersji 3.0.406.0 przestał współpracować z systemem Windows i został zamknięty. Aby sprawdzić, czy jest dostępnych więcej informacji na temat tego problemu, sprawdź historię problemu w oknie Zabezpieczenia i konserwacja w Panelu sterowania. Identyfikator procesu: 1c78 Godzina rozpoczęcia: 01d1bceed77debc7 Godzina zakończenia: 8 Ścieżka aplikacji: C:\Program Files (x86)\Clover\clover.exe Identyfikator raportu: 1c7a00dc-28e2-11e6-8e92-dc0ea1fa3b3a Pełna nazwa pakietu powodującego błąd: Identyfikator aplikacji względem pakietu powodującego błąd: Error: (06/02/2016 06:48:03 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program clover.exe w wersji 3.0.406.0 przestał współpracować z systemem Windows i został zamknięty. Aby sprawdzić, czy jest dostępnych więcej informacji na temat tego problemu, sprawdź historię problemu w oknie Zabezpieczenia i konserwacja w Panelu sterowania. Identyfikator procesu: 23d8 Godzina rozpoczęcia: 01d1bcee770972fa Godzina zakończenia: 5 Ścieżka aplikacji: C:\Program Files (x86)\Clover\clover.exe Identyfikator raportu: c3e537be-28e1-11e6-8e92-dc0ea1fa3b3a Pełna nazwa pakietu powodującego błąd: Identyfikator aplikacji względem pakietu powodującego błąd: Error: (06/02/2016 06:47:32 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program clover.exe w wersji 3.0.406.0 przestał współpracować z systemem Windows i został zamknięty. Aby sprawdzić, czy jest dostępnych więcej informacji na temat tego problemu, sprawdź historię problemu w oknie Zabezpieczenia i konserwacja w Panelu sterowania. Identyfikator procesu: 1d40 Godzina rozpoczęcia: 01d1bcee65414cf3 Godzina zakończenia: 3 Ścieżka aplikacji: C:\Program Files (x86)\Clover\clover.exe Identyfikator raportu: b06ef592-28e1-11e6-8e92-dc0ea1fa3b3a Pełna nazwa pakietu powodującego błąd: Identyfikator aplikacji względem pakietu powodującego błąd: Error: (05/31/2016 04:32:12 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program explorer.exe w wersji 10.0.10586.306 przestał współpracować z systemem Windows i został zamknięty. Aby sprawdzić, czy jest dostępnych więcej informacji na temat tego problemu, sprawdź historię problemu w oknie Zabezpieczenia i konserwacja w Panelu sterowania. Identyfikator procesu: 2550 Godzina rozpoczęcia: 01d1bb45cea7d22f Godzina zakończenia: 0 Ścieżka aplikacji: C:\Windows\explorer.exe Identyfikator raportu: 617639a1-273c-11e6-8e90-dc0ea1fa3b3a Pełna nazwa pakietu powodującego błąd: Identyfikator aplikacji względem pakietu powodującego błąd: Error: (05/30/2016 04:11:16 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: ExplorerSafeMode.exe, wersja: 1.0.0.0, sygnatura czasowa: 0x563beb75 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 10.0.10586.306, sygnatura czasowa: 0x571af331 Kod wyjątku: 0xe0434352 Przesunięcie błędu: 0x0000000000071f28 Identyfikator procesu powodującego błąd: 0xe6c Godzina uruchomienia aplikacji powodującej błąd: 0xExplorerSafeMode.exe0 Ścieżka aplikacji powodującej błąd: ExplorerSafeMode.exe1 Ścieżka modułu powodującego błąd: ExplorerSafeMode.exe2 Identyfikator raportu: ExplorerSafeMode.exe3 Pełna nazwa pakietu powodującego błąd: ExplorerSafeMode.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: ExplorerSafeMode.exe5 Error: (05/30/2016 04:11:16 PM) (Source: .NET Runtime) (EventID: 1026) (User: ) Description: Aplikacja: ExplorerSafeMode.exe Wersja architektury: v4.0.30319 Opis: proces został przerwany z powodu nieobsłużonego wyjątku. Informacje o wyjątku: System.ArgumentException w System.ThrowHelper.ThrowArgumentException(System.ExceptionResource) w Microsoft.Win32.RegistryKey.DeleteValue(System.String) w ExplorerSafeMode.Program.Main() Error: (05/30/2016 04:11:11 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program explorer.exe w wersji 10.0.10586.306 przestał współpracować z systemem Windows i został zamknięty. Aby sprawdzić, czy jest dostępnych więcej informacji na temat tego problemu, sprawdź historię problemu w oknie Zabezpieczenia i konserwacja w Panelu sterowania. Czyli masowe błędy Clover, a wcześniej także incydent z QTTabBar. Aplikacja Clover rejestruje rozszerzenie powłoki explorer. Rozpocznij od deinstalacji tego programu. Tylko nie zgadza mi się przedział czasowy, to aplikacja instalowana zaledwie kilka dni temu, a nie "kilkanaście". Jeśli pomimo deinstalacji nadal będą problemy, dodaj log z programu ShellExView x64. Poprzez klik na kolumnę Company posortuj wpisy, by ułożyć niedomyślne (wyróżnione na różowym tle) w jednym bloku. Z wciśniętym CTRL zaznacz wszystkie różowe, z prawokliku opcja Save Selected Items, by zapisać log.

