picasso

1. Uruchom AdwCleaner ponownie, wybierz sekwencję Szukaj + Usuń. Po usuwaniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\LAPTOP\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\LAPTOP\Desktop\7n9kx3td.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

1. Uruchom AdwCleaner ponownie, lecz tym razem wybierz Szukaj + Usuń. Po usuwaniu: 2. Otwórz Notatnik i wklej w nim: DeleteQuarantine: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Nie pokazałeś dzienników NOD, ale pewnie wykrył ów Faster Light, który został odinstalowany. Obecnie brak oznak czynnej infekcji, tylko drobne odpadki do korekty: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Update Faster Light; "C:\Program Files (x86)\Faster Light\updateFasterLight.exe" [X] S2 Util Faster Light; "C:\Program Files (x86)\Faster Light\bin\utilFasterLight.exe" [X] HKU\S-1-5-21-443380452-1675359078-3907599609-1000\...\Run: [] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141220 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141220 HKU\S-1-5-21-443380452-1675359078-3907599609-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141220 SearchScopes: HKU\S-1-5-21-443380452-1675359078-3907599609-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF user.js: detected! => C:\Users\Magdalena\AppData\Roaming\Mozilla\Firefox\Profiles\iixl34xb.default\user.js HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" C:\Program Files (x86)\Faster Light C:\Windows\SysWOW64\sho*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj Usuń) i dostarcz raport z folderu C:\AdwCleaner.

