picasso

W załącznikach można umieszczać tylko pliki o rozszerzeniu *.TXT, *.LOG jest wykluczony. W instrukcji robienia raportu GMER jest powiedziane, by użyć opcję Kopiuj i zapisać do nowego pliki, wtedy nie ma problemu. By dołączyć już zapisany plik o niedozwolonym rozszerzeniu, po prostu zapisz go do nowego pliku TXT. Zestaw logów FRST niekompletny - brak trzeciego pliku FRST Shortcut. Jest w systemie duża ilość obiektów adware, na dodatek adware przekonwertowało całą przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana kompleksowa reinstalacja. Na początek maksymalna ilość poprawnych deinstalacji, a potem dopiero będą inne poprawki. Nic nowego nie instaluj na razie. 1. Przez Panel sterowania odinstaluj: - Adware: $crrUnisntlDsply$, buyfAst, CommonShare, FreeSoftToday 008.8, GPU Monitor, Update for Zip Opener, VuuPC Packages, Word Proser 1.10.0.1, Yahoo! Search. - Poszkodowaną przeglądarkę, zbędniki i stare wersje: eBay Worldwide, Google Chrome, Google Toolbar for Internet Explorer, Live Updater, McAfee Internet Security (za dużo antywirusów!), McAfee SiteAdvisor, MyFreeCodec, OpenOffice.org 3.4.1, Opera 12.15. Przed deinstalacją Chrome wyeksportuj zakładki i nic więcej. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei wpisy adware Internet Explorer Toolbar 4.7 by SweetPacks, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1 > Dalej. Narzędzie należy uruchomić trzy razy, gdyż nie umożliwia akcji hurtowej. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut, by powstały trzy logi.

Infekcję złapałeś otwierając prawdopodobnie e-mail z preparowanym załącznikiem. Tak, odszyfrowanie danych załatwionych przez CTB-Locker nie jest możliwe. Podaj nowe raporty FRST (główny + Addition + Shortcut), bo należy doczyścić infekcję. Antywirus - nie polecam żadnej szczególnej marki, obojętny antywirus z puli wiodących będzie OK. Do zabezpieczenia przed infekcjami szyfrującymi można zastosować małe narzędzie CryptoPrevent.

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 15-10-2014 02 (ATTENTION: ====> FRST version is 121 days old and could be outdated) Posługujesz się starym FRST pozbawionym nowych skanów i poprawek - proszę pobierz najnowszą wersję i z przyklejonego i zrób nowe logi (wszyskie trzy): KLIK. A logi OTL nie są już obowiązowe, usuwam. Od razu powiem, że infekcja CTB-Loker = odzszyfrowanie danych jest awykonalne.

Proszę o dostarczenie raportu FRST z poziomu środowiska zewnętrznego: KLIK.

1. Uruchom AdwCleaner ponownie. Wywołaj Szukaj. W karcie Folders odznacz te dwa: C:\Program Files (x86)\OneClickInternet C:\Users\Ewa\AppData\Roaming\OneClickInternet Następnie użyj opcję Usuń. Gdy AdwCleaner ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Ewa\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\wangjihua RemoveDirectory: C:\Users\wangzhisong Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Sprawdź czy zmieni się sytuacja jeśli tymczasowo (na czas jednej rundy z resetem) trwale zdeaktywujesz moduły Kasperskiego. Nie pamiętam opcji PURE, szukaj opcji związanych z osłoną proaktywną / ochroną procesów. Fix FRST się nie wykonał do końca i zatrzymał w połowie. W spoilerze powtórka.

Wizavo, temat sprzątam z "przypominajek". Jeśli nie ma odpowiedzi, to po prostu nikt może nie mieć pomysłu jak to rozwiązać, ani czasu by się przyjrzeć sprawie. Jeśli ktoś będzie miał coś do powiedzenia, to się wypowie samodzielnie. Jeśli chodzi o problem numer dwa, to wygląda na wynik autoresetu powłoki explorer.exe. W Dzienniku zdarzeń powtarza się błąd: Application errors: ================== Error: (12/12/2014 01:09:07 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.3.9600.17284, sygnatura czasowa: 0x53f816dc Nazwa modułu powodującego błąd: QtCore_Ad_SyncNs_4.dll_unloaded, wersja: 4.8.2.0, sygnatura czasowa: 0x50d3fca7 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00000000000265fe Identyfikator procesu powodującego błąd: 0x5dc Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0 Ścieżka aplikacji powodującej błąd: Explorer.EXE1 Ścieżka modułu powodującego błąd: Explorer.EXE2 Identyfikator raportu: Explorer.EXE3 Pełna nazwa pakietu powodującego błąd: Explorer.EXE4 Identyfikator aplikacji względem pakietu powodującego błąd: Explorer.EXE5 Error: (12/12/2014 00:23:41 AM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program Explorer.EXE w wersji 6.3.9600.17284 przestał współpracować z systemem Windows i został zamknięty. Aby sprawdzić, czy jest dostępnych więcej informacji na temat tego problemu, sprawdź historię problemu w aplecie Centrum akcji w Panelu sterowania. Moduł przyczynowy: QtCore_Ad_SyncNs_4.dll. Jest to problematyczne rozszerzenie Autodesk: KLIK. Spróbuj wyłączyć zarejestrowane rozszerzenia QtCore_Ad_SyncNs_4.dll. Uruchom ShellExView x64, wyszukaj wszystkie wpisy związane z tym plikiem i wyłącz, zresetuj system. Podaj czy nadal występuje problem z niestałym układem ikon na Pulpicie. PS. Do czyszczenia są też wpisy adware. Jako, że logi zostały podane dawno temu, zrób nowe raporty FRST z najnowszej wersji (tym razem nie wyłączaj Whitelisty dla Services i Drivers).

