picasso

Pytałam o przeglądarkę Edge, a nie Internet Explorer, chyba że zmyliła Cię ikona. I Fix FRST nie został wykonany poprawnie, zatrzymał się w połowie. Poprawka: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" S3 4F966B02736503C9; C:\WINDOWS\TEMP\160C40E.sys [165104 2015-12-16] () S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-16] () S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [82072 2015-09-23] (McAfee, Inc.) Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files\DrWeb RemoveDirectory: C:\Program Files\Common Files\Doctor Web RemoveDirectory: C:\Program Files\Common Files\McAfee RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\Doctor Web RemoveDirectory: C:\ProgramData\gWMiniProg RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\Users\Marcin\AppData\Roaming\TSv RemoveDirectory: C:\Users\Marcin\Doctor Web RemoveDirectory: C:\Windows\System32\Tasks\Doctor Web RemoveDirectory: C:\Windows\System32\Tasks\McAfee C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Windows\system32\Drivers\dw_wfp.sys.delete-later-189796 C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\System32\drivers\mfeelamk.sys C:\Windows\SysWOW64\data.bin C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart i powstać kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Uruchom AdwCleaner ponownie, tym razem wybierz po kolei opcje Skanuj i Usuń. Przedstaw log wynikowy z usuwania.

Ostatnia poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\gWMiniProg RemoveDirectory: C:\Users\tomicher\AppData\Roaming\OpenCandy RemoveDirectory: C:\Users\tomicher\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\tomicher\Desktop\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe CMD: del /q C:\Windows\SysWOW64\findit.xml Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Mówiłam wyraźnie, by tylko uruchomić Skanuj i dostarczyć wyniki, nic jeszcze nie usuwać. Pośpieszyłeś się. I kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku te elementy: C:\Users\MAX\Desktop\Stare dane programu Firefox C:\Windows\system32\pl.html 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Wszystko zrobione. 1. Przełącz się na swoje konto Marcin, zainstaluj Google Chrome (o ile nadal z niego chcesz korzystasz) i zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition. A jeśli Google Chrome ignorujesz, to krok zbędny i kończymy: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Proszę raporty umieścić jako załączniki forum.

Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj stare werje i zbędnik: Adobe AIR, Badanie mające na celu poprawę produktów HP Deskjet 2540 series, Java 8 Update 45. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} HKU\S-1-5-21-305616459-1921965142-1483707717-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B HKU\S-1-5-21-305616459-1921965142-1483707717-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} SearchScopes: HKLM -> {89C89667-0D1F-4550-93BE-E0933A3BF058} URL = hxxp://www.bing.com/search?q={searchTerms}&form=TSHMDF&pc=MATM&src=IE-SearchBox SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} SearchScopes: HKLM-x32 -> {545586A8-C5C1-48F8-91A4-5C73A645BBBD} URL = hxxp://www.bing.com/search?q={searchTerms}&form=TSHMDF&pc=MATM&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-305616459-1921965142-1483707717-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} SearchScopes: HKU\S-1-5-21-305616459-1921965142-1483707717-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} SearchScopes: HKU\S-1-5-21-305616459-1921965142-1483707717-1001 -> {545586A8-C5C1-48F8-91A4-5C73A645BBBD} URL = SearchScopes: HKU\S-1-5-21-305616459-1921965142-1483707717-1001 -> {89C89667-0D1F-4550-93BE-E0933A3BF058} URL = BHO-x32: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files (x86)\Norton 360\Engine\21.7.0.11\IPS\IPSBHO.DLL => Brak pliku FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\juy03p7e.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\juy03p7e.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\juy03p7e.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\juy03p7e.default\extensions\yahooprotected@gmail.com HKLM\...\Run: [] => [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-305616459-1921965142-1483707717-1000\...\Run: [] => [X] HKU\S-1-5-21-305616459-1921965142-1483707717-1000\...\RunOnce: [sysOff] => C:\Windows\SysWOW64\SYSPREP\ClosespV.exe HKU\S-1-5-21-305616459-1921965142-1483707717-1001\...\MountPoints2: {426a0e75-8601-11e5-884f-1c75087ab056} - E:\Startme.exe Task: {4EC95CF8-E4D6-48CA-BD30-7CB4C8C0AF66} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) R2 HPSLPSVC; C:\Users\Admin\AppData\Local\Temp\7zS59C6\hpslpsvc64.dll [1039360 2013-07-19] (Hewlett-Packard Co.) [brak podpisu cyfrowego] FirewallRules: [{8582E9FA-300A-4267-A93A-82632A5D6853}] => (Allow) C:\Users\Admin\AppData\Local\Temp\7zS59C6\hppiw.exe FirewallRules: [{BAC43470-0FFB-40DB-9ED8-5AD28FF1B060}] => (Allow) C:\Users\Admin\AppData\Local\Temp\7zS59C6\hppiw.exe Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\ProgramData\JWMiniProJ RemoveDirectory: C:\Users\Admin\AppData\Local\Lenovo RemoveDirectory: C:\Windows\System32\Tasks\Lenovo C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Toshiba\Rejestracja gwarancji firmy Toshiba.lnk C:\Users\Admin\Documents\pliki\żeczy z pólpitó\Pliki instalacyjne Norton.lnk C:\Users\Admin\Documents\żeczy z pólpitó\Pliki instalacyjne Norton.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. To tyle.

