picasso

Temat przenoszę do działu Windows, pod zmienionym bardziej dopasowanym do problemu tytułem. Brak oznak czynnej infekcji. Nie, nie ma "trojana COM Surrogate". Samo hasło "COM Surrogate" jest zaś nazwą systemowego procesu dllhost.exe: Użytkownicy "połączyli" tę nazwę z infekcją ze względu na efekty jakie infekcja produkowała (rozmnożenie instancji procesu dllhost.exe). U Ciebie na pewno nie ma tej infekcji. Skąd tu w ogóle pomysł, że taka infekcja miałaby być? Skoro wspominasz nazwę "COM Surrogate", to czy to oznacza, że widzisz jakiś błąd z dllhost.exe? Z raportów nic nie wynika, a objawy może produkować mnóstwo czynników (od software aż po hardware). Rozwiń o co chodzi z "czasem nawet się nie włącza", opisz jak to dokładnie wygląda, na jakim ekranie zatrzymuje się uruchamianie. W zależności od tego jak ten defekt wygląda może się okazać, że problem jest np. sprzętowy. Na razie nie za wiele jestem w stanie zrobić. Sugestie: 1. Odinstaluj zbędne zintegrowane programy ASUS AsusVibe2.0, WebStorage, co zredukuje ilość uruchamianych procesów. WebStorage zresztą znany z generowana błędów w eksploratorze Windows. 2. Wyłącz crack Office i aktualizatory ASUS w Harmonogramie zadań. Uruchom Autoruns i w karcie Scheduled Tasks odznacz te pozycje: Task: {4167E53F-2364-436F-B7E5-E68052344202} - System32\Tasks\IORRT => C:\IORRT\IORRT.bat [2014-11-11] () Task: {43AD02B5-464D-4394-A4F4-5F28253F431A} - System32\Tasks\Hybrid => C:\IORRT\IORRT.bat [2014-11-11] () Task: {CD950988-52E6-44EF-9B53-2914411E6768} - System32\Tasks\ASUS Live Update2 => C:\Program Files (x86) [2015-07-13] () Task: {E7E663E0-6CE0-40DA-8DB1-2C91B5BC1369} - System32\Tasks\ASUS Live Update1 => C:\Program Files (x86) [2015-07-13] () Po tym zresetuj system. PS. W spoilerze doczyszczanie mikro szczątków adware i wpisów pustych. To nie ma związku ze zgłaszanymi problemami i nie wpłynie na poprawę stanu systemu.

Fix FRST jest jednorazowego użytku i nie wolno go powtarzać, nie przetworzy ponownie po raz drugi tego samego. Zadany został uruchomiony dwa razy i to co tu widzę to już drugie bezużyteczne podejście, log na dodatek urwany zaraz na początku. Poproszę o log z poprzedniego podejścia. Wejdź do katalogu C:\FRST\Logs, ułóż logi wg nazwy, wyszukaj pliki o modelu nazwy Fixlog_data_czas. Otwórz w Notatniku pliki i szukaj tego który ma w nagłówku: Ran by Krzysztof (2015-10-30 19:44:44) Run:3 Ten plik jest tym o który mi chodzi.

W raportach nie widać żadnych jawnych oznak infekcji, z wyjątkiem tego że w GMER jest jakiś "podejrzany moduł" załadowany do explorer.exe, tylko nawet nie widać w jakiej ścieżce (bug z obcięciem ścieżki). Z tym że ten odczyt nie musi być związany z żadną infekcją. Są tu zainstalowane trzy przeglądarki wtórne: Google Chrome, Firefox, Opera. Domyślną jest Firefox. W której przeglądarce występują przekierowania, a może we wszystkich?

Kolejna porcja usuwania. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\_CrossriderRegNamePlaceHolder_ DeleteKey: HKCU\Software\Crossrider DeleteKey: HKCU\Software\DAILYPCCLEAN DeleteKey: HKCU\Software\GlobalUpdate DeleteKey: HKCU\Software\GoHD DeleteKey: HKCU\Software\InstalledBrowserExtensions DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\OB DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Reg\Clean DeleteKey: HKCU\Software\Tencent DeleteKey: HKCU\Software\Tutorials DeleteKey: HKCU\Software\TutoTag DeleteKey: HKCU\Software\Yahoo\Companion DeleteKey: HKCU\Software\Yahoo\YFriendsBar DeleteKey: HKLM\SOFTWARE\76b8b9df-7995-40ea-95a1-f80de3274052 DeleteKey: HKLM\SOFTWARE\c66e83ef-420b-4913-9bf6-d3e0763c09b8 DeleteKey: HKLM\SOFTWARE\ebf2cd08-ec58-499d-be2a-c13dcc616e42 DeleteKey: HKLM\SOFTWARE\Classes\AppID\{3278F5CF-48F3-4253-A6BB-004CE84AF492} DeleteKey: HKLM\SOFTWARE\Classes\AppID\{577975B8-C40E-43E6-B0DE-4C6B44088B52} DeleteKey: HKLM\SOFTWARE\Classes\AppID\{51BEE30D-EEC8-4BA3-930B-298B8E759EB1} DeleteKey: HKLM\SOFTWARE\Classes\AppID\DownloadProxy.EXE DeleteKey: HKLM\SOFTWARE\Classes\AppID\globalupdate.exe DeleteKey: HKLM\SOFTWARE\Classes\Applications\QMDeskTopGC.exe DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{29B6CFD5-0064-411A-8C42-9890C83F9921} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{3278F5CF-48F3-4253-A6BB-004CE84AF492} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{3B5702BA-7F4C-4D1A-B026-1E9A01D43978} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{4C097DF1-0716-4FA1-84A9-025BC1E7B03F} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{5645E0E7-FC12-43BF-A6E4-F9751942B298} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{577975B8-C40E-43E6-B0DE-4C6B44088B52} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{5E89ACE9-E16B-499A-87B4-0DBF742404C1} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{69F256DF-BA98-45E9-86EA-FC3CFECF9D30} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{6E87FC94-9866-49B9-8E93-5736D6DE3DD7} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{6EDBF8C0-C94C-4A13-956F-E393BCA5BA4B} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{70DE12EA-79F4-46BC-9812-86DB50A2FD64} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{7E49F793-B3CD-4BF7-8419-B34B8BD30E61} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{834469E3-CA2B-4F21-A5CA-4F6F4DBCDE87} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{8529FAA3-5BFD-43C1-AB35-B53C4B96C6E5} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{88260EA6-BC91-42DF-ABEF-4A683E8A3C23} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{ADBC39BE-3D20-4333-8D99-E91EB1B62474} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{CFC47BB5-5FB5-4AD0-8427-6AA04334A3FC} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{D4801E96-E7A1-45F6-B124-7A36DFB40B81} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E06CA7F5-BA34-4FF6-8D24-B1BDC594D91F} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E0ADB535-D7B5-4D8B-B15D-578BDD20D76A} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{F6421EE5-A5BE-4D31-81D5-C16B7BF48E4C} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{FD8E81D0-F5FE-4CB1-9AEA-1E163D2BAB78} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{023E9EC8-B147-40EB-B0B3-DF90618FB371} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{0522D9A4-4D57-437D-978D-E5B3B6C9005D} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{07F41522-AF7D-4F26-B394-094F059FDB8A} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{0C40F472-7407-4467-8914-1DEA7C326972} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{212E6D43-6062-492A-B8CC-144669FF11ED} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{224FE662-1E6D-4BC0-AEBB-9E2FB4057BE9} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{3A807417-B46D-4D37-8C9A-19AC6DE204F9} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{3CC60715-D6C5-429D-830E-43FA3F86C61D} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4517D94C-19BA-46FA-BE66-2A30CEAC4A85} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{555D7146-94A8-4C94-AE76-C39CDC7F7705} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{59D188FA-757A-424E-8C93-F58FFD896BD7} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{8120D9D6-785C-4413-9C0C-DF2028C56FAD} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{823AE2EB-E62C-4847-B192-C99B91B92416} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{9B4F7CFE-987D-410E-A8E4-20182E0B3C24} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{9B9A45F4-18FC-484A-BACA-076D78273D8E} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{A6D54287-7939-466A-8579-92546D946C8C} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{A78EDAFB-926F-4D93-AB13-8232D7378EB1} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{A8F7D0A5-7074-40B8-9BDC-1174BDD0A132} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{D14D64BC-A0E4-42E3-BB72-FB41EA43C198} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{DD1F043F-ABC8-4643-8B95-D2C5B22BB019} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{E3F3E8F9-F747-4DD6-BA6B-82A6CE1E0860} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{E7270EC6-0113-4A78-B610-E501D0A9E48E} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{ED0B64D4-BF27-4521-AD27-190F49BF5EA7} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{8519F1E4-E25B-42B1-B361-0C643F45CF11} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Classes\.qbox DeleteKey: HKLM\SOFTWARE\Classes\globalUpdate.OneClickCtrl.10 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdate.OneClickProcessLauncherMachine DeleteKey: HKLM\SOFTWARE\Classes\globalUpdate.OneClickProcessLauncherMachine.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdate.Update3WebControl.4 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoCreateAsync DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoCreateAsync.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoreClass DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoreClass.1 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoreMachineClass DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoreMachineClass.1 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CredentialDialogMachine DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.CredentialDialogMachine.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassMachine DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassMachine.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassMachineFallback DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassMachineFallback.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassSvc DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassSvc.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.ProcessLauncher DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.ProcessLauncher.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3COMClassService DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3COMClassService.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebMachine DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebMachine.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebMachineFallback DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebMachineFallback.1.0 DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebSvc DeleteKey: HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebSvc.1.0 DeleteKey: HKLM\SOFTWARE\Classes\METNSD DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Classes\qmbfile DeleteKey: HKLM\SOFTWARE\Classes\qmgcfiles DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox DeleteKey: HKLM\SOFTWARE\Classes\YBrowserToolbar.YBrowserToolbar.1 DeleteKey: HKLM\SOFTWARE\Classes\YBrowserToolbar.YBrowserToolbar DeleteKey: HKLM\SOFTWARE\Microsoft\Esent\Process\crossbrowse DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{16EE6530-8649-4F42-A9E4-F6A3295AF975} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5645E0E7-FC12-43BF-A6E4-F9751942B298} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5E89ACE9-E16B-499A-87B4-0DBF742404C1} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5645E0E7-FC12-43BF-A6E4-F9751942B298} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{5645E0E7-FC12-43BF-A6E4-F9751942B298} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} DeleteKey: HKLM\SOFTWARE\_CrossriderRegNamePlaceHolder_ DeleteKey: HKLM\SOFTWARE\downchecker DeleteKey: HKLM\SOFTWARE\Crossrider DeleteKey: HKLM\SOFTWARE\FFPluginHp DeleteKey: HKLM\SOFTWARE\GlobalUpdate DeleteKey: HKLM\SOFTWARE\GoHD DeleteKey: HKLM\SOFTWARE\Google\Chrome\NativeMessagingHosts\com.qq.qmchext DeleteKey: HKLM\SOFTWARE\InstalledBrowserExtensions DeleteKey: HKLM\SOFTWARE\ihpmserver DeleteKey: HKLM\SOFTWARE\RayDld DeleteKey: HKLM\SOFTWARE\Reg\Clean DeleteKey: HKLM\SOFTWARE\SavePass 1.1 DeleteKey: HKLM\SOFTWARE\sweet-pageSoftware DeleteKey: HKLM\SOFTWARE\Tencent DeleteKey: HKLM\SOFTWARE\Tutorials DeleteKey: HKLM\SOFTWARE\Yahoo\Companion DeleteKey: HKLM\SOFTWARE\WdsManPro DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SavePass 1.1 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\GoHD DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GLOBALUPDATE.EXE DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QMIEPROTECT DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QQPCRTP DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOACCELERATOR DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSFLTMGR DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_QQPCRTP DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAOACCELERATOR DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSFLTMGR DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_QQPCRTP DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_TAOACCELERATOR DeleteKey: HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_TSFLTMGR DeleteKey: HKLM\SYSTEM\WifiSafeCfg DeleteKey: HKU\S-1-5-18\Software\Tencent DeleteKey: HKU\S-1-5-18\Software\Yahoo\Companion RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\All Users\Documents\ShopperPro RemoveDirectory: C:\Documents and Settings\Administrator\Application Data\Mozilla RemoveDirectory: C:\Documents and Settings\Gość\Application Data\Mozilla RemoveDirectory: C:\Documents and Settings\Krzysztof\Application Data\Mozilla\Firefox\Profiles\12h1ceb6.default-1404211074967 RemoveDirectory: C:\FRST\Quarantine Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls" /v Tab /f Reg: reg delete HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache /v "C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\\QMDeskTopGC.exe" /f Reg: reg delete HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache /v "C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\Uninst.exe" /f CMD: del /q "C:\Documents and Settings\Krzysztof\Desktop\Mozilla Firefox.lnk" CMD: del /q C:\WINDOWS\system32\roboot.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie kolejny fixlog.txt. Przedstaw go.

