System care zablokował komputer po raz kolejny

Witam tak jak w temacie  co jakiś czas system care blokuje mi kompa , usuwam go doraźnie spyware hunter ale on aby był skuteczny  musi być płatny .Po wejściu na  jakies strony ( wcale nie porno)  system care pojawia sie na nowo .Dzisiaj  pojawił sie po wejsciu na  stronkę hostingową (

Prosze o pomoc jak pozbyc sie tego dziadostwa.

qwert zakładasz temat w dziale diagnostyki infekcji, który ma określone zasady: KLIK. Jak sobie wyobrażasz analizę bez raportów? Wejdź w Tryb awaryjny Windows, zrób raporty z OTL.


SpyHunter to program wątpliwej reputacji, był na czarnej liście kiedyś. Do deinstalacji. Skuteczność w materii usuwania rogue, bez grania kartami "pokażemy i płać", ma darmowa wersja Malwarebytes Anti-Malware.





Jak człowiekowi sie komp wali to juz nie patrzy na zasady tylko wali z problemem gdzie popadnie .

" nie szkoda róz , gdy płonie las " = SORRY !


Picasso , ja mam Malware ale system care blokuje mi wszystkie exe wiec jak sam widzisz lipa !

podrzucam tego loga z OTL-a



PS. chciałem dodac plik jako dokum tekstowy ale mnie odrzuciło wiec wklejal loga


All processes killed

========== OTL ==========

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C776D317-448E-4BA3-94AB-5E825271B816}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C776D317-448E-4BA3-94AB-5E825271B816}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{F857121E-A9E5-4fb4-8C54-C2851C5F22C9}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F857121E-A9E5-4fb4-8C54-C2851C5F22C9}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\126CD9E550B69B1C0000126CC780A336 not found.

File C:\ProgramData\126CD9E550B69B1C0000126CC780A336\126CD9E550B69B1C0000126CC780A336.exe not found.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HideSCAHealth not found.

========== FILES ==========

File\Folder C:\ProgramData\126CD9E550B69B1C0000126CC780A336 not found.

File\Folder C:\Users\domex\AppData\Local\wvrpmmvaa.exe not found.

File\Folder C:\Users\domex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Care Antivirus not found.

File\Folder C:\Users\domex\Desktop\System Care Antivirus.lnk not found.

File\Folder C:\Program Files (x86)\Mozilla Firefox\extensions\{e74e5ad9-d0c1-e6a8-f377-f5afafbcae23} not found.

C:\Program Files\Enigma Software Group\SpyHunter\mon folder moved successfully.

C:\Program Files\Enigma Software Group\SpyHunter\Log folder moved successfully.

C:\Program Files\Enigma Software Group\SpyHunter\Downloads folder moved successfully.

C:\Program Files\Enigma Software Group\SpyHunter\Defs folder moved successfully.

C:\Program Files\Enigma Software Group\SpyHunter\Data folder moved successfully.

C:\Program Files\Enigma Software Group\SpyHunter folder moved successfully.

C:\Program Files\Enigma Software Group folder moved successfully.

File\Folder C:\Program Files (x86)\Webroot not found.

File\Folder C:\ProgramData\Webroot not found.

File\Folder C:\Users\domex\AppData\Roaming\Webroot not found.

File\Folder C:\Windows\WRSetup.dll not found.

========== REGISTRY ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\Secondary Start Pages not found.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search\ not found.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully.

========== COMMANDS ==========




User: Administrator

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes


User: All Users


User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 35760 bytes

->Flash cache emptied: 58264 bytes


User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 74633 bytes


User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 97280312 bytes


User: x

->Temp folder emptied: 131379868 bytes

->Temporary Internet Files folder emptied: 20797294 bytes

->Java cache emptied: 58395 bytes

->FireFox cache emptied: 194536141 bytes

->Apple Safari cache emptied: 0 bytes

->Flash cache emptied: 60636 bytes


%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 180902 bytes

%systemroot%\System32 .tmp files removed: 579584 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 826 bytes

RecycleBin emptied: 8564559927 bytes


Total Files Cleaned = 8 592,00 mb



OTL by OldTimer - Version log created on 05092013_212312


Files\Folders moved on Reboot...


PendingFileRenameOperations files...


Registry entries deleted on Reboot...

Gdy nikt jeszcze nie odpisał, a chcesz uzupełnić post, nie pisz posta pod postem tylko korzystaj z opcji Edytuj. Posty sklejam.



PS. chciałem dodac plik jako dokum tekstowy ale mnie odrzuciło wiec wklejal loga


Ale cóż Ty do licha robisz? Jaki skrypt (notabene: nic nie wykonane w zakresie infekcji, bo nie ma takich danych w systemie) i skąd?! Ty masz zrobić raporty OTL z opcji Skanuj do oceny.


Picasso , ja mam Malware ale system care blokuje mi wszystkie exe wiec jak sam widzisz lipa !


Lipy nie powinno być w Trybie awaryjnym Windows, w tym środowisku System Care nie działa. MBAM powienien działać, podobnie jak inne skanery i narzędzia logów.


qwert na przyszłość: nigdy nie bierz skryptów z cudzych tematów, bo to skrypty tylko i wyłącznie pod konkretny system (konkretne ścieżki, konkretne konta użytkowników, konkretne programy i konkretne wpisy rejestru). Przecież zrobiłeś kuriozalną sprawę: zapuściłeś skrypt dla 64-bitowego systemu Windows 7 lub Vista (!) z kontem użytkownika "domex", zero zgodności z Twoim 32-bitowym systemem XP z kontem "x" oraz skutki uboczne (ten skrypt miał przypadkowo usuwanie szczątkowego katalogu SpyHunter po jego deinstalacji i niestety walnęło w tę instalację na Twoim systemie = program niepoprawnie odinstalowany!).

Mam pytanie: czy konto "x" jest na pewno jedynym w systemie i właściwym (poprzedni skrypt OTL to owszem sugeruje w sekcji [emptytemp])? Nie widać tu bowiem wpisu startowego infekcji, jest tylko katalog na dysku. Chyba że coś już usuwałeś? Log z OTL niepełny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Dołącz go, a przejdę do usuwania odpadków i adware.


Nie wiem o co Ci chodzi z tym   nigdy nie bierz skryptów z cudzych tematów

wykonałem  skrypt z mojego kompa gdzie jestem jako "x"


A co wkleiłeś w poście numer #3? Przecież to log z wynikami skryptu OTL, w którym widać jak byk, że był to skrypt pisany dla systemu 64-bit Windows 7 lub Vista z kontem użytkownika domex (są ścieżki 64-bitowego systemu C:\Program Files (x86), folder konta C:\Users\domex, który definiuje że na 100% nie jest to system XP i że konto użytkownika to domex, i wiele innych niezgodnych rzeczy np. usuwanie szczątków antywirusa Webroot). To definitywnie jest skrypt wzięty z innego tematu na forum, a konkretnie z tego: KLIK. Nie Ty go pisałeś i o to mi chodzi, że takich rzeczy nie wolno robić, by sobie kopiować skrypty z tematów i u siebie uruchamiać. Co z tego, że uruchomiłeś ten skrypt na swoim systemie XP na koncie x = to nie zmieni zawartości skryptu i nie przemieni ścieżek, czyste głupoty wykonywały się (a raczej nie wykonywały, bo nic nie pasuje, brak takich ścieżek w Twoim systemie) i tyle.




teraz zaznaczyłem dodat  skan i opcję użyj filtrowania .


No tak, to gdzie jest drugi plik Extras?





Na początek wyjaśnij mi co ze SpyHunter, czy on został odinstalowany poprawnie? Ten nieszczęsny cudzy skrypt wywalał jego katalog, jednak na liście instalacyjnej nie widzę SpyHunter...


1. Przez Dodaj/Usuń programy odinstaluj adware: Bundled software uninstaller, DVDVideoSoft Toolbar, Mysearchdial, QuickStores-Toolbar 1.1.0, Web Assistant


2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.


3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:


C:\Documents and Settings\All Users\Dane aplikacji\18429B9C882AB71B00001842835BB8CF
C:\Documents and Settings\x\Local Settings
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL =
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page =
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch ={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL =
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" ={searchTerms}&a=ironmsd04&cd=2XzuyEtN2Y1L1QzutDtDtCtCtDzyyB0E0C0D0C0A0ByBtC0BtN0D0Tzu0SyEzyyBtN1L2XzutBtFtBtFtCtFyCtCzztN1L1Czu1L1C1F1G1H1B1QtDyE&cr=1876245531&ir=
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" ={searchTerms}
IE - HKCU\..\SearchScopes\{12CE5229-3B61-BEBF-48FB-638FFB9E1114}: "URL" ={B6B6046B-DDAC-486B-B4AD-ED0E379C2283}?q={searchTerms}
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" ={searchTerms}
IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" ={searchTerms}&a=ironmsd04&cd=2XzuyEtN2Y1L1QzutDtDtCtCtDzyyB0E0C0D0C0A0ByBtC0BtN0D0Tzu0SyEzyyBtN1L2XzutBtFtBtFtCtFyCtCzztN1L1Czu1L1C1F1G1H1B1QtDyE&cr=1876245531&ir=
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" ={searchTerms}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" ={searchTerms}&SearchSource=4&ctid=CT2269050
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" ={searchTerms}&loc=IB_DS&a=6R8EtBB5h5&i=26
IE - HKCU\..\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}: "URL" ={searchTerms}&utf8in=1&fr=ietb
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox [2012-09-07 21:45:56 | 000,000,000 | ---D | M]
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} (Reg Error: Key error.)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} (Reg Error: Key error.)
SRV - File not found [unknown (-1) | Unknown] -- -- (dfs)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP2c\WNt500x86\Sandra.sys -- (sandra)
DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm)
DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass)
DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs)
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv)
DRV - File not found [unknown (-1) | Unknown (-1) | Unknown] -- -- (dfs)
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\cgaef.sys -- (degh)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio)


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Klik w Wykonaj skrypt. Zatwierdź restart systemu.


4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.


5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.


ja do tej pory nie wiem jak to sie skopiowało , wyskoczył mi log dałem kopiuj i poszło , nie mam pojecia  szkoda ,ze myslisz ze ja cos kombinuje ale naprawde  nie mam nic sobie do zarzucenia


qwert, nie wiem do czego teraz zmierzasz.





nie mogłem tylko usunac DVD toolbara  ale poradze sobie znim na pewno .Wysle Ci te logi i reszta jutro bo  mam teraz wyjazd i wracam po 24.00

W kazdym bądź razie dzieki za poświecony czas i pomoc .

Dalszy ciąg jutro  do południa bo potem do roboty na popołudniówkę .


wstawiam logi :



AdwCleanerS1.txtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

nie mogłem tylko usunac DVD toolbara  ale poradze sobie znim na pewno


AdwCleaner go już załatwił.


Nie odpowiedziałeś na pytanie o SpyHunter. Niemniej już jego wpisy "not found" będę usuwać. Natomiast log z OTL pokazuje, że: nie wykonał się poprawnie skrypt OTL (właściwie nic nie zrobione, a pewnych wpisów nie ma tylko dlatego, że AdwCleaner niektóre akcje wykonał) i prawdopodobnie to MBAM przeszkodził oraz Firefox nie został zresetowany (śmietnik w preferencjach). Jeszcze raz:


1. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.


2. Na czas wykonania skryptu OTL: wyłącz rezydent MBAM (by nie nastąpił konflikt przy zabijaniu procesów). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:


C:\Documents and Settings\All Users\Dane aplikacji\18429B9C882AB71B00001842835BB8CF
C:\Documents and Settings\x\Local Settings
C:\Program Files\Enigma Software Group
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page =
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" ={searchTerms}&a=ironmsd04&cd=2XzuyEtN2Y1L1QzutDtDtCtCtDzyyB0E0C0D0C0A0ByBtC0BtN0D0Tzu0SyEzyyBtN1L2XzutBtFtBtFtCtFyCtCzztN1L1Czu1L1C1F1G1H1B1QtDyE&cr=1876245531&ir=
IE - HKCU\..\SearchScopes\{12CE5229-3B61-BEBF-48FB-638FFB9E1114}: "URL" ={B6B6046B-DDAC-486B-B4AD-ED0E379C2283}?q={searchTerms}
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" ={searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}: "URL" ={searchTerms}&utf8in=1&fr=ietb
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} (Reg Error: Key error.)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} (Reg Error: Key error.)
O16 - DPF: {8ffbe65d-2c9c-4669-84bd-5829dc0b603c} (Reg Error: Key error.)
RV - File not found [unknown (-1) | Unknown] -- -- (dfs)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP2c\WNt500x86\Sandra.sys -- (sandra)
DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm)
DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass)
DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs)
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv)
DRV - File not found [unknown (-1) | Unknown (-1) | Unknown] -- -- (dfs)
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\cgaef.sys -- (degh)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio)


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. Przedstaw ten log.


3. Zrób nowy log OTL z opcji Skanuj (bez Extras).




[nie wiem czemu znowu nie mogę dodac  załącznika  ?   ]


Podaję loga




All processes killed
========== FILES ==========
C:\Documents and Settings\All Users\Dane aplikacji\18429B9C882AB71B00001842835BB8CF folder moved successfully.
C:\Documents and Settings\x\Local Settings\Application Data folder moved successfully.
C:\Documents and Settings\x\Local Settings folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter\Log folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter folder moved successfully.
C:\Program Files\Enigma Software Group folder moved successfully.
C:\WINDOWS\is-50V5E.exe moved successfully.
C:\WINDOWS\gmer.exe moved successfully.
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{12CE5229-3B61-BEBF-48FB-638FFB9E1114}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{12CE5229-3B61-BEBF-48FB-638FFB9E1114}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.
Starting removal of ActiveX control {31435657-9980-0010-8000-00AA00389B71}
C:\WINDOWS\Downloaded Program Files\wvc1dmo.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{31435657-9980-0010-8000-00AA00389B71}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{31435657-9980-0010-8000-00AA00389B71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found.
Starting removal of ActiveX control {33564D57-0000-0010-8000-00AA00389B71}
C:\WINDOWS\Downloaded Program Files\WMV9VCM.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33564D57-0000-0010-8000-00AA00389B71}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33564D57-0000-0010-8000-00AA00389B71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{33564D57-0000-0010-8000-00AA00389B71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33564D57-0000-0010-8000-00AA00389B71}\ not found.
Starting removal of ActiveX control {8ffbe65d-2c9c-4669-84bd-5829dc0b603c}
C:\WINDOWS\Downloaded Program Files\erma.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8ffbe65d-2c9c-4669-84bd-5829dc0b603c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8ffbe65d-2c9c-4669-84bd-5829dc0b603c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8ffbe65d-2c9c-4669-84bd-5829dc0b603c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8ffbe65d-2c9c-4669-84bd-5829dc0b603c}\ not found.
Service VcommMgr stopped successfully!
Service VcommMgr deleted successfully!
File System32\Drivers\VcommMgr.sys not found.
Service VComm stopped successfully!
Service VComm deleted successfully!
File system32\DRIVERS\VComm.sys not found.
Service sandra stopped successfully!
Service sandra deleted successfully!
File C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP2c\WNt500x86\Sandra.sys not found.
Service InCDRm stopped successfully!
Service InCDRm deleted successfully!
File system32\drivers\InCDRm.sys not found.
Service InCDPass stopped successfully!
Service InCDPass deleted successfully!
File system32\drivers\InCDPass.sys not found.
Service InCDFs stopped successfully!
Service InCDFs deleted successfully!
File system32\drivers\InCDFs.sys not found.
Service GMSIPCI stopped successfully!
Service GMSIPCI deleted successfully!
File F:\INSTALL\GMSIPCI.SYS not found.
Service esgiguard stopped successfully!
Service esgiguard deleted successfully!
File C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys not found.
Service dgderdrv stopped successfully!
Service dgderdrv deleted successfully!
File System32\drivers\dgderdrv.sys not found.
Error: No service named dfs was found to stop!
Service\Driver key dfs not found.
Service degh stopped successfully!
Service degh deleted successfully!
File System32\drivers\cgaef.sys not found.
Service BTHidMgr stopped successfully!
Service BTHidMgr deleted successfully!
File System32\Drivers\BTHidMgr.sys not found.
Service BTHidEnum stopped successfully!
Service BTHidEnum deleted successfully!
File System32\Drivers\vbtenum.sys not found.
Service Btcsrusb stopped successfully!
Service Btcsrusb deleted successfully!
File System32\Drivers\btcusb.sys not found.
Service BT stopped successfully!
Service BT deleted successfully!
File system32\DRIVERS\btnetdrv.sys not found.
Service BlueletSCOAudio stopped successfully!
Service BlueletSCOAudio deleted successfully!
File system32\DRIVERS\BlueletSCOAudio.sys not found.
Service BlueletAudio stopped successfully!
Service BlueletAudio deleted successfully!
File system32\DRIVERS\blueletaudio.sys not found.
========== COMMANDS ==========
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Administrator.DOM
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes
User: Administrator.DOM.000
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 13482409 bytes
->Flash cache emptied: 0 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33191 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 799953 bytes
User: x
->Temp folder emptied: 69588723 bytes
->Temporary Internet Files folder emptied: 33175343 bytes
->Java cache emptied: 356646 bytes
->FireFox cache emptied: 13631816 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 5572 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 3820651 bytes
%systemroot%\System32 .tmp files removed: 3302912 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 553 bytes
RecycleBin emptied: 4844027697 bytes
Total Files Cleaned = 4 751,00 mb
OTL by OldTimer - Version log created on 06042013_111610

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...




A tak na marginesie , w dokument seting   znalazłem kilku administratorów mojego kompa , czy tylu musi byc , czy to jakies pozostałości  bo faktycznie tak kiedys sie nazywały , czy mozna jakiegoś skasować ?


Pozdrawiam , dalszy ciąg  jutro , praca wzywa .

Miałeś podać też nowy log ze skanu:


  picasso napisał(a):

3. Zrób nowy log OTL z opcji Skanuj (bez Extras).




nie wiem czemu znowu nie mogę dodac załącznika ?


Wyjaśnia to Pomoc forum (link na spodzie strony). Załączniki akceptują tylko rozszerzenie *.TXT a to jest *.LOG. Na przyszłość: ręcznie zmień nazwę pliku lub zapisz tekst do nowego pliku.



A tak na marginesie , w dokument seting znalazłem kilku administratorów mojego kompa , czy tylu musi byc , czy to jakies pozostałości bo faktycznie tak kiedys sie nazywały , czy mozna jakiegoś skasować ?


Nie podałeś jak to właściwie wygląda, co rozumiesz przez "kilku administratorów". Czy chodzi o powielone foldery o nazwach Administrator*?


"kilku administratorów". Czy chodzi o powielone foldery o nazwach Administrator*?

 zobacz na końcówkę mojego loga tego co wstawiłem wczoraj 


User: Administrator


User: Administrator.DOM


User: Administrator.DOM.000


itd itd


dlaczego jest tyle kont  userów ?


A teraz podaje nowego loga :



All processes killed

========== FILES ==========

File\Folder C:\Documents and Settings\All Users\Dane aplikacji\18429B9C882AB71B00001842835BB8CF not found.

File\Folder C:\Documents and Settings\x\Local Settings not found.

File\Folder C:\Program Files\Enigma Software Group not found.

File\Folder C:\WINDOWS\is-50V5E.exe not found.

File\Folder C:\WINDOWS\gmer.exe not found.

========== OTL ==========

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{12CE5229-3B61-BEBF-48FB-638FFB9E1114}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{12CE5229-3B61-BEBF-48FB-638FFB9E1114}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives not found.

Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives not found.

Starting removal of ActiveX control {31435657-9980-0010-8000-00AA00389B71}

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{31435657-9980-0010-8000-00AA00389B71}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{31435657-9980-0010-8000-00AA00389B71}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found.

Starting removal of ActiveX control {33564D57-0000-0010-8000-00AA00389B71}

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33564D57-0000-0010-8000-00AA00389B71}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33564D57-0000-0010-8000-00AA00389B71}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{33564D57-0000-0010-8000-00AA00389B71}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33564D57-0000-0010-8000-00AA00389B71}\ not found.

Starting removal of ActiveX control {8ffbe65d-2c9c-4669-84bd-5829dc0b603c}

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8ffbe65d-2c9c-4669-84bd-5829dc0b603c}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8ffbe65d-2c9c-4669-84bd-5829dc0b603c}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8ffbe65d-2c9c-4669-84bd-5829dc0b603c}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8ffbe65d-2c9c-4669-84bd-5829dc0b603c}\ not found.

Error: No service named VcommMgr was found to stop!

Service\Driver key VcommMgr not found.

File System32\Drivers\VcommMgr.sys not found.

Error: No service named VComm was found to stop!

Service\Driver key VComm not found.

File system32\DRIVERS\VComm.sys not found.

Error: No service named sandra was found to stop!

Service\Driver key sandra not found.

File C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP2c\WNt500x86\Sandra.sys not found.

Error: No service named InCDRm was found to stop!

Service\Driver key InCDRm not found.

File system32\drivers\InCDRm.sys not found.

Error: No service named InCDPass was found to stop!

Service\Driver key InCDPass not found.

File system32\drivers\InCDPass.sys not found.

Error: No service named InCDFs was found to stop!

Service\Driver key InCDFs not found.

File system32\drivers\InCDFs.sys not found.

Error: No service named GMSIPCI was found to stop!

Service\Driver key GMSIPCI not found.

File F:\INSTALL\GMSIPCI.SYS not found.

Error: No service named esgiguard was found to stop!

Service\Driver key esgiguard not found.

File C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys not found.

Error: No service named dgderdrv was found to stop!

Service\Driver key dgderdrv not found.

File System32\drivers\dgderdrv.sys not found.

Error: No service named dfs was found to stop!

Service\Driver key dfs not found.

Error: No service named degh was found to stop!

Service\Driver key degh not found.

File System32\drivers\cgaef.sys not found.

Error: No service named BTHidMgr was found to stop!

Service\Driver key BTHidMgr not found.

File System32\Drivers\BTHidMgr.sys not found.

Error: No service named BTHidEnum was found to stop!

Service\Driver key BTHidEnum not found.

File System32\Drivers\vbtenum.sys not found.

Error: No service named Btcsrusb was found to stop!

Service\Driver key Btcsrusb not found.

File System32\Drivers\btcusb.sys not found.

Error: No service named BT was found to stop!

Service\Driver key BT not found.

File system32\DRIVERS\btnetdrv.sys not found.

Error: No service named BlueletSCOAudio was found to stop!

Service\Driver key BlueletSCOAudio not found.

File system32\DRIVERS\BlueletSCOAudio.sys not found.

Error: No service named BlueletAudio was found to stop!

Service\Driver key BlueletAudio not found.

File system32\DRIVERS\blueletaudio.sys not found.

========== COMMANDS ==========




User: Administrator

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes


User: Administrator.DOM

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes


User: Administrator.DOM.000

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes


User: All Users


User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes


User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes


User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes


User: x

->Temp folder emptied: 1868100 bytes

->Temporary Internet Files folder emptied: 5414983 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 378031501 bytes

->Apple Safari cache emptied: 0 bytes

->Flash cache emptied: 2894 bytes


%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 553 bytes

RecycleBin emptied: 16154 bytes


Total Files Cleaned = 368,00 mb



OTL by OldTimer - Version log created on 06042013_225500


Files\Folders moved on Reboot...


PendingFileRenameOperations files...


Registry entries deleted on Reboot...





Prosiłam o log z opcji Skanuj:


  picasso napisał(a):

3. Zrób nowy log OTL z opcji Skanuj (bez Extras).


Natomiast nie wiem dlaczego uruchamiasz już nieaktualny skrypt po raz kolejny (skrypt jest jednorazowego użytku) z opcji Wykonaj skrypt. A zrobiłeś to, bo ten log, który cytujesz tu, ma wszędzie odczyty "not found" (w przeciwieństwie do poprzedniego), czyli był uruchamiany ponownie.

Co do Administratorów, to podaj z którego katalogu korzysta konto Administrator (o ile w ogóle jest nadal włączone). Zrób log z sid.vbs (punkt 3): KLIK.


podaję log:




Lista kont, identyfikatorów SID i ścieżek dostępu.





Nazwa użytkownika : Administrator

SID : S-1-5-21-682003330-1644491937-725345543-500

Katalog profilu :


Nazwa użytkownika : ASPNET

SID : S-1-5-21-682003330-1644491937-725345543-1004

Katalog profilu :


Nazwa użytkownika : Gość

SID : S-1-5-21-682003330-1644491937-725345543-501

Katalog profilu :


Nazwa użytkownika : Pomocnik

SID : S-1-5-21-682003330-1644491937-725345543-1000

Katalog profilu :


Nazwa użytkownika : x

SID : S-1-5-21-682003330-1644491937-725345543-1003

Katalog profilu : C:\Documents and Settings\x



1. Jeszcze wymagane poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:


C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\5uhewlxx.default\extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D}
C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\5uhewlxx.default\extensions\
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\ Player Plugin,version=1.0.0]


Klik w Wykonaj skrypt.


2. Do oceny wystarczy tylko log z wynikami usuwania.




Skrypt prawie wykonany, z wyjątkiem tego:


========== REGISTRY ==========

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dfs\ not found.


W raporcie OTL były te wpisy i konsekwentnie nie chcą zniknąć:


========== Services (SafeList) ==========


SRV - File not found [unknown (-1) | Unknown] -- -- (dfs)


========== Driver Services (SafeList) ==========


DRV - File not found [unknown (-1) | Unknown (-1) | Unknown] -- -- (dfs)


Start > Uruchom > regedit, czy widzisz klucz:




Jeśli tak, ręcznie skasuj.






Klucz wygląda na uszkodzony i prawdopodobnie spod Windows żadne narzędzie tego nie ruszy. Skasuj go z poziomu narzędzia opartego na silniku Linuksowym. Zbootuj płytę Kaspersky Rescue Disk, na Desktopie płyty jest edytor rejestru, uruchom go, wyszukaj podany klucz i usuń. W edytorze Kasperskiego będą to ścieżki:


Microsoft Windows XP Service Pack 3\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dfs

Microsoft Windows XP Service Pack 3\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dfs




Edytowane przez picasso
9.07.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