Nie wiem o co chodzi z błędem dołączania raportu, możesz go też wkleić wprost w poście. I kończymy: 1. Za pomocą Hitman usuń wszystkie wykryte wyniki. 2. Wyczyść foldery Przywracania systemu: KLIK 3. Ogólnie na co uważać podczas pobierania: KLIK.

W instrukcji jest to wyraźnie zaznaczone:

AdwCleaner pomyślnie usunął śmieci. Teraz: 1. Zastosuj DelFix, który usunie kwarantanny narzędzi z dysku oraz FRST i AdwCleaner z ich logami. 2. Pomimo tego, że stosowałaś wcześniej, uruchom ponownie Hitman Pro. Dostarcz log wynikowy, o ile narzędzie coś znajdzie.

Uruchom AdwCleaner ponownie, tym razem po kolei wybierz opcje Skanuj + Usuń i dostarcz wynikowy log z czyszczenia.

W rejestrze jest już ustawione, że jeden z folderów Pulpitu (są zawsze dwa: użytkownika + C:\Users\Public) jest już ustawiony na tę ścieżkę: ========= reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" ========= HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Desktop REG_SZ D:\Diana\Desktop ========= reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" ========= HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Desktop REG_EXPAND_SZ D:\Diana\Desktop Czyli mam rozumieć, że: relokacja do katalogu D:\Diana\Desktop była celowa + a mimo tego zawartość tego folderu na dysku nie jest widziana na ekranie Pulpitu?

W kwestii wyników Hitman: 1. Chodziło mi o poprzednie wyniki,w instrukcji było napisane, by nic nie usuwać przed pokazaniem wyników skanu. I na zrzucie ekranu była dziwna sprawa, czyli detekcje w folderze C:\Users\Marcin\Documents\FRST\Quarantine. Folder kwarantanny FRST to C:\FRST\Quarantine i go usuwałam komendą w ostatnim skrypcie. Jak to się stało, że kwarantanna FRST z malware była w Dokumentach? Przez SHIFT + DEL (omija Kosz) skasuj cały folder C:\Users\Marcin\Documents\FRST z dysku. 2. Obecnie Hitman pokazuje dwie wyszukiwarki adware w Google Chrome, a przecież wcześniej podałam by wykonać to: Czy na pewno wykonałeś tę akcję wcześniej?

1. Nowy profil Google Chrome założony, a już podejrzany element Bazz Search. Jakim cudem? Czy to celowa instalacja? Usuń to: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Bazz Search. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy powiązaną z w/w wyszukiwarkę. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

A, czyli to chodzi o widoczność paska zakładek a nie zakładki per se. Wprawdzie można byłoby się zastanawiać dlaczego ta opcja się przestawia dla kart, ale ogólnie nie podoba mi się ten Twój profil ChromeDefaultData2, on nie wygląda na utworzony przez Google Chrome. Przeglądarka naturalnie startuje z profilem "Default", a przy dodawaniu kolejnych jest używana konwencja nazewnicza "Profile Numer". Proponuję stworzyć nowy profil wg następujących wytycznych: - Wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. - Menu Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > zaloguj się na ten profil, a okno poprzedniego zamknij. - Siedząc na nowym profilu zaimportuj zakładki z pliku HTML. Skonfiguruj ręcznie widoczność paska zakładek w menu Zakładki > Pokaż pasek zakładek oraz tego co na nim widać. - Jeśli wszystko będzie w porządku, w opcjach Osoby skasuj całkowicie poprzedni profil user0. - Po akcji zrób nowy log FRST przedstawiający nowy profil Google Chrome. Na chwilę obecną aktywne szkodniki zostały usunięte, więc system możesz używać normalnie, aczkolwiek czyszczenie nadal w toku. Będą jeszcze różne skany.

Lex, nie wiem czy podana data jest definitywna, ale likwidacja na pewno jest w toku. Klienci którzy zarejestrowali się zgodnie z wytycznymi na stronie Adobe otrzymują już inne linki z unikalnym ID. To dystrybucja dla organizacji. Zacznę się martwić, gdy usuną wcześniej linkowane przeze mnie instalatory offline dla użytkowników domowych, podane w Still having problems?, kierujące zawsze do najnowszej stabilnej: https://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe https://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player.exe https://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ppapi.exe Natomiast linki wygasającej strony dystrybucyjnej mają inny URL (i wersja w adresie jest podmieniana): https://fpdownload.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_21_active_x.exe https://fpdownload.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_21_plugin.exe https://fpdownload.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_21_ppapi.exe Oficjalnym powodem usunięcia publicznej strony dystrybucji jest malware. Z FAQ Adobe: Why are the current distribution pages and links being decommissioned? Third parties have been spoofing the Flash Player download pages in an attempt to spread malware. We are enabling Adobe ID login on the page in order to improve security and ensure that only licensed users have access to the distribution binaries. Dodatkowo z FAQ Firefoxa: New Adobe Flash Player Distribution (...) Older installations will continue to work in your Firefox profile. However, some sites that recommend downloading the player in Firefox (to enable you to see certain content) may or may not tell you to download it, since a distribution license is now required.

Nie chodziło mi o zrzut ekranu, który nie pokazuje nawet wszystkich wyników. Z instrukcji w przyklejonym:

To jest niekompletny zestaw FRST, brak pliku Addition.

1. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\IHeeaWA DeleteKey: HKCU\Software\Classes\IHeeaWAHTM DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\eb928bf4_0 DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\IHeeaWA DeleteKey: HKLM\SOFTWARE\Wow6432Node\IHeeaWA Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v IHeeaWA /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\IHeeaWA\IHeeaWA\chrome.exe" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Na wszelki wypadek zrób skan za pomocą Hitman Pro. Jeśli wykryje coś innego niż FRST64.exe jako "podejrzany plik" (to fałszywy alarm), dostarcz log z wynikami.

Wszystko zrobione. Teraz uruchom FRST, w polu Szukaj wklej podaną poniżej frazę, klik w Szukaj w rejestrze, dostarcz wynikowy log. IHeeaWA

"Przeczytaj zasady działu co należy podać pod kątem dysku" oznaczało, że dostarczasz dane tyczące dysku o których mowa w tym linku. To nadal aktualne. Jeśli chodzi o treść pokazaną w oknie CMD, jedno z dwóch: - prawy klik na okno > opcja Zaznacz wszystko > prawy klik na zaznaczoną treść, co ją automatycznie skopiuje do schowka > w poście CTRL+V co wklei treść z okna - lub po prostu zrób zrzut ekranu z tego co się pokazuje

Na wszelki wypadek spróbuj jednak "zresetować" to ustawienie, tzn. ustaw G: + restart, następnie z powrotem ustaw C: + restart.

1. Problem adware rozwiązany. Niemniej na wszelki wypadek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. 2. Nie jestem pewna czy deinstalacja gpedt.msc cofnęła wszystkie zmiany. Zrób weryfikację sfc /scannow i dostarcz filtrowany log wynikowy: KLIK.

Hmmm, nic takiego nie widziałam w ostatnim raporcie FRST (sekcja Procesy). Proszę zrób zrzut ekranu z tego zadania. Zrób też nowe raporty FRST (FRST.txt + Addition.txt). W którym konkretnie miejscu ich brakuje po otworzeniu nowych kart? Przedstaw zrzuty ekranu z sytuacji gdy zakładki są widoczne oraz gdy ich nie widać.

To oznacza, że folder "Default" jest martwy, ale w nim mogą być poprzednie dane. Spróbuj tego: 1. Zamknij Google Chrome. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data 2. Widoczny tam folder Profile 2 na wszelki wypadek przekopiuj np. na Pulpit. Następnie zastąp jego zawartość zawartością folderu Default. 3. Uruchom Google Chrome i powiedz czy brakujące dane wróciły na miejsce.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Czy tu aby nie nastąpiło przekierowanie jednego z folderów Pulpitu? W skanie Shortcut widzę odnośnik do folderu "Desktop" na dysku D: Shortcut: C:\Users\Diana\Desktop\Graboid Video.lnk -> C:\Program Files (x86)\Graboid\GraboidVideo\3.58\GraboidClient.exe (Graboid Inc) Shortcut: C:\Users\Diana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\BESTplayer - Sprytny odtwarzacz filmów.lnk -> D:\Diana\Desktop\BESTplayer.exe (Brak pliku) Podaj mi skan pokazujący konfigurację folderów powłoki (tzn. gdzie kierują ścieżki Pulpitu). Otwórz Notatnik i wklej w nim: Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Szkodliwa wyszukiwarka jest zablokowana przy udziale triku z politykami grup. Poza tym, są inne odpadki adware. Działania do przeprowadzenia: 1. Odinstaluj zbędne programy: HP Customer Participation Program 13.0, McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: type "C:\Users\Marcin\AppData\Local\Google\Chrome\User Data\Profile 1\Secure Preferences" GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131094121247770704&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131094121247770704&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-738100350-4002353511-3136375141-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131094121247770704&GUID=00000000-0000-0000-0000-000000000000 HKU\S-1-5-21-738100350-4002353511-3136375141-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-738100350-4002353511-3136375141-1000\...\Run: [bingSvc] => C:\Users\Marcin\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) R2 IHeeaWA_protect; C:\ProgramData\IHeeaWA\protect\protect.exe [303016 2016-04-22] () S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Task: {64561F95-8BF9-4A50-BCC3-D5108E473F7C} - System32\Tasks\{880AB7E6-DE6E-4ED0-B222-AA808D0B7DE0} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: {E44AEBD3-542A-46FF-A6DC-53B39D6E2408} - System32\Tasks\{8F3DADEE-961D-4750-A4A2-D334EA4A97EB} => pcalua.exe -a C:\Users\Marcin\Downloads\WindowsPhone.exe -d C:\Users\Marcin\Downloads CustomCLSID: HKU\S-1-5-21-738100350-4002353511-3136375141-1000_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\DWG TrueView 2015 - English\dwgviewr.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-738100350-4002353511-3136375141-1000_Classes\CLSID\{3faa4380-a399-11cf-a466-00805fe418f6}\InprocServer32 -> C:\Program Files\Autodesk\DWG TrueView 2015 - English\en-US\dwgviewrficn.dll => Brak pliku HKU\S-1-5-21-738100350-4002353511-3136375141-1000\Software\Classes\.scr: DWGTrueViewScriptFile => C:\Windows\system32\notepad.exe "%1" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WinZip DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\IHeeaWA C:\Program Files (x86)\TXQQBrowser C:\ProgramData\IHeeaWA C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\Marcin\AppData\Local\Microsoft\BingSvc C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Windows\system32\log C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Po odblokowaniu ustawień Chrome w/w skryptem zresetuj preferencje Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko poszło zgodnie z planem i co było poprzednio widoczne pomyślnie usunięte. Jednak w międzyczasie powstały nowe obiekty adware. Jeśli rzecz o Google Chrome, niestety jest tylko jeden profil (ten bieżący ChromeDefaultData2) i będę jeszcze sprawdzać określone rzeczy. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {48126E61-31C0-41AF-99F4-E5D2ED08B8B0} - System32\Tasks\IBUpd2 => C:\Users\Magdalena\AppData\Local\BrowserAir\47.0.0.5\updater.exe Task: {E951E85F-BD45-4C68-9822-9C4C16DAFED4} - System32\Tasks\IBUpd => C:\Users\Magdalena\AppData\Local\BrowserAir\47.0.0.5\updater.exe Task: {FBD2E659-CF07-4EE3-ABF4-0B964EC28177} - System32\Tasks\SMW_P => C:\ProgramData\smp2.exe [2016-06-03] () HKLM\...\RunOnce: [WEPRODUCT21BB3] => C:\Users\Magdalena\AppData\Local\Temp\I5XM880YVG.exe [175616 2016-06-02] () HKU\S-1-5-21-3207241678-2084453937-2149904728-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Magdalena\AppData\Local\Akamai\netsession_win.exe" SearchScopes: HKU\S-1-5-21-3207241678-2084453937-2149904728-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www-searching.com/search.aspx?s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b,&site=shyosie&prd=setgo&q={searchTerms} SearchScopes: HKU\S-1-5-21-3207241678-2084453937-2149904728-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www-searching.com/search.aspx?s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b,&site=shyosie&prd=setgo&q={searchTerms} ShortcutWithArgument: C:\Users\Magdalena\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, ShortcutWithArgument: C:\Users\Magdalena\Desktop\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, ShortcutWithArgument: C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, ShortcutWithArgument: C:\Users\Magdalena\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, ShortcutWithArgument: C:\Users\Magdalena\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, ShortcutWithArgument: C:\Users\Magdalena\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, C:\ProgramData\smp2.exe C:\Program Files (x86)\DriverToolkit C:\Users\Magdalena\AppData\Local\BrowserAir C:\Users\Magdalena\AppData\Roaming\OwiffMuste C:\Windows\system32\bi3.exe C:\Windows\SysWOW64\kz.exe CMD: netsh advfirewall reset CMD: dir /a "C:\Users\Magdalena\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2" EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Tym razem zapis w kodowaniu UTF-8 nie jest wymagany. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. W logu z Autoruns nie widać wpisów context menu, które były podane na obrazku w pierwszym poście. Owszem, w skrypcie FRST derejestrowałam masowo biblioteki DLL i to mogło być jedno z działań usuwające te wejścia. Potwierdź proszę, że te pozycje w menu kontekstowym rzeczywiście nie są już widoczne.

Ogólnie na temat Kodu 10: KB943104. Wstępnie proszę podaj raporty FRST ogólnie przedstawiające stan systemu, błędy w Dzieniku i podobne.

Ten błąd 0x80242021 może wynikać z niedomyślnej i w jakiś sposób zdefektowanej lokalizacji docelowej zapisu pobieranych aplikacji, np. niedostępny lub ograniczony uprawnieniami dysk zewnętrzny. Pytaniem jest co jest obecnie ustawione tu: klik na przycisk Start > Ustawienia > System > Pamięć > Lokalizacje zapisywania > Nowe aplikacje będą zapisywane w.... Domyślną lokalizacją jest "Ten komputer (C:)". Jeśli figuruje inna lokalizacja, np. wspominany padnięty dysk z danymi, przestaw z powrotem na C + restart systemu.