DelFix wykonał co należy, usuń z dysku plik C:\delfix.txt. To tyle z zakresu czyszczenia systemu. Skoro już wykonywałeś tę optymalizację i nie miała ona skutków, to nie ma po co jej powtarzać. Dłuższy przestój w fazie logo Windows sugeruje długie ładowanie któregoś ze sterowników. Obecnie w Twoim systemie widać tylko sterowniki sprzętowe oraz doinstalowanych wtórnie aplikacji Avast i MBAM. Pytaniem jest czy pomiędzy deinstalacją ESET a instalacją Avast była jakaś poprawa? To są uzupełniające antywirusa programy, nie są aż takie "niezbędne". Rola Unchecky jest zresztą dość ograniczona do prewencji przed tymi działaniami: KLIK.

Nie odpowiedziałaś na pytanie: 1. Jeśli chodzi o instrukcje, to nie wszystko zostało zrobione. W punkcie 1 ominięta deinstalacja starej wersji Java. Nie ma też oznak wykonania resetu Firefox zadanego w punkcie 3 i nadal widać w Firefox adware. Oba zadania do wykonania. 2. Następnie uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Prawie wszystko zrobione, z wyjątkiem trzech kluczy, których FRST nie umiał zaadresować. Teraz poprawki, w tym usuwanie folderów po różnych odinstalowanych aplikacjach. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Application Data\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Application Data\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Application Data\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Application Data\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) FF Plugin: @oberon-media.com/ONCAdapter -> C:\Program Files\Common Files\Oberon Media\NCAdapter\1.0.0.8\npapicomadapter.dll [2011-05-24] (Oberon-Media ) FF Plugin HKU\S-1-5-21-1960408961-682003330-839522115-1004: @Skype Limited.com/Facebook Video Calling Plugin -> C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Facebook\Video\Skype\npFacebookVideoCalling.dll [No File] DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_55-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0055-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_55-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_55-windows-i586.cab Reg: reg add HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe\shell\open\command /ve /t REG_SZ /d "\"C:\Program Files\Google\Chrome\Application\chrome.exe"" /f Reg: reg delete "HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D40F6104-6988-47C0-93F2-A66D5DA120A2} /s CMD: regsvr32 /u /s "C:\Documents and Settings\All Users\Application Data\GG\ggdrive\ggdrive-overlay.dll" C:\Documents and Settings\All Users\Application Data\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\All Users\Application Data\Ament.ini C:\Documents and Settings\All Users\Application Data\Microsoft.SqlServer.Compact.351.32.bc C:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521} C:\Documents and Settings\All Users\Application Data\aliasworlds C:\Documents and Settings\All Users\Application Data\Ashampoo C:\Documents and Settings\All Users\Application Data\Autodesk C:\Documents and Settings\All Users\Application Data\AVAST Software C:\Documents and Settings\All Users\Application Data\Big Fish C:\Documents and Settings\All Users\Application Data\Big Fish Games C:\Documents and Settings\All Users\Application Data\BigFishCache C:\Documents and Settings\All Users\Application Data\BigFishGamesCache C:\Documents and Settings\All Users\Application Data\casualArts C:\Documents and Settings\All Users\Application Data\Corel C:\Documents and Settings\All Users\Application Data\CorelDRAW Graphics Suite X5 C:\Documents and Settings\All Users\Application Data\CorelDRAW Graphics Suite X6 C:\Documents and Settings\All Users\Application Data\DailyMagic C:\Documents and Settings\All Users\Application Data\Devart C:\Documents and Settings\All Users\Application Data\DWdsManProD C:\Documents and Settings\All Users\Application Data\Elephant Games C:\Documents and Settings\All Users\Application Data\FarmFrenzy3 C:\Documents and Settings\All Users\Application Data\FarmFrenzy_Vikings C:\Documents and Settings\All Users\Application Data\firebird C:\Documents and Settings\All Users\Application Data\FreeHideIP C:\Documents and Settings\All Users\Application Data\Fugazo C:\Documents and Settings\All Users\Application Data\Gadu-Gadu 10 C:\Documents and Settings\All Users\Application Data\GG C:\Documents and Settings\All Users\Application Data\GoBit Games C:\Documents and Settings\All Users\Application Data\Gogii C:\Documents and Settings\All Users\Application Data\Komputerowa Gratka C:\Documents and Settings\All Users\Application Data\Malwarebytes C:\Documents and Settings\All Users\Application Data\Maximize Games C:\Documents and Settings\All Users\Application Data\McAfee C:\Documents and Settings\All Users\Application Data\MediaArt C:\Documents and Settings\All Users\Application Data\MumboJumbo C:\Documents and Settings\All Users\Application Data\NCH Software C:\Documents and Settings\All Users\Application Data\Norton C:\Documents and Settings\All Users\Application Data\NortonInstaller C:\Documents and Settings\All Users\Application Data\OpenFM C:\Documents and Settings\All Users\Application Data\Oberon Media C:\Documents and Settings\All Users\Application Data\Odian C:\Documents and Settings\All Users\Application Data\Orchid Games C:\Documents and Settings\All Users\Application Data\PITy C:\Documents and Settings\All Users\Application Data\PlayFirst C:\Documents and Settings\All Users\Application Data\PlayPond C:\Documents and Settings\All Users\Application Data\Playrix Entertainment C:\Documents and Settings\All Users\Application Data\regid.1986-12.com.adobe C:\Documents and Settings\All Users\Application Data\rionix C:\Documents and Settings\All Users\Application Data\ScreenVCR C:\Documents and Settings\All Users\Application Data\ShopperPro C:\Documents and Settings\All Users\Application Data\Skype Extras C:\Documents and Settings\All Users\Application Data\SpecialBit C:\Documents and Settings\All Users\Application Data\SulusGames C:\Documents and Settings\All Users\Application Data\Sun C:\Documents and Settings\All Users\Application Data\Tencent C:\Documents and Settings\All Users\Application Data\TaxMachine C:\Documents and Settings\All Users\Application Data\Top Evidence C:\Documents and Settings\Krzysztof\Application Data\Adobe GIF Format CS5 Prefs C:\Documents and Settings\Krzysztof\Application Data\Adobe PNG Format CS5 Prefs C:\Documents and Settings\Krzysztof\Application Data\Sys2662.Config.Repository.bin C:\Documents and Settings\Krzysztof\Application Data\.mono C:\Documents and Settings\Krzysztof\Application Data\11732 C:\Documents and Settings\Krzysztof\Application Data\2monkeys C:\Documents and Settings\Krzysztof\Application Data\A2 Entertainment C:\Documents and Settings\Krzysztof\Application Data\Alawar Entertainment C:\Documents and Settings\Krzysztof\Application Data\AlawarEntertainment C:\Documents and Settings\Krzysztof\Application Data\aliasworlds C:\Documents and Settings\Krzysztof\Application Data\ArcSoft C:\Documents and Settings\Krzysztof\Application Data\Artifex Mundi C:\Documents and Settings\Krzysztof\Application Data\Artogon C:\Documents and Settings\Krzysztof\Application Data\Ashampoo C:\Documents and Settings\Krzysztof\Application Data\Autodesk C:\Documents and Settings\Krzysztof\Application Data\Awem C:\Documents and Settings\Krzysztof\Application Data\BlamGames C:\Documents and Settings\Krzysztof\Application Data\BlueLabsSoftware C:\Documents and Settings\Krzysztof\Application Data\CallingID C:\Documents and Settings\Krzysztof\Application Data\casualArts C:\Documents and Settings\Krzysztof\Application Data\com.adobe.downloadassistant.AdobeDownloadAssistant C:\Documents and Settings\Krzysztof\Application Data\Corel C:\Documents and Settings\Krzysztof\Application Data\DailyMagic C:\Documents and Settings\Krzysztof\Application Data\Dark Blue Games C:\Documents and Settings\Krzysztof\Application Data\DarkManor C:\Documents and Settings\Krzysztof\Application Data\Desktop Apps C:\Documents and Settings\Krzysztof\Application Data\Devart C:\Documents and Settings\Krzysztof\Application Data\DominiGames C:\Documents and Settings\Krzysztof\Application Data\DonationCoder C:\Documents and Settings\Krzysztof\Application Data\e-Deklaracje C:\Documents and Settings\Krzysztof\Application Data\e-Deklaracje.A1909296681C7ACEFE45687D3A64758C8659BF46.1 C:\Documents and Settings\Krzysztof\Application Data\Eipix C:\Documents and Settings\Krzysztof\Application Data\Elephant Games C:\Documents and Settings\Krzysztof\Application Data\Enlightenus2SE_BFG C:\Documents and Settings\Krzysztof\Application Data\EntwinedSoD C:\Documents and Settings\Krzysztof\Application Data\ERS Game Studios C:\Documents and Settings\Krzysztof\Application Data\FabrykaGier C:\Documents and Settings\Krzysztof\Application Data\FabrykaGierNew C:\Documents and Settings\Krzysztof\Application Data\FarmerJane C:\Documents and Settings\Krzysztof\Application Data\FlowerOfImmortality C:\Documents and Settings\Krzysztof\Application Data\FlyWheelGames C:\Documents and Settings\Krzysztof\Application Data\FreeHideIP C:\Documents and Settings\Krzysztof\Application Data\Freeze Tag C:\Documents and Settings\Krzysztof\Application Data\Friday's games C:\Documents and Settings\Krzysztof\Application Data\Funswitch C:\Documents and Settings\Krzysztof\Application