Samoczynne włączanie przeglądarki i czarny ekran przy starcie systemu

[brolkovsky]

Witam!

 

Dziś niechcący zainstalowałem na swoim komputerze "wilka w owczej skórze" i chciałbym prosić o pomoc w jego usunięciu.

 

Problem polegał na tym że podczas gdy nie wykonywałem żadnych czynności na komputerze przeglądarka internetowa włączała się sama na różnych stronach. Oraz przy starcie systemu wyskakuje mi czarny ekran oraz w lewym górnym rogu pojawia się okienko ustawienia spersonalizowane co spowalnia start systemu. Poniżej przesyłam logi z programów. Ogólnie rzecz biorąc komputer był totalnie zaśmiecony trochę to posprzątałem ale chciałbym się jeszcze poradzić fachowców czy jest jeszcze coś co mógłbym zrobić.

 

Z góry serdecznie dziękuję!

 

AdwCleaner

 

Plik C6 - http://wklej.to/9ts3y

Plik S9 - http://wklej.to/1DTR6

 

 

Pozdrawiam

[picasso]

Proszę przeczytaj zasady działu: KLIK. Tytuł tematu zmieniam. Logi z przestarzałego OTL nie są tu w ogóle już brane pod uwagę, usuwam. Obowiązkowe logi to FRST i GMER.

 

PS. Logów z AdwCleaner nie usuwaj, ma być wiadome co program znalazł.

[brolkovsky]

Hej!

 

Ok Dzięki

 

Uzupełniam braki.

 

 

GMER 2.1.19357 - http://www.gmer.net
Rootkit scan 2015-11-12 01:55:58
Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\0000002b HGST_HTS545050A7E680 rev.GG2OAE30 465,76GB
Running: 0jxy33iq.exe; Driver: C:\Users\Jakub\AppData\Local\Temp\pfldqpow.sys


---- User code sections - GMER 2.1 ----

.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\KERNEL32.DLL!K32GetModuleInformation                                00007ff949773e10 7 bytes JMP 00007ffa491502d0
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\KERNEL32.DLL!RegQueryValueExW                                       00007ff949773e20 7 bytes JMP 00007ffa49150308
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\KERNEL32.DLL!RegSetValueExW                                         00007ff9498239b0 7 bytes JMP 00007ffa491503b0
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\KERNEL32.DLL!RegDeleteValueW                                        00007ff949823ef0 7 bytes JMP 00007ffa49150340
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\KERNEL32.DLL!RegSetValueExA                                         00007ff949823fe0 7 bytes JMP 00007ffa49150378
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\KERNEL32.DLL!K32EnumProcessModulesEx                                00007ff9498506c0 7 bytes JMP 00007ffa49150228
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\KERNEL32.DLL!K32GetMappedFileNameW                                  00007ff949850730 7 bytes JMP 00007ffa49150298
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\KERNEL32.DLL!K32GetModuleFileNameExW                                00007ff949850760 7 bytes JMP 00007ffa49150260
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\KERNELBASE.dll!FreeLibrary                                          00007ff9491621d0 5 bytes JMP 00007ffa49150180
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\KERNELBASE.dll!GetModuleHandleW                                     00007ff9491629d0 7 bytes JMP 00007ffa491500d8
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\KERNELBASE.dll!GetModuleHandleExW                                   00007ff949164310 5 bytes JMP 00007ffa49150110
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\KERNELBASE.dll!LoadLibraryExW                                       00007ff949168900 5 bytes JMP 00007ffa49150148
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\USER32.dll!CreateWindowExW                                          00007ff94b816d90 10 bytes JMP 00007ffa49150490
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\USER32.dll!EnumDisplayDevicesW                                      00007ff94b8274a0 5 bytes JMP 00007ffa49150458
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\USER32.dll!DisplayConfigGetDeviceInfo                               00007ff94b827560 1 byte JMP 00007ffa491503e8
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2                           00007ff94b827562 7 bytes {JMP 0xfffffffffd928e88}
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\USER32.dll!EnumDisplayDevicesA                                      00007ff94b836b10 5 bytes JMP 00007ffa49150420
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\GDI32.dll!D3DKMTGetDisplayModeList                                  00007ff94bd41500 8 bytes JMP 00007ffa491501b8
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                    00007ff94bd41750 8 bytes JMP 00007ffa491501f0
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\dxgi.dll!CreateDXGIFactory                                          00007ff9468c7750 5 bytes JMP 00007ffa468b00d8
.text   C:\WINDOWS\system32\dwm.exe[828] C:\WINDOWS\system32\dxgi.dll!CreateDXGIFactory1                                         00007ff9468c8ee0 5 bytes JMP 00007ffa468b0110

