picasso

Widzę, że w świeżo zainstalowanym Google Chrome już są oznaki adware, tzn. otwieranie przy starcie adresu astromenda.com. Mam pytanie, czy masz włączoną synchronizację ustawień Chrome z serwerem (co odtwarzać mogłoby ustawienia adware): KLIK?

W dwóch a nie 4 folderach. C:\Users\All Users to link symboliczny do C:\ProgramData. W zasadzie możesz usunąć cały folder C:\ProgramData\Comodo Downloader (pobrane instalatory). Natomiast C:\ProgramData\Comodo\Installer nie jest dla mnie jasny, może program używa to miejsce do naprawy instalacji. Na wszelki wypadek zostaw to.

System jest nadal strasznie zanieczyszczony adware, jednakże jeszcze nie podaję instrukcji ze względu na uszkodzenie internetu. Jeśli chodzi o brak dostępu do sieci, to nie wiadomo co zrobiłeś. Jeśli istnieje punkt Przywracania systemu, gdy internet był, to zacznij od Przywrócenia systemu i po tym zrób nowe logi z FRST. Są tu następujące punkty Przywracania: ==================== Restore Points ========================= 15-11-2014 18:01:13 Removed Marvell Miniport Driver 15-11-2014 18:07:31 Removed GTA San Andreas 15-11-2014 18:09:04 Installed GTA San Andreas 15-11-2014 18:34:26 Zainstalowane REALTEK GbE & FE Ethernet PCI-E NIC Driver 15-11-2014 18:35:05 Instalacja pakietu sterownika urządzenia: Realtek Semiconductor Corp. Karty sieciowe 15-11-2014 19:01:47 Zainstalowane REALTEK RTL8187B Wireless LAN Driver 15-11-2014 19:02:09 Instalacja pakietu sterownika urządzenia: Realtek Semiconductor Corp. Karty sieciowe 15-11-2014 19:02:56 Zainstalowane Realtek 8169, 8168, 8101E and 8102E Ethernet Netwoî­4 15-11-2014 19:03:26 Instalacja pakietu sterownika urządzenia: Realtek Karty sieciowe 15-11-2014 19:18:13 Zainstalowane Atheros Driver Installation Program 15-11-2014 19:19:29 Instalacja pakietu sterownika urządzenia: Atheros Communications Inc. Karty sieciowe 15-11-2014 19:25:22 Zainstalowane REALTEK RTL8187B Wireless LAN Driver 15-11-2014 19:25:55 Instalacja pakietu sterownika urządzenia: Realtek Semiconductor Corp. Karty sieciowe 15-11-2014 19:43:29 Zainstalowane REALTEK RTL8187B Wireless LAN Driver 15-11-2014 20:22:43 Zainstalowane Realtek 8169, 8168, 8101E and 8102E Ethernet NetwoLD Wszystkie pochodzą z tego samego dnia. Czy ten najstarszy "Removed Marvell Miniport Driver" pochodzi z czasu, gdy było połączenie z internetem? .

Przeglądarka Google Chrome została przekonwertowana przez adware z wersji stabilnej do development i i tak wymagana kompleksowa reinstalacja. Wdróż następujące działania: 1. Przez Panel sterowania odinstaluj stare aplikacje i zbędniki: Adobe Flash Player 9 ActiveX, Adobe Flash Player 11 ActiveX, Adobe Reader 9.5.0 - Polish, Java 2 Runtime Environment, SE v1.4.1, Java™ 6 Update 22, Qtrax Player, Quake Live Mozilla Plugin, Spybot - Search & Destroy. Jeśli chodzi o deinstalację Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Nie instaluj nowej wersji dopóki nie wykonasz punktu 2 poniżej: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction S2 Update SunriseBrowse; "C:\Program Files (x86)\SunriseBrowse\updateSunriseBrowse.exe" [X] CustomCLSID: HKU\S-1-5-21-1270606213-4017362319-1625700523-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1270606213-4017362319-1625700523-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=156 SearchScopes: HKCU - {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe BHO: FiineDDealSofT -> {96CE041C-471F-3B0E-B58A-10FF14DCCC6C} -> C:\ProgramData\FiineDDealSofT\FUaYvdXTm_.x64.dll No File AlternateDataStreams: C:\Windows\system32\msln.exe:263f0f18e2fbc2d6f34198c26bb57ba9 C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Passware C:\ProgramData\DealsFactor C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Passware C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader C:\Users\samsung\AppData\Local\Google C:\Users\samsung\AppData\Roaming\appdataFr2.bin C:\Users\samsung\AppData\Roaming\DVDVideoSoft C:\Users\samsung\AppData\Roaming\ESET C:\Users\samsung\AppData\Roaming\Mozilla C:\Users\samsung\AppData\Roaming\Thinstall C:\Users\UpdatusUser\AppData\Local\Google Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKU\S-1-5-21-1270606213-4017362319-1625700523-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-1270606213-4017362319-1625700523-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-1270606213-4017362319-1625700523-1001\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /f Reg: reg delete HKU\S-1-5-21-1270606213-4017362319-1625700523-1001\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealPly /f Reg: reg delete "HKU\S-1-5-21-1270606213-4017362319-1625700523-1001\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome" /f Reg: reg delete "HKU\S-1-5-21-1270606213-4017362319-1625700523-1001\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .

Czy jesteś pewien, że nie są to problemy po stronie dostawcy?

Cytuję swoją wypowiedź z innego tematu: A w związku z tym, że niefortunnie cofnięto system i COMODO znów się pojawił, tyle że w formie poszatkowanej, ponownie możesz użyć ten uninstaller. Czyli tutaj w przypadku użycia Przywracania systemu skutkującego niepełnosprawną instalacją COMODO bez deinstalatora zostają niestety operacje ręczne: użycie uninstallera COMODO + ręczne ściągnięcie filtrów z urządzeń sieciowych. .

Zadanie pomyślnie przetworzone. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz logi z folderu C:\AdwCleaner.

Fix wykonany. Na zakończenie usuń ręcznie pobrany GMER, zastosuj Delfix i wyczyść foldery Przywracania systemu: KLIK.

Powtarzaj zadanie, gdyż żadna z komend się nie wykonała. Źle wkleiłeś zawartość posta do Notatnika, wszystkie ukośniki wyzerowane, np. zamiast C:\Program Files (x86)\AVG jest CProgram Files (x86)AVG.

Fix wykonany, możesz przejść dalej.

Temat przenoszę do działu Windows. W ogóle nie poinformowałeś, że temat powielony na innych forach: http://forum.dobreprogramy.pl/po-podłączeniu-pendrive-bluescreen-proszę-o-sprawdzenie-logów-t488860/ http://forum.pclab.pl/topic/1004524-Po-podłączeniu-pendrive-bluescreen-proszę-o-sprawdzenie-logów/ Zasady tutejszego działu wyraźnie adresują takie przypadki. Na przyszłość decyduj gdzie zakładasz temat, bo w tym samym czasie zakładanie tematów na różnych forach mija się z celem (każdy plecie co innego na temat logów, które nawet nie są meritum głównego problemu, skrypty krzyżują się). Przed zamknięciem tematu komentarze: - Na przyszłość proszę nie używaj hostingu wklej.to. Ten szczególny hosting rozkodowuje znaki. Jeśli już jakiś serwis wklejowy to prędzej wklej.org. - Nie zostało wyjaśnione, że podane tam akcje i skrypty mają się nijak do zdarzenia. Zadali "kosmetykę" i tyle. Przy okazji: nie wiadomo co było w folderze C:\Program Files (x86)\Programy - jeśli to był jakiś Twój folder, przetworzenie go spowodowało usunięcie poprawnych danych. - Problem zasadniczy: to nie jest problem infekcji, prędzej problem sprzętowy, ale z podanych tu logów nic w ogóle nie można wywnioskować, bo to nie są logi orientowane pod takie problemy. Jeśli nadal chcesz dochodzić do tego co mogło ew. być przyczyną, zdebuguj pliki DMP wg punktu 5 w ogłoszeniu: https://www.fixitpc.pl/forum-7/announcement-4-zakładanie-tematu-pomocne-raporty-i-informacje/ .

Proszę dostosuj się do zasad działu: KLIK. Czyli podaj obowiązujące tu raporty oraz link do forum gdzie temat poprzednio przetwarzano. Prócz obowiązkowych logów dodaj jeszcze USBFix z opcji Listing. "Przeciętna", bo proponowano format? Przy infekcjach w wykonywalnych, nawet jeżeli zostanie system "wyczyszczony", i tak jest zalecany kompleksowy format, gdyż uszkodzenia po infekcji są trudne do stwierdzenia (leczenie plików może oznaczać trwałe ich uszkodzenie). Tu na dodatek system świeżo po formacie, nie wiem dlaczego podejmowałeś się próby leczenia zamiast po prostu zrobić format ponownie, próby leczenia zajmują czas, a docelowy system i tak może nie uzyskać poprzedniej sprawności. Płyta DVD jest "tylko do odczytu", więc tam nie powinno być infekcji. Jeśli chodzi o skan dysków zewnętrznych, to masz w artykule dokładne dane jaki przełącznik narzędzia za to odpowiada: Czyli w linii komend cmd wpisujesz: "ścieżka dostępu do salitykiller.exe" -r -v -l C:\log.txt Jednakże SalityKiller to jest ograniczone narzędzie. Tu były na forum tematy, że po użyciu SalityKiller dokładny skan dysku antywirusem i tak wykazał zainfekowane pliki. .

Akcje wykonane pomyślnie. Kończymy: Usuń ręcznie pobrany GMER, narzędzia z F:\naprawa oraz folder Stare dane programu Firefox z Pulpitu. Następnie zastusuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

W której przeglądarce są reklamy? Poproszę o nowe raporty z FRST.

Adware "antmarkantcom" jest tylko w Firefox na koncie Ewa. Przeprowadź następujące działania będąc zalogowanym na koncie Ewa: 1. Odinstalowałeś AVG 2015, zapomniałeś odinstalować AVG TuneUp. Toteż odinstaluj ten element oraz Qtrax Player. O ile się da (są syndromy w logu uszkodzenia tych instalacji, prawdopodobnie zrobił to AdwCleaner). 2. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: R1 avgtp; C:\Windows\system32\drivers\avgtpx86.sys [42784 2014-10-28] (AVG Technologies) S2 vToolbarUpdater18.1.10; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\18.1.10\ToolbarUpdater.exe [X] S2 SPDRIVER_1.37.0.1375; \??\C:\Program Files\ShopperPro\JSDriver\1.37.0.1375\jsdrv.sys [X] Task: {2DEADA5F-4BB0-4572-A3D7-A5084F2C6CD5} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{B44AC835-685B-455D-A08A-B5F9C9419E29}.exe Task: {8D4BD2C2-5DD1-463D-8044-0229B63638CF} - \SPBIW_UpdateTask_Time_313139343231302d3437415a556c2a3223346c41 No Task File Task: {B2BFE8A4-BA68-4B35-9A57-62AB2675FB5F} - System32\Tasks\UNELEVATE_7673 => C:\Program Files\ShopperPro\JSDriver\1.37.0.1375\jsdrv.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{B44AC835-685B-455D-A08A-B5F9C9419E29}.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction SearchScopes: HKLM - DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = BHO: No Name -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> No File Handler: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File C:\$AVG C:\Program Files\AVG Web TuneUp C:\Program Files\Google C:\Program Files\mozilla firefox\browser\searchplugins\wtu-secure-search.xml C:\ProgramData\AVAST Software C:\ProgramData\AVG Web TuneUp C:\ProgramData\AVG2015 C:\ProgramData\MFAData C:\ProgramData\TEMP C:\Users\Ewa\AppData\Local\AVG Web TuneUp C:\Users\Ewa\AppData\Local\Avg2015 C:\Users\Ewa\AppData\Local\Google C:\Users\Ewa\AppData\Local\MFAData C:\Users\Ewa\AppData\Roaming\AVG2015 C:\Users\Ewa\AppData\Roaming\TuneUp Software C:\Windows\system32\drivers\avgtpx86.sys Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main" /v Default_Page_URL /f Reg: reg delete "HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v Default_Page_URL /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v Default_Page_URL /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Widzę adware w Firefox, ale zanim przejdę do czyszcze poproszę o kompleksowy wgląd do sprawy. W systemie są dwa konta: ========================= Accounts: ========================== Ewa (S-1-5-21-2846243105-2044209956-1520485455-1000 - Administrator - Enabled) => C:\Users\Ewa konto (S-1-5-21-2846243105-2044209956-1520485455-1003 - Administrator - Enabled) => C:\Users\konto Zostały dostarczone raporty z konta Ewa. Poproszę jeszcze o logi z profilu konto, choć wygląda ono na świeżo utworzone. Zaloguj się na nie poprzez pełny restart komputera (a nie opcję Wyloguj lub Przełącz użytkownika) i zrób raporty FRST - dwa, głóny FRST.txt i Addition.txt, Shortcut nie jest potrzebny po raz drugi. .

Skoro po deaktywacji jest "spokojniej", to czy na pewno dobrze sprawdziłeś opcje konfiguracyjne pod kątem akcji startowanych w trakcie bezczynności? Oczywiście możesz spróbować zamiany AVG na ESET (byle nie crackowany tylko legalny). Trudno mi naprowadzić na konkretnego antywirusa, bo w zasadzie każdy z nich jest bardzo inwazyjny (ładowanie przy udziale grupy sterowników / mechanizmy filtrowania sieci) i może na określonych konfiguracjach produkować problemy. Nigdy nie wiadomo, aż do momentu instalacji, co się wydarzy na konkretnym komputerze. Dlatego też w większości tematów na forum przy zgłaszanych problemach z wolnym uruchamianiem i pracą systemu czy dysfunkcją sieci pierwsza moja sugestia to sprawdzenie jak wygląda sytuacja bez tego konkretnego antywirusa.

Temat przenoszę do działu Sieci. Brak oznak infekcji. W spoilerze tylko doczyszczanie wpisów pustych i Temp oraz usunięcie sterowników Tages (błędy ładowania notowane w Dzienniku zdarzeń), ale to nie ma związku ze sprawą: W Dzienniku zdarzeń notuję następujący błąd: System errors: ============= Error: (11/09/2014 04:51:36 PM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa HomeGroup Listener zakończyła działanie; wystąpił specyficzny dla niej błąd %%-2147023143. Błąd ten może wynikać z dysfunkcji usług Zapory systemu. Dodaj log z Farbar Service Scanner. .

1. Sprawdź transfer dysku, czy przypadkiem nie obniżył się z DMA do PIO: KLIK. 2. Wyłącz zbędne wpisy ze startu. Uruchom Autoruns i w karcie Logon odznacz: HKLM\...\Run: [Windows Defender] => C:\Program Files\Windows Defender\MSASCui.exe [1008184 2008-01-21] (Microsoft Corporation) HKLM\...\Run: [CLMLServer] => C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe [104936 2008-07-19] (CyberLink) HKLM\...\Run: [P2Go_Menu] => C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe [210216 2008-06-14] (CyberLink Corp.) HKLM\...\Run: [AmIcoSinglun] => C:\Program Files\AmIcoSingLun\AmIcoSinglun.exe [237568 2008-09-30] (AlcorMicro Co., Ltd.) HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated) HKLM\...\Run: [HP Software Update] => C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe [96056 2013-05-30] (Hewlett-Packard) HKU\S-1-5-21-221829018-2594616874-4046559263-1000\...\Run: [LightScribe Control Panel] => C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe [2363392 2008-06-09] (Hewlett-Packard Company) HKU\S-1-5-21-221829018-2594616874-4046559263-1000\...\Run: [ehTray.exe] => C:\Windows\ehome\ehTray.exe [125952 2008-01-21] (Microsoft Corporation) HKU\S-1-5-21-221829018-2594616874-4046559263-1000\...\Run: [GG] => C:\Users\Majka\AppData\Local\GG\Application\gghub.exe [4023360 2014-09-05] (GG Network S.A.) W karcie Services odznacz: AdobeARMservice, WinDefend. By widzieć wszystkie pozycje, należy włączyć pokazywanie wpisów Microsoftu. 3. Fix nie wykonał się w całości, nie wiadomo dlaczego. Poprawka. Otwórz Notatnik i wklej w nim: S3 ABndis; system32\DRIVERS\abndis.sys [X] S3 ABndisMP; system32\DRIVERS\abndis.sys [X] BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File C:\aaw7boot.log C:\Program Files\AVG C:\Program Files\mozilla firefox\plugins C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\ProgramData\MFAData C:\ProgramData\Lavasoft C:\Users\Majka\AppData\Local\uninstall.tmp C:\Users\Majka\AppData\Roaming\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I C:\Users\Majka\AppData\Roaming\AVG9 C:\Users\Majka\AppData\Roaming\BabSolution C:\Users\Majka\AppData\Roaming\Babylon C:\Users\Majka\AppData\Roaming\BitComet C:\Users\Majka\AppData\Roaming\CometPlayer C:\Users\Majka\AppData\Roaming\systweak C:\Users\Majka\AppData\Roaming\Thinstall C:\Windows\System32\roboot.exe C:\Windows\system32\rp_rules.dat C:\Windows\system32\rp_stats.dat Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\AVG AntiVirus Free Edition Packages" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. Przedstaw wynikowy fixlog.txt. .

Ostatnie pytanie, czy był uruchamiany antywirus, może coś przenosił do kwarantanny jak w tym temacie: KLIK? I nic więcej nie wymyślę dlaczego brakuje określonych folderów (z tego co mówisz tylko dwóch). Nic tu nie wskazuje, by była jakaś ogólna usterka. Sprawdzenie stanu dysku: KLIK. .

Temat przenoszę do działu Windows. Brak oznak infekcji. W spoilerze tylko drobne korekty, ale to nie ma związku z problemami. 1. Jeśli chodzi o ogólne spowolnienie systemu oraz stron i pobierania plików, to zwraca tu uwagę pakiet ESET Smart Security. Wiarygodny test: tymczasowa deinstalacja. 2. Przy okazji, proponuję pozbyć się niektórych zintegrowanych z ASUSem firmowych programów, jeśli nie korzystasz. To zredukuje ilość uruchamianych procesów. ==================== Installed Programs ====================== ASUS Data Security Manager (HKLM-x32\...\{FA2092C5-7979-412D-A962-6485274AE1EE}) (Version: 1.00.0013 - ASUS) ----> szyfrowanie danych, jeśli nigdy nie korzystałeś ASUS FancyStart (HKLM-x32\...\{F0DF4513-3C4C-4EB8-8012-2C5F70AF3988}) (Version: 1.0.6 - ASUSTeK Computer Inc.) ----> wymiana grafiki ekranu bootowania ASUS LifeFrame3 (HKLM-x32\...\{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}) (Version: 3.0.20 - ASUS) ----> zrzuter ekranu / edytor powiązany z kamerą ASUS Live Update (HKLM-x32\...\{E657B243-9AD4-4ECC-BE81-4CCF8D667FD0}) (Version: 2.5.9 - ASUS) ----> autoaktualizacja sterów/BIOS ASUS MultiFrame (HKLM-x32\...\{9D48531D-2135-49FC-BC29-ACCDA5396A76}) (Version: 1.0.0019 - ASUS) ----> system dzielenia okien ASUS Power4Gear Hybrid (HKLM\...\{91EFE3A1-585E-4F66-B5F6-F118F56C4C47}) (Version: 1.1.26 - ASUS) ----> tweaker zasilania ASUS SmartLogon (HKLM-x32\...\{64452561-169F-4A36-A2FF-B5E118EC65F5}) (Version: 1.0.0007 - ASUS) ----> logowanie do komputera za pomocą rozpoznawania twarzy ASUS Splendid Video Enhancement Technology (HKLM-x32\...\{0969AF05-4FF6-4C00-9406-43599238DE0D}) (Version: 1.02.0028 - ASUS) ----> "poprawianie" jakości obrazu ASUS Virtual Camera (HKLM-x32\...\{EC8BD21F-0CA0-4BBF-97D9-4A52B30041A1}) (Version: 1.0.18 - asus) ----> dostęp więcej niż jednej aplikacji równolegle do kamery ASUS_Screensaver (HKLM-x32\...\ASUS_Screensaver) (Version: - ) 3. Możesz także wyłączyć zbędne wpisy ze startu. W Autoruns: ----> W karcie Logon odznacz te pozycje: HKLM\...\Run: [bCSSync] => C:\Program Files\Microsoft Office\Office14\BCSSync.exe [112512 2010-03-13] (Microsoft Corporation) HKLM\...\Run: [Windows Mobile Device Center] => C:\Windows\WindowsMobile\wmdc.exe [660360 2007-05-31] (Microsoft Corporation) HKLM-x32\...\Run: [HP Software Update] => C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe [49208 2010-03-12] (Hewlett-Packard) HKLM-x32\...\Run: [APSDaemon] => C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-04-21] (Apple Inc.) HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2013-05-01] (Apple Inc.) HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959176 2014-08-21] (Adobe Systems Incorporated) HKLM-x32\...\Run: [PDFPrint] => C:\Program Files (x86)\PDF24\pdf24.exe [191528 2014-07-04] (Geek Software GmbH) HKU\S-1-5-21-1451179296-2106293565-644611054-1000\...\Run: [ALLUpdate] => C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe [869888 2009-06-04] () Startup: C:\Users\ŁukiAsia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk ----> W karcie Services odznacz pozycje AdobeARMservice, KMService (crack Office), SkypeUpdate, WinDefend. Ten ostatni widzialny po włączeniu pokazywania wpisów Microsoftu. ----> W karcie Scheduled Tasks wyłącz zadania Adobe, Apple, Google, HPCustParticipation, Skype. 4. Zresetuj system i podsumuj czy jest jakaś poprawa po w/w działaniach. .

Jak mówię, nic nie widzę, więc tylko doczyść szczątki programów (szczątki instalacji Wondershare oraz niepożądanego programu Systweak) i Tempy. Przy okazji sprawdzę czy w folderze Steam nie ma czegoś "dodatkowego". Z poziomu konta Paweł: Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {87AC9404-D465-4CE2-ACC9-220CECB5CD90} - System32\Tasks\ASP => C:\Program Files (x86)\RCP\systweakasp.exe HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2024800 2014-06-04] (Wondershare) HKU\S-1-5-21-2615021221-2235552605-2224125913-1000\...\Run: [MX Skype Recorder] => "C:\ProgramData\MXSkypeRecorder\MXSkypeRecorder.exe" /autorun HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141019 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141019 C:\Program Files (x86)\Common Files\Wondershare C:\Program Files\Wondershare C:\ProgramData\APN C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF Editor 4.5 C:\Users\Kuba\AppData\Local\Wondershare C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PDF Editor 4.5 C:\Users\Kuba\AppData\Roaming\Wondershare C:\Users\Kuba\AppData\Roaming\Systweak C:\Users\Kuba\Downloads\*(*)-dp*.exe C:\Users\Kuba\Desktop\PDF Editor 4.5.lnk C:\Users\Tata\Desktop\PDF Editor 4.5.lnk C:\Users\Pawel\AppData\Local\Wondershare C:\Users\Public\Documents\Wondershare C:\Windows\C5C1C0F0D62F4DBF81D4D7EF397C228B.TMP C:\Windows\system32\roboot64.exe C:\Windows\system32\WSMonEditor.dll C:\Windows\SysWOW64\tmp*.tmp Folder: C:\Users\Pawel\AppData\Roaming\Steam EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. PS. Widzę na dysku pliki "Asystenta pobierania" dobrychprogramów. Czym to grozi: KLIK. Jeśli już musisz stamtąd pobierać, korzystaj z odnośników Linki bezpośrednie. .

Na przyszłość: nie wolno brać skryptów z innych tematów. One są unikatowe, przystosowane pod konkretny system i logi z niego, często w skryptach są rzeczy spoza tematu infekcji (jakieś poprawki związane z konkretnym systemem) i na skutek nieszczęśliwego zbiegu okoliczności można sobie coś uszkodzić. Na szczęście ten skrypt, który użyłeś, nic nie wykonał złego, bo nawet takich ścieżek nie było w Twoim systemie. Jedyne co ten skrypt zrobił, to wyczyszczenie Tempów oraz przesunięcie folderu C:\AdwCleaner w inne miejsce i nic poza tym. W niczym to oczywiście nie pomogło. Tu były dwie sprawy: reklamy oraz infekcja VBKlip (podałam link do opisu). Infekcja VBKlip owszem robi manipulacje na kontach bankowych, tu opis innego użytkownika jak to wygląda: KLIK. Infekcja została usunięta za pomocą skryptu FRST. Które z tych problemów są nadal aktualne po usuwaniu infekcji? Czy reklamy ustąpiły? Poprawki: 1. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > jeśli będzie widoczny wpis SpyHunter, zaznacz go i przejdź Dalej. Jeśli nie będzie widoczny, to i tak zajmie się nim poniższy skrypt. 2. Otwórz Notatnik i wklej w nim: S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2014-11-12] () Task: {A95A490B-CCB2-4780-BEEA-D14183DC2595} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2014-11-12] (Enigma Software Group USA, LLC.) C:\Program Files\Enigma Software Group C:\Program Files\McAfee Security Scan C:\ProgramData\GpWPrgx C:\ProgramData\install_clap C:\ProgramData\Temp C:\Users\Patrycjusz\AppData\Local\nsn26D5.tmp C:\Users\Patrycjusz\AppData\Roaming\Enigma Software Group C:\Users\Patrycjusz\Start Menu\Programs\SpyHunter C:\Users\Patrycjusz\Desktop\Continue Google Chrome Installation.lnk C:\Users\Patrycjusz\Desktop\SpyHunter.lnk C:\Users\Patrycjusz\Downloads\*.partial C:\Windows\system32\Drivers\EsgScanner.sys C:\sh4ldr Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SpyHunter /f CMD: type C:\autoexec.bat Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. PS. Ad "zalecałeś" = jestem kobietą. .

Na razie zostaw tego SpyHuntera i leć dalej z instrukcjami.

Póki co, to ja tu nie widzę jawnych oznak infekcji (do czyszczenia będą tylko puste wpisy i odpadki programów), ale w systemie są trzy konta: ========================= Accounts: ========================== Kuba (S-1-5-21-2615021221-2235552605-2224125913-1001 - Administrator - Enabled) => C:\Users\Kuba Pawel (S-1-5-21-2615021221-2235552605-2224125913-1000 - Administrator - Enabled) => C:\Users\Pawel Tata (S-1-5-21-2615021221-2235552605-2224125913-1002 - Administrator - Enabled) => C:\Users\Tata Zostały dostarczone logi FRST z konta Pawel. Zaloguj się po kolei na pozostałe konta (poprzez pełny restart komputera a nie opcję Wyloguj czy Przełącz użytkownika) i zrób nowe raporty FRST z każdego (włącznie z plikiem Addition, Shortcut jednak zbędny). .