picasso

Te "dodatkowe skany" to właśnie to co przepuszczasz opcją Fix w FRST. I rzeczywiście są odpadki w Harmonogramie - może są niecałkowite, stąd FRST ich nie pokazał. Przed usuwaniem pobiorę dodatkowe dane w dwóch etapach. Pierwszy etap - otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AdobeAAMUpdater-1.0 Fallback-Kuba-Jakub" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OpenCandyHelperRunAsStandardUser1767F952F09F40CC960B82F4E2A664A1" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OpenCandyHelperRunOnceF581672855574E97B6BAF2E5A2F9E8D1" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera D1" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera D2" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera D3" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera D4" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera D5" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera D6" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera D7" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera N" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WOT N" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WOT T" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WOT W1" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WOT W2" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WOT WMON1" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WOT WTHUR1" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WOT WTUE1" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WOT WW1" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WOT WW2" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WOT WWED1" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{994C53C9-931B-4C78-AE49-3C455E0FC0BC}" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{BBD97430-1226-45F2-9E5A-C360CA072323}" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

1. Usuń ręcznie pobrane skanery. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu. 2. Zainstaluj PerfectDisk Free Defrag. Wykonaj za jego pomocą dwa rodzaje defragmentacji: standardową całego dysku oraz tzw. "Boot Time" (przed uruchomieniem Windows, scalanie plików nieprzesuwalnych spod działającego systemu). Wypowiedz się czy punkt numer 2 coś zmienił w starcie systemu.

Zakładam, że urządzenie wyczyściłeś już. Fix wykonany. W zakresie czyszczenia systemu już skończyliśmy. 1. Odinstaluj USBFix, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Dodatkowo można również zaktualizować niektóre programy (są nowsze wersje): ==================== Installed Programs ====================== Adobe Flash Player 15 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 15.0.0.239 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Adobe Reader XI (11.0.08) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.08 - Adobe Systems Incorporated) Mozilla Firefox 33.1 (x86 pl) (HKLM-x32\...\Mozilla Firefox 33.1 (x86 pl)) (Version: 33.1 - Mozilla) Surfing Protection (HKLM-x32\...\IObit Surfing Protection_is1) (Version: 1.2 - IObit) ----> odpadek do deinstalacji

Jeszcze poprawka. Otwórz Notatnik i wklej w nim: FF Plugin HKU\.DEFAULT: @tools.google.com/Google Update;version=3 -> C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File FF Plugin HKU\.DEFAULT: @tools.google.com/Google Update;version=9 -> C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File RemoveDirectory: C:\Program Files\GUM14.tmp DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. To jest objaw typowy dla uszkodzenia silnika przeglądarki (zwykle pliki). Jest tu stara wersja IE7 zainstalowana. Uruchom Windows Update, zrób wyszukiwanie aktualizacji, by pozyskać IE8. Microsoft usunął już linki typu "offline" pobierania indywidualnego. Rozumiem, że nadal mamy to: Podobny raport: KLIK. Ten objaw jest relatywny do sterowników graficznych. U Ciebie rezyduje następująca wersja: NVIDIA Sterownik graficzny 340.52 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 340.52 - NVIDIA Corporation) Sprawdź czy jest możliwa aktualizacja sterowników, a jeśli nie: w Firefox wyłącz akcelerację sprzętową wg przepisu z linka, który podałam. Folder C:\AdwCleaner\Quarantine potraktuj przez SHIFT+DEL (omija Kosz). Dostarcz tylko logi z usuwania (AdwCleanerSX.txt), które są najbliższe datą tematowi. No właśnie RAW - więc linkuj wprost do RAW, jeśli już musisz używać pastebin. Wszelkie wklejania na serwisy wklejkowe mogą spowodować, że raport utraci pewne cechy / nastąpi konwersja formatowania (specjalne znaki np. Unicode) i preferuję tutaj załączniki forum (doczepiony oryginalny niemodyfikowany plik, jeden klik i już mam w Notatniku do analizy). Wklejki to metoda awaryjna, gdy nie można wykorzystać załączników forum. Raportów natomiast nie wklejać wprost w poście - następuje konwersja określonych elementów, np. są parsowane URL (w tym klikalne adresy adware/malware).

