picasso

Zadania wykonane. Kolejne poprawki:

1. Otwórz Notatnik i wklej w nim:

C:\Program Files (x86)\Bench
C:\Program Files (x86)\Temp
C:\ProgramData\1078601655
C:\ProgramData\3f3f6040000014f2
C:\ProgramData\McAfee
C:\ProgramData\Roaming
C:\ProgramData\ShoppingDealFactory
C:\Users\Masa\AppData\Local\globalUpdate
C:\Users\Masa\AppData\LocalLow\Protect
C:\Users\Masa\AppData\Roaming\Local
C:\Users\Masa\AppData\Roaming\rmi
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

2. Uruchom AdwCleaner. Na początek wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

A co z AdwCleaner - czy on nic nie pokazał, że temat urwał się w tym punkcie?

Dzięki za dotację!

Poprzednie sprawy załatwione, ale robota od początku. W międzyczasie znów nabawiłeś się adware! Wygląda na to, że pobierałeś DAEMON Tools Lite z jakiegoś lewego źródła i uruchomiłeś coś w stylu "Asystent pobierania". Proszę przeczytaj czego unikać, jak nie pobierać: KLIK.

W związku z tym proszę o dostarczenie także plików FRST Addition i Shortcut.

Dodam, że dobreprogramy wprowadziły ostatnio drobną zmianę w związku z zastrzeżeniami do niejawności klucza 1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I tworzonego przez "Asystenta" w rejestrze. Ponoć "Asystent" nie pokazuje się już w przeglądarkach z wyłączoną funkcją słodkości:

Portal Dobreprogramy a ustawa Ustawa o prawie telekomunikacyjnym z dnia 16 listopada 2012

Zmieniliśmy treść komunikatu i informujemy w nim wprost, że z ciasteczek korzysta zarówno strona, jak i asystent pobierania. Według nas było to oczywiste już wcześniej, ale teraz jest bardziej jednoznaczne i nie pozostawia miejsca na jakiekolwiek wątpliwości.

 

Co więcej, zgodnie z obietnicą poszliśmy krok dalej - jeśli w ustawieniach przeglądarki wyłączycie zgodę na ciasteczka, w ogóle nie dostaniecie asystenta pobierania. Nie trzeba ustawiać DNT ani innych opcji, wystarczy że nie akceptujecie ciasteczek. Przy buttonie pobierania będzie co prawda informacja o włączonym asystencie, ale nie zostanie on uruchomiony. Zobaczymy, czy dałoby się usunąć ten dopisek, ale bez ciasteczek to nie takie proste - ot, absurdy unijnej biurokracji

 

To chyba najprostsze i najbardziej przejrzyste rozwianie ewentualnych niejasności.

Dodam informację do mojego tematu.

DevicesFix, nie rozumiem pytania i odnoszę wrażenie, że błędnie zinterpretowałeś słowo "Serwis" w kontekście tutejszego forum. Co ma wspólnego Twój projekt z moim (charytatywnym!) forum oraz jaki jest cel pytania o raporty FRST/OTL (które w oczywisty sposób są tu podstawą różnej diagnostyki, o czym mówią zasady poszczególnych działów).

Registry Commander - Alternatywny edytor rejestru inspirowany programem Total Commander (stąd konotacje nazewnicze). Oferuje większość funkcji orginalnego regedit oraz dodatkowe własne rozwiązania. Podstawową cechą odróżniającą ten program od regedit jest inne podejście prezentacyjne i nawigacyjne. Brak lewego bocznego panelu z drzewem kluczy, klucze i wartości są prezentowane wspólnie w obrębie tego samego okna na podobieństwo normalnych folderów. Nawigacja do głównych gałęzi ma też powiązane skróty klawiaturowe. Ponadto znajdziemy tu dodatkowe ulepszenia nieobecne w regedit:

• Statystyki kluczy: ilość podkluczy i wartości, długość, rozmiar, data ostatniego zapisu.
• Kolumna informacyjna wyświetlająca rozmiar danych wartości w bajtach.
• Detekcja 12 typów wartości (m.in. REG_LINK) identyfikowanych kolorem. Odsyłam do materiału referencyjnego Registry Data Types.
• Zmiana typu danych wartości (np. wartości ciągu na wartość binarną) bez zmiany zawartości danych wartości.
• Podgląd danych wartości w innym formacie bez modyfikacji danych wartości. Np. wartość ciągu może być oglądnięta jako wartość binarna i vice versa.
• Kopiowanie i przenoszenie kluczy / wartości w inne miejsce.
• Rozszerzona wyszukiwarka wyposażona w definiowanie zakresu lokalizacji oraz dodatkowe warunki (wyszukiwanie wg typu wartości oraz rozmiaru).
• Funkcja "Jump to key" pozwalająca na szybkie otworzenie konkretnego klucza rejestru.
• Protokół reg:// umożliwiający tworzenie linków do wybranych kluczy, działających na tej samej zasadzie co adresy http://.
• Historia (otwierana przez klik na ścieżkę aktualnie otworzonego klucza) umożliwiająca szybką nawigację między bieżącym kluczem a poprzednio otworzonym.
• Rozwinięty system zakładek kluczy i wartości, z możliwością zapisywania komentarzy. Zakładki można importować i eksportować.

Wadą jest jednak brak takich funkcji jak dostęp do konfiguracji uprawnień czy ładowanie gałęzi rejestru offline. W konfiguracji można zmienić detale graficzne typu kolor okna.

Program jest 32-bitowy, ale potrafi na systemie 64-bit odczytać 64-bitową część rejestru i ma opcję sterującą tą możliwością. Na systemie 64-bit opcja odczytu rejestru x64 jest domyślnie włączona. Nie wymaga instalacji.

Przypisanie domyślnej przeglądarki naprawiło prawie wszystko. Została do odbudowy mała część w gałęzi HKLM.

1. Do Notatnika wklej:

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp]
"Source Filter"="{E436EBB6-524F-11CE-9F53-0020AF0BA770}"
"ShellFolder"="{63da6ec0-2e98-11cf-8d82-444553540000}"
@="URL:File Transfer Protocol"
"AppUserModelID"="Microsoft.InternetExplorer.Default"
"EditFlags"=dword:00200002
"URL Protocol"=""
"FriendlyTypeName"="@C:\\Windows\\System32\\ieframe.dll,-905"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\DefaultIcon]
@="C:\\Windows\\System32\\url.dll,0"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open]
"CommandId"="IE.Protocol"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
"DelegateExecute"="{17FE9752-0B5A-4665-84CD-569794602F5C}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http]
"Source Filter"="{E436EBB6-524F-11CE-9F53-0020AF0BA770}"
@="URL:HyperText Transfer Protocol"
"AppUserModelID"="Microsoft.InternetExplorer.Default"
"EditFlags"=dword:00200002
"URL Protocol"=""
"WebNavigableCLSID"="{ae90e550-0443-47fb-a001-4875648d4ed3}"
"FriendlyTypeName"="@C:\\Windows\\System32\\ieframe.dll,-903"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\DefaultIcon]
@="C:\\Windows\\System32\\url.dll,0"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\Extensions]
".ASF"="{187463A0-5BB7-11D3-ACBE-0080C75E246E}"
".WM"="{187463A0-5BB7-11D3-ACBE-0080C75E246E}"
".WMA"="{187463A0-5BB7-11D3-ACBE-0080C75E246E}"
".WMV"="{187463A0-5BB7-11D3-ACBE-0080C75E246E}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open]
"CommandId"="IE.Protocol"
"DontReturnProcessHandle"=""
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
"DelegateExecute"="{17FE9752-0B5A-4665-84CD-569794602F5C}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https]
"Source Filter"="{E436EBB6-524F-11CE-9F53-0020AF0BA770}"
@="URL:HyperText Transfer Protocol with Privacy"
"AppUserModelID"="Microsoft.InternetExplorer.Default"
"EditFlags"=dword:00200002
"URL Protocol"=""
"FriendlyTypeName"="@C:\\Windows\\System32\\ieframe.dll,-904"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\DefaultIcon]
@="C:\\Windows\\System32\\url.dll,0"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell\open]
"CommandId"="IE.Protocol"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell\open\command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
"DelegateExecute"="{17FE9752-0B5A-4665-84CD-569794602F5C}"

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system.