Infekcja rootkit została pomyślnie usunięta, a sterowniki Windows odblokowane. Możemy zająć się pozostałymi problemami. Z obiektami wyglądającymi na zaszyfrowane przez CTB-Locker niestety nic nie jestem w stanie zrobić. Brak deszyfratora i ratunkiem są tylko kopie zapasowe. Odpada szukanie plików w kopiach cieniowych, bo punkty Przywracania są wyczyszczone na zero (pewnie przez tę infekcję), a zastosowanie softu typu "recovery" może być nieskuteczne, bo nie wiadomo jak długo trwa infekcja, a na dysku były już liczne zapisy. 2015-01-12 08:10 - 2015-01-12 08:10 - 03888054 _____ () C:\Users\KSIEGOWY\Documents\Decrypt All Files fafktzg.bmp 2015-01-12 08:10 - 2015-01-12 08:10 - 00001240 _____ () C:\Users\KSIEGOWY\Documents\Decrypt All Files fafktzg.txt 2015-01-08 13:22 - 2011-11-04 16:46 - 00000512 _____ () C:\rcp58_log_file.TXT.fafktzg 2015-01-07 11:46 - 2011-11-04 16:46 - 00006928 _____ () C:\log.TXT.fafktzg 2014-12-16 10:04 - 2011-11-04 16:46 - 00374608 _____ () C:\Users\KSIEGOWY\Desktop\KARTKA ŚWIĄTECZNA 2014.JPG.fafktzg 2014-12-16 09:45 - 2011-11-04 16:46 - 00002336 _____ () C:\Users\KSIEGOWY\Desktop\życzenia.DOC.fafktzg 2014-12-15 11:50 - 2011-11-04 16:46 - 00002560 _____ () C:\Users\KSIEGOWY\Desktop\ADVERTI.DOC.fafktzg Natomiast kolejne działania są po kątem wpisów szczątkowych i pustych. Będę też usuwać usługę AmmyyAdmin, która startuje z katalogu Internetowych Plików Tymczasowych (zostaną opróżnione). Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: testsigning: ==> testsigning is on. Check for possible unsigned rootkit driver R2 AmmyyAdmin; C:\Users\KSIEGOWY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\21MHOHVE\pomoc.exe [743704 2014-10-23] (Ammyy LLC) S2 HP Health Check Service; "C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe" [X] S3 hpqwmiex; "C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe" [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AmmyyAdmin => ""="Service" HKLM-x32\...\Run: [File Sanitizer] => c:\Program Files (x86)\Hewlett-Packard\File Sanitizer\CoreShredder.exe HKLM-x32\...\Run: [{4e8405fa-8ada-47b0-5da9-f8edc703f718}] => "C:\ProgramData\Microsoft\{4e8405fa-8ada-47b0-5da9-f8edc703f718}\{4e8405fa-8ada-47b0-5da9-f8edc703f718}.exe" HKLM\...\Policies\Explorer\Run: [{4e8405fa-8ada-47b0-5da9-f8edc703f718}] => "C:\ProgramData\Microsoft\{4e8405fa-8ada-47b0-5da9-f8edc703f718}\{4e8405fa-8ada-47b0-5da9-f8edc703f718}.exe" No File BootExecute: autocheck autochk * sh4native Sh4Removal Task: {51C3C8E4-1F4E-4237-8F87-358D9DC2425E} - System32\Tasks\{541967FB-A469-4720-B6CB-996F17A61731} => pcalua.exe -a "C:\Users\KSIEGOWY\Desktop\pomoc (1).exe" -d C:\Users\KSIEGOWY\Desktop Task: {55FF654F-51F6-4B94-A471-4EDA360B2139} - System32\Tasks\Hewlett-Packard\HP Support Assistant\PC Health Analysis => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe Task: {6DFABE97-4269-4914-AA07-D794CD7C4F01} - System32\Tasks\{38602D3E-9490-4B79-B466-0AF559CC1BF4} => Iexplore.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsMain Task: {7BC72F8E-CFB7-4229-8611-C79FFE51BFCF} - System32\Tasks\{15840900-6F78-4363-A946-83865712334C} => pcalua.exe -a "G:\kopia dysku D\install\LJ 3030\lj30xx_3380pcl6-pi.exe" -d "G:\kopia dysku D\install\LJ 3030" Task: {955782A8-A447-4D8D-8919-884E3C33A1EA} - System32\Tasks\{B3F322FB-BAC1-45A5-B4D6-6467D1180C8C} => pcalua.exe -a C:\Users\KSIEGOWY\Downloads\lj30xx_3380pcl6-pi.exe -d C:\Users\KSIEGOWY\Desktop Task: {C80C2B81-B1A7-412B-BC3D-E5C376BFBF5D} - System32\Tasks\{EF62DE4A-D9CD-4295-ADF7-CF2CEE14D8C1} => Iexplore.exe http://ui.skype.com/ui/0/5.6.0.105/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;toolbarpresent,google-chrome:notoffered;alreadyoffered Task: {C8E75326-E66C-4E7D-A780-4AD363E2387D} - System32\Tasks\{C39475A6-E07B-4058-B5AC-A5D69DDAF47A} => Iexplore.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsBing Task: {CA0B4F29-B941-4830-9B67-E0820300E630} - System32\Tasks\Hewlett-Packard\HP Support Assistant\PC Tuneup => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe Task: {D419364E-5D3B-4D5C-87E6-18D50171458A} - System32\Tasks\wckfgeb => C:\Users\KSIEGOWY\AppData\Local\Temp\jqlwefm.exe Task: {F194D71C-3157-4F3F-B70A-C64D4076E794} - System32\Tasks\{C04B678D-7D3D-4B8C-8187-B31F5E7509E9} => Iexplore.exe http://ui.skype.com/ui/0/5.8.0.156/pl/abandoninstall?page=tsMain StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms} SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-500 -> DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = BHO: No Name -> {4F524A2D-5637-006A-76A7-7A786E7484D7} -> No File BHO-x32: Babylon toolbar helper -> {2EECD738-5844-4a99-B4B6-146BF802613B} -> No File BHO-x32: Searchqu Toolbar -> {99079a25-328f-4bd4-be04-00955acaa0a7} -> C:\PROGRA~2\WI3C8A~1\Datamngr\ToolBar\searchqudtx.dll No File Toolbar: HKLM - No Name - !{EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKLM-x32 - Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\WI3C8A~1\Datamngr\ToolBar\searchqudtx.dll No File Toolbar: HKLM-x32 - No Name - !{EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKU\S-1-5-21-3668452077-1106565234-3799211801-500 -> No Name - {4F524A2D-5637-006A-76A7-7A786E7484D7} - No File C:\spyhunter.fix C:\Users\Administrator\Desktop\SpyHunter C:\Users\KSIEGOWY\Desktop\SpyHunter C:\Users\KSIEGOWY\Documents\Decrypt All Files fafktzg.bmp C:\Users\KSIEGOWY\Documents\Decrypt All Files fafktzg.txt C:\Windows\system32\Drivers\etc\hosts.txt C:\Windows\SysWOW64\sh4native.exe RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\TDSSKiller_Quarantine RemoveDirectory: C:\ProgramData\ESET RemoveDirectory: C:\Users\KSIEGOWY\Documents\Nieużywane\archiwum_stary\E\Program Files\Norton AntiVirus RemoveDirectory: C:\Users\KSIEGOWY\Documents\Nieużywane\archiwum_stary\E\WINDOWS RemoveDirectory: C:\Windows\Installer\{70AA7602-A4C6-3B7F-16CC-5E36F687AED5} Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {ec29edf6-ad3c-4e1c-a087-d6cb81400c43} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {ec29edf6-ad3c-4e1c-a087-d6cb81400c43} /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Są tu tylko martwe szczątki infekcji i odpadkowy (lecz czynny) sterownik niepoprawnie odinstalowanego AVG. Mam wątpliwości czy odpadek AVG ma cokolwiek wspólnego ze zgłoszonym problemem spowolnienia. Natomiast są tu widoczne liczne problemy z crackiem aktywacji (KMSpico). Widać poniższą usługę w nienormalnym stanie: Locked "WinDivert1.1" service could not be unlocked. Kolejna usługa KMPico sypie z kolei błędami w Dzienniku zdarzeń. S2 Service KMSELDI; C:\Program Files\KMSpico\Service_KMS.exe [1050904 2013-12-11] () [File not signed] Application errors: ================== Error: (01/13/2015 02:44:22 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Service_KMS.exe, wersja: 11.0.0.0, sygnatura czasowa: 0x52a8d15d Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0x00000000 Przesunięcie błędu: 0x00007ffb0c0e0565 Identyfikator procesu powodującego błąd: 0x798 Godzina uruchomienia aplikacji powodującej błąd: 0xService_KMS.exe0 Ścieżka aplikacji powodującej błąd: Service_KMS.exe1 Ścieżka modułu powodującego błąd: Service_KMS.exe2 Identyfikator raportu: Service_KMS.exe3 Pełna nazwa pakietu powodującego błąd: Service_KMS.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: Service_KMS.exe5 Error: (01/13/2015 02:27:47 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Service_KMS.exe, wersja: 11.0.0.0, sygnatura czasowa: 0x52a8d15d Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0x00000000 Przesunięcie błędu: 0x00007ffebe0e0565 Identyfikator procesu powodującego błąd: 0x718 Godzina uruchomienia aplikacji powodującej błąd: 0xService_KMS.exe0 Ścieżka aplikacji powodującej błąd: Service_KMS.exe1 Ścieżka modułu powodującego błąd: Service_KMS.exe2 Identyfikator raportu: Service_KMS.exe3 Pełna nazwa pakietu powodującego błąd: Service_KMS.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: Service_KMS.exe5 System errors: ============= Error: (01/13/2015 02:45:26 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa Service KMSELDI niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Error: (01/13/2015 02:28:29 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa Service KMSELDI niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Tak więc to crack może być podstawowym problemem. Pomoc dla piratów jest ograniczona, forum nie może wspierać takich działań. 1. Krok pierwszy to deinstalacje: - Poprzez Panel sterowania: Adobe Flash Player 15 Plugin, Akamai NetSession Interface, Java 7 Update 67 (64-bit), KMSpico v9.1.3. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei odpadkowe wpisy AVG AVG PC TuneUp 2015 + AVG PC TuneUp 2015 (pl-PL) > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx64.sys [52000 2014-12-10] (AVG Technologies) S3 ESEADriver2; \??\C:\Users\Piotr\AppData\Local\Temp\ESEADriver2.sys [X] S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesDriver64.sys [X] S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X] Task: {B826C484-7167-4853-B610-7EEAF216AB67} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2013 => C:\Program Files (x86)\AVG\AVG PC TuneUp\OneClick.exe Task: {FBA01B11-01F9-407A-BAC9-5074AF1BE69D} - System32\Tasks\{97B03FBE-D0F5-4766-B183-1313C2693D94} => pcalua.exe -a C:\Users\Piotr\Downloads\sp63774.exe -d C:\Users\Piotr\Downloads HKU\S-1-5-21-527691540-3220147683-2269217384-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Piotr\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.) HKU\S-1-5-21-527691540-3220147683-2269217384-1001\...\Winlogon: [shell] C:\Users\Piotr\AppData\Local\Temp\dwn\dwn.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=2.1.42 -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIIPT.dll No File FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIUpdater.dll No File C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG PC TuneUp 2015.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Call of Duty - Advanced Warfare\Play Call of Duty - Advanced Warfare.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Forest\The Forest.lnk C:\Users\Public\Desktop\AVG Konserwacja 1 kliknięciem.lnk C:\WINDOWS\system32\drivers\avgtpx64.sys Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v vProt /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Założyłeś temat w dziale diagnostyki infekcji, zasady działu nie zostały zrealizowane i nie dostarczyłeś obowiązkowych raportów: KLIK.