1. Błąd Google Chrome "Twój komputer nie spełnia minimalnych wymagań sprzętowych aplikacji Google Chrome" jest zgodny z prawdą. FRST Addition pokazuje archaiczny procesor: Processor: AMD Athlon™ XP 1900+ Od wersji Google Chrome 35 (w chwili obecnej najnowsza wersja to 39) wzrosły wymagania sprzętowe: KLIK / KLIK. Konieczny procesor z obsługą SSE2. Zostaje więc póki co Firefox, który wprawdzie ma to samo w wymaganiach, ale nie są one aż tak ścisłe (dopuszczone uruchomienie na procesorze bez tej obsługi). 2. Błąd Process Explorer - nie wiem o co chodzi. Czy program w ogóle wcześniej działał na tym komputerze? Ponadto, ślady w logu wskazują, że to nie jest normalny Windows tylko przerabiany za pomocą nLite - co konkretnie kombinowano / wycinano? 3. Błąd "502 Bad Gateway" - to z wklej.org? Dziś raz też widziałam ten błąd tam. Ale obecnie wszystkie Twoje linki otwieram bez problemu. Czy Ty nie możesz ich nadal otworzyć? PS. Przy okazji odinstaluj ten odpadek: ==================== Installed Programs ====================== LiveUpdate (Symantec Corporation) (HKLM\...\PsuedoLiveUpdate) (Version: 3.4.0.162 - Symantec)

AdwCleaner czepia się (niesłusznie) Skype Click to Call. Odinstaluj go w poprawny sposób, dopiero po tym w AdwCleaner uruchom sekwencję Szukaj + Usuń i dostarcz wynikowy log AdwCleanerSX.txt. Jeśli potrzebny, Skype Click to Call można ponownie zainstalować z tej strony: KLIK.

Możesz usunąć plik C:\DelFix.txt z dysku. Póki co, nie mam tu na razie nic więcej do roboty.

Z IE błędny trop. Nie jest możliwa deinstalacja tego komponentu, system udostępnia tylko "ukrycie dostępu" (schowanie skrótów), ale silnik IE i tak jest na chodzie i korzystają z niego system i zewnętrzne aplikacje. Są owszem metody nieoficjalne brutalnego wycinania komponentu, ale to może mieć skutki uboczne, bo są aplikacje potrzebujące silnika IE. IE6 musi być zaktualizowany do IE8, pomimo że korzystasz z innej przeglądarki. Nienajnowszy Firefox to osobna sprawa - to są luki bezpieczeństwa. W Harmonogramie zadań Windows widzę szkodliwe zadania infekcji, prócz tego jeszcze jakieś odpadki i przekierowania typu adware na go.mail.ru. I tu będzie konieczne zamykanie luk. Prócz wspominanych aspektów samej platformy XP, są dodatkowe problemy w postaci archaicznych programów mających spory udział w złapaniu infekcji m.in. Java - raj dla infekcji (m.in. z powodu exploitów Java na forum była jakiś czas temu plaga tzw. "infekcji policyjnych" blokujących wejście do systemu). Do wdrożenia następujące operacje: 1. Przez Dodaj/Usuń programy odinstaluj starocie: ACE Mega CoDecS Pack, Adobe Flash Player 10 ActiveX, Adobe Flash Player 11 Plugin, ffdshow [rev 1738] [2008-01-01], J2SE Runtime Environment 5.0 Update 8, Java 2 Runtime Environment, SE v1.4.0_03, Java 7 Update 17, Java™ 6 Update 5, Spybot - Search & Destroy i Spybot - Search & Destroy 1.5.2.20. Tak, te kodeki też, to archaizmy które mogą tworzyć poważne problemy w powłoce eksploratora. 2. Wyczyść Firefox z ruskich przekierowań: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus + DownloadHelper trzeba będzie przeinstalować. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: U3 hdvyjxyxqmkh; No ImagePath U3 laabhyqiggnl; No ImagePath U3 stbyyqrcqsvf; No ImagePath U3 wdddcnhfodbs; No ImagePath S3 PC Camera ; system32\DRIVERS\pa3106hk.sys [X] S3 USBET; system32\DRIVERS\ETdrv.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] HKU\S-1-5-21-1606980848-1284227242-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab DPF: {41564D57-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab C:\Documents and Settings\darek\Dane aplikacji\Thinstall C:\WINDOWS\Tasks\At*.job C:\WINDOWS\system32\18y4ImjX.exe Hosts: CMD: netsh firewall reset CMD: regsvr32 /u /s "C:\Downloads\Nowy folder\BitComet_1.12\tools\bitcometbho.dll" Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wykonaj kompleksową aktualizację Windows - wszystkie łaty z Windows update (bazowy SP3 jest bardzo stary i po nim wydane mnóstwo innych łat). Nie zapomnij o IE8. 5. Zrób nowy log FRST z opcji Scan - zaznacz pole Addition, by powstały dwa logi ponownie. Dołącz też plik fixlog.txt. .