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Dużo obiektów zniknęło, ale nie wszystkie. Poprawki:

1. Deinstalacje:

- Uruchom ponownie narzędzie Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście dwa odpadki Google Update Helper > Dalej.

- Nie zostały odinstalowane stare wersje: OpenOffice.org 3.4.1, Opera 12.15. Potem zamienisz najnowszymi.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
R1 {6a0e715f-5cd3-4402-8a39-80497da09315}Gw64; C:\Windows\System32\drivers\{6a0e715f-5cd3-4402-8a39-80497da09315}Gw64.sys [48776 2015-01-23] (StdLib)
R1 {dc19896d-a3e2-417d-be46-d18ebc99e240}Gw64; C:\Windows\System32\drivers\{dc19896d-a3e2-417d-be46-d18ebc99e240}Gw64.sys [48776 2014-11-26] (StdLib)
R1 {e4a6645a-3f85-4e1f-aa41-8367978844db}Gw64; C:\Windows\System32\drivers\{e4a6645a-3f85-4e1f-aa41-8367978844db}Gw64.sys [48832 2014-10-16] (StdLib)
S2 0085711423938610mcinstcleanup; C:\Users\Teresa\AppData\Local\Temp\008571~1.EXE [851136 2014-08-08] (McAfee, Inc.)
S0 cfwids; system32\drivers\cfwids.sys [X]
S0 mfeapfk; system32\drivers\mfeapfk.sys [X]
R0 mfeavfk; system32\drivers\mfeavfk.sys [X]
S0 mfeelamk; system32\drivers\mfeelamk.sys [X]
S4 mfefire; "C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe" [X]
S0 mfefirek; system32\drivers\mfefirek.sys [X]
R0 mfehidk; system32\drivers\mfehidk.sys [X]
S2 mfevtp; "C:\Windows\system32\mfevtps.exe" [X]
R0 mfewfpk; system32\drivers\mfewfpk.sys [X]
R1 wpnfd_1_10_0_1; system32\drivers\wpnfd_1_10_0_1.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
Task: {1CB0ECE1-72EE-4144-B8F4-BE8411667B39} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-4 => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-4.exe 
Task: {269D5B6E-4333-4DA5-89D1-18BB76FA8345} - System32\Tasks\$crrUnisntlDsply$ => C:\Users\Teresa\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.6\dsrlte.exe
Task: {2FB5E814-CEBB-4619-B667-23628D8C438B} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-6 => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-6.exe 
Task: {48F3E775-3D5D-476F-87FF-08A99593EBA5} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-5 => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-5.exe 
Task: {56E72D86-428C-47F1-B6FC-0106B0B83087} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-05-01] (Google Inc.)
Task: {5E3C5EAE-131D-4FF9-A7A6-75C650C55AF2} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-11 => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-11.exe 
Task: {6E7BCF66-1376-47BE-A598-7B8617A5C971} - System32\Tasks\QtraxPlayer1 => 2373174348.portal.qtrax.com
Task: {99776C1C-692F-41E9-8E1C-8EDDE7E95C17} - System32\Tasks\Yahoo! Search Updater => C:\Users\Teresa\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrsetup.exe 
Task: {A3DDCBCD-5B48-40E2-B2D3-DC29D2D3003E} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-1 => C:\Program Files (x86)\V-9.1HD\V-9.1HD-codedownloader.exe 
Task: {A735EB91-D786-46A3-AD54-275B0DEE03AD} - System32\Tasks\Yahoo! Search => C:\Users\Teresa\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrlte.exe 
Task: {AADE4846-295C-46DE-A567-3123F9EC7F9B} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-5_user => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-5.exe 
Task: {B18418D1-8DB5-47ED-99DF-5E0455E42785} - System32\Tasks\Super Optimizer Schedule => C:\Program Files (x86)\Super Optimizer\SupOptLauncher.exe 
Task: {C9E4DD4C-CA60-4591-9A03-7108A7391BE9} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-3 => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-3.exe 
Task: {CE746D22-B9D5-466C-BC92-8091D4A45FC6} - System32\Tasks\{D56D26EE-EDDE-4EB5-ACB8-B5ECB0A4CDFD} => pcalua.exe -a "C:\Users\Teresa\AppData\Roaming\0C1I1L1R1J0M1P0I1G\VuuPC Packages\uninstaller.exe" -c /Uninstall /NM="VuuPC Packages" /AN="0C1I1L1R1J0M1P0I1G" /MBN="VuuPC Packages"
Task: {D10A1E12-8123-404A-A94A-6A06EA301DFD} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-7 => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-7.exe 
Task: {D7557B04-2BBB-4F07-BAF1-0A71DE208546} - System32\Tasks\$crrUnisntlDsply$ Updater => C:\Users\Teresa\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.6\dsrsetup.exe
Task: {DECE6A14-491F-48E0-9811-19178C16899A} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-05-01] (Google Inc.)
Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-1.job => C:\Program Files (x86)\V-9.1HD\V-9.1HD-codedownloader.exe 
Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-11.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-11.exe 
Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-3.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-3.exe 
Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-4.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-4.exe 
Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-5.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-5.exe 
Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-5_user.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-5.exe 
Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-6.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-6.exe÷/agentregpath='V-9.1HD-nv' /appid=61776 /srcid='001257' /subid='0' /zdata='0' /bic=E6C847BFD79E4DB3AC6D92818F946D90IE /verifier=ef93e2ff738c98214735b53c23a51401 /installerversion=1_34_08_12 /installerfullversion=1.34.8.12 /installationtime=1410026033 /statsdomain=http://stats.loadgenclientservice.com /errorsdomain=http://errors.loadgenclientservice.com /codedownloaddomain=http://js.loadgenclientservice.com /defbro=ch /DllName32ToInjectToChrome='b26e05ab-9f7f-47e6-b72f-75296602bf69.dll' /DllName64ToInjectToChrome='b0b90348-9adb-42ba-b2c4-75c785f0cda6.dll' /nova64bitexe='84c549b1-3b85-4bc5-9c93-240c48ad7371-64.exe 
Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-7.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-7.exe·/updateapp /agentregpath='V-9.1HD-nv' /appid=61776 /srcid='001257' /subid='0' /zdata='0' /bic=E6C847BFD79E4DB3AC6D92818F946D90IE /verifier=ef93e2ff738c98214735b53c23a51401 /installerversion=1_34_08_12 /installerfullversion=1.34.8.12 /installationtime=1410026033 /statsdomain=http://stats.loadgenclientservice.com /errorsdomain=http://errors.loadgenclientservice.com /codedownloaddomain=http://js.loadgenclientservice.com /defbro=ch /DllName32ToInjectToChrome='b26e05ab-9f7f-47e6-b72f-75296602bf69.dll' /DllName64ToInjectToChrome='b0b90348-9adb-42ba-b2c4-75c785f0cda6.dll' /nova64bitexe='84c549b1-3b85-4bc5-9c93-240c48ad7371-64.exe 
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
HKLM-x32\...\Run: [LManager] => [X]
HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files\Opera x64\opera.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT
ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files\Opera x64\opera.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT
ShortcutWithArgument: C:\Users\Teresa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT
ShortcutWithArgument: C:\Users\Teresa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT
ShortcutWithArgument: C:\Users\Teresa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.14 1738.lnk -> C:\Program Files\Opera x64\opera.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418841199&from=wpm12173&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-1347931101-2817040922-1319910007-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1418841199&from=wpm12173&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT&q={searchTerms}
HKU\S-1-5-21-1347931101-2817040922-1319910007-1002\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?babsrc=HP_ss&mntrId=5A2F12689D4CB918&affID=119357&tt=040713_ctrl&tsp=4934
HKU\S-1-5-21-1347931101-2817040922-1319910007-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1418841199&from=wpm12173&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT&q={searchTerms}
URLSearchHook: [s-1-5-21-1347931101-2817040922-1319910007-1001] ATTENTION ==> Default URLSearchHook is missing.
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> DefaultScope value is missing.
SearchScopes: HKLM-x32 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.27010003&st=12&q={searchTerms}&barid={DCF778A7-403F-4FAD-9B81-432F5A803092}
SearchScopes: HKU\S-1-5-21-1347931101-2817040922-1319910007-1002 -> DefaultScope {32E41EB3-8AD3-44DD-8888-C1A0DE815239} URL = http://rts.dsrlte.com/?affID=&q={searchTerms}&r=686
SearchScopes: HKU\S-1-5-21-1347931101-2817040922-1319910007-1002 -> {32E41EB3-8AD3-44DD-8888-C1A0DE815239} URL = http://rts.dsrlte.com/?affID=&q={searchTerms}&r=686
BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File
BHO-x32: Shopping Suggestion. -> {e7e8ed77-2fba-4ec6-bc07-65de4de6709f} -> C:\Windows\SysWOW64\mscoree.dll (Microsoft Corporation)
Toolbar: HKLM-x32 - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera x64\Opera.exe http://www.delta-homes.com/?type=sc&ts=1418841199&from=wpm12173&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT
C:\Program Files\Common Files\mcafee
C:\Program Files\McAfee
C:\Program Files (x86)\brrOwseandsshaoP
C:\Program Files (x86)\buyfAst
C:\Program Files (x86)\FreeSoftToday
C:\Program Files (x86)\Google
C:\Program Files (x86)\McAfee
C:\Program Files (x86)\MyFree Codec
C:\Program Files (x86)\oFFFersale
C:\Program Files (x86)\ofufersooFt
C:\Program Files (x86)\PlantUML Viewer
C:\Program Files (x86)\Priozzeccoupon
C:\Program Files (x86)\rec_pl_8
C:\Program Files (x86)\sAleeOfffEr
C:\Program Files (x86)\VLC Player GPU+
C:\ProgramData\1471e994ff1d2b46
C:\ProgramData\1473215379271396166
C:\ProgramData\bUyfuast
C:\ProgramData\brrOwseandsshaoP
C:\ProgramData\couponcheapchea
C:\ProgramData\ee70f246-63a3-464e-a2ed-28bc4d8db631
C:\ProgramData\hdoefmllnllcdklhnbmfgancponedmdm
C:\ProgramData\McAfee
C:\ProgramData\Mozilla
C:\ProgramData\salesale
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Open It!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper
C:\Users\Teresa\AppData\Local\CrashDumps
C:\Users\Teresa\AppData\Local\Google
C:\Users\Teresa\AppData\Local\fst_pl_14
C:\Users\Teresa\AppData\Local\Mozilla
C:\Users\Teresa\AppData\Local\rec_pl_8
C:\Users\Teresa\AppData\Roaming\appdataFr3.bin
C:\Users\Teresa\AppData\Roaming\Mozilla
C:\Users\Teresa\AppData\Roaming\MsDtc
C:\Users\Teresa\AppData\Roaming\Systweak
C:\Users\Teresa\Downloads\GoogleEarthSetup*.exe
C:\Users\Teresa\Downloads\Installer_*.exe
C:\Users\Teresa\Downloads\Niepotwierdzony*.crdownload
C:\Windows\System32\drivers\{6a0e715f-5cd3-4402-8a39-80497da09315}Gw64.sys
C:\Windows\System32\drivers\{dc19896d-a3e2-417d-be46-d18ebc99e240}Gw64.sys
C:\Windows\System32\drivers\{e4a6645a-3f85-4e1f-aa41-8367978844db}Gw64.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Teresa\AppData\Local
CMD: dir /a C:\Users\Teresa\AppData\LocalLow
CMD: dir /a C:\Users\Teresa\AppData\Roaming
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Na szybko ustosunkuję się do:

