picasso

Proszę popatrz na mój komentarz, logi już dawno sprawdzone, w przeciwnym wypadku temat nie zostałby przeniesiony z działu diagnostyki infekcji. Brak oznak infekcji i innych uwag. Umieściłam komentarz w tej formie, bo nie ma tu co za bardzo analizować w raportach, one nie pomogą w opisywanym problemie. To są raporty koncentrowane na określonych rzeczach i tylko tyle co z nich wynika to, że była świeża instalacja Windows, bo logi są bardzo krótkie i niezbyt dużo niedomyślnych elementów. Logi te nie mają też specjalizacji w materii sprzętowej, a tu się może klarować problem tego poziomu. Groszexxx zadał też pytanie: ... co jak sądzę m.in. jest pod kątem nie zainstalowanych sterowników: ==================== Faulty Device Manager Devices ============= Name: Description: Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: Ralink_RT3290_Bluetooth_01 Description: Ralink_RT3290_Bluetooth_01 Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: Description: Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. W Menedżerze urządzeń jest więc kilka obiektów z pytanikiem bądź wykrzyknikiem. .

Temat idzie do działu Windows. Brak oznak infekcji, z tym zastrzeżeniem, iż logi pochodzą z konta Wiola, a jest wiele innych kont w systemie i te inne konta nie są sprawdzone co się na nich ładuje. Na koncie Wiola tylko do usunięcia drobne wpisy szczątkowe i niekompatybilne rozszerzenia z Firefox, co nie ma znaczenia w kontekście opisywanego problemu. W spoilerze akcja: 1. Na początek sprawdź transfer dysku. Ustęp Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Silnym podejrzanym jest też COMODO Internet Security. Jedyny pewny test to tymczasowa deinstalacja. .

Wirtualny dysk Q nie liczy się. Owszem, są tu nadal obiekty adware, mimo iż zapuszczono AdwCleaner. Jeśli nadal masz dostęp do komputera: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [CMD] => cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20130909 (exit) else (start http://alt-rutor.org && exit) R2 Update ClearThink; C:\Program Files (x86)\ClearThink\updateClearThink.exe [522480 2014-10-04] () S3 RTCore64; \??\C:\Program Files (x86)\MSI Afterburner\RTCore64.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140608 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140608 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File FF Plugin-x32: @google.com/npPicasa3,version=3.0.0 -> C:\Program Files (x86)\Google\Picasa3\npPicasa3.dll No File Task: {02FBFF72-2E5A-4197-8EDD-14CBB671284B} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {AC4F2659-6DF9-4D9E-A268-2CC686B2655A} - System32\Tasks\{B4FF74B2-C2EE-483C-A61D-A35AFAEDAE9C} => C:\Program Files (x86)\Grand Theft Auto IV\GTAIV.exe Task: {EA7B833D-28BC-44B2-972F-08CF593FE8E8} - System32\Tasks\MSIAfterburner => C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe Task: {F5E047D3-56A1-406D-A9FC-ACC070A607DF} - System32\Tasks\DriverEasy Scheduled Scan => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe Task: C:\Windows\Tasks\DriverEasy Scheduled Scan.job => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" C:\Program Files (x86)\ClearThink C:\Program Files (x86)\GUTEC71.tmp C:\Program Files (x86)\GUMEC70.tmp C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fraps C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee C:\Users\Acer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MSI Afterburner C:\Users\Acer\AppData\Roaming\Thinstall C:\Users\Acer\Documents\Acer programy\McAfee Internet Security Suite.lnk C:\Windows\1C4551A64743409391E41477CD655043.TMP C:\Windows\msdownld.tmp C:\Windows\system32\log C:\Windows\SysWOW64\sqlite3.dll DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FixMyRegistry DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpeedUpMyComputer DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tiny download manager DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UpdateMyDrivers DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes CMD: for /d %f in (C:\Users\Acer\AppData\Local\{*}) do rd /s /q "%f" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót IE jest uszkodzony (prawdopodobnie AdwCleaner niepoprawnie go czyścił): Shortcut: C:\Users\Acer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Acer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware ClearThink Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane roszerzenia zostaną wyłączone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner. .

Wszystko zrobione. Finalizujemy sprawy: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji te dwa programy: ==================== Installed Programs ====================== Java 7 Update 55 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.550 - Oracle) Mozilla Thunderbird 24.6.0 (x86 pl) (HKLM-x32\...\Mozilla Thunderbird 24.6.0 (x86 pl)) (Version: 24.6.0 - Mozilla) .

Prawie wszystko zrobione. Drobna poprawka na kilka wpisów nieprzetworzonych via FRST. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\MemopalBackedUp DeleteKey: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\MemopalError DeleteKey: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\MemopalPartiallyBackedUp DeleteKey: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\MemopalToBackup DeleteKey: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\MemopalBackedUp DeleteKey: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\MemopalError DeleteKey: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\MemopalPartiallyBackedUp DeleteKey: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\MemopalToBackup Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. .

Problemem były naruszone preferencje Coogle Chrome, a konkretnie koszmarny odczyt z sekcji wtyczek. Po resecie przeglądarki blok wrócił do poprawnego stanu. Podejrzam, że teraz również OTL dokończyłby skan. Nadal to widzę na liście zainstalowanych, możliwe że to wpisy poszkodowane: ==================== Installed Programs ====================== Deals Plugin Extension (HKLM-x32\...\Deals Plugin Extension) (Version: 1.26.152.152 - 215 Apps) WiseEnhance (HKLM\...\WiseEnhance) (Version: 2014.04.30.004244 - WiseEnhance) Wymagane poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WiseEnhance DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Deals Plugin Extension C:\Program Files (x86)\Deals Plugin Extension C:\Program Files (x86)\WiseEnhance Task: {4123C459-E31C-42D4-95B0-F7BDA996CA60} - System32\Tasks\Driver Booster SkipUAC (SYSTEM) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny plik fixlog.txt. Przedstaw go. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Dostarcz ten raport. .

Czy na pewno mowa o Windows Update uruchomionym z poziomu Twojego systemu (link w Menu Start) a nie okrężnie inną drogą? Tu był już system XP, na którym użytkownik był w stanie uzupenić IE8 z Windows Update...

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z prawokliku skasuj klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\bi_uninstaller Po tej operacji pozycja szczątkowa "Bundled software uninstaller" zniknie z listy zainstalowanych. 2. A ten cytat to obrazował w jakim stanie jest obecny system, czyli jest to goły 64-bitowy Windows 7, bez SP1 i mający zintegrowany stary Internet Explorer 8. Masz uruchomić Windows Update i uzupełnić wszystkie brakujące łaty. Szukanie aktualizacji należy powtarzać tyle razy, aż otrzymasz zwrot "zero znalezionych". .

Logi z OTL usuwam, źle skonfigurowane, dlatego takie duże (ustawiłeś wszędzie Wszystko, a ma być Użyj filtrowania). Brakuje też obowiązkowych tu raportów: FRST i GMER. Uzupełnij wszystkie dane.

Skoro jest problem z wagą pliku, to wezmę już to co mam. Kolejny log jednak powinien być krótszy i powinien wejść do załączników. W systemie jest dużo obiektów adware, nie tylko tytułowy delikwent. Na początek uwaga, źródłem tego są instalatory programów i "downloadery" portalowe. Czego unikać, skąd nie pobierać: KLIK. Pobierałeś conajmniej z dobrychprogramów.pl, gdyż na dysku jest ten "downloader" aka "Asystent pobierania" (to nie jest zasadniczy instalator): C:\Users\lenovo\Downloads\Acoustica-Basic-Edition(36209)-dp.exe Przechodzimy do usuwania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 Update WiseEnhance; C:\Program Files (x86)\WiseEnhance\updateWiseEnhance.exe [523040 2014-10-06] () R2 Util WiseEnhance; C:\Program Files (x86)\WiseEnhance\bin\utilWiseEnhance.exe [523040 2014-10-06] () R1 {2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64; C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys [61120 2014-04-24] (StdLib) R1 {2c976a7f-dbdc-4756-870f-f6d183fe7a7e}w64; C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}w64.sys [44736 2014-09-16] (StdLib) U3 BcmSqlStartupSvc; No ImagePath U2 CLKMSVC10_3A60B698; No ImagePath U2 CLKMSVC10_C3B3B687; No ImagePath U2 CscService; No ImagePath U2 DriverService; No ImagePath U2 iATAgentService; No ImagePath U2 idealife Update Service; No ImagePath U3 IGRS; No ImagePath U2 IviRegMgr; No ImagePath U2 Oasis2Service; No ImagePath U2 PCCarerService; No ImagePath U2 ReadyComm.DirectRouter; No ImagePath U2 RichVideo; No ImagePath U2 RtLedService; No ImagePath U2 SeaPort; No ImagePath U2 SoftwareService; No ImagePath U3 SQLWriter; No ImagePath Task: {0CC954F6-D5F5-486D-9EC7-90920EC833AC} - System32\Tasks\bench-S-1-5-21-2123458673-1839242927-792592233-1001 => C:\Program Files (x86)\Bench\Updater\updater.exe Task: {53F3283C-E751-4FD9-B9DD-8BFE1E97139D} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {6C520B11-F119-4BB9-A698-9F716D871702} - System32\Tasks\Yahoo! Search Udpater => C:\Users\lenovo\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrsetup.exe Task: {99F28FC2-1FA3-405F-8259-4EAA8252322E} - System32\Tasks\bench-sys => C:\Program Files (x86)\Bench\Updater\updater.exe Task: {A6506E7F-5C4F-405A-896C-7A673759FEA4} - System32\Tasks\Yahoo! Search => C:\Users\lenovo\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe Task: {F7DEE8FA-B148-45D6-B069-4D9E6859742F} - System32\Tasks\DealPly => C:\Users\lenovo\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\bench-S-1-5-21-2123458673-1839242927-792592233-1001.job => C:\Program Files (x86)\Bench\Updater\updater.exe Task: C:\Windows\Tasks\bench-sys.job => C:\Program Files (x86)\Bench\Updater\updater.exe HKU\S-1-5-21-2123458673-1839242927-792592233-1000\...\Run: [Power2GoExpress] => NA HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=153 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=8A449C4E362FAAD5 SearchScopes: HKCU - {5383BF9D-FAA2-4481-AF3E-E6643038496D} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=198484&p={searchTerms} BHO-x32: Deals Plugin Extension -> {11111111-1111-1111-1111-110211181106} -> C:\Program Files (x86)\Deals Plugin Extension\Deals Plugin Extension.dll (215 Apps) BHO-x32: WiseEnhance -> {bc8c4384-d19c-474b-a298-c90b7e5c5204} -> C:\Program Files (x86)\WiseEnhance\WiseEnhanceBHO.dll (WiseEnhance) Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKLM-x32\...\Chrome\Extension: [cikkkfooompgefbcjlgdjejfdknkheaj] - C:\Program Files (x86)\Common Files\Spigot\GC\DomainErrorHelper_1.0_0.crx [2014-04-23] CHR HKLM-x32\...\Chrome\Extension: [gpiifgmgnfdiblgpaepbmfdkcheicgof] - C:\Program Files (x86)\Common Files\Spigot\GC\nta_1.0_0.crx [2014-04-23] CHR HKLM-x32\...\Chrome\Extension: [hbcennhacfaagdopikcegfcobcadeocj] - C:\Program Files (x86)\Common Files\Spigot\GC\saebay_1.1.crx [2013-10-14] CHR HKLM-x32\...\Chrome\Extension: [mhkaekfpcppmmioggniknbnbdbcigpkk] - C:\Users\lenovo\AppData\Local\Slick Savings\coupons.crx [2014-04-30] CHR HKLM-x32\...\Chrome\Extension: [pfndaklgolladniicklehhancnlgocpp] - C:\Program Files (x86)\Common Files\Spigot\GC\saamazon_1.0.crx [2012-11-22] C:\Program Files (x86)\Bench C:\Program Files (x86)\Common Files\Spigot C:\Users\lenovo\AppData\Local\Pay-By-Ads C:\Users\lenovo\AppData\Local\Slick Savings C:\Users\lenovo\Downloads\*(*)-dp.exe C:\Users\lenovo\Downloads\Niepotwierdzony*.crdownload C:\Users\Public\*.Tmp C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}w64.sys DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 CMD: for /d %f in (C:\Users\lenovo\AppData\Local\{*}) do rd /s /q "%f" CMD: sc config "Mobile Partner. RunOuc" start= demand Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: Deals Plugin Extension, WiseEnhance. - Sugeruję też pozbyć się wszystkich produktów IOBit (Advanced SystemCare 7, Driver Booster, IObit Malware Fighter, IObit Uninstaller, Smart Defrag 3, Surfing Protection). Firma nie jest godna zaufania, ma nieciekawą historię (kradzież bazy danych MBAM, związki partnerskie z podejrzanymi reklamami/producentami, instalacje adware w instalatorach). Więcej: KLIK. Jeśli jednak zdecydujesz się zostawić tę markę, to pozbądź się chociaż IObit Malware Fighter + Surfing Protection. Zbędne przy Avast. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj WiseEnhance (o ile nie zniknie po w/w głównej deinstalacji) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Póki co, tu tu nie ma żadnych oznak infekcji. Usuwanie emulacji SPTD ma znaczenie pod kątem raportu GMER, a nie FRST, a ten nie został dostarczony. Uzupełnij. Ponadto, log z FRST jest zrobiony inaczej niż nakazuje to instrukcja, sekcje Drivers MD5 i List BCD nie miały być zaznaczone. Używałeś również ComboFix. Na ten temat: KLIK. Dostarcz plik C:\ComboFix.txt, który jest na dysku. Oraz logi z folderu C:\AdwCleaner.

Proszę wszystkie logi umieść jako załączniki. Ten główny FRST jest rozkodowany przez serwis wklejkowy. Dołącz w postaci załącznika oryginalny plik FRST.txt. To fałszywy alarm, ale logi DDS nie są tu obowiązkowe. FRST się uruchomił, więc nie ma potrzeby dostarczać logów alternatywnych. .

Folder C:\Windows to tylko jeden z problematycznych folderów. Kolejne problemy: C:\Program files (na systemie 32-bit trzyma 32-bitowe aplikacje, ale na systemie 64-bit trzyma 64-bitowe, więc jest konflikt) C:\Program files (x86) (tylko na systemie 64-bit dla programów 32-bit) C:\ProgramData C:\System Volume Information (Przywracanie systemu będzie dedykować tylko bieżący system) C:\Recovery (dostęp do środowiska RE, środowisko musi być zgodne bitowo z zainstalowanym systemem) C:\Users z kontami (powiązany z systemem bieżącym a nie "OLD"). Linki symboliczne (np. C:\Documents and Settings) powiązane z bieżącym systemem a nie "OLD". Szkoda czasu na próby izolacji tego i tworzenia jakiś karkołomnych przekierowań, i tak nie dasz rady uczynić "OLD" w pełni sprawnym. Poprawne wyjścia: - Instalacja dwóch systemów na odrębnych partycjach / dyskach. A jeśli nie jest to możliwe: - Instalacja systemu w wirtualnej maszynie. Programy za darmo: VirtualBox, VMWare Player Free. .

Duplikat tematu usuwam, zestaw dostarczonych logów niekompletny. Podałeś przecież tylko logi dodatkowe: FRST Addition i Shortcut oraz OTL Extras. Brakuje głównych logów FRST.txt i OTL.txt, a także GMER. Proszę uzupełnić wszystkie braki, instrukcje tworzenia raportów w przyklejonym: KLIK.

Użycie ComboFix nie jest tu potrzebne. Jeśli natomiast chodzi o to, że program jest pobierany niepełnie oraz usuwany razem z USBFix, to podejrzenia budzi McAfee - jest to stara wersja. To co wykrył MBAM to w 99% procentach (wyjątek poniżej) nie trojany lecz resztki instalacji adware/PUP, które nie wleciały z powietrza, zatwierdziłeś je przez nieuwagę. Metody instalacji tego typu śmieci: KLIK. Obecnie w raportach brak oznak czynnej infekcji. MBAM usuwał wpis trojana, który pasuje do efektu: Trojan.Agent.MNR, HKU\S-1-5-21-3168158027-1598748805-4083129569-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|System Network Service, C:\Users\User\AppData\Roaming\System32\svchost.exe, Quarantined, [6689808f8eee44f2058d6c1734d0857b] Trojan.Agent.MNR, C:\Users\User\AppData\Roaming\System32\svchost.exe, Delete-on-Reboot, [6689808f8eee44f2058d6c1734d0857b], Trojan.BitcoinMiner, c:\Users\User\AppData\Roaming\System32\minerd.exe, Quarantined, [42ad818e512b0531bd693cdc857c2bd5], Na dysku nadal jest folder tego, ale już nieczynny. Tak więc czy po usuwaniu MBAM na pewno nadal każdy nowy podpinany pendrive jest transformowany? Oczywiście te podpięte wcześniej już są zdefektowane i samoistnie się nie naprawią. Do tego właśnie potrzebny log z USBFix. Na teraz proszę: 1. Odinstaluj stary McAfee VirusScan Enterprise. Po deinstalacji uruchom dodatkowe czyszczenie za pomocą McAfee Consumer Product Removal Tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [] => [X] Winlogon\Notify\DeviceNP-x32: DeviceNP.dll [X] HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF SearchScopes: HKLM - {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = http://pl.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=CMNTDF FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - c:\Program Files (x86)\Hewlett-Packard\HP ProtectTools Security Manager\Bin\FirefoxExt FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon C:\Users\User\AppData\Roaming\System32 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\SaveSense Folder: C:\Users\User\Desktop\SMS-PW-17 CMD: del /q C:\Users\User\Desktop\ComboFix*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Pobierz USBFix ponownie i zrób log z opcji Listing przy podpiętych pendrivach. Dołącz też plik fixlog.txt. .

Logi DDS nie są obowiązkowe, usuwam. Brakuje za to skanu z GMER. Proszę dostarcz dokładny odczyt z Avast co i gdzie zostało wykryte. Obecnie w systemie brak oznak czynnej infekcji. Ta detekcja "ipodservice" to na pewno był trojan udający oprogramowanie Ipod, a nie właściwy iTunes. W msconfig widać, że wyłączyłeś te dwie pozycje, pierwsza to szkodliwa imitacja: MSCONFIG\startupreg: iPod Service Module => C:\Users\Macio\AppData\Roaming\System32\ipodservices.exe MSCONFIG\startupreg: iTunesHelper => "C:\Program Files\iTunes\iTunesHelper.exe" Natomiast jeśli chodzi o dysk przenośny, to foldery raczej nie zmieniły się w pliki exe, tylko zostały ukryte (widać je w logu), a infekcja dorobiła pliki o nazwach jak foldery, by namówić do ich kliknięcia i uruchomienia infekcji. Nie rozumiem co masz na myśli z podłączonym niechcianym "Dyskiem wymiennym", czy to oznacza, że jeden z tych dysków nie jest pożądany (?): ################## | Disk Information | H:\ -> Removable disk # 1 Gb (1 Gb free - 95%) [Kindle] # FAT32 I:\ -> Removable disk # 7 Gb (3 Gb free - 41%) [uSB DISK] # NTFS ################## | H:\ - Removable drive (FAT32) | [29/09/2013 - 15:54:36 | SHD] - H:\.active-content-data [22/07/2014 - 09:25:54 | A | 0 Ko] - H:\DONT_HALT_ON_REPAIR [29/09/2014 - 18:59:08 | SHD] - H:\documents [03/10/2014 - 22:47:58 | SHD] - H:\system [04/10/2014 - 00:51:10 | SHD] - H:\eBooks ################## | I:\ - Removable drive (NTFS) | [27/09/2014 - 12:20:17 | A | 847 Ko] - I:\RCXAEF.tmp [15/09/2014 - 19:13:03 | SHD] - I:\soa.s3 [01/04/2014 - 16:53:06 | A | 111 Ko] - I:\CV Maciej Żyliński.pdf [01/05/2013 - 22:22:05 | RASH | 0 Ko] - I:\autorun.inf [15/11/2012 - 19:57:50 | A | 22376 Ko] - [(1/55)] - I:\vlc-2.0.4-win32.exe [01/10/2014 - 13:49:19 | A | 20 Ko] - I:\Infusion pumps.docx [27/09/2014 - 10:22:20 | A | 46 Ko] - I:\Autokar.doc [01/05/2013 - 22:03:04 | SHD] - I:\RECYCLER [07/07/2014 - 20:34:31 | SHD] - I:\12 Years A Slave 2013 1080p BRRip x264 AC3-JYK [04/08/2014 - 20:43:54 | SHD] - I:\The Grand Budapest Hotel (2014) [12/09/2014 - 17:16:11 | SHD] - I:\soa [23/09/2014 - 09:19:31 | SHD] - I:\System Volume Information To już raczej inny problem spoza infekcji. Czy ta mysz działa sprawnie na innym komputerze? Na teraz więc odkrycie zasadniczych folderów na urządzeniach i drobne dodatkowe czyszczenie: 1. Dyski przenośne mają być widziane pod tymi samymi literami H i I co w logu USBFix. Otwórz Notatnik i wklej w nim: CloseProcesses: DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iPod Service Module DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 FF SearchEngineOrder.1: v9 FF Plugin HKCU: @Skype Limited.com/Facebook Video Calling Plugin -> C:\Users\Macio\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll No File C:\Program Files\mozilla firefox\plugins C:\Users\Macio\AppData\Roaming\System32 I:\autorun.inf I:\RCXAEF.tmp RemoveDirectory: I:\RECYCLER CMD: attrib /d /s -s -h F:\* CMD: attrib /d /s -s -h F:\* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log USBFix z opcji Listing. Dołącz też plik fixlog.txt. .

W systemie brak oznak czynnej infekcji, z dziwnych rzeczy widać tylko te dwie krzaczkowate usługi, ale one i tak są nieczynne (wybrakowane + wyłączone). Te obiekty nie wyglądają zresztą w ogóle na infekcję ZeroAccess, która notabene jest obecnie w hibernacji (po zamknięciu botnetu). I mam pytanie co to za pobrany plik, który ma prefiks jakby był zaszyfrowany przez infekcję: 2014-10-02 12:16 - 2014-10-02 12:16 - 00008361 _____ () C:\Users\Robert\Downloads\oie_9143125ppTrWX3C.png.crypted Natomiast widać tu inne rzeczy do naprawy, czyli wpis SecurityProviders w formie z systemu XP oraz mnóstwo wprowadzonych polityk (nieczynne na zerze). Tak jak w tym poście: KLIK. Był tu ewidentnie używany jaki program do "resetu" ustawień, który narobił błędów i wprowadził niepotrzebne obiekty. Prawdopodobnie w preferencjach Firefox jest szczególne formatowanie. Może to wynik aktywności innych programów zabezpieczających, a jest tego dość sporo. Czyli na teraz proste korekty: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S4 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數Ā" [X] S4 楗敳潂瑯獁楳瑳湡tǮ"; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數Ā" [X] U3 BcmSqlStartupSvc; No ImagePath U2 CLKMSVC10_3A60B698; No ImagePath U2 CLKMSVC10_C3B3B687; No ImagePath U2 DriverService; No ImagePath U2 iATAgentService; No ImagePath U2 idealife Update Service; No ImagePath U3 IGRS; No ImagePath U2 IviRegMgr; No ImagePath U2 nvUpdatusService; No ImagePath U2 Oasis2Service; No ImagePath U2 PCCarerService; No ImagePath U2 ReadyComm.DirectRouter; No ImagePath U2 RichVideo; No ImagePath U2 RtLedService; No ImagePath U2 SeaPort; No ImagePath U2 SoftwareService; No ImagePath U3 SQLWriter; No ImagePath U0 SR; No ImagePath U2 srservice; No ImagePath U2 Stereo Service; No ImagePath SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll HKU\.DEFAULT\Software\Classes\exefile: "%1" %* HKU\S-1-5-19\Software\Classes\exefile: "%1" %* HKU\S-1-5-20\Software\Classes\exefile: "%1" %* HKU\S-1-5-21-248854557-3209024503-3998099355-1000\Software\Classes\exefile: "%1" %* HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoViewOnDrive] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [DisableLocalMachineRun] 0 HKLM\...\Policies\Explorer: [DisableLocalMachineRunOnce] 0 HKLM\...\Policies\Explorer: [DisableCurrentUserRun] 0 HKLM\...\Policies\Explorer: [DisableCurrentUserRunOnce] 0 HKLM\...\Policies\Explorer: [NoViewContextMenu] 0 HKLM\...\Policies\Explorer: [NoShellSearchButton] 0 HKLM\...\Policies\Explorer: [NoFind] 0 HKLM\...\Policies\Explorer: [NoFile] 0 HKLM\...\Policies\Explorer: [HideClock] 0 HKLM\...\Policies\Explorer: [NoTrayContextMenu] 0 HKLM\...\Policies\Explorer: [NoTrayItemsDisplay] 0 HKLM\...\Policies\Explorer: [NoSetFolders] 0 HKLM\...\Policies\Explorer: [NoDevMgrUpdate] 0 HKLM\...\Policies\Explorer: [NoSetTaskbar] 0 HKLM\...\Policies\Explorer: [NoDeletePrinter] 0 HKLM\...\Policies\Explorer: [NoDFSTab] 0 HKLM\...\Policies\Explorer: [NoChangeStartMenu] 0 HKLM\...\Policies\Explorer: [NoLogoff] 0 HKLM\...\Policies\Explorer: [NoWindowsUpdate] 0 HKLM\...\Policies\Explorer: [NoEncryptOnMove] 0 HKLM\...\Policies\Explorer: [NoRunasInstallPrompt] 0 HKLM\...\Policies\Explorer: [NoResolveSearch] 0 HKLM\...\Policies\Explorer: [NoSaveSettings] 0 HKLM\...\Policies\Explorer: [NoHardwareTab] 0 HKLM\...\Policies\Explorer: [NoStartMenuSubFolders] 0 HKLM\...\Policies\Explorer: [NoDesktop] 0 ShellIconOverlayIdentifiers: [MemopalBackedUp] -> {8ED3CC2D-6BC2-43AD-8C43-F51FBB413AE6} => No File ShellIconOverlayIdentifiers: [MemopalError] -> {B9CA6E12-7975-4997-B5BD-CA12ECE0FEAD} => No File ShellIconOverlayIdentifiers: [MemopalPartiallyBackedUp] -> {95DDC869-FC98-4D47-BD34-2EDC9AA09C01} => No File ShellIconOverlayIdentifiers: [MemopalToBackup] -> {2CDD871E-60EB-40BD-9721-A1CB57042F75} => No File ShellIconOverlayIdentifiers-x32: [MemopalBackedUp] -> {8ED3CC2D-6BC2-43AD-8C43-F51FBB413AE6} => No File ShellIconOverlayIdentifiers-x32: [MemopalError] -> {B9CA6E12-7975-4997-B5BD-CA12ECE0FEAD} => No File ShellIconOverlayIdentifiers-x32: [MemopalPartiallyBackedUp] -> {95DDC869-FC98-4D47-BD34-2EDC9AA09C01} => No File ShellIconOverlayIdentifiers-x32: [MemopalToBackup] -> {2CDD871E-60EB-40BD-9721-A1CB57042F75} => No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - No File Handler-x32: WSWSVCUchrome - {1CA93FF0-A218-44F1 - No File SearchScopes: HKLM-x32 - DefaultScope value is missing. FF Plugin: @java.com/DTPlugin,version=11.20.2 -> C:\Program Files\Java\jre1.8.0_20\bin\dtplugin\npDeployJava1.dll No File FF Plugin: @java.com/JavaPlugin,version=11.20.2 -> C:\Program Files\Java\jre1.8.0_20\bin\plugin2\npjp2.dll No File C:\ProgramData\Temp DeleteKey: HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies DeleteKey: HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies DeleteKey: HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Dzięki za folder Google. W pliku Secure Preferences jest taka sama konstrukcja co wcześniej: }, "impaepofmnammebeenafgmllpnjaiime": { "active_permissions": { "api": [ "contextMenus", "cookies", "management", "notifications", "storage", "tabs" ], "explicit_host": [ "http://*/*", "https://*/*" ], "manifest_permissions": [ ], "scriptable_host": [ "http://*/*", "https://*/*" ] }, "commands": { }, "content_settings": [ ], "creation_flags": 38, "ephemeral_app": false, "events": [ ], "from_bookmark": false, "from_webstore": false, "granted_permissions": { "api": [ "contextMenus", "cookies", "management", "notifications", "storage", "tabs" ], "explicit_host": [ "http://*/*", "https://*/*" ], "manifest_permissions": [ ], "scriptable_host": [ "http://*/*", "https://*/*" ] }, "incognito_content_settings": [ ], "incognito_preferences": { }, "initial_keybindings_set": true, "install_time": "13056938925609286", "location": 8, "newAllowFileAccess": true, "path": "C:\\Program Files\\Google\\Chrome\\Application\\Extensions\\chrome\\app", "preferences": { }, "regular_only_preferences": { }, "state": 1, "was_installed_by_default": false, "was_installed_by_oem": false },Czyli znów ta ścieżka kierująca do C:\Program files. W profilu brak oznak istnienia rozszerzenia, poza tymi bazami dodatkowymi SQL: C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_impaepofmnammebeenafgmllpnjaiime_0.localstorage C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_impaepofmnammebeenafgmllpnjaiime_0.localstorage-journal Dodatkowo, ale to już mały szczegół bez wpływu na system, nie ma Firefox w systemie, a FRST nadal notuje odczyt z pliku extensions.ini. Uruchom dodatkowe szukanie, przy włączonym trefnym rozszerzeniu Google. W SystemLook x64 wklej do okna: :folderfind *impaepofmnammebeenafgmllpnjaiime* :filefind *impaepofmnammebeenafgmllpnjaiime* extensions.ini :regfind impaepofmnammebeenafgmllpnjaiime :reg HKCU\Software\Google /s HKLM\SOFTWARE\Google /s HKLM\SOFTWARE\Wow6432Node\Google /s :dir C:\Program Files\Google /s C:\Program Files (x86)\Google /s C:\Program Files C:\Program Files (x86) C:\ProgramData C:\Users\pb\AppData\Local C:\Users\pb\AppData\LocalLow C:\Users\pb\AppData\Roaming :contents C:\Users\pb\AppData\Roaming\appdataFr2.bin Klik w Look i podaj wynikowy raport. .

Będziemy szukać skąd to wraca. Dodaj mi następujące dane: 1. Tak, proszę o nowe logi z FRST z opcji Scan. 2. Dodatkowo, skopiuj na Pulpit cały folder C:\Users\pb\AppData\Local\Google, zapakuj do ZIP, shostuj gdzieś i podaj mi link do tego. .

Nie wszystko się odinstalowało kompletnie, również inne poprawki wymagane. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {29b136c9-938d-4d3d-8df8-d649d9b74d02}w64; C:\Windows\System32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}w64.sys [61120 2014-04-24] (StdLib) U5 AppMgmt; C:\Windows\system32\svchost.exe [27648 2011-03-01] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 SBIOSIO; \??\C:\Users\Malin\AppData\Local\Temp\__Samsung_Update\SBIOSIO64.sys [X] S2 Update BuzzSearch; "C:\Program Files (x86)\BuzzSearch\updateBuzzSearch.exe" [X] S2 Util BuzzSearch; "C:\Program Files (x86)\BuzzSearch\bin\utilBuzzSearch.exe" [X] HKLM-x32\...\Run: [fst_pl_186] => [X] BootExecute: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=121845&babsrc=HP_ss&mntrId=565EC485080D6F4D HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1409495696&from=tt4u&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC403197 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=565EC485080D6F4D BHO-x32: No Name -> {5cf5a690-c8f4-488e-9d20-f21aef602d41} -> No File Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - No File CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Malin\AppData\Roaming\BabSolution\CR\Delta.crx [2013-06-17] FF Plugin-x32: @java.com/DTPlugin,version=10.25.2 -> C:\windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) FF Plugin HKCU: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File CustomCLSID: HKU\S-1-5-21-3183270048-2252803029-1860483952-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Malin\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-3183270048-2252803029-1860483952-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Malin\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File CustomCLSID: HKU\S-1-5-21-3183270048-2252803029-1860483952-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Malin\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {49F9BD90-5711-4379-98FE-55D2D3460632} - System32\Tasks\Norton Internet Security\Norton Error Processor => C:\Program Files (x86)\Norton Internet Security\Engine\19.9.0.9\SymErr.exe Task: {7D6ADD17-3AA2-40C5-BCDE-1F7E3076F979} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton Internet Security\Engine\19.9.0.9\WSCStub.exe Task: {B6675B91-2B3B-456E-954F-A184DFFC1CDB} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Internet Security\Engine\19.9.0.9\SymErr.exe C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\BitGuard C:\Users\Malin\AppData\Roaming\BabSolution C:\Windows\System32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}w64.sys C:\Windows\System32\Tasks\Norton Internet Security Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "c:\windows\system32\nvinitx.dll" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "c:\windows\syswow64\nvinit.dll" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Logi z DDS nie są obowiązkowe, usuwam. Brakuje za to GMER. Przedstaw co wykrył antywirus i gdzie. W raportach są jedynie szczątki adware i to nie może być przyczyną wolnego systemu. Tu prędzej spowolnienie może powodować coś wręcz przeciwnego, czyli kobyła zabezpieczająca McAfee Internet Security Suite. Nawiasem mówiąc, widzę że instalowałeś badziewne programy: - Lavasoft Ad-aware 6: kompletny archaizm z roku 2003 (!), całkowicie bezużyteczny i nieskuteczny w dzisiejszych czasach. - SpyHunter: program wątpliwej repitacji, był na czarnej liście. Z daleka od niego. Na razie doczyść szczątki adware i programów, nie powinno to jednak nic przyśpieszyć: 1. Przez Panel sterowania odinstaluj śmiecia Host App Service. Przy ewentualnym błędzie deinstalacji kontynuuj dalej: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-2253055635-1566063098-3438977135-1001\...\Run: [Pokki] => "%LOCALAPPDATA%\Pokki\Engine\HostAppServiceUpdater.exe" /LOGON GroupPolicy: Group Policy on Chrome detected FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] Task: {513AC4F2-F651-4192-A54F-DBFB018871D2} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {B6222F43-504D-408A-91B7-7C5DF8246766} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe C:\sh4ldr C:\shldr C:\shldr.mbr C:\spyhunter.fix C:\Program Files (x86)\Enigma Software Group C:\Program Files (x86)\Lavasoft C:\Program Files (x86)\GoSavve C:\Program Files (x86)\YouttubbeeAdBlloCkE C:\ProgramData\7678176e9a8d3a03 C:\ProgramData\GoSavve C:\ProgramData\Pokki C:\ProgramData\YouttubbeeAdBlloCkE C:\Users\HomeGroupUser$ C:\Users\Administrator C:\Users\Gość C:\Users\mrukk\AppData\Local\Chromatic Browser C:\Users\mrukk\AppData\Local\Comodo C:\Users\mrukk\AppData\Local\Pokki C:\Users\mrukk\AppData\Local\Torch C:\Users\mrukk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Acer Games.lnk C:\Users\mrukk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\mrukk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pokki Start Menu.lnk C:\Users\mrukk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lavasoft Ad-aware 6 C:\Users\mrukk\Downloads\SpyHunter 4.16.5.4290 [Eng]+patch.rar C:\Users\mrukk\Downloads\Thumbs.db C:\WINDOWS\SysWOW64\GroupPolicy\GPT.INI EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Akcje pomyślnie wykonane. Finalizujemy temat: 1. Jakoś pominęłam deinstalację śmiecia Bundled software uninstaller. 2. Usuń używane narzędzia za pomocą DelFix. 3. Proponuję też zaopatrzyć się w darmową wersję Malwarebytes Anti-Exploit. To ochrona przeglądarek oraz Java przed eksploitami / atakami, czyli m.in. infekcjami "policyjnymi". 4. Cały system do aktualizacji z Windows Update: KLIK. Stan obecny, brak SP1, IE11 i reszty łatek: Platform: Windows 7 Home Premium (X64) OS Language: Polski (Polska) Internet Explorer Version 8 .

Plik pomyślnie podstawiony. Powiedz mi więc jakie obecnie są problemy w systemie. To normalne przy włączonym UAC, u mnie tak samo jest w systemie. Lokalizacja C jest chroniona. Po wyłączeniu UAC menu kontekstowe się rozszerza. Ja w ogóle nie mówię o wbudowanym w system koncie "Administrator" tylko o koncie użytkownika z uprawnieniami administratora. I pytaniem jest właśnie czy na obu komputerach jest identyczne ustawienie UAC. Włączony UAC powoduje, że konto administratorskie pracuje częściowo w środowisku ograniczonym (kontekst grupy Użytkownicy) i nakłada konieczność podnoszenia uprawnień opcją "Uruchom jako Administrator". .

Nie wiem jak Ty to sprawdzałeś, przecież jest tu dokładnie ten problem i dlatego system straszny mozolny + charczenie. Na podstawowym kanale IDE jawnie stoi Bieżący tryb transferu: Tryb PIO. Z prawokliku odinstaluj ten kanał, zresetuj system, Windows przebuduje IDE i jeśli ustawi DMA, system znacznie przyśpieszy. Avast będziesz mógł również przywrócić na miejsce.

Czy sprawdziłeś AVG 2014? Czy nadal jest problem z "z powolnym uruchamianiem systemu, powolnym ładowaniem stron internetowych"? Czy na pewno nowe wyszukiwanie na Windows Update nie pokazuje jakiś aktulizacji do pobrania? Rundy z wyszukiwaniem aktualizacji należy powtórzyć tyle razy, aż będzie zwrot braku dostępnych aktualizacji. .