Nie przymierzaj się do tego pobranego ComboFix. Temat przenoszę do działu Windows. Nie jest to problem infekcji. Są tylko drobne ślady adware w Google Chrome, ale to sprawa poboczna i w ogóle się nie wiąże ze sprawą. * Z raportów nic kompletnie nie wynika. Z widocznych nowych obiektów jest niejaki USB PnP Sound Device: ==================== Installed Programs ====================== USB PnP Sound Device (HKLM-x32\...\{71B53BA8-4BE3-49AF-BC3E-07F392006300}) (Version: 1.00.0006 - C-Media Electronics, Inc.) ==================== One Month Created Files and Folders ======== 2015-02-12 15:56 - 2015-02-12 17:46 - 00000567 _____ () C:\WINDOWS\system\Cm108.ini 2015-02-12 15:56 - 2015-02-12 15:56 - 00000267 _____ () C:\WINDOWS\Cm108.ini.cfl 2015-02-12 15:56 - 2015-02-12 15:56 - 00000214 _____ () C:\WINDOWS\Cm108.ini.imi 2015-02-12 15:56 - 2015-02-12 15:56 - 00000125 _____ () C:\WINDOWS\system\Dlap.pfx 2015-02-12 15:56 - 2015-02-12 15:56 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\USB PnP Sound Device 2015-02-12 15:56 - 2013-01-14 04:59 - 00001917 ____N () C:\WINDOWS\Cm108.ini.cfg 2015-02-12 15:56 - 2013-01-01 13:40 - 00827904 ____N () C:\WINDOWS\system32\Cmeau108.exe 2015-02-12 15:56 - 2012-12-24 07:06 - 00000638 ____N () C:\WINDOWS\USetup.iss 2015-02-12 15:56 - 2012-11-20 04:17 - 12935168 ____N (C-Media Corporation) C:\WINDOWS\SysWOW64\CM108.dll 2015-02-12 15:56 - 2012-10-04 09:59 - 04331520 _____ (C-Media Electronics Inc) C:\WINDOWS\system32\Drivers\CM10864.sys 2015-02-12 15:56 - 2012-09-04 09:58 - 00315392 _____ (C-Media Electronics Inc.) C:\WINDOWS\system\fltr108.dll 2015-02-12 15:56 - 2012-06-06 02:56 - 00143360 ____N () C:\WINDOWS\Vmix108.dll 2015-02-12 15:56 - 2012-06-04 07:15 - 04533760 ____N () C:\WINDOWS\system32\CM108.cpl 2015-02-12 15:56 - 2009-08-18 18:00 - 00359424 ____N () C:\WINDOWS\system32\CmiInstallResAll64.dll 2015-02-12 15:56 - 2006-10-05 07:45 - 00524768 ____R (Microsoft Corporation) C:\WINDOWS\difxapi.dll 2015-02-12 15:56 - 2006-09-13 03:21 - 00200704 ____N (C-Media) C:\WINDOWS\SysWOW64\cmpa108.dll Proponuję sprawdzić co się stanie po deinstalacji tego oprogramowania. Jeśli nie będzie wyników, to na myśl przychodzi mi Przywracanie systemu do czasu, gdy nie było problemu. Są tu następujące punkty: ==================== Restore Points ========================= 28-01-2015 14:41:27 Windows Update 06-02-2015 13:18:17 Removed Droid Explorer 0.6.0.0 (x64) 11-02-2015 14:32:49 Windows Update 12-02-2015 15:56:50 Installed USB PnP Sound Device * PS. W spoilerze drobnostki do usunięcia, ale nie ma to żadnego znaczenia pod kątem problemu i w niczym nie pomoże. To do wykonania dopiero po ewentualnym Przywracaniu systemu, które wszystko by i tak odkręciło.

Jeśli chodzi o drugi temat, to został przeniesiony do właściwego działu. Dział pomocy doraźnej służy rozwiązywaniu problemów z infekcjami, a nie innych problemów systemowych. Czy zastosowałeś zalecane Przywracanie systemu i problem naprawiony? Jeśli tak, to możesz wykonać czynności zadane poniżej: W Google Chrome jest niepożądane rozszerzenie śledzące. Ale poza tym nie ma tu oznak czynnej infekcji i tylko drobne działania "kosmetyczne" do wykonania, tzn. usunięcie wpisów pustych, artefaktów wstawionych przez ComboFix oraz czyszczenie Temp. NA KONCIE ADMIN: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj śledzący Hover Zoom. Opis dlaczego jest to niepożądane rozszerzenie (niestety po angielsku): KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 RTHDMIAzAudService; system32\drivers\RtHDMIVX.sys [X] Task: {1C8C81A2-8FD5-411C-A683-A8D3DCE6AE2B} - System32\Tasks\HP Deskjet 2050 J510 series.exe_{833C6AE2-B7D3-4281-9C6A-FF73F0C59724} => C:\Program Files\HP\HP Deskjet 2050 J510 series\Bin\HP Deskjet 2050 J510 series.exe Task: {7F102E2D-80FB-4BF3-8075-F6C0EA9BB7B5} - System32\Tasks\HPCustPartic.exe_{CF06C799-5451-41A4-BD66-798A21A5AC13} => C:\Program Files\HP\HP Deskjet 2050 J510 series\Bin\HPCustPartic.exe) Task: {83E79CF2-EA74-4458-B47C-5322737D2969} - System32\Tasks\{E30DBFBA-537F-4288-A3F7-3FD4DF584E68} => pcalua.exe -a C:\Users\Admin\Downloads\SPTD2inst-v202-x86.exe -d C:\Users\Admin\Downloads Task: {C6CDED1C-6010-4C57-BAA1-1F879A2A89CB} - System32\Tasks\Toolbox.exe_{7C24517E-973D-4D3D-A1E5-50A77BA559AF} => C:\Program Files\HP\HP Deskjet 2050 J510 series\Bin\Toolbox.exe Task: {D6B91707-BA37-4A1F-99B6-7BC952CF5F13} - System32\Tasks\{0BEF1739-245D-4D5C-AC01-ECB8CE15954A} => C:\Program Files (x86)\ezHTML\ezHTML.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3550082035-2878343640-584771193-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3550082035-2878343640-584771193-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch C:\ProgramData\HP C:\Users\Admin\AppData\Local\HP C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Soda PDF 3D Reader.lnk C:\Users\Admin\Downloads\SPTD*.exe C:\Users\Tadeusz\AppData\Local\HP C:\Users\Tadeusz\AppData\Roaming\Mozilla CMD: sc config WinDefend start= demand Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz ynikowy log z folderu C:\AdwCleaner. NA KONCIE TADEUSZ: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj śledzący Hover Zoom. 2. Otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-3550082035-2878343640-584771193-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.doko-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=8A1D902B34AAB62C&affID=125839&tsp=5039 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Proszę nie edytuj już poprzednich postów, udzielasz odpowiedzi w nowo napisanym.