Natomiast najbardziej mnie zastanawiają pozycje "sterowniki niezgodne z Plug and Play"

To normalna grupa występująca na każdym systemie Windows 7 zaraz po jego instalacji. W tej grupie są różne natywne preinstalowane sterowniki systemu które nie pochodzą od stricte "hardware" (np. sterownik Winsock), a także dodają się sterowniki aplikacji trzecich np. antywirusów.

Proszę przedstaw co robiłeś oraz dostarcz nowe raporty z FRST mające obrazować zmiany.

To był dopiero początek. Teraz możemy przejść do dalszego usuwania, m.in. sterowniki adware ostały się. Kolejna porcja działań:

1. Pojawił się nowy "program" na liście - odinstaluj SystemBoost.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
R1 {089299d4-0680-4375-a6a9-d9a7c9109a71}Gw64; C:\Windows\System32\drivers\{089299d4-0680-4375-a6a9-d9a7c9109a71}Gw64.sys [48792 2015-02-06] (StdLib)
R1 {dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}Gw64; C:\Windows\System32\drivers\{dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}Gw64.sys [48792 2015-02-12] (StdLib)
R1 {e65048d8-bd76-44ed-ac28-c25d339ab590}Gw64; C:\Windows\System32\drivers\{e65048d8-bd76-44ed-ac28-c25d339ab590}Gw64.sys [48792 2015-02-09] (StdLib)
R1 {feff35ba-2139-454f-bd8e-bc1ab8b3774d}Gw64; C:\Windows\System32\drivers\{feff35ba-2139-454f-bd8e-bc1ab8b3774d}Gw64.sys [48792 2015-02-08] (StdLib)
R2 1991b13a; c:\Program Files (x86)\SystemBoost\SystemBoost.dll [1584640 2015-02-14] () [File not signed]
S2 CltMngSvc; C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe [3505936 2015-01-28] () [File not signed]
S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-03] (globalUpdate) [File not signed]
S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-03] (globalUpdate) [File not signed]
S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [715656 2014-12-25] () [File not signed]
S4 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-25] () [File not signed]
S1 wpnfd_1_10_0_6; system32\drivers\wpnfd_1_10_0_6.sys [X]
Task: {0D9868FB-3625-4AEC-BAD0-C68A6296D399} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: {1F4DCA95-636F-4382-B80E-7D4C4583A5BE} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-02-03] (globalUpdate) 
Task: {4B297BBA-2CDB-4F14-94ED-D8A4A7E0BB30} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: {549F9B7E-C92C-48E7-9712-42CC1FC22F44} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: {6AE89E44-81A8-4080-9849-0C3DB94CA097} - System32\Tasks\Taplika => C:\Users\Masa\AppData\Roaming\Taplika\UpdateProc\UpdateTask.exe [2015-02-06] () 
Task: {D9895477-3D4E-4B56-B7A7-AD44A9A4D4AC} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-02-03] (globalUpdate) 
Task: {E2FD4A0B-622C-496C-B515-679A40710B7F} - System32\Tasks\avaxvavya => C:\Users\Masa\AppData\Local\avaxvavya\avaxvavya.exe [2015-01-28] ()
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe 
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe 
Task: C:\Windows\Tasks\Taplika.job => C:\Users\Masa\AppData\Roaming\Taplika\UPDATE~1\UPDATE~1.EXE 
AppInit_DLLs-x32: _c:\progra~2\search~1\search~1\bin\vc32lo~1.dll => c:\Program Files (x86)\SearchProtect\SearchProtect\bin\VC32Loader.dll [219408 2015-01-28] ()
Startup: C:\Users\Masa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TornTvDownloader.lnk
HKLM\...\Run: [3D BubbleSound] => "C:\Program Files\BubbleSound\3D BubbleSound.exe"
HKLM-x32\...\Run: [gmsd_de_174] => [X]
HKLM-x32\...\Run: [gmsd_de_187] => [X]
HKLM-x32\...\Run: [gmsd_de_192] => [X]
HKLM-x32\...\RunOnce: [Taplika] => C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\Masa\AppData\Roaming\Taplika\UpdateProc\bkup.dat"
HKU\S-1-5-21-4164922102-3460450381-1936108056-1000\...\Run: [TornTv Downloader] => C:\Users\Masa\AppData\Roaming\TornTV.com\Torntv Downloader.exe /c=startup
HKU\S-1-5-21-4164922102-3460450381-1936108056-1000\...\RunOnce: [Taplika] => C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\Masa\AppData\Roaming\Taplika\UpdateProc\bkup.dat"
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX
ShortcutWithArgument: C:\Users\Masa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX
ShortcutWithArgument: C:\Users\Masa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX
ShortcutWithArgument: C:\Users\Masa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms}
HKU\S-1-5-21-4164922102-3460450381-1936108056-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://taplika.com/?f=1&a=tpl_tuto2_15_06&cd=2XzuyEtN2Y1L1Qzuzz0Czzzy0AyDtDtCzyyD0EyBzy0B0FyBtN0D0Tzu0StCtCtAtBtN1L2XzutAtFyBtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StDyB0CtC0C0FtA0FtGtCyByEtAtG0DtD0CtCtGtBtC0CtCtGyEzz0B0CtA0EyDyEtAyE0F0A2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDyDtB0B0CtDtB0EtG0BzytCzztGyEyCtDyDtG0AyCtDtBtGyE0Bzzzy0CyD0AyDzytC0FyB2Q&cr=1211795611&ir=
HKU\S-1-5-21-4164922102-3460450381-1936108056-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms}
