picasso

Tytuł koryguję, temat przenoszę do działu Windows. W raportach żadnych śladów "fałszywego svchost", ani czynnej infekcji. W spoilerze drobne czyszczenie wpisów szczątkowych (resztówki adware, wpisy puste), co nie ma znaczenia w kontekście zgłaszanego problemu. Z logów nic kompletnie nie wynika. W menedżerze zadań prawoklik na wystąpienie tego procesu > Przejdź do usług > wypisz te które zostaną podświetlone. A w Dzienniku błędy sugerujące, że zabijałeś poprawne wystąpienia svchost.exe generując błędy ważnych usług: System errors: ============= Error: (04/16/2015 00:25:23 PM) (Source: Service Control Manager) (EventID: 7032) (User: ) Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Instrumentacja zarządzania Windows, ale ta akcja nie powiodła się przy następującym błędzie: %%1056. Error: (04/16/2015 00:25:23 PM) (Source: Service Control Manager) (EventID: 7032) (User: ) Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Przeglądarka komputera, ale ta akcja nie powiodła się przy następującym błędzie: %%1056. Error: (04/16/2015 00:25:23 PM) (Source: Service Control Manager) (EventID: 7032) (User: ) Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Harmonogram klas multimediów, ale ta akcja nie powiodła się przy następującym błędzie: %%1056. Error: (04/16/2015 00:22:23 PM) (Source: Service Control Manager) (EventID: 7032) (User: ) Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Serwer, ale ta akcja nie powiodła się przy następującym błędzie: %%1056. Error: (04/16/2015 00:20:23 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa Windows Update niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. Error: (04/16/2015 00:20:23 PM) (Source: Service Control Manager) (EventID: 7031) (User: ) Description: Usługa Instrumentacja zarządzania Windows niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. W przeciągu 300000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie. Error: (04/16/2015 00:20:23 PM) (Source: Service Control Manager) (EventID: 7031) (User: ) Description: Usługa Kompozycje niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. W przeciągu 60000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie. Error: (04/16/2015 00:20:23 PM) (Source: Service Control Manager) (EventID: 7031) (User: ) Description: Usługa Wykrywanie sprzętu powłoki niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. W przeciągu 60000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie. Error: (04/16/2015 00:20:23 PM) (Source: Service Control Manager) (EventID: 7031) (User: ) Description: Usługa Usługa powiadamiania o zdarzeniach systemowych niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. W przeciągu 300000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie. Error: (04/16/2015 00:20:23 PM) (Source: Service Control Manager) (EventID: 7031) (User: ) Description: Usługa Harmonogram zadań niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. W przeciągu 60000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.

To teraz zresetuj system i sprawdź czy są jakieś zmiany.

Szukaj = Search, Usuń = Clean. Szukaj + Usuń = użycie obu opcji po kolei. Dostarczyłeś kolejny log z opcji szukaj, który nie wykazuje żadnych zmian. Skoro nie ma raportu z usuwania, to się nie wykonało. Powtarzaj zadanie: Search + Clean, po tym ma powstać log z usuwania oznaczony skrótem S.

Ale tu nie wygląda, by narzędzie zaczęło jeszcze działać...

Skończyliśmy temat. Teraz możesz się zająć swoimi własnymi "konserwacjami".

Niestety Fix się nie wykonał w całości, stąd brak resetu, infekcja działa pełną parą. Ponowne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [jemaka] => C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka\jemaka.exe [425516 2015-04-06] (MercantileLegitimiseNeutralised) HKLM\...\Policies\Explorer\Run: [jemaka] => C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka\jemaka.exe [425516 2015-04-06] ( (MercantileLegitimiseNeutralised)) HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k BootExecute: autocheck autochk * sdnclean.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\S-1-5-21-1085031214-2025429265-725345543-1003\SOFTWARE\Policies\Google: Policy restriction CHR Extension: (Bflix extension) - C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jlfihafpijfdgmojeeigcldgchhojpfp [2012-01-14] CHR HKLM\...\Chrome\Extension: [jlfihafpijfdgmojeeigcldgchhojpfp] - C:\Program Files\BFlix\BFlix.crx [2011-12-19] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1085031214-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1085031214-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1085031214-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = https://www.google.com/?trackid=sp-006 HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" HKU\S-1-5-21-1085031214-2025429265-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" SearchScopes: HKLM -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1085031214-2025429265-725345543-1003 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = SearchScopes: HKU\S-1-5-21-1085031214-2025429265-725345543-1003 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1085031214-2025429265-725345543-1003 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} BHO: AcroIEHlprObj Class -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx No File BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre6\bin\ssv.dll No File Toolbar: HKLM - No Name - {bd0c8f87-2da0-4449-a726-b978ae8db32c} - No File CustomCLSID: HKU\S-1-5-21-1085031214-2025429265-725345543-1003_Classes\CLSID\{D9F397C5-3053-4D1D-9DFD-4B3E08E570D8}\InprocServer32 -> C:\Documents and Settings\All Users\Dane aplikacji\{7D14E36A-889F-4FDA-8B78-2423FB17A4D3}\vfnws.dll (Microsoft Corporation) CustomCLSID: HKU\S-1-5-21-1085031214-2025429265-725345543-1003_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\q\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [42784 2014-08-12] (AVG Technologies) S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 massfilter_lte; \??\C:\WINDOWS\system32\drivers\massfilter_lte.sys [X] S3 zgdcat; system32\DRIVERS\zgdcat.sys [X] S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X] S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X] S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X] S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X] C:\WINDOWS\system32\drivers\avgtpx86.sys C:\Documents and Settings\All Users\Dane aplikacji\{7D14E36A-889F-4FDA-8B78-2423FB17A4D3} C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Norton C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\LocalService\Dane aplikacji\McAfee C:\Documents and Settings\NetworkService\Dane aplikacji\McAfee C:\Documents and Settings\q\Dane aplikacji\~uTorrentPartFile_4985C65.dat C:\Documents and Settings\q\Dane aplikacji\eXcEl3rator.txt C:\Documents and Settings\q\Dane aplikacji\Metric - Synthetica.log C:\Documents and Settings\q\Dane aplikacji\Mozilla C:\Documents and Settings\q\Dane aplikacji\njyhik9iaa C:\Documents and Settings\q\Dane aplikacji\nyjuikoitg C:\Documents and Settings\q\Dane aplikacji\AVAST Software C:\Documents and Settings\q\Dane aplikacji\Ieie C:\Documents and Settings\q\Dane aplikacji\MsDtc C:\Documents and Settings\q\Dane aplikacji\Opera Software C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\*.dll C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\setup.exe C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Program Files\DDownTango5aToolbar C:\Program Files\BFlix C:\Program Files\Mozilla Firefox C:\Program Files\Spybot - Search & Destroy 2 C:\WINDOWS\zyjcxd.hcr C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\drivers\avgtpx86.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files\Common Files" CMD: dir .a "C:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\q\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Ma nastąpić restart i powstać kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi (bez Shortcut). Dołącz też plik fixlog.txt.

Wszystko elegancko zrobione i nic podejrzanego już tu nie ma. Teraz: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wykonaj skanowanie za pomocą Hitman Pro (nic nie usuwaj jeszcze) i dostarcz wyniki.

1. Zastosuj DelFix do usunięcia narzędzi. 2. Zrób jeszcze skan Hitman Pro i dostarcz wyniki.

Fix zrobiony, Jeśli chodzi o pozostałe problemy, to sprawdź czy coś da wywołanie reperacji komponentów. Klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklej komendę i ENTER: dism /Online /Cleanup-Image /RestoreHealth Przeklej zwrot z okna, gdy akcja się zakończy.

Resetowanie preferencji nie zawsze usuwa wszystko. AdwCleaner już zlikwidował te wpisy i nie ma po co powtarzać akcji. Ostatni skrypt do FRST: Do Notatnika wklej: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: del /q C:\Users\samsung\Desktop\GMER.txt CMD: del /q C:\Users\samsung\Desktop\gmer1.log CMD: del /q C:\Users\samsung\Downloads\9jrsmv0f.exe CMD: del /q C:\Users\samsung\Downloads\gmer.txt CMD: del /q C:\Users\samsung\Downloads\Norton_Removal_Tool.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\samsung\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Na pewno zresetowałeś ustawienia Google Chrome? AdwCleaner ponownie wykrył te same preferencje szczątkowych rozszerzeń adware i grzebał w pliku "Secure Preferences". Ten plik jest szczególny i edycje "ręczne" mogą prowadzić do uszkodzeń. Sprawdź teraz po operacji AdwCleaner czy Google Chrome się poprawnie uruchamia i nie wyrzuca błędu uszkodzenia "Secure Preferences".

Pośpieszyłeś się, miałeś tylko przeddstawić wyniki do oceny, a Ty już wdrożyłeś usuwanie. Wyniki Hitman to już błahostki: szczątki adware, jakieś ciastka, a "Suspicious files" do zignorowania (to kopie FRST, Hitman nie lubi się z nim ). Kończymy: 1. Zaloguj się na drugie konto "Ania i Grześ" i pokasuj z Pulpitu wszystkie kopie FRST. Zaloguj się z powrotem na administratorskie i usuń foldery: C:\Documents and Settings\User\Local Settings\Temp{B5992E77-86AF-4208-B9A9-615EBC61D816} C:\Documents and Settings\User\Desktop\frst 2. Zastosuj DelFix, by dokończył resztę po narzędziach, oraz wyczyść foldery Przywracania systemu: KLIK.

1. Co to za folder na Pulpicie? AdwCleaner chce go usuwać, a mam podejrzenie, że to coś Twojego poprawnego: C:\Documents and Settings\operator\Pulpit\igs Jeśli tak, to zmień nazwę z "igs" na coś innego, lub przenieś tymczasowo folder na jakiś pendrive lub coś w tym stylu. 2. Dopiero po zabezpieczeniu tego uruchom AdwCleaner ponownie, wybierz sekwencję akcji Szukaj + Usuń i dostarcz wynikowy plik C:\AdwCleaner\AdwCleaner[s0].txt.

To plik z rozszerzeniem *.log, zabroniony w załącznikach. W załącznikach akceptuję tylko rozszerzenie *.txt. Zmień ręcznie nazwę pliku.

Dlatego podałam, by log przedstawić w punkcie 1, bo punkt 2 miał to wszystko usunąć. Powtarzanie operacji na nic, gdyż poprzednie wyniki się już nie pokażą. Czyszczenie z adware wygląda na ukończone. Na wszelki wypadek zrób jeszcze skan za pomocą Hitman Pro, nic nie usuwaj, tylko dostarcz wyniki.

1. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Delta Toolbar, FTdownloader V3.0, Quick Start (o ile będą widoczne). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 2. Dopiero po tym uruchom ponownie AdwCleaner, zastosuj Szukaj + Usuń i dostarcz wynikowy log C:\AdwCleaner\AdwCleaner[sX].txt.

Wytnij ze skryptu FRST linię CreateRestorePoint: i powtórz zadanie.

W logu nic kompletnie nie widać. Jeśli problem jest w Google Chrome, to musi być gdzieś globalna modyfikacja, znowu. Skopiuj na Pulpit całe foldery do analizy: C:\Program Files (x86)\Google C:\Users\Kuba\AppData\Local\Google Spakuj do ZIP, shostuj gdzieś i podeślij link do tego. W linkowanym już artykule w końcowej części wyłożyłam sprawę, gdzie jest podstawowe "zabezpieczenie" - trzeba wyrobić sobie określone odruchy skąd pobierać oraz co robić w oknach instalatorów. Niestety antywirusy nie są w stanie zatrzymać wszystkich instalacji tego typu, wiele antywirusów nawet nie reaguje na próby instalacji typu "PUP" i przepuści. Mógłbyś się ewentualnie zaopatrzyć w komercyjną wersję Malwarebytes Anti-Malware z monitorem, gdyż on ma dużo definicji tego rodzaju. Są jeszcze wirtualne środowiska typu SandBoxie.