Data\Fuzzy Bug Interactive C:\Documents and Settings\Krzysztof\Application Data\GameInvest C:\Documents and Settings\Krzysztof\Application Data\GameMill Entertainment C:\Documents and Settings\Krzysztof\Application Data\GHISLER C:\Documents and Settings\Krzysztof\Application Data\Ghost Ship Studios C:\Documents and Settings\Krzysztof\Application Data\GlarySoft C:\Documents and Settings\Krzysztof\Application Data\gtk-2.0 C:\Documents and Settings\Krzysztof\Application Data\Happy Chef C:\Documents and Settings\Krzysztof\Application Data\HdO Adventure C:\Documents and Settings\Krzysztof\Application Data\Hidden Objects Romance C:\Documents and Settings\Krzysztof\Application Data\HitPoint Studios C:\Documents and Settings\Krzysztof\Application Data\Kestrel C:\Documents and Settings\Krzysztof\Application Data\Lazy Turtle Games C:\Documents and Settings\Krzysztof\Application Data\Leadertech C:\Documents and Settings\Krzysztof\Application Data\Legacy Games C:\Documents and Settings\Krzysztof\Application Data\LegacyInteractive C:\Documents and Settings\Krzysztof\Application Data\LittleGamesCompany C:\Documents and Settings\Krzysztof\Application Data\Loop Terminarz C:\Documents and Settings\Krzysztof\Application Data\MagicIndie C:\Documents and Settings\Krzysztof\Application Data\Malwarebytes C:\Documents and Settings\Krzysztof\Application Data\Mariaglorum C:\Documents and Settings\Krzysztof\Application Data\Maximize Games C:\Documents and Settings\Krzysztof\Application Data\MediaArt C:\Documents and Settings\Krzysztof\Application Data\ModelViews C:\Documents and Settings\Krzysztof\Application Data\Monkey Barrel Games C:\Documents and Settings\Krzysztof\Application Data\MumboJumbo C:\Documents and Settings\Krzysztof\Application Data\MySQL-Front C:\Documents and Settings\Krzysztof\Application Data\MysteriousCaseOfJekyllAndHyde C:\Documents and Settings\Krzysztof\Application Data\Namco C:\Documents and Settings\Krzysztof\Application Data\NCH Software C:\Documents and Settings\Krzysztof\Application Data\New Version Available C:\Documents and Settings\Krzysztof\Application Data\npm C:\Documents and Settings\Krzysztof\Application Data\npm-cache C:\Documents and Settings\Krzysztof\Application Data\Oberon Media C:\Documents and Settings\Krzysztof\Application Data\Odian Games C:\Documents and Settings\Krzysztof\Application Data\OpenCube Inc C:\Documents and Settings\Krzysztof\Application Data\OpenFM C:\Documents and Settings\Krzysztof\Application Data\Opera C:\Documents and Settings\Krzysztof\Application Data\Opera Software C:\Documents and Settings\Krzysztof\Application Data\Oracle C:\Documents and Settings\Krzysztof\Application Data\Orneon C:\Documents and Settings\Krzysztof\Application Data\Phantasmat_bf_se1 C:\Documents and Settings\Krzysztof\Application Data\PlataGames C:\Documents and Settings\Krzysztof\Application Data\PlayFavoriteGames C:\Documents and Settings\Krzysztof\Application Data\PlayFirst C:\Documents and Settings\Krzysztof\Application Data\PlayPond C:\Documents and Settings\Krzysztof\Application Data\Playrix Entertainment C:\Documents and Settings\Krzysztof\Application Data\PSpad C:\Documents and Settings\Krzysztof\Application Data\PuzzleLab C:\Documents and Settings\Krzysztof\Application Data\Realore C:\Documents and Settings\Krzysztof\Application Data\RealWorld C:\Documents and Settings\Krzysztof\Application Data\ShamanGS C:\Documents and Settings\Krzysztof\Application Data\Silverback Productions C:\Documents and Settings\Krzysztof\Application Data\SmartDraw C:\Documents and Settings\Krzysztof\Application Data\SMIGames C:\Documents and Settings\Krzysztof\Application Data\Specialbit C:\Documents and Settings\Krzysztof\Application Data\Star-Tools C:\Documents and Settings\Krzysztof\Application Data\Subversion C:\Documents and Settings\Krzysztof\Application Data\SulusGames C:\Documents and Settings\Krzysztof\Application Data\Sun C:\Documents and Settings\Krzysztof\Application Data\SunRay Games C:\Documents and Settings\Krzysztof\Application Data\SunwardGames C:\Documents and Settings\Krzysztof\Application Data\sweet-page C:\Documents and Settings\Krzysztof\Application Data\tabagames C:\Documents and Settings\Krzysztof\Application Data\Talkback C:\Documents and Settings\Krzysztof\Application Data\TeamViewer C:\Documents and Settings\Krzysztof\Application Data\Tencent C:\Documents and Settings\Krzysztof\Application Data\Teyon C:\Documents and Settings\Krzysztof\Application Data\TikisLab C:\Documents and Settings\Krzysztof\Application Data\Top Evidence C:\Documents and Settings\Krzysztof\Application Data\TortoiseSVN C:\Documents and Settings\Krzysztof\Application Data\Unity C:\Documents and Settings\Krzysztof\Application Data\Vast Studios C:\Documents and Settings\Krzysztof\Application Data\Vogat Interactive C:\Documents and Settings\Krzysztof\Application Data\WinRAR C:\Documents and Settings\Krzysztof\Application Data\World-LooM C:\Documents and Settings\Krzysztof\Local Settings\Application Data\DonationCoder_ScreenshotCaptor_InstallInfo.dat C:\Documents and Settings\Krzysztof\Local Settings\Application Data\{32A3A4F2-B792-11D6-A78A-00B0D0150120} C:\Documents and Settings\Krzysztof\Local Settings\Application Data\5C8CAC0A-1443301797-5799-9460-C2325843CB2C C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Amazon C:\Documents and Settings\Krzysztof\Local Settings\Application Data\ArcSoft C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Autodesk C:\Documents and Settings\Krzysztof\Local Settings\Application Data\avgchrome C:\Documents and Settings\Krzysztof\Local Settings\Application Data\cache C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Color-Brush C:\Documents and Settings\Krzysztof\Local Settings\Application Data\CrashRpt C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Farmington Tales C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Game Mill Files C:\Documents and Settings\Krzysztof\Local Settings\Application Data\gmsd_pl_005010096 C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Google\Chrome\User Data\Default C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Installer C:\Documents and Settings\Krzysztof\Local Settings\Application Data\KaDonk C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Kookos C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Namco C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Oberon Games C:\Documents and Settings\Krzysztof\Local Settings\Application Data\OpenCube Inc C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Opera C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Opera Software C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Qurb4 C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Sun C:\Documents and Settings\Krzysztof\Local Settings\Application Data\TechSmith C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Temp C:\Documents and Settings\Krzysztof\Local Settings\Application Data\TortoiseSVN C:\Documents and Settings\Krzysztof\Local Settings\Application Data\TSVNCache C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Unity C:\Documents and Settings\Krzysztof\Local Settings\Application Data\webkit C:\Documents and Settings\Krzysztof\Local Settings\Application Data\WMTools Downloaded Files C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Xenocode C:\extensions C:\Program Files\20717d47-27d3-4fd5-849d-70bab7fdb68a C:\Program Files\aeafcc87-810f-4dcb-a286-bd94d8f90ac3 C:\Program Files\Atlassian C:\Program Files\Autodesk C:\Program Files\c620fa05-8fd3-422d-8b48-6fb2e023fb34 C:\Program Files\c6fdae68-5b2b-49d1-904d-708dc40b305a C:\Program Files\CasualGameBox C:\Program Files\de2a3e96-eab7-4ac0-815d-d28e00b7f723 C:\Program Files\f9138745-f797-4a7e-98f2-acd48c761d2f C:\Program Files\Feed Notifier C:\Program Files\gmsd_pl_005010096 C:\Program Files\ICTV C:\Program Files\Java C:\Program Files\jv16 PowerTools 2011 C:\Program Files\mbot_pl_014010096 C:\Program Files\Mioplanet C:\Program Files\Motorola C:\Program Files\NCH Software C:\Program Files\Norton Security Scan C:\Program Files\NortonInstaller C:\Program Files\NotePage C:\Program Files\Opera C:\Program Files\PDFCreator C:\Program Files\PITy C:\Program Files\PFConfig C:\Program Files\predm C:\Program Files\QuickTime C:\Program Files\RealArcade C:\Program Files\Common Files\Adobe-BackupByPhotoshopPortable C:\Program Files\Common Files\AVSMedia C:\Program Files\Common Files\McAfee C:\Program Files\Common Files\Oberon Media C:\Program Files\Common Files\SWiSHzone.com Hosts: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Uruchom FRST, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy log. Tencent;QQPCMgr 3. Uruchom AdwCleaner. Wybierz opcję Skanuj (na razie nic nie usuwaj) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Z Fixami FRST już skończyliśmy. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Jeśli ten efekt jest trwały, tzn. widoczny także po kolejnym restarcie, to już chyba nic w tej kwestii nie zdziałam. - Albo Avast + MBAM + Unchecky to za dużo i redukcja pozostałych do sprawdzenia. - Albo Avast "nie gra" z tą szczególną konfiguracją i trzeba szukać innego antywirusa... Mógłbyś zrezygnować w ogóle z instalacji zewnętrznych i ograniczyć się do tego co oferuje sam system, tzn. wbudowany Windows Defender. Spróbuj czy pomoże coś ta procedura: KLIK.

W Dzienniku zdarzeń powtarza się błąd związany ze zbyt długą odpowiedzią usługi Emsisoft Anti-Malware, co pasuje do powyższego objawu: Dziennik System: ============= Error: (10/29/2015 07:50:44 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Emsisoft Anti-Malware 8.0 - Service z powodu następującego błędu: %%1053 Error: (10/29/2015 07:50:44 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Emsisoft Anti-Malware 8.0 - Service. Usługa jest ustawiona na Automatycznym, lecz jak widać jest jakiś problem by ją uruchomić: S2 a2AntiMalware; C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe [7084784 2015-10-01] (Emsisoft Ltd) Tak więc rozpocznij od deinstalacji w/w programu. PS. W spoilerze kosmetyka, tzn. usunięcie wpisów pustych. Bez znaczenia dla poprawy działania systemu.

Temat przesuwam do działu Windows. W raportach nie widać żadnych oznak czynnej infekcji... Z raportów nic nie wynika. Sugestie: 1. No cóż, główny podejrzany o najbardziej rozbudowanym układzie startowym to Panda. Na próbę odinstaluj, by sprawdzić czy to polepszy sytuację. 2. Dziennik CodeIntegrity zgłasza następującą rzecz: CodeIntegrity: =================================== Date: 2015-10-28 17:13:52.760 Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\dsound.dll because the set of per-page image hashes could not be found on the system. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. 3. W Dzienniku zdarzeń powtarza się błąd gry Steam powodowany przez moduł sterowników nVidia. Trudno ocenić skalę tego problemu. Error: (10/28/2015 07:40:43 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Terraria.exe, wersja: 1.3.0.7, sygnatura czasowa: 0x55c8fafb Nazwa modułu powodującego błąd: nvd3d9wrap.dll, wersja: 9.18.13.5306, sygnatura czasowa: 0x55668111 Kod wyjątku: 0xc00000fd Przesunięcie błędu: 0x000031b1 Identyfikator procesu powodującego błąd: 0x1b60 Godzina uruchomienia aplikacji powodującej błąd: 0xTerraria.exe0 Ścieżka aplikacji powodującej błąd: Terraria.exe1 Ścieżka modułu powodującego błąd: Terraria.exe2 Identyfikator raportu: Terraria.exe3 Ponadto jest jakiś problem z ładowaniem jednego ze sterowników VirtualBox: System errors: ============= Error: (10/28/2015 10:10:14 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: VBoxDrv PS. I czas zaktualizować systemowy Internet Explorer, nawet jeśli z niego nie korzystasz. Strasznie stara wersja IE8. Tym się zajmie skrypt FRST ze spoilera. Skrypt zaadresuje też mini szczątki adware i różne puste wpisy. Bez znaczenia dla stanu systemu.

Niestety narzędzie deinstalacyjne ESET wymaga Trybu awaryjnego. W związku z tym modyfikacja instrukcji. Opuść punkt 1, a w punkcie 2 zastosuj zmodyfikowany skrypt uwzględniający sterowniki ESET: S1 EpfwLWF; C:\Windows\system32\DRIVERS\EpfwLWF.sys [44632 2015-02-23] (ESET) S3 ESETCleanersDriver; C:\Windows\system32\Drivers\ESETCleanersDriver.sys [170280 2015-07-07] (ESET) HKLM-x32\...\Run: [Malwarebytes Anti-Exploit] => C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 MFE_RR; \??\C:\USERS\WOJTUQ\APPDATA\LOCAL\TEMP\mfe_rr.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\Program Files\ESET RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java RemoveDirectory: C:\Users\wojtuq\Doctor Web RemoveDirectory: C:\Users\wojtuq\Desktop\FRST-OlderVersion RemoveDirectory: C:\WINDOWS\System32\Tasks\Safer-Networking RemoveDirectory: C:\zoek_backup CMD: del /q C:\Users\wojtuq\Desktop\KVRT.exe CMD: del /q C:\Users\wojtuq\Desktop\launch.exe CMD: del /q C:\Users\wojtuq\Desktop\zoek.exe CMD: del /q C:\Users\wojtuq\Desktop\zoek-results.txt CMD: del /q C:\Windows\system32\Drivers\EpfwLWF.sys CMD: del /q C:\Windows\system32\Drivers\ESETCleanersDriver.sys CMD: del /q C:\zoek-results.log Hosts: Reboot:

W związku z tym należy się zabrać za usuwanie ręczne wszystkiego. Przeprowadź następujące operacje: 1. W międzyczasie doinstalował się kolejny śmieć Xmas i to spróbuj odinstalować, niezależnie czy będzie błąd kontynuuj akcje. Poza tym, nadal do deinstalacji stara wersja Java 7 Update 55. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 aroductpeo; C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Planetjob.exe [46592 2015-10-29] () [File not signed] R2 Concom; C:\Program Files\Concom\Concom.exe [379904 2015-10-25] () [File not signed] S2 globalUpdate; C:\Program Files\globalUpdate\Update\globalupdate.exe [68608 2015-10-29] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\globalupdate.exe [68608 2015-10-29] (globalUpdate) [File not signed] R1 QMIEProtect; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMIEProtect.sys [49976 2015-08-18] () R2 QQPCRTP; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCRTP.exe [301728 2015-09-15] (Tencent) R2 QQSysMon; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQSysMon.sys [108472 2015-09-26] (电脑管家) R2 SSFK; C:\Program Files\SFK\SSFK.exe [458400 2015-09-26] (TODO: ) S3 TAOAccelerator; C:\WINDOWS\system32\Drivers\TAOAccelerator.sys [114520 2000-12-31] (Tencent) S3 TAOFrame; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TAOFrame.exe [293856 2015-09-26] (Tencent) R1 TAOKernelDriver; C:\WINDOWS\System32\Drivers\TAOKernelXP.sys [139064 2015-09-26] (Tencent Technology(Shenzhen) Company Limited) R3 TFsFlt; C:\WINDOWS\System32\Drivers\TFsFlt.sys [150072 2015-09-26] (电脑管家) R1 TSCPM; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\tscpm.sys [43448 2015-09-26] (电脑管家) R1 TSDefenseBt; C:\WINDOWS\System32\DRIVERS\TSDefenseBt.sys [14008 2015-09-26] (Tencent) R0 TsFltMgr; C:\WINDOWS\System32\drivers\TsFltMgr.sys [124792 2015-09-26] (电脑管家) R1 TSKSP; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSKsp.sys [204920 2015-09-26] (电脑管家) S3 TSSK; C:\WINDOWS\System32\tssk.sys [67896 2015-09-26] (电脑管家) R1 TSSysKit; C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSSysKit.sys [101560 2015-09-26] (电脑管家) R2 WdsManPro; C:\Documents and Settings\All Users\Application Data\2WdsManPro2\WdsManPro.exe [442504 2015-09-26] (DTools LIMITED) S1 ppfd_vt_1_10_0_24; system32\drivers\ppfd_vt_1_10_0_24.sys [X] S1 wwfd_vt_1_10_0_24; system32\drivers\wwfd_vt_1_10_0_24.sys [X] Task: C:\WINDOWS\Tasks\469fcbcc-315d-4dd5-9804-212abb2e3cb9-1-6.job => C:\Program Files\GoHD\469fcbcc-315d-4dd5-9804-212abb2e3cb9-1-6.exe Task: C:\WINDOWS\Tasks\50278e6d-151b-4cf5-9e8d-31ed23fbc614-1-6.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-1-6.exe Task: C:\WINDOWS\Tasks\50278e6d-151b-4cf5-9e8d-31ed23fbc614-10_user.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-10.exe Task: C:\WINDOWS\Tasks\50278e6d-151b-4cf5-9e8d-31ed23fbc614-3.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-3.exe Task: C:\WINDOWS\Tasks\50278e6d-151b-4cf5-9e8d-31ed23fbc614-5.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-5.exe Task: C:\WINDOWS\Tasks\50278e6d-151b-4cf5-9e8d-31ed23fbc614-6.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-6.exe Task: C:\WINDOWS\Tasks\50278e6d-151b-4cf5-9e8d-31ed23fbc614-7.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-7.exe Task: C:\WINDOWS\Tasks\6d0ac05c-4429-4e4d-bcea-abd79f29b20e-1-6.job => C:\Program Files\CinemaP-1.9cV26.09\6d0ac05c-4429-4e4d-bcea-abd79f29b20e-1-6.exe Task: C:\WINDOWS\Tasks\7ac4ca75-d021-44c5-ba78-4c00550bafe6-1-6.job => C:\Program Files\Object Browser\7ac4ca75-d021-44c5-ba78-4c00550bafe6-1-6.exe Task: C:\WINDOWS\Tasks\7ac4ca75-d021-44c5-ba78-4c00550bafe6-1-7.job => C:\Program Files\Object Browser\7ac4ca75-d021-44c5-ba78-4c00550bafe6-1-7.exe Task: C:\WINDOWS\Tasks\7ac4ca75-d021-44c5-ba78-4c00550bafe6-4.job => C:\Program Files\Object Browser\7ac4ca75-d021-44c5-ba78-4c00550bafe6-4.exe Task: C:\WINDOWS\Tasks\7ac4ca75-d021-44c5-ba78-4c00550bafe6-5.job => C:\Program Files\Object Browser\7ac4ca75-d021-44c5-ba78-4c00550bafe6-5.exe Task: C:\WINDOWS\Tasks\7ac4ca75-d021-44c5-ba78-4c00550bafe6-6.job => C:\Program Files\Object Browser\7ac4ca75-d021-44c5-ba78-4c00550bafe6-6.exe Task: C:\WINDOWS\Tasks\7ac4ca75-d021-44c5-ba78-4c00550bafe6-7.job => C:\Program Files\Object Browser\7ac4ca75-d021-44c5-ba78-4c00550bafe6-7.exe Task: C:\WINDOWS\Tasks\a4573ab7-8417-4109-8219-08f1d1efe114-1-6.job => C:\Program Files\SavePass 1.1\a4573ab7-8417-4109-8219-08f1d1efe114-1-6.exe Task: C:\WINDOWS\Tasks\a4573ab7-8417-4109-8219-08f1d1efe114-1-7.job => C:\Program Files\SavePass 1.1\a4573ab7-8417-4109-8219-08f1d1efe114-1-7.exe Task: C:\WINDOWS\Tasks\a4573ab7-8417-4109-8219-08f1d1efe114-4.job => C:\Program Files\SavePass 1.1\a4573ab7-8417-4109-8219-08f1d1efe114-4.exe Task: C:\WINDOWS\Tasks\a4573ab7-8417-4109-8219-08f1d1efe114-5.job => C:\Program Files\SavePass 1.1\a4573ab7-8417-4109-8219-08f1d1efe114-5.exe Task: C:\WINDOWS\Tasks\Advanced System~Protector.job => C:\Program Files\ASP\AspManager.exe Task: C:\WINDOWS\Tasks\Cukoqje4zpacXzv1vzrLABj8CQG.job => C:\Documents and Settings\Krzysztof\Application Data\Cukoqje4zpacXzv1vzrLABj8CQG.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\globalupdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\globalupdate.exe Task: C:\WINDOWS\Tasks\IaKVQlxEQ3T35j.job => C:\Documents and Settings\Krzysztof\Application Data\IaKVQlxEQ3T35j.exe Task: C:\WINDOWS\Tasks\PKFkn4RDDh2SIS8ZZ.job => C:\Documents and Settings\Krzysztof\Application Data\PKFkn4RDDh2SIS8ZZ.exe Task: C:\WINDOWS\Tasks\SimpleFiles Update Service.job => C:\Program Files\SimpleFilesUpdater\SimpleFilesUpdater.exehxxp:/simple-files.com Task: C:\WINDOWS\Tasks\temp_50278e6d-151b-4cf5-9e8d-31ed23fbc614-10_user.job => C:\Program Files\CinemaPlus-3.2cV26.09\50278e6d-151b-4cf5-9e8d-31ed23fbc614-10.exe Task: C:\WINDOWS\Tasks\Xmas.job => C:\WINDOWS\system32\rundll32.exe C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Xmas\xBin\Xmas.dll HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM\...\Run: [] => [X] HKLM\...\Run: [ QQPCTray] => "C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCTray.exe" /regrun HKLM\...\Run: [gmsd_pl_005010096] => [X] HKLM\...\Run: [mbot_pl_014010096] => [X] HKLM\...\Run: [mbot_pl_014010102] => [X] HKLM\...\Run: [upmbot_pl_014010102.exe] => C:\Documents and Settings\Krzysztof\Local Settings\Application Data\mbot_pl_014010102\upmbot_pl_014010102.exe -runhelper HKLM\...\Run: [sunJavaUpdateSched] => "C:\Program Files\Java\jre7\bin\jusched.exe" HKLM\...\Winlogon: [shell] explorer.exe, [x ] () HKU\S-1-5-21-1960408961-682003330-839522115-1004\...\Run: [bingSvc] => C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Microsoft\BingSvc\BingSvc.exe [144008 2015-04-07] (© 2015 Microsoft Corporation) ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMGCShellExt.dll [2015-09-26] (Tencent) ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File CustomCLSID: HKU\S-1-5-21-1960408961-682003330-839522115-1004_Classes\CLSID\{1FD1FE74-9E3C-4C1C-AEEB-AAB592AD770F}\localserver32 -> C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe (Facebook Inc.) CustomCLSID: HKU\S-1-5-21-1960408961-682003330-839522115-1004_Classes\CLSID\{5E71E4F3-E8C7-4906-9626-973E418762B6}\InprocServer32 -> C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Facebook\Update\1.2.205.0\goopdate.dll (Facebook Inc.) CustomCLSID: HKU\S-1-5-21-1960408961-682003330-839522115-1004_Classes\CLSID\{CBE9C57E-FFA9-4123-8354-AD360D6DD3CC}\InprocServer32 -> C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Facebook\Video\Skype\npFacebookVideoCalling.dll (Skype Limited) CustomCLSID: HKU\S-1-5-21-1960408961-682003330-839522115-1004_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\Krzysztof\Application Data\GG\ggdrive\ggdrive-menu.dll (GG Network S.A.) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=95751091_hao_pg HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1443293666&z=a872e2bb7050c3b9111ef6agaz0zdc8o0t3c0q0q2q&from=amt&uid=hitachixhts545025b9sa02_100719pbl200csh200zvx HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1960408961-682003330-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUSyDMFv8NAOf72g_52TO1Q8T9E1z2NFGDHko4e8BbYNV6e-AVbiqCN2a0fQhKzKTNQTY9Tmtm8gq3gdyIIACRX4xZCnmDTMzrVdBCl1wGaSuGqFTt2SOrkLvi9FyG4ABhng,,&q={searchTerms} HKU\S-1-5-21-1960408961-682003330-839522115-1004\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.hao123.com/?tn=95751091_hao_pg hxxp://www.gazeta.pl/0,0.html?p=156 HKU\S-1-5-21-1960408961-682003330-839522115-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1443293666&z=a872e2bb7050c3b9111ef6agaz0zdc8o0t3c0q0q2q&from=amt&uid=hitachixhts545025b9sa02_100719pbl200csh200zvx HKU\S-1-5-21-1960408961-682003330-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUSyDMFv8NAOf72g_52TO1Q8T9E1z2NFGDHko4e8BbYNV6e-AVbiqCN2a0fQhKzKTNQTY9Tmtm8gq3gdyIIACRX4xZCnmDTMzrVdBCl1wGaSuGqFTt2SOrkLvi9FyG4ABhng,,&q={searchTerms} HKU\S-1-5-21-1960408961-682003330-839522115-1004\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUSyDMFv8NAOf72g_52TO1Q8T9E1z2NFGDHko4e8BbYNV6e-AVbiqCN2a0fQhKzKTNQTY9Tmtm8gq3gdyIIACRX4xZCnmDTMzrVdBCl1wGaSuGqFTt2SOrkLvi9FyG4ABhng,,&q={searchTerms} HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.only-search.com/?babsrc=NT_kms&affID=132174" SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUSyDMFv8NAOf72g_52TO1Q8T9E1z2NFGDHko4e8BbYNV6e-AVbiqCN2a0fQhKzKTNQTY9Tmtm8gq3gdyIIACRX4xZCnmDTMzrVdBCl1wGaSuGqFTt2SOrkLvi9FyG4ABhng,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-1960408961-682003330-839522115-1004 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1960408961-682003330-839522115-1004 -> {36D00200-6447-4870-A80F-C551B17BDE8F} URL = hxxp://www.only-search.com/?babsrc=SP_kms&affID=132174&q={searchTerms}&r=965 SearchScopes: HKU\S-1-5-21-1960408961-682003330-839522115-1004 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUSyDMFv8NAOf72g_52TO1Q8T9E1z2NFGDHko4e8BbYNV6e-AVbiqCN2a0fQhKzKTNQTY9Tmtm8gq3gdyIIACRX4xZCnmDTMzrVdBCl1wGaSuGqFTt2SOrkLvi9FyG4ABhng,,&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-29] (globalUpdate) FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-29] (globalUpdate) GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.istartsurf.com/?type=sc&ts=1443295299&z=796cc5cf51a969ca0186f3egczdz4c1odt6w6gde8t&from=face&uid=HitachiXHTS545025B9SA02_100719PBL200CSH200ZVX Facebook Update Helper (Version: 1.2.205.0 - Google Inc.) Hidden AV: 电脑管家系统防护 (Enabled - Up to date) {9AAC524A-BF34-49b0-91D2-71838CBB8110} DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Krzysztof^Start Menu^Programs^Startup^IMVU.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Krzysztof^Start Menu^Programs^Startup^Logitech . Rejestracja produktu.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Krzysztof^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Krzysztof^Start Menu^Programs^Startup^OptimumLink.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Krzysztof^Start Menu^Programs^Startup^OptimumPCtoTV.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Krzysztof^Start Menu^Programs^Startup^ybcrlnsnniggidoderh.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EvtMgr6 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Jing DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ORAHSSSessionManager DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TP-Link USB Printer Controller DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CinemaP-1.9cV26.09 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CinemaPlus-3.2cV26.09 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\GoHD DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SavePass 1.1 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes CMD: for %i in ("C:\Program Files\globalUpdate\Update\1.3.25.0\*.dll") do regsvr32 /u /s %i CMD: for %i in ("C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\*.dll") do regsvr32 /u /s %i C:\Documents and Settings\All Users\Application Data\2WdsManPro2 C:\Documents and Settings\All Users\Application Data\TEMP C:\Documents and Settings\All Users\Start Menu\电脑管家.lnk C:\Documents and Settings\All Users\Start Menu\强力卸载电脑上的软件 .lnk C:\Documents and Settings\Gość\Favorites\Links\*.url C:\Documents and Settings\Gość\Start Menu\7Burn.lnk C:\Documents and Settings\Gość\Start Menu\Programs\FileZilla FTP Client C:\Documents and Settings\Krzysztof\sqlite3.dll C:\Documents and Settings\Krzysztof\Application Data\cTEckRNVP8 C:\Documents and Settings\Krzysztof\Application Data\Cukoqje4zpacXzv1vzrLABj8CQG C:\Documents and Settings\Krzysztof\Application Data\IaKVQlxEQ3T35j C:\Documents and Settings\Krzysztof\Application Data\NevoSoft Gameslog.txt C:\Documents and Settings\Krzysztof\Application Data\PKFkn4RDDh2SIS8ZZ C:\Documents and Settings\Krzysztof\Application Data\GG C:\Documents and Settings\Krzysztof\Desktop\Continue kED installation.lnk C:\Documents and Settings\Krzysztof\Favorites\Bing.url C:\Documents and Settings\Krzysztof\Favorites\Discover Bing.url C:\Documents and Settings\Krzysztof\Favorites\MSN Websites\MSN*.url C:\Documents and Settings\Krzysztof\Favorites\Microsoft Websites\Microsoft Showcase.url C:\Documents and Settings\Krzysztof\Favorites\Microsoft Websites\Microsoft.com.url C:\Documents and Settings\Krzysztof\Favorites\Links\go.microsoft.com-fwlink-LinkId=121315.url C:\Documents and Settings\Krzysztof\Favorites\Links\ieonline.microsoft.com-#ieslice.url C:\Documents and Settings\Krzysztof\Favorites\Links\Suggested Sites*.url C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Planetjob.exe C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Planetjob.exe.config C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Facebook C:\Documents and Settings\Krzysztof\Local Settings\Application Data\globalUpdate C:\Documents and Settings\Krzysztof\Local Settings\Application Data\mbot_pl_014010102 C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Microsoft\BingSvc C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Xmas C:\Documents and Settings\Krzysztof\Start Menu\Programs\腾讯软件 C:\Program Files\path5.ini C:\Program Files\5C8CAC0A-1443294427-5799-9460-C2325843CB2C C:\Program Files\ASP C:\Program Files\CinemaP-1.9cV26.09 C:\Program Files\CinemaPlus-3.2cV26.09 C:\Program Files\Concom C:\Program Files\globalUpdate C:\Program Files\GoHD C:\Program Files\Mozilla Firefox\browser\searchplugins C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Object Browser C:\Program Files\RayDld C:\Program Files\SavePass 1.1 C:\Program Files\SFK C:\Program Files\SimpleFilesUpdater C:\Program Files\Tencent C:\Program Files\Common Files\Tencent C:\WINDOWS\DUMP*.tmp C:\WINDOWS\QMNetworkMgr.ini C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup C:\WINDOWS\pss\IMVU.lnkStartup C:\WINDOWS\pss\Logitech . Rejestracja produktu.lnkStartup C:\WINDOWS\pss\OpenOffice.org 3.2.lnkStartup C:\WINDOWS\pss\OptimumLink.lnkStartup C:\WINDOWS\pss\OptimumPCtoTV.lnkStartup C:\WINDOWS\pss\ybcrlnsnniggidoderh.lnkStartup C:\WINDOWS\System32\tssk.sys C:\WINDOWS\system32\Drivers\TAOAccelerator.sys C:\WINDOWS\System32\Drivers\TAOKernelXP.sys C:\WINDOWS\System32\Drivers\TFsFlt.sys C:\WINDOWS\System32\Drivers\TsFltMgr.sys C:\WINDOWS\System32\Drivers\TSDefenseBt.sys Folder: C:\extensions CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Documents and Settings\All Users\Application Data" CMD: dir /a "C:\Documents and Settings\Krzysztof\Application Data" CMD: dir /a "C:\Documents and Settings\Krzysztof\Local Settings\Application Data" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows - na ekranie logowania wybierz własne konto Krzysztof a nie Administrator. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Osoby > załóż nowy profil i się na niego zaloguj, a stary całkowicie skasuj. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt. Pytanie: czy można usunąć folder C:\Documents and Settings\Krzysztof\GG dysk? GG zostało odinstalowane, ale w tym folderze mogą być jakieś potrzebne pliki osobiste.

Chodzi Ci o metodę F8, czy o wchodzenia za pomocą opcji Windows? Metoda via F8 domyśnie nie działa na nowszych rozwiązaniach, start jest "zbyt szybki", by to wdrożyć. Do Trybu awaryjnego w Windows 10 dostaje się w następujący sposób: Przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > tu jest Tryb awaryjny.

Ale przedstaw wynikowy plik fixlog.txt, który powstał podczas przetwarzania skryptu FRST. Nie uruchamiaj przypadkiem skryptu ponownie.

Skasuj FRST i jego logi z "Nowego folderu" na Pulpicie. Następnie zastosuj jeszcze DelFix i wyczyść foldery Przywracania systemu: KLIK.

Wszystko zrobione. Na koniec: Skasuj z Pulpitu folder FRST. Popraw za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

A jaki jest powód że nie chcesz go stosować? Czy widzisz jakiś błąd? Nadal na dysku cały poprzedni profil z adware. Skoro poprzednia Osoba już usunięta, skorelowany profil zostanie usunięty ręcznie.

Czy masz jakiś szczególny powód, by podejrzewać niedozwolone ingerencje? W raportach nie ma oznak sugerowanej ingerencji. Do wyczyszczenia są tylko odpadki instalacji adware/PUP, w tym niepoprawnie odinstalowany pasek AVG, oraz różne puste wpisy / skróty. Pod tym kątem działania: 1. Przez Dodaj/Usuń programy odinstaluj stare wersje: Adobe AIR, dobe Shockwave Player 11.6, Java 7 Update 76, Spybot - Search & Destroy. Ten Spybot jest przestarzałym programem. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [26984 2012-11-09] () [brak podpisu cyfrowego] R2 vToolbarUpdater13.2.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [711112 2012-11-09] () S2 ca82e1a5; "C:\WINDOWS\system32\rundll32.exe" "c:\progra~1\optimi~1\OptProCrashSvc.dll",ServiceMain U3 DfSdkS; Brak ImagePath S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 Nbdrv; system32\DRIVERS\nbdrv.sys [X] S3 swmsflt; \SystemRoot\System32\drivers\swmsflt.sys [X] S3 SWUMX20; system32\DRIVERS\swumx20.sys [X] Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean.exe HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140829 HKU\S-1-5-21-1935655697-2147138623-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1935655697-2147138623-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140829 SearchScopes: HKU\S-1-5-21-1935655697-2147138623-1801674531-1003 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://isearch.avg.com/search?cid={D8DA08D3-FBD0-4931-B838-C450E97F906E}&mid=5e7d790900df47d08053d150ffca2a9f-b5374679c38dfd8f2e2b0bb9200fc788366ca246&lang=pl&ds=xn011&pr=sa&d=2012-10-05 10:17:16&v=13.0.0.7&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1935655697-2147138623-1801674531-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1935655697-2147138623-1801674531-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=18D00019B92EC36C&affID=119357&tsp=4951 SearchScopes: HKU\S-1-5-21-1935655697-2147138623-1801674531-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://isearch.avg.com/search?cid={D8DA08D3-FBD0-4931-B838-C450E97F906E}&mid=5e7d790900df47d08053d150ffca2a9f-b5374679c38dfd8f2e2b0bb9200fc788366ca246&lang=pl&ds=xn011&pr=sa&d=2012-10-05 10:17:16&v=13.0.0.7&sap=dsp&q={searchTerms} BHO: AVG Security Toolbar -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku Toolbar: HKLM - AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - Brak pliku Toolbar: HKU\S-1-5-21-1935655697-2147138623-1801674531-1003 -> Brak nazwy - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - Brak pliku Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\13.0.0\ViProtocol.dll [2012-10-05] () CHR HKLM\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\ChromeExt\13.2.0.5\avg.crx FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\13.2.0\\npsitesafety.dll [2012-11-09] () FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [avg@toolbar] - C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\FireFoxExt\13.0.0.7 FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => nie znaleziono DisableService: Cyfrowy Polsat E3276. RunOuc C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Menu Start\Programy\AnyBizSoft C:\Documents and Settings\All Users\Menu Start\Programy\Optimizer Pro v3.2 C:\Documents and Settings\All Users\Menu Start\Programy\Web Album Generator C:\Documents and Settings\Konrad\Dane aplikacji\Explorer.EXE_log.txt C:\Documents and Settings\Konrad\Dane aplikacji\LiveSupport.exe_log.txt C:\Documents and Settings\Konrad\Dane aplikacji\Piano Hard C:\Documents and Settings\Konrad\Dane aplikacji\regsvr32.exe_log.txt C:\Documents and Settings\Konrad\Menu Start\Programy\Lollipop.lnk C:\Documents and Settings\Konrad\Menu Start\Programy\Click Studio C:\Documents and Settings\Konrad\Menu Start\Programy\Zint C:\Documents and Settings\Konrad\Pulpit\Optimizer Pro.lnk C:\Program Files\Common Files\AVG Secure Search C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Optimizer Pro C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\drivers\avgtpx86.sys reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\lollipop /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Optimizer Pro_is1" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Optimizer Pro" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ROC_ROC_NT" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Oczywiście już odpowiadasz mi w nowym poście, nie edytuj poprzednich, by zachować ciągłość dyskusji.

Poproszę o raporty z FRST. Powiedzą znacznie więcej niż obrazek z menedżera.

1. Hitman wykrył tylko szczątki, jeden kluczyk adware oraz ciastka w przeglądarkach. Wszystko usuń za pomocą programu. 2. Na koniec wyczyść foldery Przywracania systemu: KLIK.

Jeśli błędy deinstalacji były już przed uruchomieniem skryptu FRST, to był to stan wykluczający poprawną deinstalację, Fix FRST po prostu dokończył dzieła. Z "chińczykiem" nie wiadomo czy dałby się go odinstalować, bo ta instalacja została opuszczona. To wszystko niczym nie grozi, po prostu mniej elegancki sposób usuwania zostawiający więcej odpadków. Kolejne poprawki: 1. Nie za bardzo rozumiem z powyższej wypowiedzi tylko cytującej mój tekst czy użyłeś polecanego narzędzia, by zlikwidować globalupdate Helper. To nadal aktualne. 2. W Google Chrome > Ustawienia > karta ustawienia > Osoby > skasuj ten poprzedni nieużywany już profil. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [smartWeb] => C:\Users\Ja\AppData\Local\SmartWeb\SmartWebHelper.exe HKU\S-1-5-21-3932816958-4066117016-696730429-1000\...\Run: [HCDNClient] => "C:\IQIYI Video\Common\QyKernel.exe" -shell_start HKU\S-1-5-21-3932816958-4066117016-696730429-1000\...\Run: [GoogleChromeAutoLaunch_28FA449B79C225B40C4F5CB2D78FCA41] => C:\FRST\Quarantine\C\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe [637440 2015-05-12] (Crossbrowse) Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk [2015-10-28] Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk [2015-10-28] BHO-x32: °®ĆćŇŐÖúĘÖ -> {FB4F6285-4C32-49F2-950F-A5998F9CEC6C} -> C:\IQIYI Video\Common\Accelerator\IEHelper.dll => Brak pliku) OPR Extension: (CinemaP-1.9cV12.10) - C:\Users\Ja\AppData\Roaming\Opera Software\Opera Stable\Extensions\lkadffjmnaiokkdncgdlecdegajoiemi [2015-10-12] OPR Extension: (帮5淘—帮5买旗下购物助手) - C:\Users\Ja\AppData\Roaming\Opera Software\Opera Stable\Extensions\nklfajnmfbchcceflgddnkignfheooic [2015-10-26] S3 EraserUtilDrv11510; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11510.sys [X] DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Crossbrowse DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PhraseProfessor_1.10.0.24 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\IQIYI Video C:\Users\Ja\AppData\Local\Crossbrowse C:\Users\Ja\AppData\LocalLow\SmartWeb C:\Users\Public\Desktop\Crossbrowse.lnk EmptyTemp: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Reklamy "Powered by DNSUnlocker" tworzy program o takiej nazwie zainstalowany w systemie i wspomagany via zadanie DNSHUGO w Harmonogramie, które odnawia modyfikację serwerów DNS. Obecnie są ustawione przez adware adresy izraelskie: KLIK / KLIK. DNS Servers: 199.203.131.152 - 82.163.143.182 I jest więcej śmieci adware niż tylko tytułowy gagatek. Do przeprowadzenia następujące akcje: 1. Panel sterowania > Programy > odinstaluj adware DNS Unlocker version 1.4 oraz stare wersje Adobe AIR, Java 8 Update 25, Java SE Development Kit 8 Update 25. 2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {770d9261-ea7b-44d1-b1fa-cd753813d1ca}Gw; C:\Windows\System32\drivers\{770d9261-ea7b-44d1-b1fa-cd753813d1ca}Gw.sys [43152 2015-01-27] (StdLib) S1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X] S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] Task: {033DBA02-A693-4F35-AEB9-67420D6D2D46} - System32\Tasks\Bidaily Synchronize Task[8da6] => c:\programdata\{06a18553-42c1-215e-06a1-1855342c154d}\hqghumeaylnlf.exe [2014-06-23] (Super PC Tools Ltd) Task: {073ED955-F0D0-4660-BC61-0B9DED05EA1C} - System32\Tasks\Crossbrowse => C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe Task: {128F648B-912E-465F-A149-B5300CF8D336} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: {6A4D036F-6103-4FBE-86ED-42774012BFA6} - System32\Tasks\Optscan => c:\programdata\{2dfc2427-4357-3e92-2dfc-c2427435909d}\hqghumeaylnlf.exe [2014-08-21] (PC Utilities Software Limited) Task: {971B5584-238E-4CC0-BD39-2E780F248156} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: {E1194988-8C4A-427A-B9EA-DA20BCAD5C18} - System32\Tasks\DNSHUGO => dnshugo.exe Task: {E9547459-B8ED-4BE1-B381-FBCE36412B38} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Ola\AppData\Local\SmartWeb\SmartWebHelper.exe [2015-02-17] (SoftBrain Technologies Ltd.) Task: {EF317CBF-0A07-41AC-86F8-A34236045C1F} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\Bidaily Synchronize Task[8da6].job => c:\programdata\{06a18553-42c1-215e-06a1-1855342c154d}\hqghumeaylnlf.exe Task: C:\Windows\Tasks\Crossbrowse.job => C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe Task: C:\Windows\Tasks\Optscan.job => c:\programdata\{2dfc2427-4357-3e92-2dfc-c2427435909d}\hqghumeaylnlf.exe Startup: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk [2015-06-23] HKLM\...\Run: [smartWeb] => C:\Users\Ola\AppData\Local\SmartWeb\SmartWebHelper.exe [270368 2015-02-17] (SoftBrain Technologies Ltd.) HKLM\...\Run: [gmsd_pl_005010010] => [X] HKU\S-1-5-21-24371974-255015617-3181746528-1000\...\Run: [GoogleChromeAutoLaunch_E2E8869A58994379D96A2CB1A91C5570] => "C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130857594842742991&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1435072710&z=8d82c49c3c8ddae16b8e046g9zdc8wde1m3o2m1gce&from=obw&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1435072710&z=8d82c49c3c8ddae16b8e046g9zdc8wde1m3o2m1gce&from=obw&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB&q={searchTerms} HKU\S-1-5-21-24371974-255015617-3181746528-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB&q={searchTerms} HKU\S-1-5-21-24371974-255015617-3181746528-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130857594842742991&GUID=00000000-0000-0000-0000-000000000000 HKU\S-1-5-21-24371974-255015617-3181746528-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB HKU\S-1-5-21-24371974-255015617-3181746528-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB&q={searchTerms} SearchScopes: HKU\S-1-5-21-24371974-255015617-3181746528-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-24371974-255015617-3181746528-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-24371974-255015617-3181746528-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-24371974-255015617-3181746528-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-24371974-255015617-3181746528-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO: High Stairs -> {45e60e41-85ee-4c01-9dac-1ecb9bf64179} -> C:\Program Files\High Stairs\Extensions\45e60e41-85ee-4c01-9dac-1ecb9bf64179.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1435072710&z=8d82c49c3c8ddae16b8e046g9zdc8wde1m3o2m1gce&from=obw&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB ShortcutWithArgument: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB ShortcutWithArgument: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} DisableService: Multimedia mobilNET. RunOuc C:\Programdata\{2dfc2427-4357-3e92-2dfc-c2427435909d} C:\Users\Ola\AppData\Local\nsb6CBF.tmp C:\Users\Ola\AppData\Local\nsp57F2.tmp C:\Users\Ola\AppData\Local\nsz4CF.tmp C:\Users\Ola\AppData\Local\SmartWeb C:\Users\Ola\AppData\Local\StormFall C:\Users\Ola\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Ola\Desktop\Continue Speccy installation.lnk C:\Users\Ola\Downloads\Niepotwierdzony*.crdownload C:\Users\Public\Desktop\Your Software Deals.url C:\Windows\System32\drivers\{770d9261-ea7b-44d1-b1fa-cd753813d1ca}Gw.sys CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W ustawieniach Avast w konfiguracji wtyczki webowej wyłącz sponsorowaną funkcję Avast SafePrice dla przeglądarki Google Chrome. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, Shortcut już nie jest mi potrzebny. Dołącz też plik fixlog.txt.

Wsystko zrobione. Jeszcze małe poprawki: 1. ESET nie odinstalował się w poprawny sposób, pozostał po nim sterownik EpfwLWF. Wejdź w Tryb awaryjny Windows i zastosuj ESET Uninstaller. 2. Następnie otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [Malwarebytes Anti-Exploit] => C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 MFE_RR; \??\C:\USERS\WOJTUQ\APPDATA\LOCAL\TEMP\mfe_rr.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\Program Files\ESET RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java RemoveDirectory: C:\Users\wojtuq\Doctor Web RemoveDirectory: C:\Users\wojtuq\Desktop\FRST-OlderVersion RemoveDirectory: C:\WINDOWS\System32\Tasks\Safer-Networking RemoveDirectory: C:\zoek_backup CMD: del /q C:\Users\wojtuq\Desktop\KVRT.exe CMD: del /q C:\Users\wojtuq\Desktop\launch.exe CMD: del /q C:\Users\wojtuq\Desktop\zoek.exe CMD: del /q C:\Users\wojtuq\Desktop\zoek-results.txt CMD: del /q C:\zoek-results.log Hosts: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Najnowsze wersje Adobe i Java linkowane w przyklejonym: KLIK. Przy czym Adobe Air i Adobe Shockwave Player prawdopodobnie są zbędne. I jeśli Java będzie instalowana, to już po wykonaniu w/w Fix FRST, w przeciwnym wypadku uszkodzi on nową instalację Java. Jeśli ma być darmowy i posiadać wiele funkcji, to propozycją spełniającą te warunki jest Avast.

Tak, zalecona komenda usunęła plik z zastrzeżoną nazwą blokujący usuwanie. Rozumiem, że już się rozprawiłeś z całym folderem "bez nazwy". Sprawa pendrive rozwiązana. Dodatkowe działania, bo były różne odpadki adware. Uruchom AdwCleaner. Wybier opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner

1. Pendrive: obecnie na urządzeniu jest tylko ten ukryty folder "bez nazwy", w którym infekcja schowała dane. Mówiłeś: Czy na pewno teraz nie da się wejść do tego folderu "bez nazwy" i po prostu przenieś z niego dane poziom wyżej, a sam folder po opróżnieniu skasować przez SHIFT+DEL (omija Kosz)? We wszystkich tematach na forum to działało bez pudła. 2. System: wspominane drobne korekty na wpisy odpadkowe oraz czyszczenie Tempów. Otwórz Notatnik CloseProcesses: CreateRestorePoint: HKLM-x32\...\RunOnce: [] => [X] HKU\S-1-5-21-2731234556-1163057872-14892810-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Acer\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-2731234556-1163057872-14892810-1000\...\Policies\Explorer: [] HKU\S-1-5-21-2731234556-1163057872-14892810-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=135 HKU\S-1-5-21-2731234556-1163057872-14892810-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie HKU\S-1-5-21-2731234556-1163057872-14892810-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie SearchScopes: HKU\S-1-5-21-2731234556-1163057872-14892810-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear Task: {4FB7F7B3-B441-444A-A467-C4BAF7BA2A13} - System32\Tasks\{F187EEAB-2174-4F3F-AE0F-684CA1537109} => pcalua.exe -a "F:\Marcin\INSTALKI\Microsoft Office 2007 PL\office kriss32-32\office 2007\setup.exe" -d "F:\Marcin\INSTALKI\Microsoft Office 2007 PL\office kriss32-32\office 2007" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.