SearchScopes: HKLM -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_tuto2_15_06&cd=2XzuyEtN2Y1L1Qzuzz0Czzzy0AyDtDtCzyyD0EyBzy0B0FyBtN0D0Tzu0StCtCtAtBtN1L2XzutAtFyBtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StDyB0CtC0C0FtA0FtGtCyByEtAtG0DtD0CtCtGtBtC0CtCtGyEzz0B0CtA0EyDyEtAyE0F0A2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDyDtB0B0CtDtB0EtG0BzytCzztGyEyCtDyDtG0AyCtDtBtGyE0Bzzzy0CyD0AyDzytC0FyB2Q&cr=1211795611&ir=
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms}
SearchScopes: HKLM -> {589B893E-773C-4941-88C2-0DCC718E621C} URL =
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4164922102-3460450381-1936108056-1000 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_tuto2_15_06&cd=2XzuyEtN2Y1L1Qzuzz0Czzzy0AyDtDtCzyyD0EyBzy0B0FyBtN0D0Tzu0StCtCtAtBtN1L2XzutAtFyBtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StDyB0CtC0C0FtA0FtGtCyByEtAtG0DtD0CtCtGtBtC0CtCtGyEzz0B0CtA0EyDyEtAyE0F0A2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDyDtB0B0CtDtB0EtG0BzytCzztGyEyCtDyDtG0AyCtDtBtGyE0Bzzzy0CyD0AyDzytC0FyB2Q&cr=1211795611&ir=
SearchScopes: HKU\S-1-5-21-4164922102-3460450381-1936108056-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_tuto2_15_06&cd=2XzuyEtN2Y1L1Qzuzz0Czzzy0AyDtDtCzyyD0EyBzy0B0FyBtN0D0Tzu0StCtCtAtBtN1L2XzutAtFyBtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StDyB0CtC0C0FtA0FtGtCyByEtAtG0DtD0CtCtGtBtC0CtCtGyEzz0B0CtA0EyDyEtAyE0F0A2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDyDtB0B0CtDtB0EtG0BzytCzztGyEyCtDyDtG0AyCtDtBtGyE0Bzzzy0CyD0AyDzytC0FyB2Q&cr=1211795611&ir=
SearchScopes: HKU\S-1-5-21-4164922102-3460450381-1936108056-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4164922102-3460450381-1936108056-1000 -> {589B893E-773C-4941-88C2-0DCC718E621C} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3330130&octid=EB_ORIGINAL_CTID&ISID=M00C716EB-9838-4600-A7CF-2C526BD15C9E&SearchSource=58&CUI=&UM=8&UP=SPB28B4711-4CBB-4B83-98B5-99FF36603867&q={searchTerms}&SSPV=
BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited)
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\omiga-plus.xml
FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Masa\AppData\Roaming\Mozilla\Firefox\Profiles\cyk539n4.default\extensions\faststartff@gmail.com
StartMenuInternet: FIREFOX.EXE - firefox.exe
C:\AI_RecycleBin
C:\Program Files (x86)\Adblock for Gmail
C:\Program Files (x86)\ApptoUa
C:\Program Files (x86)\FineeDealSaOeft
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\MyPC Backup
C:\Program Files (x86)\predm
C:\Program Files (x86)\SearchProtect
C:\Program Files (x86)\SooftCooup
C:\Program Files (x86)\SupTab
C:\Program Files (x86)\SystemBoost
C:\Program Files (x86)\WebbsAveER
C:\ProgramData\28c34e92bb2ca7ad
C:\ProgramData\2937277774088153005
C:\ProgramData\ApptoUa
C:\ProgramData\CouponFactory
C:\ProgramData\e8df2bc8000026f4
C:\ProgramData\IePluginServices
C:\ProgramData\SharkManCoupon
C:\ProgramData\Uniblue
C:\ProgramData\WebbsAveER
C:\ProgramData\WindowsMangerProtect
C:\Users\Masa\AppData\Local\nsa6E49.tmp
C:\Users\Masa\AppData\Local\nsiDDBD.tmp
C:\Users\Masa\AppData\Local\proxy.log
C:\Users\Masa\AppData\Local\avaxvavya
C:\Users\Masa\AppData\Local\ContextTrue
C:\Users\Masa\AppData\Local\Gameo
C:\Users\Masa\AppData\Local\GGEmpire
C:\Users\Masa\AppData\Local\Google
C:\Users\Masa\AppData\Local\Pirates
C:\Users\Masa\AppData\Local\SearchProtect
C:\Users\Masa\AppData\Local\Sparta
C:\Users\Masa\AppData\Local\StormFall
C:\Users\Masa\AppData\Roaming\HBTTGY.exe
C:\Users\Masa\AppData\Roaming\OKXJLUU.exe
C:\Users\Masa\AppData\Roaming\AnyProtectEx
C:\Users\Masa\AppData\Roaming\BRT
C:\Users\Masa\AppData\Roaming\EurekaLog
C:\Users\Masa\AppData\Roaming\GoldenGate
C:\Users\Masa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url
C:\Users\Masa\AppData\Roaming\Pirates946
C:\Users\Masa\AppData\Roaming\Pro PC Cleaner
C:\Users\Masa\AppData\Roaming\StormFall
C:\Users\Masa\AppData\Roaming\Taplika
C:\Users\Masa\AppData\Roaming\TornTV.com
C:\Users\Masa\Downloads\Installation*.exe
C:\Users\UpdatusUser\Desktop\MagnoPlayer.lnk
C:\Windows\patsearch.bin
C:\Windows\system32\OptimizerMonitorOff.ini
C:\Windows\System32\drivers\{089299d4-0680-4375-a6a9-d9a7c9109a71}Gw64.sys
C:\Windows\System32\drivers\{dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}Gw64.sys
C:\Windows\System32\drivers\{e65048d8-bd76-44ed-ac28-c25d339ab590}Gw64.sys
C:\Windows\System32\drivers\{feff35ba-2139-454f-bd8e-bc1ab8b3774d}Gw64.sys
C:\Windows\system32\Drivers\Msft_Kernel_webinstrNHKT_01009.Wdf
C:\Windows\SysWOW64\OptimizerMonitor.ini
C:\Windows\SysWOW64\OptimizerMonitorOff.ini
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{1991b13a} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1) /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SearchProtect /f
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Masa\AppData\Local
CMD: dir /a C:\Users\Masa\AppData\LocalLow
CMD: dir /a C:\Users\Masa\AppData\Roaming
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition (Shortcut już nie jest potrzebny). Dołącz też plik fixlog.txt.