---- Kernel IAT/EAT - GMER 2.1 ----

IAT     C:\WINDOWS\System32\drivers\pci.sys[ntoskrnl.exe!IofCallDriver]                                                          [fffff80157272de4] \SystemRoot\System32\Drivers\sptd.sys [.text]

---- Devices - GMER 2.1 ----

Device  \Driver\iaStorA \Device\RaidPort0                                                                                        ffffe000937f42c0
Device  \Driver\cdrom \Device\CdRom0                                                                                             ffffe000937f62c0
Device  \Driver\iaStorA \Device\0000002b                                                                                         ffffe000937f42c0
Device  \Driver\iaStorA \Device\0000002c                                                                                         ffffe000937f42c0
Device  \Driver\iaStorA \Device\ScsiPort0                                                                                        ffffe000937f42c0

---- Trace I/O - GMER 2.1 ----

Trace   ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys >>UNKNOWN [0xffffe000937f42c0]<< sptd.sys storport.sys hal.dll iaStorA.sys   ffffe000937f42c0
Trace   1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe00095407060]                                                          ffffe00095407060
Trace   3 CLASSPNP.SYS[fffff80158002170] -> nt!IofCallDriver -> [0xffffe00094180e50]                                             ffffe00094180e50
Trace   5 ACPI.sys[fffff801570f8c21] -> nt!IofCallDriver -> \Device\0000002b[0xffffe0009417f060]                                 ffffe0009417f060
Trace   \Driver\iaStorA[0xffffe00094020a90] -> IRP_MJ_CREATE -> 0xffffe000937f42c0                                               ffffe000937f42c0

---- Threads - GMER 2.1 ----

Thread  C:\WINDOWS\system32\csrss.exe [524:548]                                                                                  fffff960009c22d0
Thread  C:\WINDOWS\system32\svchost.exe [964:3332]                                                                               00007ff93a4a1050

---- Disk sectors - GMER 2.1 ----

Disk    \Device\Harddisk0\DR0                                                                                                    unknown MBR code

---- EOF - GMER 2.1 ----
 

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Od infekcji adware widzę tylko szczątki (np. w Harmonogramie zadań) oraz dużo pustych wpisów. Doczyśćmy to co widać:

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Google Talk Plugin (nie działa), Microsoft SkyDrive , RealPlayer, Shared C Run-time for x64 (odpadek po McAfee).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S3 McComponentHostServiceSony; C:\Program Files (x86)\Sony\MSS\3.8.130\McCHSvc.exe [235216 2013-10-16] (McAfee, Inc.)
S2 sbapifs; system32\DRIVERS\sbapifs.sys [X]
Task: {019460D8-B19B-40B7-B842-077EA0ACB8CA} - System32\Tasks\{840C9D5B-53B4-4B56-8E2E-858A078FCA42} => pcalua.exe -a "C:\Program Files (x86)\SMRecorder\uninst.exe"
Task: {318575CD-9B60-412F-909F-DFE2E55C9870} - System32\Tasks\ggQzCxMgxBiMEWDIy => C:\Users\Jakub\AppData\Roaming\ggQzCxMgxBiMEWDIy.exe 
Task: {675FB88B-B10D-46C7-85E2-1BEDCD2DD6F0} - System32\Tasks\Sony Corporation\VAIO Control Center\NetworkSetting\NetworkSetting Logon Start => C:\Program Files (x86)\Sony\VAIO Control Center\NetworkSetting\NetworkClient
Task: {752D2124-798C-45B1-892F-34EA1F27B5D2} - System32\Tasks\{8251F3EA-288E-42B0-9684-35ACD4D7B518} => pcalua.exe -a C:\Users\Jakub\AppData\Local\9BB10050-1447280559-11E2-A8A4-3C0771764B39\Uninstall.exe
Task: {89DC8B76-0FD1-468B-9887-87BE0BB2F195} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2053194998-3405878221-685674103-1002Core => C:\Users\Jakub\AppData\Local\Google\Update\GoogleUpdate.exe
Task: {977ABFC5-EDE2-426E-9D45-C3D7A6659954} - System32\Tasks\{1CD37C89-F870-4092-B42D-EC63EF276F21} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=6.13.0.104&LastError=12002
Task: {B4EEBB56-C0CF-4085-A8CC-8E8009629BBD} - System32\Tasks\Touch Builder => Rundll32.exe "C:\Users\Jakub\AppData\Local\Touch Builder\xBin\TouchBuilder.dll",#3 
Task: {B9853A46-5480-4D70-A2D9-09ED646F0EA8} - System32\Tasks\Sony Corporation\VAIO Care\UpdateContacts => %ProgramData%\Sony Corporation\VAIO Care\UpdateContacts.exe
Task: {C7871011-B2FA-42DA-9FC1-F4DB83532442} - System32\Tasks\n0MqUdXPr9LlfCUYNu0d10 => C:\Users\Jakub\AppData\Roaming\n0MqUdXPr9LlfCUYNu0d10.exe 
Task: {EC872F2F-084B-45C6-8840-B5238FBE55BC} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2053194998-3405878221-685674103-1002UA => C:\Users\Jakub\AppData\Local\Google\Update\GoogleUpdate.exe
Task: {EFD0663C-6BB5-4471-8614-12706D79648F} - System32\Tasks\{1E8A2FC3-87F1-405A-B863-FD586D5D7088} => pcalua.exe -a C:\Users\Jakub\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor
Task: C:\WINDOWS\Tasks\ggQzCxMgxBiMEWDIy.job => C:\Users\Jakub\AppData\Roaming\ggQzCxMgxBiMEWDIy.exe 
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-2053194998-3405878221-685674103-1002Core.job => C:\Users\Jakub\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-2053194998-3405878221-685674103-1002UA.job => C:\Users\Jakub\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\WINDOWS\Tasks\n0MqUdXPr9LlfCUYNu0d10.job => C:\Users\Jakub\AppData\Roaming\n0MqUdXPr9LlfCUYNu0d10.exe 
HKU\S-1-5-21-2053194998-3405878221-685674103-1002\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe
HKU\S-1-5-21-2053194998-3405878221-685674103-1002\...\Run: [Google Update] => "C:\Users\Jakub\AppData\Local\Google\Update\GoogleUpdate.exe" /c
HKU\S-1-5-21-2053194998-3405878221-685674103-1002\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\chomikbox.exe
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\SkyDriveShell64.dll Brak pliku
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\SkyDriveShell64.dll Brak pliku
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\SkyDriveShell64.dll Brak pliku
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\SkyDriveShell.dll Brak pliku
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\SkyDriveShell.dll Brak pliku
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\SkyDriveShell.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{9E506282-69D3-5ABA-9C1D-15994B37F4AC}\InprocServer32 -> C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp_x64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{9E506282-69D3-5ABA-9C1D-15994B37F4AD}\InprocServer32 -> C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp_x64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\SkyDriveShell64.dll => Brak pli (dane wartości zawierają 2 znaków więcej).
CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{BBACC218-34EA-4666-9D7A-C78F2274A524}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\SkyDriveShell64.dll => Brak pli (dane wartości zawierają 2 znaków więcej).
CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{F241C880-6982-4CE5-8CF7-7085BA96DA5A}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\SkyDriveShell64.dll => Brak pli (dane wartości zawierają 2 znaków więcej).
CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{F8071786-1FD0-4A66-81A1-3CBE29274458}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\FileSyncApi64.dll => Brak pliku
GroupPolicy: Ograniczenia - Chrome 
HKU\S-1-5-21-2053194998-3405878221-685674103-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKU\S-1-5-21-2053194998-3405878221-685674103-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130917278024481883&GUID=45E76245-E4E9-4DBF-8456-707494D2EDB3
URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
StartMenuInternet: FIREFOX.EXE - firefox.exe
CMD: type "C:\Program Files (x86)\mozilla firefox\defaults\pref\!B47960E2D889DD55984943B04E3AA048B479.js"
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\!B47960E2D889DD55984943B04E3AA048B479.js [2015-11-11]
FF Plugin-x32: @mcafee.com/McAfeeMssPlugin -> C:\Program Files (x86)\Sony\MSS\3.8.130\npMcAfeeMss.dll [brak pliku]
FF Plugin HKU\S-1-5-21-2053194998-3405878221-685674103-1002: @tools.google.com/Google Update;version=3 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.28.15\npGoogleUpdate3.dll [brak pliku]
FF Plugin HKU\S-1-5-21-2053194998-3405878221-685674103-1002: @tools.google.com/Google Update;version=9 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.28.15\npGoogleUpdate3.dll [brak pliku]
FF Plugin HKU\S-1-5-21-2053194998-3405878221-685674103-1002: intel.com/AppUpx64 -> C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp_x64.dll [brak pliku]
C:\Program Files (x86)\Sony\MSS
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoFiltre 7\PhotoFiltre 7 information.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoFiltre 7\PhotoMasque information.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoFiltre 7\Uninstall PhotoFiltre 7.lnk
C:\Users\Jakub\AppData\Roaming\ggQzCxMgxBiMEWDIy
C:\Users\Jakub\AppData\Roaming\n0MqUdXPr9LlfCUYNu0d10
C:\Users\Jakub\AppData\Roaming\Mozilla\plugins
C:\Users\Jakub\AppData\Roaming\Opera Software
C:\Users\Jakub\AppData\Roaming\SoftOrbits
C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk
C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SkyDrive.lnk
C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Stronghold 3.lnk
C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OpenIV
C:\Users\Jakub\Desktop\Kuba\Steam.lnk
C:\Users\Jakub\Desktop\Kuba\Projekty\PROGRAMY\AIMP3.lnk
C:\Users\Jakub\Desktop\Kuba\Projekty\PROGRAMY\Cool Edit Pro 2.1.lnk
C:\Users\Jakub\Desktop\Kuba\Projekty\PROGRAMY\energyXT 2.5.lnk
C:\Users\Jakub\Music\muzyka1\ASIO4ALL v2 Instruction Manual.lnk
C:\Users\Jakub\Music\muzyka1\Audacity.lnk
C:\Users\Jakub\Music\muzyka1\energyXT 2.5.lnk
C:\Users\Jakub\Music\muzyka1\Samplitude Pro X Download Version.lnk
C:\Users\Public\QiYi
C:\Users\UpdatusUser\Desktop\*.lnk
C:\WINDOWS\system32\Drivers\etc\hp.bak
C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
C:\WINDOWS\SysWOW64\REN*.tmp
Folder: C:\results
Folder: C:\Update
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete HKU\S-1-5-21-2053194998-3405878221-685674103-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /f
Reg: reg delete HKU\S-1-5-21-2053194998-3405878221-685674103-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Steam /f
Reg: reg delete HKU\S-1-5-21-2053194998-3405878221-685674103-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f
Reg: reg delete HKU\S-1-5-21-2053194998-3405878221-685674103-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "ALLPlayer WiFi Remote" /f
Reg: reg delete HKU\S-1-5-21-2053194998-3405878221-685674103-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Google Update" /f
Reg: reg delete "HKU\S-1-5-21-2053194998-3405878221-685674103-1001\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-21-2053194998-3405878221-685674103-1001\Software\Microsoft\Windows\CurrentVersion\Run" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się jakie są aktualnie problemy.

[brolkovsky]

Załączam pliki.

 

System uruchamiał się trochę wolniej niż zwykle poza tym jest ok

FRST.txt

Fixlog.txt

Addition.txt

[picasso]

Wolniejsze uruchamianie mogło wynikać z czyszczenia Tempów przez FRST. I jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim:

 

FF HKLM-x32\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext => nie znaleziono
Task: {1BB68C06-50EC-42E6-A2F5-6C0F2EEF92EC} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-2053194998-3405878221-685674103-1002 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
Task: {722D7488-46ED-4AEB-9622-46C3FF05EC95} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-2053194998-3405878221-685674103-1002 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
Reg: reg delete "HKU\S-1-5-21-2053194998-3405878221-685674103-1001\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-21-2053194998-3405878221-685674103-1001\Software\Microsoft\Windows\CurrentVersion\Run" /f
Reg: reg delete HKU\S-1-5-21-2053194998-3405878221-685674103-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Parental Controls.lnk" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v TkBellExe /f
CMD: type "C:\Program Files (x86)\Mozilla Firefox\B47960E2D889DD55984943B04E3AA048B479"
C:\Program Files (x86)\Mozilla Firefox\B47960E2D889DD55984943B04E3AA048B479
C:\Program Files (x86)\Real
C:\ProgramData\Real
C:\Users\Jakub\AppData\Roaming\Real
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Zaprezentuj wynikowy fixlog.txt. I podaj czy tym razem reset też trwał dłużej.

[brolkovsky]

Dzień dobry!

 

Reset trwał trochę dłużej, ale gdy poprzednio włączałem komputer start odbył się normalnie a nawet trochę szybciej.

 

Dziękuję za fachową pomoc

Fixlog.txt

[picasso]

Fix wykonany. Skasuj folder C:\Users\Jakub\Downloads\FRTS i pobrany GMER. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

To tyle z mojej strony.

[brolkovsky]

Wielkie dzięki, sam nie dał bym rady

 

Wszystkiego Najlepszego!