picasso

Akcja wykonana. Ostatni skrypt do FRST: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Dana\Desktop\Stare dane programu Firefox Dostarcz wynikowy fixlog.txt.

Zadanie wykonane. Skasuj z dysku plik C:\Delfix.txt. To tyle.

Nie widać tu żadnych oznak infekcji z pendrive, do korekty będą tylko: adware FF Toolbar w Firefox oraz wpisy puste. Zawartość pendrive nieznana. Dodaj raport USBFix z opcji Listing zrobiony przy podpiętym pendrive. Mogą być różne przyczyny, trudno powiedzieć. Ale zacznij od aktualizacji, w systemie strasznie stara wersja IE7. Zainstaluj IE8 (też bardzo stary, ale dla XP nie ma innych możliwości): KLIK. Platform: Microsoft Windows XP Home Edition Dodatek Service Pack 3 (X86) OS Language: Polski Internet Explorer Version 7 (Default browser: IE) Przy okazji odinstaluj też stare wersje: Adobe AIR, Adobe Flash Player 16 NPAPI, J2SE Runtime Environment 5.0, Java™ 6 Update 19. Ta Java tragiczna, same dziury. Po wszystkich robotach (de)instalacyjnych zrób nowe raporty FRST (wącznie z Addition).

No właśnie o to mi chodziło, by w programie wykonać to co jest w moim opisie narzędzia. W opisie jest wyraźnie powiedziane, by skorzystać z opcji "Remove disinfection tools". Inne nie są wskazywane.

Problem numer jeden tworzy szczątkowy wpis po jakimś szkodniku zlokalizowany w starcie: HKU\S-1-5-21-2737716303-2564593903-3058483522-1001\...\Run: [tsiVideo] => C:\Windows\SysWOW64\rundll32.exe C:\Users\Grabnet\AppData\Local\Temp\\mdi164.dll,asdasd Pozostałe problemy nie są związane z infekcją, a z logów nic nie wynika. Przy czym usterka CD-ROM może być sprzętowa. SpyHunter to program z czarnej listy! Nigdy więcej instalacji. W kwestii likwidacji błędu startowego oraz doczyszczania śmieci: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2737716303-2564593903-3058483522-1001\...\Run: [tsiVideo] => C:\Windows\SysWOW64\rundll32.exe C:\Users\Grabnet\AppData\Local\Temp\\mdi164.dll,asdasd HKU\S-1-5-21-2737716303-2564593903-3058483522-1001\...\Run: [ASRockXTU] => [X] HKU\S-1-5-21-2737716303-2564593903-3058483522-1001\...\Run: [zASRockInstantBoot] => [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] R3 AsrIbDrv; \??\C:\Windows\SysWOW64\Drivers\AsrIbDrv.sys [X] R3 AxtuDrv; \??\C:\Windows\SysWOW64\Drivers\AxtuDrv.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 ewusbmbb; \SystemRoot\system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Users\Grabnet\Start Menu\Programs\SpyHunter Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wielokrotne wystąpienia adresu mystartsearch.com, przestaw na "Otwórz stronę nowej karty" 3. Zrób nowy log FRST z opcji Scan, zazacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Miałeś użyć DelFix do usunięcia narzędzi, a punkty Przywracania systemu wyczyścić ręcznie z poziomu opcji. Natomiast Ty zastosowałeś DelFix do usuwania punktów Przywracania systemu... Czy wybrałeś wcześniej opcję usuwania narzędzi?

Ten błąd oznacza, że pobrany plik jest uszkodzony. Pobierz ponownie.

Zaznacz "Uruchamianie normalne". Jeśli chodzi o podane wcześniej przeze mnie instrukcje, to w związku z tymi problemami z Trybem awaryjnym uruchom Fix FRST z poziomu Trybu normalnego a nie awaryjnego.

Infekcja jest zlokalizowana w tych wpisach: HKLM\...\Winlogon: [userinit] C:\WINDOWS\system32\Userinit.exe,,C:\Program Files\cbvnqrbu\khnaerkl.exe Startup: C:\Documents and Settings\riky\Menu Start\Programy\Autostart\khnaerkl.exe () Niestety to wygląda jak wirus Ramnit zżerający wszystkie pliki wykonywalne i HTML na wszystkich dyskach. Jest to ciężka infekcja, bardzo trudno ją ubić i wymagane jest środowisko zewnętrzne. Z tym, że darowałabym sobie takie próby w związku z faktem, że to system który był co dopiero reinstalowany, bo po leczeniu i tak nie uzyska pierwotnej sprawności: Skoro po formacie problem wrócił, uruchomiłeś zainfekowany wirusem plik z któregoś dysku i/lub przenośnego urządzenia. Są tu dwie partycje: ==================== Drives ================================ Drive c: () (Fixed) (Total:17.58 GB) (Free:10.18 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive d: (Nowy) (Fixed) (Total:19.68 GB) (Free:7.58 GB) NTFS Proponuję wykonać ponownie format i reinstalację XP, ale z zachowaniem środków ostrożności: nie wolno z obecnego stanu skopiować żadnych plików wykonywalnych "na zapas" (instalatory, sterowniki, pliki HTML), bo po formacie wystarczy jeden plik i wszystko wróci do stanu początkowego. Partycja D jest mocno podejrzana, nie wiadomo co tam jest, po formacie C nie wchodź tam, ani nic z niej nie uruchamiaj, tylko wykonaj pełny skan antywirusowy tej partycji. Zachomikowane instalatory wyrzucać bez namysłu, to zawsze można pobrać ponownie.

Kończymy: 1. Usuń pobrany FRST z katalogu C:\Users\admin\Desktop\logi. 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu i wymień Adobe Flash Player 16 ActiveX najnowszą wersją (o ile nadal ten stary jest w systemie): KLIK.

Na przyszłość: nie powtarzaj Fix w FRST, te skrypty są jednorazowego użytku, pierwsze uruchomienie zmienia sytuację i powoduje, że Fix traci ważność. Kolejna porcja działań. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\isearch.babylon.com" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DC727A8C-7582-483C-A1C2-2B885F099BB5} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DC727A8C-7582-483C-A1C2-2B885F099BB5} /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7AB5857A57A0687786597A857BFFFFFF /f Reg: reg delete HKU\S-1-5-18\Software\AskPartnerNetwork /f CMD: del /q C:\Users\Kasia\Downloads\ibghrxzm.exe CMD: del /q C:\Windows\System32\drivers\iSafeKrnlBoot.sys RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\AdTrustMedia RemoveDirectory: C:\Program Files (x86)\Elex-tech RemoveDirectory: C:\Program Files (x86)\OpenOffice.org 3 RemoveDirectory: C:\Users\Kasia\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\System32\log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

1. Uruchom ponownie AdwCleaner, lecz tym razem zastosuj kombinację opcji Szukaj + Usuń (nie pomyl tego z Odinstaluj usuwającym AdwCleaner). Gdy program ukończy czyszczenie adware: 2. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: del /q "C:\Users\NAS Tower\Downloads\06jvf4pi.exe" RemoveDirectory: C:\AdwCleaner Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Reklamy nadal są, bo podane czynności nie miały tego rozwiązać w pełni. W skrypcie FRST były przetwarzane widoczne elementy oraz pobierane dodatkowe informacje o folderach przeglądarek. W Firefox jest ukryte adware, co widać w wynikach skryptu oraz skanie nowej zaktualizowanej wersji FRST: FF ExtraCheck: C:\Program Files\mozilla firefox\browser\defaults\preferences\my-prefs.js [2015-03-25] FF ExtraCheck: C:\Program Files\mozilla firefox\my.cfg [2015-03-25] Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO: JQSIEStartDetectorImpl Class -> {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -> C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll No File DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab FF Plugin: @java.com/DTPlugin,version=10.7.2 -> C:\WINDOWS\system32\npDeployJava1.dll [2012-09-19] (Oracle Corporation) FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll No File FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.26.9\npGoogleUpdate3.dll [2015-02-07] (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.26.9\npGoogleUpdate3.dll [2015-02-07] (Google Inc.) FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff C:\Documents and Settings\Administrator\Dane aplikacji\Opera C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Opera C:\Documents and Settings\All Users\Kaspersky Lab Setup Files C:\Program Files\Google C:\Program Files\Mozilla Firefox\my.cfg C:\Program Files\Mozilla Firefox\browser\defaults C:\Program Files\Opera EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart i powstanie kolejny plik fixlog.txt. 2. Uruchom Zoek. W oknie wklej: Google Update Helper;u Klik w Run Script. Powstanie plik zoek-results.log, trzeba zmienić ręcznie rozszerzenie na *.txt, by dało się doczepić w załącznikach. 4. Sprawdź czy możesz zainstalować Internet Explorer 8. 5. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi. Dołącz też pliki fixlog.txt i zoek-results.txt. Sprawa infekcji w Firefox powinna być rozwiązana.

Fix wykonany tylko częściowo, nie zostały przetworzone komendy Reg, wszystkie mają następujący zwrot: Nazwa 'reg' nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne, program wykonywalny lub plik wsadowy. To wskazuje albo na uszkodzenie Zmiennych środowiskowych, albo na skasowany plik systemowy reg.exe (co nie byłoby niczym dziwnym w przypadku leczenia z wirusa w wykonywalnych). To jest wynik uszkodzenia lub złej konfiguracji któregoś zadania w Harmonogramie. Harmonogram był tu już sprzątany z niedomyślnych śmieci, ale FRST ma tak silne filtrowanie, że nie jest znana lista ani kondycja zadań domyślnych Microsoftu. Pobiorę ich listę w inny sposób. Na teraz proszę pobór danych: 1. Z prawokliku na C:\Windows\system32\cmd.exe Uruchom jako Administrator > wklej komendę sfc /scannow i ENTER. Gdy komenda ukończy działanie: 2. Przygotuj w Notatniku fixlist.txt o postaci: File: C:\Windows\System32\reg.exe CMD: SET CMD: C:\Windows\System32\findstr.exe /c:"[sR]" %windir%\logs\cbs\cbs.log CMD: C:\Windows\System32\schtasks.exe /Query /FO LIST /V W FRST Fix i dostarcz wynikowy fixlog.txt. Analiza tego zajmie mi czas i nie obiecuję szybkiej odpowiedzi.

Poprawiłam posty w tamtym temacie usuwając masowe cytaty odpowiedzi poprzednika. Nie używaj opcji "Odpowiedz" zlokalizowanej przy postach, tylko pole szybkiej odpowiedzi na spodzie tematu i funkcję "Napisz". Jest tu ogromne śmietnisko adware. Część nabyta podczas próby pobierania "The SIMS 4 Key Generator.exe", uruchomiłeś "downloader" z bardzo szkodliwymi rzeczami. M.in. w starcie uruchamia się ten rzekomy "generator", multum szkodliwych sterowników usług, a także moduł OptimizerMonitor.dll wpięty w Winsock i kontrolujący ruch sieciowy. Na dodatek adware przekonwertowało całą przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana reinstalacja od zera. Poza tym, jest w systemie archaiczny IE6, co może być nie bez znaczenia. Rozpocznij od prawidłowych deinstalacji, a poprawki będą potem: 1. Przez Dodaj/Usuń programy odinstaluj: - Adware: AnySend, BestSSAAveForYiou, BlockAndSurf, CinemaP-1.9cV19.01, Cinemax, CommentBlocker, Dislike Button, EnjoyCoaUpon, Facebook voice input, Fun22SaVe, GreatSAve4U, Haappy2SSavE, IGS, igsc, iWebar, NetoCouppon, No Scroll Bars Please, Object Browser, omiga-plus uninstall, PrIceLaesS, Rambler News, RandomPrrice, RegiullarDealss, Software Version Updater, SSaVVeLiots, Support PL 1.1, Supreme AdBlocker, taakeorLeavei, takeosshop, Verbatim Translatio, WinCheck. - Stare wersje Adobe Flash Player 16 NPAPI, Java 7 Update 67 oraz poszkodowane Google Chrome. Przed deinstalacją Chrome możesz wyeksportować tylko zakładki, następnie należy zresetować synchronizację z serwerem (KLIK), a podczas deinstalacji wybrać opcję Usuń także dane przeglądarki. Nie instaluj na razie ponownie tej przeglądarki, na razie trzeba doczyścić system. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut, by powstały trzy logi.

Wszystko zrobione, ale jeszcze w skanie wyszło, że nieznany typ plików jest powiązany z nieszczęsnym "Smart File Advisor", poza tym AdwCleaner dopatrzył się szczątków adware. Wszystko załatwię wspólnym skryptem FRST. Otwórz Notatnik i wklej w nim: C:\Program Files\SiteLookup C:\ProgramData\Innovative Solutions C:\ProgramData\speedypc software C:\ProgramData\Trymedia C:\ProgramData\Uniblue C:\Users\A\Appdata\Local\Innovative Solutions C:\Users\A\Appdata\LocalLow\HPAppData C:\Users\A\Appdata\Roaming\cacaoweb C:\Users\A\Appdata\Roaming\download Manager C:\Users\A\Appdata\Roaming\DriverCure C:\Users\A\Appdata\Roaming\Innovative Solutions C:\Users\A\Appdata\Roaming\speedypc software C:\Users\A\Appdata\Roaming\Systweak Reg: reg add HKCR\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg add HKCR\Unknown\shell\opendlg\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg delete HKCR\Unknown\shell\openas\command /v sfa_backup /f Reg: reg delete HKCR\Unknown\shell\opendlg\command /v sfa_backup /f Reg: reg delete HKCU\Software\cacaoweb /f Reg: reg delete HKCU\Software\InstallCore /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Smart File Advisor_is1" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyOverride /f Reg: reg delete HKCU\Software\Mozilla\Extends /f Reg: reg delete "HKCU\Software\Myfree Codec" /f Reg: reg delete "HKCU\Software\speedypc software" /f Reg: reg delete HKCU\Software\systweak /f Reg: reg delete HKCU\Software\YahooPartnerToolbar /f Reg: reg delete "HKLM\SOFTWARE\AVG Secure Search" /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762} /f Reg: reg delete HKLM\SOFTWARE\Classes\DTToolbar.ToolBandObj /f Reg: reg delete HKLM\SOFTWARE\Classes\DTToolbar.ToolBandObj.1 /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} /f Reg: reg delete HKLM\SOFTWARE\Classes\TypeLib\{968EDCE0-C10A-47BB-B3B6-FDF09F2A417D} /f Reg: reg delete HKLM\SOFTWARE\do-searchSoftware /f Reg: reg delete "HKLM\SOFTWARE\dt soft\daemon tools toolbar" /f Reg: reg delete HKLM\SOFTWARE\IHProtect /f Reg: reg delete HKLM\SOFTWARE\OpenCandy /f Reg: reg delete "HKLM\SOFTWARE\speedypc software" /f Reg: reg delete HKLM\SOFTWARE\SupDp /f Reg: reg delete HKLM\SOFTWARE\SupTab /f Reg: reg delete HKLM\SOFTWARE\systweak /f Reg: reg delete "HKLM\SOFTWARE\Tarma Installer" /f Reg: reg delete HKLM\SOFTWARE\Uniblue /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Czy Ty przypadkiem nie zrozumiałeś opacznie moich instrukcji? Zadałam funkcję usuwania adware w AdwCleaner a nie deinstalację AdwCleaner. Wszystko wskazuje na to, że wykonałeś to drugie, bo jest nadal user.js wykrywany w Firefox, zniknął też katalog C:\AdwCleaner. Powtarzaj zadanie z poprzedniego posta.

1. Uruchom ponownie AdwCleaner, lecz tym razem zastosuj kombinację opcji Szukaj + Usuń. Gdy program ukończy czyszczenie szczątków adware: 2. Na wszelki wypadek zrób jeszcze jeden log FRST z opcji Scan (bez Addition i Shortcut), mający potwierdzić stan Firefoxa.

Tak, kończymy: 1. Usuń H:\FRST. Następnie jeszcze DelFix oraz czyszczenie folderów Przywracania systemu: KLIK. 2. Cały system do aktualizacji, stan obecny to brak SP1, IE11 i reszty łat: Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: FF)

Wszystko wykonane. Kolejny krok do przeprowadzenia: Uruchom AdwCleaner. Wstępnie wybierz tylko opcję Szukaj i nic nie usuwaj, dostarcz wynikowy log z folderu C:\AdwCleaner.

Spokojnie, sprzątanie po używanych narzędziach zawsze prowadzę na końcu. A tu jeszcze nie koniec. Kolejny krok do wykonania: Uruchom AdwCleaner. Wstępnie wybierz tylko opcję Szukaj i nic nie usuwaj, dostarcz wynikowy log z folderu C:\AdwCleaner.

Kończymy: Zastosuj DelFix (pobrany GMER dokasuj ręcznie), wyczyść foldery Przywracania systemu oraz zaktualizuj Internet Explorer z IE8 do IE11 (nawet jeśli go nie używasz wcale). Wszystkie kroki opisane tutaj: KLIK.

AdwCleaner wykrył drobne śmieci, ale zanim go użyjemy chcę się upewnić, że nie wykrywa głupot w pliku Secure Preferences Google Chrome. Do Notatnika wklej: CMD: type "C:\Users\samsung\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