Wygląda na to, że problem proksyfikacji tworzy ten podejrzany gagatek w Harmonogramie zadań: Task: {8FDE39BB-6871-44B9-8A92-D4A8F7BBFC81} - System32\Tasks\Gamma Task Menager Cleaner => C:\Program Files (x86)\Gamma Task Menager\ gtrsecure.exe [2015-04-04] (SecureSoft) Na dodatek są w Firefox rozszerzenia adware: Movies Toolbar(Dist. by Azureus Software, Inc.) oraz niewidzialny w menedżerze rozszerzeń Firefox wtręt "Firefox Helper". Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {8FDE39BB-6871-44B9-8A92-D4A8F7BBFC81} - System32\Tasks\Gamma Task Menager Cleaner => C:\Program Files (x86)\Gamma Task Menager\ gtrsecure.exe [2015-04-04] (SecureSoft) Task: {A96C207B-3468-4711-8462-31ABF5FB52B5} - System32\Tasks\Win Installer => C:\Users\Hania\AppData\Local\Updater\winupd.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = C:\Program Files (x86)\AVG C:\Program Files (x86)\Gamma Task Menager C:\Program Files (x86)\Mozilla Firefox\distribution C:\Program Files (x86)\PathModule C:\Program Files (x86)\RelaySoft C:\Program Files (x86)\Zoom Hover Enlarge photos Beta C:\ProgramData\6503224410389159353 C:\ProgramData\MFAData C:\Users\Hania\AppData\Local\MFAData C:\Users\Hania\AppData\Roaming\8FE7.tmp C:\Users\Hania\AppData\Roaming\8FE7.tmp.exe C:\Users\Hania\AppData\Roaming\94C9.tmp C:\Users\Hania\AppData\Roaming\94C9.tmp.exe C:\Users\Hania\AppData\Roaming\em_64x64.ico C:\Users\Hania\AppData\Roaming\TuneUp Software Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie British English Dictionary (Forked by Marco Pinto) trzeba będzie przeinstalować menu Historia > Wyczyść historię przeglądania 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy. PS. Pierwszy post został uporządkowany do oczekiwanej tu formy, ale oczywiście odpowiadasz mi w nowym poście.

Kolejna porcja zadań: 1. Uruchom AdwCleaner ponownie, tym razem zastosuj kombinację Szukaj + Usuń. Przedstaw wynikowy log C:\AdwCleaner\AdwCleaner[s0].txt. 2. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Documents and Settings\User\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Pierwsza: tak, zainstaluj tę aktualizację, choć to bardzo podstawowy wykrywacz. Druga: na samym końcu będziesz mógł się zająć "pracami konserwacyjnymi".

Ale przecież nie wykonałeś w ogóle punktu numer 1. Wykonaj to (z tą różnicą, że w Trybie normalnym a nie awaryjnym) i zrób nowe logi FRST (wszystkie trzy) oraz dostarcz fixlog.txt z wynikami usuwania.

Analizą usterki Harmonogramu zajmę się potem, jak sam widzisz wyniki gruuuube. Na szybko wyjaśnienie pozostałej części. Nic tu nie wskazuje na naruszenia w plikach Windows (plik reg.exe jest na dysku, a skan SFC nic nie wykrył), to Zmienne środowiskowe są niepoprawne, brakuje domyślnych specyfikacji folderów systemowych: path=C:\ProgramData\Oracle\Java\javapath;D:\Programy\Wget\bin 1. Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe zaznacz Path i klik w Edytuj. Przeklej całą ścieżkę do Notatnika, by łatwo można było to zedytować i na samym początku dostaw domyślną frazę Windows z końcowym średnikiem oddzielającym od istniejącej już części niedomyślnej: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\ProgramData\Oracle\Java\javapath;D:\Programy\Wget\bin Zapisz zmiany i zresetuj system. 2. Powtórz nieudaną część. Czyli załaduj do FRST skrypt i podaj wynikowy fixlog.txt: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Disc Soft Lite Bus Service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdatem" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDFProFiltSrvPP" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SkypeUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Sony PC Companion" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MySql" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Update Techgile" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: del /q C:\Users\Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\yasr66cw.default\user.js

Log AdwCleaner wygląda bardzo dziwnie, są pokazane powielenia wpisów oraz różne poprawne klucze kończące się na ukośniku. Uruchomienie czyszczenia AdwCleaner w takiej sytuacji prawdopodobnie coś uszkodzi... Trzeba robić usuwanie inną metodą: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\BabylonToolbar C:\Program Files (x86)\Conduit C:\Program Files (x86)\webget C:\ProgramData\5a2bbf30b22ded70 C:\ProgramData\Ask C:\ProgramData\Babylon C:\ProgramData\BitGuard C:\ProgramData\Tarma Installer C:\Users\Adrian\daemonprocess.txt C:\Users\Adrian\AppData\Local\genienext C:\Users\Adrian\AppData\Local\lollipop C:\Users\Adrian\AppData\Local\onlysearch C:\Users\Adrian\AppData\LocalLow\Conduit C:\Users\Adrian\AppData\LocalLow\ConduitEngine C:\Users\Adrian\AppData\LocalLow\Delta C:\Users\Adrian\AppData\LocalLow\IncrediMail_MediaBar_2 C:\Users\Adrian\AppData\Roaming\Babylon C:\Users\Adrian\AppData\Roaming\newnext.me C:\Users\Adrian\AppData\Roaming\OpenCandy C:\Users\Adrian\AppData\Roaming\Systweak C:\Users\Adrian\Documents\Mobogenie C:\Windows\System32\roboot64.exe C:\Windows\SysWOW64\BitGuard C:\Windows\SysWOW64\rlls.dll Reg: reg delete HKCU\Software\8538cdfe23aba17 /f Reg: reg delete HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F} /f Reg: reg delete HKCU\Software\AppDataLow\Software\Conduit /f Reg: reg delete HKCU\Software\AppDataLow\Software\conduitEngine /f Reg: reg delete HKCU\Software\AppDataLow\Software\IncrediMail_MediaBar_2 /f Reg: reg delete HKCU\Software\AppDataLow\Toolbar /f Reg: reg delete HKCU\Software\BABSOLUTION /f Reg: reg delete HKCU\Software\BabylonToolbar /f Reg: reg delete HKCU\Software\Classes\Applications\lollipop.exe /f Reg: reg delete HKCU\Software\Classes\keepmysearch /f Reg: reg delete HKCU\Software\DataMngr /f Reg: reg delete "HKCU\Software\dt soft\daemon tools toolbar" /f Reg: reg delete HKCU\Software\filescout /f Reg: reg delete HKCU\Software\IM /f Reg: reg delete HKCU\Software\ImInstaller /f Reg: reg delete HKCU\Software\InstallCore /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E} /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyOverride /f Reg: reg delete HKCU\Software\lollipop /f Reg: reg delete HKCU\Software\Softonic /f Reg: reg delete HKCU\Software\SweetIM /f Reg: reg delete HKCU\Software\systweak /f Reg: reg delete HKCU\Software\vShare.tv /f Reg: reg delete HKCU\Software\YahooPartnerToolbar /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\{6791A2F3-FC80-475C-A002-C014AF797E9C} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\8538cdfe23aba17 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Babylon /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\BabylonToolbar /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{39CB8175-E224-4446-8746-00566302DF8D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\escort.DLL /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\escortApp.DLL /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\escortEng.DLL /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\escorTlbr.DLL /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\esrv.EXE /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3FD9A2FE-8A4D-4B1C-AB7A-A025658C74CC} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\escort.escrtBtn.1 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{C66F0B7A-BD67-4982-AF71-C6CA6E7F016F} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{EAF749DC-CD87-4B04-B22A-D4AC3FBCB2BC} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Prod.cap /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Toolbar.CT1098640 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Toolbar.CT2724386 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Conduit /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\conduitEngine /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\DataMngr /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\DealPly /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\ImInstaller /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\IncrediMail_MediaBar_2 /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{42617127-D706-4D30-A1BC-BACEFB7D401F}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{920F67ED-6F13-418E-BBB0-D6426C36847B}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3FD9A2FE-8A4D-4B1C-AB7A-A025658C74CC} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\SweetIM /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\systweak /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Techgile /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{C66F0B7A-BD67-4982-AF71-C6CA6E7F016F} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{EAF749DC-CD87-4B04-B22A-D4AC3FBCB2BC} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} /f Reg: reg delete "HKLM\SOFTWARE\Tarma Installer" /f Reg: reg delete HKU\S-1-5-18\Software\Techgile /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner, wybierz tylko Szukaj i dostarcz wynikowy log C:\AdwCleaner\AdwCleaner[R1].txt.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Fix wykonany. Teraz uruchom AdwCleaner. Wstępnie wybierz tylko opcję Szukaj i nic nie usuwaj, dostarcz wynikowy log z folderu C:\AdwCleaner. Prawdopodobnie ten komunikat generuje Windows Search w Autostarcie: Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Windows Search.lnk ShortcutTarget: Windows Search.lnk -> C:\Program Files\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation) 1. Odinstaluj Windows Search 4.0, jeśli nie korzystasz. W przeciwnym wypadku wyklucz Outlook z indeksowania w tym systemie. 2. Zresetuj licznik Outlooka. Start > Uruchom > regedit i w kluczu: HKEY_CURRENT_USER\Identities\{identyfikator}\Software\Microsoft\Outlook Express\5.0 Dwuklik w wartość Compact Check Count i ustaw na 0.