picasso

antii7, na temat używania ComboFix: KLIK. I przedstaw log C:\ComboFix.txt, bo musi być wiadome co on robił, oraz wycinki z dziennika Avast co usuwał. Dodatkowo, dostarczony tu zestaw logów jest niekompletny: KLIK. Proszę dostarcz logi z FRST.

AdwCleaner czepia się niekiedy rzeczy, których nie powinien. Skoro QQ okazał się zbędnikiem, deinstalacja jest poprawną metodą pozbycia się. Po deinstalacji możesz ponownie uruchomić AdwCleaner, zastosować sekwencję Szukaj + Usuń i dostarczyć wynikowy log AdwCleanerS0.txt.

Baza kryptograficznych została naprawiona, zniknął masowy odczyt "[File not signed]". Ale: Już na początku zaniepokoił mnie ten fragment wspominający "Windows Defender", a także mocno podejrzane punkty Przywracania systemu: ==================== Restore Points ========================= 10-12-2014 14:10:52 Revo Uninstaller Pro's restore point - Windows Defender 10-12-2014 14:14:17 Installed Windows Defender 10-12-2014 15:09:22 Installed Windows Defender To komponent zintegrowany z systemem (aplikacja "wrośnięta") i nie można go "odinstalować" tak jak to robi się z tradycyjnymi programami. Już w pierwszym raporcie nie widziałam usługi Windows Defender, teraz po włączeniu pokazywania wszystkich usług jest pewne, że Windows Defender został stratowany, conajmniej na poziomie usługi (całkowity brak usługi WinDefend). Opisz mi co konkretnie robiłeś z "Windows Defender", czy również usuwałeś z dysku foldery C:\Program Files\Windows Defender + C:\Program Files (x86)\Windows Defender oraz inne odnośniki w rejestrze? Czy da się to wszystko przywrócić z kopii zapasowej Revo? Jeśli zmajstrowałeś coś w tym obszarze, będzie ciężko to odtworzyć. Tego komponentu nie da się "przeinstalować", to część systemu. PS. I to doczyszczanie śmieci i szczątków programów wdróż. Instrukcje w spoilerze:

Temat przenoszę do działu Windows, nie jest to problem infekcji. Potem do czyszczenia zadam szczątki adware i inne drobne korekty. Obecnie nie jest to istotne, gdyż: W logu FRST widoczne uszkodzenie baz Usług kryptograficznych - usługi i sterowniki Microsoftu masowo oznaczone jako niepodpisane cyfrowo. Dysfunkcja tego komponentu oznacza liczne problemy (z aktualizacjami, instalacjami). Rozpocznij od próby resetu bazy catroot2: 1. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, gdyż to on m.in. zawiera reset bazy catroot2. 2. Zresetuj system. Zrób nowy log FRST z opcji Scan na następującym warunku: odznacz pola Whitelist dla pozycji Services + Drivers.

Poprzednie akcje pomyślnie wykonane, ale: Wyłączył (efekt "odciętego prądu") czy automatycznie zresetował? W raporcie widoczna nowa usterka - wszystkie usługi i sterowniki Microsoftu są oznaczone jako niepodpisane cyfrowo [File not signed]. Uległa uszkodzeniu baza Usług kryptograficznych (catroot2 lub catroot), przy czym tylko catroot2 można zresetować. 1. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny - opcja uwględnia reset bazy kryptograficznych. 2. Zresetuj system. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Adnotacja "Ten plik pochodzi z innego komputera..." to standard. Pliki (niezależnie od ich szkodliwości) pobrane przy udziale przeglądarek Internet Explorer i Firefox mają doklejanie strumienie ZoneIdentifier, stąd ten komunikat: KLIK. Pobierz dowolny instalator (np. Opera) i zobaczysz, że on także ma identyczny komunikat we Właściwościach. Plik siedzi w Downloads, został pobrany ręcznie skądś, więc wyrzucić go można bez zastanawiania się. Nie wiem co to jest, ale szukając wg tej nazwy na Google pojawiają się jakieś podejrzane linki.

To zróbmy właśnie tak: spróbuj odinstalować KIS z poziomu Trybu normalnego, niezależnie od tego czy się uda wchodzisz w Tryb awaryjny i uruchamiasz specjalny usuwacz Kaspersky Remover.

Udało mi się wyszukać bezpośredni polski instalator IE8. Wklej w przeglądarce ten adres: http://go.microsoft.com/fwlink/?linkid=261544 Powinno się rozpocząć pobieranie pliku IE8-WindowsXP-x86-PLK.exe Dla świętego spokoju sprawdź czy Firefox działa w Trybie awaryjnym Windows, gdy to sterowniki nVidia nie są ładowane, i czy można w opcjach przestawić akcelerację sprzętową.

Wynik kompletnie bez znaczenia, nie ma żadnego wpływu na nic i jeszcze sama detekcja wygląda na fałszywy alarm. To wynik ze śmieci, skan instalatora w Koszu (C:\$Recycle.Bin): Begin scan in 'C:\' C:\$Recycle.Bin\S-1-5-21-4196851609-761679857-3791608890-1001\$RRC8IAL.exe [0] Archive type: 7-Zip SFX (self extracting) --> Talisman/winmm.dll [DETECTION] Is the TR/Patched.LZ Trojan [WARNING] Infected files in archives cannot be repaired Wątpię w infekcję. Brak śladów tego rodzaju. Tu pierwszym podejrzanym jest COMODO Internet Security. Na próbę odinstaluj i sprawdź jak wtedy wygląda sytuacja. Po deinstalacji COMODO do korekty tylko drobnostki. Instrukcja zakłada, że nie będzie już COMODO (on zablokuje FRST). Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-4196851609-761679857-3791608890-1000\...\RunOnce: [Adobe Speed Launcher] => 1418329809 GroupPolicyUsers\S-1-5-21-4196851609-761679857-3791608890-1001\User: Group Policy restriction detected EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - przedstaw go.

Niestety system znów porządnie zaśmiecony. Metody nabycia adware: KLIK. Powtórka z rozrywki: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\ProgramData\IePluginServices\PluginService.exe (Fuyu LIMITED) C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe (Taiwan Shui Mu Chih Ching Technology Limited.) C:\Program Files (x86)\WinZipper\winzipersvc.exe R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [714208 2014-11-21] (Cherished Technololgy LIMITED) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-10] (Fuyu LIMITED) [File not signed] R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [425136 2014-11-26] (Taiwan Shui Mu Chih Ching Technology Limited.) ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1416559280&from=smt&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1416559280&from=smt&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1416559280&from=smt&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1416559280&from=smt&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1416559280&from=smt&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> {5F970FDE-702B-4ef9-920C-5F2848A5AF26} URL = http://www.daemon-search.com/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> {E8FA2325-7F80-4757-83C1-4DA099082835} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=F9A780BD-8EF8-4ACB-B625-28DB11D43D6E&apn_sauid=FCD22013-E420-4A72-ADE2-B432F89CD7DE Toolbar: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\Remek\AppData\Roaming\Mozilla\Firefox\Profiles\rytgjno9.default-1416334012505\extensions\detgdp@gmail.com FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\delta-homes.xml FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK Unlock: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} C:\Users\Remek\Downloads\*(*)-dp*.exe Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-553344540-897006182-1067068338-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart systemu. Powstanie fixlog.txt. 2. Przez Panel sterowania odinstaluj adware KMPlayer Toolbar Updater, WindowsMangerProtect20.0.0.1270, WinZipper oraz zbędnik MyFreeCodec Samsunga. 3. W systemie są dwa konta: ========================= Accounts: ========================== Remek (S-1-5-21-553344540-897006182-1067068338-1000 - Administrator - Enabled) => C:\Users\Remek serwis (S-1-5-21-553344540-897006182-1067068338-1005 - Administrator - Enabled) => C:\Users\serwis Zaloguj się a każde po kolei poprzed pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika) i na każdym zrób nowe logi FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały po dwa logi. Dołącz też plik fixlog.txt. .

Sprawdź te starsze punkty: 25-11-2014 18:43:34 Windows Update 02-12-2014 08:06:11 Windows Update I może się okaże, że Kasperskiego nie trzeba będzie deinstalować. Natomiast ASUS Webstorage wylatuje niezależnie od innych czynników.

Jest tu w systemie kilka punktów Przywracania: ==================== Restore Points ========================= 25-11-2014 18:43:34 Windows Update 02-12-2014 08:06:11 Windows Update 05-12-2014 23:28:25 Windows Update 06-12-2014 18:42:39 Przed zainstalowaniem nowych sterowników - 2014-12-06 19:42:35 06-12-2014 18:50:03 Zainstalowany program DirectX 07-12-2014 02:00:13 Windows Update 07-12-2014 09:17:49 Removed Java 7 Update 67 07-12-2014 17:53:20 Removed Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 07-12-2014 19:23:59 Operacja przywracania 10-12-2014 03:05:28 Windows Update Który wybierasz? Czy błąd występuje przy każdym z nich?

Proszę o raporty z FRST. OTL jest już narzędziem pobocznym.

Na temat używania ComboFix: KLIK. Proszę dostarcz raporty z FRST. Myszka optyczna? Jeśli tak, to jaki rodzaj podkładki jest (jakieś wzorzyste chaotyczne powierzchnie zamiast jednolitego koloru)?

Zadanie nie wykonane, więc ocena efektów pracy komputera niewiarygodna na tę chwilę, bo był w Dzienniku notowany problem z brakiem odpowiedzi "Usługi buforowania czcionek platformy Windows Presentation Foundation". Folder AppData powinien być. To folder ukryty, więc upewnij się że widzisz wszystkie elementy. W Opcjach folderów > Widok > Pokaż ukryte pliki i foldery zaznaczone + Ukryj chronione pliki systemu operacyjnego odfajkowane. Manual Twojej płyty głównej Gigabyte GA-H97M-HD3: KLIK. W BIOS sekcja Peripherals > Intel Processor Graphics przestawić na Disable. Po deaktywacji w BIOS wchodzisz do Windows i deinstalujesz kartę graficzną Intel z poziomu Menedżera urządzeń oraz deinstalujesz via Panel sterowania oprogramowanie "Intel® Processor Graphics". Po wykonaniu wszystkich punktów, z wyjątkiem deinstalacji Avast, zrób nowy skan FRST na warunkach: Whitelist odznaczone dla Services + Drivers oraz zaznaczone pole Addition. Logi są po to, by potwierdzić wykonanie określonych akcji.

Miałeś tylko uruchomić opcję Szukaj, nic nie naprawiać - AdwCleaner nie jest wolny od błędów i wali ostatnio fałszywymi alarmami. Zrobiłeś teraz coś czego nawet nie mogę sprawdzić, bo nie jesteś w stanie nawet raportu podać. Opcja Szukaj jest na froncie i nie można jej nie zauważyć. Jeśli Ty jej nie widzisz, to może użyłeś jaką starą wersję nie pobraną z linka który podałam. Zaprezentuj zrzut ekranu z okna AdwCleaner, którym się posłużyłeś.

Sprawdź jeszcze czy będzie jakiś efekt, gdy utworzysz plik preferencji mający precedens nad prefs.js. Tzn. tam gdzie siedzi prefs.js utwórz w Notatniku plik o nazwie user.js zawierający tę linię. Musisz mieć w Opcjach folderów odznaczoną opcję "Ukrywaj rozszerzenia znanych typów plików", by nie utworzyć przypadkowo pliku o nazwie user.js.txt. Jeśli bez efektów, to niestety już tu nie widzę innego sposobu, bo brak dostępnej aktualizacji sterowników graficznych.

Wątek Intel przecież zupełnie do zignorowania, podałam wyraźnie że masz sterowniki nVidia. Link do tematu miał tylko cel porównawczy oraz podanie instrukcji z akceleracją sprzętową. "Safemode" - mówisz oczywiście o Trybie awaryjny Firefox? Skoro nie jest możliwe uruchomić w taki sposób Firefox, to zrób bezpośrednią edycję na poziomie pliku preferencji deaktywującą akcelerację. Firefox musi być zamknięty podczas tej operacji. Otwórz do edycji w Notatniku plik: C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\dxnqbt44.default\prefs.js W pliku dostaw tę oto linię: user_pref("layers.acceleration.disabled", true); Zapisz zmiany. Uruchom Firefox i....? otrzebujesz polską wersję IE8 (i prawdopodobnie także łaty dodatkowe umożliwiające instalację), co obecnie możesz pozyskać tylko z Windows Update. Microsoft w ramach wycofywania wsparcia dla XP usunął linki instalacji IE8 typu offline.

Komponenty infekcji usunięte pomyślnie. Tak, EmptyTemp: za to odpowiada. Funkcja ta czyści: Pliki Google Chrome związane z historią: C:\Users\Destroy666\AppData\Local\Google\Chrome\User Data\Default\History C:\Users\Destroy666\AppData\Local\Google\Chrome\User Data\Default\Last Tabs C:\Users\Destroy666\AppData\Local\Google\Chrome\User Data\Default\Visited Links Czyli należałoby wyszukać poprzednią wersję katalogu C:\Users\Destroy666\AppData\Local\Google\Chrome\User Data\Default. Nie masz żadnych punktów Przywracania systemu, więc nie można dobrać się do magazynu kopii cieniowych, by selektywnie odzyskać poprzednią wersję plików Google. W tej sytuacji zostaje ewentualnie tylko program do odzyskiwania danych, choć skuteczność może być słaba, bo dysk nie jest zablokowany i są na nim non stop operacje zapisu. Spróbuj Recuva Portable - program zapisz na i uruchom z innego dysku niż C (ten z którego ma nastąpić odzyskiwanie).

Nie objaśniłeś mi nadal tajemniczego wątku "Wirus policja" = o co Ci chodzi z tym?

Fix wykonany. Na wszelki wypadek po deinstalacji McAfee zrób nowy skan FRST (wlącznie z Addition), by było jasne czy deinstalacja nie pozostawiła czegoś po sobie.

Przejdź w Tryb awaryjny Windows i ponów próbę z Przywracaniem systemu. Deinstalacje w Trybie normalnym. Drugi punkt wykonaj w Trybie awaryjnym bez obsługi sieci. Link jest cały czas ten sam (nowa wersja jest podstawiana w to samo miejsce). Po prostu skasuj obecny FRST z dysku i pobierz ponownie. PS. Twój post zedytowałam wycinając z niego cały ogromny cytat.

Tu nie chodzi o to czy ktoś ma problemy z daną aplikacją i czy jest ona zła per se, tylko o wątpliwego producenta o niskim morale. Jest to Twój i tylko Twój wybór, że wybierasz tę markę. Po prostu nie polecam i na swoim systemie nie zainstaluję żadnego programu tej firmy. Skoro ktoś kradł w przeszłości i palił głupa, w instalatorach stosuje perfidne zagrywki z instalacją inwazyjnych adware, nie respektuje dialogu about:newaddon Firefox, to nie jest elementem godnym zaufania, nawet jeśli jego program "działa dobrze". Jeśli chodzi o deinstalatory firm trzecich (IOBit Uninstaller, Revo Uninstaller i podobne): do antywirusów, adware i kilku określonych aplikacji nie stosuję tego, a przynajmniej nie jako pierwszą instancję rozwiązywania problemów. - Dlaczego do adware zalecam w pierwszej kolejności deinstalację via panel sterowania: adware może odkręcić poczynione przez siebie modyfikacje w przeglądarkach, czego może nie zrobić deinstalator firmy trzeciej. - Do instalacji opartych na MSI używam coś innego, czyli narzędzie Microsoftu do czyszczenia rejestracji MSI, bo to określone zadanie jest robione dobrze. Nie mam teraz czasu szukać, ale na forum były tematy obrazujące problemy. Po użyciu deinstalatora firmy trzeciej i tak było co czyścić.

W raportach nie widać oznak czynnej infekcji. Do korekty byłyby detale, ale na razie jest to niezasadne: Proponuję rozpocząć od całkowitej deinstalacji Kaspersky Internet Security - choćby tymczasowo (potem można go będzie na czysto zainstalować ponownie) - by wykluczyć jego negatywny wpływ na system. Póki co, to tu wygląda, iż to on blokuje funkcje systemowe. Problemem jest dysfunkcja usługi Ochrona oprogramowania, uruchamianie tej usługi zwraca "Odmowę dostępu" (nie wiadomo co ją blokuje, ale KIS mocno podejrzany): System errors: ============= Error: (12/10/2014 06:05:40 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Ochrona oprogramowania z powodu następującego błędu: %%5 W systemie jest zainstalowany firmowy ASUS Webstorage (to zbędnik, rodzaj magazynu plików w chmurze). Delikwent nie lubi się z powłoką eksplorer i na forum regularnie pojawiają się tematy tego rodzaju: KLIK. ShellIconOverlayIdentifiers: [AsusWSShellExt_B] -> {6D4133E5-0742-4ADC-8A8C-9303440F7190} => C:\Program Files (x86)\ASUS\ASUS WebStorage\3.0.84.161\ASUSWSShellExt64.dll (eCareme Technologies, Inc.) ShellIconOverlayIdentifiers: [AsusWSShellExt_O] -> {64174815-8D98-4CE6-8646-4C039977D808} => C:\Program Files (x86)\ASUS\ASUS WebStorage\3.0.84.161\ASUSWSShellExt64.dll (eCareme Technologies, Inc.) Czyli na teraz proponuję: 1. Zastosuj ponownie Przywracanie systemu do momentu, gdy Kaspersky nie był zablokowany, nie uruchamiaj w nim żadnego skanowania, ani nie resetuj systemu, tylko w poprawny sposób odinstaluj via Panel sterowania KIS oraz ASUS WebStorage. 2. Przejdź w Tryb awaryjny Windows: - Zastosuj firmowy czyściciel Kaspersky Remover. - Wyczyść Dzienniki zdarzeń: Start > w polu szukania wpisz eventvwr.msc > rozwiń sekcję Dzienniki zdarzeń systemu Windows i z prawokliku na system + Aplikacja opróżnij gałązki. 3. Przejdź w Tryb normalny Windows. Zaktualizuj FRST (jest nowsza wersja) i zrób nowe raporty FRST (wszystkie trzy). Podsumuj co się dzieje po w/w operacjach.

Skoro nie możesz sobie nawet przypomnieć co to był za plik, to wnioskuję, że nie taki ważny? Szkoda inwestować czas w rzecz, która może być nieistotna. Porażka jednego programu do odzyskiwania danych oznaczałaby próbowanie kolejnych.