Zadania wykonane, z jednym wyjątkiem. Konto USER_ niby pomyślnie usunięte, a w Addition stoi jak przyklejone. Może jakiś określony program regeneruje ten obiekt. Pomijam ten wątek. Zasadniczy problem rozwiązany i kolejne poprawki: Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Błąd detekcji ścieżek w FRST już naprawiony. Natomiast wracając do wątku przewodniego, to jeszcze poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "c:\windows\syswow64\nvinit.dll" /f CMD: del /q C:\Users\Dorota\Desktop\Data.reg CMD: del /q C:\Users\Dorota\Downloads\AdwCleaner*.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Zaprezentuj wynikowy fixlog.txt. 2. Pobierz ponownie AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko pomyślnie wykonane. Kończymy: 1. Odinstaluj starą wtyczkę IE Adobe Flash Player 13 ActiveX. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Nie ma żadnych oznak infekcji. System wygląda na świeżo instalowany zresztą. 1. W Dzienniku zdarzeń jest zestaw następujących błędów: System errors: ============= Error: (01/06/2015 08:30:48 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 z powodu następującego błędu: %%1053 Error: (01/06/2015 08:30:47 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0. Zacznij od tego tematu: KLIK. By widzieć podaną ścieżkę, należy mieć włączone pokazywanie ukrytych plików, tzn. w Opcjach folderów zaznaczone "Pokaż ukryte pliki i foldery" + odznaczone "Ukryj chronione pliki systemu operacyjnego". 2. AVG to świeża instalacja. Jeśli powyższe nie okaże się powiązane ze spowolnieniem, jest to podejrzany. 3. Internet Explorer do aktualizacji. 4. Sprawa kosmetyczna. Napraw błąd WMI numer 10 posiłkując się narzędziem Fix-it: KLIK.

Proszę nie pisz posta pod postem - skasowany. Odpowiadam gdy mogę (jestem obecna i mam czas). Poprzednie zadania wykonane. Natomiast wg spodziewań log z Farbar Service Scanner pokazuje rozwalone usługi Windows, skasowane przez infekcję ZeroAccess. Wymagane kolejne naprawy i inne poprawki. Nowa porcja działań: 1. Otwórz Notatnik i wklej w nim: C:\ProgramData\036DFF98E54634B40000F269E56C3443 C:\ProgramData\036DFF98E54634B40000F269F875EF7E C:\ProgramData\InstallMate C:\ProgramData\McAfee C:\ProgramData\PogoDGC C:\ProgramData\Roaming C:\ProgramData\Windows Service Manager0 Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ /d "" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom ServicesRepair. Zresetuj system. Zrób nowy log z Farbar Service Scanner.

Od wczoraj logi z OTL nie są już obowiązkowe. Jakiego programu? SpyHunter to program wątpliwej reputacji! Był na czarnej liście, stosuje naciski byle go zainstalować. Z daleka od tego produktu. Wirusów to tu nie było, są ślady adware/PUP, co jest zasadniczą różnicą. Owszem, mamy co czyścić: w procesach się uruchamia niepożądany maintainer.exe, w Google Chrome też jest brud. Przeprowadź następuje akcje: 1. Na początek deinstalacje: - Przez Dodaj/Usuń programy: J2SE Runtime Environment 5.0 Update 4, Qtrax Player. Są to przypuszczalnie uszkodzone / niepełne instalacje, ale Windows powinien zaproponować usunięcie wpisów z listy. - Z poziomu Menu Start: SpyHunter. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaintainerSvc2.04.9173792; C:\Documents and Settings\All Users\Dane aplikacji\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4\maintainer.exe [123680 2015-01-12] () S3 cpuz134; \??\C:\DOCUME~1\Osia\USTAWI~1\Temp\cpuz134\cpuz134_x32.sys [X] S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 UIUSys; system32\drivers\UIUSys.sys [X] AppInit_DLLs: 0 => 0 File Not Found GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-606747145-1844823847-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.google.com" C:\Documents and Settings\All Users\Dane aplikacji\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4 C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software C:\Documents and Settings\Osia\Dane aplikacji\Mozilla C:\Documents and Settings\Osia\Ustawienia lokalne\Dane aplikacji\Google\Mozilla C:\Documents and Settings\Osia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Osia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Program Files\Mozilla Firefox Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj szkodnika Security Protection Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony czyszczeniem AdwCleaner specjalny skrót Internet Explorer: Shortcut: C:\Documents and Settings\Osia\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\Osia\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Jest tu definitywnie rootkit w obszarze rozruchowym dysku. Jego usuwanie ma priorytet. Dopiero po usunięciu aktywności rootkit będę mogła się zająć resztą infekcji (o ile otrzymam raporty FRST z poprawnego kontekstu konta) i naprawą masowo zdewastowanych przez ZeroAccess usług systemowych. Działania wstępne: 1. Uruchom TDSSKiller ponownie. Tym razem jednak dla wyniku Rootkit.Boot.Cidox pozostaw akcję domyślnie przyznaną przez narzędzie. Zresetuj system, by zatwierdzić leczenie. Po restarcie uruchom ponownie program, by sprawdzić czy już nic nie wykrywa. Dopiero wtedy: 2. Zaległy punkt ze świeżymi raportami FRST: PS. Komentując: Przypuszczalnie blokuje go bootkit. Dowiem się o tym z nowego raportu FRST Addition. To tylko ostrzeżenie. W Windows 7 biblioteki - niezależnie od ich natury, poprawne programy (przykład: COMODO) czy szkodniki - ładowane metodą AppInit_DLLs zawsze są notowane w Dzienniku w ten sposób. I ten błąd jest już nieaktualny. W poprzednim raporcie FRST brak widocznej modyfikacji AppInit_DLLs.

SpyHunter to program wątpliwej reputacji, z czarnej listy. Kwalifikacja do deinstalacji. System jest zainfekowany rootkitem Necurs, który zablokował większość sterowników systemu. To właśnie Necurs powoduje, że GMER ma nieaktywne opcje. Prócz Necurs są inne śmieci, ale póki rootkit nie zostanie zdjęty, nie przejdę dalej. Działania wstępne: 1. Uruchom Kaspersky TDSSKiller. Powinien wykryć obiekt Rootkit.Win32.Necurs.gen - zostaw domyślną akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system. 2. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz log utworzony przez TDSSKiller.

Zasady działu wspominają na temat "odświeżania", post poleciał do kosza. System już jest zabrudzony, ale to nie jest związane z: Od razu skomentuję, że produkty IOBit nie są przeze mnie polecane na forum ze względu na złą reputację producenta (kradzież bazy MBAM w przeszłości, podejrzane związki partnerskie, adware w instalatorach) i sugeruję ich deinstalację. Advanced System Care zgłasza brak własnego pliku, który powinien być w następującej lokalizacji: C:\Program Files (x86)\IObit\Advanced SystemCare 7\scan.dll. Czy plik w ogóle jest na dysku? Jeśli pliku nie ma, to był jakiś błąd instalacji. Jeśli plik jest, to nie wiem o co chodzi. Poza tym, log sugeruje piracką instalację, bo w pobranych jest poniższy folder. Problemem może być więc ta szczególna scrackowana paczka. Piratami nie mogę się zajmować. 2015-01-09 18:28 - 2014-12-17 17:29 - 00000000 ____D () C:\Users\Cezary\Downloads\Advanced SystemCare Pro 7.4.0.474 Full PL Widzę że próbując rozwiązywać usterkę zainstalowałeś wątpliwy program DLL-Fixer - takimi "wynalazkami" to można sobie jeszcze bardziej pogorszyć sprawę, a już zwłaszcza na systemie x64. Powyższy problem błędu ASC nie jest problemem infekcji, ale jest tu czym się zajmować. System jest zabrudzony instalacjami adware (proces WindowsMangerProtect, sterownik {fe331f63-d0ef-486b-89da-478e619996a9}Gw64, przekierowania isearch.omiga-plus.com i szczątki "Ace race"). Metody nabycia: KLIK. Działania wstępne: 1. Na początek odinstaluj stare wersje i zbędniki: Acrobat.com, Adobe Reader 9, Dll-Files Fixer, Java™ 6 Update 22, SmartView for IE, SmartView Software Updater. Tę starą dziurawą niebezpieczną Java wstawił JDownloader - niestety jest prawdopodobne, że nie działa z najnowszą bezpieczną Java 7 lub 8. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {fe331f63-d0ef-486b-89da-478e619996a9}Gw64; C:\Windows\System32\drivers\{fe331f63-d0ef-486b-89da-478e619996a9}Gw64.sys [48784 2015-01-11] (StdLib) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-11] (Fuyu LIMITED) [File not signed] S2 Update ace race; "C:\Program Files (x86)\ace race\updateacerace.exe" [X] HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, HKU\S-1-5-21-2670501369-349292536-2203195984-1000\...\Run: [ASRockXTU] => [X] HKU\S-1-5-21-2670501369-349292536-2203195984-1000\...\Run: [zASRockInstantBoot] => [X] Task: {BAE81688-6D8C-4632-84D4-CFD2CDFCD7AB} - System32\Tasks\{3BBC28ED-7713-414E-AB1A-EDA1981220AB} => C:\Users\Cezary\Downloads\windows-xp-sp3-pl-9w1-ie8-wmp11-dx-net-final-full-kwiecien-2014-iso\Windows.XP.SP3.PL.9w1.IE8.WMP11.DX.NET.FINAL.FULL.Kwiecien.2014-NiKKA.iso\DODATKI\Jak.nagrac.instalator.XP.na.USB\WinSetupFromUSB-1-4\WinSetupFromUSB_1-4_x64.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420985861&from=cor&uid=WDCXWD5000AAKS-007AA0_WD-WCATR837981979819&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420985861&from=cor&uid=WDCXWD5000AAKS-007AA0_WD-WCATR837981979819&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420985861&from=cor&uid=WDCXWD5000AAKS-007AA0_WD-WCATR837981979819&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420985861&from=cor&uid=WDCXWD5000AAKS-007AA0_WD-WCATR837981979819&q={searchTerms} SearchScopes: HKU\S-1-5-21-2670501369-349292536-2203195984-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK SearchScopes: HKU\S-1-5-21-2670501369-349292536-2203195984-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK SearchScopes: HKU\S-1-5-21-2670501369-349292536-2203195984-1000 -> {6F34B546-7B9E-452e-9D55-736986ACC34B} URL = http://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5480255188&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} Toolbar: HKU\S-1-5-21-2670501369-349292536-2203195984-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1420985861&from=cor&uid=WDCXWD5000AAKS-007AA0_WD-WCATR837981979819" C:\Program Files (x86)\ace race C:\Program Files (x86)\Temp C:\ProgramData\Norton C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\Users\Cezary\AppData\Local\Symantec C:\Users\Cezary\AppData\Roaming\omiga-plus C:\Users\Cezary\AppData\Roaming\Solvusoft C:\Users\Cezary\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Games.lnk C:\Users\Cezary\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk C:\Windows\system32\roboot64.exe C:\Windows\System32\drivers\{fe331f63-d0ef-486b-89da-478e619996a9}Gw64.sys C:\Windows\SysWOW64\*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE: Shortcut: C:\Users\Cezary\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Cezary\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Temat przenoszę, na razie do działu Windows. To nie jest problem infekcji. A kosmetyki nie będę prowadzić, gdyż na razie nie ma sensu. 1. Zwracają tu uwagę mocarne instalacje oprogramowania zabezpieczającego (Avast + COMODO Internet Security), GMER jest wprost wytapetowany inwazyjnymi czynnościami delikwentów. Te elementy najprędzej można powiązać z problemami z ładowaniem systemu. Na dodatek w Dzienniku zdarzeń nagrane błędy COMODO: Application errors: ================== Error: (12/07/2014 04:29:29 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd cmdagent.exe, wersja 7.0.55655.4142, moduł powodujący błąd cmdurlflt.dll, wersja 7.0.53315.4132, adres błędu 0x001b105e. Przetwarzanie zdarzenia określonego nośnika dla [cmdagent.exe!ws!] Error: (12/01/2014 00:01:28 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd cmdagent.exe, wersja 7.0.55655.4142, moduł powodujący błąd cmdurlflt.dll, wersja 7.0.53315.4132, adres błędu 0x001b105e. Przetwarzanie zdarzenia określonego nośnika dla [cmdagent.exe!ws!] Error: (11/26/2014 08:58:26 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd launcher.exe, wersja 26.0.1656.24, moduł powodujący błąd launcher_lib.dll, wersja 0.0.0.0, adres błędu 0x00014f40. Przetwarzanie zdarzenia określonego nośnika dla [launcher.exe!ws!] 2. Ale wspominasz i autoresetach. Diagnostyka rozpisana w punkcie 5 ogłoszenia: KLIK. Dziennik zdarzeń pokazuje różne kody, co może sugerować nawet istnienie problemu sprzętowego: System errors: ============= Error: (12/26/2014 01:28:47 PM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 1000008e, parametr 1 c0000005, parametr 2 bf85fc9e, parametr 3 b6fe8ae4, parametr 4 00000000. Error: (12/26/2014 01:28:20 PM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 1000000a, parametr 1 00000004, parametr 2 0000001c, parametr 3 00000000, parametr 4 804fa2b7. Error: (12/26/2014 01:28:11 PM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 10000050, parametr 1 b6134792, parametr 2 00000000, parametr 3 bf85fc9e, parametr 4 00000000. Nie podałeś w ogóle raportu pokazującego o jakie pliki chodzi. Ale od razu powiem, że w systemie są obiekty do których antywirus nie uzyska dostępu (np. plik pamięci wirtualnej).

To nie jest problem infekcji. Temat przenoszę, na razie do działu Hardware a nie Sieci. Dostarcz raporty wymagane działem: KLIK. Powodem takiej lokalizacji tematu jest niezadawalająca szybkość po czystym stawianiu systemu i seria błędów z Dziennika, wśród nich m.in. rekordy z \Device\Ide\iaStor: Application errors: ================== Error: (01/13/2015 07:45:06 PM) (Source: Microsoft-Windows-Defrag) (EventID: 257) (User: ) Description: Wolumin (C:) nie został zdefragmentowany, ponieważ wykryto błąd: Ten element już istnieje w tabeli. Wszystkie pozycje w tabeli muszą być unikalne. (0x89000014) System errors: ============= Error: (01/13/2015 03:51:24 PM) (Source: DCOM) (EventID: 10005) (User: ) Description: 1053AvastVBoxSvc{F319F1B8-7587-4146-AF9C-0D6D77819BF1} Error: (01/13/2015 03:51:15 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi AvastVBox COM Service z powodu następującego błędu: %%1053 Error: (01/13/2015 03:51:14 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą AvastVBox COM Service. Error: (01/13/2015 03:50:25 PM) (Source: EventLog) (EventID: 6008) (User: ) Description: Poprzednie zamknięcie systemu przy 15:42:17 na ‎2015-‎01-‎13 było nieoczekiwane. Error: (01/13/2015 03:40:25 PM) (Source: iaStor) (EventID: 9) (User: ) Description: Urządzenie \Device\Ide\iaStor0 nie odpowiedziało w ramach ustalonego limitu czasu. Error: (01/13/2015 03:38:59 PM) (Source: volmgr) (EventID: 46) (User: ) Description: Inicjowanie zrzutu awaryjnego nie powiodło się! Error: (01/13/2015 03:40:48 PM) (Source: EventLog) (EventID: 6008) (User: ) Description: Poprzednie zamknięcie systemu przy 14:51:54 na ‎2015-‎01-‎13 było nieoczekiwane. Error: (01/13/2015 10:58:25 AM) (Source: DCOM) (EventID: 10010) (User: ) Description: {E579AB5F-1CC4-44B4-BED9-DE0991FF0623} Error: (01/12/2015 11:18:36 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Windows Update zawiesiła się podczas uruchamiania. Error: (01/12/2015 07:34:38 PM) (Source: iaStor) (EventID: 9) (User: ) Description: Urządzenie \Device\Ide\iaStor0 nie odpowiedziało w ramach ustalonego limitu czasu. PS. Czy W Google Chrome masz włączoną synchronizację ustawień z serwerem? Czysty Windows po instalacji a Chrome już otwiera przy starcie adresy adware: CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1420841983&from=cor&uid=WDCXWD7500BPVT-35HXZT1_WD-WXB1A916286462864", "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420842015&from=cor&uid=WDCXWD7500BPVT-35HXZT1_WD-WXB1A916286462864" Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie wystąpiemia adresu isearch.omiga-plus.com. I jeśli synchromizacja jest włączona, to wyczyszczenie tych ustawień na nic = wrócą, trzeba ubić synchronizację. Poza tym, może problemem jest tu właśnie ścąganie na dysk z serwera starej konfiguracji Chrome? Z drugiej strony wspominasz, że były problemy także przy IE.

