picasso

Fix wykonany. Nie odpowiedziałeś mi na pytanie, czy Dll-Files.com został odinstalowany - jeśli nie, to go odinstaluj, tylko szkód możesz nim narobić na Windows 8.1. Co do pytania na temat "dobrego programu do czyszczenia systemu": ale w jakim kontekście (malware, pliki tymczasowe, inne)?

Babylon to wątpliwy producent: KLIK. Ale samo "wyszarzenie" rozszerzenia w Google Chrome nie świadczy o tym. Czasem programy instalowane globalnie (w tym antywirusy) i wprowadzające rozszerzenie w przeglądarce mogą powodować, że jest ono niemożliwe do deinstalacji w singlu. Dopiero przestawienie jakiejś opcji w programie lub całkowita deinstalacja programu je usuwa. To już nie problem. To kopia jednego z plików Babylon w folderze Przywracania systemu (System Volume Information). Czyszczenie tego obszaru zawsze zadaję na końcu. Operacje pomyślnie przeprowadzone, potwierdzasz ustąpienie problemu, więc kończymy: 1. Mini poprawka. Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń ręcznie pobrane narzędzia z folderu D:\Software\@Security\@odsyfianie. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj wtyczki Adobe Flash dla IE i Firefox: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 15 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 15.0.0.167 - Adobe Systems Incorporated) Adobe Flash Player 15 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 15.0.0.152 - Adobe Systems Incorporated)

W Firefox rezyduje adware BuyNsavee. Wdróż następujące działania: 1. Jeśli Software Informer 1.4.1181.0 to nie była celowa instalacja, odinstaluj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=r13614--15857&apn_uid=4547298952504485&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope value is missing. SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=r13614--15857&apn_uid=4547298952504485&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> DefaultScope {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo SearchScopes: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo SearchScopes: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=r13614--15857&apn_uid=4547298952504485&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} BHO: BuyNNSave -> {18a93809-7420-401b-ac61-79b242c2f51d} -> C:\Program Files (x86)\BuyNNSave\pUMiPTdgwoaYyg.x64.dll No File Toolbar: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF Plugin-x32: @videolan.org/vlc,version=2.0.0 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File FF Plugin-x32: @videolan.org/vlc,version=2.0.1 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File Task: {0A7511F4-5319-44DF-B834-8B3CC7A6A6DA} - System32\Tasks\{64D055BC-F598-4512-A54E-47520116069B} => pcalua.exe -a C:\PROGRA~2\DAP\DAPREMOVE.EXE Task: {20F975CC-8A57-42DC-8E76-4CABE97234B7} - System32\Tasks\{BB5D7A52-0154-4139-B121-683BC4053380} => pcalua.exe -a C:\Users\ROBERT\Downloads\vkaraoke.exe -d C:\Users\ROBERT\Downloads Task: {5305363D-8BD6-405F-B8B0-710258607E8C} - System32\Tasks\{AF9827A6-6DF8-4459-93E6-48A559FA83B4} => pcalua.exe -a "C:\Users\ROBERT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DK637ADD\AACplus_plugin_WMP.exe" -d C:\Users\ROBERT\Desktop Task: {96DE469F-885C-4AA1-B97C-C6B9215D837F} - System32\Tasks\SoftwareInformerService => C:\Program Files\Software Informer\softinfo.exe [2014-11-06] (Informer Technologies, Inc.) Task: {B6327E27-30A4-48AD-B453-460789E69CCD} - System32\Tasks\{DA098A3A-F4B9-4887-ADDE-411926A402F9} => pcalua.exe -a C:\Users\ROBERT\Desktop\AdobeAIRInstaller.exe -d C:\Windows\system32 Task: {BA806633-2F9D-4256-A96F-0335002A3136} - System32\Tasks\{C24B64B4-F3FD-4185-BEE5-92220DD765FE} => pcalua.exe -a C:\Users\ROBERT\Desktop\ASIO4ALL_2_11_Beta1_English.exe -d "C:\Program Files (x86)\Mozilla Firefox" HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\Software\Classes\.exe: exefile => HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\Software\Classes\exefile: HKU\S-1-5-19\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) HKU\S-1-5-20\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\...\Run: [software Informer] => C:\Program Files\Software Informer\softinfo.exe [1218560 2014-11-06] (Informer Technologies, Inc.) HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\...\RunOnce: [Adobe Speed Launcher] => 1418578953 HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) HKU\S-1-5-18\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File CustomCLSID: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\ROBERT\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File CustomCLSID: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000_Classes\CLSID\{F0D5B8DF-FA50-4AC1-B644-6DD3DABA2DC0}\InprocServer32 -> 42494E41525953545245414D030000000300000052D48160B572D4C00354FCEE3ABED63BBA0AAE64C0760C4D64FCE9F56AA8 (the data entry has 10 more characters). S3 AndNetDiag; \SystemRoot\system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; \SystemRoot\system32\DRIVERS\lgandnetmodem64.sys [X] U3 idsvc; No ImagePath S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] C:\Program Files (x86)\BuyNNSave C:\Program Files (x86)\BuyNsavee C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\14305879245515429196 C:\ProgramData\fncnbnomaoapockccnejckejpoblhikh C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Muzyczne Radio Player\Strona WWW programu Muzyczne Radio Player.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\vanBasco's Karaoke Player C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit\Java Mission Control.lnk C:\Users\ROBERT\AppData\Local\Google\Chrome C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\SendTo\Transfer plików Bluetooth.LNK C:\Users\ROBERT\Links\Współdzielona przestrzeń.lnk C:\Users\Default\Links\Współdzielona przestrzeń.lnk C:\WINDOWS\system32\Drivers\kgpfr2.cfg C:\WINDOWS\system32\Drivers\kgpcpy.cfg C:\WINDOWS\SysWOW64\Drivers\kgpfr2.cfg Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls" /s Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ALLUpdate /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Ashampoo HDD-Control 2 Guard" /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, Google Image Search i VideoGet) trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Kaspersky był zablokowany, ale nie ESET: HKLM Group Policy restriction on software: C:\Program Files\Kaspersky Lab Deinstalacja zdefektowanego programu to tylko ukrycie problemu, a nie jego rzeczywiste rozwiązanie. Przy kolejnej instalacji produktów Kasperskiego znów byłaby niespodzianka. Na szczęście to dedykował już Fix. Poza tym, ten "nowy" ESET to stara edycja sprzed dwóch lat i jeszcze scrackowana. Nie, ShopperPro (adware) nie ma związku. Blokadę wprowadziła konkretna infekcja: HKU\S-1-5-21-436374069-1284227242-1801674531-1003\...\Run: [GohoGyatr] => regsvr32.exe "C:\Documents and Settings\All Users\Dane aplikacji\GohoGyatr\GohoGyatr.dat" Przetwarzanie mojego Fixa, gdy zmieniłeś zupełnie konfigurację skanami, było niezasadne. Fix nie wykona rzeczy, które zostały zrobione innym skanerem - określone wyniki w Fixlog są typu "not found". Na przyszłość: jeśli niecierpliwisz się i zaczynasz grzebać samodzielnie (to zmienia stan w raportach), musisz zarzucić polecenia Fix (one są ściśle dopasowane do konkretnego widoku raportu) > zrobić nowe logi i opisać co namieszałeś. Przedstaw wyciągi ze skanerów co usuwałeś.

Chodziło mi o stare, przedstawiające to co robiłeś przed założeniem tematu. Nowy odczyt pokazuje szczątki adware, ale tu jeszcze Kilka drobniejszych komend w skrypcie się nie wykonało (literówki). Lecimy z kolejnymi poprawkami: 1. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. 2. Odinstaluj jeszcze stare wersje Adobe, developerskie wersje Java. Dodatkowo: jeśli nie używasz, pozbądź się niektórych programów zintegrowanych z Acer (np. MyWinLocker). ==================== Installed Programs ====================== Acer Registration (Version: 1.02.3006 - Acer Incorporated) Acrobat.com (Version: 1.6.65 - Adobe Systems Incorporated) Adobe AIR (Version: 1.5.0.7220 - Adobe Systems Inc.) Adobe Flash Player 12 ActiveX (Version: 12.0.0.77 - Adobe Systems Incorporated) Adobe Shockwave Player 11.6 (Version: 11.6.3.633 - Adobe Systems, Inc.) Identity Card (Version: 1.00.3003 - Acer Incorporated) Java SE Development Kit 7 Update 7 (HKLM-x32\...\{32A3A4F4-B792-11D6-A78A-00B0D0170070}) (Version: 1.7.0.70 - Oracle) JavaFX 2.1.1 (Version: 2.1.1 - Oracle Corporation) MyWinLocker (Version: 3.1.76.0 - Egis Technology Inc.) Windows Live Essentials (Version: 15.4.3555.0308 - Microsoft Corporation) 3. Przed usunięciem sterownika AVG utwórz ręcznie pukt Przywracania systemu. Gdyby coś poszło nie tak, to zawsze będzie można uruchomić komputer przez F8 > Napraw komputer > Przywracanie systemu (z wyborem tego świeżego punktu po czyszczeniu systemu). 4. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 Avgdiska; C:\Windows\System32\DRIVERS\avgdiska.sys [152344 2014-06-30] (AVG Technologies CZ, s.r.o.) HKU\S-1-5-21-3998210539-3065520669-1277161271-1000\...\RunOnce: [Adobe Speed Launcher] => 1418569094 Toolbar: HKU\S-1-5-21-3998210539-3065520669-1277161271-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File C:\Program Files (x86)\FlashGet Network C:\Program Files (x86)\Temp C:\Program Files (x86)\UnRar for Windows C:\Program Files\Common Files\Bitdefender C:\ProgramData\ApPure C:\ProgramData\BDLogging C:\ProgramData\Bitdefender C:\ProgramData\DAEMON Tools Lite C:\ProgramData\DAEMON Tools Pro C:\ProgramData\Google C:\ProgramData\InstallMate C:\ProgramData\Logs C:\ProgramData\Make A Voozie C:\ProgramData\McQcModifier-5c47-a7b0 C:\ProgramData\PS.log C:\ProgramData\SiteAdvisor C:\ProgramData\Skype Extras C:\ProgramData\VS Revo Group C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\Users\wangzhisong C:\Windows\System32\DRIVERS\avgdiska.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f CMD: dir /a C:\Users\Rafal\AppData\Local CMD: dir /a C:\Users\Rafal\AppData\LocalLow CMD: dir /a C:\Users\Rafal\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, powstanie kolejny plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt i log AdwCleaner[s0].txt.

Tylko zapytam: czym był dyktowany format? Czy był inny powód niż drobne adware w Opera?

Przeklej z dzienników Avast dokładną ścieżkę dostępu, to mógł być fałszywy alarm, sama nazwa nie wystarczy do oceny. Ogólnie adware nie zostało dobrze wyczyszczone (nadal widać obiekty astromenda.com i lasaoren.com) i jest tu jeszcze co robić, ale spowolnienie systemu to odrębna sprawa nie powiązana z tym - żadnych czynnych procesów adware/malware, więc się wręcz nasuwa że problem tworzy Avast i/lub MBAM. Ponadto, ten Avast mi wygląda na nakładkowo aktualizowany od bardzo starych wersji. Może warto go całkowicie odinstalować, a następnie zainstalować "na czysto" z nowego instalatora. Pod kątem czyszczenia adware, wpisów odpadkowych i licznych zbędnych przekierowań Yahoo (wstawione przez Avast): 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-251121527-2021168873-2295293381-1000\...0c966feabec1\InprocServer32: [Default-shell32] ATTENTION! ====> ZeroAccess? CustomCLSID: HKU\S-1-5-21-251121527-2021168873-2295293381-1000_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\Users\Magda\AppData\Local\MICROS~1\Windows\TEMPOR~1\Content.IE5\LNOA2PVZ\BESTPL~1.EXE No File CustomCLSID: HKU\S-1-5-21-251121527-2021168873-2295293381-1000_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-251121527-2021168873-2295293381-1000_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-251121527-2021168873-2295293381-1000_Classes\CLSID\{B6CE1A28-A831-43E4-A81F-E2B429D66231}\InprocServer32 -> C:\Users\Magda\AppData\Local\ASKTOO~1\DOWNLO~1\Nero.dll No File CustomCLSID: HKU\S-1-5-21-251121527-2021168873-2295293381-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File Task: {0D81B941-5BCB-4412-9B51-A7EB872263C2} - System32\Tasks\RealUpgradeLogonTaskS-1-5-21-251121527-2021168873-2295293381-1000 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe Task: {40695F6B-C7D2-4821-942D-2C2138508A36} - System32\Tasks\{965B7CB1-17A7-4F48-B9D9-1D69D9E793DD} => Iexplore.exe http://ui.skype.com/ui/0/5.3.0.111/en/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;userdeclined,google-chrome:notoffered;systemlevelpresent Task: {44E1CFD7-5443-4B12-819C-9C23D3980BEA} - System32\Tasks\{110CF5B1-6F5B-42FF-B866-2797758CB47E} => Iexplore.exe http://ui.skype.com/ui/0/6.16.0.105/pl/go/help.faq.installer?LastError=1638 Task: {46BEDFB8-2690-4677-9E96-A71AF5588D08} - System32\Tasks\{C028360A-DC07-44AC-A9CB-9FC66B828C1F} => Iexplore.exe http://ui.skype.com/ui/0/6.16.0.105/pl/go/help.faq.installer?LastError=1638 Task: {4FCBA4B1-2569-4CAF-8593-5EDFF3736229} - System32\Tasks\{CCC96478-C7F9-4A01-91B3-5D1C5DBE099D} => Iexplore.exe http://ui.skype.com/ui/0/5.5.0.113/en/abandoninstall?page=tsPlugin&installinfo=google-toolbar:notoffered;userdeclined,google-chrome:notoffered;systemlevelpresent Task: {661CDEEE-EE33-4C0F-9F40-EEC5F7D9E060} - System32\Tasks\{C534BC0B-078B-476C-B2D0-9BA77393A598} => Iexplore.exe http://ui.skype.com/ui/0/6.16.0.105/pl/go/help.faq.installer?LastError=1638 Task: {89BCAF6F-963E-4708-9AFA-9B9AC38523B0} - \WSE_Astromenda No Task File Task: {C6A1977F-93EB-44CD-8202-6B6FEBFFAFAB} - \WSE_Lasaoren No Task File Task: {DE6D5A83-55AB-401F-A612-B68182A7C9E8} - System32\Tasks\{7BB4C0E6-C61A-4319-A4AF-795947945B81} => Iexplore.exe http://ui.skype.com/ui/0/5.1.0.112/en/abandoninstall?page=tsMain&installinfo=google-toolbar:offered-installed,google-chrome:notoffered;toolbaroffered Task: {E2E7B910-9400-492F-B96D-AE7BC13CDE86} - System32\Tasks\{8A3011FD-BDCE-4134-9D03-482975D330A9} => Iexplore.exe http://ui.skype.com/ui/0/6.3.0.107/en/abandoninstall?page=tsProgressBar Task: {F5333235-BEAA-4596-80C9-D0E96606BE7B} - System32\Tasks\{6DA37219-06DA-4329-9505-604EAE013CD7} => Iexplore.exe http://ui.skype.com/ui/0/6.16.0.105/en/go/help.faq.installer?LastError=1638 Task: {F99D3FD8-06F3-4443-BDBD-1CED0B96029F} - System32\Tasks\Installation App Launcher => C:\Program Files\Lexmark 3600-4600 Series\ezprint.exe Task: {FEAE8A46-DAE8-4BBE-9B87-56197770B2D5} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-251121527-2021168873-2295293381-1000 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe HKU\S-1-5-21-251121527-2021168873-2295293381-1000\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x00000000 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://uk.yahoo.com/?fr=hp-avast&type=agc511 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-251121527-2021168873-2295293381-1000\Software\Microsoft\Internet Explorer\Main,Search Page = https://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} HKU\S-1-5-21-251121527-2021168873-2295293381-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://uk.yahoo.com/?fr=hp-avast&type=agc511 HKU\S-1-5-21-251121527-2021168873-2295293381-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = https://uk.yahoo.com/?fr=hp-avast&type=agc511 StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM -> DefaultScope {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKLM -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://Lasaoren.com/results.php?f=4&q={searchTerms}&a=lrn_ir_14_45_ie&cd=2XzuyEtN2Y1L1QzutDtDtBtByD0FtCyB0BzztAyD0B0C0D0AtN0D0Tzu0StCtDyEtDtN1L2XzutAtFyCtFtDtFyEtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyCtCzz0C0C0C0B0BtGzz0EyCtCtGtDtC0D0BtGtD0Czy0AtGtB0D0CtB0CtAyEzyyByBzy0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDtB0DyE0CyDtDtCtGtB0FtDtAtGyEyCzytCtG0A0C0AyBtGtB0ByE0BtBtAyC0F0ByBtA0E2Q&cr=1511266203&ir= SearchScopes: HKLM -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_44_ie&cd=2XzuyEtN2Y1L1QzutDtDtBtByD0FtCyB0BzztAyD0B0C0D0AtN0D0Tzu0StCtDtAyBtN1L2XzutAtFyDtFtCtFyEtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyDtBtDzy0D0B0AtBtGyDtCtC0AtGtA0Dzy0BtGtC0A0BtAtGyEtCtCyB0B0EyBzz0FyEtA0E2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0AyDtD0D0EtC0A0FtGyC0DyDyBtGyEyCtCzztG0BtC0EyDtG0DyB0E0A0AyEyEyC0FyEtA0E2Q&cr=1384680931&ir= SearchScopes: HKLM -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKLM -> {A25AC313-DD19-4238-ACA2-401D6BEE4321} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-251121527-2021168873-2295293381-1000 -> DefaultScope {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKU\S-1-5-21-251121527-2021168873-2295293381-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-251121527-2021168873-2295293381-1000 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://Lasaoren.com/results.php?f=4&q={searchTerms}&a=lrn_ir_14_45_ie&cd=2XzuyEtN2Y1L1QzutDtDtBtByD0FtCyB0BzztAyD0B0C0D0AtN0D0Tzu0StCtDyEtDtN1L2XzutAtFyCtFtDtFyEtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyCtCzz0C0C0C0B0BtGzz0EyCtCtGtDtC0D0BtGtD0Czy0AtGtB0D0CtB0CtAyEzyyByBzy0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDtB0DyE0CyDtDtCtGtB0FtDtAtGyEyCzytCtG0A0C0AyBtGtB0ByE0BtBtAyC0F0ByBtA0E2Q&cr=1511266203&ir= SearchScopes: HKU\S-1-5-21-251121527-2021168873-2295293381-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKU\S-1-5-21-251121527-2021168873-2295293381-1000 -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKU\S-1-5-21-251121527-2021168873-2295293381-1000 -> {A25AC313-DD19-4238-ACA2-401D6BEE4321} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 CHR HKLM\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - No Path FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Users\Magda\Downloads\FLVPlayer-Chrome.exe Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W przeglądarkach: - Wyczyść Firefox z przekierowań Yahoo: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. - W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres Lasaoren.com, przestaw na "Otwórz stronę nowej karty". 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Jak sądzę problem jest tylko w przeglądarce Google Chrome - w niej siedzi adware DigiHelp. Tylko że instalacja Google Chrome i tak wygląda na uszkodzoną - nie widnieje w ogóle na liście zainstalowanych, choć jest obecna, bo widać np. takie oto ścieżki: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) Shortcut: C:\Users\Jadzia\Desktop\rozne\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) Shortcut: C:\Users\Jadzia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) Shortcut: C:\Users\Jadzia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) Czyżby za daleko poszło czyszczenie? W związku z tym Google Chrome będzie reinstalowane od zera. Operacje do wdrożenia: 1. Jeśli potrzebne, wyeksportuj zakładki z Google Chrome: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - D:\Program Files\ESET NOD32 Antivirus\Mozilla Thunderbird ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Task: {0D01AB50-5B3F-4111-8168-68E7CD37CC41} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-12-02] (Google Inc.) Task: {1D4DA55F-5699-41D9-825D-C6151E54112C} - System32\Tasks\{2B5038C4-3AF9-41E9-8286-83C55333457D} => pcalua.exe -a C:\Users\Jadzia\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {2F9A8D81-7745-4567-9DB0-9FA6BF508696} - System32\Tasks\{7432EC50-57CF-4D2D-ABCA-20EDC70AA267} => pcalua.exe -a C:\Users\Jadzia\Downloads\setup(5).exe -d C:\Users\Jadzia\Downloads Task: {38AF29BF-7D5B-4575-88A2-3080D5D76AD2} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-12-02] (Google Inc.) Task: {3DDEC91E-FB44-4D7C-8E49-FBA550974537} - System32\Tasks\{05FC700C-F5E7-494E-AF77-C107DA10B5F5} => pcalua.exe -a C:\Users\Jadzia\Downloads\setup(1).exe -d C:\Users\Jadzia\Downloads Task: {736A2BCE-6E6A-4D1D-AAAA-FA1DB7EEC2E9} - System32\Tasks\{EEC28219-B1BA-4B67-B92F-7051ED7EAF09} => pcalua.exe -a "E:\G400s&G500s Driver CD V1.0 Win8.1 32&64\Win8.1\WLAN - Broadcom\Broadcom\x32\6.30.223.181\Setup\setup.exe" -d C:\Users\Jadzia\Desktop Task: {83795474-097C-4213-8E05-97B9FFC11D3C} - System32\Tasks\{B3B0D150-DB90-4207-81E1-B92F75A911F7} => pcalua.exe -a "E:\G400s&G500s Driver CD V1.0 Win8.1 32&64\Win8.1\WLAN - Atheros Realtek\Realtek\2012.2.0827.2013\Setup.exe" -d "E:\G400s&G500s Driver CD V1.0 Win8.1 32&64\Win8.1\WLAN - Atheros Realtek\Realtek\2012.2.0827.2013" Task: {D303E6A5-3F9D-481D-B829-66F80A130A50} - System32\Tasks\{43F2203F-8CF4-47FF-A5C9-74327C17FCDA} => pcalua.exe -a C:\Users\Jadzia\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {E6F3AF4D-4231-48A8-AFF2-CA107DF3A096} - System32\Tasks\{5C77B1C5-DF0F-4F49-AB7D-8D8F5C858CBD} => pcalua.exe -a "E:\G400s&G500s Driver CD V1.0 Win8.1 32&64\Win8.1\Bluetooth - Atheros Broadcom Realtek\Setup.exe" -d C:\Users\Jadzia\Desktop Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe S3 ksapi64; C:\Windows\system32\drivers\ksapi64.sys [56680 2014-12-04] (Kingsoft Corporation) C:\Program Files (x86)\cmcm C:\Program Files (x86)\Google C:\ProgramData\Kingsoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Jadzia\AppData\Local\Google C:\Users\Jadzia\AppData\Roaming\GoldenGate C:\Users\Jadzia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Jadzia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Jadzia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Jadzia\AppData\Roaming\WebTest C:\Users\Jadzia\Desktop\rozne\Google Chrome.lnk C:\Windows\system32\Drivers\ksapi.sys C:\Windows\system32\Drivers\ksapi64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zainstaluj najnowszą wersję Google Chrome: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Wszystko zrobione pod kątem problemu infekcji i Centrum. Natomiast mam wątpliwości czy na pewno odinstalowałeś Dll-Files.com, gdyż na dysku nadal są jego zadania - to wątpliwy program, a na systemach Vista i nowszych może wyprodukować tylko więcej problemów z DLL. Za to w międzaczasie odinstalowałeś AVG PC TuneUp 2015, to jeszcze drobna korekta na szczątki programu. Otwórz Notatnik i wklej w nim: Task: {0D53B406-6B1E-4E41-A026-32CAB7FF1B33} - System32\Tasks\DLL-Files.Com Fixer_Updates => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe [2013-07-31] (Dll-FIles.Com) Task: {A9490363-97E8-4175-BE65-DC2FA5C88396} - System32\Tasks\DLL-Files.Com Fixer_MONTHLY => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe [2013-07-31] (Dll-FIles.Com) Task: C:\WINDOWS\Tasks\DLL-Files.Com Fixer_MONTHLY.job => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe Task: C:\WINDOWS\Tasks\DLL-Files.Com Fixer_Updates.job => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe C:\ProgramData\AVG C:\Users\Kratos666\AppData\Local\Avg C:\Users\Kratos666\AppData\Roaming\AVG Hosts: RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Brakuje obowiązkowego raportu z GMER. Problemem jest oczywiście infekcja. Przypuszczalna droga nabycia: luki w starych aplikach (już się pozbyłeś określonych pozycji, co widać w spisie puktów Przywracania systemu). Są też odpadki skanera SpyHunter - z daleka od tego wątpliwego produktu. Poza tym, na dysku są ślady używania DelFix - co to miało na celu, skoro to program usuwający używane narzędzia? Przeprowadź następujące operacje: 1. Operacja w Trybie awaryjnym na koncie Daniel. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM Group Policy restriction on software: C:\Program Files\Kaspersky Lab HKU\S-1-5-21-436374069-1284227242-1801674531-1003\...\Run: [badoo Desktop] => C:\Documents and Settings\All Users\Dane aplikacji\Badoo\Badoo Desktop\1.6.58.1220\Badoo.Desktop.exe HKU\S-1-5-21-436374069-1284227242-1801674531-1003\...\Run: [GohoGyatr] => regsvr32.exe "C:\Documents and Settings\All Users\Dane aplikacji\GohoGyatr\GohoGyatr.dat" HKLM\...\Run: [KTSInit] => [X] HKLM\...\Run: [YTDownloader] => "C:\Program Files\YTDownloader\YTDownloader.exe" /boot HKLM\...\Run: [spyHunter Security Suite] => "C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-436374069-1284227242-1801674531-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-436374069-1284227242-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO: No Name -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> No File S2 HWDeviceService.exe; "C:\Documents and Settings\All Users\Dane aplikacji\DatacardService\HWDeviceService.exe" -/service [X] S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X] S2 VSGate; C:\ElsaWin\bin\VSgate.exe [X] S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2014-12-14] () S3 ASUSProcObsrv; \??\G:\I386\AsProcOb.sys [X] S3 catchme; \??\C:\DOCUME~1\Daniel\USTAWI~1\Temp\catchme.sys [X] S3 ESETCleanersDriver; \??\C:\WINDOWS\system32\Drivers\ESETCleanersDriver.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\GohoGyatr C:\Documents and Settings\Daniel\TempWmicBatchFile.bat C:\Documents and Settings\Daniel\Dane aplikacji\Enigma Software Group C:\Documents and Settings\Daniel\Dane aplikacji\Opera Software C:\Documents and Settings\Daniel\Moje dokumenty\*(*)-dp*.exe C:\Documents and Settings\Daniel\Ustawienia lokalne\Dane aplikacji\ESET C:\Documents and Settings\Daniel\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ESET C:\Program Files\D51D0083-1C6B-4CB4-8FA1-7CF891242EBD C:\Program Files\Mozilla firefox\plugins C:\Program Files\Opera C:\WINDOWS\System32\DRIVERS\EsgScanner.sys C:\sh4ldr Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config "Mobile Partner. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz zaległy GMER (wymagane tymczasowe pozbycie się emulatorów typu DAEMON Tools Lite zgodnie z instrukcjami w ogłoszeniu). Dołącz też plik fixlog.txt.

Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Jeden wpis nie został przetworzony (błąd w FRST) i wymagana poprawka. Natomiast jeśli chodzi o usługi, to infekcja wyłączyła Centrum zabepieczeń i Windows Update. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: Unlock: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run Reg: reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run /v 3570475709 /f CMD: sc config wscsvc start= delayed-auto CMD: sc config wuauserv start= delayed-auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, Centrum powinno się uaktywnić. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) + Farbar Service Scanner. Dołącz też plik fixlog.txt.

Adux, odpowiadam w temacie, gdy mam coś do powiedzenia (trzeba mieć czas i koncepcję!). Odświeżanie niczego nie przyśpieszy, to tylko irytuje i zmusza do pisania bezużytecznych postów jaki właśnie tworzę. Problem z Instalatorem Windows nakreślony wyżej to zupełnie inna diagnostyka niż banalne raporty z FRST.

Jeśli system nie był podłączony do sieci, to nie miał szansy zaktualizować ustawień rejestru. DhcpNameServer jest pobierane dynamicznie z routera. Podłącz sieć, zresetuj system, po tym wykonaj skrypt do FRST (uwzględnia czyszczenie bufora DNS i plików Temp, co może mieć związek z istnieniem przekierowań mimo resetu routera) i pokaż nowy log.

To obiekty systemowe, były od początku instalacji Windows tylko ich nie widziałeś. Skan OTL przełącza opcje widokowe, w ramach pomocy przy usuwaniu infekcji, by widzieć wszystkie składniki. Użytkownicy zwykle pomijają / lub nie są świadomi, że są dwie opcje związane z widocznością: Pokaż ukryte foldery i pliki oraz Ukryj chronione pliki systemu operacyjnego. To wyłączenie tej drugiej opcji powoduje pokazanie się wymienionych składników. System Volume Information: katalog związany z Przywracaniem systemu, Kopią zapasową i innymi. Zreplikowany na każdym dostępnym dysku. $Recycle.Bin: prawdziwy folder Kosza. To co jest na Pulpicie to tylko wirtualny skrót. Ten folder jest powielony na każdym dostępnym dysku. MSOCache: lokalne źródło instalacji pakietu Office, używane do reinstalacji / naprawy pakietu. Pliki BOOTNXT, hiberfil.sys, swapfile.sys: kolejno od procesów startowych Windows, Hibernacji oraz pamięci wirtualnej aplikacji ModernUI. Z wyjątkiem folderów Kosza, obiektów nie wolno naruszyć. I w systemie jest o wiele więcej rzeczy teraz widocznych, tylko jeszcze tego nie znalazłeś. Po prostu w Opcjach folderów zaznacz opcję Ukryj chronione pliki systemu operacyjnego i tyle. W pierwszem zestawie logów nie widać oznak czynnej infekcji. Niestety wręcz przeciwnie jest w drugim zestawie po Przywracania systemu. Ono było niestety niepotrzebne. Robiąc Przywracanie systemu przywróciłeś śmieci: przeglądarka Google Chrome jestzaprawiona adware BuiyNssave, na dodatek adware przekonwertowało typ przegldarki ze "stabilnej" do "development" i jest konieczna reinstalacja Google Chrome od zera. Przy okazji, na dysku jest pełno plików poniższego schematu. To nie są poprawne instalatory tylko śmieci "Asystent pobierania" dobrychprogramów nastawione na instalację adware: KLIK. C:\Users\mateu_000\Downloads\YouTube-Downloader(27896)-dp.exe Do wykonania następujące akcje: 1. Akcje związane z Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Resztę doczyści mój skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140820 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2769995749-3454007108-333519029-1001\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-2769995749-3454007108-333519029-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-2769995749-3454007108-333519029-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 FF Plugin: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelogx64.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll No File FF Plugin HKU\S-1-5-21-2769995749-3454007108-333519029-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File S4 LMIRfsClientNP; No ImagePath S3 TBPanel; No ImagePath S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] Task: {143BB45B-8C04-4FBD-9774-78A7B6300670} - System32\Tasks\{76127E5C-95AD-4DDA-BAD9-CA36E07260BC} => Firefox.exe http://ui.skype.com/ui/0/6.3.73.105.457/pl/abandoninstall?page=tsWLM C:\Program Files (x86)\BuiyNssave C:\Program Files (x86)\Google\Chrome C:\ProgramData\AVG C:\ProgramData\bajnlhgjdokojnhcbpcgdfodnllmgbcd C:\ProgramData\TEMP C:\Users\mateu_000\AppData\Local\Avg C:\Users\mateu_000\AppData\Local\Google\Chrome C:\Users\mateu_000\AppData\Roaming\AVG C:\Users\mateu_000\Downloads\*(*)-dp*.exe Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SaiMfd /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ProfilerU /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v XboxStat /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

W systemie działa infekcja (C:\ProgramData\mswlw.exe), co jest zapewne powodem problemów z funkcjami relatywnymi do zabezpieczeń. Przeprowadź następujące działania: 1. Odinstaluj wątpliwy program Dll-Files.com Fixer wersja 3.0.81.2643. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Policies\Explorer\Run: [3570475709] => C:\ProgramData\mswlw.exe [81249 2014-12-14] ( ()) HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-3930421677-1584321131-3860223234-1002\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-3930421677-1584321131-3860223234-1002\...\Policies\Explorer: [HideSCAHealth] 0 SearchScopes: HKU\S-1-5-21-3930421677-1584321131-3860223234-1002 -> DefaultScope {FF857022-ADA0-4C74-8D7E-3D6C29B87085} URL = SearchScopes: HKU\S-1-5-21-3930421677-1584321131-3860223234-1002 -> {FF857022-ADA0-4C74-8D7E-3D6C29B87085} URL = FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK C:\ProgramData\mswlw.exe C:\Users\Kratos666\patch.exe C:\WINDOWS\SysWOW64\*.tmp Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v 3570475709 /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SOFTWARE\Google\Chrome\Extensions /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /s CMD: type "C:\Users\Kratos666\AppData\Roaming\Mozilla\Firefox\Profiles\869b3nru.default\user.js" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Reset routera pozorowany, nadal jest z niego pobierany szkodliwy adres: Tcpip\Parameters: [DhcpNameServer] 94.249.192.181 8.8.8.8 Wnioski: albo reset routera był nie do końca poprawny, albo po resecie go nie zabezpieczyłeś (zamknięcie panelu zarządzania od strony Internetu). Czyli do wykonania: 1. Zaloguj się do routera: Zmień ustawienia DNS. Możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction SearchScopes: HKU\S-1-5-21-2747643430-3014987258-1734309276-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2747643430-3014987258-1734309276-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKLM\...\Policies\Explorer: [NoControlPanel] 0 ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Na zakończenie usuń pobrany FRST z C:\Users\Bakoma\Downloads\Nowy folder i zastosuj DelFix.

Fix wykonany, natomiast DelFix nie pokazuje żadnych kasacji - czy na pewno folder C:\FRST zniknął?

1. Była w skrypcie drobna literówka (poprawiłam za późno) i jedna rzecz się nie wykonała. Otwórz Notatnik i wklej w nim: C:\Users\samsung\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń pobrany FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Używasz Google Chrome, więc Adobe Flash jest zintegrowany i nie potrzebujesz innych wersji. Jeśli chcesz uzupełnić Adobe Reader, to w powyżsym linku wszystko wyłożone. Ponadto, jest tu golusieński Windows 7 i do wykonania kompleksowa aktualizacja z Windows Update (SP1 + IE11 + reszta): Platform: Microsoft Windows 7 Home Premium (X86) OS Language: Polski (Polska) Internet Explorer Version 8

Wg obrazka jest to natywnie zintegrowany z przeglądarką Flash i on może być zaktualizowany tylko poprzez aktualizację całej przeglądarki, co tu zostało zalecone.

Temat przenoszę do właściwego działu Hardware. Dostarcz dane wymagane do diagnostyki dysku: KLIK. I ktoś inny się zabierze za analizę materiałów. PS. Jeśli się okaże, że nie jest źle z dyskiem, wtedy do uzupełnienia aktualizacje Windows np. IE8 (KLIK) oraz rozwiązanie poniższego błędu usługi Hewlett-Packard: System errors: ============= Error: (12/13/2014 07:50:22 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania. Start > Uruchom > services.msc, dwuklik w wymienioną usługę i Typ uruchomienia ustaw na Wyłączony.

1. Minimalna poprawka. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {BE6CCE12-371D-4E98-94E8-500487DF8FBB} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {BE6CCE12-371D-4E98-94E8-500487DF8FBB} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. Po pokazaniu pliku: 2. Usuwasz ręcznie stosowane skanery z C:\Users\Sławek\NARZEDZIA. Następnie DelFix, czyszczenie folderów Przywracania systemu, uzupełnienie wybranej wersji Adobe Flash i aktualizacja Internet Explorer: KLIK. Uprzednio w systemie była zainstalowana tylko wersja dla Internet Explorer. Instalujesz Adobe Flash dla tej przeglądarki, której używasz. Wszystkie linki pod konkretne przeglądarki podane w wyżej linkowanym przyklejonym.

W Google Chrome jest zainstalowane adware CommonShare. Przeprowadź następujące działania: 1. Na początek jednak odinstaluj stare dziurawe wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader 9.1 - Polish. 2. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Users\samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lollipop.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> DefaultScope {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\Users\samsung\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\samsung\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\samsung\AppData\Roaming\Opera Software C:\Users\samsung\AppData\Roaming\systweak Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj CommonShare Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

vs. Google Chrome ma wbudowany na stałe Adobe Flash, on nie występuje na liście zainstalowanych i nie można go odinstalować. Zaleciłam do deinstalacji wtyczkę dla Firefox - ona owszem też była widoczna w Google Chrome (dlatego były dwie wtyczki). Popatrz ponownie na przyklejony na temat aktualizacji Adobe Flash, bo dziś go zedytowałam i dodałam kilka nowych informacji. Pytaniem jest więc: czy po deinstalacji wtyczki Firefox nadal widziałaś dwie pozycje? Jeśli nie, to został tylko ten wbudowany. Nie wiem skąd ten błąd. Może KIS bruździ? Alternatywnie: odinstaluj Google Chrome (nie zaznaczaj opcji "Usuń także dane przeglądarki", by zachować profil na dysku) > zainstaluj najnowszą wersję. Nie, logów już nie potrzebuję. Skorygowałam, wystarczy przełączyć na Tryb BBcode na chwilę, a się "prostuje treść". W czym post przygotowujesz, w jakimś zewnętrznym programie?