Nevan

Zdarza się przy usuwaniu.

 

W logach dodatkowo widać infekcję routera:

Tcpip\..\Interfaces\{26A410A1-AD0D-4CFF-A114-64F22EB330F6}: [NameServer] 82.163.143.169,82.163.142.171

Powyższe IP jest Izraelskie: KLIK

 

Przechodzimy do czyszczenia.

 

1. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Pobierz załączony plik fixlist.txt i umieść go obok narzędzia FRST.

 

fixlist.txt

 

 

Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox:

• Odłącz synchronizację (o ile włączona): KLIK
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania

4. Przeinstaluj zmodyfikowane przez adware Google Chrome:

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

5. Zrób nowy log FRST z opcji Skanuj (Scan), włączając log Addition.txt. Dołącz też plik fixlog.txt.

W systemie widać czynne adware, ładujące się poprzez Zaplanowane zadania oraz usługi.

 

Na ten moment:

 

1. Przez Panel sterowania odinstaluj:

• Stare wersje programów i zbędniki: Adobe Reader XI (11.0.12) - Polish; HP Customer Participation Program 13.0; Java 7 Update 13; Java 7 Update 51 (64-bit); Java™ 6 Update 11
• Adware/PUP: SegmentAssister; SystemBuild

2. Zrób nowe logi FRST z opcji Skanuj (Scan), włączając plik Addition.txt oraz Shortcut.txt.

Spróbujemy z innego poziomu. Wejdź w Tryb awaryjny i z jego poziomu wykonaj poniższą instrukcję.

 

Otwórz Notatnik i wklej w nim:

 

C:\Users\podpa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk
C:\Users\podpa\AppData\Roaming\wlanconnect.vbs
2015-10-10 19:33 - 2015-10-10 19:33 - 00017408 ____N (whatch) C:\Users\podpa\AppData\Roaming\whatch.exe

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

Wejdź spowrotem do normalnego trybu i sprawdź czy plik znów wrócił.

Uruchom ponownie Powershell i wklej do niego poniższą komendę, po czym zatwierdź Enterem:

 

Get-AppxLog -ActivityID bab476b5-01f4-0001-1bf3-b4baf401d101

 

Wynik przedstaw ponownie jak poprzednio - zrzutem ekranu.

Faktycznie, problem wrócił.

 

1. Otwórz Notatnik i wklej w nim:

 

Startup: C:\Users\podpa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk [2015-10-10]
ShortcutTarget: wlanconnect.lnk -> C:\Users\podpa\AppData\Roaming\wlanconnect.vbs ()
CMD: WHERE /r "C:\Users\podpa\AppData\Roaming" *wlan* /t

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

2. Uruchom Google Chrome i wejdź w Ustawienia > karta Ustawienia > sekcja Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres mystartsearch.com.

Uparte ustrojstwo...

 

Pokaż nowe logi FRST (FRST.txt i Addition.txt).

Sprawdź czy znajdziesz deinstalator od CCC w folderze C:\Program Files\ATI Technologies\ATI.ACE\Core-Static.

 

Jeżeli nie, przeinstalujemy w takim razie sterowniki AMD:

 

Uruchom deinstalator od AMD: KLIK. Pamiętaj aby po skończonym działaniu zrestartować system. Następnie pobierz i zainstaluj ponownie sterowniki odpowiednie dla swojej karty graficznej ze strony AMD.

W systemie siedzi adware ładowane przez sterowniki. Do tego zmodyfikowane skróty przeglądarek.

 

1. Przez Panel sterowania odinstaluj stare wersje Adobe: Adobe Flash Player 10 ActiveX; Adobe Flash Player 18 NPAPI.

 

2. Skoryguj niepoprawny skrót IE:

W pasku adresów eksploratora wklej ścieżkę C:\Users\BartekRos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet Explorer (No Add-ons) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i parametr -extoff

 

3. Pobierz załączony plik fixlist.txt umieść go obok narzędzia FRST.

 

fixlist.txt

 

Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wyczyść Firefox:

• Odłącz synchronizację (o ile włączona): KLIK
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania

5. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W logu nadal siedzi mystartsearch jako strona domyślna Chrome, pomimo tego, że został usunięty...

 

Uruchom FRST, w polu Szukaj wpisz *mystart*;*my start* i kliknij Szukaj plików. Po zakończonym szukaniu powstanie plik Search.txt. Zmień jego nazwę na Search1.txt i uruchom ponownie szukanie z tą samą frazą, lecz tym razem kliknij Szukaj w rejestrze.

Przedstaw oba pliki - Search.txt i Search1.txt.

W logach nic więcej nie widać. Zrobimy tak: poczekamy do jutra. Daj znać czy w tym czasie coś się pojawi.

Wygląda na to, że skrypt wlanconnect nadal siedzi na swoim miejscu, ale nie widać, żeby coś go aktywywowało.

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=sy&ts=1433878867&z=8d32fbb11f17dcae24980d5g0zdc1ccb0m8b2baq5w&from=ima&uid=TOSHIBAXMQ01ABD100_X39QT335TXXX39QT335T
2015-10-10 07:35 - 2015-10-10 07:35 - 04885572 _____ C:\Users\podpa\AppData\Roaming\wlanconnect.vbs
Folder: C:\Users\podpa\AppData\LocalLow\Giant Army
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\Mozilla
C:\Users\[nazwa użytkownika]\AppData\Local\Mozilla
C:\Users\[nazwa użytkownika]\AppData\Roaming\Mozilla
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
EmptyTemp:

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Zrób skan jeszcze raz, tym razem po zakończeniu kliknij Usuń.

 

Czy było więcej takich przypadków, czy tylko ten jeden?

W logach czysto.

 

Co do Edge i Aparatu, to wygląda na to, że trzeba przeinstalować aplikacje.

 

1. Otwórz Notatnik i wklej w nim:

 

Folder: C:\Users\Karmelek\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
Folder: C:\Users\Karmelek\AppData\Local\Packages\Microsoft.WindowsCamera_8wekyb3d8bbwe

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania.. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

2. W pasku adresów wklej poniższy adres i zatwierdź Enterem:

C:\Users\Karmelek\AppData\Local\Packages

 

Wytnij poniższe foldery i wklej je na Pulpit:

• Microsoft.MicrosoftEdge_8wekyb3d8bbwe
• Microsoft.WindowsCamera_8wekyb3d8bbwe

3. W Windowsowym szukaniu wpisz powershell i uruchom ten program jako Administrator. Wklej do niego poniższą komendę i zatwierdź Enterem:

 

Get-AppxPackage -AllUsers | Foreach {Add-AppxPackage -Register "$($_.InstallLocation)\AppXManifest.xml" -DisableDevelopmentMode}

 

Obserwuj okno i napisz jeżeli pojawią się w nim jakieś błędy. Po zakończonym działaniu zrestartuj system i spróbuj ponownie uruchomić Edge oraz Aparat.

W logach FRST nic nie widać.

 

Uruchom AdwCleaner - opcja Skanuj: KLIK

Konto Administrator czyste. Wracamy do konta barbara. Wygląda na to, że program nie może przetworzyć jednego z wpisów adware. Wczoraj odbyła się aktualizacja, więc sprawdzimy, czy da rade z nią.

 

Otwórz Notatnik i wklej w nim:

 

StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.delta-homes.com/?type=sc&ts=1434477759&z=00555cfe18fff608f2bece0g8zecazez2m7mam7w5z&from=ient06162&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{fddc9140} /f

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Komunikaty najprawdopodobniej są spowodowane programem P2P Vuze - MBAM wykrywa dziwną aktywność i zaczyna krzyczeć.

 

Co do strony w Firefoxie, jesteś pewien, że nie kliknąłeś w żadną reklamę?

Wejdź w historię przeglądania i sprawdź czy znajdziesz tam adres tej strony.

Błędy dotyczą Catalyst Control Center, czyli programu do modyfikacji ustawień kart graficznych AMD. W poście #6 wyłączaliśmy go z autostartu, więc w sumie to dziwne, że komunikat się pojawia.

 

Jeżeli korzystasz z programu - przeinstaluj go. Jeśli nie - możesz równie dobrze go odinstalować. Nie jest to sterownik.