Nie, w skrypcie FRST jest tylko podmiana jednego pliku i nie ma tu żadnego ryzyka.

Czy odzyskałeś folder "GG" zgodnie z instrukcjami? A podany log AdwCleaner jest z kolejnej opcji Szukaj a nie Usuń - dostarcz plik z usuwania, w opisie na forum było wyraźnie podane jakie oznaczenie w nazwie mają logi z usuwania. Co do problemu z "posypaniem filmów" to pewnie jest to kwestia tego, że wycięłam wszystkie wtyczki MozillaPlugins (od nieistniejącego tu Firefoxa), z kluczy MozillaPlugins korzysta też staruszka Opera 12.x. To są wtyczki typu NPAPI, dla których wsparcie jest wycofywane ze względów bezpieczeństwa i za niedługo już żadna nowoczesna przeglądarka nie będzie ich obsługiwać, więcej na ten temat w przyklejonym: KLIK. Nie powiedziałeś o jaki typ filmów chodzi, ale albo byłby do przeinstalowania Adobe Flash Player 20 NPAPI, albo Microsoft Silverlight. Z tym, że ja sugeruję nie bawić się już w starą Operę i pozbyć się Adobe Flash Player 20 NPAPI całkowicie. I jak powiedziane w przyklejonym, nowoczesne przeglądarki nawet nie potrzebują już Adobe Flash do obsługi niektórych stron (np. Youtube). Widziałam ją w raporcie i miałam nawet zalecać deinstalację. Ta stara Opera nie jest w ogóle rozwijana i jest więcej problemów na różnych stronach, np. niezdatna na forach na silniku IPB4 - w ogóle nie ładuje się edytor forum. Brak przeglądarki alternatywnej, która chodzi na autorskim silniku Presto obecnym w Operze 12.x. Fani starej Opery kręcą się wokół nowej przeglądarki Vivaldi, ale to jest przeglądarka na silniku Chromium/Blink, tak jak najnowsza linia Opery, a poza tym faza testowa i są różne bugi. I posiadasz system 64-bit, żadna z zainstalowanych tu Oper nie jest 64-bitowa, a są dostępne natywnie 64-bitowe przeglądarki: co dopiero opublikowano stabilną edycję Firefox 64-bit, są też klony np. WaterFox.

Niestety bez zmian. Zmiana metody: 1. Przygotuj w Notatniku fixlist.txt o następującej treści: CMD: copy /q C:\Windows\System32\pl-PL\aelupsvc.dll.mui C:\Windows\winsxs\x86_microsoft-windows-a..structure.resources_31bf3856ad364e35_6.0.6000.16386_pl-pl_f539d28b07e02b53\aelupsvc.dll.mui Plik ten musi być w tym samym katalogu z którego będzie uruchamiany FRST w punkcie 2. 2. Uruchom FRST z poziomu środowiska zewnętrznego: KLIK. Klik w Napraw (Fix), plik fixlog.txt powstanie tam skąd był uruchamiany FRST. 3. Zaloguj się z powrotem do Windows i podaj fixlog.txt.

To nie jest problem infekcji. Skan MBAM owszem wykrył odpadki adware i inne, ale to nie ma związku z objawami. Temat przenoszę do działu Hardware. Dostarcz dane wymagane działem: KLIK. I jedna z ostatnich akcji to aktualizacja sterowników nVidia: 2015-12-18 16:21 - 2015-12-18 18:48 - 00000000 ____D C:\ProgramData\NVIDIA 2015-12-18 16:21 - 2015-11-14 07:12 - 00102520 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvStreaming.exe 2015-12-18 16:15 - 2015-11-14 07:20 - 06358648 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvcpl.dll 2015-12-18 16:15 - 2015-11-14 07:20 - 02983216 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvsvc64.dll 2015-12-18 16:15 - 2015-11-14 07:20 - 02554488 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvsvcr.dll 2015-12-18 16:15 - 2015-11-14 07:20 - 00938616 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvvsvc.exe 2015-12-18 16:15 - 2015-11-14 07:20 - 00523384 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nv3dappshext.dll 2015-12-18 16:15 - 2015-11-14 07:20 - 00385144 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvmctray.dll 2015-12-18 16:15 - 2015-11-14 07:20 - 00114296 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\oemdspif.dll 2015-12-18 16:15 - 2015-11-14 07:20 - 00074872 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nv3dappshextr.dll 2015-12-18 16:15 - 2015-11-14 07:20 - 00062584 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvshext.dll 2015-12-18 16:15 - 2015-10-28 08:39 - 06027430 _____ C:\WINDOWS\system32\nvcoproc.bin 2015-12-18 16:14 - 2015-11-17 07:27 - 11228816 _____ (NVIDIA Corporation) C:\WINDOWS\system32\Drivers\nvlddmkm.sys 2015-12-18 16:14 - 2015-11-16 04:54 - 42913912 _____ C:\WINDOWS\system32\nvcompiler.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 37881976 _____ C:\WINDOWS\SysWOW64\nvcompiler.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 22345848 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvoglv64.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 18487360 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvwgf2umx.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 18390832 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvoglv32.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 16561320 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvopencl.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 15933400 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvwgf2um.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 15839200 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvd3dumx.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 14844112 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvcuda.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 13533608 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvopencl.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 12870192 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvd3dum.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 12040952 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvcuda.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 03540544 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvapi64.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 03126800 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvapi.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 02876536 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvcuvid.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 02496632 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvcuvid.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 01905456 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvdispco6435900.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 01564792 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvdispgenco6435900.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 01016544 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvEncMFTH264.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00877688 _____ (NVIDIA Corporation) C:\WINDOWS\system32\NvFBC64.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00861816 _____ (NVIDIA Corporation) C:\WINDOWS\system32\NvIFR64.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00823232 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvEncMFTH264.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00689784 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\NvFBC.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00674096 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\NvIFR.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00501056 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvEncodeAPI64.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00422752 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvEncodeAPI.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00413816 _____ (NVIDIA Corporation) C:\WINDOWS\system32\NvIFROpenGL.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00369456 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\NvIFROpenGL.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00177600 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvinitx.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00155792 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvinit.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00034494 _____ C:\WINDOWS\system32\nvinfo.pb 2015-12-18 13:10 - 2015-12-18 13:11 - 303122384 _____ (NVIDIA Corporation) C:\Users\Paulina\Downloads\359.00-notebook-win10-64bit-international-whql.exe PS. Gdy się uporacie z problemem głównym, potem do wykonania drobny skrypt kosmetyczny na wpisy odpadkowe. To nie ma żadnego związku z problemem i nie pomoże w jego rozwiązaniu.

Brakuje trzeciego obowiązkowego raportu FRST Shortcut. Problem tworzy zadanie FusesFountainsV2 w Harmonogramie, i w raporcie jest potwierdzone, że adware definitywnie nabyłeś przy "pomocy" portalu dobreprogramy.pl i "Asystent pobierania". Na dysku widać nie budzącą wątpliwości sekwencję czasową plik Asystenta > powstanie obiektów adware. Na temat pobierania z tego portalu: KLIK. 2015-12-15 21:39 - 2015-12-15 21:42 - 00000000 ____D C:\Users\LCK\AppData\Local\FusesFountains 2015-12-15 21:39 - 2015-12-15 21:39 - 00003432 _____ C:\Windows\System32\Tasks\FusesFountainsV2 2015-12-15 21:38 - 2015-12-15 21:38 - 00962128 _____ (Installer Soft Program ) C:\Users\LCK\Downloads\HD-Tune-12177-dp.exe Operacje do przeprowadzenia: 1. Odinstaluj crack aktywacji KMSpico v9.1.3. Wygląda na uszkodzony jakimiś działaniami. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {868A63A1-8CB5-4753-99B6-C7392120AF86} - System32\Tasks\FusesFountainsV2 => Rundll32.exe CoalitionerRamblers.dll,main 7 1 Task: {BEB6F7EE-E84C-42EC-998C-5EC29BC1ED64} - System32\Tasks\{A8057B96-2E90-4475-A24C-5880E8148EAE} => pcalua.exe -a C:\Users\LCK\Downloads\FIFA00\3DSetup\3DSetup.exe -d C:\Users\LCK\Downloads\FIFA00\3DSetup Task: {C56EFF53-5D88-40C9-85DD-DDCF10498360} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe HKU\S-1-5-21-3300732354-3664789897-2884040049-1001\...\Run: [ASRockXTU] => [X] HKU\S-1-5-21-3300732354-3664789897-2884040049-1001\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-21-3300732354-3664789897-2884040049-1001\...\MountPoints2: {747a59c9-7adf-11e5-8255-d0509963832c} - "I:\setup.exe" ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => No File ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => No File ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => No File GroupPolicyScripts: Restriction S3 AxtuDrv; \??\C:\Windows\SysWOW64\Drivers\AxtuDrv.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\LCK\AppData\Local\FusesFountains RemoveDirectory: C:\Users\LCK\AppData\Local\Google C:\Users\LCK\Downloads\*-dp*.exe C:\Users\LCK\AppData\Local\*.* C:\Windows\SysWOW64\*.tmp CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), pola Addition i Shortcut zaznaczone, czyli 3 logi dostarcz. Dołącz też plik fixlog.txt.

Nic się nie stanie, zatwierdź komunikat. To plik wyekstraktowany przez GMER i zbędny już po jego skanie, z Twojego raportu FRST: 2015-12-08 15:45 - 2015-12-08 15:45 - 00104960 _____ (GMER) C:\pxddypow.sys 2015-12-08 04:29 - 2015-12-08 04:29 - 00380416 _____ C:\Users\Lucynka\Downloads\xz0ufrpx.exe 2015-12-08 03:14 - 2015-12-18 14:41 - 00000000 ____D C:\FRST

Ale to nie jest rozwiązanie problemu tylko jego ukrycie. To jest ustawianie serwerów DNS Windows, te pobierane z routera są nadal zainfekowane. Polecili Ci to, gdyż ustawienie serwerów spod Windows bierze precedens nad serwerami routera, co nie zmienia faktu że infekcja w routerze nadal jest. Nie musiałeś kropkować danych, one są powszechnie znane. Z raportu wynika, że ustawiłeś serwer Orange spod Windows (NameServer), reszta pobierana z routera (DhcpNameServer) to nadal adresy infekcji. Tcpip\Parameters: [DhcpNameServer] 31.3.252.70 31.3.252.76 Tcpip\..\Interfaces\{15210E97-0B8D-4637-8A6F-1DAD74EEBA5B}: [NameServer] 194.204.152.34 Tcpip\..\Interfaces\{15210E97-0B8D-4637-8A6F-1DAD74EEBA5B}: [DhcpNameServer] 31.3.252.70 31.3.252.76 I prosiłam o: PS. Ad napisałeś = jestem kobietą.

Z pośpiechu zlinkowałam zły adres. W międzyczasie już zedytowałam mój post i powyżej jest już poprawny link.

Nadal jedna kopia pliku zła. Kolejne podejście. Do Notatnika wklej: Unlock: C:\Windows\winsxs\x86_microsoft-windows-a..structure.resources_31bf3856ad364e35_6.0.6000.16386_pl-pl_f539d28b07e02b53\aelupsvc.dll.mui Replace: E:\FRST\aelupsvc.dll.mui C:\Windows\winsxs\x86_microsoft-windows-a..structure.resources_31bf3856ad364e35_6.0.6000.16386_pl-pl_f539d28b07e02b53\aelupsvc.dll.mui Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

1. Uruchom AdwCleaner ponownie, tym razem po kolei wybierz opcje Skanuj i Usuń. Gdy program ukończy czyszczenie: 2. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\MATS z dysku. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

SFC niby mówi, że naprawił, a zaraz po tym że nie może naprawić. Poproszę o kolejny odczyt. Uruchom FRST, w polu Szukaj wklej: aelupsvc.dll.mui Klik w Szukaj plików i dostarcz wynikowy log.

Brakuje nowego głównego raportu FRST.txt.

vs. Co to konkretnie znaczy "nie działa"? To samo co przed leczeniem, czy jakieś inne objawy teraz? Czy na pewno Recovery było wcześniej pod F8? Czy w ogóle działało wcześniej? Czy zmieniałeś kiedyś układ partycji jakimś narzędziem (to odcina dostęp do Recovery)? ==================== Dyski ================================ Drive c: (WINDOWS) (Fixed) (Total:149.04 GB) (Free:38.39 GB) NTFS Drive d: (Data) (Fixed) (Total:148.65 GB) (Free:51.69 GB) NTFS Drive e: (GRMCPRXFRER_PL_DVD) (CDROM) (Total:2.91 GB) (Free:0 GB) UDF Drive f: () (Removable) (Total:3.72 GB) (Free:3.14 GB) FAT32 Drive g: () (Removable) (Total:14.54 GB) (Free:14.36 GB) FAT32 ==================== MBR & Tablica partycji ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298.1 GB) (Disk ID: 64ABF50A) Partition 1: (Active) - (Size=400 MB) - (Type=27) Partition 2: (Not Active) - (Size=149 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=148.7 GB) - (Type=07 NTFS) ======================================================== Disk: 1 (Size: 3.7 GB) (Disk ID: 002EEFDA) Partition 1: (Active) - (Size=3.7 GB) - (Type=0C) ======================================================== Disk: 2 (Size: 14.6 GB) (Disk ID: 001644FB) Partition 1: (Active) - (Size=14.6 GB) - (Type=0C) ==================== Koniec Addition.txt ============================ Poproszę jeszcze o log z ListParts. Te trojany szyfrują tylko specyficzne rozszerzenia plików, nie spowoduje to braku działania czegoś, ale jakiś ubytki w obrazkach czy dokumentacji owszem. Przy czym jak mówię, tu w ogóle nie wiadomo co się działo z Recovery i czy cokolwiek jest naruszone.

Wszystko zrobione. Problem usunięty. Na wszelki wypadek jeszcze: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. I jeszcze Internet Explorer do aktualizacji, nawet jeśli nie jest używany wcale.

Drobne poprawki: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1757981266-562591055-1801674531-1003\...\Run: [] => C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Default_Page_URL" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ComboFix RemoveDirectory: C:\Documents and Settings\user\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\WINDOWS\erdnt RemoveDirectory: C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Programs\Google CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Jedna kopia zamieniona pomyślnie, ale druga już nie. Ponów to działanie: