picasso

Możesz usunąć plik C:\DelFix.txt z dysku. Temat rozwiązany. Zamykam.

Te błędy, który wspominasz, nie są nagrane w FRST Addition. Dorzuć jeszcze pełne Dzienniki zdarzeń: KLIK. Nie mogę obiecać, że szybko się tym zajmę, a dziś jestem już zbyt zmęczona.

adela: Podtrzymuję swoje stanowisko: Nawet nie wiadomo co się dzieje ze sprzętem, bo może to być problem awarii sprzętowej (jest coraz gorzej, z zawieszeń do niebieskich ekranów), a diagnostyka tego jest znacznie trudniejsza niż "uruchomienie FRST" i przy użytkowniku początkującym raczej kończy się na serwisie. Ja uważam, że nie powinnaś zwlekać (bo jeszcze dojdzie do tego, że się wcale nie uruchomi i nastąpi utrata danych), tylko czym prędzej skopiować gdzieś cenne dane i oddać sprzęt w ręce kogoś kto się zna, bo dowie się szybciej i dokładniej co jest nie tak. Powstrzymałabym się też z jakimikolwiek zakupami "części zamiennych" na własną rękę do czasu owej diagnozy - nie wiadomo gdzie jest usterka, wymiana części może być niezasadna, bo co jeśli się okaże że laptop cały do wymiany? To przecież nie jest wykluczone... Co powiedzieć facetowi? Opisać ogólnie problem: zawieszenia, niebieskie ekrany śmierci, podejrzenie usterki sprzętowej i czy mógłby to zdiagnozować. Skoro się "zna", to i powinien wiedzieć co zacząć sprawdzać i w jaki sposób. Czy się naprawdę "zna" nie możemy stwierdzić. To nie jest odmowa pomocy tylko logiczny trop w obliczu kursu w tym temacie, bo nawet jeśli już uruchomisz jakiś diagnostyk, może się okazać że nie da rady bez pomocy osób trzecich i kosztów. Od razu też mówię, że ja również nie znam się na sprzęcie i jeśli mam problem udaję się do kogoś, kto w tym celuje, nie próbuję załatwiać na własną rękę. PS. A te logi z FRST już zostawmy w spokoju, to logi orientowane na oprogramowanie a nie sprzęt. One były pod inny kontekst. Kontekst się właśnie zmienił = występuje Blue Screen. I mówiłam o co chodzi z ComboFix. Znów został uruchomiony - po co. Już pomijam, że znów wstawił rzeczy, które usuwałam po nim (choć to nie jest tu istotne i nie ma na nic wpływu). Tu nie ma podstaw do jego uruchamiania i on nic nie pomoże, to nie jest problem infekcji (ComboFix jest tylko do wybranych infekcji), ComboFix nie służy do naprawy innych usterek, a już na pewno nie sprzętowych.

Owszem, ustawiałeś DNS, ale nie dla wszystkich interfejsów sieciowych. Pojawił się nowy wpis z 8.8.8.8 (tylko Podstawowy ustawiłeś, Zapasowego brak). Nadal stoją dwa te same co poprzednio interfejsy sieciowe ze zdefektowanym DNS: Tcpip\..\Interfaces\{9E346E7E-7711-47CD-BAAD-532E34B4173D}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{ADBCDD41-9109-4ECC-9302-B03FAB4DEEEE}: [NameServer] 8.8.8.8 Tcpip\..\Interfaces\{C5235646-2713-4123-AA52-BD97F5F80C81}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{F4597B08-196C-46F5-A9BE-ED51D00C1DE8}: [NameServer] 0.0.0.0 W jaki sposób modyfikujesz adresy DNS i dla którego połączenia?

Tak, oczywiście. Jakoś zapomniałam dopisać co należy. Już poprawione.

Wpisy w msconfig są w porządku, to elementy instalacji Intel: HotKeysCmds + IgfxTray + Persistence ==================== Installed Programs ====================== Intel® Graphics Media Accelerator Driver (HKLM\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 6.14.10.5273 - Intel Corporation) Natomiast eCyber + iSafe to prawdopodobnie odpadki czegoś w rodzaju YAC (Yet Another Cleaner): KLIK. W podsumowaniu: poza podejrzanym elementem "Tor", nie widać w raportach żadnych oznak czynnej infekcji, ani adware. Do usunięcia tylko Tor i inne drobnostki / wpisy puste: 1. Odinstaluj stare dziurawe wtyczki: Adobe Flash Player 10 Plugin, Adobe Flash Player 11 ActiveX, Adobe Shockwave Player 11.5, Java 7 Update 65, Java™ 6 Update 33, Java™ 6 Update 5. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 tor; C:\Program Files\Tor\tor.exe [3233806 2013-09-02] () [File not signed] S3 catchme; \??\C:\DOCUME~1\DDABRO~1\USTAWI~1\Temp\catchme.sys [X] U2 CertPropSvc; No ImagePath S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S2 hoxxzuk; C:\WINDOWS\system32\xzrmiry.dll [X] NETSVC: hoxxzuk -> C:\WINDOWS\system32\xzrmiry.dll ==> No File. HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\bsz\Dane aplikacji\eCyber C:\Documents and Settings\bsz\Dane aplikacji\iSafe C:\Documents and Settings\dda\Dane aplikacji\eCyber C:\Documents and Settings\dda\Dane aplikacji\iSafe C:\Documents and Settings\LocalService\Dane aplikacji\tor C:\Program Files\Tor C:\WINDOWS\grep.exe C:\WINDOWS\MBR.exe C:\WINDOWS\PEV.exe C:\WINDOWS\sed.exe C:\WINDOWS\zip.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

- IObit Malware Fighter: Zdecydowanie nie polecam. IOBit to nie jest marka godna pełnego zaufania: KLIK. Adware w instalatorach, podejrzane związki partnerskie i dziwne praktyki, w przeszłości złapani na kradzieży bazy danych MBAM. Po tej ostatniej aferze wszystkie zachodnie fora typu "Security" stosują ostrzeżenia do użytkowników używających jakiekolwiek produkty IOBit. Użytkownik sam podejmuje oczywiście decyzję, czy zostawia te instalacje. One są "legalne" i nie można tego podważyć, ale producent wątpliwy, należy rozważyć czy mu dowierzasz. - AdwCleaner: - zaprezentuj wszystkie logi z folderu C:\AdwCleaner. "Deinstaluję" oznacza dopiero zamiar, czy czas przeszły i logi już mają to przedstawiać? Wg logów adware w Firefox siedzi nadal: Hold Page 1.0.1 + FoxxIt-B. Trzymam się podanych raportów zakładając, że to stan po wszystkich opisanych działaniach i żadne inne nie zostały podjęte po. Na tej podstawie czyszczenie odpadków adware oraz innych (w tym puste skróty różnych programów - wpisy typu (No File) z Shortcut): 1. Odinstaluj stare dziurawe wersje: Adobe Flash Player 12 ActiveX, Java 7 Update 55, Java™ 6 Update 26. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1408459294&from=smt&uid=SAMSUNGXHD502HI_S1VZJ9BZC08744 ShortcutWithArgument: C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1408459294&from=smt&uid=SAMSUNGXHD502HI_S1VZJ9BZC08744 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-3105551624-3281779802-1797148407-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki SearchScopes: HKU\S-1-5-21-3105551624-3281779802-1797148407-1001 -> {54521799-693E-4BD8-B4CC-F2FD6CFB30C6} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=198484&p={searchTerms} SearchScopes: HKU\S-1-5-21-3105551624-3281779802-1797148407-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Plugin HKU\S-1-5-21-3105551624-3281779802-1797148407-1001: ubisoft.com/uplaypc -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File HKU\S-1-5-21-3105551624-3281779802-1797148407-1001\...\Run: [VidSpeak] => [X] HKU\S-1-5-21-3105551624-3281779802-1797148407-1001\...\Run: [AdobeBridge] => [X] Task: {09CA2359-29D5-4D92-936B-F5C51A128509} - System32\Tasks\YTAUpdate => C:\PROGRA~1\YouTube Task: {936F951D-7F17-46A5-9708-870026B6EB72} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files\IObit\Game Booster 3\AutoUpdate.exe Task: {AF5E9090-51BA-4AB4-B476-0801C71B7B2D} - System32\Tasks\{105F7530-8BDE-4D7E-AEF9-9FB9962FB82A} => pcalua.exe -a "C:\Program Files\NETGEAR\WNA1000M\InstallSvc.exe" -d "C:\Program Files\NETGEAR\WNA1000M" Task: {FCFDC6C3-D862-4BA8-BA94-4FAE44053A67} - \SPBIW_UpdateTask_Time_333239353831393234332d3437415a556c2a3223346c41 No Task File S3 IntcAzAudAddService; system32\drivers\RTKVHDA.sys [X] R4 RegFilter; \??\C:\Program Files\IObit\IObit Malware Fighter\drivers\win7_x86\regfilter.sys [X] S3 RTL8192cu; system32\DRIVERS\RTL8192cu.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files\IObit\Game Booster 3\Driver\WinRing0.sys [X] C:\Program Files\Free mp3 Wma Converter C:\Program Files\Freemake C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\ProgramData\hash.dat C:\ProgramData\AVAST Software C:\ProgramData\Freemake C:\ProgramData\McAfee C:\ProgramData\McAfee Security Scan C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\3d Girlz Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anki.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MixPad Audio Mixer.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NCH Tone Generator.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\3D SexVilla 2 - Everlust + Addons C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CodeBlocks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fiszki mp3 aktywny trening C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grupa IMAGE C:\Users\Bartek\AppData\Local\*.exe C:\Users\Bartek\AppData\Local\nsy36FC.tmp C:\Users\Bartek\AppData\Local\Google\Chrome C:\Users\Bartek\AppData\Roaming\temp.ini C:\Users\Bartek\AppData\Roaming\Ashampoo C:\Users\Bartek\AppData\Roaming\avidemux C:\Users\Bartek\AppData\Roaming\DAEMON Tools Lite C:\Users\Bartek\AppData\Roaming\DarkWave Studio C:\Users\Bartek\AppData\Roaming\DVDVideoSoft C:\Users\Bartek\AppData\Roaming\FreeAudioPack C:\Users\Bartek\AppData\Roaming\iFunbox_UserCache C:\Users\Bartek\AppData\Roaming\F-Secure C:\Users\Bartek\AppData\Roaming\Greyfirst C:\Users\Bartek\AppData\Roaming\Kalypso Media C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer V4.6.lnk C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Free mp3 Wma Converter.lnk C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkWave Studio C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\LIMBO C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\Bartek\AppData\Roaming\Might & Magic Heroes VI C:\Users\Bartek\AppData\Roaming\Mount&Blade Warband C:\Users\Bartek\AppData\Roaming\Polynomial C:\Users\Bartek\AppData\Roaming\REAPER C:\Users\Bartek\AppData\Roaming\redsn0w C:\Users\Bartek\AppData\Roaming\Softinterface, Inc C:\Users\Bartek\AppData\Roaming\Thinstall C:\Users\Bartek\AppData\Roaming\Unity C:\Users\Bartek\AppData\Roaming\WebTest C:\Users\Bartek\Desktop\Programy\Adobe Reader 9.lnk C:\Users\Bartek\Desktop\Programy\Advanced SystemCare 6.lnk C:\Users\Bartek\Desktop\Programy\Anki.lnk C:\Users\Bartek\Desktop\Programy\Ashampoo Burning Studio 2010 Advanced.lnk C:\Users\Bartek\Desktop\Programy\Chmura Osobista.lnk C:\Users\Bartek\Desktop\Programy\CodeBlocks.lnk C:\Users\Bartek\Desktop\Programy\DAEMON Tools Lite.lnk C:\Users\Bartek\Desktop\Programy\DVDVideoSoft Free Studio.lnk C:\Users\Bartek\Desktop\Programy\foobar2000.lnk C:\Users\Bartek\Desktop\Programy\Free YouTube Download.lnk C:\Users\Bartek\Desktop\Programy\Free YouTube to MP3 Converter.lnk C:\Users\Bartek\Desktop\Programy\Freemake Video Downloader.lnk C:\Users\Bartek\Desktop\Programy\Game Booster 3.lnk C:\Users\Bartek\Desktop\Programy\iFunbox.lnk C:\Users\Bartek\Desktop\Programy\IObit Malware Fighter.lnk C:\Users\Bartek\Desktop\Programy\iTunes.lnk C:\Users\Bartek\Desktop\Programy\Last.fm.lnk C:\Users\Bartek\Desktop\Programy\NCH Tone Generator.lnk C:\Users\Bartek\Desktop\Programy\Nexus Mod Manager.lnk C:\Users\Bartek\Desktop\Programy\Prawo Jazdy ABCDT - egzamin wewnętrzny.lnk C:\Users\Bartek\Desktop\Programy\REAPER.lnk C:\Users\Bartek\Desktop\Programy\Skrzyżowania.lnk C:\Users\Bartek\Desktop\Programy\Skype.lnk C:\Users\Bartek\Desktop\Programy\Smart Defrag 2.lnk C:\Users\Bartek\Desktop\Programy\Steam.lnk C:\Users\Bartek\Desktop\Programy\Uninstaller.lnk C:\Users\Bartek\Desktop\Programy\Uplay.lnk C:\Users\Bartek\Desktop\Programy\Tor Browser\Tor Browser.exe — skrót.lnk C:\Users\Bartek\Desktop\Programy\Lektoring\MixPad Audio Mixer.lnk C:\Users\Bartek\Desktop\Programy\Lektoring\WavePad Sound Editor.lnk C:\Users\Bartek\Desktop\Gry\Risen 3 - Titan Lords.lnk C:\Users\Bartek\Desktop\Gry\The Sims 3.lnk C:\Users\Bartek\Desktop\Gry\Total War Rome II.lnk C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\patsearch.bin C:\Windows\system32\mp3tagv265asetup.exe C:\Windows\system32\Drivers\Msft_Kernel_webinstrNewH_01009.Wdf Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Steam" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YouTube Accelerator" /f Reg: reg delete HKU\S-1-5-21-3105551624-3281779802-1797148407-1001_Classes\CLSID /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Bartek\AppData\Local CMD: dir /a C:\Users\Bartek\AppData\LocalLow CMD: dir /a C:\Users\Bartek\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Firefox w Rozszerzeniach odinstaluj adware FoxxIt-B, Hold Page 1.0.1. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

DelFix nie usunąłby i tak obiektów z folderu "Narzędzia", bo nie skanuje rekursywnie określonych lokalizacji (zajęłoby to za dużo czasu). DelFix uruchamia się tylko raz, oczywiście nadpisuje poprzedni log i już nic nie wiadomo co było wcześniej. Na przyszłość: wytyczne w temacie / opisach są ścisłe, skoro np. nie ma mowy, by uruchomić coś więcej niż raz, to się tego nie robi. Skasuj z dysku plik C:\Delfix.txt. To tyle.

W kwestii braku odpowiedzi, popatrz do spoilera w tym temacie: KLIK. Zajmuję się tematem, gdy jestem w stanie. Tu brakuje mi czasu na dokładne przejrzenie raportów. Podchodziłam do nich dwa razy, są zawalone instalacjami i usuwanie czegoś wymaga dużej uwagi. Ich dokładne przejrzenie jednak nie ma już związku z "File not signed", bo to widać na pierwszy rzut oka: Po drugie: doprecyzuj na jaki temat ma być kontynuacja. Zgłoszony problem to "Eksplorator Windows przestaje działać; często niebieski ekran i restart". W pierwszym raporcie FRST masowe "File not signed". Zostało zrobione globalne Przywracanie systemu. Wg ostatniego raportu FRST odczyt ustąpił. Ale Ty nie wypowiadasz się w ogóle czy któryś ze zgłoszonych problemów nadal ma miejsce.

Ustawiasz sobie np. adresy Google, które są uniwersalne. I tu jest zdefektowany DNS po stronie Windows, pobierany z routera jest inny. Przy przełączaniu do innych sieci DNS będzie pobierany z innych urządzeń. DNS ustawiony na sztywno w Windows na adresy Google pozostanie ten sam.

R2 tor; C:\Program Files\Tor\tor.exe [3233806 2013-09-02] () [File not signed] FRST obcina parametry, powinny być dodatkowe komendy. I tu nie jest pewne kto to zamontował, bo infekcje się też posługują usługą Tor. Normalna instalacja po stronie użytkownika to zwykle nie jest usługa tylko inny typ instalacji, tzn. Tor Browser for Windows. Dla porównania ten temat (użytkownik nie rozpoznaje instalacji) oraz pełne parametry usługi: ========= reg query HKLM\SYSTEM\CurrentControlSet\Services\tor /s ========= HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor Type REG_DWORD 0x10 Start REG_DWORD 0x2 ErrorControl REG_DWORD 0x0 ImagePath REG_EXPAND_SZ "C:\Program Files\Tor\tor.exe" --nt-service "-ControlPort" "9051" DisplayName REG_SZ Tor Win32 Service ObjectName REG_SZ NT AUTHORITY\LocalService Description REG_SZ Provides an anonymous Internet communication system HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\Security Security REG_BINARY 01001480900000009C000000140000003000000002001C000100000002801400FF010F00010100000000000100000000020060000400000000001400FD01020001010000000000051200000000001800FF010F0001020000000000052000000020020000000014008D01020001010000000000050B00000000001800FD01020001020000000000052000000023020000010100000000000512000000010100000000000512000000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\Enum 0 REG_SZ Root\LEGACY_TOR\0000 Count REG_DWORD 0x1 NextInstance REG_DWORD 0x1 O które Ci konkretnie chodzi?

Jest tu zainstalowany Dameware Mini Remote Control, w tle działa też usługa Tor. Potwierdź, że nie są to celowe instalacje, a przejdę do usuwania.

Dopisałam w poście powyżej, byś spróbował zgłosić spam na adresy "abuse", które podaje Whois dla tego adresu IP. To co przychodzi to odrzucone wysyłki ze względu na niedostępność skrzynek odbiorców. Wcale nie jest wykluczone, że inny adres e-mail też jest używany jako fałszywy nadawca, tylko może tego nie być "widać", tzn. brak błędów przesyłki i wiadomości dochodzą do skrzynek docelowych. Są to oczywiście spekulacje.

Przecież podałam Ci powyżej materiały, przeczytaj je: Masz dokładnie opisany proces w obu linkach. Cytuję ponownie: Received: from [49.144.246.7] (helo=wiroart.pl) Rozsyłacz spamu to filipiński serwer, domena wiroart.pl na której masz podpięte konto e-mail została "wylosowana" do spamu, Twój e-mail (i pewnie inne z tej samej domeny) jest używany jako fałszywy nadawca, a e-maile wracają, bo adresy odbiorców spamu są wadliwe. Nie jesteś w stanie tego procesu powstrzymać, bo to się nie dzieje na Twoim poziomie. Jest to frustrujące, ale nie ma możliwości "naprawy" o jakiej myślisz. Spamerzy mogą przestać po jakimś czasie przenosząc się na fałszowanie innej domeny. Ponawiam, przeczytaj powyższy link numer 2. Podawałam też Whois: KLIK. Tam są adresy typu "abuse", na które można zgłosić spam. A czynności kończące czyszczenie adware podam potem.

To wygląda na próbę rozsyłania spamu sfałszowaną, by wyglądała jak wysyłana z Twojego konta. Stoi tu filipińskie IP: KLIK. Received: from [49.144.246.7] (helo=wiroart.pl) Porównaj również pola "From" i "To", ta sama dziwna "osoba" przypisana do dwóch różnych adresów e-mail (jako "nadawca" i "odbiorca"): From: Firas Moha Moha vs. To: (...) "Firas Moha Moha" MAŁPAhotmail.com> (...) I jeszcze na dodatek w e-mail szkodliwy link: hxxp://criando-site.net/Cameron.php?Firas_Moha_Moha Pole "From" można podrabiać. Więcej na temat powyższych: KLIK (Method 2 of 2: Send a Fake Email) / KLIK. Oczywiście, przecież zadane akcje nie miały nic z tym wspólnego: W raportach po prostu ujawnił się dodatkowy problem właśnie rozwiązany.

Kolejność instrukcji jest ścisła, gdyż wszystkie modyfikacje mają odbicie w raportach. Tym sposobem mam nieświeży log FRST nadal pokazujący przekierowanie, którego może nie być już. Ja wiem co to za gra, ale przecież Ci pokazałam, że są dwa różne typy skrótów: WorldofTanks (podejrzany / podróbka) vs. World of Tanks (poprawne skróty gry, były jednak puste i je usuwałam). Prawdziwa gra miała następujące odniesienia: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Deinstalacja programu World of Tanks.lnk -> F:\Games\World_of_Tanks\unins000.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\World of Tanks.lnk -> F:\Games\World_of_Tanks\WOTLauncher.exe (No File) InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Instrukcja do gry World of Tanks.url -> hxxp://worldoftanks.eu/content/guide/ InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Strona WWW programu World of Tanks.url -> hxxp://www.worldoftanks.eu "WorldofTanks" nie odpowiada prawdziwej instalacji. Porównaj też z tym tematem: KLIK. Użytkownik zgłasza to jako rzecz niechcianą / wprowadzoną nieświadomie. U niego skróty są następujące: ShortcutWithArgument: C:\Users\a\Desktop\WorldofTanks.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/ ShortcutWithArgument: C:\Users\a\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks\WorldofTanks.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/ ShortcutWithArgument: C:\Users\a\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/ Masz dokładnie ten sam system skrótów, tylko inna przeglądarka w obrotach, i mówiłam: "z pewnością tu były dodatkowe argumenty otwierania jakiegoś URL usuwane czymś wcześniej". U tego użytkownika do ścieżki Firefox jest doklejony URL mmotraffic.com. U Ciebie z pewnością był podobny URL nabijania kasy, tylko przypuszczalnie dużo wcześniej uruchamiany AdwCleaner "obciął" parametry w ramach leczenia skrótów. Shortcut: C:\Users\admin\Desktop\WorldofTanks.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks\WorldofTanks.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) Frazy "World of Tanks" / "WordOfTanks" / "WOT" obecnie nie definiują braku szkodliwości, bo adware używa pośrednio odwołań do gry, by zarobić: KLIK / KLIK. mmotraffic.com = "MAKE MONEY ONLINE WITH THE WORLD'S ONLY DEDICATED MMO PUBLISHER PLATFORM" Prócz powyższego triku ze skrótami w dobrze widocznych miejscach, by użytkownik je klikał, widziałam też trik z Harmonogramem zadań, w którym od góry do dołu tzw. zadania "WOT" kierujące na sponsorowane linki mmotraffic.com - system jest stajnią produkcji klików. Skoro jest błąd deinstalacji, będzie ręczne usuwanie via skrypt FRST. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: C:\Users\admin\Desktop\WorldofTanks.lnk C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks Folder: C:\Users\admin\AppData\Roaming\WorldofTanks Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\WorldofTanks /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Obecnie w systemie nie ma żadnych doinstalowanych bibliotek, więc błąd określonych aplikacji zależnych od niektórych wersji jest spodziewany. Błędów powinno być nawet więcej, również od aplikacji uprzednio działających, które mają zależność Visual C++ Redistributable. Teraz: Uruchom Windows Update i zainstaluj wszystkie ważne aktualizacje, które zostaną podstawione. Rundy z wyszukiwaniem aktualizacji powtarzaj do skutku, tzn. do momentu, gdy system zakomunikuje, że brak aktualizacji. Po tej akcji zrób nowy skan FRST, ale podaj mi tylko log Addition.

Zaprezentuj na obrazku / przeklej dane jak te zgłoszenia "Mail Delivery" dokładnie wyglądają. W systemie nie widać oznak czynnej infekcji tego rodzaju, ale jest adware. Wstępne działania: 1. Odinstaluj zbędnik McAfee Security Scan Plus ora adware Search App by Ask. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 Update Rock Turner; "C:\Program Files (x86)\Rock Turner\updateRockTurner.exe" [X] S2 Util Rock Turner; "C:\Program Files (x86)\Rock Turner\bin\utilRockTurner.exe" [X] Task: {29DC6E06-25D0-48F0-8695-6733BD119C44} - System32\Tasks\{AA4DAA84-33A1-48C9-8139-C0621FFCE833} => pcalua.exe -a D:\SETUP.EXE -d D:\ Task: {2FC00511-8220-438F-B988-1B555D3EEA5B} - System32\Tasks\{478F8840-7ED6-4F0A-95C0-EFB0AC6460E2} => C:\Users\ppp\Downloads\N360-TW-21.0.0-EN(1).exe Task: {46F11A4F-F52E-4AD4-BEFF-2E738EE0DEEF} - \RegClean Pro_UPDATES No Task File Task: {60F456E1-4E9A-4244-A414-322A3F460942} - System32\Tasks\{2621CA98-AFCA-40AE-9113-B59D6884337D} => C:\Users\ppp\Downloads\N360-TW-21.0.0-EN(1).exe Task: {6858C71A-3E57-481B-AEEC-C74BB499B7EF} - System32\Tasks\{7DAB3B29-D5AC-4899-9721-340D67FE36DD} => C:\Users\ppp\Downloads\Google_Drive_Sciagnij.pl.exe [2014-05-22] () Task: {6BE5F5C9-3160-4979-A57F-256F80ACC16C} - System32\Tasks\{A27E26E5-354B-4B5B-9CE9-B26116747095} => pcalua.exe -a C:\Users\ppp\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {6C8DAA59-211D-4FED-BB44-247FDD8674CD} - System32\Tasks\{1CAF65B0-53D8-4CBF-9476-D2B256787B7E} => C:\Users\ppp\Downloads\N360-TW-21.0.0-EN(1).exe Task: {6FD379EA-4D23-4C1D-B7C2-0EE2FA14C892} - System32\Tasks\{B6D01BC9-ABE7-4FE9-914A-E4A797B08F34} => C:\Users\ppp\Desktop\Nowy folder\SETUP.EXE Task: {9D111092-63F4-49FF-B920-F4DF89FE719A} - System32\Tasks\{B07DEC2F-E2A7-4089-AFCD-8D765604AD8C} => pcalua.exe -a H:\SETUP.EXE -d H:\ Task: {A7647A57-EDA4-446C-AA69-3793E2E6612C} - System32\Tasks\RegClean Prosch => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: {C22D51CE-BCCA-4791-BE0E-CFE2A53E7A13} - \RegClean Pro_DEFAULT No Task File Task: C:\Windows\Tasks\RegClean Prosch.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1417511556&from=cor&uid=ST1000DL002-9TT153_W1V0XXAAXXXXW1V0XXAA" CHR HKU\S-1-5-21-3130494160-1199666095-3665619860-1000\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - No Path CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-3130494160-1199666095-3665619860-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=n360&pvid=21.5.0.19 SearchScopes: HKLM-x32 -> DefaultScope value is missing. ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\Program Files (x86)\AskPartnerNetwork C:\Users\ppp\AppData\Local\AskPartnerNetwork C:\Users\ppp\AppData\Roaming\ESET C:\Users\ppp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hugin C:\Users\ppp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Recuva C:\Users\ppp\AppData\Roaming\Opera Software C:\Users\ppp\AppData\Roaming\RHEng C:\Users\ppp\AppData\Roaming\rmi C:\Users\ppp\AppData\Roaming\WebTest C:\Users\ppp\Desktop\Programy\avast! Free Antivirus.lnk C:\Users\ppp\Desktop\Programy\Norton 360.lnk C:\Users\ppp\Desktop\Programy\RegClean Pro.lnk C:\Users\ppp\Desktop\Programy\SpeedFan.lnk C:\Users\ppp\Downloads\Google_Drive_Sciagnij.pl.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować (Adblock Plus, DownloadHelper, NetVideoHunter). 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W raportach widać tylko jedno przekierowanie isearch.omiga-plus.com w Google Chrome: CHR StartupUrls: Default -> "hxxp://google.pl/", "hxxp://isearch.omiga-plus.com/?type=hp&ts=1418571352&from=cor&uid=WDCXWD10EZEX-00KUWA0_WD-WCC1S488122281222" SpyHunter - a kysz, to wątpliwy program z czarnej listy (zwodnicze reklamodawstwo, byle go zainstalować). Ponadto, jest tu podejrzana instalacja WorldofTanks, która budzi skojarzenia, że nie jest to oryginał - instalacja ta utworzyła dziwne skróty kierujące do otwierania IE - z pewnością tu były dodatkowe argumenty otwierania jakiegoś URL usuwane czymś wcześniej: Shortcut: C:\Users\admin\Desktop\WorldofTanks.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks\WorldofTanks.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) To co wygląda na prawdziwą instalację ma za to puste skróty kierujące donikąd: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Deinstalacja programu World of Tanks.lnk -> F:\Games\World_of_Tanks\unins000.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\World of Tanks.lnk -> F:\Games\World_of_Tanks\WOTLauncher.exe (No File) Dodatkowo, masz taki oto błąd i trzeba to skorygować: System errors: ============= Error: (12/17/2014 10:34:15 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Harmonogram zadań zależy od usługi Dziennik zdarzeń systemu Windows, której nie można uruchomić z powodu następującego błędu: %%1058 Wstępne czyszczenie tego co widać: 1. Odinstaluj starsze wersje i te wątpliwe programy: Adobe Flash Player 15 Plugin, Adobe Reader 9.5.0 - Polish, Java 7 Update 60 (64-bit), Java 7 Update 60, SpyHunter, WorldofTanks. Skrót do deinstalatora SpyHunter jest w Menu Start: Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\Uninstall SpyHunter.lnk -> C:\Windows\SysWOW64\msiexec.exe (Microsoft Corporation) Nie instaluj na razie najnowszych wersji Adobe i Java - to podam na końcu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: No Name -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> No File BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.30214.0\npctrl.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll No File S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cossacks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cossacks - The Art Of War C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Desura C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warplanes C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\admin\AppData\Roaming\0ad C:\Users\admin\AppData\Roaming\GG C:\Users\admin\AppData\Roaming\Opera Software C:\Users\admin\Favorites\GG dysk.lnk C:\Users\admin\Links\GG dysk.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Desura" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config Eventlog start= auto EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty". 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Uruchom Reprofiler i zaprezentuj co się pokazuje.

Co się stało z załącznikiem skanu Avira w pierwszym poście? Przywróciłam go. Na 100% ominąłeś reset podklucza cfg. I nie jest problemem usunąć ten klucz, zadam stosowną komendę w skrypcie FRST poniżej. FRST ma silną dyrektywę do usuwania kluczy zablokowanych przez uprawnienia i inne sztuczki. Płeć żeńska. Polecam Malwarebytes Anti-Malware. To obecnie nowoczesny skaner antymalware, na bieżąco z zagrożeniami, ma też moduł antyrootkit wbudowany. Wersja darmowa to skaner na żądanie, w wersji komercyjnej jest osłona rezydentna. Może darmowy CDBurnerXP? Uwaga: domyślny instalator ma adware OpenCandy, wybierz instalator alternatywny bez tego śmiecia, tzn. More download options i pozycję Default installer (Without OpenCandy): KLIK. Przy okazji jeszcze poczytaj ogólnie o instalatorach adware: KLIK. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\sptd Reg: reg query "HKU\S-1-5-21-2967589604-1285010922-3187333532-1001\Software\Microsoft\Internet Explorer\SearchScopes" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Wszystko zrobione. Poprawki: 1. Otwórz Notatnik i wklej w nim: C:\ProgramData\3150018638 Folder: C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Preferences" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner, wybierz opcję Szukaj, pokaż wynikowy log z folderu C:\AdwCleaner.

kontik, nic z tego nie wynika, nie wiadomo co jest w systemie (sugerujesz, że tu jest problem), więc dostarcz raporty z FRST.

Obaj macie NVIDIA GeForce Experience i wygląda to na błąd tej aplikacji a nie czynników trzecich, dużo osób zgłasza to samo: KLIK. Podobno jest jakaś nowsza aktualizacja, więc sprawdźcie. PS. ShotgunXC, całe logi CBS są zbędne, należy je ograniczyć tylko do akcji SFC. Nie przefiltrowałeś raportu jak należy: KLIK. Wstępnie skleiłam te dwa koszmary razem i zapuściłam filtr - wyniki podmienione w pierwszym poście, ale to nie wygląda na całość. Ponów komendę findstr na oryginalnym pliku CBS.LOG i wynikowy log podstaw w pierwszym poście.