Czyli rozumiem, że jest czysto?

 

Na to wygląda.

 

Czy to znaczy, że z dyskiem jest w porządku?

 

Nie. Po prostu najwyraźniej nikt nie znalazł czasu na odpowiedź.

 

Zastosuj Delfix oraz wyczyść foldery przywracania systemu: KLIK.

W takim razie go też posprzątamy.

 

Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-4144906793-159945770-2030462716-1000\...\Run: [AmoltoRecorder] => "C:\Program Files\Amolto Call Recorder for Skype\AmoltoRecorder.exe" /minimized
2015-09-24 20:53 - 2015-09-24 20:53 - 00000000 ____D C:\Users\Lenovo\AppData\Roaming\Amolto
2015-09-24 20:53 - 2015-09-24 20:53 - 00000000 ____D C:\Users\Lenovo\AppData\Local\AmoltoCallRecorder
2015-09-24 20:53 - 2015-09-24 20:53 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Amolto
2015-09-24 20:52 - 2015-10-03 21:04 - 00000000 ____D C:\Program Files\Amolto Call Recorder for Skype
2015-09-24 20:52 - 2015-09-24 20:52 - 00000000 ____D C:\ProgramData\Amolto

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

---

Wracając do problemu wydłużonego startu: KLIK

Po aktualizacji systemu operacyjnego do Windows 10, część użytkowników zaczęła doświadczać wydłużonego czasu startu systemu, głównie z powodu niezoptymalizowanych ustawień.

Rozwiązanie problemu
 

 

1. Instalujemy Windows Performance Toolkit z pakietu Software Development Kit, pamiętając o tym, aby:

 

• Zostawić domyślną lokalizację
• Nie zgadzając się na wysyłanie danych do Microsoft (Windows Kits Privacy)
• Z dostępnych opcji wybrać jedynie Windows Performance Toolkit

Po zakończonej instalacji uruchamiamy ponownie system.
 

2. W Windowsowym szukaniu wpisujemy cmd i z prawego kliku uruchamiamy jako Administrator Wiersz Polecenia.

3. W czarnym oknie wpisujemy następującą komendę (można skopiować i wkleić z prawego kliku):
xbootmgr -trace boot -prepSystem -verboseReadyBoot

Zatwierdzamy Enterem.

 

 

 

4. Komputer zostanie zrestartowany 6 razy, za każdym razem z dwuminutową pauzą po załadowaniu Pulpitu. Nie klikamy Finish!
Należy pamiętać o tym, że po każdym upływie wspomnianego czasu trzeba będzie zezwolić programowi na start.
Po drugim restarcie program defragmentujący Microsoftu zoptymalizuje system, dzięki czemu Windows będzie ładować się szybciej.
Kolejne restarty służą ćwiczeniom programu i należy je kontynuować.

 

 

 

 

 

 

Zostawiamy router. Wygląda na to, że wszystko jest w porządku.

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 sbmntr; C:\Program Files (x86)\YTDownloader\sbmntr.sys [58528 2015-08-26] (YTDownloader)
R1 tcfd_vw_1_10_0_22; C:\Windows\System32\drivers\tcfd_vw_1_10_0_22.sys [57728 2015-08-14] (TermCoach)
R1 wsafd_1_10_0_19; C:\Windows\System32\drivers\wsafd_1_10_0_19.sys [57728 2015-06-16] (Word Surfer)
HKLM\...\Run: [gpuminer] => C:\Users\Karmelek\AppData\Roaming\cpuminer\sgminer\start.cmd [214 2015-08-21] ()
HKLM\...\Run: [WavesSvc] => "C:\Program Files\Realtek\Audio\HDA\WavesSvc64.exe"
HKLM-x32\...\Run: [mbot_pl_014010079] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010079] => [X]
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKU\S-1-5-21-2560683777-2046369973-3445867491-1001\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot
Startup: C:\Users\Karmelek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk [2015-09-03]
Tcpip\..\Interfaces\{221ff4a2-7fec-47a2-970f-7587ac01acf6}: [DhcpNameServer] 172.121.1.171
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKU\S-1-5-21-2560683777-2046369973-3445867491-1001 -> DefaultScope {C608A031-6EDF-4034-BC05-4996C58003FC} URL =
SearchScopes: HKU\S-1-5-21-2560683777-2046369973-3445867491-1001 -> {C608A031-6EDF-4034-BC05-4996C58003FC} URL =
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.oursurfing.com/?type=sc&ts=1441281428&z=f0ae4350a24fa703973c72bgfz3z6g5o3beg4z3o4c&from=amt&uid=WDCXWD5000LPVX-75V0TT0_WX21A458C0VXA458C0VX
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx 
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.istartsurf.com/?type=sc&ts=1441307362&z=fa836c7a0a09cad35089d72g9zdz4g5c5efmco9o9c&from=face&uid=WDCXWD5000LPVX-75V0TT0_WX21A458C0VXA458C0VX
2015-09-03 15:48 - 2015-09-03 15:50 - 00000000 ____D C:\Users\Karmelek\AppData\Local\BrowserHelper
2015-09-03 14:30 - 2015-10-02 21:58 - 00000000 ____D C:\Users\Karmelek\AppData\Roaming\istartsurf
2015-09-03 14:02 - 2015-09-03 14:02 - 00000000 ____D C:\Users\Karmelek\AppData\Local\Crossbrowse
2015-09-03 14:00 - 2015-09-04 16:03 - 00000000 ____D C:\Users\Karmelek\AppData\Local\4C4C4544-1441288801-4210-8035-B7C04F4A3532
2015-09-03 13:59 - 2015-09-04 21:44 - 00000000 ____D C:\Program Files (x86)\4C4C4544-1441281560-4210-8035-B7C04F4A3532
2015-09-03 13:59 - 2015-09-03 17:50 - 00000004 _____ C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
2015-09-03 13:59 - 2015-09-03 13:59 - 00000000 ____D C:\Program Files (x86)\predm
2015-09-03 13:59 - 2013-08-22 15:25 - 00000824 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
2015-09-03 13:58 - 2015-09-26 14:49 - 00000000 ____D C:\Program Files (x86)\YTDownloader
2015-09-03 13:58 - 2015-09-03 13:58 - 00000000 ____D C:\Users\Public\Documents\ShopperPro
2015-09-03 13:58 - 2015-09-03 13:58 - 00000000 ____D C:\Users\Karmelek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader
2015-09-03 13:58 - 2015-09-03 13:58 - 00000000 ____D C:\ProgramData\ShopperPro
2015-09-03 13:57 - 2015-09-03 21:09 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-09-03 13:57 - 2015-09-03 18:13 - 00000000 ____D C:\Users\Karmelek\AppData\Roaming\oursurfing
Task: {00BFF1EB-D351-421F-AA9A-A65834571467} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {1EFCA85C-B723-4E82-A036-C4561CBB46F5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {40E884B2-02BF-45EB-9A12-744E521F0B10} - \PCDEventLauncherTask -> Brak pliku 
Task: {433805FB-5537-4D45-ABCD-201C16E4C5CC} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe
Task: {6DEED334-68D6-49A1-BA62-BFBB48958A28} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {86848F51-A176-4620-83C2-ADB5335244F4} - \PCDoctorBackgroundMonitorTask -> Brak pliku 
Task: {93957812-679D-4255-BD07-1600169187CD} - \SystemToolsDailyTest -> Brak pliku 
Task: {9D40E346-8661-4A98-A9C8-697C368D639D} - System32\Tasks\Crossbrowse => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe 
Task: {B22435C6-C727-4E4B-9462-B96703622FAC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {BF50EF5C-6618-455C-8C74-06E36ED05EEF} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Core => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe
Task: {D57F84A5-3ACB-4886-812A-7788B36DE45D} - System32\Tasks\Inst_Rep => C:\Users\Karmelek\AppData\Local\Installer\Install_21093\DCytdieamodc_amodc_setup.exe
Task: {D7F04FC3-6AA8-41F7-8C88-7A6487DB8683} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: C:\WINDOWS\Tasks\Crossbrowse.job => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden 
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\WordSurfer_1.10.0.19
C:\ProgramData\Mozilla
C:\Users\Karmelek\AppData\Local\Mozilla
C:\Users\Karmelek\AppData\Roaming\cpuminer
C:\Users\Karmelek\AppData\Roaming\Mozilla
C:\Users\Karmelek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk
C:\Windows\System32\drivers\tcfd_vw_1_10_0_22.sys
C:\Windows\System32\drivers\wsafd_1_10_0_19.sys
C:\WINDOWS\System32\Tasks\McAfee
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} /f
CMD: for /d %f in (C:\ProgramData\*WdsManPro*) do rd /s /q "%f"
CMD: ipconfig /flushdns
EmptyTemp:

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj globalupdate Helper.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), włączając log Addition.txt. Dołącz też plik fixlog.txt.

Jeśli odnosisz to do mojego linka z poprzedniego posta

Inaczej. Czy poza komunikatami od MBAM i Javy coś jeszcze się dzieje?

 

chodziło mi o ten klucz z komputerswiat, a tak w ogóle to nic się niestanie jak go usunę?

Nie.

 

Co do błędu Javy, to wygląda na to, że inni też mają ten problem. Zgłoszenie z wczoraj: KLIK.

Wyłączymy aktualizator Javy ze startu.

 

Co do MBAM, to prawdopodobnie po prostu jest zbyt czuły i wyrzuca takie komunikaty. Na wszelki wypadek sprawdzimy jeszcze konto Administratora, bo było ostatnio modyfikowane.

 

1. Wejdź w Start > Uruchom... > wpisz msconfig i kliknij Enter. W oknie wejdź w zakładkę Uruchamianie i odptaszkuj pozycję jusched, po czym kliknij OK i zrestartuj komputer.

 

2. Przez tryb awaryjny zaloguj się na konto Administrator i zrób z niego logi FRST (FRST.txt i Addition.txt).

Wygląda na to, że problem rozwiązany.

 

Temat zamykam.

Do wdrożenia drobne poprawki. Trzeba też sprawdzić konto Administrator, ponieważ było ostatnio modyfikowane.

 

1. Otwórz Notatnik i wklej w nim:

 

StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.delta-homes.com/?type=sc&ts=1434477759&z=00555cfe18fff608f2bece0g8zecazez2m7mam7w5z&from=ient06162&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX
CHR StartupUrls: Default -> "hxxps://www.google.pl/","hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420986849&from=ild&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX","hxxp://www.google.com/","hxxp://www.delta-homes.com/?type=hp&ts=1434477759&z=00555cfe18fff608f2bece0g8zecazez2m7mam7w5z&from=ient06162&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX","hxxps://www.google.com/?trackid=sp-006"
HKU\S-1-5-21-556579389-2633179073-3079579657-1008\Software\Microsoft\Internet Explorer\Main,Start Page =
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SectionDouble /f

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Z poziomu trybu awaryjnego zaloguj się na konto Administrator i zrób nowe logi FRST (FRST.txt i Addition.txt). Dołącz też plik fixlog.txt z konta barbara (z punktu 1.).

 

Czy problemy nadal występują?

Poniżej skrypt sprzątający Nitro PDF.

 

Apropo wydłużonego startu, jutro postaram się przygotować odpowiednie instrukcje. Może zdołamy coś poradzić.

 

Otwórz Notatnik i wklej w nim:

 

FF Plugin: @nitropdf.com/NitroPDF -> C:\Program Files\Nitro\Pro 9\npnitromozilla.dll [2014-08-01] (Nitro PDF)
R2 NitroDriverReadSpool9; C:\Program Files\Nitro\Pro 9\NitroPDFDriverService9.exe [197128 2014-08-01] (Nitro PDF Software)
R2 NitroUpdateService; C:\Program Files\Nitro\Pro 9\Nitro_UpdateService.exe [392712 2014-08-01] ()
2015-10-04 18:04 - 2015-02-10 19:19 - 00000000 ____D C:\Users\Lenovo\AppData\Roaming\Nitro PDF
C:\Program Files\Nitro

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.