Był tu stosowany ComboFix i na ten temat: KLIK. Temat przenoszę do działu Windows. Nie jest to problem infekcji. Owszem, są tu niepożądane obiekty adware (GoodGameEmpire, PrivitizeVPN oraz zaśmiecone Google Chrome przekonwertowane przez adware ze stabilnej do developerskiej), ale to nie jest powiązane z problemami. W spoilerze masz akcje poboczne związane doczyszczaniem tych śmieci i innych szczątków (np. Firefox) plus usunięcie niekompatybilnego sterownika: System errors: ============= Error: (02/12/2015 09:42:00 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \SystemRoot\SysWow64\DRIVERS\kqemu.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. 1. Zacznij od sprawdzenia głównego podejrzanego zazębiającego się ze wszystkimi opisanymi sferami, czyli ESET Smart Security. Testowo go odinstaluj i sprawdź efekty. 2. Druga sprawa: w logu główne lokalizacje mają masowo przypisany atrybut C = Compressed. Układ sugeruje, że został skompresowany cały dysk C. To nie jest dobre posunięcie przy komponentach do których jest stale wymagany dostęp i może spowalniać dostęp. Zdejmij rekursywnie kompresję z C:.

Czyszczenie w zakresie infekcji zasadniczej ukończone. Drobna uwaga: były usuwane zaszyfrowane pliki z katalogów określonych aplikacji, to nie jest poważny problem, ale gdyby ubytki obrazków / dokumentów programów objawiły się w widoczny sposób, po prostu dany program przeinstaluj. Ostatnia akcja pomyślnie wykonana. Ze względu na obiekty typu adware/PUP jeszcze dodaj na wszelki wypadek skan z AdwCleaner. Wybierz tylko opcję Szukaj i dostarcz raport z C:\AdwCleaner.

I znowu nie do końca udane podejście, przeklejając przełamujesz linie tam gdzie nie powinieneś. Przez SHIFT+DEL (omija Kosz) ręcznie dokasuj ten plik: C:\Users\zawias\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk

są tu następujące problemy: - System został zainfekowany - uruchamia się fałszywy proces svchost.exe, który dba o to, by podpinane urządzenia USB zostały zainfekowane. Pendrive jest zainfekowany również, foldery nie zmieniły się w pliki EXE tylko zostały ukryte, a te pliki EXE to pliki infekcji. - W przeglądarce Firefox jest adware Solution Real 1.0.1. - Poza tym, są tu zainstalowane wątpliwe skanery z czarnej listy (z daleka od tych dziadostw!) SpyHunter, YAC(Yet Another Cleaner!). Operacje do przeprowadzenia: 1. Odinstaluj wątpliwe skanery, zbędniki i stare wersje: Adobe Reader X (10.1.11) - Polish, Adobe Shockwave Player 12.1, , Facebook Messenger 2.1.4814.0 (już nie działa), IObit Toolbar v9.7, Java 7 Update 45, Java™ 6 Update 20, Java™ 6 Update 31, OpenOffice.org 3.2, SpyHunter, YAC(Yet Another Cleaner!), Yahoo! Install Manager. 2. Zakładam, że pendrive jest nadal podpięty i widoczny pod literą G:\. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1372833441-2193563211-3988756166-1000\...\Run: [system Network Service] => C:\Users\pc\AppData\Roaming\System32\svchost.exe [951808 2015-02-13] () HKLM\...\RunOnce: [] => [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-1372833441-2193563211-3988756166-1000 -> {201C0670-22C5-49D4-A624-980FC9D5E537} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=382950&p={searchTerms} SearchScopes: HKU\S-1-5-21-1372833441-2193563211-3988756166-1000 -> {80F6F76F-0EAB-4252-B8F8-E7048BB9CA69} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=382950&p={searchTerms} FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin: yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 -> C:\Program Files\Yahoo!\Common\npyaxmpb.dll (Yahoo! Inc.) FF Plugin HKU\S-1-5-21-1372833441-2193563211-3988756166-1000: ubisoft.com/uplaypc -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext CustomCLSID: HKU\S-1-5-21-1372833441-2193563211-3988756166-1000_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File Task: {1027F3B3-B482-404F-AD66-97FD3081C714} - System32\Tasks\{16F19419-BDF5-4205-910E-B26C657FE8D3} => pcalua.exe -a "D:\Krzysiek\Pro Evolution Soccer 6 Rip\mk_icon.exe" -d "D:\Krzysiek\Pro Evolution Soccer 6 Rip" Task: {1D0FF6CA-40C5-49E0-B109-2D69F8079973} - System32\Tasks\{BE4E6A6A-D62C-4CFD-8FEF-78DCC89BA5AF} => Firefox.exe http://www.skype.com/go/downloading?source=installer&ver=6.21.0.104&LastError=-9 Task: {1D21BF83-B113-4382-901F-DF96E14161C6} - System32\Tasks\{37F93DC3-1B39-42B1-9684-F18FE4DAC368} => D:\Program Files\League of Legends\lol.launcher.exe Task: {213F8B95-109A-4DC1-A247-4A43C177DAF9} - System32\Tasks\{F5330131-01A0-4EB4-B150-C3187F4DC08F} => pcalua.exe -a "D:\Program Files\Fifa\FIFA 13\__Installer\dotnet\dotnet35sp1\redist\dotnetfx35.exe" -d "D:\Program Files\Fifa\FIFA 13\__Installer\dotnet\dotnet35sp1\redist" Task: {6588244E-C1B3-4E14-9AAD-9ABC28C6C318} - System32\Tasks\{F545566E-0B9E-4C58-89E5-0298AC9115BC} => pcalua.exe -a "D:\Program Files\ChomikPobrane\TS3\Sims3Setup.exe" -d "D:\Program Files\ChomikPobrane\TS3" Task: {8637FB7A-B1E2-4A3D-AE02-7BB19B11D1E7} - System32\Tasks\{2262BF40-438D-487D-92CC-8DCE99AC122A} => Firefox.exe http://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar Task: {8D5B46C0-94F8-49F3-B1DA-97B9063E563A} - System32\Tasks\{CD39F1EF-522C-42E3-A7EB-4C01A9341F47} => pcalua.exe -a "D:\Program Files\Hi-Rez Studios\HiRezGamesDiagAndSupport.exe" -c uninstall=all Task: {8F3E7E2B-A8F3-49BA-B3B7-33925E73E07F} - System32\Tasks\{0B66048D-05F0-403A-B669-6C81850D79D5} => pcalua.exe -a "D:\Program Files\ChomikPobrane\The SIMS 4-Deluxe Edition-SKIDROWCRACK\__Installer\vp6\vp6install.exe" -d "D:\Program Files\ChomikPobrane\The SIMS 4-Deluxe Edition-SKIDROWCRACK\__Installer\vp6" Task: {A2E78A3B-DF0B-458F-BD68-AA844D2E568B} - System32\Tasks\{DE63A1EA-2FF9-456B-A5D1-358758DBEE1E} => pcalua.exe -a "D:\Program Files\ChomikPobrane\The Sims 3 Island Paradise [MULTI5][PCDVD][P2P][WwW.GamesTorrents.CoM]\p2p-ts3ip\p2p-ts3ip\Sims3EP10\Sims3EP10Setup.exe" -d "D:\Program Files\ChomikPobrane\The Sims 3 Island Paradise [MULTI5][PCDVD][P2P][WwW.GamesTorrents.CoM]\p2p-ts3ip\p2p-ts3ip\Sims3EP10" Task: {B4D6F6C8-FC70-4DB9-A32D-EF16A32891A6} - System32\Tasks\{6FEECA60-B62A-413A-9420-6BC41F26D296} => pcalua.exe -a "D:\Program Files\Nowy folder (2)\autorun.exe" -d "D:\Program Files\Nowy folder (2)" Task: {CF8F35BE-D640-4ED7-86C0-BC61484D5C58} - System32\Tasks\{EC9F7AAC-D590-46EE-A15E-D87F2D577209} => pcalua.exe -a "D:\Krzysiek\Simsy dodatki\1\Sims3EP01Setup.exe" -d "D:\Krzysiek\Simsy dodatki\1" Task: {E812B9F9-6B0C-47EA-A59D-EE7F4CA4C50C} - System32\Tasks\Ad-Aware Antivirus Scheduled Scan => D:\PROGRA~1\TERRAR~1.2CR\AdAwareLauncher.exe Task: {E9F0B250-A273-4066-909A-99188D16B028} - \SpyHunter4Startup No Task File R0 gfibto; C:\Windows\System32\drivers\gfibto.sys [13560 2012-12-15] (GFI Software) S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X] S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] S3 vtany; \??\C:\Windows\vtany.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] C:\user.js C:\ProgramData\IObit\Game Booster 3\BackLnk\*.lnk C:\Users\pc\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\pc\AppData\Roaming\System32 C:\Windows\System32\drivers\gfibto.sys D:\msdownld.tmp G:\Nowy folder.exe G:\Pola.exe CMD: attrib /d /s -s -h G:\* Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 4. Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie Addition) oraz USBFix z opcji Listing. Dołącz też plik fixlog.txt.

A jak jest skonfigurowana pamięć wirtualna? Z ogłoszenia:

Temat założony w niewłaściwym dziale Hardware, podaj o jakim systemie mowa, gdyż temat zostanie przeniesiony. Metoda obliczania miejsca przez zaznaczanie wszystkich pozornie widocznych obiektów jest zupełnie niewiarygodna, tym sposobem nie są obliczane elementy do których brak dostępu np. ze względu na specyficzne uprawnienia. Do diagnostyki miejsca skorzystaj z programu SpaceSniffer. Program należy wywołać przez "Uruchom jako Administrator", by pobrał dane np. o System Volume Information.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Skasuj plik C:\Delfix.txt z dysku. Oczywiście możesz zainstalować najnowsze wersje programów - lista podstawowa w tym samym linku, w którym był Delfix.

Wiele "Koszy", gdyż w folderze kosza są podfoldery związane z SID konkretnego konta. Powiedz konkretnie co to za narzędzie i która akcja pokazuje te wyniki. Czy na pewno nie jest to stara zapamiętana historia wyszukiwania (która już nie ma odbicia w tym co rzeczywiście jest na dysku)? I już się gubię o czym mowa i o co Ci tu chodzi. Pierwotnie problem był nakreślony w następujący sposób: To tylko folder starego Kosza i jego usuwanie zostało podane: RemoveDirectory: Q:\$RECYCLE.BIN Z dalszej dyskusji wynika, że Ty wcale nie chcesz go usuwać, tylko szukasz w tym Koszu rzeczy, które chcesz odzyskać?!

Wątki nie na temat usuwam. System nie startuje, FRST jest robiony z poziomu RE - w tym środowisku nie ma możliwości zrobienia Addition i Shortcut, ani "pokazania pełnej listy zainstalowanych programów", chyba że skopiuje się pliki rejestru z jego systemu, podmontuje u siebie i ręcznie przejrzy cały rejestr. Log FRST sugeruje, że była wykonywana jakaś aktualizacja Windows, dużo plików Microsoftu świeżo utworzonych (pomijam te zakolorowane na szaro, to wygląda na tą Twoją podmianę): Skoro pojawił się BSOD, to jest prawdopodobne, że mamy tu do czynienia z wadliwą aktualizacją. Niestety brak konkretów, liczba plików odświeżonych zbyt duża (zresztą problem może być tak szeroki jak liczba widzianych plików), by coś z tego wyłuskać, a sam raport FRST jest bardzo selektywny (jest więcej czeluści związanych z serwisowaniem komponentów). Jedyna droga jaką widzę to Przywracanie systemu, tylko poważnym problemem jest brak kopii. Jedyny punkt Przywracania to: ==================== Restore Points ========================= Restore point made on: 2015-02-11 15:10:53 Nie wiadomo czy dostatecznie "stary", jego data niestety pasuje do ostatniego rzutu odświeżania plików (pliki się odświeżały już wcześniej). Na dodatek brak dostępu: Jaki? Poza tym, Przywracanie systemu tu było zablokowane: HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] Mówisz że klucz już usunąłeś, ale to nie ma znaczenia dla stanu bieżącego, nie dorobi nieistniejących punktów. Skąd te pliki brane? Poproszę o dowód, że zostały wstawione poprawne pliki mające identyczne sumy kontrolne jak wersje zainstalowanych komponentów. Uruchom FRST, w polu Search wklep: csrss.exe;winlogon.exe Klik w Search files i dostarcz wynikowy log. Odwróć tę edycję. Wartość SetupExecute w domyślnym stanie jest pusta. Ona się wypełnia danymi wtedy, gdy system prowadzi jakieś operacje serwisowania przy bootowaniu. Tak swoją drogą to mnie interesuje którą gałąź edytowałeś, gdyż jedyna która się liczy w Twoim układzie to: The current controlset is ControlSet002

Jesteś logowany via profil tymczasowy. Poproszę o raporty z FRST, które określą środowisko systemowe, podadzą listę kont wraz z identyfikatorami SID oraz błędy z Dziennika zdarzeń. Nie widzisz SID kont, bo przecież nawet nie rozwinąłeś klucza! Ale to nie będzie potrzebne, gdyż: Jeśli w raportach FRST nie będzie wyraźnych przeszkód, do zastosowania będzie ReProfiler przekierowywujący konto na poprzedni katalog, tak jak w tych tematach: KLIK, KLIK. Są jednak sytuacje, gdy to nie działa, bo źródło problemu to wyklucza, przykład: KLIK.

Delfix wykonał zadanie, możesz usunąć z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam. Dzięki wielkie za ewentualną dotację!

Jeden z problemów rozwiązany, ale jeszcze roboty przed nami. Należy system posprzątać ze śmieci i niepoprawnych instalacji. Jeśli chodzi o brak internetu, powodem jest niepoprawna deinstalacja AVG. W Menedżerze urządzeń mnóstwo zdefektowanych urządzeń sieciowych filtrowanych przez nieistniejący już sterownik AVG miniport driver. Miałeś zastosować narzędzie AVG Remover - czy na pewno ono zostało użyte? Natomiast pierwsza pozycja, czyli zdefektowany "USB Disk", to raczej z winy innych filtrów, a podejrzanych tu trochę jest - informacje o filtrach pobiorę w skrypcie FRST. ==================== Faulty Device Manager Devices ============= Name: USB DISK Description: USB Flash Disk Class Guid: {eec5ad98-8080-425f-922a-dabf3de3f69a} Manufacturer: General Service: WUDFRd Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: Realtek RTL8102E/RTL8103E Family PCI-E Fast Ethernet NIC (NDIS 6.20) - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: WAN Miniport (IP) - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: WAN Miniport (Network Monitor) - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: WAN Miniport (IPv6) - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: Compact Wireless-G USB Adapter - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Name: Compact Wireless-G USB Adapter #2 - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: Compact Wireless-G USB Adapter #3 - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Operacje do przeprowadzenia: 1. Uporządkuj sprawę kont. Usuń konto Sol (w dialogu zaznacz usuwanie danych użytkownika) oraz wyłącz konto Gość. 2. Zdejmij filtry sieciowe: Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > po kolei na każde widoczne połączenie pobierz Właściwości > w karcie Ogólne wyszukaj obiekt AVG, zaznacz i odinstaluj. Zresetuj system. 3. Odinstaluj przez Panel sterowania stare wersje, zbędniki i adware: Akamai NetSession Interface, AVG Security Toolbar, Gadu-Gadu 10, Vuze_Remote Toolbar, Windows Media Player Firefox Plugin, YourFileDownloader. Sugeruję też od razu przewertować listę i pousuwać więcej nieużywanych programów. 4. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: S4 Browser Manager; Browser Manager\2.2.643.41\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe [X] S3 catchme; \??\C:\Windows\system32\config\SYSTEM~1\AppData\Local\Temp\catchme.sys [X] S3 cpuz132; \??\C:\Users\Solskier\AppData\Local\Temp\cpuz132\cpuz132_x32.sys [X] S3 IntcAzAudAddService; system32\drivers\RTKVHDA.sys [X] S3 LVcKap; system32\DRIVERS\LVcKap.sys [X] S3 LVMVDrv; system32\DRIVERS\LVMVDrv.sys [X] Task: {0277A5CC-7CA8-44E2-91C9-BC51224C34BE} - System32\Tasks\YourFile Update => C:\Program Files\YourFileDownloader\YourFileUpdater.exe Task: {0F48912C-F754-4A3F-A91C-5CFD66F4F647} - System32\Tasks\{00DAA81E-B8A2-4288-930C-F0A83073AF27} => pcalua.exe -a G:\Drivers\VGA\AsusSetup.exe -d G:\Drivers\VGA Task: {28AA3242-0D34-4BD8-991A-599F99471F57} - System32\Tasks\Browser Manager => Sc.exe start Browser Manager Task: {36AD32E0-FA7D-489A-A059-84F5DCFCEE32} - System32\Tasks\{9A4D0A0E-CA95-4771-9B3A-AD4141988CFE} => pcalua.exe -a G:\Software\DirectX\AsusSetup.exe -d G:\Software\DirectX Task: {3BD0DC3F-6F3E-4D87-A9AA-A82A09D853CE} - System32\Tasks\{5FF585DD-E372-4400-A3A6-F76B5E5635D9} => pcalua.exe -a G:\Drivers\Audio\AsusSetup.exe -d G:\Drivers\Audio Task: {53AB78D9-EC78-4FB4-AA24-2A6D44E449D0} - System32\Tasks\{F9088CA0-4F4A-4BB6-ABDE-1A15B7EAC697} => pcalua.exe -a G:\autorun.exe -d G:\ Task: {5AFDE8B1-FDE7-47BA-BF9E-FB306FE3B96E} - System32\Tasks\{267B9635-2732-4379-BAAE-88EEBA4E0C9C} => pcalua.exe -a G:\Software\AntiVirus\AsusSetup.exe -d G:\Software\AntiVirus Task: {681285EA-860D-48EE-82E0-1BEF3FE5EA90} - System32\Tasks\{1FAA204A-E672-45EC-B6D5-7198BCF157D0} => pcalua.exe -a "C:\Users\Solskier\Desktop\New folder\ATISetup.exe" -d "C:\Users\Solskier\Desktop\New folder" Task: {898CB1B7-56D6-4198-B02A-C981ABDA4561} - System32\Tasks\{34AA7B63-D4CB-4A3A-8D5E-57B042C38520} => pcalua.exe -a G:\Software\ProbeII\AsusSetup.exe -d G:\Software\ProbeII Task: {9B58A5BA-B2E9-4941-83AC-0456AEECACBC} - System32\Tasks\{EFB16370-9AE3-4CFB-9C10-92846373CBB3} => pcalua.exe -a G:\Drivers\VGA\32bit\AsusSetup.exe -d G:\Drivers\VGA\32bit Task: {AE477224-A9D9-4BB6-8320-4A296C4573D0} - System32\Tasks\{4024BF99-9CA8-4B11-B617-165D43F0F628} => pcalua.exe -a G:\Software\Photoimpact\AsusSetup.exe -d G:\Software\Photoimpact Task: {CAC169EB-CA98-4F7E-9DC3-216DCC54471E} - System32\Tasks\{326C7F0E-4D2E-4F74-8BC5-152A488D7AB1} => Firefox.exe http://ui.skype.com/ui/0/6.3.73.105.457/pl/abandoninstall?page=tsMain Task: {E5C1EE6E-6711-4F66-B876-01FDE3B5383B} - System32\Tasks\{261711DB-5E53-4435-8147-38BFC7AFA7F3} => pcalua.exe -a G:\Drivers\Chipset\AsusSetup.exe -d G:\Drivers\Chipset Task: {FEF61103-4F88-42D4-A9C5-7DEC3AD37CB0} - System32\Tasks\{7FEA2E0E-3212-44EC-8942-080317546EF3} => pcalua.exe -a C:\Users\Solskier\Desktop\mp3DC211.exe -d C:\Users\Solskier\Desktop HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" HKLM\...\Run: [vProt] => "C:\Program Files\AVG Secure Search\vprot.exe" HKLM\...\RunOnce: [AvgUninstallURL] => cmd.exe /c start http://www.avg.com/ww.special-uninstallation-feedback-app?lic=OQBJAC0AQQA3AEEAVwBQAC0AMwBYAEoAQQBZAC0AUwA4ADkAOQBSAC0ATgBaAEsATgBNAC0ATgBLAE4AUABRAA"&"inst=NwA2AC0AMQA3ADYANwAyADIAMwA (the data entry has 288 more characters). HKU\S-1-5-21-682935528-494026121-326331953-1001\...\Run: [Norton Download Manager{NIS_prod_1.19_17.1.0.19}] => C:\Users\Public\Downloads\Norton\{NIS_prod_1.19_17.1.0.19}\NISDownloader.exe /m HKU\S-1-5-21-682935528-494026121-326331953-1001\...\Run: [Gadu-Gadu] => "C:\Program Files\Gadu-Gadu\gg.exe" /tray HKU\S-1-5-21-682935528-494026121-326331953-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Solskier\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.) HKU\S-1-5-21-682935528-494026121-326331953-1001\...\Run: [sandboxieControl] => "C:\Program Files\Sandboxie\SbieCtrl.exe" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=18&barid={F71C97B2-2CEE-41BB-9487-652FA1F78108} HKU\S-1-5-21-682935528-494026121-326331953-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.avg.com/?cid={A3941D90-5CCA-4279-86D7-EFE49F2DC9DF}&mid=fdcd1e8b47ae92546b5ae9c147489c20-92f024072bd69f5f933d077302c428474e377c46&lang=pl&ds=xn011&pr=sa&d=2012-09-24 11:18:52&v=13.2.0.5&sap=hp HKU\S-1-5-21-682935528-494026121-326331953-1001\Software\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = http://search.babylon.com/?affID=110823&tt=120912_pcp_3912_4&babsrc=HP_ss&mntrId=9ce9ab4200000000000000248ce5ae70 HKU\S-1-5-21-682935528-494026121-326331953-1001\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://isearch.babylon.com/?affID=112560&tt=031012_ccp_4012_6&babsrc=HP_ss&mntrId=9ce9ab4200000000000000248ce5ae70 HKU\S-1-5-21-682935528-494026121-326331953-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = https://www.google.pl/ URLSearchHook: HKLM - (No Name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No File URLSearchHook: HKU\S-1-5-21-682935528-494026121-326331953-1001 - (No Name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - No File URLSearchHook: HKU\S-1-5-21-682935528-494026121-326331953-1001 - (No Name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No File SearchScopes: HKLM -> DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://mysearch.sweetpacks.com?src=6&q={searchTerms}&barid=&&st=23&did=10963&UPN2=92545056983517215 SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> BrowserMngrDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://isearch.babylon.com/?q={searchTerms}&affID=112560&tt=031012_ccp_4012_6&babsrc=SP_ss&mntrId=9ce9ab4200000000000000248ce5ae70 SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=&apn_uid=73B7FCC5-78D5-4EC0-86CD-B4A4ABFD6B3B&apn_sauid=5F1A284E-D19D-4AA7-9190-020F0266CDCD SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={A3941D90-5CCA-4279-86D7-EFE49F2DC9DF}&mid=fdcd1e8b47ae92546b5ae9c147489c20-92f024072bd69f5f933d077302c428474e377c46&lang=pl&ds=xn011&pr=sa&d=2012-09-24 11:18:52&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://mysearch.sweetpacks.com?src=6&q={searchTerms}&barid=&&st=23&did=10963&UPN2=92545056983517215 BHO: No Name -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> No File BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File Toolbar: HKLM - No Name - {95B7759C-8C7F-4BF1-B163-73684A933233} - No File Toolbar: HKLM - No Name - {98889811-442D-49dd-99D7-DC866BE87DBC} - No File Toolbar: HKU\.DEFAULT -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> No Name - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No File Toolbar: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab CustomCLSID: HKU\S-1-5-21-682935528-494026121-326331953-1001_Classes\CLSID\{0F130AC8-CDF1-4DAA-AA9B-7B4083F49EA4}\InprocServer32 -> C:\Program Files\Titan Poker\widgetbar\PtContainerUI.dll No File CustomCLSID: HKU\S-1-5-21-682935528-494026121-326331953-1001_Classes\CLSID\{492042A2-4432-44A1-9A39-85B2D3C0119E}\InprocServer32 -> C:\Program Files\Titan Poker\widgetbar\PtContainerUI.dll No File CustomCLSID: HKU\S-1-5-21-682935528-494026121-326331953-1001_Classes\CLSID\{876FA801-2B5E-4201-9E6B-2EF2C05A5C6B}\InprocServer32 -> C:\Program Files\Titan Poker\widgetbar\WidgetbarAPI.dll No File CustomCLSID: HKU\S-1-5-21-682935528-494026121-326331953-1001_Classes\CLSID\{89425F5E-A2BD-44CD-9E4F-F1498522F0E5}\InprocServer32 -> C:\Program Files\Titan Poker\widgetbar\WidgetbarManagerUI.dll No File CustomCLSID: HKU\S-1-5-21-682935528-494026121-326331953-1001_Classes\CLSID\{F6F8856F-374D-4397-BB1C-80AB57E60529}\InprocServer32 -> C:\Program Files\Titan Poker\widgetbar\WidgetbarAPI.dll No File FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\18.1.9\\npsitesafety.dll No File FF Plugin: @java.com/DTPlugin,version=10.21.2 -> C:\Windows\system32\npDeployJava1.dll (Oracle Corporation) FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll No File FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\avg-secure-search.xml FF HKLM\...\Firefox\Extensions: [{6E19037A-12E3-4295-8915-ED48BC341614}] - C:\Program Files\RelevantKnowledge FF HKLM\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\18.1.9.799 FF HKU\S-1-5-21-682935528-494026121-326331953-1001\...\Firefox\Extensions: [{b64982b1-d112-42b5-b1e4-d3867c4533f8}] - Browser Manager\2.3.762.17\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension CHR HKLM\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Solskier\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [Not Found] CHR HKLM\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\ProgramData\AVG Secure Search\ChromeExt\18.1.0.443\avg.crx [2014-04-28] CHR HKLM\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Windows\System32\mjcm\SweetNT.crx [2014-07-16] CHR HKLM\...\Chrome\Extension: [pgafcinpmmpklohkojmllohdhomoefph] - Browser Manager\2.3.762.17\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.crx [Not Found] C:\AVG9 C:\Program Files\Common Files\Symantec Shared C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Sandboxie C:\Program Files\YourFileDownloader C:\ProgramData\Arcabit Skaner Online C:\ProgramData\Arcabit C:\ProgramData\Symantec C:\ProgramData\Microsoft\Windows\GameExplorer\{322BB430-48EB-40F3-BECF-5921EDBD74E0} C:\ProgramData\Microsoft\Windows\GameExplorer\{438B3E66-AB74-465B-8BFF-F002558BF721} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter C:\ProgramData\Microsoft\Windows\Start Menu\YourFileDownloader C:\Users\Solskier\AppData\Local\Temp*.html C:\Users\Solskier\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Solskier\AppData\Local\Google\Chrome\User Data\Default\External Extensions C:\Users\Solskier\AppData\Local\Microsoft\Windows\GameExplorer\{C6F9DB05-6406-415F-922A-5D796713D13B} C:\Users\Solskier\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Przeglądarka internetowa w piaskownicy.lnk C:\Users\Solskier\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\179f7dcebf7e9bac\[DefaultBox] Tibia Player.lnk C:\Users\Solskier\AppData\Roaming\Microsoft\Windows\SendTo\Evernote3.5.lnk C:\Users\Solskier\AppData\Roaming\Microsoft\Windows\SendTo\Sandboxie - DefaultBox.lnk C:\Users\Solskier\AppData\Roaming\Microsoft\Windows\Start Menu\Gadu-Gadu.lnk C:\Users\Solskier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Browser Manager C:\Users\Solskier\Desktop\Pliki\New folder\AVG 9.0.lnk C:\Users\Solskier\Desktop\Pliki\New folder\Tibia - Shortcut.lnk C:\Users\Solskier\Desktop\Pliki\New folder\Tibia MULTI-IP Changer.lnk C:\Users\Solskier\Desktop\Pliki\pliki\Pokerowy kalendarzyk.lnk C:\Windows\system32\%LocalAppData% C:\Windows\system32\ARFC C:\Windows\system32\mjcm CMD: for /d %f in (C:\Users\Solskier\AppData\Local\{*}) do rd /s /q "%f" CMD: sc config WinDefend start= demand Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{EEC5AD98-8080-425F-922A-DABF3DE3F69A} /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Wyczyść przeglądarki ze śmieci i adware: ----> W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia później przeinstalujesz (Adblock Plus, Greasemonkey, Stylish). ----> W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj AVG Secure Search, SweetIM for Facebook, SweetPacks Chrome Extension Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt

Nie chodziło mi o log OTL (usuwam), tylko log z wynikami skryptu OTL z folderu C:\_OTL. Co było robione już jednak wiem z tematu na innym forum. Uwaga co do tego co próbowano robić wcześniej: Wracając tu do tematu: 1. Mówiłam, by na razie tylko odinstalować stare wersje Adobe i Java, nie instalować jeszcze nowych. Pośpieszyłeś się, a poprzednie zadanie nie zostało wykonane do końca. Na liście zainstalowanych widać nadal starą niebezpieczną wersję Java™ 6 Update 31. To do deinstalacji. 2. Google Chrome wprawdzie odinstalowany, ale i tak niekompletnie (pozostał ukryty aktualizator oraz cały profil na dysku). Pod tym kątem + inne drobnostki: ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście Google Update Helper > Dalej. ----> Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Google C:\Users\samuel\AppData\Local\Google S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Nadal jest notowane uszkodzenie WMI. Czy na pewno importowałeś plik FIX.REG? Nie widzę śladów w logu, byś nawet zapisywał ten plik. ==================== Restore Points ========================= Check "winmgmt" service or repair WMI.

Brakuje nowego raportu:

Jeśli nikt jeszcze nie odpisał, a chcesz uzupełnić post, stosuj opcję Edytuj. Posty skleiłam. Proszę trzymaj się konfiguracji FRST opisanej w przyklejonym - opcje "Drivers MD5" i "List BCD" nie miały być zaznaczone. Deinstalacja YAC pomogła, ale tu jeszcze są roboty do przeprowadzenia. Deinstalując Spybota nie skonfigurowałeś go, by odwrócił modyfikację pliku HOSTS (archaiczna metoda zabezpieczeń). Obecnie plik parsuje kilka tysięcy wpisów. To nie jest zdrowe i obciąża usługę Klient DNS. W krytycznym przypadku może prowadzić do gorszych efektów, jak zawieszenie aplikacji i całego systemu. Przykład: KLIK. Jest notowane także naruszenie WMI systemowego: ==================== Restore Points ========================= Check "winmgmt" service or repair WMI. Wstępnie do korekty HOSTS, WMI, stare aplikacje i śmieci (puste wpisy i Tempy): 1. Odinstaluj starocie: Adobe Flash Player 11 ActiveX, Adobe Flash Player 15 Plugin, Java™ 6 Update 31, Microsoft Silverlight, OpenOffice.org 3.3. Na razie nic nowego nie instaluj, to na końcu. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {02342BA8-1F97-4486-B73F-CCCFB6EAB614} - System32\Tasks\{A3ADDE34-A69A-443E-868B-1157B8650D50} => C:\Program Files (x86)\uTorrent\uTorrent.exe Task: {08CA7C71-9203-4DB5-B98F-744DE3664F9F} - System32\Tasks\{49AB9473-0DA4-4438-A335-938FB4E6277D} => pcalua.exe -a F:\Setup.exe -d F:\ Task: {0E647A55-E4D5-4428-A945-48A43E1B6394} - System32\Tasks\{4F99C9D9-7C34-4232-A9D7-7504419865E6} => C:\Program Files (x86)\Ubisoft\Gearbox Software\BrothersInArms\System\bia.exe Task: {11199485-6F04-44C8-9F2F-E78B46F26D3E} - System32\Tasks\{D3CE1147-71A8-4872-8D83-3E4C1F5876E3} => Firefox.exe http://ui.skype.com/ui/0/6.14.0.104/pl/go/help.faq.installer?LastError=1603 Task: {191A5B15-3DCE-4D94-8996-4DFA13C2B2C3} - \Microsoft\a3d90235e1136671ab1195c6078184ff No Task File Task: {1EFE367F-B190-4C82-A94C-CF5637158907} - System32\Tasks\{F1FF7067-69CC-49D9-BEB0-5358CA94C3A1} => pcalua.exe -a C:\Users\samuel\Desktop\WDM_R256.exe -d C:\Users\samuel\Desktop Task: {21D3EF7E-4F67-4C5E-A56F-35CB707134F1} - System32\Tasks\{2D4353D4-60E6-439C-AD19-76A6547FF299} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe Task: {2457ABC6-EB07-48E9-9EBF-3E0C9260F1CD} - System32\Tasks\{C665546C-DF02-4E92-BEB6-813D16334E3D} => pcalua.exe -a "C:\Users\samuel\Downloads\Foxit PDF Editor(1).exe" -d "C:\Program Files (x86)\Mozilla Firefox" Task: {24E3E8C9-E9FB-4097-9091-4BD30CEB0514} - System32\Tasks\{5B6E5AFA-B9AD-4D55-AFC7-BE56532FF56F} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe Task: {3D5F7AD1-F88B-4BB7-877B-E3ECF6233414} - System32\Tasks\{313A6ECC-109E-4AE3-B793-A18CCEF0DD85} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe Task: {5764AD4A-0586-4F21-8EC0-841BC49FEC17} - System32\Tasks\{E7BD2750-ACB0-4066-AC6C-48FBB50F1DC7} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2sp_s.exe Task: {57A75B0B-C7A9-4F11-A5B8-BA54D58A9898} - System32\Tasks\{AF56E460-FF57-4969-8597-8794D4D515E6} => pcalua.exe -a F:\autorun.exe -d F:\ Task: {81BECB83-7570-4718-B024-FBC5071E87AF} - System32\Tasks\{FF881A25-8E88-4169-BFC2-EE27CC6DEB25} => pcalua.exe -a C:\Users\samuel\Downloads\LCVA_PCDrv_US_1_11_02.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {8A61FF7C-D949-47FC-9172-A46415DFE2F2} - System32\Tasks\{C22A0D16-2044-40D4-AF92-23EF5EA1BB51} => C:\Program Files (x86)\Team17\Worms Armageddon\WA.exe Task: {976C87CF-DF58-4847-8AA2-7E8173A83929} - System32\Tasks\{28417D02-EBFD-41EA-B0E8-0B5F8F1ADA8D} => pcalua.exe -a C:\Users\samuel\Desktop\xampp-win32-1.7.4-VC6-installer.exe -d C:\Users\samuel\Desktop Task: {A7DC78F7-0BE7-447E-A160-5BFFD1B4AF78} - System32\Tasks\{07D26930-5FD6-4823-A585-C3859560237B} => pcalua.exe -a C:\Users\samuel\Desktop\hookanalyzer.exe -d C:\Users\samuel\Desktop Task: {AB0F3DE5-A4C1-49B5-8F64-95830E4364DC} - System32\Tasks\{B82254B4-0D89-4F34-85B2-0DC1E9C3737A} => pcalua.exe -a C:\Users\samuel\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=amt Task: {B09C147F-D510-4D7E-8A93-619213A2A2BE} - \QtraxPlayer No Task File Task: {BB001966-9469-4BB0-B351-4F2773E57A57} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask No Task File Task: {CABC753A-19C2-4EDA-9A57-B18F2C040742} - System32\Tasks\{27C34344-F5D7-4B1C-947A-76C691E7525C} => pcalua.exe -a C:\Users\samuel\Downloads\xampp-win32-1.7.4-VC6-installer.exe -d C:\Users\samuel\Downloads Task: {D71E0FAD-2E0B-4329-B1FE-193666669EB8} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline No Task File Task: {D810D586-B7EB-4647-9342-2614B6B70338} - System32\Tasks\Games\UpdateCheck_S-1-5-21-1222532900-2107887203-1818822403-1001 Task: {D93856B1-BDAC-4B9D-B078-75CD068192D7} - System32\Tasks\{5872F498-6809-4661-B77B-EEC5C706781C} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe Task: {E5903908-6724-42EE-9EE0-FEDF24A7D0ED} - System32\Tasks\{48918098-EC4C-41E7-B2C3-C8452722B4C3} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe Task: {EA834288-635E-4327-9996-A60CBE2D5546} - System32\Tasks\{B926C8C1-52B1-480A-A448-7612E5C2B4A6} => msiexec.exe /package "C:\Users\samuel\Downloads\eav_nt64_plk.msi" Task: {EB9AAAD2-475F-46BA-BA85-B5DAFAC98A22} - System32\Tasks\{F85E9ECB-762F-48CD-8E26-BF2E147CB6BF} => C:\Program Files (x86)\uTorrent\uTorrent.exe Task: {F59D6180-9127-4189-B324-66E77FD61BE2} - System32\Tasks\{38B14F9A-AD01-400F-ADA8-1B21C4F47B85} => C:\Program Files (x86)\Team17\Worms Armageddon\WA.exe HKU\S-1-5-21-1222532900-2107887203-1818822403-1001\...\Run: [HW_OPENEYE_OUC_PLAY ONLINE] => C:\Program Files (x86)\PLAY ONLINE\UpdateDog\ouc.exe [110592 2009-04-14] (Huawei Technologies Co., Ltd.) BootExecute: autocheck autochk * sdnclean64.exe S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\npctrl.dll No File FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird CHR HKLM-x32\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\Users\samuel\AppData\Local\Temp\crx8C1D.tmp [Not Found] CHR HKLM-x32\...\Chrome\Extension: [hidjnkeodmholilgafgdlgmgggbhnigl] - C:\Users\samuel\AppData\Roaming\SimilarSites\similarsites.crx [Not Found] C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\APN C:\ProgramData\Spybot - Search & Destroy C:\Users\admin\AppData\Roaming\Elex-tech C:\Users\admin\Desktop\install_flashplayer16x32_mssd_aaa_aih.exe C:\Users\admin\Downloads\jxpiinstall.exe C:\Users\samuel\AppData\Local\{1DD15D88-7754-4AD0-A18C-27393E714A3B} C:\Users\samuel\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\samuel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci (2).lnk C:\Users\samuel\Downloads\spybot-2.4.exe C:\Windows\pss\fabulous_08150939.lnk.Startup C:\Windows\system32\Drivers\etc\hosts.*.backup Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\fabulous_08150939 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\FirebirdGuardianDefaultInstance" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\FirebirdServerDefaultInstance" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\OMSI download service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^samuel^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^fabulous_08150939.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fabulous_08150939" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config FoxitCloudUpdateService start= demand CMD: sc config WinDefend start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 5. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Zrób nowy log FRST z opcji Scan, zaznacz ponowie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Poza tym, tu było coś kombinowane, są ślady uruchamiania jakiegoś skryptu do OTL - proszę mi podać link do tematu na tym innym forum oraz log z folderu C:\_OTL (by log wszedł w załącznik, należy mu zmienić nazwę z *.LOG na *.TXT).