Brak trzeciego obowiązkowego raportu FRST Shortcut. Rozpocznij od poprawnych deinstalacji adware i programów, w drugiej fazie będą poprawki. Akcja:

1. Przez Panel sterowania odinstaluj:

- Adware: AppEnable, Search App by Ask, Yahoo! Search.

- Zbędniki i stare wersje: Adobe Shockwave Player 12.1, Akamai NetSession Interface, Google Toolbar for Internet Explorer, Java 8 Update 25.

2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis McAfee Shared C Run-time for x64 > Dalej.

3. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition + Shortcut, by powstały trzy logi.

Jest tu niewiarygodna ilość obiektów adware! Na początek maksymalna ilość poprawnych deinstalacji, potem będziemy poprawki robić. Do wdrożenia następujące działania:

1. Przez Panel sterowania odinstaluj adware i instalacje sponsorowane:

AnyProtect, ApptoUa, BlockAndSurf, Browser Good, BubbleSound, Buzzdock, ContextTrue, ConvertAd, FineeDealSaOeft, Gameo, GamesDesktop 014.174, GamesDesktop 014.187, GamesDesktop 014.192, IGS, igsc, MagnoPlayer, McAfee Security Scan Plus, MedPLyerV1.2, Pirates, PlusHD Cinema 2.1cV02.02, Remote Desktop Access (VuuPC), Search Protect, SegmentBuilder, SharkManCoupon, SmartWeb, SooftCooup, StormFall, StormWatch, Taplika, Wajam, WebbsAveER, WinCheck, Word Proser 1.10.0.6, WSE_Taplika

2. Uruchom też te skróty deinstalacyjne:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uniblue\DriverScanner\Uninstall DriverScanner.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WIntEnhance\Uninstall Wajam\uninstall.lnk

3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut, by powstały trzy logi.

W załącznikach można umieszczać tylko pliki o rozszerzeniu *.TXT, *.LOG jest wykluczony. W instrukcji robienia raportu GMER jest powiedziane, by użyć opcję Kopiuj i zapisać do nowego pliki, wtedy nie ma problemu. By dołączyć już zapisany plik o niedozwolonym rozszerzeniu, po prostu zapisz go do nowego pliku TXT. Zestaw logów FRST niekompletny - brak trzeciego pliku FRST Shortcut.

Jest w systemie duża ilość obiektów adware, na dodatek adware przekonwertowało całą przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana kompleksowa reinstalacja. Na początek maksymalna ilość poprawnych deinstalacji, a potem dopiero będą inne poprawki. Nic nowego nie instaluj na razie.

1. Przez Panel sterowania odinstaluj:

- Adware: $crrUnisntlDsply$, buyfAst, CommonShare, FreeSoftToday 008.8, GPU Monitor, Update for Zip Opener, VuuPC Packages, Word Proser 1.10.0.1, Yahoo! Search.

- Poszkodowaną przeglądarkę, zbędniki i stare wersje: eBay Worldwide, Google Chrome, Google Toolbar for Internet Explorer, Live Updater, McAfee Internet Security (za dużo antywirusów!), McAfee SiteAdvisor, MyFreeCodec, OpenOffice.org 3.4.1, Opera 12.15.

Przed deinstalacją Chrome wyeksportuj zakładki i nic więcej. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki.

2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei wpisy adware Internet Explorer Toolbar 4.7 by SweetPacks, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1 > Dalej. Narzędzie należy uruchomić trzy razy, gdyż nie umożliwia akcji hurtowej.

3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut, by powstały trzy logi.

Infekcję złapałeś otwierając prawdopodobnie e-mail z preparowanym załącznikiem. Tak, odszyfrowanie danych załatwionych przez CTB-Locker nie jest możliwe. Podaj nowe raporty FRST (główny + Addition + Shortcut), bo należy doczyścić infekcję.

Antywirus - nie polecam żadnej szczególnej marki, obojętny antywirus z puli wiodących będzie OK. Do zabezpieczenia przed infekcjami szyfrującymi można zastosować małe narzędzie CryptoPrevent.

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 15-10-2014 02 (ATTENTION: ====> FRST version is 121 days old and could be outdated)

Posługujesz się starym FRST pozbawionym nowych skanów i poprawek - proszę pobierz najnowszą wersję i z przyklejonego i zrób nowe logi (wszyskie trzy): KLIK. A logi OTL nie są już obowiązowe, usuwam.

Od razu powiem, że infekcja CTB-Loker = odzszyfrowanie danych jest awykonalne.

Proszę o dostarczenie raportu FRST z poziomu środowiska zewnętrznego: KLIK.

1. Uruchom AdwCleaner ponownie. Wywołaj Szukaj. W karcie Folders odznacz te dwa:

C:\Program Files (x86)\OneClickInternet

C:\Users\Ewa\AppData\Roaming\OneClickInternet

Następnie użyj opcję Usuń. Gdy AdwCleaner ukończy czyszczenie:

2. Otwórz Notatnik i wklej w nim:

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
RemoveDirectory: C:\Users\Ewa\Desktop\Stare dane programu Firefox
RemoveDirectory: C:\Users\wangjihua
RemoveDirectory: C:\Users\wangzhisong
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Aktualizacja Kies (przy wyłączonej ochronie AV) przebiegła pomyślnie - dzięki!

 

Nadal przy uruchamianiu komputera wyświetla się błąd:

 

KiesPDLR.exe – Błąd aplikacji ( Instrukcja spod "0x74935dfe" odwołuje się do pamięci pod adresem "0x00000020". Pamięć nie może być "read". Kliknij przycisk OK., aby przerwać działanie aplikacji.)

 

Kies otwiera się prawidłowo, Działa prawidłowo (podłączanie telefonu, przesyłanie danych, odłączanie telefonu - wszystko OK)

Sprawdź czy zmieni się sytuacja jeśli tymczasowo (na czas jednej rundy z resetem) trwale zdeaktywujesz moduły Kasperskiego. Nie pamiętam opcji PURE, szukaj opcji związanych z osłoną proaktywną / ochroną procesów.

3. wykonane (log w załączniku), jednak na koniec wyskoczyło okno: "Wystąpił problem z aplikacją FRST.exe i zostanie ona zamknięta." Nie wysłałem raportu… i nie zobaczyłem co zawiera.

Fix FRST się nie wykonał do końca i zatrzymał w połowie. W spoilerze powtórka.

CloseProcesses:
CreateRestorePoint:
FF Plugin: @pandasecurity.com/activescan -> C:\Program Files\Panda Security\ActiveScan 2.0\npwrapper.dll (Panda Security, S.L.)
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
HKLM\...\Run: [iSUSPM Startup] => C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
HKLM\...\Run: [iSUSScheduler] => "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
HKLM\...\Policies\Explorer: [NoCDBurning] 0
HKU\S-1-5-21-3955640507-3710774182-547434246-1006\...\Policies\Explorer: [ClassicShell] 0
HKU\S-1-5-21-3955640507-3710774182-547434246-1006\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [1035264 2008-04-14] (Microsoft Corporation) 
R0 pavboot; C:\WINDOWS\System32\drivers\pavboot.sys [28552 2009-06-30] (Panda Security, S.L.)
S3 Ad-Watch Connect Filter; \??\C:\WINDOWS\system32\drivers\NSDriver.sys [X]
S3 Ad-Watch Real-Time Scanner; \??\C:\WINDOWS\system32\drivers\AWRTPD.sys [X]
S3 Ad-Watch Registry Filter; \??\C:\WINDOWS\system32\drivers\AWRTRD.sys [X]
S3 AthDfu; System32\Drivers\AthDfu.sys [X]
S3 Atheros_btAudio; system32\drivers\btathsco.sys [X]
S3 btatha2dp; system32\drivers\btatha2dp.sys [X]
S3 btathPan; system32\DRIVERS\btathpan.sys [X]
S3 BTATHPROT; system32\DRIVERS\btathprot.sys [X]
S3 btathrcp; system32\DRIVERS\btathrcp.sys [X]
S3 btathspp; system32\DRIVERS\btathspp.sys [X]
S3 BTATHUSB; system32\DRIVERS\btathusb.sys [X]
S3 btfilter; system32\DRIVERS\btfilter.sys [X]
S3 NPF; system32\drivers\npf.sys [X]
S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X]
S2 svcgdp; C:\Program Files\Software Plate\svcgdp.exe [X]
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\All Users\Menu Start\Programy\ALLPlayer
C:\Documents and Settings\All Users\Menu Start\Programy\PL-2303 USB-Serial Driver\Uninstaller.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\A-Men Technologies USB-Serial Driver\Uninstaller.lnk
C:\Documents and Settings\ja\*save2pc.exe
C:\Documents and Settings\ja\Dane aplikacji\skype.ini
C:\Documents and Settings\ja\Menu Start\Audio Converter Audio Converter.lnk
C:\Documents and Settings\ja\Menu Start\Audio Converter Uninstall Audio Converter.lnk
C:\Documents and Settings\ja\Menu Start\Video Converter Uninstall Video Converter.lnk
C:\Documents and Settings\ja\Menu Start\Video Converter Video Converter.lnk
C:\Documents and Settings\ja\Menu Start\Programy\SpyShredder
C:\Documents and Settings\ja\Moje dokumenty\Programy ODTWARZACZE\ALLConverter to *.lnk
C:\Documents and Settings\ja\Moje dokumenty\Programy ODTWARZACZE\ALLPlayer V4.6.lnk
C:\Documents and Settings\ja\Moje dokumenty\Programy ODTWARZACZE\Napi-projekt.lnk
C:\Documents and Settings\ja\Moje dokumenty\Programy ODTWARZACZE\QuickTime Player.lnk
C:\Documents and Settings\ja\Moje dokumenty\Programy ODTWARZACZE\FLV\flvconverter.exe.lnk
C:\Documents and Settings\ja\Pulpit\Lengłydże\ANG...*.lnk
C:\Documents and Settings\ja\Pulpit\MOJA GITARA\Skrót do Szkoła Gitary.lnk
C:\Documents and Settings\ja\Pulpit\MUZ GIT\Skrót do 1996.Tata 2.lnk
C:\Documents and Settings\ja\Pulpit\MUZ GIT\Skrót do Kult.lnk
C:\Documents and Settings\ja\Pulpit\MUZ GIT\Олег Шабатовский\Детские песни\Skrót do голубой вагон.doc.lnk
C:\Documents and Settings\ja\Pulpit\MUZ GIT\Anna German\Надежда\Skrót do Надежда мой компас земной (Аккорды, видеоразбор).webm.lnk
C:\Documents and Settings\ja\Ustawienia lokalne\Dane aplikacji\Conduit
C:\Documents and Settings\ja\Ustawienia lokalne\Dane aplikacji\Google\Chrome
C:\Program Files\Audacity
C:\Program Files\AVAST Software
C:\Program Files\Common Files\Ahead
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\Mozilla Firefox\plugins
C:\Program Files\NAPI-PROJEKT
C:\Program Files\Sonic
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\System32\drivers\pavboot.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Google\Chrome /f
Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DLA" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UserFaultCheck" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VkontakteDJ" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox (3.0.15)" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\InstallWIX_{560985FB-4B76-4121-9189-7A2CDC7886D6} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: sc config "Internet Manager. RunOuc" start= disabled
EmptyTemp:

Wizavo, temat sprzątam z "przypominajek". Jeśli nie ma odpowiedzi, to po prostu nikt może nie mieć pomysłu jak to rozwiązać, ani czasu by się przyjrzeć sprawie. Jeśli ktoś będzie miał coś do powiedzenia, to się wypowie samodzielnie.

Jeśli chodzi o problem numer dwa, to wygląda na wynik autoresetu powłoki explorer.exe. W Dzienniku zdarzeń powtarza się błąd:

Application errors:

==================

Error: (12/12/2014 01:09:07 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.3.9600.17284, sygnatura czasowa: 0x53f816dc

Nazwa modułu powodującego błąd: QtCore_Ad_SyncNs_4.dll_unloaded, wersja: 4.8.2.0, sygnatura czasowa: 0x50d3fca7

Kod wyjątku: 0xc0000005

Przesunięcie błędu: 0x00000000000265fe

Identyfikator procesu powodującego błąd: 0x5dc

Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0

Ścieżka aplikacji powodującej błąd: Explorer.EXE1

Ścieżka modułu powodującego błąd: Explorer.EXE2

Identyfikator raportu: Explorer.EXE3

Pełna nazwa pakietu powodującego błąd: Explorer.EXE4

Identyfikator aplikacji względem pakietu powodującego błąd: Explorer.EXE5
 

Error: (12/12/2014 00:23:41 AM) (Source: Application Hang) (EventID: 1002) (User: )

Description: Program Explorer.EXE w wersji 6.3.9600.17284 przestał współpracować z systemem Windows i został zamknięty. Aby sprawdzić, czy jest dostępnych więcej informacji na temat tego problemu, sprawdź historię problemu w aplecie Centrum akcji w Panelu sterowania.

Moduł przyczynowy: QtCore_Ad_SyncNs_4.dll. Jest to problematyczne rozszerzenie Autodesk: KLIK.

Spróbuj wyłączyć zarejestrowane rozszerzenia QtCore_Ad_SyncNs_4.dll. Uruchom ShellExView x64, wyszukaj wszystkie wpisy związane z tym plikiem i wyłącz, zresetuj system. Podaj czy nadal występuje problem z niestałym układem ikon na Pulpicie.

PS. Do czyszczenia są też wpisy adware. Jako, że logi zostały podane dawno temu, zrób nowe raporty FRST z najnowszej wersji (tym razem nie wyłączaj Whitelisty dla Services i Drivers).

Nie przymierzaj się do tego pobranego ComboFix. Temat przenoszę do działu Windows. Nie jest to problem infekcji. Są tylko drobne ślady adware w Google Chrome, ale to sprawa poboczna i w ogóle się nie wiąże ze sprawą. *

Pojawił się u mnie problem z przycinaniem laptopa na krótką chwilę co kilka minut. Przycina się obraz, dźwięk (dość łatwo to zaobserwować drugi przypadek przerwanie na chwile odtwarzania muzyki). Dodatkowo udało mi się zaobserwować

Problem zauważyłem dzisiaj, wczoraj laptop wgrał aktualizację sytemu (nie wiem, czy to ma znaczenie, ale może się do czegoś ta informacja przydać).

Początkowo myślałem, że to wina nowego sprzętu, że jest on wadliwy (słuchawki i myszka dzisiaj kupione), a sprawdziłem na innym sprzęcie i problem dalej występował.

Z raportów nic kompletnie nie wynika. Z widocznych nowych obiektów jest niejaki USB PnP Sound Device:

==================== Installed Programs ======================
 

USB PnP Sound Device (HKLM-x32\...\{71B53BA8-4BE3-49AF-BC3E-07F392006300}) (Version: 1.00.0006 - C-Media Electronics, Inc.)
 

==================== One Month Created Files and Folders ========
 

2015-02-12 15:56 - 2015-02-12 17:46 - 00000567 _____ () C:\WINDOWS\system\Cm108.ini

2015-02-12 15:56 - 2015-02-12 15:56 - 00000267 _____ () C:\WINDOWS\Cm108.ini.cfl

2015-02-12 15:56 - 2015-02-12 15:56 - 00000214 _____ () C:\WINDOWS\Cm108.ini.imi

2015-02-12 15:56 - 2015-02-12 15:56 - 00000125 _____ () C:\WINDOWS\system\Dlap.pfx

2015-02-12 15:56 - 2015-02-12 15:56 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\USB PnP Sound Device

2015-02-12 15:56 - 2013-01-14 04:59 - 00001917 ____N () C:\WINDOWS\Cm108.ini.cfg

2015-02-12 15:56 - 2013-01-01 13:40 - 00827904 ____N () C:\WINDOWS\system32\Cmeau108.exe

2015-02-12 15:56 - 2012-12-24 07:06 - 00000638 ____N () C:\WINDOWS\USetup.iss

2015-02-12 15:56 - 2012-11-20 04:17 - 12935168 ____N (C-Media Corporation) C:\WINDOWS\SysWOW64\CM108.dll

2015-02-12 15:56 - 2012-10-04 09:59 - 04331520 _____ (C-Media Electronics Inc) C:\WINDOWS\system32\Drivers\CM10864.sys

2015-02-12 15:56 - 2012-09-04 09:58 - 00315392 _____ (C-Media Electronics Inc.) C:\WINDOWS\system\fltr108.dll

2015-02-12 15:56 - 2012-06-06 02:56 - 00143360 ____N () C:\WINDOWS\Vmix108.dll

2015-02-12 15:56 - 2012-06-04 07:15 - 04533760 ____N () C:\WINDOWS\system32\CM108.cpl

2015-02-12 15:56 - 2009-08-18 18:00 - 00359424 ____N () C:\WINDOWS\system32\CmiInstallResAll64.dll

2015-02-12 15:56 - 2006-10-05 07:45 - 00524768 ____R (Microsoft Corporation) C:\WINDOWS\difxapi.dll

2015-02-12 15:56 - 2006-09-13 03:21 - 00200704 ____N (C-Media) C:\WINDOWS\SysWOW64\cmpa108.dll

Proponuję sprawdzić co się stanie po deinstalacji tego oprogramowania. Jeśli nie będzie wyników, to na myśl przychodzi mi Przywracanie systemu do czasu, gdy nie było problemu. Są tu następujące punkty:

==================== Restore Points =========================
 

28-01-2015 14:41:27 Windows Update

06-02-2015 13:18:17 Removed Droid Explorer 0.6.0.0 (x64)

11-02-2015 14:32:49 Windows Update

12-02-2015 15:56:50 Installed USB PnP Sound Device

* PS. W spoilerze drobnostki do usunięcia, ale nie ma to żadnego znaczenia pod kątem problemu i w niczym nie pomoże. To do wykonania dopiero po ewentualnym Przywracaniu systemu, które wszystko by i tak odkręciło.

CloseProcesses:
CreateRestorePoint:
Task: {D956458C-9A1F-4C2D-829C-3137A70ABF9E} - \EPUpdater No Task File 
HKLM\...\Run: [HotKeysCmds] => C:\Windows\system32\hkcmd.exe
HKLM\...\Run: [Persistence] => C:\Windows\system32\igfxpers.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382820586&from=cor&uid=WDCXWD10JPVT-75A1YT0_WXB1C1291445C1291445&q={searchTerms}
Toolbar: HKU\S-1-5-21-1434524747-510119422-2071594516-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK
C:\ProgramData\{*}.log
C:\ProgramData\Intel.sav\ExtremeGraphics\CUI\Resource\Grafika HD Intel®.lnk
C:\ProgramData\Intel\ExtremeGraphics\CUI\Resource\Grafika HD Intel®.lnk
C:\Users\PatrykKarol\AppData\Local\70149b02515b3bb20dd492.47983420
C:\Users\PatrykKarol\Downloads\ComboFix*.exe
C:\Users\UpdatusUser\Desktop\*.lnk
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v NukeMetro /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ViStart /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f
EmptyTemp:

Jeśli chodzi o drugi temat, to został przeniesiony do właściwego działu. Dział pomocy doraźnej służy rozwiązywaniu problemów z infekcjami, a nie innych problemów systemowych. Czy zastosowałeś zalecane Przywracanie systemu i problem naprawiony? Jeśli tak, to możesz wykonać czynności zadane poniżej:

W Google Chrome jest niepożądane rozszerzenie śledzące. Ale poza tym nie ma tu oznak czynnej infekcji i tylko drobne działania "kosmetyczne" do wykonania, tzn. usunięcie wpisów pustych, artefaktów wstawionych przez ComboFix oraz czyszczenie Temp.

NA KONCIE ADMIN:

1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj śledzący Hover Zoom. Opis dlaczego jest to niepożądane rozszerzenie (niestety po angielsku): KLIK.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 RTHDMIAzAudService; system32\drivers\RtHDMIVX.sys [X]
Task: {1C8C81A2-8FD5-411C-A683-A8D3DCE6AE2B} - System32\Tasks\HP Deskjet 2050 J510 series.exe_{833C6AE2-B7D3-4281-9C6A-FF73F0C59724} => C:\Program Files\HP\HP Deskjet 2050 J510 series\Bin\HP Deskjet 2050 J510 series.exe
Task: {7F102E2D-80FB-4BF3-8075-F6C0EA9BB7B5} - System32\Tasks\HPCustPartic.exe_{CF06C799-5451-41A4-BD66-798A21A5AC13} => C:\Program Files\HP\HP Deskjet 2050 J510 series\Bin\HPCustPartic.exe)
Task: {83E79CF2-EA74-4458-B47C-5322737D2969} - System32\Tasks\{E30DBFBA-537F-4288-A3F7-3FD4DF584E68} => pcalua.exe -a C:\Users\Admin\Downloads\SPTD2inst-v202-x86.exe -d C:\Users\Admin\Downloads
Task: {C6CDED1C-6010-4C57-BAA1-1F879A2A89CB} - System32\Tasks\Toolbox.exe_{7C24517E-973D-4D3D-A1E5-50A77BA559AF} => C:\Program Files\HP\HP Deskjet 2050 J510 series\Bin\Toolbox.exe
Task: {D6B91707-BA37-4A1F-99B6-7BC952CF5F13} - System32\Tasks\{0BEF1739-245D-4D5C-AC01-ECB8CE15954A} => C:\Program Files (x86)\ezHTML\ezHTML.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-3550082035-2878343640-584771193-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-3550082035-2878343640-584771193-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
C:\ProgramData\HP
C:\Users\Admin\AppData\Local\HP
C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Soda PDF 3D Reader.lnk
C:\Users\Admin\Downloads\SPTD*.exe
C:\Users\Tadeusz\AppData\Local\HP
C:\Users\Tadeusz\AppData\Roaming\Mozilla
CMD: sc config WinDefend start= demand
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

3. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz ynikowy log z folderu C:\AdwCleaner.

NA KONCIE TADEUSZ:

1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj śledzący Hover Zoom.

2. Otwórz Notatnik i wklej w nim:

SearchScopes: HKU\S-1-5-21-3550082035-2878343640-584771193-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.doko-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=8A1D902B34AAB62C&affID=125839&tsp=5039

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Proszę nie edytuj już poprzednich postów, udzielasz odpowiedzi w nowo napisanym.

Był tu stosowany ComboFix i na ten temat: KLIK. Temat przenoszę do działu Windows. Nie jest to problem infekcji. Owszem, są tu niepożądane obiekty adware (GoodGameEmpire, PrivitizeVPN oraz zaśmiecone Google Chrome przekonwertowane przez adware ze stabilnej do developerskiej), ale to nie jest powiązane z problemami. W spoilerze masz akcje poboczne związane doczyszczaniem tych śmieci i innych szczątków (np. Firefox) plus usunięcie niekompatybilnego sterownika:

System errors:

=============

Error: (02/12/2015 09:42:00 PM) (Source: Application Popup) (EventID: 1060) (User: )

Description: Ładowanie sterownika \SystemRoot\SysWow64\DRIVERS\kqemu.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika.

