picasso

Chodzi Ci o metodę F8, czy o wchodzenia za pomocą opcji Windows? Metoda via F8 domyśnie nie działa na nowszych rozwiązaniach, start jest "zbyt szybki", by to wdrożyć. Do Trybu awaryjnego w Windows 10 dostaje się w następujący sposób: Przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > tu jest Tryb awaryjny.

Ale przedstaw wynikowy plik fixlog.txt, który powstał podczas przetwarzania skryptu FRST. Nie uruchamiaj przypadkiem skryptu ponownie.

Skasuj FRST i jego logi z "Nowego folderu" na Pulpicie. Następnie zastosuj jeszcze DelFix i wyczyść foldery Przywracania systemu: KLIK.

Wszystko zrobione. Na koniec: Skasuj z Pulpitu folder FRST. Popraw za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

A jaki jest powód że nie chcesz go stosować? Czy widzisz jakiś błąd? Nadal na dysku cały poprzedni profil z adware. Skoro poprzednia Osoba już usunięta, skorelowany profil zostanie usunięty ręcznie.

Czy masz jakiś szczególny powód, by podejrzewać niedozwolone ingerencje? W raportach nie ma oznak sugerowanej ingerencji. Do wyczyszczenia są tylko odpadki instalacji adware/PUP, w tym niepoprawnie odinstalowany pasek AVG, oraz różne puste wpisy / skróty. Pod tym kątem działania: 1. Przez Dodaj/Usuń programy odinstaluj stare wersje: Adobe AIR, dobe Shockwave Player 11.6, Java 7 Update 76, Spybot - Search & Destroy. Ten Spybot jest przestarzałym programem. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [26984 2012-11-09] () [brak podpisu cyfrowego] R2 vToolbarUpdater13.2.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [711112 2012-11-09] () S2 ca82e1a5; "C:\WINDOWS\system32\rundll32.exe" "c:\progra~1\optimi~1\OptProCrashSvc.dll",ServiceMain U3 DfSdkS; Brak ImagePath S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 Nbdrv; system32\DRIVERS\nbdrv.sys [X] S3 swmsflt; \SystemRoot\System32\drivers\swmsflt.sys [X] S3 SWUMX20; system32\DRIVERS\swumx20.sys [X] Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean.exe HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140829 HKU\S-1-5-21-1935655697-2147138623-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1935655697-2147138623-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140829 SearchScopes: HKU\S-1-5-21-1935655697-2147138623-1801674531-1003 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://isearch.avg.com/search?cid={D8DA08D3-FBD0-4931-B838-C450E97F906E}&mid=5e7d790900df47d08053d150ffca2a9f-b5374679c38dfd8f2e2b0bb9200fc788366ca246&lang=pl&ds=xn011&pr=sa&d=2012-10-05 10:17:16&v=13.0.0.7&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1935655697-2147138623-1801674531-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1935655697-2147138623-1801674531-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=18D00019B92EC36C&affID=119357&tsp=4951 SearchScopes: HKU\S-1-5-21-1935655697-2147138623-1801674531-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://isearch.avg.com/search?cid={D8DA08D3-FBD0-4931-B838-C450E97F906E}&mid=5e7d790900df47d08053d150ffca2a9f-b5374679c38dfd8f2e2b0bb9200fc788366ca246&lang=pl&ds=xn011&pr=sa&d=2012-10-05 10:17:16&v=13.0.0.7&sap=dsp&q={searchTerms} BHO: AVG Security Toolbar -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku Toolbar: HKLM - AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - Brak pliku Toolbar: HKU\S-1-5-21-1935655697-2147138623-1801674531-1003 -> Brak nazwy - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - Brak pliku Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\13.0.0\ViProtocol.dll [2012-10-05] () CHR HKLM\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\ChromeExt\13.2.0.5\avg.crx FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\13.2.0\\npsitesafety.dll [2012-11-09] () FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [avg@toolbar] - C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\FireFoxExt\13.0.0.7 FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => nie znaleziono DisableService: Cyfrowy Polsat E3276. RunOuc C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Menu Start\Programy\AnyBizSoft C:\Documents and Settings\All Users\Menu Start\Programy\Optimizer Pro v3.2 C:\Documents and Settings\All Users\Menu Start\Programy\Web Album Generator C:\Documents and Settings\Konrad\Dane aplikacji\Explorer.EXE_log.txt C:\Documents and Settings\Konrad\Dane aplikacji\LiveSupport.exe_log.txt C:\Documents and Settings\Konrad\Dane aplikacji\Piano Hard C:\Documents and Settings\Konrad\Dane aplikacji\regsvr32.exe_log.txt C:\Documents and Settings\Konrad\Menu Start\Programy\Lollipop.lnk C:\Documents and Settings\Konrad\Menu Start\Programy\Click Studio C:\Documents and Settings\Konrad\Menu Start\Programy\Zint C:\Documents and Settings\Konrad\Pulpit\Optimizer Pro.lnk C:\Program Files\Common Files\AVG Secure Search C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Optimizer Pro C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\drivers\avgtpx86.sys reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\lollipop /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Optimizer Pro_is1" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Optimizer Pro" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ROC_ROC_NT" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Oczywiście już odpowiadasz mi w nowym poście, nie edytuj poprzednich, by zachować ciągłość dyskusji.

Poproszę o raporty z FRST. Powiedzą znacznie więcej niż obrazek z menedżera.

1. Hitman wykrył tylko szczątki, jeden kluczyk adware oraz ciastka w przeglądarkach. Wszystko usuń za pomocą programu. 2. Na koniec wyczyść foldery Przywracania systemu: KLIK.

Jeśli błędy deinstalacji były już przed uruchomieniem skryptu FRST, to był to stan wykluczający poprawną deinstalację, Fix FRST po prostu dokończył dzieła. Z "chińczykiem" nie wiadomo czy dałby się go odinstalować, bo ta instalacja została opuszczona. To wszystko niczym nie grozi, po prostu mniej elegancki sposób usuwania zostawiający więcej odpadków. Kolejne poprawki: 1. Nie za bardzo rozumiem z powyższej wypowiedzi tylko cytującej mój tekst czy użyłeś polecanego narzędzia, by zlikwidować globalupdate Helper. To nadal aktualne. 2. W Google Chrome > Ustawienia > karta ustawienia > Osoby > skasuj ten poprzedni nieużywany już profil. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [smartWeb] => C:\Users\Ja\AppData\Local\SmartWeb\SmartWebHelper.exe HKU\S-1-5-21-3932816958-4066117016-696730429-1000\...\Run: [HCDNClient] => "C:\IQIYI Video\Common\QyKernel.exe" -shell_start HKU\S-1-5-21-3932816958-4066117016-696730429-1000\...\Run: [GoogleChromeAutoLaunch_28FA449B79C225B40C4F5CB2D78FCA41] => C:\FRST\Quarantine\C\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe [637440 2015-05-12] (Crossbrowse) Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk [2015-10-28] Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk [2015-10-28] BHO-x32: °®ĆćŇŐÖúĘÖ -> {FB4F6285-4C32-49F2-950F-A5998F9CEC6C} -> C:\IQIYI Video\Common\Accelerator\IEHelper.dll => Brak pliku) OPR Extension: (CinemaP-1.9cV12.10) - C:\Users\Ja\AppData\Roaming\Opera Software\Opera Stable\Extensions\lkadffjmnaiokkdncgdlecdegajoiemi [2015-10-12] OPR Extension: (帮5淘—帮5买旗下购物助手) - C:\Users\Ja\AppData\Roaming\Opera Software\Opera Stable\Extensions\nklfajnmfbchcceflgddnkignfheooic [2015-10-26] S3 EraserUtilDrv11510; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11510.sys [X] DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Crossbrowse DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PhraseProfessor_1.10.0.24 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\IQIYI Video C:\Users\Ja\AppData\Local\Crossbrowse C:\Users\Ja\AppData\LocalLow\SmartWeb C:\Users\Public\Desktop\Crossbrowse.lnk EmptyTemp: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Reklamy "Powered by DNSUnlocker" tworzy program o takiej nazwie zainstalowany w systemie i wspomagany via zadanie DNSHUGO w Harmonogramie, które odnawia modyfikację serwerów DNS. Obecnie są ustawione przez adware adresy izraelskie: KLIK / KLIK. DNS Servers: 199.203.131.152 - 82.163.143.182 I jest więcej śmieci adware niż tylko tytułowy gagatek. Do przeprowadzenia następujące akcje: 1. Panel sterowania > Programy > odinstaluj adware DNS Unlocker version 1.4 oraz stare wersje Adobe AIR, Java 8 Update 25, Java SE Development Kit 8 Update 25. 2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {770d9261-ea7b-44d1-b1fa-cd753813d1ca}Gw; C:\Windows\System32\drivers\{770d9261-ea7b-44d1-b1fa-cd753813d1ca}Gw.sys [43152 2015-01-27] (StdLib) S1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X] S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] Task: {033DBA02-A693-4F35-AEB9-67420D6D2D46} - System32\Tasks\Bidaily Synchronize Task[8da6] => c:\programdata\{06a18553-42c1-215e-06a1-1855342c154d}\hqghumeaylnlf.exe [2014-06-23] (Super PC Tools Ltd) Task: {073ED955-F0D0-4660-BC61-0B9DED05EA1C} - System32\Tasks\Crossbrowse => C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe Task: {128F648B-912E-465F-A149-B5300CF8D336} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: {6A4D036F-6103-4FBE-86ED-42774012BFA6} - System32\Tasks\Optscan => c:\programdata\{2dfc2427-4357-3e92-2dfc-c2427435909d}\hqghumeaylnlf.exe [2014-08-21] (PC Utilities Software Limited) Task: {971B5584-238E-4CC0-BD39-2E780F248156} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: {E1194988-8C4A-427A-B9EA-DA20BCAD5C18} - System32\Tasks\DNSHUGO => dnshugo.exe Task: {E9547459-B8ED-4BE1-B381-FBCE36412B38} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Ola\AppData\Local\SmartWeb\SmartWebHelper.exe [2015-02-17] (SoftBrain Technologies Ltd.) Task: {EF317CBF-0A07-41AC-86F8-A34236045C1F} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\Bidaily Synchronize Task[8da6].job => c:\programdata\{06a18553-42c1-215e-06a1-1855342c154d}\hqghumeaylnlf.exe Task: C:\Windows\Tasks\Crossbrowse.job => C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe Task: C:\Windows\Tasks\Optscan.job => c:\programdata\{2dfc2427-4357-3e92-2dfc-c2427435909d}\hqghumeaylnlf.exe Startup: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk [2015-06-23] HKLM\...\Run: [smartWeb] => C:\Users\Ola\AppData\Local\SmartWeb\SmartWebHelper.exe [270368 2015-02-17] (SoftBrain Technologies Ltd.) HKLM\...\Run: [gmsd_pl_005010010] => [X] HKU\S-1-5-21-24371974-255015617-3181746528-1000\...\Run: [GoogleChromeAutoLaunch_E2E8869A58994379D96A2CB1A91C5570] => "C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130857594842742991&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1435072710&z=8d82c49c3c8ddae16b8e046g9zdc8wde1m3o2m1gce&from=obw&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1435072710&z=8d82c49c3c8ddae16b8e046g9zdc8wde1m3o2m1gce&from=obw&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB&q={searchTerms} HKU\S-1-5-21-24371974-255015617-3181746528-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB&q={searchTerms} HKU\S-1-5-21-24371974-255015617-3181746528-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130857594842742991&GUID=00000000-0000-0000-0000-000000000000 HKU\S-1-5-21-24371974-255015617-3181746528-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB HKU\S-1-5-21-24371974-255015617-3181746528-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB&q={searchTerms} SearchScopes: HKU\S-1-5-21-24371974-255015617-3181746528-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-24371974-255015617-3181746528-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-24371974-255015617-3181746528-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-24371974-255015617-3181746528-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-24371974-255015617-3181746528-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO: High Stairs -> {45e60e41-85ee-4c01-9dac-1ecb9bf64179} -> C:\Program Files\High Stairs\Extensions\45e60e41-85ee-4c01-9dac-1ecb9bf64179.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1435072710&z=8d82c49c3c8ddae16b8e046g9zdc8wde1m3o2m1gce&from=obw&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB ShortcutWithArgument: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB ShortcutWithArgument: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1437121371&z=e34cb753cb6e096a3dddc69g8zdcdm4gao9g9c8b7t&from=wpm07173&uid=ST9320325AS_5VD4P9XBXXXX5VD4P9XB DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} DisableService: Multimedia mobilNET. RunOuc C:\Programdata\{2dfc2427-4357-3e92-2dfc-c2427435909d} C:\Users\Ola\AppData\Local\nsb6CBF.tmp C:\Users\Ola\AppData\Local\nsp57F2.tmp C:\Users\Ola\AppData\Local\nsz4CF.tmp C:\Users\Ola\AppData\Local\SmartWeb C:\Users\Ola\AppData\Local\StormFall C:\Users\Ola\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Ola\Desktop\Continue Speccy installation.lnk C:\Users\Ola\Downloads\Niepotwierdzony*.crdownload C:\Users\Public\Desktop\Your Software Deals.url C:\Windows\System32\drivers\{770d9261-ea7b-44d1-b1fa-cd753813d1ca}Gw.sys CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W ustawieniach Avast w konfiguracji wtyczki webowej wyłącz sponsorowaną funkcję Avast SafePrice dla przeglądarki Google Chrome. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, Shortcut już nie jest mi potrzebny. Dołącz też plik fixlog.txt.

Wsystko zrobione. Jeszcze małe poprawki: 1. ESET nie odinstalował się w poprawny sposób, pozostał po nim sterownik EpfwLWF. Wejdź w Tryb awaryjny Windows i zastosuj ESET Uninstaller. 2. Następnie otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [Malwarebytes Anti-Exploit] => C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 MFE_RR; \??\C:\USERS\WOJTUQ\APPDATA\LOCAL\TEMP\mfe_rr.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\Program Files\ESET RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java RemoveDirectory: C:\Users\wojtuq\Doctor Web RemoveDirectory: C:\Users\wojtuq\Desktop\FRST-OlderVersion RemoveDirectory: C:\WINDOWS\System32\Tasks\Safer-Networking RemoveDirectory: C:\zoek_backup CMD: del /q C:\Users\wojtuq\Desktop\KVRT.exe CMD: del /q C:\Users\wojtuq\Desktop\launch.exe CMD: del /q C:\Users\wojtuq\Desktop\zoek.exe CMD: del /q C:\Users\wojtuq\Desktop\zoek-results.txt CMD: del /q C:\zoek-results.log Hosts: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Najnowsze wersje Adobe i Java linkowane w przyklejonym: KLIK. Przy czym Adobe Air i Adobe Shockwave Player prawdopodobnie są zbędne. I jeśli Java będzie instalowana, to już po wykonaniu w/w Fix FRST, w przeciwnym wypadku uszkodzi on nową instalację Java. Jeśli ma być darmowy i posiadać wiele funkcji, to propozycją spełniającą te warunki jest Avast.

Tak, zalecona komenda usunęła plik z zastrzeżoną nazwą blokujący usuwanie. Rozumiem, że już się rozprawiłeś z całym folderem "bez nazwy". Sprawa pendrive rozwiązana. Dodatkowe działania, bo były różne odpadki adware. Uruchom AdwCleaner. Wybier opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner

1. Pendrive: obecnie na urządzeniu jest tylko ten ukryty folder "bez nazwy", w którym infekcja schowała dane. Mówiłeś: Czy na pewno teraz nie da się wejść do tego folderu "bez nazwy" i po prostu przenieś z niego dane poziom wyżej, a sam folder po opróżnieniu skasować przez SHIFT+DEL (omija Kosz)? We wszystkich tematach na forum to działało bez pudła. 2. System: wspominane drobne korekty na wpisy odpadkowe oraz czyszczenie Tempów. Otwórz Notatnik CloseProcesses: CreateRestorePoint: HKLM-x32\...\RunOnce: [] => [X] HKU\S-1-5-21-2731234556-1163057872-14892810-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Acer\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-2731234556-1163057872-14892810-1000\...\Policies\Explorer: [] HKU\S-1-5-21-2731234556-1163057872-14892810-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=135 HKU\S-1-5-21-2731234556-1163057872-14892810-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie HKU\S-1-5-21-2731234556-1163057872-14892810-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie SearchScopes: HKU\S-1-5-21-2731234556-1163057872-14892810-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear Task: {4FB7F7B3-B441-444A-A467-C4BAF7BA2A13} - System32\Tasks\{F187EEAB-2174-4F3F-AE0F-684CA1537109} => pcalua.exe -a "F:\Marcin\INSTALKI\Microsoft Office 2007 PL\office kriss32-32\office 2007\setup.exe" -d "F:\Marcin\INSTALKI\Microsoft Office 2007 PL\office kriss32-32\office 2007" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Zmiana mapowania czy nazwy nie powinna mieć wpływu na widoczność urządzenia w skanie USBFix. Tu jest coś nie tak, że urządzenie przestało być rozpoznawane (wcześniej było). Zresetuj system, tymczasowo wyłącz ESET i ponów skan Listing w USBFix. Jeśli to zawiedzie, to jeszcze spróbuję pobrać dane via FRST.

Raport ma ciągle tę samą formę, pokazuje tylko dwa dyski twarde, żadnego pendriva: C:\ (%SystemDrive%) -> Fixed disk # 146 Gb (95 Gb free - 65%) [] # NTFS D:\ -> Fixed disk # 152 Gb (65 Gb free - 43%) [] # NTFS Czy na pewno urządzenie było podpięte?

System nie został zainfekowany, będą tylko kosmetyczne korekty. Log z USBFix nie został zrobiony przy podpiętym pendrive. Powtórz zadanie z podpiętym urządzeniem.

Prosiłam o konkretne raporty z FRST, Shortcut i GMER już nie potrzebne po raz drugi, więc je usuwam. Za to nie został dostarczony plik fixlog.txt z wynikami skryptu. Dołącz, jest w katalogu Pobrane tam skąd uruchamiałeś FRST. Nie uruchamiaj skryptu ponownie. Nie odinstalowałeś Crossbrowse, on nie wygląda na uszkodzony. Nie wykonałeś także tego: A resztadeinstalacja "chińczyka" już jest raczej awykonalna, został uruchomiony skrypt FRST usuwający foldery. Deinstalacja była nie bez przyczyny podana jako krok numer 1. Folder Appdata jest tylko że ukryty, nie masz włączonych stosownych opcji w Opcjach folderów. A instrukcja już nieaktualna, była zadana przed uruchomieniem skryptu FRST, który i tak w całości usuwał ten folder. Założyłeś nowy profil Google Chrome, w starym nadal siedzi ten pierwszy delikwent. Natomiast niezmiennie oba wyliczane widzę w Operze. Jeśli na pewno tego nie widzisz w opcjach Opery będzie usuwanie na siłę.

