picasso

Na koniec zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Adobe Reader (posiadasz 11.0.11): KLIK.

Log główny z FRST ogromny, gdyż w katalogu Temp nabita masa szkodliwych plików. Działania wstępne: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje i zbędny program: Adobe AIR, Adobe Flash Player 10 ActiveX, HP Customer Participation Program 13.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-25] (Huorong Borui (Beijing) Technology Co., Ltd.) U3 idsvc; Brak ImagePath U1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMUdisk64.sys [X] HKLM-x32\...\Run: [tasklist] => c:\users\madzia\appdata\roaming\tasklist HKU\S-1-5-18\...\Winlogon: [shell] C:\Windows\explorer.exe [4515256 2016-05-12] (Microsoft Corporation) Task: {050D9B8F-1D73-4905-B0AA-A12ACE55FC08} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {0E635C07-5FD6-44C3-B45C-3A7ECCA97F53} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {14F5A757-D3E0-4C1E-BEFC-77613FDD0FB6} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {2543F8D3-D6CE-4FAE-8E7B-83D89D22B451} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {2975F2D7-F33E-4279-844E-FF168E4CC1CB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {2BE2FF66-90BB-4E59-A7B8-CD952BCB6FAC} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {31D9FCD2-346F-480A-B817-D592EA79B03E} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {39577D6D-7738-4CB2-A086-34994B7A8560} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {3BEE7AC0-BB68-486B-9F0B-6727EC9140BC} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {4433608E-2AB0-41A8-8BDE-DB605512BAE9} - System32\Tasks\Microsoft\Windows\Software\UpdaterSrv => C:\ProgramData\UpdaterSrv\UpdaterSrv.exe [2015-11-27] () Task: {4483EC5C-25FD-445D-A46C-9D21F4180FDA} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {4B4F474F-442B-4A24-889A-74DC619A196B} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {4C7DD9B2-05B8-4A52-83B9-C535BF6F92F1} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {533B4C42-AFBA-4604-B8F4-A33711FA2810} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {59269AA0-9FB9-45F3-801A-EA0436711FB8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {5B0837BE-683A-4559-A2DE-8277B7B1909A} - System32\Tasks\{C6B40CDB-573A-4681-957F-0517FF4D0CDC} => pcalua.exe -a C:\Users\Madzia\Downloads\Realtek_High-Definition_Audio_Driver_Vista_Win7_Win8_R2.73_x32_www.INSTALKI.pl.exe -d C:\Users\Madzia\Downloads Task: {649D62EC-25EE-45C5-A041-BF8534E4E24F} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {6627FC7E-2D75-423B-AF6D-318CD6C2600C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {6B3FE2B0-C0B3-48DB-AFD1-008C7917A56B} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {6CE3AE3C-E6B0-43C7-9913-A3DA7BCF50D2} - System32\Tasks\{660F76A3-68DA-484E-9281-DEEBDFC0B1AB} => pcalua.exe -a "C:\Program Files (x86)\SpaceSondPro\uninstall.exe" Task: {80130F5B-153D-4120-9E51-5BA5BB2308B1} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {835489DD-4FA6-4D9F-8C80-A78A41A8CEE5} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {87E20E70-6909-46B4-B845-A954C858F685} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {891C82BB-A6E3-4CB4-9642-70B1FCEAB6DE} - System32\Tasks\{ACDCE7B3-53AF-4BD4-A4D9-87FD08584C48} => pcalua.exe -a C:\Users\Madzia\AppData\Local\PPTAssist\utility\uninst.exe Task: {A25FFF81-6C65-4D4E-9509-69BE4A5F43FC} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {A6CFB772-982D-4BB9-976D-C9A7714D9A4D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B1533D84-C249-4CC0-9226-26044A5046BA} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {B1EC218E-CF36-4077-8CBA-225E7F06E753} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {B7EAC076-AF2C-4CBE-9B55-3937087B38F1} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {B89C8401-C75B-43A0-9C2E-D5AAC6E0B546} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {BBE085EA-7BCF-4002-A258-CC5805608C19} - System32\Tasks\{A23A283B-9B6E-41AD-AC2F-FDD00696EAE5} => pcalua.exe -a C:\Users\Madzia\Downloads\jxpiinstall.exe -d C:\Users\Madzia\Downloads Task: {C8C9089C-FC28-4DE7-A287-2148847AC8FA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {CF3B9CC2-D8AE-490D-8FF4-95515EA881CB} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {D5362935-A779-49C7-9093-3AC819AEF3ED} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {D9660219-8B04-4308-8B1E-E8904929831F} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {DDE21DD4-964B-4B3A-86A3-E3B64210F2FD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {E77F16C1-8AA8-4C82-977B-7C11A7B4F5B6} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {F00CFF76-486B-430A-BD42-5005823C9D6C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center ShortcutWithArgument: C:\Users\Madzia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXB1A9193691_WDCWD7500BPVT-24HXZT3&tm=1450897374 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKU\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE01&ocid=UE01DHP SearchScopes: HKLM-x32 -> DefaultScope - brak wartości CustomCLSID: HKU\S-1-5-21-1487593702-3916242759-977676160-1000_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-00B144C9840D}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku CHR HKU\S-1-5-21-1487593702-3916242759-977676160-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{505BCB56-CDB2-7A2E-3979-74388936CCA6} DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IntelWireless /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SpaceSoundPro /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v tasklist /f C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\*.* C:\ProgramData\.D6E5339F-CB2B-32C1-CD2D-C0295C19C822 C:\ProgramData\.SF170 C:\ProgramData\{221FC8B2-AC31-4636-9E23-B612433AEADC} C:\ProgramData\TEMP C:\ProgramData\Thunder Network C:\ProgramData\UpdaterSrv C:\uninst C:\Users\Madzia\AppData\Local\.DG212F11-EC8C-210D-DE1E-D9584D18D740 C:\Users\Madzia\AppData\Local\t80.dat C:\Users\Madzia\AppData\Local\app C:\Users\Madzia\AppData\Local\Mozilla C:\Users\Madzia\AppData\Local\PingTool C:\Users\Madzia\AppData\Local\Tempfolder C:\Users\Madzia\AppData\Local\Microsoft\Windows\GameExplorer\{98C4205E-2E44-498D-820C-CEB4758F668F} C:\Users\Madzia\AppData\Local\Microsoft\Windows\GameExplorer\{2FA4F61A-3A90-498A-A08B-5223FE202F34} C:\Users\Madzia\AppData\Local\Microsoft\Windows\GameExplorer\{CE757362-E1EF-4A42-B93D-3E7B769161C0} C:\Users\Madzia\AppData\LocalLow\Company C:\Users\Madzia\AppData\Roaming\gdfw.log C:\Users\Madzia\AppData\Roaming\gdscan.log C:\Users\Madzia\AppData\Roaming\GiftBag.db C:\Users\Madzia\AppData\Roaming\xldl.dll C:\Users\Madzia\AppData\Roaming\download C:\Users\Madzia\AppData\Roaming\gplyra C:\Users\Madzia\AppData\Roaming\Mozilla C:\Users\Madzia\AppData\Roaming\Wiypj C:\Users\Madzia\AppData\Roaming\Microsoft\*.* C:\Users\Madzia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\sai.lnk C:\Users\Public\Documents\dmp C:\Users\Madzia\Documents\Cognitive Science\I semestr\MDTiAR\Laborki\Prolog.lnk C:\Users\Madzia\Documents\Cognitive Science\I semestr\KCK\Strona\FileZilla.lnk C:\Users\Madzia\Documents\Corel\Próbki CorelDRAW X7\target.lnk C:\Users\Madzia\Documents\Rainmeter\Skins\DesignersBar\Quicklaunch\Shortcuts\*.lnk C:\Users\Madzia\Links\Fotografias.lnk C:\Users\Public\Thunder Network C:\Windows\ehome C:\Windows\system32\Drivers\TAOKernelEx64.sys C:\Windows\System32\Drivers\ucguard.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\System32\Tasks\Microsoft\Windows\Media Center C:\Windows\system32\zuto CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Wyłącz COMODO na czas operacji, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Na przyszłość: proszę nie zapisuj logów FRST do nowych plików tylko dostarczaj oryginały, ten zrobiony przez Ciebie to nie to samo (złe kodowanie ANSI zamiast UTF-8). Akcja pomyślnie wykonana. Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Brakuje jeszcze głównego pliku FRST.txt. Dorzuć. A Fix FRST wykonałeś aż dwa razy, to jednorazowy skrypt i nie zrobi po raz drugi tego samego.

To pewnie były klucze "Search" (a nie SearchScopes) - przykładowy log. Te klucze są znane z XP IE6 i w ogóle nie działają na nowszych systemach, wyszukiwarki IE8 i nowszych używają SearchScopes. Niektóre adware modyfikując ustawienia dodają sztucznie te klucze. Zamiast je modyfikować, należy je w całości usunąć. To już szczegół (skoro i tak nieaktywne), ale chodzi o te wystąpienia (o ile są): HKCU\Software\Microsoft\Internet Explorer\Search HKCU\Software\Microsoft\Internet Explorer\SearchUrl HKLM\SOFTWARE\Microsoft\Internet Explorer\Search HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl Tak. EDIT: Zapomniałam napisać, że od dawna widzę to w Firefox przy przywracaniu sesji. Jest ładowany "stary widok".

Akcje do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj: - Adware/PUP: BlockAndSurf, Component Touch, ConvertAd, Style Beach, WinZip, YAC(Yet Another Cleaner!). - Stare programy: ACE Mega CoDecS Pack, Apple Software Update, JavaFX 2.1.1, Obsługa programów Apple, QuickTime, Windows Media Player Firefox Plugin. QuickTime/Apple nie jest bezpieczny, ostatnio wykryte poważne luki, które już nie zostaną naprawione (wycofane wsparcie dla Windows), nie wspominając o tym że dla XP i tak jest dostępna tylko stara wersja (jeszcze bardziej dziurawa). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {55dce8ba-9dec-4013-937e-adbf9317d990}t; C:\WINDOWS\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}t.sys [55184 2014-08-10] (StdLib) R1 {69b2a7fb-60a8-4ce6-8aeb-423ac97a1ad2}Gt; C:\WINDOWS\System32\drivers\{69b2a7fb-60a8-4ce6-8aeb-423ac97a1ad2}Gt.sys [55824 2015-01-09] (StdLib) R1 {a5c25b9e-3974-4e91-9864-34f9aca33ff3}Gt; C:\WINDOWS\System32\drivers\{a5c25b9e-3974-4e91-9864-34f9aca33ff3}Gt.sys [55832 2014-12-30] (StdLib) S2 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [2945312 2016-01-14] (IObit) HKLM\...\Run: [ROC_roc_ssl_v12] => "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 HKLM\...\Run: [ROC_ROC_NT] => "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT HKLM\...\Run: [YTDownloader] => "C:\Program Files\YTDownloader\YTDownloader.exe" /boot HKLM\...\Run: [gmsd_pl_14] => [X] HKLM\...\Run: [upgmsd_pl_14.exe] => C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\gmsd_pl_14\upgmsd_pl_14.exe -runhelper HKU\S-1-5-21-117609710-507921405-1801674531-1003\...\Run: [DriverUpdaterPro] => C:\Program Files\oTweak\DriverUpdaterPro\DriverUpdaterPro.exe /ot /as /ss HKU\S-1-5-21-117609710-507921405-1801674531-1003\...\Run: [updateMyDrivers] => C:\Program Files\SmartTweak\UpdateMyDrivers\UpdateMyDrivers.exe /ot /as /ss HKU\S-1-5-21-117609710-507921405-1801674531-1003\...\Run: [speedUpMyComputer] => C:\Program Files\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as /ss HKU\S-1-5-21-117609710-507921405-1801674531-1003\...\Run: [YTDownloader] => "C:\Program Files\YTDownloader\YTDownloader.exe" /boot HKU\S-1-5-21-117609710-507921405-1801674531-1003\...\Run: [FixMyRegistry] => C:\Program Files\SmartTweak\FixMyRegistry\FixMyRegistry.exe /ot /as Task: C:\WINDOWS\Tasks\ASC Task (One-Time).job => C:\Program Files\IObit\Advanced SystemCare\ASCPromote.exe Task: C:\WINDOWS\Tasks\Browser Updater Task(Core).job => C:\Program Files\QQBrowser\Update\050A00EDD3F6FCC847968E0BD165782A\Update\BrowserUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\Style Beach2.job => C:\WINDOWS\system32\rundll32.exe C:\Documents and Settings\PC\Local Settings\Application Data\Style Beach\{B664DB93-2543-E0FE-5385-64DEDDDF95B0}\sdoed.dll Task: C:\WINDOWS\Tasks\WinTaske.job => C:\Program Files\WinTaske\WinTaske\WinTaske.exe Task: C:\WINDOWS\Tasks\yellow_cabs_notification_service.job => C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\yellow cabs\yellow_cabs_notification_service.exeǧ/url='hxxp:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='yellow cabs' /appid='73143' /srcid='2913' /bic='78d5c8e7d70ec162e242e7b35f4cca15' /verifier='ff6ab3e9ce69543d5630ea7832f5c169' /installerversion='1.50.3.10' /statsdomain='hxxp:/stats.buildomserv.com/data.gif?' /errorsdomain='hxxp:/stats.buildomserv.com/data.gif?' /monetizationdomain='hxxp:/logs.buildomserv.com/monetization.gif Task: C:\WINDOWS\Tasks\yellow_cabs_updating_service.job => C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\yellow cabs\yellow_cabs_updating_service.exe¬ /campid=2913 /verid=1 /url=hxxp:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=yellow_cabs_updating_service /funurl=hxxp:/stats.buildomserv.com Task: C:\WINDOWS\Tasks\YTDownloader.job => C:\Program Files\YTDownloader\YTDownloader.exe ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Opera.lnk -> C:\Program Files\Opera\launcher.exe (Opera Software) -> hxxp://www.piesearch.com/?uid=478a465d-3f7c-486c-8c17-608e197276bb GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1419976961&from=obw&uid=SAMSUNGXHD403LJ_S0NFJ1MQ101544&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1419976961&from=obw&uid=SAMSUNGXHD403LJ_S0NFJ1MQ101544&q={searchTerms} SearchScopes: HKU\S-1-5-21-117609710-507921405-1801674531-1003 -> {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = hxxp://www.mystart.com/results.php?gen=ms&pr=vmn&id=mystarttb&v=5_4&ent=ch_5224&q={searchTerms} SearchScopes: HKU\S-1-5-21-117609710-507921405-1801674531-1003 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 SearchScopes: HKU\S-1-5-21-117609710-507921405-1801674531-1003 -> {szukaj.gazeta.pl} URL = hxxp://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll => Brak pliku BHO: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\PROGRA~1\ALLPLA~1\Iplex\IPLEXT~1.DLL => Brak pliku CustomCLSID: HKU\S-1-5-21-117609710-507921405-1801674531-1003_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\PC\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll => Brak pliku AV: IObit Malware Fighter (Disabled - Out of date) {0ED16AC2-4656-4907-BD42-21EA693640D6} DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Documents and Settings\All Users\Dane aplikacji\ProductData C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{31505C44-7CED-49C2-B290-4AFC14A0E156} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{37E50060-D7B2-402E-A5A5-D9271BB2FE37} C:\Documents and Settings\All Users\Menu Start\Programy\WinZip C:\Documents and Settings\PC\TempWmicBatchFile.bat C:\Documents and Settings\PC\Dane aplikacji\BBHJ.exe C:\Documents and Settings\PC\Dane aplikacji\BxhA5NMH7bmv9J7J C:\Documents and Settings\PC\Dane aplikacji\hWvjBDreh1v2KUsCyYeBg63W C:\Documents and Settings\PC\Dane aplikacji\SCOWI.exe C:\Documents and Settings\PC\Dane aplikacji\IObit C:\Documents and Settings\PC\Dane aplikacji\Mozilla C:\Documents and Settings\PC\Dane aplikacji\TSv C:\Documents and Settings\PC\Dane aplikacji\WinZiper C:\Documents and Settings\PC\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Documents and Settings\PC\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Documents and Settings\PC\Local Settings\Application Data\Style Beach C:\Documents and Settings\PC\Menu Start\Programy\WorldofTanks C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\nsqF3.tmp C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\CRE C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\yellow cabs C:\Program Files\Enigma Software Group C:\Program Files\IObit C:\Program Files\jIxmRfR C:\Program Files\Mozilla Firefox C:\Program Files\WinTaske C:\Program Files\WinZipper C:\Program Files\SearchesToYesbnd C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\029B560A371F4E00AB32838EBC01B9E7 C:\WINDOWS\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}t.sys C:\WINDOWS\System32\drivers\{69b2a7fb-60a8-4ce6-8aeb-423ac97a1ad2}Gt.sys C:\WINDOWS\System32\drivers\{a5c25b9e-3974-4e91-9864-34f9aca33ff3}Gt.sys CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\PC\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemów.

Tak, ponieważ CurrentControlSet to jest tylko link symboliczny do jednej z gałęzi ControlSet00X (tu zapewne ControlSet001), a do czego linkuje ten skrót zawsze można pobrać z klucza HKEY_LOCAL_MACHINE\SYSTEM\Select - wartość Current równa X to ControlSet00X. Czyli wystarczy usunąć tylko z jednego miejsca (CurrentControlSet lub docelowe miejsce tego linka), automatycznie zanik z dwóch miejsc na raz. Pokaż mi wyniki, bo wg FRST wszystko było w porządku z SearchScopes (żadnych niedomyślnych wyników).

Log Addition jest urwany i nie mam wszystkich informacji (np. błędów z Dziennika czy statystyk dysku). Zrób ponownie skan i dodaj kompletny plik Addition. PS. Na razie to ja tu nie widzę infekcji, ale czynny śmieć Amazon, aktywny sterownik filtrujący klawiaturę pozostawiony po odinstalowanym Avast, stare (również uruchamiane) programy integrowane przez producenta w obrazie (np. Norton Backup czy Packard Bell MyBackup). Czyli na razie trop tu jest taki, by redukować procesy, ale zanim do tego przejdę dodaj pełny Addition.

SFC naprawił ubytki w plikach. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Np. mógłbyś wybrać: Avast lub Panda Free (odznaczyć toolbary przy instalacji) + TinyWall + EMET.

Był uruchamiany GMER, na wszelki wypadek sprawdź transfer dysku wg wytycznych ze Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. W Windows 7 kroki podobne, nieco inaczej wyglądają niektóre dialogi. A Fix FRST wykonany. Skasuj z dysku FRST i jego logi. Następnie DelFix i czyszczenie folderów Przywracania systemu: KLIK.

Jeśli chodzi o sprzątanie FRST, to prawie wszystko zrobione. Jeszcze drobne korekty. Otwórz Notatnik i wklej: S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera CMD: del /q C:\Windows\SysWOW64\deployJava1.dll CMD: del /q C:\Windows\SysWOW64\npdeployJava1.dll FF Plugin-x32: @java.com/DTPlugin,version=10.5.1 -> C:\Windows\SysWOW64\npDeployJava1.dll [2012-07-05] (Oracle Corporation) FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\Admin\AppData\Local\Facebook RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\BCD5545077AC4347B24F654B1189F8D4.TMP Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw fixlog.txt. Nowe skany FRST nie są potrzebne.

Wszystko zrobione. Jeszcze drobne poprawki na odpadki po odinstalowanych aplikacjach. Otwórz Notatnik i wklej: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking HKU\S-1-5-21-3061505195-1876517776-3165528320-1001\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) FF Plugin-x32: @java.com/JavaPlugin,version=10.2.1 -> C:\Program Files (x86)\Oracle\JavaFX 2.0 Runtime\bin\new_plugin\npjp2.dll [2011-11-08] (Oracle Corporation) RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\Program Files (x86)\Oracle\JavaFX 2.0 Runtime RemoveDirectory: C:\Program Files (x86)\File Scanner Library (Spybot - Search & Destroy) RemoveDirectory: C:\Program Files (x86)\Misc. Support Library (Spybot - Search & Destroy) RemoveDirectory: C:\Program Files (x86)\SDHelper (Spybot - Search & Destroy) RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\Program Files (x86)\TeaTimer (Spybot - Search & Destroy) RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit RemoveDirectory: C:\Windows\System32\Tasks\Safer-Networking CMD: del /q C:\Users\Asus\Downloads\ebie7o47.exe CMD: del /q C:\Users\Asus\Downloads\MicrosoftFixit*.exe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

Brak widocznej infekcji po stronie systemu - odinstaluj tylko Popcorn Time (flagowany przez FRST jako "niepożądany"). W kwestii pendrive podaj raport USBFix z opcji Listing zrobiony przy podpiętym pendrive.

Wszystko pomyślnie usunięte. Kończymy: 1. W Dzienniku zdarzeń jest drobny nieszkodliwy błąd WMI. Zastosuj narzędzie Fix-it go usuwające: KLIK. 2. Przez SHIFT+DEL (omija Kosz) skasuj z Pobranych folder FRST z FRST i jego logami. Następnie zastosuj DelFix. To wszystko.

Szukałeś ręcznie a nie za pomocą FRST? Dane pierwszego klucza obciąłeś - z tego klucza usunąć wartość, która kieruje do ścieżki Tencent. Pozostałe klucze w całości usunąć. W przypadku kluczy klas usuwasz całą klasę a nie tylko jej podklucz: HKEY_CLASSES_ROOT\qmgcfiles HKEY_CLASSES_ROOT\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64}

W raportach nie widzę żadnych oznak infekcji. Na jakich stronach (podaj adresy) pojawiają się te "okienka" i co to za okienka - reklamy z Outlookiem, czy masz po prostu na myśli, że otwiera się niespodziewanie zainstalowany Outlook? PS. Na razie doczyść wpisy puste po aktualizacji Windows 7 do Windows 10 i inne pomniejsze drobnostki. Akcja w ogóle nie powiązana z powyższym problemem i w niczym nie pomoże. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath Task: {02AE2600-922F-46CA-AE45-8D7B894F0F67} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {0EE4900F-4909-4EF2-8EFF-BC30C8F4DA86} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe Task: {11A9719A-9F35-4DE1-9928-0585FBA23A80} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe Task: {12019539-96E2-4ABC-BC00-3CEABF0D94A9} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {171B2069-58FA-4FF9-8AA0-BA2204D30E10} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {1778E0B5-C8D5-472B-8BD6-209C01A7FC1C} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe Task: {19D324C4-C70C-4BBE-934A-EA24F839E549} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {1E2C9D00-6F21-4E8D-B7B9-C30D7017A5F2} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {2270C0BA-CB99-47EB-B7DC-EB9B741C2FB3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {22F6AB13-DB42-4718-B188-704D10A1C034} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {37D99D43-2DE6-4783-9B62-185565673CB8} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {39552995-4F15-4A42-A472-D787AEC8E3A3} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {49AEA5B6-5358-4203-947B-FF75984E59EB} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe Task: {54DB6143-4877-4754-B440-2A46D0CE7C74} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe Task: {5D96DC94-75B0-4222-9A94-626ED3E482B8} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {5DA7AF0B-F4B1-4B81-B2D4-23A1A41BB978} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe Task: {5FADF22A-180F-443B-A362-5C99839B5B19} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {75025099-F616-4B34-801B-DDEE69485070} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {80C62DFA-A3A0-493F-830F-DED8757F355E} - System32\Tasks\SidebarExecute => C:\Program Files\Windows Sidebar\sidebar.exe Task: {8653FD09-BDF7-4552-9425-36F0C8A3728A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {919B6997-6FFD-4031-997E-1A06950889C7} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe Task: {9B4C2C04-FE7B-4595-89CE-4E14F052F3F0} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\WINDOWS\ehome\ehrec.exe Task: {9E24F2DB-AC8F-4B1A-87A4-DDB040DDC720} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {9E2E9363-D366-4409-8BFE-29DFAC9DBC57} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {A22A9E76-45B9-476F-B4C0-8C5047359B0A} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe Task: {A6984108-FA16-426E-A6D7-379C910D3C64} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {B99D8D67-3D3E-493E-946E-806695647829} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe Task: {B9ED34E4-3379-4DD4-8EB6-99015474A34C} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe Task: {BE5D024E-07AF-4975-ADD1-FABFC57BEEC7} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\WINDOWS\ehome\mcupdate.exe Task: {E766719C-9021-438D-89F8-77119DA52088} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {EF45B222-90CF-42AD-874B-AD9A11F5EADA} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {EF8E98BF-18D3-4E88-9012-CCD3A3F5C162} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {F151F2FE-6CC7-4163-AA97-D91D2EEB014E} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe Task: {F51C6C20-9762-4BFA-8B00-1149B7D68D01} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {F9008046-E466-48D0-8996-1DEED5DC0A69} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job => C:\Spybot - Search & Destroy\SpybotSD.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DAEMON Tools Toolbar DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center C:\WINDOWS\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Niepożądana strona jest zablokowana przy udziale polityk grup Windows. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3665733845-3348344167-3140621118-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=189 CHR HKU\S-1-5-21-3665733845-3348344167-3140621118-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx HKU\S-1-5-21-3665733845-3348344167-3140621118-1001\...\Policies\Explorer: [] R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S3 WinDivert1.1; C:\ProgramData\KMSAuto\bin\driver\x64WDV\WinDivert.sys [35376 2013-12-03] (Basil Projects) Task: {6F5FC1E8-31FC-4108-8505-F23EE54D8A12} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ADSKAppManager /f C:\extensions C:\Program Files (x86)\Elex-tech C:\ProgramData\KMSAuto C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC C:\Users\mat\AppData\Local\Google\Chrome\User Data\Default C:\Users\mat\AppData\Local\MSfree Inc C:\Users\mat\AppData\Roaming\Elex-tech C:\Users\mat\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci.lnk C:\Users\mat\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\YAC.lnk C:\Users\Public\Documents\dmp C:\WINDOWS\AutoKMS C:\WINDOWS\system32\log EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Powyższy skrypt odblokuje ustawienia przeglądarki, przeprowadź ogólne czyszczenie ustawień: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy to fałszywe Google i wszystkie inne nierozpoznawane wyszukiwarki. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Z tego co widzę na forum Lenovo rzeczywiście ta seria nie ma takiej opcji. Jeszcze jedna myśl: czy odpięcie tej świeżo dostawionej drukarki (oraz innych zewnętrznych urządzeń) coś wnosi do sprawy? I nic więcej nie przychodzi mi do głowy, poza tym co już powiedziałam. Nie wypowiadasz się nic na temat zrzucenia rejestru za pomocą skryptu FRST, więc wnioskuję, że jeszcze tego nie próbowałeś (?).

Kcurek, nic się nie odzywam, bo nie mam żadnych pomysłów, z danych nic nie wynika. Posiadam identyczne na wirtualnej maszynie XP ze sprawnym instalatorem w wersji 4.5 i nie mam problemów. Toteż jedyne co mi się na razie kojarzy z błędem to aktywność starego Comodo. I nadal nie zostało ustalone czy błąd pojawia się tylko dla tej szczególnej instalacji, czy dla wszystkich opartych na Instalatorze Windows, bo to orientuje perspektywę. Pierwszy z brzegu który można sprawdzić to "Instalator MSI" WTW (dla Administratorów).

DelFix wykonał zadanie. Skasuj z dysku już zbędny plik raportu C:\delfix.txt. To wszystko.

USBFix nie wnosi nic do sprawy - te same wyniki już miałam z komendy DIR. Czyli wydaje się, że wszystko zrobione i możemy kończyć: Pobrany GMER skasuj ręcznie, natomiast resztą zajmie się DelFix. Wyczyść też foldery Przywracania systemu. Na koniec zapuść Windows Update, by dokładnie wyszukał brakujące łaty. Wszystkie akcje rozpisane w tym samym przyklejonym: KLIK.

Fixlog wskazuje, że wszystko zrobione, skróty przeglądarek też naprawione. Nie wiem skąd ten "przestój" pod koniec, ale takie rzeczy się zdarzają przy wdrażaniu komend które wymuszają restart - nie pierwszy raz to widzę. W każdym razie czekam na wyniki szukania Tencent.

To nie jest filtrowany wg wskazówek log (ograniczony do akcji SFC) tylko cały fragment CBS.LOG. Przefiltruj stosowną komendą i podmień załącznik w powyższym poście.

DIR urządzenia nie wskazuje, by były na nim obecnie jakieś pliki infekcji. Czekam więc na rezultat instalacji IE11, czy to rozwiąże problem z niemożnością startu przeglądarki.

Temat przesuwam do Windows, bo tu nie ma żadnego wątku infekcji. Rucek, i tu nie za bardzo na widoku jakieś grube porządki, a nawet nie wiem czy jest sens to drążyć dalej w kontekście 64-bitowego systemu na tych parametrach technicznych, bo jednak poważne ograniczenie to sprzęt i robótki w software nie przyniosą zbyt dużo korzyści / wyraźnej poprawy. System będzie mulił. Spełnione wymagania sprzętowe z kategorii tych minimalnych, które umożliwiają po prostu uruchomienie systemu i podstawową pracę. Kiepsko z RAM - tylko 2GB RAM dla systemu 64-bit. Bardzo mizerna partycja C: (która jest równocześnie całym dyskiem fizycznym) na system 64-bit. Nie potrzeba tu dużo czasu, by pojawiły się problemy z miejscem, wystarczy kilka aktualizacji z Windows Update, by się nieźle zredukowało: Drive c: (OS) (Fixed) (Total:28.36 GB) (Free:12.95 GB) NTFS ==>[system z komponentami startowymi (pozyskano odczytując dysk)] Na takim sprzęcie to ja prędzej widzę "downgrade" systemu, tzn. wymianę na edycję 32-bit, by obniżyć "wymagania". Nie za bardzo te błędy zanalizowałam. Ale te związane z Cortaną to normalna sprawa - Cortana nie jest aktywna na polskich Windows 10 (niedostępna dla tego regionu): KLIK. Prawdopodobnie GMER łapał to: KLIK.