CloseProcesses:
CreateRestorePoint:
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S3 kqemu; C:\Windows\SysWOW64\DRIVERS\kqemu.sys [144622 2015-02-12] () [File not signed]
S3 MWAC; \??\C:\Windows\system32\drivers\ [0 ] () 
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
S3 NTIOLib_1_0_4; \??\C:\Program Files (x86)\MSI\Live Update\NTIOLib_X64.sys [X]
S3 usj; \??\D:\GAMES\AeriaGames\EdenEternal\avital\ussjcs64.sys [X]
Task: {106FA3BD-95F7-4731-9294-B54A677ED16E} - System32\Tasks\Norton Management\Norton Error Analyzer => C:\Program Files (x86)\Norton Management\Engine\3.2.0.19\SymErr.exe
Task: {3033ABA6-AC2E-4CAD-BFAD-1F1043B80D6C} - System32\Tasks\{E119F1B4-AEE2-464F-8771-C6570DC8D568} => pcalua.exe -a "C:\Program Files (x86)\MSI\Live Update\LU5\DL_FILE\Atheros_Network_Drivers_2.1.0.21\setup.exe" -d C:\Windows\system32 -c /s /f1.\setup.iss /f2c:\AtherosLAN.log
Task: {3A8129C7-8FDA-4EA6-99E4-B7A635E9F279} - System32\Tasks\{0246BC4A-7A55-4363-AD5D-67EF758CEA83} => pcalua.exe -a J:\Setup.EXE -d J:\
Task: {3B8FC219-DD61-49B8-8FE3-BF2148DB9894} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1603038381-1674390504-77248367-1001Core => C:\Users\Wojtuq\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-12-08] (Facebook Inc.)
Task: {45902C7C-F777-41B0-8EEB-EBF112542153} - System32\Tasks\{664AA5A3-0CF3-4CCB-88CB-3EB39BD46504} => pcalua.exe -a C:\Users\Wojtuq\Downloads\Shockwave_Installer_Slim.exe -d C:\Users\Wojtuq\Downloads
Task: {509886A8-38CA-4EB1-AFA6-F12D8F7D25EC} - System32\Tasks\{98556B1C-C28B-4521-A443-DD906C0F6E38} => pcalua.exe -a "C:\Users\Wojtuq\Desktop\zdjęcia patryk\Shockwave_Installer_Slim.exe" -d "C:\Users\Wojtuq\Desktop\zdjęcia patryk"
Task: {65563870-5609-4610-BF29-46A856B37A38} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1603038381-1674390504-77248367-1001UA => C:\Users\Wojtuq\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-12-08] (Facebook Inc.)
Task: {E1101349-DC3B-4769-8206-DA8EF73D394F} - System32\Tasks\Norton Management\Norton Error Processor => C:\Program Files (x86)\Norton Management\Engine\3.2.0.19\SymErr.exe
Task: {FF5BD6AE-E0A6-4FAA-9148-1B3B47B28A16} - System32\Tasks\RealDownloaderDownloaderScheduledTaskS-1-5-21-1603038381-1674390504-77248367-1001 => C:\Program Files (x86)\RealNetworks\RealDownloader\recordingmanager.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1603038381-1674390504-77248367-1001Core.job => C:\Users\Wojtuq\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1603038381-1674390504-77248367-1001UA.job => C:\Users\Wojtuq\AppData\Local\Facebook\Update\FacebookUpdate.exe
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1603038381-1674390504-77248367-1001\...\Policies\system: [DisableLockWorkstation] 0
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => No File
ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => No File
ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => No File
ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => No File
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-1603038381-1674390504-77248367-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-1603038381-1674390504-77248367-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-1603038381-1674390504-77248367-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\PrivitizeVPN
C:\Users\Wojtuq\AppData\Local\Facebook
C:\Users\Wojtuq\AppData\Local\Google\Chrome
C:\Users\Wojtuq\AppData\Local\Mozilla
C:\Users\Wojtuq\AppData\Roaming\gameboxsetup.exe
C:\Users\Wojtuq\AppData\Roaming\Mozilla
C:\Users\Wojtuq\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\GoodGameEmpire.lnk
C:\Users\Wojtuq\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GoodGameEmpire
C:\Users\Wojtuq\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Norton
C:\Users\Wojtuq\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PrivitizeVPN
C:\Users\Wojtuq\AppData\Roaming\Microsoft\Word\bewerbung%20Dectblatt304214260053183420\bewerbung%20Dectblatt.docx.lnk
C:\Users\Wojtuq\AppData\Roaming\Microsoft\Word\Lebenslauf%20Wojtek%20Traczyk%201304211700470070862\Lebenslauf%20Wojtek%20Traczyk%201.doc.lnk
C:\Users\Wojtuq\Desktop\Programy\CDBurnerXP.lnk
C:\Users\Wojtuq\Desktop\Programy\Estelar PDF Unlock Tool.lnk
C:\Users\Wojtuq\Start Menu\Programs\VideoPerformer
C:\Windows\System32\Tasks\Norton Management
C:\Windows\SysWOW64\DRIVERS\kqemu.sys
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Management
Reg: reg delete HKCU\Software\Clients\StartMenuInternet\Opera /f
Reg: reg delete HKCU\Software\Google\Chrome /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MozillaMaintenance" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\RealNetworks Downloader Resolver Service" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SamsungAllShareV2.0" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SimpleSlideShowServer" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AllShareAgent" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Browser Infrastructure Helper" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesAirMessage" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPreload" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msnmsgr" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PrivitizeVPN" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{F7D739D1-B597-4802-A4CB-E1FBF326C9B0} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PrivitizeVPN /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

Od dłuższego czasu około pół roku, komputer zwolnił programy włączają się wolniej, czasami podczas pracy się zacinają a nie raz bywa, że cały system sie na chwilę zawiesi. System wolno się uruchamia i cały proces uruchomienia wszystkich programów początkowych trwa długo, zawsze do max 4min, tak samo jest z wyłączaniem systemu czy z jego hibernacją która jest dłuższa niż normalne zamknięcie systemu, wybudzanie z hibernacji trwa bardzo długo nie raz do 10min. Filmy online ładują się nie raz dwie godziny i nie jest załadowany do końca, podczas oglądania filmy się tną a nie raz nawet nie ma co oglądać bo niby film sie załadował a okazuje się, że po zatrzymaniu by się zbuforował nic się nie dzieje.

1. Zacznij od sprawdzenia głównego podejrzanego zazębiającego się ze wszystkimi opisanymi sferami, czyli ESET Smart Security. Testowo go odinstaluj i sprawdź efekty.

2. Druga sprawa: w logu główne lokalizacje mają masowo przypisany atrybut C = Compressed. Układ sugeruje, że został skompresowany cały dysk C. To nie jest dobre posunięcie przy komponentach do których jest stale wymagany dostęp i może spowalniać dostęp. Zdejmij rekursywnie kompresję z C:.

Czyszczenie w zakresie infekcji zasadniczej ukończone. Drobna uwaga: były usuwane zaszyfrowane pliki z katalogów określonych aplikacji, to nie jest poważny problem, ale gdyby ubytki obrazków / dokumentów programów objawiły się w widoczny sposób, po prostu dany program przeinstaluj.

Ostatnia akcja pomyślnie wykonana. Ze względu na obiekty typu adware/PUP jeszcze dodaj na wszelki wypadek skan z AdwCleaner. Wybierz tylko opcję Szukaj i dostarcz raport z C:\AdwCleaner.

I znowu nie do końca udane podejście, przeklejając przełamujesz linie tam gdzie nie powinieneś. Przez SHIFT+DEL (omija Kosz) ręcznie dokasuj ten plik:

C:\Users\zawias\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk