picasso

Teraz odpowiadaj mi już w nowym poście, nie edytuj pierwszego. W systemie jest aktywna usługa adware ihpmServer oraz moduł Zonzap. Ponadto, przeglądarka Google Chrome została przekonwertowana przez adware z wersji stabilnej do tzw. "developerskiej" i jest konieczna jej reinstalacja od zera. Ostrzeżenie: poszukując rozwiązania ściągałeś lewy program SpyHunter, z daleka od niego. Akcje do przeprowadzenia: 1. Odinstaluj stare wersje Adobe Flash Player 10 ActiveX, Adobe Reader XI (11.0.13) - Polish, Java 8 Update 25, RealPlayer oraz Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Nie instaluj na razie nowej wersji Chrome, bo w punkcie 2 będzie doczyszczenie obiektów Chrome. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 ihpmServer; C:\Program Files (x86)\RayDld\ihpmServer.exe [270568 2015-10-12] () S2 HP LaserJet Service; "C:\Program Files (x86)\HP\HPLaserJetService\HPLaserJetService.exe" [X] S2 Zonzap; C:\ProgramData\\Zonzap\\Zonzap.exe -f "C:\ProgramData\\Zonzap\\Zonzap.dat" -l -a S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 BTCOM; system32\DRIVERS\btcomport.sys [X] S3 Btcsrusb; System32\Drivers\btcusb.sys [X] S3 btmaudio; system32\drivers\btmaud.sys [X] R4 DRIVER_B; \??\C:\Windows\system32\Drivers\DRIVER_BIN64 [X] S1 eamonm; system32\DRIVERS\eamonm.sys [X] S1 ehdrv; system32\DRIVERS\ehdrv.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 IvtComBusSrv; System32\Drivers\btcombus.sys [X] S3 SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2012.SP4a\WNt500x64\Sandra.sys [X] Task: {A97E93A2-7AB1-4977-86A5-8153A0075A52} - System32\Tasks\Update\cryptex => C:\Users\3ESC\AppData\Local\Temp\ariana.exe Task: {CFA6D06E-44A5-4B08-AD85-14828D5D23F5} - System32\Tasks\{02FBDBE5-A265-4551-BCA8-FB7EC1F07E55} => pcalua.exe -a "C:\Program Files (x86)\Common Files\TrippleKix\uninstall.exe" -c -f "C:\Program Files (x86)\Common Files\TrippleKix\uninstall.dat" -a uninstallme C3C273F6-495F-4859-81DC-3770706A41F2 DeviceId=bc7c933f-4576-a6e3-9e9f-81ec6eda0ba4 BarcodeId=50028003 ChannelId=3 DistributerName=APSFIsc HKLM-x32\...\Run: [] => [X] HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> BootExecute: autocheck autochk * bootdeletesdnclean64.exe CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1513873014-1676483810-3709530833-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1445468493&z=81b5fd2827ae88f376740f7g5zez9w5z9q6b8z0tcc&from=cor&uid=st9500420as_5vj9px2fxxxx5vj9px2f&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1445468493&z=81b5fd2827ae88f376740f7g5zez9w5z9q6b8z0tcc&from=cor&uid=st9500420as_5vj9px2fxxxx5vj9px2f&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1445468493&z=81b5fd2827ae88f376740f7g5zez9w5z9q6b8z0tcc&from=cor&uid=st9500420as_5vj9px2fxxxx5vj9px2f&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1445468493&z=81b5fd2827ae88f376740f7g5zez9w5z9q6b8z0tcc&from=cor&uid=st9500420as_5vj9px2fxxxx5vj9px2f&q={searchTerms} HKU\S-1-5-21-1513873014-1676483810-3709530833-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku FF HKLM-x32\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\Program Files (x86)\Real\RealPlayer\browserrecord\firefox\ext FF HKLM-x32\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\3ESC\AppData\Roaming\Mozilla\Firefox\Profiles\jtz6kni7.default-1445466581999\extensions\deskCutv2@gmail.com => nie znaleziono C:\$360Section C:\Program Files\ConvertHelper3 C:\Program Files (x86)\360 C:\Program Files (x86)\Google C:\Program Files (x86)\Iron Man Lego Adventures C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\Program Files (x86)\RayDld C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files (x86)\Temp C:\Program Files (x86)\UpgraderSystem C:\Program Files\Common Files\WinPcapNmap.exe C:\ProgramData\360Quarant C:\ProgramData\TEMP C:\ProgramData\SlimWare Utilities, Inc C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Zonzap C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Cleaner 3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mIRC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NFS Most Wanted PL C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SoftMaker Office Professional 2012 C:\Users\3ESC\AppData\Local\*CIS* C:\Users\3ESC\AppData\Local\48FD097A_stp C:\Users\3ESC\AppData\Local\5C5FDFC1_stp C:\Users\3ESC\AppData\Local\ESET C:\Users\3ESC\AppData\Local\Opera Software C:\Users\3ESC\AppData\Roaming\Opera Software C:\Users\3ESC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Office C:\Users\3ESC\Downloads\SpyHunter-Installer.exe C:\Users\3ESC\Downloads\YTDInstaller.exe C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Gość\Desktop\*.lnk C:\Users\Public\Desktop\HP Print and Scan Doctor.lnk C:\Windows\System32\Drivers\EpfwLWF.sys C:\Windows\System32\Drivers\etc\hosts.*.backup C:\Windows\System32\Tasks\Safer-Networking C:\Windows\System32\Tasks\Update DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Update Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CCleaner Monitoring" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SlimCleaner Plus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotPostWindows10UpgradeReInstall" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox (chodzi o ten normalny a nie wersję Tor na Pulpicie): Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\3ESC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Dopiero teraz możesz zainstalować najnowszą wersję Google Chrome. I po tym zrób nowe logi FRST z opcji Skanuj (Scan), zaznacz tylko pole Addition, Shortcut nie jest mi już potrzebny. Dostarcz oba logi wynikowe oraz plik fixlog.txt.

