picasso

Przerwij działanie FRST i dostarcz te dane: Prawdopodobnie fixlog.txt będzie nagrany, tylko jako niecały.

Kończymy: 1. Przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox. 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj Java: KLIK.

Nie rozumiem do czego to odnosisz. Nieaktywna usługa WindowsMangerProtect kierująca na plik ProtectWindowsManager.exe to właśnie ów tytułowy "rootkit". Dlatego uwzględniłam dwie nazwy opcji, starą i nową. Fix wykonany. Na wszelki wypadek jeszcze uruchom AdwCleaner. Wybierz tylko opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

1. W linii komend cmd wyegzekwuj jeszcze polecenie chkdsk /f /r i zresetuj system. 2. Zaprezentuj nowy raport z FRST, który ma zobrazować w jaki sposób przeprowadziłeś czysty rozruch.

Pomyliłeś się, nie prosiłam o log z FRST (usuwam) tylko z Farbar Service Scanner. Podmień załącznik w poście powyżej. A co do skanu MBAM, to coś szybko jesteś, to na pewno był pełny skan a nie ekspresowy?

Czy są jakieś zmiany? SFC wykrył i naprawił uszkodzone pliki: 2015-02-03 19:06:04, Info CSI 00000229 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:20{10}]"wmpdxm.dll" from store 2015-02-03 19:06:04, Info CSI 0000022a [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:22{11}]"icardie.dll" from store 2015-02-03 19:06:06, Info CSI 0000022c [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"imageres.dll" from store 2015-02-03 19:06:07, Info CSI 0000022d [sR] Repairing corrupted file [ml:58{29},l:56{28}]"\??\C:\Windows\system32\wbem"\[l:42{21}]"Wdf01000Uninstall.mof" from store 2015-02-03 19:06:07, Info CSI 0000022e [sR] Repairing corrupted file [ml:58{29},l:56{28}]"\??\C:\Windows\system32\wbem"\[l:24{12}]"Wdf01000.mof" from store 2015-02-03 19:06:07, Info CSI 00000230 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:22{11}]"uxtheme.dll" from store 2015-02-03 19:06:07, Info CSI 00000231 [sR] Repairing corrupted file [ml:520{260},l:82{41}]"\??\C:\Windows\System32\LogFiles\Firewall"\[l:20{10}]"mpssvc.dat" from store

Wszystko zrobione. Jak mówię, gdy się ujawnią na dysku C jakieś defekty w programach, trzeba przeinstalować, by uzupełnić określone dane. Np. niektóre rozszerzenia Google Chrome (Adblock Plus, Enhance Sream, Google Wallet) są uszkodzone obecnie. Możemy przejść do kolejnego zestawu czynności: 1. Na wszelki wypadek zrób log z Farbar Service Scanner. 2. Poprzednio skanery były blokowane przy udziale polityk oprogramowania. Obecnie grunt czysty. Uruchom Malwarebytes Anti-Malware i zrób pełny skan komputera. Jeśli coś znajdzie, przedstaw wynikowy raport.

Posługujesz się starszą wersją FRST, najnowsza jest z wczoraj. WindowsMangerProtect to protektor adware, nabyty w grupie innych adware na jeden z tych sposobów: KLIK. Przypuszczalnie uruchomiłeś jakiś "downloader" portalowy, programy zasadnicze mogą być niewinne. Wg raportów usługa WindowsMangerProtect jest wyłączona (obiekt nieczynny), należy ją po prostu w całości usunąć. Dodatkowo jeszcze są ślady przekierowań isearch.omiga-plus.com. Akcje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S4 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-25] (Fuyu LIMITED) [File not signed] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419542396&from=cor&uid=WDCXWD800BB-55JKC0_WD-WCAMD471537215372&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419542396&from=cor&uid=WDCXWD800BB-55JKC0_WD-WCAMD471537215372&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419542396&from=cor&uid=WDCXWD800BB-55JKC0_WD-WCAMD471537215372 Task: {05F55DCD-84DC-4552-9EF0-78D50BAC2708} - System32\Tasks\{25922866-79D0-4659-9DCC-1FF082DA0829} => pcalua.exe -a C:\Users\Krz\Desktop\1153320512\install.exe -d C:\Users\Krz\Desktop\1153320512 Task: {6E9304E0-8A19-4C36-B2BF-7E2B17FBB320} - System32\Tasks\{F9B0ABA5-EF81-4953-9722-9E963F3C5227} => pcalua.exe -a C:\Users\Krz\Desktop\1252073814-Editing-Kit\NFS5carpartsEditor.v0.8d\setup.exe -d C:\Users\Krz\Desktop\1252073814-Editing-Kit\NFS5carpartsEditor.v0.8d CustomCLSID: HKU\S-1-5-21-1842147718-165999632-1959978785-1001_Classes\CLSID\{8E1BC32D-DFF4-DC05-18E0-06A277D07930}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1842147718-165999632-1959978785-1001_Classes\CLSID\{9AE11967-97BC-B56D-7CF7-EA1B9D5A80E6}\InprocServer32 -> No File Path HKU\S-1-5-21-1842147718-165999632-1959978785-1001\Software\Classes\.exe: => HKU\S-1-5-21-1842147718-165999632-1959978785-1001\Software\Classes\exefile: C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\Users\Krz\AppData\Local\pcc.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Napraw uszkodzony niepoprawnym czyszczeniem Omiga specjalny skrót IE. W pasku eksploratora wklej ścieżkę i ENTER: C:\Users\Krz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Czas może wydłużać komenda EmptyTemp:, jeszcze nie przerywaj działania. A opcje Whitelist nie mają żadnego znaczenia w tym kontekście, to opcje związane z funkcją Scan a nie Fix.

Z dysku C usunę wszystkie zaszyfrowane pliki, one głównie siedzą w różnych folderach aplikacji i to nie są istotne rzeczy (braki obrazków czy dokumentów łatwo uzupełnić reinstalując dany program). Z dysku D usunę tylko pliki typu HELP_DECRYPT.*, pozostawiam zaszyfrowane dane z suffiksami kcirdgd i wxeezfd. Kolejna akcja - do Notatnika wklej: CMD: del /q /s C:\*kcirdgd* CMD: del /q /s C:\*wxeezfd* CMD: del /q /s D:\HELP_DECRYPT.* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Temat przenoszę do działu Vista. Brak oznak infekcji. Uwagi wstępne: 1. Odinstaluj stary Ashampoo Anti-Malware v.1.21 (komponenty z 2010/2011). Dodatkowo, zdeaktywuj zintegrowany Windows Defender wyłączając usługę WinDefend w msconfig w sekcji Usługi. 2. W Dzienniku zdarzeń błędy: Application errors: ================== Error: (02/03/2015 11:49:03 AM) (Source: ESENT) (EventID: 455) (User: ) Description: Catalog Database (1796) Catalog Database: Wystąpił błąd -1023 (0xfffffc01) podczas otwierania pliku dziennika C:\Windows\system32\CatRoot2\edb.log. Error: (02/03/2015 11:49:03 AM) (Source: ESENT) (EventID: 489) (User: ) Description: Catalog Database (1796) Catalog Database: Próba otwarcia pliku "C:\Windows\system32\CatRoot2\edb.log" w trybie tylko do odczytu zakończyła się niepomyślnie z błędem systemowym 3 (0x00000003): "System nie może odnaleźć określonej ścieżki. ". Operacja otwierania pliku zostanie zakończona z błędem -1023 (0xfffffc01). Error: (02/03/2015 11:49:03 AM) (Source: ESENT) (EventID: 455) (User: ) Description: Catalog Database (1796) Catalog Database: Wystąpił błąd -1023 (0xfffffc01) podczas otwierania pliku dziennika C:\Windows\system32\CatRoot2\edb.log. Error: (02/03/2015 11:49:03 AM) (Source: ESENT) (EventID: 489) (User: ) Description: Catalog Database (1796) Catalog Database: Próba otwarcia pliku "C:\Windows\system32\CatRoot2\edb.log" w trybie tylko do odczytu zakończyła się niepomyślnie z błędem systemowym 3 (0x00000003): "System nie może odnaleźć określonej ścieżki. ". Operacja otwierania pliku zostanie zakończona z błędem -1023 (0xfffffc01). Error: (02/03/2015 11:49:03 AM) (Source: ESENT) (EventID: 490) (User: ) Description: Catalog Database (1796) Catalog Database: Próba otwarcia pliku "C:\Windows\system32\CatRoot2\edb.chk" w trybie odczytu lub zapisu zakończyła się niepomyślnie z błędem systemowym 3 (0x00000003): "System nie może odnaleźć określonej ścieżki. ". Operacja otwierania pliku zostanie zakończona z błędem -1023 (0xfffffc01). Prawdopodobnie tymczasowe z powodu użycia: C:\Users\Uzytkownik\Downloads\Reset_Windows_Update_Full.bat Jaki był powód zastosowania tego BAT resetującego? 3. Czy była jakakolwiek diagnostyka sprzętowa? Mysz optyczna? A jeśli, to jaka podkładka (chaotyczne wzory czy gładka)? Albo brak oprogramowania, które tworzy ingerencje, albo jest to szybki a nie pełny skan.

Do wypróbowania kolejne akcje: 1. Tzw. czysty rozruch: KLIK. 2. Weryfikacja poprawności plików systemowych: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.

Kolejna porcja czynności: 1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj kombinację Szukaj + Usuń. Gdy AdwCleaner ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\TDSSKiller_Quarantine Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls" /v Tabs /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Z zaszyfrowanymi danymi nie jestem w stanie nic zrobić, ale podaj spis takich plików z dysku C. Uruchom FRST, w polu Search wklej: *kcirdgd*;*wxeezfd* Klik w Search Files i przedstaw wynikowy log./ Może być ogromny. Jeśli nie wejdzie do załącznika, skorzystaj z wklej.org lub innego serwisu hostingowego. Akcje prowadzę dla dysku C, ale jest tu też dysk D i tam też powinna być miazga szyfracyjna. Jaki rodzaj danych trzymasz na tym dysku?

Na koniec zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj Adobe Reader i Java: KLIK.

1. Nadal jest ustawiona tapeta malware, choć się nie wyświetla. Panel sterowania > Wygląd i personalizacja > Zmień tło Pulpitu i ustaw cokolwiek. 2. Kolejne poprawki. Otwórz Notatnik i wklej w nim: CHR Extension: (PriceDownloader) - C:\Users\XX\AppData\Local\Google\Chrome\User Data\Default\Extensions\fiegkapaipiohdadhdlhokfbjlemifdd [2014-11-03] Reg: reg query "HKCU\Control Panel\Desktop" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Znajomy powinien na wszelki wypadek wykonać pełny skan antywirusowy. Możesz, o ile nie są to pliki wykonywalne i HTML.

Wszystko pomyślnie przeprowadzone. Drobna poprawka. Otwórz Notatnik i wklej w nim: S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\WINDOWS\system32\log CMD: del /q C:\Users\Zuzanna\Downloads\c2l4ltm5.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Nie wiem co się stało z linkiem (ucięło kreskę) - tu jest poprawny: Avira Registry Cleaner. Poprzednie linki też poprawiłam.

AdwCleaner widzi jeszcze kolekcję śmieci. Poprawki: 1. Uruchom AdwCleaner ponownie, lecz tym razem wybierz opcje Szukaj + Usuń. Po tym czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Documents and Settings\user\Pulpit\Stare dane programu Firefox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Czy są jeszcze jakieś problemy?

Dzięki. Temat rozwiązany. Zamykam.

Proszę nie wyciągaj bieżącego pliku Fixlog z katalogu C:\FRST\Logs - tam jest archiwum. Prosiłam wcześniej o to, bo uruchomiłeś Fix więcej niż raz. Obecnie masz dostarczać tylko plik bieżący, a ten jest zawsze tam skąd uruchamiasz FRST. Tapeta została podmieniona przez CTB-Locker. Usuwałam powiązany plik Decrypt-All-Files-kcirdgd.bmp. Mówisz, że wróciła do normy. Swoją drogą nie dało się wcześniej tego zmienić w Panel sterowania > Wygląd i personalizacja > Zmień tło Pulpitu? Fix wykonany, ale tu nie koniec działań. Jeszcze dużo przed nami: 1. W Google Chrome nadal jest rozszerzenie adware PriceDownloader. Czy jest jakiś problem z deinstalacją? 2. Pozostałe poprawki pod kątem odinstalowanych aplikacji oraz masowych plików HELP_DECRYPT.*. Otwórz Notatnik i wklej w nim: S3 MBAMSwissArmy; C:\Windows\system32\drivers\5BE5457A.sys [114904 2015-02-03] (Malwarebytes Corporation) C:\Program Files\AVG Security Toolbar C:\Program Files\Common Files\Aimersoft C:\Program Files\Common Files\GeoVid C:\Program Files\Common Files\Grupa Image C:\Program Files\Common Files\PC Tools C:\Program Files\Common Files\Symantec Shared C:\Program Files\Common Files\Ulead Systems C:\Program Files\Common Files\xara C:\Program Files\dumps C:\Program Files\Grupa IMAGE C:\Program Files\HEX C:\Program Files\Malwarebytes Anti-Malware C:\Program Files\screenSHU C:\Program Files\Temp C:\Program Files\Total Video Converter C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} C:\ProgramData\25ebdc4eb7321999 C:\ProgramData\APN C:\ProgramData\Apple C:\ProgramData\Ashampoo C:\ProgramData\AVAST Software C:\ProgramData\Avg_Update_0814tb C:\ProgramData\CouponFactory C:\ProgramData\DAEMON Tools Lite C:\ProgramData\EA Core C:\ProgramData\Electronic Arts C:\ProgramData\Easy Driver Pro C:\ProgramData\Firefly Studios C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\GoldWave C:\ProgramData\House Of Soft C:\ProgramData\mufin C:\ProgramData\NokiaMusic C:\ProgramData\OpenFM C:\ProgramData\PC Suite C:\ProgramData\Pinnacle C:\ProgramData\RoboForm C:\ProgramData\saveron C:\ProgramData\STOIK C:\ProgramData\Sun C:\ProgramData\TuneUp Software C:\ProgramData\Web Installer C:\ProgramData\WEBREG C:\Users\XX\AppData\Local\.# C:\Users\XX\AppData\Local\Apple C:\Users\XX\AppData\Local\Apple Computer C:\Users\XX\AppData\Local\Aimersoft C:\Users\XX\AppData\Local\Ashampoo Movie Studio C:\Users\XX\AppData\Local\cache C:\Users\XX\AppData\Local\CrashRpt C:\Users\XX\AppData\Local\DayZ C:\Users\XX\AppData\Local\DDMSettings C:\Users\XX\AppData\Local\Electronic Arts C:\Users\XX\AppData\Local\GamersFirst C:\Users\XX\AppData\Local\GGEmpire C:\Users\XX\AppData\Local\GHISLER C:\Users\XX\AppData\Local\globalUpdate C:\Users\XX\AppData\Local\ICSharpCode.net C:\Users\XX\AppData\Local\Installer C:\Users\XX\AppData\Local\IVONA_INST C:\Users\XX\AppData\Local\Seven Zip C:\Users\XX\AppData\Local\SteelSeries_ApS C:\Users\XX\AppData\Local\WMTools Downloaded Files C:\Users\XX\AppData\Local\Xara C:\Users\XX\AppData\LocalLow\SkwConfig.bin C:\Users\XX\AppData\LocalLow\72C8C5EA C:\Users\XX\AppData\LocalLow\Apple Computer C:\Users\XX\AppData\LocalLow\Goobzo C:\Users\XX\AppData\LocalLow\Siber Systems C:\Users\XX\AppData\LocalLow\SimplyTech C:\Users\XX\AppData\LocalLow\Temp C:\Users\XX\AppData\LocalLow\TheTorntv V10 C:\Users\XX\AppData\Roaming\.# C:\Users\XX\AppData\Roaming\app C:\Users\XX\AppData\Roaming\Apple Computer C:\Users\XX\AppData\Roaming\CertifiedToolsToolbar C:\Users\XX\AppData\Roaming\Cream Software C:\Users\XX\AppData\Roaming\D2Info0 C:\Users\XX\AppData\Roaming\DAEMON Tools Lite C:\Users\XX\AppData\Roaming\DeepBurner C:\Users\XX\AppData\Roaming\dll-files.com C:\Users\XX\AppData\Roaming\DMCache C:\Users\XX\AppData\Roaming\Dofus-2.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1 C:\Users\XX\AppData\Roaming\Dofus.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1 C:\Users\XX\AppData\Roaming\Dofus2 C:\Users\XX\AppData\Roaming\DofusAppId0_1 C:\Users\XX\AppData\Roaming\DofusAppId0_2 C:\Users\XX\AppData\Roaming\Firefly Studios C:\Users\XX\AppData\Roaming\FreeAudioPack C:\Users\XX\AppData\Roaming\GameCenter C:\Users\XX\AppData\Roaming\GeoVid C:\Users\XX\AppData\Roaming\GetRightToGo C:\Users\XX\AppData\Roaming\GHISLER C:\Users\XX\AppData\Roaming\Grupa IMAGE C:\Users\XX\AppData\Roaming\gtk-2.0 C:\Users\XX\AppData\Roaming\IDM C:\Users\XX\AppData\Roaming\Iduqofen C:\Users\XX\AppData\Roaming\iFree C:\Users\XX\AppData\Roaming\MegaCloud C:\Users\XX\AppData\Roaming\mIRC C:\Users\XX\AppData\Roaming\mplayer C:\Users\XX\AppData\Roaming\Nokia C:\Users\XX\AppData\Roaming\PC Suite C:\Users\XX\AppData\Roaming\proDAD C:\Users\XX\AppData\Roaming\RoboForm C:\Users\XX\AppData\Roaming\skypePM C:\Users\XX\AppData\Roaming\SumatraPDF C:\Users\XX\AppData\Roaming\Tibia C:\Users\XX\AppData\Roaming\TuneUp Software C:\Users\XX\AppData\Roaming\Ulead Systems C:\Users\XX\AppData\Roaming\Ventrilo C:\Users\XX\AppData\Roaming\vlc C:\Users\XX\AppData\Roaming\VOIPlay C:\Windows\system32\Drivers\5BE5457A.sys Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Desktop\components" /f Reg: reg query "HKCU\Control Panel\Desktop" CMD: type "C:\Program Files\plugins.ini" CMD: dir /a C:\Users\XX\AppData\Local\Programs CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, ostatnie dwie komendy jadące po dysku rekursywnie mogą spowodować długi czas oczekiwania. Przedstaw wynikowy fixlog.txt. Plik może być bardzo duży.

Czy po kliknięciu w Zmień na pewno nie ma opcji deinstalacji? Jeśli nie, to załatwi sprawę ten punkt:

Wszystko zrobione. Na koniec: Zastosuj DelFix, wyczyść foldery Przywracania systemu, zaktualizuj Adobe Reader i Java: KLIK.

AdwCleaner znalazł więcej rzeczy. 1. Odinstaluj FileViewPro - AdwCleaner ma do niego zastrzeżenia. Dopiero po jego poprawnej deinstalacji: 2. Uruchom ponownie AdwCleaner, lecz tym razem wybierz opcje Szukaj + Usuń. Gdy AdwCleaner ukończy czyszczenie: 3. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Konrad\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Konrad\Downloads\z84dhopw.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Nie wiem czy Avast zareagował dostatecznie wcześnie.