Fix wykonany, ale to była tylko poboczna sprawa nie mająca wpływu na wydajność systemu. Interesuje mnie wynik operacji w Autoruns - czy wykonałeś polecenia i czy są widoczne efekty.

Temat przenoszę do działu XP. Brak oznak infekcji. U mnie wklej.org działa, przekleiłam więc wszystko. Inne awaryjne serwisy wklejkowe: pastebin.pl, wklej.to. EDIT: kurde, wymazałeś mi wszystko co skorygowałam, zastąpiona zawartość posta poprzednią. Ponownie zedytowałam przywracając linki przeze mnie wstawione. Opisz dokładnie co się dzieje w punktach 1 i 2, jakie widzisz błędy. Z logów jedynie można się domyślić co ewentualnie się dzieje w punkcie 2, bo jest enigmatyczny błąd w Dzienniku zdarzeń: Application errors: ================== Error: (12/10/2014 06:41:08 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd procexp.exe, wersja 16.4.0.0, moduł powodujący błąd procexp.exe, wersja 16.4.0.0, adres błędu 0x000015e8. Przetwarzanie zdarzenia określonego nośnika dla [procexp.exe!ws!]

Obrazek sugeruje, że tu raczej nie pomoże kontekst innego konta. Wg obrazka uprawnienia są całkowicie wymazane - brak jakichkolwiek kont i grup mających dostęp - tu nie tylko więc chodzi o to, że jedno konto użytkownika utraciło dostęp. Skoro ACL jest puste, konto Administrator też nie będzie mieć dostępu. Oba tematy zostają sklejone. W poprzednim temacie był problem z uprawnieniami C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories. Tu z kolei wychodzi kolejna ścieżka C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP. Proszę o spis uprawnień folderów "od samej góry do zgłoszonego punktu" i listę co jest w "Programs": Pobierz najnowszy FRST (poprzednio używany stary): KLIK. Otwórz Notatnik i wklej w nim: ListPermissions: C:\ ListPermissions: C:\ProgramData ListPermissions: C:\ProgramData\Microsoft ListPermissions: C:\ProgramData\Microsoft\Windows ListPermissions: C:\ProgramData\Microsoft\Windows\Start Menu ListPermissions: C:\ProgramData\Microsoft\Windows\Start Menu\Programs ListPermissions: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP Folder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż raport fixlog.txt.

W systemie jest aktywny sterownik adware (wStLibG64.sys), pozostawiony po niekompletnym usuwaniu adware. Owszem, może być on przyczyną kłopotów z otwieraniem stron. Przeprowadź następujące działania: 1. Na początek odinstaluj stare wersje: Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin. Najnowsze zostaną zainstalowane na końcu. 2. Następnie w przeglądarkach: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie WOT trzeba będzie przeinstalować. - Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowe rozszerzenie Avast SafePrice. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61120 2014-04-07] (StdLib) S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] HKU\S-1-5-21-1985485987-1500941226-3903985527-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Iwonka\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-1985485987-1500941226-3903985527-1000\...\Run: [HW_OPENEYE_OUC_blueconnect] => C:\Program Files (x86)\blueconnect\UpdateDog\ouc.exe [110592 2009-06-23] (Huawei Technologies Co., Ltd.) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKU\S-1-5-21-1985485987-1500941226-3903985527-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKLM-x32 -> DefaultScope value is missing. Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File C:\Program Files (x86)\Smart PC Cleaner C:\Users\Iwonka\AppData\Roaming\OpenCandy C:\Users\Iwonka\Downloads\ViberSetup*.exe C:\Windows\System32\drivers\wStLibG64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąpiły.

Czy problemy zgłoszone w pierwszym poście ustąpiły? Wszystko wykonane pomyślnie. Teraz uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Ostatecznie możesz spróbować czy plik odzyska Recuva Portable. Program pobierz na i uruchom z innego dysku niż C (czyli ten z którego odzyskiwanie ma nastąpić), np. pendrive.

1. Skoro Norton już nie działa, to go po prostu odinstaluj całkowicie. Na początek zrób normalną deinstalację poprzez Panel sterowania, a po tym zastosuj jeszcze dla pewności narzędzie Norton Removal Tool. 2. Fix wykonany. Te zadania Harmonogramu nadal niejasne gdzie AdwCleaner je widzi, skoro FRST wręcz przeciwnie. Podaj mi jeszcze dodatkowe skany. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree" Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree" CMD: dir /a C:\Windows\Tasks CMD: dir /a C:\Windows\System32\Tasks CMD: dir /a C:\Windows\SysWOW64\Tasks Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.Przedstaw wynikowy fixlog.txt.

Proszę obejrzyj zasady działu jakie logi są tu wymagane: KLIK. OTL (logi niepełne zresztą, brak Extras) - przestarzałe narzędzie sprawdzane tylko pobocznie. Obecnie obowiązkowe są raporty FRST - dostarcz. Temat przesuwam do działu Windows. Od razu powiem, że objawy nie wyglądają na infekcję, tylko na uszkodzenie pliku związanego z usługą. "Nie można odczytać opisu", który jest pobierany z pliku: %ProgramFiles%\Windows Defender\MsMpRes.dll,-1176. Dodaj skan na weryfikację plików: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.

Czy istnieje folder C:\Windows\winsxs\amd64_microsoft-windows-o..iadisc-style-sports_31bf3856ad364e35_6.1.7600.16385_none_c1c84490c211896e na dysku? Czy miejsce jest czytelne, tzn. nie ma czegoś podobnego do: KLIK? Zamiennie możesz sprawdzić co powie komenda: CMD: copy /y C:\Pliki\SportsMainBackground.wmv C:\Windows\winsxs\amd64_microsoft-windows-o..iadisc-style-sports_31bf3856ad364e35_6.1.7600.16385_none_c1c84490c211896e\SportsMainBackground.wmv

Niezbyt dużo tu jest do czyszczenia - trochę adware (raczej stare obiekty) oraz wpisy puste. 1. Rozpocznij od deinstalacji starych wersji oraz obiektów sponsoringowych i adware: Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader XI - Polish, AVG SafeGuard toolbar, Foxtab, Image Composite Editor Packages, Skype Packages, Update for Video Converter, Video Converter Packages, WPM17.8.0.3297 2. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\Paulinka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Paulinka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1383316283&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WX90A992232122321 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383316283&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WX90A992232122321&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383316283&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WX90A992232122321&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383316283&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WX90A992232122321&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383316283&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WX90A992232122321&q={searchTerms} SearchScopes: HKU\.DEFAULT -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-3453456924-2562164534-3920574783-1000 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119370&babsrc=SP_ss&mntrId=5452fb47000000000000000000000000 SearchScopes: HKU\S-1-5-21-3453456924-2562164534-3920574783-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119370&babsrc=SP_ss&mntrId=5452fb47000000000000000000000000 SearchScopes: HKU\S-1-5-21-3453456924-2562164534-3920574783-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={B9C74FB1-DD8A-4892-8118-D2EE4A246833}&mid=ab371f49cd7147d398a4d16f642adaf7-e161a93104eaf741d93155fade9eef6dced24665&lang=en&ds=co011&coid=&cmpid=&pr=sa&d=2013-06-22 21:33:18&v=18.1.9.799&pid=safeguard&sg=0&sap=dsp&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKU\S-1-5-21-3453456924-2562164534-3920574783-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank Toolbar: HKU\S-1-5-21-3453456924-2562164534-3920574783-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files (x86)\T-Mobile\InternetManager_Z\Bin\addon FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG SafeGuard toolbar\FireFoxExt\18.1.9.799 HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3453456924-2562164534-3920574783-1000\...\Run: [AdobeBridge] => [X] Task: {08375E42-536C-4832-A95F-CF6F509D3FE1} - System32\Tasks\FoxTab => C:\Users\Paulinka\AppData\Roaming\FoxTab\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {4376E3BC-071B-4267-BCA7-6D1E3F0FEA97} - System32\Tasks\{DF4CA663-8A7D-42D4-8420-D5404A0CE79B} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.6.0.106&LastError=12002 Task: {D31288D5-3695-4795-92B9-06FE3B03A72F} - System32\Tasks\DSite => C:\Users\Paulinka\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe [2013-02-20] () Task: C:\Windows\Tasks\FoxTab.job => C:\Users\Paulinka\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE C:\Program Files (x86)\Mozilla Firefoxsafeguard-secure-search.xml C:\Program Files (x86)\mozilla Firefox\browser\searchplugins\safeguard-secure-search.xml C:\ProgramData\WPM C:\Users\Paulinka\AppData\Roaming\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I C:\Users\Paulinka\AppData\Roaming\0F1F1C2Y1H1P1C0I0T C:\Users\Paulinka\AppData\Roaming\Babylon C:\Users\Paulinka\AppData\Roaming\DSite C:\Users\Paulinka\AppData\Roaming\FoxTab C:\Users\Paulinka\AppData\Roaming\Video Converter Packages Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Komenda wygląda poprawnie - jaki błąd widzisz podczas jej wykonywania?

To jest usuwacz awaryjny, gdy nie jest możliwa poprawna deinstalacja (lub do poprawek po deinstalacji). Zawsze się powinno zaczynać od standardowej deinstalacji. Jeśli tu dojdzie w ogóle do deinstalacji Avast, najpierw niech rozpocznie od deinstalacji via Panel sterowania, po tym może poprawić usuwaczem.

AdwCleaner widzi pasek Nortona jako "szkodliwy", należy to pominąć - AdwCleaner nie będę używać do usuwania tego co znalazł, bo pewne rzeczy chcę zrobić inaczej. Ale hmmm: AdwCleaner pokazuje zadania w Harmonogramie, których nie było widać w FRST Addition... Poproszę o nowy log FRST Addition. Ponadto: 1. Otwórz Notatnik i wklej w nim: C:\Users\Jakub\AppData\Roaming\Mozilla\Firefox\Profiles\crw3o7qs.default C:\Users\Jakub\AppData\Roaming\Opera Software\Opera Stable\Preferences RemoveDirectory: C:\Users\Jakub\Desktop\Stare dane programu Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{323C6E6D-1621-470F-8A52-4FDEC4E75E40} /f Reg: reg delete HKCU\Software\Mozilla\Extends /f Reg: reg delete HKCU\Software\Softonic /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{C87834EB-A2A0-B9D4-AA9A-C263D1191051} /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\RegClean Pro_is1" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\RegClean-Pro_is1 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\S-576482620 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\32DA746012E6D4F488AAD113D6FA4A44 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AF767AE36C8829547ACD71A4249A42B9 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\526AB318AF0B8D84B9579557C9882C91 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Po akcji uruchom Operę, powinna przebudować plik Preferences.

DelFix skasował plik nie pochodzący od narzędzi: C:\Users\marek\Downloads\Info !!!.txt. Czy to było coś ważnego? Nie powinien, to inny typ ochrony niż klasyczny "antywirus", w wersji darmowej ograniczony tylko do określonych przeglądarek i ich dodatków. Aczkolwiek nigdy nic nie wiadomo z żadnym softem. Po prostu sprawdź jak to działa u Ciebie.

Miałeś przedstawić fixlog.txt. Jeśli chodzi o deinstalacje emulatorów, to czy mam rozumieć, że Alcohol wrócił na miejsce? Nie ma żadnych śladów jego deinstalacji (pełna instalacja w logu), DAEMONa owszem tak (do skasowania z dysku zakreślone fragmenty). Problem jest dla mnie niejasny, ale skoro ustąpił, to nic więcej nie jestem w stanie stwierdzić.

I żadnych problemów już nie notujesz? Fix wykonany. Idziemy dalej. Uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Wykonaj jednak kosmetyczne działania pod kątem wpisów szczątkowych i zbędników: Pytaniem jest co konkretnie wtedy odinstalowałeś (DAEMON Tools Pro?), gdyż w bieżącym raporcie widzę prujący emulator i czynny sterownik SPTD (tego sterownika nie usuwają deinstalacje Alcohol i DAEMON): ==================== Registry (Whitelisted) ================== HKU\S-1-5-21-2976393736-4141034180-2004366809-1001\...\Run: [AlcoholAutomount] => C:\Program Files (x86)\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [75624 2012-01-05] (Alcohol Soft Development Team) ==================== Services (Whitelisted) ================= S2 AxAutoMntSrv; C:\Program Files (x86)\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [75624 2012-01-05] (Alcohol Soft Development Team) R2 StarWindServiceAE; C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [370688 2009-12-23] (StarWind Software) [File not signed] ==================== Drivers (Whitelisted) ==================== R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-12-06] (Duplex Secure Ltd.) vs. szczątki: 2014-11-25 23:59 - 2014-11-29 19:02 - 00000000 ____D () C:\Users\Public\Documents\DAEMON Tools Images 2014-11-25 23:48 - 2014-11-25 23:49 - 17165432 _____ (Disc Soft Ltd) C:\Users\Qonster\Downloads\DTPro600-0445.exe 2014-11-25 23:26 - 2014-11-25 23:57 - 00000000 ____D () C:\Users\Qonster\AppData\Roaming\DAEMON Tools Pro 2014-11-25 23:24 - 2014-11-25 23:26 - 00000000 ____D () C:\ProgramData\DAEMON Tools Pro 2014-11-25 23:20 - 2014-11-25 23:20 - 20013776 _____ (DT Soft Ltd) C:\Users\Qonster\Downloads\DAEMONToolsPro520-0348.exe Na dysku powstał folder C:\FRST. Sprawdź czy jest w nim niepusty podfolder Hives.