Wątek malware proszę porzuć, żadnego związku. Normalna sytuacja to właśnie odwrotność tego co opisujesz: standardowo te klucze są chronione i zablokowane dla Administratorów, a jeśli wcześniej nie były, to albo było to "uszkodzone" ustawienie systemu już zmanipulowane w jakiś sposób, albo chodziło o klucze wtórne wprowadzone przez jakąś instalację która inaczej przyznała uprawnienia. Te klucze domyślnie są ograniczone przez uprawnienia, ich Właścicielem jest konto sytemowe TrustedInstaller, a Administratorzy mają tylko Odczyt. Przykładowy widok uprawnień na pierwszym z brzegu podkluczu: Jeśli dany klucz ma być edytowany, wtedy należy dla tego klucza zmienić Właściciela z TrustedInstaller na Administratorzy oraz przestawić Administratorom Odczyt na Pełną kontrolę. Jeśli dany klucz ma podklucze i one też miałbyby być edytowane, to przy tej operacji należy zaznaczyć rekursywne przetwarzanie uprawnień lub dany podklucz z osobna adresować. Po edycji zaś przywrócić poprzednią blokadę. Ale opisz o co Ci tu w ogóle chodzi, po co edycje (i gdzie konkretnie), co chcesz osiągnąć?

FRST - nowoczesny program który całkowicie zastępuje OTL i posiada o wiele więcej skanów niż OTL. OTL to archaiczna aplikacja, od kilku lat nie aktualizowana, w której są nieprawione błędy i braki. GMER jest specjalizowany w szukaniu ukrytych infekcji rootkit, programy typu FRST i OTL nie pracują na poziomie który umożliwia takie detekcje i mogą zostać oszukane.

Uruchom Zoek. W oknie wklej: FontNav;u PL;u Update Manager;u VBA;u VCRedistSetup;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log).

Zadane polecenia zostały wykonane poprawnie i podanych raportach FRST było już wszystko w porządku (zlikwidowany sterownik ESET oraz szczątki Symantec). Skoro pojawił się nowy problem z zamykaniem systemu: czy było coś nowego instalowanego w międzyczasie? I może zrób nowe raporty z FRST (włącznie z Addition), które przedstawią czy nie pojawiła się jakaś nowa niekorzystna zmiana oraz wykażą nowe błędy w Dzienniku.

WinBuilder 2016 Archiwalna postać strony pobierania Archiwalna postać forum Platforma: Windows, Linux, MacOS - Buduje nośniki: Windows 8/8.1, Windows 7 Licencja: freeware Opis archiwalny. Tak jak w przypadku poprzednika, stary i bez oficjalnych linków pobierania. Serwis reboot.pro nie jest obecnie dostępny, z powodów wyszczególnionych w tym wątku. WinBuilder 2016 - To nowa edycja WinBuilder zbudowana na środowisku Java, dlatego może być uruchomiona nie tylko na Windows, choć obecnie buduje tylko płyty Windows. Instalacja Java w systemie nie jest wymagana, aplikacja ma zintegrowane własne biblioteki. Ta wersja WinBuilder ma zupełnie inny minimalistyczny interfejs i działa na zasadzie wpisywania komend w oknie. Posiada zintegrowany przykładowy projekt budowania płyty WinPE z powłoką graficzną, w wersji Windows 7 32-bit. Alternatywne gotowe projekty nie są dostępne - te w bazie pobierania reboot.pro są tylko kompatybilne ze starym WinBuilder 082 i nie zostały przekonwertowane na nowy format WinBuilder 2015. Wpisanie polecenia LIST zwróci wszystkie obsługiwane komendy. Komenda AUTO to automatyczne tworzenie nośnika WinPE. W przypadku braku wykrycia źródła plików Windows program próbuje pobierać obrazy ISO Windows 7 x86 i Windows 8.1 x86 z zewnętrznych serwerów, ale to obecnie nie działa i należy ręcznie podstawić źródła. W takiej sytuacji zamiast AUTO w oknie wpisz polecenie SOURCE i wskaż folder z własnym rozpakowanym ISO, a następnie komendę BUILD rozpoczynającą budowę płytki w oparciu o nowe źródło. Obraz przeniesiony na naszą podstronę Google.

To niekompletny raport FRST, brakuje plików Addition i Shortcut. I proszę logi umieszczaj jako załączniki forum, jest mi łatwiej je analizować, oryginalne pliki gwarantują też brak zniekształceń podczas przeklejania.

Tak, ponieważ resetowałam reguły Zapory poleceniem netsh advfirewall reset. Do Avast można dołożyć Malwarebytes Anti-Exploit. Pobór zawartości folderu C:\Temp wskazuje, że ten podejrzany plik autoryzowany w Zaporze to jednak nie jest infekcja. Plik ten pochodzi od konkretnego legalnego producenta. Wszystko OK. Czyli w podsumowaniu tu w ogóle nie było żadnych oznak infekcji. 2015-06-18 22:41 - 2011-06-21 17:58 - 0018528 _____ (M-Photo Ltd.) C:\temp\Update Manager.exe Zanim skończymy, jeszcze usuńmy szczątki po odinstalowanym Paragon. W pierwszym logu FRST były dwa sterowniki odpadkowe po tym sofcie, a nie wykluczone że jest więcej (FRST ma bardzo silne filtrowanie): S1 UimBus; C:\Windows\System32\DRIVERS\uimx64.sys [90960 2012-12-20] (Windows ® 2000 DDK provider) S1 Uim_IM; C:\Windows\System32\Drivers\Uim_IMx64.sys [633680 2012-12-20] (Paragon) Akcje do przeprowadzenia: 1. Start > w polu szukania wklep devmgmt.msc > z prawokliku Uruchom jako Administrator > w menu Widok włącz pokazywanie ukrytych urządzeń. Znajdź obiekty Paragon, powinny być widoczne pod nazwami Universal Image Mounter, Universal Image Mounter Controller. Znalezione podświetl i odinstaluj. Zresetuj system. 2. Zrób rozszerzony log FRST: odznacz pola Filtrowanie dla Usług i Sterowników, klik w Skanuj.

Każda z przeglądarek używa innej wersji Adobe Flash: Firefox (NPAPI), Google Chrome (wbudowany PPAPI), Opera (zewnętrzny PPAPI). Skoro są tu problemy z dwoma przeglądarkami na 3 możliwe, to może jest coś wspólnego zainstalowanego co wpływa na Firefox i Google Chrome. Zaprezentuj raporty z FRST.

Jaki błąd? Sprawdź czy usunie go Norton Removal Tool.

Mnogość wystąpień to naturalny odczyt. Uruchom przystawkę services.msc i zobacz jak bogaty zestaw usług jest w systemie. Jak sama nazwa wskazuje, host usług to gospodarz / kontroler tychże i pod nim będzie multum pozycji uruchomionych. Jest wiele wystąpień hosta, gdyż usługi są grupowane wg podobnej specyfikacji uruchomieniowej (wspólny parametr). Ten podział jest zdefiniowany w kluczach: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\SvcHost Widok z mojego menedżera zadań Windows 10: Inna sprawa to "zjadanie dużego % dysku", tzn. ile (100% z tytułu?) i która usługa podczepiona pod daną grupę hosta? Zakładając, że wybrałeś punkt Przywracania sprzed aktualizacji nVidia, Przywracanie systemu powinno odkręcić wersje plików na dysku i poprzednie sterowniki powinny już być. Natomiast sam wpis na liście zainstalowanych programów to osobna sprawa, tzn. "odpadek" - rozumiem, że nadal widzisz to: NVIDIA GeForce Experience 2.5.15.46 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.GFExperience) (Version: 2.5.15.46 - NVIDIA Corporation) NVIDIA Oprogramowanie systemu PhysX 9.12.1031 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX) (Version: 9.12.1031 - NVIDIA Corporation) NVIDIA Sterownik graficzny 344.11 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 344.11 - NVIDIA Corporation) Co się pokazuje przy próbie deinstalacji?

DelFix wykonał co należy. Możesz usunąć plik C:\delfix.txt z dysku. Temat rozwiązany. Zamykam.

Brakuje właśnie nowego skanu FRST.txt. Poza tym, ten zlinkowany fixlist.txt to nie jest poprawny plik - otwórz go i zobacz co jest w środku, masa "chińskich" krzaków.

Fix pomyślnie wykonany. Teraz uruchom Hitman Pro, wykonaj skan, nic nie usuwaj jeszcze i dostarcz log wynikowy.

Fix pomyślnie wykonany. Na zakończenie: Usuń użyte narzędzia i ich logi z folderu D:\Service WOLFcom\Odrobaczanie. Następnie zastosuj DelFix. Jak najbardziej. Już zgłosiłam tę modyfikację autorowi FRST i nowa wersja FRST będzie pokazywać przekierowany update_url rozszerzeń. Od razu będzie oczywiste, że Google Chrome musi zostć przeinstalowane od zera.

Posty dla porządku skleiłam. Czekam jeszcze na GMER. Uzupełnij.

W systemie aktywne adware TermCoach, ponadto jest czynne proxy. Akcje do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj: InetStat, McAfee Security Scan Plus, TermCoach 1.10.0.24. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 PrivoxyService; C:\Program Files\AFC Secure Net\privoxy.exe [371200 2015-08-06] (The Privoxy team - www.privoxy.org) [brak podpisu cyfrowego] S3 WPFFontCache_v0400; C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [X] HKU\S-1-5-21-117609710-261478967-527237240-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKU\S-1-5-21-117609710-261478967-527237240-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - e:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-09-06 C:\Documents and Settings\kamil1\Menu Start\Programy\Haali Media Splitter C:\Documents and Settings\kamil1\Menu Start\Programy\InetStat C:\Program Files\AFC Secure Net C:\Program Files\Download Updater CMD: type C:\WINDOWS\system32\Drivers\etc\hosts Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Nie wiem jak to się stało, ale forum obcięło mi link i jakaś kaszanka powstała, stąd to zwrotne przekierowanie. Link poprawiony w obu postach. PS. Fix FRST wykonany poprawnie. Możesz usunąć narzędzia i logi, w tym folder C:\FRST.

Wszystko wygląda dobrze. Google Chrome było kompletnie reinstalowane, więc problem z adware powinien zniknąć na dobre. Na koniec: Zastosuj DelFix, by skasować używane narzędzia. GMER dokasuj ręcznie, DelFix go nie wykryje.

Poproszę o raporty z FRST.

Infekcja pomyślnie usunięta. Teraz już poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1036782118-4070208372-3494369121-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Piotrek\AppData\Local\Akamai\netsession_win.exe" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Panda Security RemoveDirectory: C:\ProgramData\panda_url_filtering RemoveDirectory: C:\Users\Piotrek\AppData\Roaming\Panda Security RemoveDirectory: C:\Windows\system32\vbox RemoveDirectory: C:\Windows\SysWOW64\vbox CMD: del /q C:\Users\Piotrek\Downloads\5znyowp4.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie kolejny fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi potrzebny.

Fix prawie wykonany. Była jedna literówka i jeszcze drobna poprawka. Do Notatnika wklej: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Photos Backup" /f RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt. Ale narzędzie miało być uruchomione w trybie ręcznym a nie automatycznym: Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > ma się pojawić lista zainstalowanych programów, na której zaznaczasz daną pozycję Nie zauważyłam, że na obrazku były dwa komunikaty. Ten błąd świadczy, że wspominany na błędzie plik XP jest za stary - może brakuje jakiejś aktualizacji z Windows Update. To sprawdzisz potem. Na razie po prostu wyłącz wpis ze startu: Start > Uruchom > msconfig > w karcie Uruchamianie odptaszkuj Adobe ARM.

Fix pomyślnie wykonany. Czynności końcowe już zadałam. Temat rozwiązany. Zamykam.

Odinstalowałeś zestaw programów Apple związany z iTunes: Apple Application Support, Apple Mobile Device Support, Apple Software Update. Ten pierwszy jak widać był kluczowy dla iTunes i program nie chce się bez niego uruchomić. Reinstalacja iTunes na widoku. Doedytowałeś, już zrobione. Zainstaluj najnowszą wersję Java i sprawdź czy to pomoże: KLIK. Jeśli nie, zainstaluj tymczasowo starą wersję Java dopasowaną do Twojej wersji ArchiCAD 12 i ponów deinstalacje: KLIK. Gdyby się udało, ta stara Java dla bezpieczeństwa musi wylecieć. Fix FRST uruchomiłeś dwa razy, dlatego prawie wszystko figuruje jako "not found". Co się działo, że Fix uruchomiony podwójnie? Drobne poprawki: 1. Deinstalacje: ----> Zapomniałeś odinstalować stary Adobe Shockwave Player 11.5. ----> Odinstalowane Corel i Nero, zostały po nich ukryte komponenty. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei wpisy FontNav, PL, Update Manager, VBA, VCRedistSetup > Dalej. Program należy uruchomić tyle razy ile wpisów, nie da się zrobić akcji hurtowej. 2. Otwórz Notatnik i wklej: SearchScopes: HKU\S-1-5-21-1078081533-2139871995-725345543-1004 -> DefaultScope {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=GLSV5&o=10168&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^GL&apn_dtid=^YYYYYY^YY^PL&apn_uid=8AFF9162-2F10-4C8E-8A16-E64FC9ABEC8C&apn_sauid=E6672CEF-5FED-4389-91F5-8E9CB55938F5 SearchScopes: HKU\S-1-5-21-1078081533-2139871995-725345543-1004 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=GLSV5&o=10168&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^GL&apn_dtid=^YYYYYY^YY^PL&apn_uid=8AFF9162-2F10-4C8E-8A16-E64FC9ABEC8C&apn_sauid=E6672CEF-5FED-4389-91F5-8E9CB55938F5 Toolbar: HKU\S-1-5-21-1078081533-2139871995-725345543-1004 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {68282C51-9459-467B-95BF-3C0E89627E55} hxxp://www.mks.com.pl/skaner/SkanerOnline.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18Core.job => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18UA.job => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe C:\Documents and Settings\All Users\Dane aplikacji\Nero C:\Documents and Settings\All Users\Dane aplikacji\Skype C:\Documents and Settings\All Users\Menu Start\Programy\OpenOffice.org 3.3 C:\Documents and Settings\CoolPizza\Dane aplikacji\Corel C:\Documents and Settings\CoolPizza\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Program Files\ALLPlayer C:\Program Files\Corel C:\Program Files\NAPI-PROJEKT C:\Program Files\Nero C:\Program Files\OpenOffice.org 3 C:\Program Files\PokerStars.EU C:\Program Files\SkanerOnline C:\Program Files\Common Files\Ahead C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google Reg: reg delete HKU\S-1-5-18\Software\MozillaPlugins /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete "HKU\S-1-5-18Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Photos Backup" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstaje kolejny fixlog.txt. Przedstaw go.

Mam pytanie: co to za instalator, czy to jakiś trial / demo, czy pełna wersja aktywowana na kluczu, czy klucz jest wielokrotnego użytku? I w takim przypadku sugeruję bezpośredni kontakt z producentem programu. Co do reszty zadań (nie powiązanych w ogóle z powyższym), nie odpowiedziałeś na pytanie: Wszystko wykonane, zostały drobne poprawki: 1. Urządzenia ISATAP nie zostały zlikwidowane, mimo że Devcon nie zgłosił żadnego błędu. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako administrator > po kolei odinstaluj wszystkie Karty ISATAP. 2. Otwórz Notatnik i wklej w nim: S3 Lavasoft Kernexplorer; \??\C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys [X] Task: {33EB2684-2B4E-45C2-A041-A41184DB31A7} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {FBA9A0C9-CAD4-4D60-B28A-BF2F205C4B63} /f CMD: sc config CryptSvc start= auto CMD: sc start CryptSvc RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\OpenOffice.org 3 RemoveDirectory: C:\ProgramData\Lavasoft RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 3.0 RemoveDirectory: C:\Users\Dorota\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\Dorota\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. Nowy log FRST nie jest mi potrzebny.