picasso

Usuń linię CreateRestorePoint: ze skryptu i powtórz zadania.

Prócz Tencent, jest tu problem z profilami przeglądarek (wstawione przez adware fałszywki) oraz infekcja DNS po stronie Windows (pobierany niemiecki adres IP). Do wyrzucenia też odpadki po odinstalowanych programach i różne puste skróty. Działania do przeprowadzenia: 1. Odinstaluj: Apple Software Update, Java 8 Update 45, Maxthon Cloud Browser, Obsługa programów Apple, QuickTime 7, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables. QuickTime nie jest bezpieczny i Apple zupełnie usunęło wsparcie dla Windows: KLIK. Maxthon jest związany z aferą z prywatnością: KLIK. A te dwa ostatnie wpisy to odpadki po deinstalacji AVG. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17919.214\QMGCShellExt64.dll [2016-09-25] (Tencent) Task: {4B4ACDBA-E90D-4CD4-B756-70DBBA7D43E3} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\Andreas\AppData\Roaming\Adobe\Manager.exe Task: {93A0D3AC-8958-416C-B2FA-5D4D8AFDD3F1} - System32\Tasks\Microsoft\Windows\Multimedia\ReportSender => C:\Users\Andreas\ReportSender\ReportSender.exe MSCONFIG\startupreg: Aeria Ignite => "C:\Program Files (x86)\Aeria Games\Ignite\aeriaignite.exe" silent MSCONFIG\startupreg: Akamai NetSession Interface => "C:\Users\Andreas\AppData\Local\Akamai\netsession_win.exe" MSCONFIG\startupreg: APSDaemon => "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" MSCONFIG\startupreg: HDD Regenerator => "C:\Program Files (x86)\HDD Regenerator\Shell.exe" /1 MSCONFIG\startupreg: QuickTime Task => "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime Tcpip\..\Interfaces\{2866DB9B-8AEA-4BE5-B1AA-D81C9A3801EF}: [NameServer] 108.61.178.207,45.32.152.160 Tcpip\..\Interfaces\{C5583357-F018-4248-976E-82712DB93ABA}: [NameServer] 108.61.178.207,45.32.152.160 GroupPolicy: Ograniczenia - Chrome HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3424310977-905981195-1643685065-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3424310977-905981195-1643685065-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-3424310977-905981195-1643685065-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f AlternateDataStreams: C:\ProgramData\Microsoft:B51K78KwGpK5R1vAWBfZ50JQlA [2460] AlternateDataStreams: C:\ProgramData\Microsoft:hrWjInlZ0odOqBZMx [550] AlternateDataStreams: C:\ProgramData\Microsoft:pqNH2aCI5PMsyQx6HqE [2068] AlternateDataStreams: C:\ProgramData\Microsoft:sChghMnNGRhLWYDHhkxyz8ab6qh [2366] C:\KRECYCLE C:\Program Files\CyberGhost 5 C:\Program Files\CyberGhost VPN C:\Program Files\FreeFixer C:\Program Files\Reason C:\Program Files (x86)\4ovgyw7i C:\Program Files (x86)\eclvab0f C:\Program Files (x86)\kingsoft C:\Program Files (x86)\Tencent C:\Program Files (x86)\UnHackMe C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\IObit C:\ProgramData\kdesk C:\ProgramData\Kingsoft C:\ProgramData\ProductData C:\ProgramData\RegRun C:\ProgramData\Tencent C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\金山毒霸 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASIO4ALL v2\ASIO4ALL v2 Off-Line Settings.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVIcodec C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cakewalk\Studio Instruments\SI-*.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Creative C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DigiDesign\Plug-Ins\FocusRite D2\Digidesign Plug-Ins Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FXpansion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iLok License Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 12.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iZotope\DDLY C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iZotope\Neutron C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mokafix Audio C:\ProgramData\Microsoft\Windows\Start Menu\Programs\reFX C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\Release info.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SynthMaker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TC Electronic C:\ProgramData\Microsoft\Windows\Start Menu\Programs\webplugin.exe C:\Users\Andreas\AppData\Local\{F05CE88F-EBBE-427D-97BD-F9D62CB16428} C:\Users\Andreas\AppData\Local\FreeFixer C:\Users\Andreas\AppData\Local\Kingsoft C:\Users\Andreas\AppData\Local\Redetaingrimither C:\Users\Andreas\AppData\Local\UCBrowser C:\Users\Andreas\AppData\LocalLow\IObit C:\Users\Andreas\AppData\Roaming\*.* C:\Users\Andreas\AppData\Roaming\FreeFixer C:\Users\Andreas\AppData\Roaming\IObit C:\Users\Andreas\AppData\Roaming\Kingsoft C:\Users\Andreas\AppData\Roaming\Tencent C:\Users\Andreas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 12 (64bit).lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KORG C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Metric Halo\Manual.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Nomad Factory C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Overloud\TH2\Uninstall.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Positive Grid C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steinberg HALionOne\Uninstall.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Two Notes Audio Engineering C:\Users\Andreas\Desktop\Pulpit\FL save\FL Studio 12 (64bit).lnk C:\Users\Andreas\Desktop\Pulpit\FL save\FL Studio 12.lnk C:\Users\Andreas\Desktop\Pulpit\pul\Pulpit\CPUID CPU-Z.lnk C:\Users\Andreas\Desktop\Pulpit\pul\Pulpit\CyberGhost 5.lnk C:\Users\Andreas\Documents\MAGIX\Audio & Music Lab 2016 Premium\_Demo.LNK C:\Users\Andreas\Documents\RegRun2 C:\Users\Andreas\Favorites\GG dysk.lnk C:\Users\Andreas\Links\GG dysk.lnk C:\Windows\libeay32.dll C:\Windows\libcurl.dll C:\Windows\ssleay32.dll C:\Windows\winstart.bat C:\Windows\zlib1.dll C:\Windows\IObit C:\Windows\system32\ffnd.exe C:\Windows\SysWOW64\CONFIG.NT C:\Windows\SysWOW64\AUTOEXEC.NT CMD: ipconfig /flushdns CMD: netsh advfirewall reset Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Aracity /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Adware podstawiało fałszywe profile w przeglądarkach Google Chrome i Firefox. Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj nową osobę. Uruchom Chrome na tym profilu, następnie poprzedni wyświetlany jako user0 skasuj w opcjach. Firefox: Wyeksportuj zakładki, o ile jest co eksportować. Następnie zamknij Firefox. Klawisz z flagą Windows + R > wklej poniższą komendę i ENTER. W menedżerze profilów usuń wszystkie widoczne i załóż nowy, zaloguj się na niego. "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Tak, bo skrypt FRST się w ogóle nie wykonał... Proszę otwórz plik Fixlog i porównaj z moim postem. Nie wiem jakim sposobem, ale zdewastowałeś całe formatowanie skryptu (wycięte wszystkie slesze w ścieżkach i dwukropki w komendach, więc FRST nie zintepretował zawartości). Powtarzaj zadanie.

+ Pominęłeś wcześniej tę informację. To istotny fragment wskazujący, że zostały wykryte naruszenia systemu plików. Nie jest wykluczony problem z dyskiem twardym. 1. Dostarcz logi utworzone przez checkdisk. Start > Uruchom > eventvwr i w sekcji Aplikacja wyszukaj wszystkie rekordy Winlogon oznaczone numerem 1001. Na każde ze zdarzeń dwuklik, by pobrać Właściwości i przekopiuj detale zdarzenia. 2. Dostarcz też skany dysku pod kątem sprzętowym: KLIK.

Log z wyszukiwania ogromny, bo fraza "Opera" występuje także we wpisach zupełnie niepowiązanych (np. "Operational", "Operatingsystem"). Opera nie wyrejestrowała się ze skojarzeń. Akcje pod tym kątem: 1. Załaduj do FRST skrypt fixlist.txt o postaci: DeleteKey: HKLM\SOFTWARE\Classes\Opera.Extension DeleteKey: HKLM\SOFTWARE\Classes\Opera.HTML DeleteKey: HKLM\SOFTWARE\Classes\Opera.Image DeleteKey: HKLM\SOFTWARE\Classes\Opera.Protocol DeleteKey: HKLM\SOFTWARE\Classes\Opera.Widget DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42042206-2D85-11D3-8CFF-005004838597}\Old Icon\Opera.HTML DeleteKey: HKLM\SOFTWARE\Clients\Mail\Opera DeleteKey: HKLM\SOFTWARE\Clients\News\Opera DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera DeleteKey: HKLM\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications\opera.exe DeleteKey: HKLM\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications\opera_plugin_wrapper.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Opera.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Opera Software DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Classes\Opera.Extension DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Classes\Opera.HTML DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Classes\Opera.Image DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Classes\Opera.Protocol DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Classes\Opera.Widget DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\DOMStorage\opera.com DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\DOMStorage\www.opera.com DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\59a455f0_0 DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\9233d7d6_0 DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.abw\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.air\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.doc\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.docx\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\OpenWithProgids DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\OpenWithProgids DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpg\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mht\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mht\OpenWithProgids DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mht\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mhtml\OpenWithProgids DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mhtml\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rtf\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtm\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Opera Software Reg: reg delete HKLM\SOFTWARE\Classes\.bmp\OpenWithProgids /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.gif\OpenWithProgids /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.htm\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.html\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.jpeg\OpenWithProgids /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.jpg\OpenWithProgids /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.mht /ve /f Reg: reg delete HKLM\SOFTWARE\Classes\.mht\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.mhtml /ve /f Reg: reg delete HKLM\SOFTWARE\Classes\.mhtml\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.oga\OpenWithProgIDs /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.ogg\OpenWithProgIds /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.ogm\OpenWithProgIDs /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.ogv\OpenWithProgIDs /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.png\OpenWithProgids /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.torrent\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.webm\OpenWithProgIDs /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.xbm\OpenWithProgIDs /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.xht\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.xhtm /ve /f Reg: reg delete HKLM\SOFTWARE\Classes\.xhtm\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.xhtml\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.xml\OpenWithProgids /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Clients\Mail /ve /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\RegisteredApplications /v "Opera Internet Browser" /f Reg: reg delete HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartmenuInternet /ve /f Reg: reg delete "HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Opera\Opera.exe" /f Reg: reg delete "HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Users\user\Desktop\Opera_1101_int_Setup.exe" /f 2. Następnie ustaw wybraną inną przeglądarkę jako domyślną.

Notatnik zawsze jest ustawiony na domyślny zapis w ANSI, co nie ma znaczenia dla tego jak logi produkuje FRST. FRST tworzy pliki na dysku w kodowaniu UTF-8 i taki format kodowania powinien być zachowany, niezależnie czy sobie kopiujesz pliki między folderami. Ja pytam czy plik otwierałeś ręcznie, przeklejałeś treść i ponownie zapisywałeś do nowego pliku (wtedy domyślne ANSI Notatnika owszem ma znaczenie). A pytam stąd, że już po raz trzeci widzę tu na forum jeden z logów FRST wytworzony ze złym kodowaniem i jeśli logi nie były manipulowane ręcznie, jest jakiś problem z FRST.

Temat przenoszę do działu Windows, brak oznak infekcji. Pobierałeś lewy skaner Reimage, z daleka od tego dziadostwa, to program wątpliwej reputacji często instalowany metodami "PUP". (Microsoft Corporation) C:\Windows\System32\dllhost.exe Podobny temat: KLIK. Proces dllhost.exe (COM Surrogate) to proces systemowy związany m.in. z renderowaniem miniatur w eksploratorze i jego okresowa obecność w procesach jest normalna. Na jego obecność mogą wpływać zainstalowane programy zewnętrzne manipulujące w skojarzeniach plików czy kodekach. I posiadasz conajmniej dwa programy mające wpływ na tę sferę, czyli Adobe Photoshop CC 2015 i Camtasia Studio 8. Wątek infekcji "COM Surrogate" bierze się stąd, że użytkownicy kompletnie nie rozumieją o co chodzi z tą infekcją i przypisują jej również obecność poprawnych wystąpień procesu. Rzecz z infekcją polegała na tym, że była tworzona w systemie alternatywna szkodliwa klasa miniatur w HKCU kierująca na plik infekcji, przebijającą tę poprawną klasę w HKLM, i skutkująca tworzeniem szkodliwych instancji procesu dllhost (na systemie 64-bit były to 32-bitowe wystąpienia z SysWOW64 a nie 64-bitowe z system32). W Twoich raportach zero oznak tej infekcji, nie ma w Addition (CustomCLSID) takiego wpisu. Windows Phone app for desktop (HKLM-x32\...\{99759E36-8961-43DC-A7E6-4601D6AEF166}) (Version: 1.1.2726.0 - Microsoft Corporation) Jaki widzisz błąd? Spróbuj usunąć dane instalacyjne programu za pomocą Program Install and Uninstall Troubleshooter. PS. W spoilerze do wykonania tylko kosmetyczne działania polegające na usunięciu wpisów pustych (po aktualizacji z Windows 7 do Windows 10 i jakieś inne drobnostki).

Czy ten pierwszy Fixlog z Administratora to był oryginalny plik utworzony przez FRST na dysku i jego zawartość nie była zapisywana ponownie ręcznie przez Ciebie? Plik ma złe kodowanie (ANSI) i uszkodzone polskie fonty... 1. Będąc na Administratorze przez SHIFT+DEL (omija Kosz) skasuj z dysku poniższe foldery: C:\FRST C:\Program Files\MyFree Codec C:\Users\Administrator\AppData\Local\WSHelper ... oraz po kolei z Pulpitów obu kont narzędzia logów i ich logi. 2. Również z poziomu Administratora wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Podobne instrukcje z wyłączaniem Wi-fi tutaj: KLIK. A tu inne instrukcje: KLIK. Ale pytaniem jest czy na Androidzie obecnie występują jakieś przekierowania? AdwCleaner nie jest zbyt mądry i szuka wg określonych wzorów nazw, nie skanuje obiektów tak jak antywirus. Ten folder "KW" oraz plik DOC to fałszywe alarmy, reszta natomiast to elementy odpadkowe po instalacjach adware. Wyklucz te dwa ścieżki z usuwania, a następnie zastosuj sekwencję Skanuj + Oczyść. Upewnij się, że z dysku zniknęły te foldery: C:\Program Files (x86)\Opera C:\ProgramData\Opera C:\Users\user\AppData\Local\Opera C:\Users\user\AppData\Roaming\Opera Dodatkowo uruchom FRST, w polu Szukaj (Search) wpisz słowo Opera i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt, o ile będą jakieś wyniki. Na pewno bez związku z czyszczeniem. Jeśli mamy podejrzewać software, to najbardziej rzuca się w oczy instalacja Kasperskiego. W Dzienniku zdarzeń są też takie niesprecyzowane błędy, trudno mi ustalić powód zawieszeń IE: Dziennik Aplikacja: ================== Error: (10/07/2016 04:51:26 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program IEXPLORE.EXE w wersji 11.0.9600.18450 zatrzymał interakcję z systemem Windows i został zamknięty. Aby zobaczyć, czy jest dostępnych więcej informacji dotyczących tego problemu, sprawdź historię problemu w panelu sterowania Centrum akcji. Identyfikator procesu: 980 Godzina rozpoczęcia: 01d220a96d160abb Godzina zakończenia: 255 Ścieżka aplikacji: C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE Identyfikator raportu: 799c785d-8c9d-11e6-8c1b-18f46af68560 Error: (10/06/2016 11:38:05 AM) (Source: Customer Experience Improvement Program) (EventID: 1008) (User: ) Description: Z powodu wystąpienia problemu dane Programu poprawy jakości obsługi klienta nie zostały wysłane do firmy Microsoft. (Błąd 80004005).

Skasuj zdysku plik C:\delfix.txt. To wszystko. Temat zamykam. Jeśli pojawi się jakaś nowa informacja w kwestii zakodowanych plików, zgłoszę się tu.

Nitmanie, to na koniec wyczyść foldery Przywracania systemu. Instrukcje pod tym samym linkiem co DelFix.

Skrypt FRST pomyślnie wykonany. 1. Skorzystaj z aplikacji DelFix. 2. Na wszelki wypadek zrób jeszcze skan Hitman Pro. Jeśli coś znajdzie, dostarcz log. Nie, to nie ten rodzaj infekcji. W systemie były modyfikacje z grupy adware/PUP, a nie robaki czy wirusy zdolne "przerzucać się" po dyskach.

1. Dane Chrome pomyślnie odzyskane, więc przez SHIFT+DEL (omija Kosz) możesz skasować w całości z dysku ten folder: C:\Users\Zbigniew ...\AppData\Local\Google\Chrome\User Data\Default 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Lista programów zawierająca m.in aplikacje zabezpieczające przed infekcjami szyfrującymi dane: KLIK. I pozostaje czekać co przyniesie przyszłość w kwestii zakodowanych plików.

Czy zgłaszane problemy ustąpiły? Wszystko pomyślnie wykonane. Ale niestety w międzyczasie infekcja zaszyta we WMI (usuwana skryptem FRST) zdążyła zmodyfikować skróty przeglądarek doklejając do nich start strony 9o0gle.com. Poprawki: Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\F1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\F1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\F1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\F1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\F1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://9o0gle.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\F1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\F1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku U0 aswVmm; Brak ImagePath DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyHunter4_is1 RemoveDirectory: C:\26VWT6kuDk4XZLQl RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4 StartBatch: del /q C:\Users\F1\AppData\Roaming\Adobe-GB1-1 del /q C:\Users\F1\Desktop\SpyHunter*.* del /q C:\WINDOWS\system32\chtbrkg.dll del /q C:\WINDOWS\SysWOW64\chtbrkg.dll del /q C:\WINDOWS\SysWOW64\sh4native.exe EndBatch: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Kodowanie UTF-8 nie jest w tym przypadku wymagane. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

Działania do przeprowadzenia: 1. Deinstalacje niepożądanych programów: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj skaner-naciągacz SpyHunter4 wersja 4.21.10.4585. Następnie, niezależnie od tego czy deinstalacja się powiedzie, zastosuj narzędzie SpyHunterCleaner. - Z prawokliku na plik C:\Program Files (x86)\LuDaShi\uninst.exe wybierz Uruchom jako administrator. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: type C:\Users\F1\AppData\Roaming\Mozilla\Firefox\profiles.ini WMI_ActiveScriptEventConsumer_ASEC: R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) R2 WebServe; C:\Program Files (x86)\YouKu\YoukuClient\WebServe.exe [370224 2015-12-08] (TODO: ) S3 WinDivert1.1; C:\ProgramData\KMSAuto\bin\driver\x64WDV\WinDivert.sys [35376 2013-12-03] (Basil Projects) Task: {D47065B1-E37B-4679-9592-21537E3097FA} - System32\Tasks\Qaferty Mapper => C:\Program Files (x86)\Ponetherhzertain\terbopy.exe [2016-10-09] (VideoLAN) Task: {E7B0141A-1F7D-41BD-B40A-AE2A98C36129} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-08-02] (UCWeb Inc) Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe IE trusted site: HKU\S-1-5-21-3954227706-1016283541-2954051212-1001\...\amazon.com -> hxxps://amazon.com ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => Brak pliku ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => Brak pliku FirewallRules: [{98AAFED2-738C-477A-BE24-F27FCDF57C6F}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe FirewallRules: [{C5013C34-DE0D-45C5-BD7A-CDF4CBEF96A1}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{BC9B0D58-0D1C-48F0-96C3-E115378887B2}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{A4326DC8-9674-423D-AC8F-BA321CC9738D}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe FirewallRules: [{4E8ABDC9-CBEE-4F17-8348-6CD78CE8FFEB}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe FirewallRules: [{081F5245-6CFA-4046-86D6-62700DACE1D8}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\DrvUpdate.exe FirewallRules: [{17A6193D-D68E-4855-A14D-EE0DA81535C0}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe FirewallRules: [{710CC3C5-2991-4848-B81A-E837577D52F7}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe FirewallRules: [{30E5A3FA-3158-4156-B8AF-F5215D6D49F4}] => (Allow) C:\Users\F1\AppData\Local\Temp\00019128\inst_buychannel_37.exe FirewallRules: [{3E96E715-97DA-4C0F-B19D-191FACEBCF3C}] => (Allow) C:\Users\F1\AppData\Local\Temp\00019128\inst_buychannel_37.exe FirewallRules: [{2BB9CD84-8163-4E02-B19A-F8B5B82FC114}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe FirewallRules: [{F3E64768-22CF-4C65-BCF1-A166908B5D69}] => (Allow) C:\Users\F1\AppData\Local\Temp\is-6N9BM.tmp\download\MiniThunderPlatform.exe C:\Program Files (x86)\Amazon C:\Program Files (x86)\LuDaShi C:\Program Files (x86)\Ponetherhzertain C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\YouKu C:\ProgramData\KMSAuto C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\TOSTACK C:\Users\F1\AppData\Local\{C8056D7B-0ACB-41ED-B934-B496BA0D38BF} C:\Users\F1\AppData\Local\BITE808.tmp C:\Users\F1\AppData\Local\Anulert C:\Users\F1\AppData\Local\Ixbdsoft C:\Users\F1\AppData\Local\svchost C:\Users\F1\AppData\Local\Tempfolder C:\Users\F1\AppData\Local\UCBrowser C:\Users\F1\AppData\Local\YRSPack C:\Users\F1\AppData\Local\Google\Chrome\User Data\ChromeDefaultData C:\Users\F1\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\F1\AppData\Local\Google\Chrome\User Data\Profile 2 C:\Users\F1\AppData\Roaming\*.* C:\Users\F1\AppData\Roaming\Anaderviole C:\Users\F1\AppData\Roaming\Hemkajdoa C:\Users\F1\AppData\Roaming\Introvert.R C:\Users\F1\AppData\Roaming\youku C:\Users\F1\AppData\Roaming\ytmediacenter C:\Users\F1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\F1\AppData\Roaming\Mozilla\Firefox\naweriweentcofise C:\Users\F1\Downloads\Registry_Activation C:\WINDOWS\10 C:\WINDOWS\system32\Drivers\ucguard.sys C:\WINDOWS\system32\mars Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny * konieczny, by ubić sterownik UCGuard. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 3. Adware podstawiało fałszywe profile w przeglądarkach Google Chrome i Firefox. W Google Chrome już zrobiłeś nowy profil, został problem w Firefox. Wyeksportuj zakładki, o ile jest co eksportować. Następnie zamknij Firefox. Klawisz z flagą Windows + R > wklej poniższą komendę i ENTER. W menedżerze profilów usuń wszystkie widoczne i załóż nowy, zaloguj się na niego. "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Na koniec zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK.

Przywracanie systemu nie jest powiązane z warstwą sprzętową dysku, jeśli do tego zmierzasz. I skonkretyzuj "te same skutki", tzn. masz na myśli, że Przywracanie się nie może wykonać, czy też że po wykonaniu go wada dźwięku nadal występuje? Druga sprawa, odpowiedz konkretnie na pytanie jakie są skutki tej akcji: Czyli czy po deinstalacji wszystkich urządzeń oznaczonych jako wadliwe i po restarcie systemu te same urządzenia wracają na listę jako wadliwe? PS. I proszę nie pisać posta pod postem, gdy nikt jeszcze nie odpisał. Jeśli chcesz uzupełnić wypowiedź, stosuj przycisk Edytuj. Sklejam tu ponownie serię postów nabitych w ciągu.

AdwCleaner nie ma związku z problemem z dźwiękiem, nie ta sfera modyfikacji, a w logu AdwCleaner tylko szczątki adware (nawet nieaktywne). Tak swoją drogą to część tych wyników adresował mój skrypt do FRST ze spoilera, którego nie wykonałeś (brak Fixlog.txt). Co się stało około 5 października, gdy to jakoby jeszcze wszystko działało, jest nie do odgadnięcia z raportów. Czy próbowałeś tych punktów Przywracania z poziomu Trybu awaryjnego: 02-10-2016 21:08:16 Punkt kontrolny systemu 04-10-2016 15:02:34 Punkt kontrolny systemu 05-10-2016 15:38:56 Punkt kontrolny systemu ?

Czy objawy ustąpiły? Deinstalacje usunęły większość komponentów, ostało się tylko jedno puste zadanie po tym delikwencie. Przy okazji do usunięcia inne odpadkowe wpisy. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {1CB5C78C-6DF7-4DF6-ACDE-58EAA42B40F3} - System32\Tasks\{53C0B913-96CC-4ED0-84A7-D12BB057E4F7} => pcalua.exe -a D:\Gry\DiRT\showdown.exe -d D:\Gry\DiRT Task: {669473A7-869C-42DB-95CC-6A50DC7E344A} - System32\Tasks\{1E14F6D5-1CD1-431B-B1A8-11A0A4C06D51} => pcalua.exe -a "D:\Gry\Skyrim - Legendary Edition\SkyrimLauncher.exe" -d "D:\Gry\Skyrim - Legendary Edition" Task: {AC6C45CE-5153-4094-9761-C60DC65A3782} - System32\Tasks\{840FA118-F27D-4D26-AE8A-1CDB468F45CA} => pcalua.exe -a "D:\Gry\Battlefield 3\zbf3Sp.exe" -d "D:\Gry\Battlefield 3" Task: {E08426CA-2860-4387-AA70-BBB898D8EFE8} - System32\Tasks\ACC => C:\Program Files\DriverSetupUtility\FUB\FUB_Send.bat <==== UWAGA HKU\S-1-5-21-777929965-1544455550-2214287231-1004\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Popcorn Time C:\ProgramData\SlimWare Utilities, Inc C:\ProgramData\updater2 C:\ProgramData\Microsoft\Windows\GameExplorer\{E0A32336-AA27-4053-99B2-C3380B7B95AC} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warships C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\Users\Administrator\AppData\Roaming\DAEMON Tools Lite C:\Users\MSI\AppData\Local\SlimWare Utilities Inc C:\Users\MSI\AppData\Local\Microsoft\Windows\GameExplorer\{E0A32336-AA27-4053-99B2-C3380B7B95AC} C:\Users\MSI\Desktop\Dashboard 2 — skrót .lnk C:\Users\MSI\Downloads\SlimDrivers-setup.exe Folder: C:\Users\Public\Documents\Downloaded Installers EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne. 2. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. To wszystko.

Może antywirus blokuje pełne Przywracanie. Spróbuj je wywołać z poziomu Trybu awaryjnego Windows. A jeśli i to nie pomoże, to można spróbować nieco nowszych między 30 września a 5 października: 07-09-2016 20:27:10 Punkt kontrolny systemu 09-09-2016 19:19:47 Punkt kontrolny systemu 11-09-2016 12:45:08 Punkt kontrolny systemu 11-09-2016 16:22:19 Installed Windows Media Format 9 Series Runtime Setup 11-09-2016 16:43:16 Installed Windows Media Format 9 Series Runtime Setup 11-09-2016 17:17:10 Installed Windows Media Format 9 Series Runtime Setup 11-09-2016 17:17:35 Zainstalowane Juiced 13-09-2016 13:47:25 Punkt kontrolny systemu 14-09-2016 15:10:09 Punkt kontrolny systemu 15-09-2016 15:18:33 Punkt kontrolny systemu 16-09-2016 21:47:29 Punkt kontrolny systemu 18-09-2016 10:57:36 Punkt kontrolny systemu 19-09-2016 21:04:08 Punkt kontrolny systemu 21-09-2016 10:34:05 Punkt kontrolny systemu 22-09-2016 14:13:12 Punkt kontrolny systemu 23-09-2016 14:34:19 Punkt kontrolny systemu 24-09-2016 14:55:43 Punkt kontrolny systemu 26-09-2016 10:23:06 Punkt kontrolny systemu 28-09-2016 13:40:26 Punkt kontrolny systemu 30-09-2016 10:30:27 Punkt kontrolny systemu 02-10-2016 21:08:16 Punkt kontrolny systemu 04-10-2016 15:02:34 Punkt kontrolny systemu 05-10-2016 15:38:56 Punkt kontrolny systemu 06-10-2016 17:20:47 Zainstalowane Realtek AC'97 Audio 06-10-2016 22:23:53 Zainstalowane Realtek AC'97 Audio 08-10-2016 09:34:56 Zainstalowane Realtek AC'97 Audio 08-10-2016 09:56:49 Zainstalowane Realtek AC'97 Audio 08-10-2016 10:06:57 Usunięte Realtek AC'97 Audio 08-10-2016 10:11:33 Zainstalowane Realtek AC'97 Audio 08-10-2016 11:08:07 Zainstalowane Realtek AC'97 Audio 08-10-2016 11:10:32 Zainstalowane Realtek AC'97 Audio 08-10-2016 17:22:40 Usunięte Realtek AC'97 Audio 08-10-2016 17:34:08 Zainstalowane Realtek AC'97 Audio 08-10-2016 17:50:31 Zainstalowane Realtek AC'97 Audio 08-10-2016 17:58:44 Zainstalowane Realtek AC'97 Audio To ledwie podstawy... SP3 to okropnie stara aktualizacja z 2008, należy uzupełnić także wszelkie inne krytyczne wydane po SP3, a jest tego ogromna ilość. I instalacja IE8 też ma duże znaczenie, pomimo że nie korzystasz z tej przeglądarki - to silnik używany też przez aplikacje zewnętrzne. I nie ma co ukrywać, XP to archaiczna platforma pozbawiona wsparcia i nawet doładowanie wszystkich możliwych łat nie gwarantuje pełnego bezpieczeństwa.

Fix wykonany. Jeśli chodzi o odtworzenie wszystkich zakładek, to możesz spróbować tej operacji: Zamknij Google Chrome. Przekopiuj plik Bookmarks z folderu: C:\Users\Zbigniew ...\AppData\Local\Google\Chrome\User Data\Default do: C:\Users\Zbigniew ...\AppData\Local\Google\Chrome\User Data\Profile 1 Uruchom Google Chrome i sprawdź czy wszystkie poprzednie zakładki są na miejscu.

Ta operacja wymaga silnej ingerencji w urządzenie (flash romu): How to root your Android phone or tablet. I tutaj brak oznak infekcji, do czyszczenia tylko wpisy odpadkowe (szczątki adware, Nortona i inne). 1. Odinstaluj: Adobe AIR, Adobe Flash Player 23 NPAPI, Opera 12.16. NPAPI to wersja dla nieobecnego Firefoxa oraz starej deinstalowanej Opera. Używanie tej linii Opera nie jest do końca bezpieczne (jeśli założymy że domontujesz aktualizację 12.18), a przeglądarka nie jest już aktualizowana i pewne strony mogą się w niej źle wyświetlać. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.certified-toolbar.com?si=41460&tid=592&bs=true&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.certified-toolbar.com?si=41460&tid=592&bs=true&q= HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.certified-toolbar.com?si=41460&tid=592&bs=true&q= HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=592 HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.certified-toolbar.com?si=41460&tid=592&bs=true&q= HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.certified-toolbar.com?si=41460&tid=592&bs=true&q= SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=592&q={searchTerms} SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=592&q={searchTerms} SearchScopes: HKU\S-1-5-21-3145329596-257967906-3285628945-1000 -> {0DE0E08F-9025-47E0-8F9F-96CE03474563} URL = hxxp://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=%5EBBE%5EOSJ000%5EYY%5EPL&gct=&itbv=12.15.5.30&apn_uid=684723C3-52F6-4B30-97E3-850AADA54A3C&apn_ptnrs=BBE&apn_dtid=%5EOSJ000%5EYY%5EPL&apn_dbr=Opera.exe_0_12.16.1860.0&doi=2014-08-06&trgb=IE&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-3145329596-257967906-3285628945-1000 -> {323D2A06-52E7-4480-870F-EED37249B1FC} URL = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=592&q={searchTerms} SearchScopes: HKU\S-1-5-21-3145329596-257967906-3285628945-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=592&q={searchTerms} BHO-x32: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files (x86)\Norton AntiVirus\Engine\21.7.0.11\IPS\IPSBHO.DLL => Brak pliku Toolbar: HKU\S-1-5-21-3145329596-257967906-3285628945-1000 -> Brak nazwy - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - Brak pliku DPF: HKLM-x32 {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab HKLM-x32\...\Run: [VeriFaceManager] => C:\Program Files (x86)\Lenovo\VeriFace\PManage.exe U3 BcmSqlStartupSvc; Brak ImagePath U3 IGRS; Brak ImagePath U2 IviRegMgr; Brak ImagePath U2 ReadyComm.DirectRouter; Brak ImagePath U2 RichVideo; Brak ImagePath U3 SQLWriter; Brak ImagePath Task: {178C395B-B94D-4502-AD13-07244D127652} - System32\Tasks\{DBB2E5B5-F293-495D-887D-E74F45E4044C} => pcalua.exe -a C:\Users\user\Desktop\dotnetfx35.exe -d C:\Users\user\Desktop Task: {1AE7EB37-D2F1-479C-AF16-0D85C2344431} - System32\Tasks\{8AC1F6C1-BD87-4B1A-AB8E-E616841EE9B8} => pcalua.exe -a "C:\Program Files (x86)\OrangeBS\BEWInternet-PL-IEW\Installation\Core\InstallDevice32.exe" -d "C:\Program Files (x86)\OrangeBS\BEWInternet-PL-IEW\Installation\Core" Task: {3F55013D-9249-4466-85FD-733C48C05234} - System32\Tasks\{3B99082A-7D8E-447E-91CF-9F816B1EEA98} => pcalua.exe -a "C:\Program Files (x86)\OrangeBS\BEWInternet-PL-IEW\Installation\Core\InstallDriver32.exe" -d "C:\Program Files (x86)\OrangeBS\BEWInternet-PL-IEW\Installation\Core" Task: {487E5DC6-DF37-42E1-84C9-3EDD23EB1D88} - System32\Tasks\{147037E9-CE49-445E-9417-B4D97A35D407} => pcalua.exe -a C:\Users\user\Desktop\dotnetfx3_x64.exe -d C:\Users\user\Desktop Task: {5D085C00-D65C-4ACC-AB5A-EEB5E5DB10BE} - System32\Tasks\{E55E0102-E500-42B2-8D48-AE62A3D1C430} => F:\START.EXE Task: {68BD3016-9AEF-43F7-AD91-1A9D2D7DD06C} - System32\Tasks\{225DAC57-DB66-4309-A79D-2450284E8CB8} => F:\START.EXE Task: {95C6E1D9-39A1-4418-86B1-CCAB2A2E7436} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.11.42\SymErr.exe Task: {A02FA2FB-9AE2-4A2A-B320-D4A49F36CE03} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.11.42\SymErr.exe Task: {B8C727DC-DFEC-4784-8159-EEAF537FF462} - System32\Tasks\{69B3C772-91D1-408B-A9D4-EA2E8A94A401} => F:\START.EXE Task: {C23AC03A-4FBD-4CEE-A0DB-789174550095} - System32\Tasks\{9CBAC203-752C-4C38-B338-64DF0DDDC8E3} => F:\START.EXE Task: {F8286C6C-08E6-492F-9B27-A4D63A4FA6DB} - System32\Tasks\{425CC9A1-3175-4445-B51A-6A0B409983C5} => pcalua.exe -a C:\Users\user\Desktop\NDP35SP1-KB958484-x64.exe -d C:\Users\user\Desktop Task: {FE6C12F7-6C92-455D-9329-0D360E6CA2F3} - System32\Tasks\{6F4EDADF-545A-41F7-8844-1F4CF739EB3D} => pcalua.exe -a "C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9GE78CXN\digitaleditions1x7x1.exe" -d C:\Users\user\Desktop DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Internet Explorer\AboutURLs DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchURI DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs DeleteKey: HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main DeleteKey: HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI DeleteKey: HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Orange\Pomoc.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mała Księgowość Rzeczpospolitej\Struktury danych osobowych.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ewidencja Środków Trwałych Rzeczpospolitej\Internetowa strona poświęcona programowi.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ewidencja Środków Trwałych Rzeczpospolitej\Rzeczpospolita OnLine.lnk C:\Users\user\Documents\Czaban.doc.lnk C:\Users\user\Documents\EWIDENCJA ŚRODKÓW TRWAŁYCH.LNK C:\Users\user\Documents\lex134.LNK C:\Users\user\Documents\*Skrót do *.lnk C:\Users\user\Documents\WD Domańska.lnk C:\Users\user\Documents\zagierska\Skrót do lex20.lnk C:\Users\user\Documents\OIRP Białystok\opinia o aplikancie.lnk C:\Users\user\Links\Importowane obrazy i wideo.lnk C:\Windows\System32\Tasks\Norton Identity Safe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzene. 3. Uruchom AdwCleaner i dostarcz log z opcji Szukaj.

Brak oznak infekcji. Tylko drobne działania pod kątem wpisów odpadkowych: 1. Spróbuj usunąć Search App by Ask przy udziale Program Install and Uninstall Troubleshooter. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe [X] DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions C:\ProgramData\AVAST Software C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Podatnik.info\PIT pro 2014\PIT pro 2014.lnk C:\Users\user\AppData\Local\{9B51FEE5-98DF-49CE-AA34-EC3E8F76E774} C:\Users\user\AppData\Local\{9D4E1756-8227-4E35-9B95-EAF3F0153536} C:\Users\user\AppData\Local\{AF299CD6-4E45-4651-8209-158B54C7DD13} C:\Users\user\Desktop\filmy 2016\PC Scan & Repair by Reimage.lnk C:\Users\user\Desktop\Praca magisterska\Mgr\ug mgr\zadanie - zarz. strategiczne Eko Dolina 10.01.2015.lnk C:\Users\user\Downloads\ReimageRepair.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Wszystko zrobione. 1. Na Windows 7 skasuj z dysku plik C:\delfix.txt. To wszystko. 2. Na XP drobne poprawki na puste wpisy. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [Nvtmru] => "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" Startup: C:\Documents and Settings\You For Ever\Menu Start\Programy\Autostart\OpenOffice.org 3.0.lnk [2012-07-21] RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\TEMP RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\OpenOffice.org 3.0 RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\OpenOffice.org 3 RemoveDirectory: C:\Program Files\Opera Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. W starcie są cztery wpisy nVidia spełniające warunki ścieżki kierującej na ten folder: HKLM\...\Run: [Nvtmru] => "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM\...\Run: [nwiz] => C:\Program Files\NVIDIA Corporation\nview\nwiz.exe [2593056 2014-07-02] () HKLM\...\Run: [NvBackend] => C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe [2403104 2014-07-25] (NVIDIA Corporation) R2 NvNetworkService; C:\Program Files\NVIDIA Corporation\NetService\NvNetworkService.exe [1720608 2014-07-25] (NVIDIA Corporation) Przy czym pierwszy wpis pusty i załączyłam go do usunięcia w powyższym skrypcie. Jeśli po jego usunięciu nadal będzie problem, sprawdź via msconfig czy pomoże wyłączenie pozostałych wpisów, ale wyłączaj po jednym na raz + restart systemu, by sprawdzić rezultaty. Wpisy nwiz i NvBackend są w karcie Uruchamianie, natomiast NvNetworkService w karcie Usługi.

Nawiasem mówiąc, punkty Przywracania systemu miały być usunięte z poziomu konfiguracji Windows a nie za pomocą DelFix. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.