Tytuł tematu poprawiam, przecież w zasadach wspominam, że "sprawdzanie logów" to nie jest problem i należy tytuł dopasować do tego co się dzieje w systemie. Sprecyzuj o co chodzi z niedziałającym antywirusem i jakie komunikaty "braku biblioteki DLL" widzisz przy starcie. Avira jest zresztą stara i będzie wyrzucana. Oznak czynnej infekcji brak, tylko drobne szczątki adware. Działania wstępne: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje, zbędniki i śmieci: Adobe Flash Player 11 ActiveX, Adobe Shockwave Player 12.0, AVG Security Toolbar, Avira Free Antivirus, Qtrax Playe, RegClean Pro. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchrocket.info/?l=1&q={searchTerms}&pid=658&r=2013/05/28&hid=1768654365&lg=EN&cc=PL&unqvl=16 SearchScopes: HKU\S-1-5-21-1194177866-3309166739-1519727253-1002 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=7C1574DE2B87FF26&affID=119357&tt=160713_91114&tsp=4946 SearchScopes: HKU\S-1-5-21-1194177866-3309166739-1519727253-1002 -> {E47533BC-0DE5-4132-941E-40CB951B4169} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.21.0.114&apn_uid=1651BE8E-6D7F-41EC-AB11-3C620466E3E4&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_11.0.9600.17496&doi=2014-12-12&trgb=IE&q={searchTerms}&psv=&pt=tb BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\ssv.dll No File BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO-x32: Super Lyrics -> {B9020890-9E08-446B-87B0-0C5CD0436D86} -> C:\Program Files (x86)\Super_Lyrics\116.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\jp2ssv.dll No File Toolbar: HKLM-x32 - No Name - {95B7759C-8C7F-4BF1-B163-73684A933233} - No File FF Plugin-x32: @java.com/DTPlugin,version=11.25.2 -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\dtplugin\npDeployJava1.dll No File FF Plugin-x32: @java.com/JavaPlugin,version=11.25.2 -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\plugin2\npjp2.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.) FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\15.3.0.11 FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\avg-secure-search.xml C:\Program Files (x86)\mozilla firefox\plugins Task: {4996E31B-3608-4E40-857D-B0E33301C72A} - System32\Tasks\{0FD24AFF-7715-4A45-A791-A5C4A7C3CBDE} => C:\Program Files (x86)\Gadu-Gadu 10\gg.exe Task: {7EB54BB1-FFC0-4170-B2F4-151B55AA3A73} - System32\Tasks\{8F83EEAD-3D28-4445-AC2E-04A0ABE64CBD} => pcalua.exe -a E:\setup.exe -d E:\ Task: {8551B7BE-83D2-4C39-8A07-87A28FD354C2} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: {9E7DCF22-9B7F-4DCC-A19F-2734C696C354} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2012-10-12] (Google Inc.) Task: {AC5C4D70-EC1A-4257-888A-194486F97F97} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2012-10-12] (Google Inc.) Task: {CE18AB16-2E91-45E1-A5DF-A5165D9AB334} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{920094DA-2B12-473B-8F3E-CBDBE84D5568}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{920094DA-2B12-473B-8F3E-CBDBE84D5568}.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS\ASUS Splendid Utility C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter C:\Users\Berta\AppData\Roaming\ASUS WebStorage C:\Users\Berta\AppData\Roaming\Babylon C:\Users\Berta\AppData\Roaming\DSite C:\Users\Berta\AppData\Roaming\Gadu-Gadu 10 C:\Users\Berta\AppData\Roaming\OpenCandy C:\Users\Berta\AppData\Roaming\PerformerSoft C:\Users\Berta\AppData\Roaming\Systweak C:\Users\Berta\AppData\Roaming\TP C:\Users\Berta\AppData\Roaming\TuneUp Software C:\Users\Berta\AppData\Roaming\YoWindow C:\Users\Public\Desktop\AsusTools\Entertainment\Game Park Console.lnk C:\Users\Public\Desktop\AsusTools\Network\ASUS WebStorage.lnk C:\Users\Public\Desktop\AsusTools\System tool\Splendid Utility.Lnk C:\Users\Public\Desktop\AsusTools\Word processor\Nuance PDF Reader.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\APNMCP" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\BBSvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gusvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\TiMiniService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vToolbarUpdater15.3.0" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUSWebStorage" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Nuance PDF Reader-reminder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Trend Micro Titanium" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VizorHtmlDialog.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f CMD: sc delete gupdate CMD: sc delete gupdatem CMD: sc delete gusvc CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Korekty kosmetyczne na wpisy odpadkowe / puste: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {1B5412C3-AE00-4ED3-9BED-9BC835CD5794} - System32\Tasks\{47A33EC2-46E0-4F2D-8F37-AEBA2805C67F} => pcalua.exe -a "E:\Pliki instalacyjne\RadioSure-2.2.1042-setup.exe" -d "E:\Pliki instalacyjne" Task: {344D3F6D-159B-4A7F-8CA9-77EDC1058215} - System32\Tasks\{7A89BFE7-6C1C-4902-A560-8661A1BFF68F} => pcalua.exe -a G:\OriginInstaller.exe -d G:\ Task: {70934480-2C71-49F6-B96D-FCDAD1588DC1} - System32\Tasks\{35A02743-9A84-46CB-B9C1-A754B96E3422} => pcalua.exe -a "E:\Pliki instalacyjne\TagesSetup.exe" -d "E:\Pliki instalacyjne" Task: {72739D77-AE0C-4283-A584-35A573A262C6} - \SPBIW_UpdateTask_Time_313338323736313139352d3437415a556c2a3223346c41 No Task File Task: {A10B48EA-4729-4EBA-A623-5B540BD31B92} - System32\Tasks\CJVW => D:\Users\dom\AppData\Roaming\CJVW.exe Task: {E977AB5D-13A5-409F-95FE-93DA21C4E51A} - System32\Tasks\KOO => D:\Users\dom\AppData\Roaming\KOO.exe Task: C:\Windows\Tasks\CJVW.job => D:\Users\dom\AppData\Roaming\CJVW.exe Task: C:\Windows\Tasks\KOO.job => D:\Users\dom\AppData\Roaming\KOO.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2821332150-970914226-2612375139-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = StartMenuInternet: IEXPLORE.EXE - iexplore.exe BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO: No Name -> {AF949550-9094-4807-95EC-D1C317803333} -> No File BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File Toolbar: HKU\S-1-5-21-2821332150-970914226-2612375139-1004 -> No Name - {D2BF470E-ED1C-487F-A777-2BD8835EB6CE} - No File Toolbar: HKU\S-1-5-21-2821332150-970914226-2612375139-1004 -> No Name - {D2BF470E-ED1C-487F-A333-2BD8835EB6CE} - No File Toolbar: HKU\S-1-5-21-2821332150-970914226-2612375139-1004 -> No Name - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - No File FF StartMenuInternet: FIREFOX.EXE - firefox.exe S2 ASPI32; No ImagePath S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] D:\Users\dom\AppData\Local\~wmrg D:\Users\dom\AppData\Roaming\CJVW D:\Users\dom\AppData\Roaming\KOO D:\Users\dom\AppData\Roaming\Microsoft\Windows\SendTo\Camouflage File - specify a password.lnk D:\Users\dom\AppData\Roaming\Microsoft\Windows\SendTo\Camouflage File - use standard password.lnk D:\Users\dom\AppData\Roaming\Microsoft\Windows\SendTo\De-Camouflage File - specify a password.lnk D:\Users\dom\AppData\Roaming\Microsoft\Windows\SendTo\De-Camouflage File - use standard password.lnk D:\Users\dom\AppData\Roaming\mozilla\firefox\profiles\krhltvqw.default-1399131589036 D:\Users\dom\AppData\Roaming\mozilla\firefox\profiles\n16fgeh3.default-1398884467910 D:\Users\dom\AppData\Roaming\Opera D:\Users\dom\AppData\Roaming\QuickScan Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Pro Agent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DriverMax" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DriverMax_RESTART" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EaseUs Tray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EaseUs Watch" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: copy /y D:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\ddp0ksvy.default-1399131752396\prefs.js D:\Users\dom\Desktop\prefs.js EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Firefox jest dużo śmieciarskich preferencji oraz staroci sprzed aktualizacyjnych. Poza tym, układ uszkodził ... AdwCleaner - wywalił kilka poprawnych rozszerzeń. Jest obecnie bug w AdwCleaner powodujący, że jeśli jest uruchamiany z innego dysku niż C usuwa poprawne rozszerzenia z przeglądarek. Najlepszy sposób na wyczyszczenie tego bajzlu to: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale wszystkie obecnie zainstalowane rozszerzenia trzeba będzie przeinstalować (Adblock Plus, Classic Theme Restorer, Click to Play per-element, Element Hiding Helper for Adblock Plus, Session Manager, Stylish). Masz zainstalowany MozBackup - nie próbuj go używać do przywracania poprzednio zrobionych kopii, bo wszystko odwrócisz. Po wyczyszczeniu FF należy zrobić nową świeżutką kopię. 3. Napraw uszkodzony skrót Internet Explorer: Shortcut: D:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę D:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. NaPulpicie powstał plik prefs.js - shostuj go gdzieś i podaj link do niego.

