Nevan

Zdarza się przy usuwaniu. W logach dodatkowo widać infekcję routera: Powyższe IP jest Izraelskie: KLIK Przechodzimy do czyszczenia. 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Pobierz załączony plik fixlist.txt i umieść go obok narzędzia FRST. fixlist.txt Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Przeinstaluj zmodyfikowane przez adware Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 5. Zrób nowy log FRST z opcji Skanuj (Scan), włączając log Addition.txt. Dołącz też plik fixlog.txt.

W systemie widać czynne adware, ładujące się poprzez Zaplanowane zadania oraz usługi. Na ten moment: 1. Przez Panel sterowania odinstaluj: Stare wersje programów i zbędniki: Adobe Reader XI (11.0.12) - Polish; HP Customer Participation Program 13.0; Java 7 Update 13; Java 7 Update 51 (64-bit); Java™ 6 Update 11 Adware/PUP: SegmentAssister; SystemBuild 2. Zrób nowe logi FRST z opcji Skanuj (Scan), włączając plik Addition.txt oraz Shortcut.txt.

Spróbujemy z innego poziomu. Wejdź w Tryb awaryjny i z jego poziomu wykonaj poniższą instrukcję. Otwórz Notatnik i wklej w nim: C:\Users\podpa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk C:\Users\podpa\AppData\Roaming\wlanconnect.vbs 2015-10-10 19:33 - 2015-10-10 19:33 - 00017408 ____N (whatch) C:\Users\podpa\AppData\Roaming\whatch.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Wejdź spowrotem do normalnego trybu i sprawdź czy plik znów wrócił.

Uruchom ponownie Powershell i wklej do niego poniższą komendę, po czym zatwierdź Enterem: Get-AppxLog -ActivityID bab476b5-01f4-0001-1bf3-b4baf401d101 Wynik przedstaw ponownie jak poprzednio - zrzutem ekranu.

Faktycznie, problem wrócił. 1. Otwórz Notatnik i wklej w nim: Startup: C:\Users\podpa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk [2015-10-10] ShortcutTarget: wlanconnect.lnk -> C:\Users\podpa\AppData\Roaming\wlanconnect.vbs () CMD: WHERE /r "C:\Users\podpa\AppData\Roaming" *wlan* /t Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Uruchom Google Chrome i wejdź w Ustawienia > karta Ustawienia > sekcja Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres mystartsearch.com.

Uparte ustrojstwo... Pokaż nowe logi FRST (FRST.txt i Addition.txt).

Sprawdź czy znajdziesz deinstalator od CCC w folderze C:\Program Files\ATI Technologies\ATI.ACE\Core-Static. Jeżeli nie, przeinstalujemy w takim razie sterowniki AMD: Uruchom deinstalator od AMD: KLIK. Pamiętaj aby po skończonym działaniu zrestartować system. Następnie pobierz i zainstaluj ponownie sterowniki odpowiednie dla swojej karty graficznej ze strony AMD.

W systemie siedzi adware ładowane przez sterowniki. Do tego zmodyfikowane skróty przeglądarek. 1. Przez Panel sterowania odinstaluj stare wersje Adobe: Adobe Flash Player 10 ActiveX; Adobe Flash Player 18 NPAPI. 2. Skoryguj niepoprawny skrót IE: W pasku adresów eksploratora wklej ścieżkę C:\Users\BartekRos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet Explorer (No Add-ons) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i parametr -extoff 3. Pobierz załączony plik fixlist.txt umieść go obok narzędzia FRST. fixlist.txt Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 5. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W logu nadal siedzi mystartsearch jako strona domyślna Chrome, pomimo tego, że został usunięty... Uruchom FRST, w polu Szukaj wpisz *mystart*;*my start* i kliknij Szukaj plików. Po zakończonym szukaniu powstanie plik Search.txt. Zmień jego nazwę na Search1.txt i uruchom ponownie szukanie z tą samą frazą, lecz tym razem kliknij Szukaj w rejestrze. Przedstaw oba pliki - Search.txt i Search1.txt.

W logach nic więcej nie widać. Zrobimy tak: poczekamy do jutra. Daj znać czy w tym czasie coś się pojawi.

Wygląda na to, że skrypt wlanconnect nadal siedzi na swoim miejscu, ale nie widać, żeby coś go aktywywowało. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=sy&ts=1433878867&z=8d32fbb11f17dcae24980d5g0zdc1ccb0m8b2baq5w&from=ima&uid=TOSHIBAXMQ01ABD100_X39QT335TXXX39QT335T 2015-10-10 07:35 - 2015-10-10 07:35 - 04885572 _____ C:\Users\podpa\AppData\Roaming\wlanconnect.vbs Folder: C:\Users\podpa\AppData\LocalLow\Giant Army C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla C:\Users\[nazwa użytkownika]\AppData\Local\Mozilla C:\Users\[nazwa użytkownika]\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Zrób skan jeszcze raz, tym razem po zakończeniu kliknij Usuń. Czy było więcej takich przypadków, czy tylko ten jeden?

W logach czysto. Co do Edge i Aparatu, to wygląda na to, że trzeba przeinstalować aplikacje. 1. Otwórz Notatnik i wklej w nim: Folder: C:\Users\Karmelek\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe Folder: C:\Users\Karmelek\AppData\Local\Packages\Microsoft.WindowsCamera_8wekyb3d8bbwe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania.. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. W pasku adresów wklej poniższy adres i zatwierdź Enterem: C:\Users\Karmelek\AppData\Local\Packages Wytnij poniższe foldery i wklej je na Pulpit: Microsoft.MicrosoftEdge_8wekyb3d8bbwe Microsoft.WindowsCamera_8wekyb3d8bbwe 3. W Windowsowym szukaniu wpisz powershell i uruchom ten program jako Administrator. Wklej do niego poniższą komendę i zatwierdź Enterem: Get-AppxPackage -AllUsers | Foreach {Add-AppxPackage -Register "$($_.InstallLocation)\AppXManifest.xml" -DisableDevelopmentMode} Obserwuj okno i napisz jeżeli pojawią się w nim jakieś błędy. Po zakończonym działaniu zrestartuj system i spróbuj ponownie uruchomić Edge oraz Aparat.

W logach FRST nic nie widać. Uruchom AdwCleaner - opcja Skanuj: KLIK

Konto Administrator czyste. Wracamy do konta barbara. Wygląda na to, że program nie może przetworzyć jednego z wpisów adware. Wczoraj odbyła się aktualizacja, więc sprawdzimy, czy da rade z nią. Otwórz Notatnik i wklej w nim: StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.delta-homes.com/?type=sc&ts=1434477759&z=00555cfe18fff608f2bece0g8zecazez2m7mam7w5z&from=ient06162&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{fddc9140} /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Komunikaty najprawdopodobniej są spowodowane programem P2P Vuze - MBAM wykrywa dziwną aktywność i zaczyna krzyczeć. Co do strony w Firefoxie, jesteś pewien, że nie kliknąłeś w żadną reklamę? Wejdź w historię przeglądania i sprawdź czy znajdziesz tam adres tej strony.

Błędy dotyczą Catalyst Control Center, czyli programu do modyfikacji ustawień kart graficznych AMD. W poście #6 wyłączaliśmy go z autostartu, więc w sumie to dziwne, że komunikat się pojawia. Jeżeli korzystasz z programu - przeinstaluj go. Jeśli nie - możesz równie dobrze go odinstalować. Nie jest to sterownik.

Na to wygląda. Nie. Po prostu najwyraźniej nikt nie znalazł czasu na odpowiedź. Zastosuj Delfix oraz wyczyść foldery przywracania systemu: KLIK.

W takim razie go też posprzątamy. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-4144906793-159945770-2030462716-1000\...\Run: [AmoltoRecorder] => "C:\Program Files\Amolto Call Recorder for Skype\AmoltoRecorder.exe" /minimized 2015-09-24 20:53 - 2015-09-24 20:53 - 00000000 ____D C:\Users\Lenovo\AppData\Roaming\Amolto 2015-09-24 20:53 - 2015-09-24 20:53 - 00000000 ____D C:\Users\Lenovo\AppData\Local\AmoltoCallRecorder 2015-09-24 20:53 - 2015-09-24 20:53 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Amolto 2015-09-24 20:52 - 2015-10-03 21:04 - 00000000 ____D C:\Program Files\Amolto Call Recorder for Skype 2015-09-24 20:52 - 2015-09-24 20:52 - 00000000 ____D C:\ProgramData\Amolto Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Wracając do problemu wydłużonego startu: KLIK

Po aktualizacji systemu operacyjnego do Windows 10, część użytkowników zaczęła doświadczać wydłużonego czasu startu systemu, głównie z powodu niezoptymalizowanych ustawień. Rozwiązanie problemu UWAGA: Proszę nie stosować tej metody na dyskach SSD! 1. Instalujemy Windows Performance Toolkit z pakietu Software Development Kit, pamiętając o tym, aby: Zostawić domyślną lokalizację Nie zgadzając się na wysyłanie danych do Microsoft (Windows Kits Privacy) Z dostępnych opcji wybrać jedynie Windows Performance Toolkit Po zakończonej instalacji uruchamiamy ponownie system. Przed przystąpieniem do poniższych czynności należy pamiętać, że przez następnych około 30 minut nie będzie można korzystać z komputera. 2. W Windowsowym szukaniu wpisujemy cmd i z prawego kliku uruchamiamy jako Administrator Wiersz Polecenia. 3. W czarnym oknie wpisujemy następującą komendę (można skopiować i wkleić z prawego kliku): xbootmgr -trace boot -prepSystem -verboseReadyBoot Zatwierdzamy Enterem. Microsoft Windows [Version 10.0.10240] © 2015 Microsoft Corporation. Wszelkie prawa zastrzeżone. C:\WINDOWS\system32>xbootmgr -trace boot -prepSystem -verboseReadyBoot 4. Komputer zostanie zrestartowany 6 razy, za każdym razem z dwuminutową pauzą po załadowaniu Pulpitu. Nie klikamy Finish! Należy pamiętać o tym, że po każdym upływie wspomnianego czasu trzeba będzie zezwolić programowi na start. Po drugim restarcie program defragmentujący Microsoftu zoptymalizuje system, dzięki czemu Windows będzie ładować się szybciej. Kolejne restarty służą ćwiczeniom programu i należy je kontynuować. UWAGA: Po zakończeniu działań nie należy defragmentować dysku innymi programami niż ten od firmy Microsoft. Zmienią one układ plików, co zmodyfikuje efekty wykonanych tutaj czynności.

Zostawiamy router. Wygląda na to, że wszystko jest w porządku. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 sbmntr; C:\Program Files (x86)\YTDownloader\sbmntr.sys [58528 2015-08-26] (YTDownloader) R1 tcfd_vw_1_10_0_22; C:\Windows\System32\drivers\tcfd_vw_1_10_0_22.sys [57728 2015-08-14] (TermCoach) R1 wsafd_1_10_0_19; C:\Windows\System32\drivers\wsafd_1_10_0_19.sys [57728 2015-06-16] (Word Surfer) HKLM\...\Run: [gpuminer] => C:\Users\Karmelek\AppData\Roaming\cpuminer\sgminer\start.cmd [214 2015-08-21] () HKLM\...\Run: [WavesSvc] => "C:\Program Files\Realtek\Audio\HDA\WavesSvc64.exe" HKLM-x32\...\Run: [mbot_pl_014010079] => [X] HKLM-x32\...\Run: [gmsd_pl_005010079] => [X] HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-2560683777-2046369973-3445867491-1001\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot Startup: C:\Users\Karmelek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk [2015-09-03] Tcpip\..\Interfaces\{221ff4a2-7fec-47a2-970f-7587ac01acf6}: [DhcpNameServer] 172.121.1.171 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKU\S-1-5-21-2560683777-2046369973-3445867491-1001 -> DefaultScope {C608A031-6EDF-4034-BC05-4996C58003FC} URL = SearchScopes: HKU\S-1-5-21-2560683777-2046369973-3445867491-1001 -> {C608A031-6EDF-4034-BC05-4996C58003FC} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.oursurfing.com/?type=sc&ts=1441281428&z=f0ae4350a24fa703973c72bgfz3z6g5o3beg4z3o4c&from=amt&uid=WDCXWD5000LPVX-75V0TT0_WX21A458C0VXA458C0VX CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.istartsurf.com/?type=sc&ts=1441307362&z=fa836c7a0a09cad35089d72g9zdz4g5c5efmco9o9c&from=face&uid=WDCXWD5000LPVX-75V0TT0_WX21A458C0VXA458C0VX 2015-09-03 15:48 - 2015-09-03 15:50 - 00000000 ____D C:\Users\Karmelek\AppData\Local\BrowserHelper 2015-09-03 14:30 - 2015-10-02 21:58 - 00000000 ____D C:\Users\Karmelek\AppData\Roaming\istartsurf 2015-09-03 14:02 - 2015-09-03 14:02 - 00000000 ____D C:\Users\Karmelek\AppData\Local\Crossbrowse 2015-09-03 14:00 - 2015-09-04 16:03 - 00000000 ____D C:\Users\Karmelek\AppData\Local\4C4C4544-1441288801-4210-8035-B7C04F4A3532 2015-09-03 13:59 - 2015-09-04 21:44 - 00000000 ____D C:\Program Files (x86)\4C4C4544-1441281560-4210-8035-B7C04F4A3532 2015-09-03 13:59 - 2015-09-03 17:50 - 00000004 _____ C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 2015-09-03 13:59 - 2015-09-03 13:59 - 00000000 ____D C:\Program Files (x86)\predm 2015-09-03 13:59 - 2013-08-22 15:25 - 00000824 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak 2015-09-03 13:58 - 2015-09-26 14:49 - 00000000 ____D C:\Program Files (x86)\YTDownloader 2015-09-03 13:58 - 2015-09-03 13:58 - 00000000 ____D C:\Users\Public\Documents\ShopperPro 2015-09-03 13:58 - 2015-09-03 13:58 - 00000000 ____D C:\Users\Karmelek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader 2015-09-03 13:58 - 2015-09-03 13:58 - 00000000 ____D C:\ProgramData\ShopperPro 2015-09-03 13:57 - 2015-09-03 21:09 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat 2015-09-03 13:57 - 2015-09-03 18:13 - 00000000 ____D C:\Users\Karmelek\AppData\Roaming\oursurfing Task: {00BFF1EB-D351-421F-AA9A-A65834571467} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {1EFCA85C-B723-4E82-A036-C4561CBB46F5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {40E884B2-02BF-45EB-9A12-744E521F0B10} - \PCDEventLauncherTask -> Brak pliku Task: {433805FB-5537-4D45-ABCD-201C16E4C5CC} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe Task: {6DEED334-68D6-49A1-BA62-BFBB48958A28} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {86848F51-A176-4620-83C2-ADB5335244F4} - \PCDoctorBackgroundMonitorTask -> Brak pliku Task: {93957812-679D-4255-BD07-1600169187CD} - \SystemToolsDailyTest -> Brak pliku Task: {9D40E346-8661-4A98-A9C8-697C368D639D} - System32\Tasks\Crossbrowse => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe Task: {B22435C6-C727-4E4B-9462-B96703622FAC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {BF50EF5C-6618-455C-8C74-06E36ED05EEF} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Core => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe Task: {D57F84A5-3ACB-4886-812A-7788B36DE45D} - System32\Tasks\Inst_Rep => C:\Users\Karmelek\AppData\Local\Installer\Install_21093\DCytdieamodc_amodc_setup.exe Task: {D7F04FC3-6AA8-41F7-8C88-7A6487DB8683} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: C:\WINDOWS\Tasks\Crossbrowse.job => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\WordSurfer_1.10.0.19 C:\ProgramData\Mozilla C:\Users\Karmelek\AppData\Local\Mozilla C:\Users\Karmelek\AppData\Roaming\cpuminer C:\Users\Karmelek\AppData\Roaming\Mozilla C:\Users\Karmelek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk C:\Windows\System32\drivers\tcfd_vw_1_10_0_22.sys C:\Windows\System32\drivers\wsafd_1_10_0_19.sys C:\WINDOWS\System32\Tasks\McAfee Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} /f CMD: for /d %f in (C:\ProgramData\*WdsManPro*) do rd /s /q "%f" CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj globalupdate Helper. 3. Zrób nowy log FRST z opcji Skanuj (Scan), włączając log Addition.txt. Dołącz też plik fixlog.txt.

Inaczej. Czy poza komunikatami od MBAM i Javy coś jeszcze się dzieje? Nie. Co do błędu Javy, to wygląda na to, że inni też mają ten problem. Zgłoszenie z wczoraj: KLIK. Wyłączymy aktualizator Javy ze startu. Co do MBAM, to prawdopodobnie po prostu jest zbyt czuły i wyrzuca takie komunikaty. Na wszelki wypadek sprawdzimy jeszcze konto Administratora, bo było ostatnio modyfikowane. 1. Wejdź w Start > Uruchom... > wpisz msconfig i kliknij Enter. W oknie wejdź w zakładkę Uruchamianie i odptaszkuj pozycję jusched, po czym kliknij OK i zrestartuj komputer. 2. Przez tryb awaryjny zaloguj się na konto Administrator i zrób z niego logi FRST (FRST.txt i Addition.txt).

Wygląda na to, że problem rozwiązany. Temat zamykam.

Do wdrożenia drobne poprawki. Trzeba też sprawdzić konto Administrator, ponieważ było ostatnio modyfikowane. 1. Otwórz Notatnik i wklej w nim: StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.delta-homes.com/?type=sc&ts=1434477759&z=00555cfe18fff608f2bece0g8zecazez2m7mam7w5z&from=ient06162&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX CHR StartupUrls: Default -> "hxxps://www.google.pl/","hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420986849&from=ild&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX","hxxp://www.google.com/","hxxp://www.delta-homes.com/?type=hp&ts=1434477759&z=00555cfe18fff608f2bece0g8zecazez2m7mam7w5z&from=ient06162&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX","hxxps://www.google.com/?trackid=sp-006" HKU\S-1-5-21-556579389-2633179073-3079579657-1008\Software\Microsoft\Internet Explorer\Main,Start Page = Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SectionDouble /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Z poziomu trybu awaryjnego zaloguj się na konto Administrator i zrób nowe logi FRST (FRST.txt i Addition.txt). Dołącz też plik fixlog.txt z konta barbara (z punktu 1.). Czy problemy nadal występują?

Poniżej skrypt sprzątający Nitro PDF. Apropo wydłużonego startu, jutro postaram się przygotować odpowiednie instrukcje. Może zdołamy coś poradzić. Otwórz Notatnik i wklej w nim: FF Plugin: @nitropdf.com/NitroPDF -> C:\Program Files\Nitro\Pro 9\npnitromozilla.dll [2014-08-01] (Nitro PDF) R2 NitroDriverReadSpool9; C:\Program Files\Nitro\Pro 9\NitroPDFDriverService9.exe [197128 2014-08-01] (Nitro PDF Software) R2 NitroUpdateService; C:\Program Files\Nitro\Pro 9\Nitro_UpdateService.exe [392712 2014-08-01] () 2015-10-04 18:04 - 2015-02-10 19:19 - 00000000 ____D C:\Users\Lenovo\AppData\Roaming\Nitro PDF C:\Program Files\Nitro Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.