O co chodzi z tymi wykreślonymi zakładkami? Podałam instrukcje, by je wyeksportować z Chrome przez reinstalacją, czyli po świeżej instalacji należy je ponownie zaimportować ze stworzonego pliku. Problem zasadniczy zaś jest rozwiązany i w tej materii kończymy: 1. Usuń FRST z E:\Programy\Na awarie z kompem. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Czy ustawianie w Panelu sterowania wyglądało tak jak tu: KLIK? Czy próbowałeś diagnostyka Aero: KLIK? Widzę też, że była reinstalacja sterowników AMD. Podejrzane rzeczy w logu, które ewentualnie mogą mieć związek: 1. Jakieś dziwne niedomyślne zadanie w Harmonogramie (usuwam w poniższym skrypcie), choć ono nie wygląda na czynne, gdyż komenda jest ucięta (pewnie dalsza część w partii "Arguments" zadania). Czy w tym systemie były jakieś modyfikacje związane z plikami systemowymi i patchowaniem? Task: {7C551868-054F-420C-AED0-141EEDCA1E9C} - System32\Tasks\Restart UxSms to fix Aero lag => net. 2. Nielegalny Windows. Na piratach jest deaktywowane Aero, a tu są ślady matactwa z aktywacją i błędy w Dzienniku z tego wynikające: Application errors: ================== Error: (04/07/2015 03:08:10 PM) (Source: Winlogon) (EventID: 4103) (User: ) Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x00000000. Error: (04/07/2015 03:08:10 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Wystąpił błąd aktywacji licencji (slui.exe), kod błędu: 0x800401F9 Owszem, jest tu adware (przede wszystkim w Harmonogramie zadań aktywne szkodniki takie jak 24Seven savings i globalUpdate), ale to chyba raczej nie jest przyczyna problemów z Aero. Niemniej doczyść to oraz inne dziwactwa (niepoprawnie odinstalowany Lavasoft Web Companion, puste skróty i wpisy, stare wersje): 1. Przez Panel sterowania odinstaluj: - Adware: ContinueToSave 1.66, GoHD. To są uszkodzone obiekty, w razie braku ich widoczności lub błędów deinstalacji kontynuuj dalej, zajmę się tymi odpadkami w drugiej fazie. - Stare wersje: Adobe AIR, Adobe Flash Player 16 ActiveX, Adobe Shockwave Player 12.1, Java 7 Update 51 (64-bit), Java 7 Update 51, Java SE Development Kit 7 Update 4 (64-bit), Java SE Development Kit 7 Update 51 (64-bit), Java SE Development Kit 7 Update 51, Java™ 6 Update 32 (64-bit), Java™ 7 (64-bit), Java™ SE Development Kit 6 Update 32 (64-bit), JavaFX 2.1.0 (64-bit), JavaFX 2.1.0 SDK (64-bit), JavaFX 2.1.1. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0BA610E6-2B13-492A-935D-AAEDB2BAA520} - System32\Tasks\24seven_savings_updating_service => C:\Program Files (x86)\24Seven savings\24seven_savings_updating_service.exe [2015-04-01] () Task: {1875CF8A-2029-4F88-A2D9-11D975A6BAF9} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-25] (globalUpdate) Task: {2D76C0B9-70A7-4A2B-B203-D084CCC2B151} - System32\Tasks\24seven_savings_notification_service => C:\Program Files (x86)\24Seven savings\24seven_savings_notification_service.exe [2015-04-01] Task: {4FDFCBF9-5BB2-49CB-BB07-E20B7E56A9CC} - System32\Tasks\{03175872-4DD3-47A0-94E7-D9A010B56889} => pcalua.exe -a "C:\Program Files (x86)\MATLAB71\uninstall\uninstall.exe" -c C:\Program Files (x86)\MATLAB71\ Task: {5A68D70D-0723-4DDC-9BDF-59C00703EEB0} - System32\Tasks\AmiUpdXp => C:\Users\Administrator\AppData\Local\14601\Updater.exe Task: {7C551868-054F-420C-AED0-141EEDCA1E9C} - System32\Tasks\Restart UxSms to fix Aero lag => net Task: {A2761996-72FF-4F2B-A11C-49E3F8C820EB} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-25] (globalUpdate) Task: C:\Windows\Tasks\24seven_savings_notification_service.job => C:\Program Files (x86)\24Seven savings\24seven_savings_notification_service.exeë/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='24Seven savings' /appid='73143' /srcid='2913' /bic='3a6e1baacb5819237f72422e947c768e' /verifier='98cd89d52521b607b83b37873d1d357d' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif?' /installationtime='1427901856' /runfrom='task' /brwtype='notbg' /postponedhours='6'.Adm Task: C:\Windows\Tasks\24seven_savings_updating_service.job => C:\Program Files (x86)\24Seven savings\24seven_savings_updating_service.exe° /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=24seven_savings_updating_service /funurl=http:/stats.buildomserv.com Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-25] (globalUpdate) [File not signed] S2 LavasoftTcpService; C:\Program Files (x86)\Lavasoft\Web Companion\TcpService\2.2.9.5\LavasoftTcpService.exe [1351512 2014-11-27] (Lavasoft Limited) S3 avchv; system32\DRIVERS\avchv.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 dump_wmimmc; \??\D:\Gry\Lineage II\system\GameGuard\dump_wmimmc.sys [X] S1 prodrv06; \SystemRoot\System32\drivers\prodrv06.sys [X] S2 TVicPort; No ImagePath S3 wacomvhid; system32\DRIVERS\wacomvhid.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2948893786-2576746275-1645524499-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2948893786-2576746275-1645524499-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO-x32: Better-Surf -> {8271B5D6-76D3-4ABF-AEB3-1721161C76BC} -> C:\Program Files (x86)\Better-Surf\ie\BetterSrf.dll [2013-11-25] () FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-10-25] (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-10-25] (globalUpdate) FF HKLM-x32\...\Firefox\Extensions: [50f4938a44228@50f4938a44261.com] - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\b1ltqxbe.default\extensions\50f4938a44228@50f4938a44261.com FF HKLM-x32\...\Firefox\Extensions: [12x3q4@3244516.com] - C:\Program Files (x86)\Better-Surf\ff C:\Program Files (x86)\24Seven savings C:\Program Files (x86)\Better-Surf C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Lavasoft C:\Program Files (x86)\Opera Next C:\Users\Administrator\AppData\Local\globalUpdate C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\SendTo\Evernote.lnk C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\JoWooD C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\NCsoft C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\Program Files (x86)\Aurora Folder: C:\Program Files (x86)\Mozilla Firefox Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Profil Firefox jest zanieczyszczony. W Firefox/Aurora: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus i Flashblock trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.