Niestety Fix FRST się nie wykonał. "Sknociłaś" format skryptu, przeklejając go usunęłaś jakimś cudem wszystkie ukośniki.... Np. w moim skrypcie jest: Task: {13D5E777-2EDB-4572-B75E-DEB49BB3B74D} - System32\Tasks\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5 => C:\Program Files (x86)\Sense\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5.exe A u Ciebie: Task {13D5E777-2EDB-4572-B75E-DEB49BB3B74D} - System32Tasks6ee22be2-67f4-496a-bc12-6c82ea0c3717-5 = CProgram Files (x86)Sense6ee22be2-67f4-496a-bc12-6c82ea0c3717-5.exe ==== ATTENTION 1. Jeśli chodzi o błędy narzędzia Fix-it, to zastępczo uruchom Zoek. W oknie wklej: Google Update Helper;u Shared C Run-time for x64;u Klik w Run Script. Przedstaw wynikowy log. 2. Punkty 2 + 3 z poprzedniej instrukcji do powtórzenia.

To wygląda po prostu na fałszywe alarmy Avast. Wszystkie moje zalecenia pomyślnie wykonane. Tak więc czy są jeszcze jakieś problemy z systemem? Drobne poprawki - otwórz Notatnik i wklej w nim: HKLM\...\Run: [EeeStorageBackup] => C:\Program Files (x86)\ASUS\Asus WebStorage\BackupService.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\Joanna\Downloads\igl233m6.exe CMD: C:\Users\Joanna\Downloads\ComboFix.exe /uninstall Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix. Zaprezentuj wynikowy fixlog.txt.

Nie rozumiem pytania. Jeśli chodzi o AdwCleaner: nie zalecałam pobierania i uruchamiania AdwCleaner w międzyczasie. Szyki mi popsułeś, pewne dane pobrane w Fixlog już są nieaktualne. Zadanie AdwCleaner było planowane w innym punkcie czasowym, już po pewnych korektach. Poprawki: 1. Nie wykonałeś tego zadania i to nadal aktualne: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Program Files\Enigma Software Group C:\Program Files\Java C:\Program Files\Common Files\ShopperPro C:\Program Files (x86)\Ahead C:\Program Files (x86)\Halycon Media C:\Program Files (x86)\INTERIAPL C:\Program Files (x86)\Java C:\Program Files (x86)\Mplayer C:\Program Files (x86)\NetMeter C:\Program Files (x86)\Opera C:\Program Files (x86)\QuickTime C:\Program Files (x86)\SweetPacks C:\Program Files (x86)\top_netinfo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\(Default) C:\Users\Niiesmiertelny\AppData\Local\Ares C:\Users\Niiesmiertelny\AppData\Local\Facebook C:\Users\Niiesmiertelny\AppData\Local\Opera Software C:\Users\Niiesmiertelny\AppData\Local\WMTools Downloaded Files C:\Users\Niiesmiertelny\AppData\LocalLow\Sun C:\Users\Niiesmiertelny\AppData\LocalLow\Temp Tcpip\Parameters: [DhcpNameServer] 81.162.208.2 208.67.222.222 Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ares" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a C:\ProgramData EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt

Nie podałeś pliku fixlog.txt, który miał wykazać czy zadania się wykonały. A coś tu jednak nie do końca przetworzone. Drobne poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\RunOnce: [ALLPlayer Remote Update] => C:\Users\Dorota\AppData\Local\Temp\ALLRemote.exe [1961744 2015-01-12] (ALLPlayer ) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Pokaż wynikowy fixlog.txt.

Proponuję przeinstalować Google Chrome od zera. 1. Odinstaluj za pomocą Panelu sterowania. Przy deinstalacji zaznacz Usuń także dane przeglądarki. 2. Zainstaluj najnowszą stabilną wersję: KLIK.

Na przyszłość: zamknięcie raportu nie powoduje jego usunięcia z dysku, zaś ponowne uruchomienie narzędzia nadpisuje obecny na dysku raport i niestety poprzednie akcje są nieznane. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.