Blue screen, samoczynny restart, infekcja

[takos]

Dzień dobry.

 

Opis problemu.

 

Po częściowym załadowaniu systemu pojawia się niebieski ekran.

Teraz działam w trybie awaryjnym.

Nie działa funkcja cofania systemu, skaner F-secure online powoduje zatrzymanie na niebiesko, eset online pokazał z 500 infekcji.

Przy normalnym uruchamianiu avast nie ładuje się lub ładuje częsciowo. Nie można uruchomić avasta przed uruchomieniem systemu. Też następuje zatrzymanie. 

Uruchomienie Gmera spowodowało zawieszenie kompa i musiałem resetować. Wydaje się, że głębsza ingerencja w dane jest wybitnie chroniona przez coś.

 

Odciąłem, za radą blue screena, "nową" kartę grafiki i CD Rom. RAM pozostał na swoim miejscu.

 

 

Addition.txtFRST.txtShortcut.txt

Extras.TxtOTL.Txt

 

Jeżeli uda się uruchomić Gmera, wyedytuję post. 

 

edit: Niestety wywala...

 

Proszę o pomoc

[picasso]

W systemie jest ogromna ilość sterowników adware i to jest przyczyna BSOD. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

R1 {0c7dc56c-1fb8-4d6b-a40f-10611881a3b6}t; C:\WINDOWS\System32\drivers\{0c7dc56c-1fb8-4d6b-a40f-10611881a3b6}t.sys [55824 2014-10-11] (StdLib)
R1 {18fa7aee-6838-42dd-8d32-3fd665a7e664}t; C:\WINDOWS\System32\drivers\{18fa7aee-6838-42dd-8d32-3fd665a7e664}t.sys [55824 2014-10-17] (StdLib)
R1 {1dc3c8ee-7a5c-414f-bf32-ae563ad31ed1}t; C:\WINDOWS\System32\drivers\{1dc3c8ee-7a5c-414f-bf32-ae563ad31ed1}t.sys [55824 2014-12-06] (StdLib)
R1 {1fe5a9eb-d0ad-44c6-8e0e-e079118db915}t; C:\WINDOWS\System32\drivers\{1fe5a9eb-d0ad-44c6-8e0e-e079118db915}t.sys [55824 2014-10-13] (StdLib)
R1 {2429c312-24d3-4127-94ed-c247fe9e02fc}t; C:\WINDOWS\System32\drivers\{2429c312-24d3-4127-94ed-c247fe9e02fc}t.sys [55824 2014-10-22] (StdLib)
R1 {2ac9eb83-636e-4a51-ab66-bf4f388a02ab}t; C:\WINDOWS\System32\drivers\{2ac9eb83-636e-4a51-ab66-bf4f388a02ab}t.sys [55824 2014-10-20] (StdLib)
R1 {2f6db162-50b5-48ec-8bd0-c6ac5074038f}t; C:\WINDOWS\System32\drivers\{2f6db162-50b5-48ec-8bd0-c6ac5074038f}t.sys [55824 2014-12-09] (StdLib)
R1 {38f72c19-9857-4bc2-b729-9d00bd429872}t; C:\WINDOWS\System32\drivers\{38f72c19-9857-4bc2-b729-9d00bd429872}t.sys [55824 2014-10-15] (StdLib)
R1 {6610c2c8-50f9-4a6a-b791-c2b9e2bdc00d}t; C:\WINDOWS\System32\drivers\{6610c2c8-50f9-4a6a-b791-c2b9e2bdc00d}t.sys [55824 2014-11-30] (StdLib)
R1 {6cfec6a5-9d93-4492-985a-470a68eff4e9}t; C:\WINDOWS\System32\drivers\{6cfec6a5-9d93-4492-985a-470a68eff4e9}t.sys [55824 2014-10-24] (StdLib)
R1 {9390ab08-5703-448b-94f8-b8b1934c8841}t; C:\WINDOWS\System32\drivers\{9390ab08-5703-448b-94f8-b8b1934c8841}t.sys [55824 2014-10-18] (StdLib)
R1 {9794b31c-7078-45aa-8534-9fee5d10dfe6}t; C:\WINDOWS\System32\drivers\{9794b31c-7078-45aa-8534-9fee5d10dfe6}t.sys [55824 2014-12-03] (StdLib)
R1 {b35afcf6-0992-4551-b2da-3af8a5dc5119}t; C:\WINDOWS\System32\drivers\{b35afcf6-0992-4551-b2da-3af8a5dc5119}t.sys [55824 2014-10-11] (StdLib)
R1 {b8202deb-d90b-4859-9db1-238d59fbcdd4}t; C:\WINDOWS\System32\drivers\{b8202deb-d90b-4859-9db1-238d59fbcdd4}t.sys [55824 2014-11-30] (StdLib)
R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gt; C:\WINDOWS\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gt.sys [55056 2014-09-19] (StdLib)
R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t; C:\WINDOWS\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t.sys [55056 2014-09-21] (StdLib)
R1 {c89879cb-75b8-4cb6-bc13-07c704396fd0}t; C:\WINDOWS\System32\drivers\{c89879cb-75b8-4cb6-bc13-07c704396fd0}t.sys [55824 2014-10-13] (StdLib)
R1 {f8280ede-2ab0-420d-ae0f-169ba406978b}t; C:\WINDOWS\System32\drivers\{f8280ede-2ab0-420d-ae0f-169ba406978b}t.sys [55824 2014-10-21] (StdLib)
R1 {fff2d2b4-0f90-4edd-a75a-047e2658236a}t; C:\WINDOWS\System32\drivers\{fff2d2b4-0f90-4edd-a75a-047e2658236a}t.sys [55824 2014-10-17] (StdLib)
S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-11-30] (globalUpdate) [File not signed]
S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-11-30] (globalUpdate) [File not signed]
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 catchme; \??\C:\DOCUME~1\Greg.GS\USTAWI~1\Temp\catchme.sys [X]
Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe 
Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe 
Task: C:\WINDOWS\Tasks\SMupdate1.job => C:\PROGRA~1\COMMON~1\System\SysMenu.dll
Task: C:\WINDOWS\Tasks\SMupdate2.job => C:\PROGRA~1\COMMON~1\System\SysMenu.dll
Task: C:\WINDOWS\Tasks\SMupdate3.job => C:\PROGRA~1\COMMON~1\System\SysMenu.dll
Task: C:\WINDOWS\Tasks\SPBIW_UpdateTask_Time_333436303534383239362d3437415a556c2a3223346c41.job => C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ShopperPro\spbihe.js" spbiu.exe 
Task: C:\WINDOWS\Tasks\YTDownloader.job => C:\Program Files\YTDownloader\YTDownloader.exe
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-861567501-1604221776-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms}
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-861567501-1604221776-839522115-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trovi.com/?gd=&ctid=CT3319709&octid=EB_ORIGINAL_CTID&ISID=MDDAA7C1E-524E-4416-9E5A-7C4A68724F5A&SearchSource=55&CUI=&UM=6&UP=SPE1FEEB4D-FD3A-4308-9233-AC61828D2C7C&SSPV=
HKU\S-1-5-21-861567501-1604221776-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-861567501-1604221776-839522115-1003\Software\Microsoft\Internet Explorer\Main,Strona wyszukiwania = http://www.msn.com/access/allinone.asp
HKU\S-1-5-21-861567501-1604221776-839522115-1003\Software\Microsoft\Internet Explorer\Main,Strona początkowa = http://www.microsoft.com/msoffice/
HKU\S-1-5-21-861567501-1604221776-839522115-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://rts.dsrlte.com/?m=tab&affID=na" 
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms}
SearchScopes: HKLM -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL =
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms}
SearchScopes: HKU\S-1-5-21-861567501-1604221776-839522115-1003 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3319709&octid=EB_ORIGINAL_CTID&ISID=MDDAA7C1E-524E-4416-9E5A-7C4A68724F5A&SearchSource=58&CUI=&UM=6&UP=SPE1FEEB4D-FD3A-4308-9233-AC61828D2C7C&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-861567501-1604221776-839522115-1003 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3319709&octid=EB_ORIGINAL_CTID&ISID=MDDAA7C1E-524E-4416-9E5A-7C4A68724F5A&SearchSource=58&CUI=&UM=6&UP=SPE1FEEB4D-FD3A-4308-9233-AC61828D2C7C&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-861567501-1604221776-839522115-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms}
Handler: ipp - No CLSID Value -
Handler: msdaipp - No CLSID Value -
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\mntemp
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\15553404656720149986
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\1790955706
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ahphemkffjccicjbnjjgmkiibfngenlf
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\APN
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\d7d8cb213bb5fde2
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\DriverGenius
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\F-Secure
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\FileOpen
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\InstallMate
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ShopperPro
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Trusted Publisher
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\UDL
C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Catalyst Control Center
C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Nokia PC Suite
C:\Documents and Settings\Greg.GS\Dane aplikacji\DownLite
C:\Documents and Settings\Greg.GS\Dane aplikacji\FileOpen
C:\Documents and Settings\Greg.GS\Dane aplikacji\OpenCandy
C:\Documents and Settings\Greg.GS\Dane aplikacji\Pay-By-Ads
C:\Documents and Settings\Greg.GS\Dane aplikacji\RHEng
C:\Documents and Settings\Greg.GS\Dane aplikacji\VOPackage
C:\Documents and Settings\Greg.GS\Menu Start\Programy\VOPackage
C:\Documents and Settings\Greg.GS\Menu Start\Programy\YTDownloader
C:\Documents and Settings\Greg.GS\Pulpit\StartDownload.exe
C:\Documents and Settings\Greg.GS\Pulpit\Symulator Farmy 2013.lnk
C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\globalUpdate
C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\Google
C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\iWebar
C:\Program Files\BuyNsave
C:\Program Files\ESET
C:\Program Files\globalUpdate
C:\Program Files\YoutubeAdBlocke
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\System32\drivers\{0c7dc56c-1fb8-4d6b-a40f-10611881a3b6}t.sys
C:\WINDOWS\System32\drivers\{18fa7aee-6838-42dd-8d32-3fd665a7e664}t.sys
C:\WINDOWS\System32\drivers\{1dc3c8ee-7a5c-414f-bf32-ae563ad31ed1}t.sys
C:\WINDOWS\System32\drivers\{1fe5a9eb-d0ad-44c6-8e0e-e079118db915}t.sys
C:\WINDOWS\System32\drivers\{2429c312-24d3-4127-94ed-c247fe9e02fc}t.sys
C:\WINDOWS\System32\drivers\{2ac9eb83-636e-4a51-ab66-bf4f388a02ab}t.sys
C:\WINDOWS\System32\drivers\{2f6db162-50b5-48ec-8bd0-c6ac5074038f}t.sys
C:\WINDOWS\System32\drivers\{38f72c19-9857-4bc2-b729-9d00bd429872}t.sys
C:\WINDOWS\System32\drivers\{6610c2c8-50f9-4a6a-b791-c2b9e2bdc00d}t.sys
C:\WINDOWS\System32\drivers\{6cfec6a5-9d93-4492-985a-470a68eff4e9}t.sys
C:\WINDOWS\System32\drivers\{9390ab08-5703-448b-94f8-b8b1934c8841}t.sys
C:\WINDOWS\System32\drivers\{9794b31c-7078-45aa-8534-9fee5d10dfe6}t.sys
C:\WINDOWS\System32\drivers\{b35afcf6-0992-4551-b2da-3af8a5dc5119}t.sys
C:\WINDOWS\System32\drivers\{b8202deb-d90b-4859-9db1-238d59fbcdd4}t.sys
C:\WINDOWS\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gt.sys
C:\WINDOWS\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t.sys
C:\WINDOWS\System32\drivers\{c89879cb-75b8-4cb6-bc13-07c704396fd0}t.sys
C:\WINDOWS\System32\drivers\{f8280ede-2ab0-420d-ae0f-169ba406978b}t.sys
C:\WINDOWS\System32\drivers\{fff2d2b4-0f90-4edd-a75a-047e2658236a}t.sys
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C:" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\se" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Softonic for Windows" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\StartCCC" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Deinstalacje:

- Przez Dodaj/Usuń programy odinstaluj: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader 8.1.0 - Polish, Adobe Shockwave Player 12.0, Java 7 Update 67.

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[takos]

Wykonano posłusznie. Narzędzie Microsoftu zaptaszkowało domyślnie wszystkie opcje dot. naprawy problemów z Google Chrome. Zaakceptowałem bez zmiany owych opcji. Mam nadzieję, że dobrze zrobiłem. Chrome ktoś mi wrzucił i nie mogłem się tego pozbyć.

Pojawia się pytanie, co z pdf-ami? Jakiej opcji użyć do odczytania plików pdf po usunięciu Adobe Reader Polish 8?

Czy pojawiające się monity o aktualizacje Adobe Flash Playerów anulować?

 

Fixlog.txtFRST.txt

[picasso]

Pojawia się pytanie, co z pdf-ami? Jakiej opcji użyć do odczytania plików pdf po usunięciu Adobe Reader Polish 8?

Czy pojawiające się monity o aktualizacje Adobe Flash Playerów anulować?

Tu nie chodziło o wyrzucenie Adobe Reader na zawsze z systemu, tylko pozbycie się starej niebezpiecznej wersji narażającej na infekcje z tzw. "wklejek www" (iframe i podobne). Najnowsze wersje Adobe będziesz instalować na końcu. Na razie czyścimy system ze śmieci.

 

 

Kolejna porcja czynności. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-861567501-1604221776-839522115-1003\...\Run: [se] => "C:\Documents and Settings\Greg.GS\Dane aplikacji\SkypEmoticons\se.exe" /minimized
HKU\S-1-5-21-861567501-1604221776-839522115-1003\...\Run: [YTDownloader] => "C:\Program Files\YTDownloader\YTDownloader.exe" /boot
BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ShopperPro\ShopperPro.dll No File
DPF: {17492023-C23A-453E-A040-C7C580BBF700} http://go.microsoft.com/fwlink/?linkid=39204
C:\Documents and Settings\Administrator.GS\Dane aplikacji\Adobe
C:\Documents and Settings\Administrator.GS\Dane aplikacji\Macromedia
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Adobe
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Macromedia
C:\Documents and Settings\Greg.GS\Dane aplikacji\Adobe
C:\Documents and Settings\Greg.GS\Dane aplikacji\Macromedia
C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\Adobe
C:\WINDOWS\system32\Adobe
C:\WINDOWS\system32\Macromed
CMD: netsh firewall reset
CMD: del /q C:\WINDOWS\DUMP*.tmp
CMD: del /q C:\WINDOWS\Minidump\*.dmp
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji"
CMD: dir /a "C:\Documents and Settings\Administrator.GS\Dane aplikacji"
CMD: dir /a "C:\Documents and Settings\Administrator.GS\Ustawienia lokalne\Dane aplikacji"
CMD: dir /a "C:\Documents and Settings\Greg.GS\Dane aplikacji"
CMD: dir /a "C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji"
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie kolejny plik fixlog.txt. Przedstaw go, nowy skan FRST nie jest potrzebny.

[takos]

Tu nie chodziło o wyrzucenie Adobe Reader na zawsze z systemu, tylko pozbycie się starej niebezpiecznej wersji narażającej na infekcje z tzw. "wklejek www" (iframe i podobne).

No, tak ;-)

 

Fixlog.txt

[picasso]

1. Zapomniałam wcześniej podać jeszcze Norton Security Scan do deinstalacji. Następnie do Notatnika wklej:

 

C:\Program Files\Java
C:\Program Files\Malicious Software Removal Tool
C:\Program Files\NortonInstaller
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Norton
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\NortonInstaller
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Sun
C:\Documents and Settings\Greg.GS\Dane aplikacji\Sun
C:\Documents and Settings\Greg.GS\Dane aplikacji\uTorrent
C:\Documents and Settings\Greg.GS\Dane aplikacji\wsInspector
C:\Documents and Settings\Greg.GS\Pulpit\Continue VuuPC Installation.lnk
C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\*.tmp
C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\BonanzaDealsLive
C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\cache
C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\Comodo
C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\CrashRpt
C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\freeSOFTtoday
C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\Sun
C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\Torch
C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

 

2. Uruchom AdwCleaner, wybierz opcję Szukaj i pokaż wynikowy log z folderu C:\AdwCleaner.

[takos]

Logi po wykonaniu operacji:

Fixlog.txt

AdwCleanerR6.txt

[picasso]

Uruchom AdwCleaner ponownie, wybierz sekwencję Szukaj + Usuń i zaprezentuj log z usuwania (oznaczenie [snumer]).

[takos]

AdwCleanerS4.txt
 

[picasso]

Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
Reg: reg delete HKLM\SOFTWARE\MATS /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

[takos]

Fixlog.txt
 

[picasso]

1. Przez SHIFT+DEL (omija Kosz) skasuj D:\Narzedzia\FRST i inne pobrane narzędzia.

 

2. Zastosuj DelFix, wyczyść foldery Przywracania systemu i uzupełnij te instalacje Adobe których potrzebujesz: KLIK.

 

Koniec.

[takos]

Dziękuję, Picasso!