Proszę nie omijaj zasad działu i dostarcz obowiązujące tu raporty z FRST i GMER, bo musi być sprawdzone czy system został zainfekowany. Pendrive jest zainfekowany tą metodą: KLIK. Jeśli chodzi o log z USBFix, to poproszę o krótki z opcji Listing, bez włączonej rekursywności. Logi proszę dostarcz w formie załączników forum.

Wyborem w dziale malware jest najnowsza dostępna wersja dla danego systemu operacyjnego (DC dla Windows 7 i nowszych, XI dla Vista i XP), a nie starsza acz załatana. Obierając inny tok rozumowania równie dobrze można byłoby akceptować wersję Reader X 10.1.16 - ona też jest "maksymalnie załatana" w swej gałęzi i ma te same ekwiwalenty zabezpieczeń co Reader XI 11.0.13. Podobnie wybiegałam na przód z Java, gdy były dostępne jeszcze dwie równoległe gałęzie, a dziś już wycofany całkowicie support dla starszej, ale zrobione wtedy przeze mnie systemy zostały zabezpieczone "na wyrost" (o ile oczywiście użytkownik nie kombinował potem samodzielnie). XI nie jest już aktywnie rozwijany, robi się tylko mniejsze "fiksy" w tej linii. Oczywiście ktoś kto nie trawi wersji "DC" może jeszcze zostać na starszej linii. W odróżnieniu od poprzednich edycji, można mieć zainstalowane dwie wersje równolegle, tzn. DC i XI.

"Na dole raport" - nie widzę... Nie zapytałam o zacytowanie przykładowego mejla, ale czy na pewno to był spam "z Twojej skrzynki", nie była to aby prosta manipulacja pól adresowych?

Raport z GMER zapisałeś jako plik *.log (wykluczony z załączników) posługując się bezpośrednim przyciskiem zapisu raportu, a w instrukcji jest zaznaczone, że należy użyć Kopiuj i ręcznie stworzyć plik *.txt. Po prostu przeklej zawartość do Notatnika i zapisz pod nową nazwą. Akcje do przeprowadzenia: 1. Deinstalacje adware: - Przez Panel sterowania odinstaluj: CinemaP-1.9cV12.10, Crossbrowse, GamesDesktop 008.005010109, PhraseProfessor 1.10.0.24, SmartWeb, Software Version Updater, 爱奇艺影音 (czyli IQIYI Video). - Uruchom ten plik: C:\Users\Ja\AppData\Local\B5T\6.0.5.3\B5TUninstall.exe - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej. Jeśli wystąpi jakiś błąd podczas deinstalacji, kontynuuj dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 B5TService; C:\Users\Ja\AppData\Local\B5T\Share\B5TService.exe [574280 2015-07-31] () R2 ihpmServer; C:\Program Files (x86)\RayDld\ihpmServer.exe [270568 2015-10-12] () S2 NetTcpHandler; C:\Users\Ja\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () R2 PerfTraceService; C:\Program Files (x86)\Tencent\QQBrowser\Service\PerfTraceService.exe [278880 2015-09-27] () S2 BrsHelper; C:\PROGRA~2\YTDOWN~1\BROWSE~2.EXE [X] S3 AIDA64Driver; \??\C:\Users\Ja\AppData\Local\Temp\AIDA64Driver.sys [X] S3 EraserUtilDrv11510; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11510.sys [X] S1 pnnlitmi; \??\C:\Windows\system32\drivers\pnnlitmi.sys [X] S2 SPDRIVER_1.42.1.2651; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1.42.1.2651\jsdrv.sys [X] HKLM-x32\...\Run: [mbot_pl_014010109] => [X] HKU\S-1-5-21-3932816958-4066117016-696730429-1000\...\Run: [apphide] => C:\Program Files (x86)\baidu\pps.exe Task: {1666F6A9-E5F3-4B10-9696-E06A99669534} - System32\Tasks\QQBrowser Udpater Task(Core) => C:\Program Files (x86)\Tencent\QQBrowser\QQBrowser.exe [2015-09-27] (Tencent Inc.) Task: {29C538A4-FA41-4117-B4B7-328BB164F9E1} - \SPBIW_UpdateTask_Time_3638333438333531372d55783745342a2d3432325b57 -> Brak pliku Task: {3A44E23C-40E2-45C9-97E8-62D0A2805E42} - \YTDownloader -> Brak pliku Task: {68A5DBA9-70FA-4776-9A3A-533DBF996058} - System32\Tasks\QQBrowser Udpater Task => C:\Program Files (x86)\Tencent\QQBrowser\QQBrowser.exe [2015-09-27] (Tencent Inc.) Task: {7408DA11-AC23-4B8E-9E13-DBDEF73C8E0C} - \SPDriver -> Brak pliku Task: {837D421A-00E8-421E-81B4-BFCF6B673075} - \ShopperPro -> Brak pliku Task: {A8732760-2D8B-423B-98D6-0D6847AC0577} - \YTDownloaderUpd -> Brak pliku Task: {AEF1939E-28C9-4033-8136-75868FF8928F} - System32\Tasks\PhraseProfessor Auto Updater 1.10.0.24 Pending Update => C:\Program Files (x86)\PhraseProfessor_1.10.0.24\Update\PhraseProfessorAutoUpdateClient.exe [2015-09-02] (PhraseProfessor) Task: {E58C6442-6D4B-4A58-A98E-B6147199407A} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Ja\AppData\Local\SmartWeb\SmartWebHelper.exe [2015-02-17] (SoftBrain Technologies Ltd.) Task: {EDDADB1E-3FCC-43ED-AD7C-D9AF9578C46E} - \ShopperProJSUpd -> Brak pliku Task: {F347768D-7D46-4F76-AFA9-6700E2E3A0A4} - System32\Tasks\PhraseProfessor Auto Updater 1.10.0.24 Core => C:\Program Files (x86)\PhraseProfessor_1.10.0.24\Update\PhraseProfessorAutoUpdateClient.exe [2015-09-02] (PhraseProfessor) Task: C:\Windows\Tasks\QQBrowser Udpater Task(Core).job => C:\Program Files (x86)\Tencent\QQBrowser\QQBrowser.exe Task: C:\Windows\Tasks\QQBrowser Udpater Task.job => C:\Program Files (x86)\Tencent\QQBrowser\QQBrowser.exe CustomCLSID: HKU\S-1-5-21-3932816958-4066117016-696730429-1000_Classes\CLSID\{58d47fff-63ef-572e-843f-e5dd6aa0005d}\InprocServer32 -> C:\Users\Ja\AppData\Local\B5T\Plugin\npB5TPlugin64.dll (B5MSoft) BHO: B5T Shopping Assistant -> {260669B1-FC2C-41C0-BAA2-6EF3BB188660} -> C:\Users\Ja\AppData\Local\B5T\Plugin\B5TShoppingAssistant64.dll [2015-07-31] (B5MSoft) BHO-x32: B5T Shopping Assistant -> {260669B1-FC2C-41C0-BAA2-6EF3BB188660} -> C:\Users\Ja\AppData\Local\B5T\Plugin\B5TShoppingAssistant.dll [2015-07-31] (B5MSoft) BHO-x32: Web Amplified 1.0.0.7 -> {4f93c386-c677-4212-9bc8-47814de68c52} -> C:\Program Files (x86)\Web Amplified\WebAmplifiedbho.dll => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130891327060541813&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NS&pvid=22.5.0.124 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1444658824&z=5ee8710ef49b64ae41dfd58g0zbz3z6qcwcb0b4o2z&from=amt&uid=wdcxwd10s21x-24r1bt0-sshd-8gb_wd-wx91ab3h5653h5653&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1444658824&z=5ee8710ef49b64ae41dfd58g0zbz3z6qcwcb0b4o2z&from=amt&uid=wdcxwd10s21x-24r1bt0-sshd-8gb_wd-wx91ab3h5653h5653 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1444658824&z=5ee8710ef49b64ae41dfd58g0zbz3z6qcwcb0b4o2z&from=amt&uid=wdcxwd10s21x-24r1bt0-sshd-8gb_wd-wx91ab3h5653h5653&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1444658824&z=5ee8710ef49b64ae41dfd58g0zbz3z6qcwcb0b4o2z&from=amt&uid=wdcxwd10s21x-24r1bt0-sshd-8gb_wd-wx91ab3h5653h5653&q={searchTerms} HKU\S-1-5-21-3932816958-4066117016-696730429-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3932816958-4066117016-696730429-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NS&pvid=22.5.0.124 HKU\S-1-5-21-3932816958-4066117016-696730429-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-3932816958-4066117016-696730429-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3932816958-4066117016-696730429-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3932816958-4066117016-696730429-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3932816958-4066117016-696730429-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3932816958-4066117016-696730429-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nklfajnmfbchcceflgddnkignfheooic] - C:\Users\Ja\AppData\Local\B5T\6.0.5.3\Extensions\B5TShoppingAssistantNativeMsg.crx [2015-10-15] CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx C:\IQIYI Video C:\ppsfile C:\qycache C:\Program Files (x86)\CinemaP-1.9cV12.10 C:\Program Files (x86)\Crossbrowse C:\Program Files (x86)\d6cd8f5e-ab4e-4b79-9dc3-e758a83acaed C:\Program Files (x86)\e05945c7-3db0-433c-a92f-f3bc9b697f4c C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\PhraseProfessor_1.10.0.24 C:\Program Files (x86)\RayDld C:\Program Files (x86)\Tencent C:\ProgramData\4997GameBox_Data C:\ProgramData\adb C:\ProgramData\IQIYI Video C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP C:\Users\Ja\AppData\Local\1F97B14F-1444666110-E411-B2A0-F0761C0D1586 C:\Users\Ja\AppData\Local\B5T C:\Users\Ja\AppData\Local\BrowserHelper C:\Users\Ja\AppData\Local\Crossbrowse C:\Users\Ja\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Ja\AppData\Local\globalUpdate C:\Users\Ja\AppData\Local\gmsd_pl_005010109 C:\Users\Ja\AppData\Local\Mozilla C:\Users\Ja\AppData\Local\SmartWeb C:\Users\Ja\AppData\Local\SysassistByHotWheel C:\Users\Ja\AppData\LocalLow\B5T C:\Users\Ja\AppData\LocalLow\SmartWeb C:\Users\Ja\AppData\Roaming\ejDMUuuWQthALMTtuFfT12Ym4NG C:\Users\Ja\AppData\Roaming\IQIYI Video C:\Users\Ja\AppData\Roaming\Mozilla C:\Users\Ja\AppData\Roaming\NetService C:\Users\Ja\AppData\Roaming\RunDir C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QQ浏览器.lnk C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Crossbrowse.lnk C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\QQ浏览器.lnk C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\帮5淘 C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Ja\Desktop\QQ浏览器.lnk C:\Users\Ja\Downloads\Windows 7 Aktywator Downloader* C:\Users\Public\QiYi C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj CinemaP-1.9cV12.10, 帮5淘—帮5买旗下购物助手 Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. OperaCTRL+SHIFT+E i na liście rozszerzeń za pomocą iksów usuń CinemaP-1.9cV12.10, 帮5淘—帮5买旗下购物助手 Wybraną przeglądarkę ustaw jako domyślna, obecnie jest przypisany Crossbrowse. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition Dołącz też plik fixlog.txt.

Te raporty FRST wyglądają bardzo dziwnie, tzn. całkowicie pusta lista zainstalowanych programów (nie widać ani jednej pozycji, mimo że ewidentnie są zainstalowane określone programy), multum sekcji jest pustych, co jest po prostu niemożliwe przy zainstalowanych określonych programach. Np. jest tu ESET, a nie ma ani jednej usługi czy sterownika tego programu. Czy to na pewno raporty FRST nie manipulowane w żaden sposób, nic z nich nie wycinałeś ręcznie? Jeśli to na pewno logi oryginalne, to masz poważny problem ogólny i wymagana byłaby reinstalacja prawie wszystkiego, nie wspominając o tym, że jest niewiadome ile jest jeszcze uszkodzone. Raportujesz, że nie jesteś nawet w stanie nic instalować. Nie jest wykluczone, że skończy się na reinstalacji całego systemu. Co do Google Chrome, to jest zaśmiecone adware. Nie wiem w jaki sposób deinstalowałeś przeglądarkę, ale są wątpliwości czy usuwałeś jej profil z dysku podczas deinstalacji. Z tym że w obliczu powyższej usterki problem Google Chrome jest podrzędny i na razie się nim nie zajmuję.

Owszem, 64-bitowy C:\Program Files\Windows Photo Viewer\PhotoBase.dll i kilka innych plików jest uszkodzonych, a narzędzie SFC nie było w stanie ich naprawić ze względu na brak poprawnej kopii w repozytorium (wszystkie instancje uszkodzone). Wymagana ręczna podmiana plików idealnie dopasowanymi kopiami z mojego systemu. Skompletowanie instrukcji potrwa i nie spodziewaj się szybkiej odpowiedzi z mojej strony. Na razie podaj mi spis wszystkich wystąpień plików wyliczanych przez SFC jako nienaprawialne, co pomoże zestawić ścieżki wymagające interwencji: Uruchom FRST, w Szukaj wklej: dsound.dll.mui;Microsoft.VisualC.Dll;PhotoBase.dll;sbdrop.dll.mui;System.AddIn.dll;System.AddIn.Contract.dll;tbssvc.dll.mui;wmpnetwk.exe.mui;xmlfilter.dll Klik w Szukaj plików i dołącz log wynikowy.

To zadanie "Idle" mimo podejrzanego opisu wydaje się być pochodną instalacji któregoś narzędzia Samsung, na co wskazuje zawartość folderu. Ale to i tak już usunięte. I drobna poprawka. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 1. W teorii można usunąć wszystkie aplikacje Samsung, o ile z nich nie korzystasz, co rzecz jasna spowoduje utratę specjalnych ficzerów (np. sterowanie klawiszami funkcyjnymi): KLIK. ==================== Zainstalowane programy ====================== BatteryLifeExtender (HKLM\...\{FFD0E594-823B-4E2B-B680-720B3C852588}) (Version: 1.0.11 - Samsung) ChargeableUSB (HKLM\...\{92D50865-FC60-4EA8-BA7A-5581B0D13EFB}) (Version: 1.0.0.0 - SAMSUNG) Connection Manager (HKLM\...\InstallShield_{92BF2245-BE42-486E-A1CF-DBABCD4F0C43}) (Version: 2.1.0.0133 - Samsung Electronics Co., Ltd.) CyberLink YouCam (HKLM\...\InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}) (Version: 2.0.3911 - CyberLink Corp.) Easy Content Share (HKLM\...\{2DDC70C1-C77A-4D08-89D2-9AB648504533}) (Version: 1.0 - Samsung Electronics Co., LTD) Easy Display Manager (HKLM\...\{17283B95-21A8-4996-97DA-547A48DB266F}) (Version: 3.2 - Samsung Electronics Co., Ltd.) Easy Network Manager (HKLM\...\{8732818E-CA78-4ACB-B077-22311BF4C0E4}) (Version: 4.4.7 - Samsung) Easy Resolution Manager (HKLM\...\{A8DDD59F-1413-40BD-B61C-77A0BDB2B22B}) (Version: 1.1.0 - Samsung) Easy SpeedUp Manager (HKLM\...\{EF367AA4-070B-493C-9575-85BE59D789C9}) (Version: 2.1.1.1 - Samsung Electronics Co.,Ltd.) EasyBatteryManager (HKLM\...\{607DA1C8-34EC-4D7A-AD83-F8E5C70736DF}) (Version: 4.0.0.4 - Samsung) EasyFileShare (HKLM\...\{1181AA5B-8EFD-4AC5-8CDE-A1F7307B3427}) (Version: 1.0.13 - Samsung) Fast Start (HKLM\...\{77F45ECD-FAFC-45A8-8896-CFFB139DAAA3}) (Version: 2.2.0.1 - SAMSUNG) Samsung HSPA DataCard CD and SS 5.36.9704 (HKLM\...\{5D409C50-57A2-4EEF-846B-11B66E3E7B56}) (Version: 5.36.9704 - Samsung) Samsung Recovery Solution 4 (HKLM\...\{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}) (Version: 4.0.0.6 - Samsung) Windows Live 程式集 (HKLM\...\WinLiveSuite) (Version: 15.4.3508.1109 - Microsoft Corporation) Windows Live od razu można się pozbyć, co zlikwiduje też modyfikację Winsock. A z pozostałych tylko niektóre są uruchamiane automatycznie via Harmonogram, więc te są bardziej podejrzane pod kątem ewentualnego wpływu na pracę systemu: ==================== Zaplanowane zadania (filtrowane) ============= Task: {16AEDD46-8EF8-466E-8233-3C9C6811136A} - System32\Tasks\BatteryLifeExtender => C:\Program Files\Samsung\BatteryLifeExtender\BatteryLifeExtender.exe [2010-12-18] (Samsung Electronics. Co. Ltd.) Task: {49ECD949-97BD-43D7-B009-9E6699E77D63} - System32\Tasks\advSRS4 => C:\Program Files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe [2010-01-19] (SEC) Task: {56C7F4B7-B5DE-48D3-803C-6A66E3C295F6} - System32\Tasks\SmartRestarter => C:\Program Files\Samsung\SamsungFastStart\SmartRestarter.exe [2010-08-05] (Samsung Electronics Co., Ltd.) Task: {5A12CF89-72F6-4C51-93CE-1C1C4F0EEADB} - System32\Tasks\EasyDisplayMgr => C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe [2010-06-08] (Samsung Electronics Co., Ltd.) Task: {BBCF5E54-AA8B-4A26-A59E-08E74B7304EB} - System32\Tasks\EasySpeedUpManager => C:\Program Files\Samsung\EasySpeedUpManager\EasySpeedUpManager2.exe [2010-12-23] (Samsung Electronics) Task: {CAA0EBD8-A38F-4FF3-95E4-3CA56F21EB6D} - System32\Tasks\EasyBatteryManager => C:\Program Files\Samsung\EasyBatteryManager\EasyBatteryMgr4.exe [2011-06-18] (SAMSUNG Electronics co., LTD.) Przed rzuceniem się w jakąkolwiek deinstalację narzędzi Samsunga raczej sprawdziłabym czy wyłączenie powyższych ma jakieś skutki. Test mógłbyś przeprowadzić przy udziele Autoruns (karta Scheduled Tasks). 2. Tu jest mało pamięci fizycznej, więc pole manewru mocno ograniczone: ==================== Statystyki pamięci =========================== Procesor: Intel® Atom™ CPU N455 @ 1.66GHz Procent pamięci w użyciu: 91% Całkowita pamięć fizyczna: 1013.3 MB Dostępna pamięć fizyczna: 88.8 MB Całkowita pamięć wirtualna: 2037.3 MB Dostępna pamięć wirtualna: 1073.16 MB

Fix pomyślnie wykonany. Na koniec: Skasuj pobrane narzędzia i ich logi z D:\Downloads\vir. Popraw jeszcze narzędziem DelFix oraz wyczyść foldery Przuwracania systemu: KLIK.