picasso

Wejście jest klasyfikowane jako "wątpliwe / niepewne" w bazie SystemLookup: KLIK. O HijackThis zapomnij. Masz system 64-bit, a narzędzie jest 32-bitowe i niezgodne z tym systemem. Nie ma dostępu do natywnie 64-bitowej części (nie widzi połowy systemu), pokazuje głupoty i fałszywe odczyty "file missing". Po prostu wyrejestruję bibliotekę, wyłączę też updater IObit. Wyłącz COMODO na czas poniższych operacji: 1. Otwórz Notatnik i wklej w nim: U3 TrueSight; C:\Windows\SysWOW64\drivers\TrueSight.sys [33512 2014-09-23] () CMD: del /q C:\Windows\SysWOW64\drivers\TrueSight.sys CMD: regsvr32 /u /s "C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll" CMD: sc config LiveUpdateSvc start= disabled DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw fixlog.txt. 2. Zastosuj DelFix (on usunie fixlog, więc musisz go pokazać przed wykonaniem tego kroku). 3. Wyczyść foldery Przywracania systemu: KLIK. To tyle. .

zeluu91, czy Ty przypadkiem nie zainstalowaeś Avast ponownie?! On miał być instalowany na szarym końcu po ukończeniu całego czyszczenia. W ostatnim logu go nie było, więc zadałam do usuwania odpadkowy folder. Ale wynik Fixlog pokazujący zablokowany folder sugeruje, że Avast został zainstalowany i chroni ten folder. .

Chodzi o usunięcie wszystkiego co pobrałeś + logów, które są w ręcznie stworzonych podfolderach w Pobieraniu, gdyż DelFix nie stosuje skanu rekursywnego, kasuje tylko z głównego folderu Pobrane czy Pulpit. Fixlist i fixlog: nie wiem po co chcesz trzymać te pliki, one są jednorazowe i nie można ich już ponownie wykorzystać (zmiany konfiguracyjne). .

Na zakończenie: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj starą wtyczkę Adobe Flash Player 14 Plugin (wersja dla Firefox/Opera). Obecne w systemie Google Chrome używa własny wbudowany Flash. .

Nic tu nie ma. Prócz przeglądarek, czy inne programy związane z połączeniem (np. Skype) też się nie łączą? Może jeszcze spróbuj: Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Skonfiguruj nowe połączenie lub nową sieć.

1. Jest problem ze skasowaniem trzech wpisów z konta Domuś, z poziomu tego konta wpisy zwracają błąd podobny do braku uprawnień, a z kolei na adminie są one niewidoczne. Sprawdź czy dasz radę zrobić coś takiego na Domusiu: Start > w polu szukania wklep regedit > wyszukaj klucz: HKEY_CURRENT_USER\Software\Policies\Google Czy jest możliwe usunięcie tego klucza "Google" z prawokliku? Jeśli nie, prawoklik na klucz > Uprawnienia > pokaż listę kont. 2. Następnie, z każdego konta po kolei zrób logi AdwCleaner z opcji Szukaj i je dostarcz. Folder możesz przez SHIFT+DEL (omija Kosz) skasować. .

Fix wykonany. Może ten laptop ma jakieś firmowe blokady, czy on na pewno ma się łączyć z siecią, czy w Twoich rękach kiedykolwiek to robił? Na wszelki wypadek sprawdzę czy są jakieś polityki proxy ustawione. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings" /s Reg: reg query "HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. .

Te opcje są relatywne tylko do funkcji Scan. Fix w ogóle nie ma związku z nimi i ich układ nie ma znaczenia. vs. Skrypt FRST nie ma związku z tym, to wynik resetu Firefox. Co robi reset: KLIK. Wszystkie niedomyślne rozszerzenia zostały usunięte i należy je przeinstalować. Stosuję reset Firefox przy zaledwie kilku niedomyślnych rozszerzeniach, gdyż reset jest najlepszą metodą odtworzenia czystych preferencji, logi są jednak zbyt ograniczone i pokazują tylko niektóre modyfikacje z prefs.js. Co to konkretnie za strona? Podaj adres. A prowadzone działania nie mogły wpłynąć na "stworzenie" tego typu komunikatu. O ile to prawdziwy komunikat, jest on zależny od wyszukiwarki Google, która na podstawie określonego raportu blokuje witrynę (np. wykryty szkodliwy kod wklejkowy etc.) Jeśli chodzi o poprzednie zadania, to pomyślnie wykonane. Kolejna porcja czynności: 1. Usuń ręcznie z folderu Pobrane wszystkie użyte skanery, a następnie popraw przy udziale DelFix. 2. Zrób pełny skan za pomocą Malwarebytes Anti-Malware (przy instalacji odznacz trial). Jeśli coś wykryje, dostarcz raport. .

Tylko pierwszy log z serii miał być dostarczony, ten drugi usuwam (to replika tego co podałeś za pierwszym razem). Zawartość pierwszego podejścia potwierdzona, wykonało się wszystko z wyjątkiem ostatniej komendy, gdyż źle wkleiłeś źle skrypt do Notatnika (obciąłeś końcowe kropki EmptyTemp:). W drugim się znalazły, więc brakujące zadanie się dokończyło. Ogólnie to wszystko wygląda na wykonane i kończ sprawy: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. .

Brak oznak czynnej infekcji, a start.qone8.com to błaha infekcja i nie może powodować takich objawów. Do usunięcia jedynie puste odpadki, co również nie powinno mieć związku z opisywanymi objawami. Komunikaty świadczą, że jest ustawione jakieś proxy, tylko że w raportach brak detekcji czynnego proxy w IE, a zawartość Opery kompletnie nieznana (żadne z narzędzi jej nie skanuje). I skoro brak jawnego proxy IE, aż dwie przeglądarki są dotknięte (odrębny system proxy) i nie tylko, gdyż BITS także zgłasza problem połączenia: Application errors: ================== Error: (09/23/2014 03:19:36 AM) (Source: CVHSVC) (EventID: 100) (User: ) Description: Tylko informacje. (Patch task for {90140011-0066-0415-0000-0000000FF1CE}): DownloadLatest Failed: Obecnie nie ma aktywnych połączeń sieciowych. Usługa inteligentnego transferu w tle (BITS) ponowni próbę po podłączeniu karty. ... to się zastanawiam nad ustawieniami routera, obecnie wykryte DNS puli prywatnej: Tcpip\Parameters: [DhcpNameServer] 10.65.4.24 10.112.102.120 10.65.4.26 Czy masz dostęp do konfiguracji routera? PS. I doczyszczanie szczątków / wpisów pustych. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2002578763-3834841585-2894884081-1001\...\Run: [Yahoo! Search] => C:\Users\Media\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe ShellIconOverlayIdentifiers: 00avast -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzuzy0C0ByBtD0DtC0D0EyDtAyB0C0CyByDtN0D0Tzu0CtByEyCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=409711820 SearchScopes: HKLM-x32 - Backup.Old.DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} SearchScopes: HKLM-x32 - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzuzy0C0ByBtD0DtC0D0EyDtAyB0C0CyByDtN0D0Tzu0CtByEyCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=409711820 SearchScopes: HKCU - Backup.Old.DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Task: {09A8B45B-7A9A-4643-B4CF-170ADEA6FEF6} - System32\Tasks\Yahoo! Search Udpater => C:\Users\Media\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrsetup.exe Task: {6635039E-DAC2-4CB3-BDD1-3A6F867632D2} - System32\Tasks\{056BAE49-F8DC-4862-9C64-15F59F42B98A} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.0.0.156.259&LastError=404 Task: {6A6E99E6-FC82-4032-B5BC-05B4D3378AED} - System32\Tasks\{46CC9C09-E919-463A-A857-61A3308DFB56} => Iexplore.exe http://ui.skype.com/ui/0/5.10.0.115.259/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {781A960F-3EE6-4A8A-BFB8-7152AC60798E} - System32\Tasks\{690B0C16-D596-459D-8425-6CB21E062768} => Firefox.exe Task: {B5B25082-C247-45C0-9D78-EECEB5156843} - System32\Tasks\{1A73E328-0D25-49CB-918C-66C56858E2F4} => Firefox.exe Task: {C8DAA606-8DFB-43FA-85E6-554CF52F5069} - System32\Tasks\{31FA67F2-EA51-4C07-892D-7BDA956E97F3} => Firefox.exe Task: {F3050076-CBE2-4D42-BF21-E91BDFA777AD} - System32\Tasks\{110C1679-876F-49D3-8503-C1AF2959DCF7} => Chrome.exe CustomCLSID: HKU\S-1-5-21-2002578763-3834841585-2894884081-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Media\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X] U3 BcmSqlStartupSvc; No ImagePath U2 CLKMSVC10_3A60B698; No ImagePath U2 CLKMSVC10_C3B3B687; No ImagePath U2 DriverService; No ImagePath U2 IAStorDataMgrSvc; No ImagePath U2 iATAgentService; No ImagePath U2 idealife Update Service; No ImagePath U3 IGRS; No ImagePath U2 IviRegMgr; No ImagePath U2 nvUpdatusService; No ImagePath U2 Oasis2Service; No ImagePath U2 PCCarerService; No ImagePath U2 ReadyComm.DirectRouter; No ImagePath U2 RichVideo; No ImagePath U2 RtLedService; No ImagePath U2 SeaPort; No ImagePath U2 SoftwareService; No ImagePath U3 SQLWriter; No ImagePath U2 Stereo Service; No ImagePath C:\Users\Media\AppData\Local\Google C:\Users\Media\Downloads\*(*)*.exe Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\GIMP Packages" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Skype Packages" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Log doczepiłam jako załącznik. Problem z załącznikami to może być wpływ COMODO, gdyż ja nie notuję żadnych dewiacji, również nikt inny tego nie zgłaszał. I tu jeszcze nie koniec tematu. Rozwiązaliśmy sprawę infekcji i defektu kont, ale są inne aspekty. Pytanie podstawowe: czy odinstalowałeś wszystkie programy IObit? W ostatnim raporcie FRST były oznaki deinstalacji, ale również nadal uruchomione w tle komponenty IObit (aktualizator IObit i integracja IObit Uninstaller z IE). Potwierdź mi czy wszystko od IObit poszło do piachu, gdyż od tego zależy czy usunę na siłę widoczne obiekty czy też nie. ==================== Internet (Whitelisted) ==================== BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll (IObit) ==================== Services (Whitelisted) ================= S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2282272 2014-08-19] (IObit) .

Po pierwsze: w systemie jest zainstalowana płatna wersja avast! Internet Security a nie darmowy avast! Free Antivirus. Z Twojej listy zainstalowanych: ==================== Installed Programs ====================== avast! Internet Security (HKLM-x32\...\Avast) (Version: 9.0.2021 - AVAST Software) Porównanie różnic między edycjami: KLIK. Tu obecny pakiet to nie jest tylko antywirus, jest tu też conajmniej firewall. I program nie jest darmowy. Po drugie: tu nie chodziło o kontekst "podejrzany" = "związany z niechcianą instalacją", tylko o to że każdy program zabezpieczający, który ingeruje w układ sieci (wbudowana zapora, filtrowanie stron www), może być odpowiedzialny za problemy z ładowaniem stron, a sprawa jest zależna od unikatowej konfiguracji użytkownika i innych specyficznych czynników (u kogoś może nie być problemu, u kogoś wręcz przeciwnie). Było na forum multum przykładów tego rodzaju, nie patrząc daleko ostatni przykład z BitDefender blokującym przeglądarki: KLIK. Avast Internet Security to jest potężny pakiet i mocno ingeruje w funkcjonowanie sieci. U Ciebie wyszło na to, że to jednak YAC był problemem, ale przed uzyskaniem dowodu Avast także był podejrzany. Znacznik "UWAGA" w FRST jest nie bez powodu (program zgłoszony do detekcji): ==================== Installed Programs ====================== Yet Another Cleaner! (HKLM-x32\...\iSafe) (Version: - ELEX DO BRASIL PARTICIPAÇÕES LTDA) Może i Ci pomógł na krótki dystans, ale jest to podejrzana instalacja, której należy unikać. Podkreślam: to wątpliwy program o niejasnym charakterze, namolnie reklamowany jako usuwacz infekcji A lub B, przy czym on sam jest związany z infekcjami, tzn. może być instalowany wspólnie z hijackerami skrótów (co sugeruje działanie pokazowe typu instalacja infekcji i jednocześnie jej usuwacza, by przekonać do jego używania). Spójrz na przykładowe strony domowe znanych infekcji przejmujących skróty przeglądarek nationzoom.com (hxxp://nationzoom.com/uninstall.html) lub qvo6.com (hxxp://qvo6.com/uninstall.html) i co jest w nagłówku owych stron. Cóż, reklama YAC. To nie jest przypadek, że instalacje adware na swojej własnej stronie deinstalacji pozwalają na reklamę takiego programu, mają w tym jakiś interes, a grupy muszą być powiązane ze sobą. Dlaczego nie ma tam reklamy programów o ustalonej reputacji, które rzeczywiście usuwają te infekcje? YAC jest wykrywany przez AdwCleaner jako instalacja PUP. Na przyszłość: AdwCleaner + Malwarebytes Anti-Malware służą do rozwiązywania omawianych problemów, nie YAC czy SpyHunter (kolejny wątpliwy program, który używałeś). Ponadto, na co należy uważać i skąd nie pobierać: KLIK. [hr] Akcje pomyślnie wykonane. Jeszcze poprawki na szczątki YAC. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Users\petik1\AppData\Roaming\eCyber RemoveDirectory: C:\Users\petik1\AppData\Roaming\iSafe RemoveDirectory: C:\Users\petik1\Downloads\FRST-OlderVersion DeleteQuarantine: CMD: del /q C:\Windows\system32\Drivers\iSafeKrnlBoot.sys CMD: del /q C:\Users\petik1\Downloads\wb7euxte.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. SDostarcz wynikowy fixlog.txt. .

1. Drobne poprawki z poziomu konta admin. Otwórz Notatnik i wklej w nim: DeleteKey: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\Software\Policies\Google DeleteKey: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1} DeleteKey: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E} RemoveDirectory: C:\Program Files (x86)\MyFree Codec RemoveDirectory: C:\ProgramData\Norton Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz fixlog.txt. 2. Jeszcze mam pytanie: to na pewno wszystkie konta obecne w systemie? Jakoś ominęłam wzrokiem, że na dysku jest także folder C:\Users\Edyta. To konto istnieje czy może folder to odpadek? .

To właśnie ta opcja powoduje rozmnożenie instancji explorer.exe. Po jej wyłączeniu jest tylko jeden explorer.exe, o ile nie nastąpi jakiś zawias procesu. Wiem jak to wygląda z graficznego punktu widzenia. Twój problem jest tego rodzaju: KLIK. Wynikowy Fixlog pokazuje następujący wadliwy odpadkowy klucz uszkodzonego konta-fantoma: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-2622835651-1712134509-2677869765-1009 Wyłącz COMODO. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-2622835651-1712134509-2677869765-1009 Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Dostarcz wynikowy fixlog.txt i powiedz czy jest zmiana na ekranie logowania. PS. Dopiero dziś wyszukałam ten temat. Post rozpoczynający się od "jak dla mnie to tu bardzo dużo wirusów a jestem zielony jeżeli chodzi o logi..." to jakieś głupoty. Zaznaczę też, że gdyby ktoś tam jednak raczył odpowiedzieć w inny sposób (podany skrypt coś usuwający), nie wykonuj już nic. Oni mają nieadekwatne dane i stare logi, a my tu już jesteśmy daaaleko do przodu i mnóstwo zmian systemowych zostało wykonanych. Infekcja została też wyczyszczona. .

Akcja po kolei na zalogowanych kontach: DOMUŚ 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\...\Run: [Yahoo! Search] => C:\Users\Domu[\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.8.2\dsrlte.exe HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\...\Run: [Google Update] => "C:\Users\Domu[\AppData\Local\Google\Update\GoogleUpdate.exe" /c HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\...\Run: [Facebook Update] => "C:\Users\Domu[\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver URLSearchHook: HKCU - (No Name) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - No File SearchScopes: HKCU - DefaultScope {3FF696B6-923B-45A0-919D-29A329DA8E92} URL = http://rts.dsrlte.com/?q={searchTerms}&r=286 SearchScopes: HKCU - {3FF696B6-923B-45A0-919D-29A329DA8E92} URL = http://rts.dsrlte.com/?q={searchTerms}&r=286 CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com", "hxxp://www.msn.com/?pc=AV01" CHR HKCU\SOFTWARE\Policies\Google: Policy restriction CustomCLSID: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Domuś\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Domuś\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealPly /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie plik fixlog.txt. 2. Otwórz Google Chrome Domusia i w nim: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. ANIA Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1826986473-2377712830-1707152965-1010\...\Run: [Yahoo! Search] => C:\Users\Ania\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt. ADMIN Otwórz Notatnik i wklej w nim: CloseProcesses: ShellIconOverlayIdentifiers: SkyDrive1 -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: SkyDrive2 -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: SkyDrive3 -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw fixlog.txt. .

OK, możesz już skasować DelFix. Temat rozwiązany. Zamykam.

Wcześniejsze raporty nie pokazywały niedomyślnych instancji, infekcja była ładowana via domyślny proces (wstrzyknięta biblioteka DLL). Wielokrotność explorer.exe może być normalnym zjawiskiem. Czy w Opcje folderów i wyszukiwania > Widok > Uruchom okna folderów w osobnych procesach jest zaznaczone? Pokaż mi wyciąg kluczy kont. Wyłącz tymczasowo COMODO, by nie przeszkadzał FRST. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. Są określone skany dodatkowe w OTL (np. wyszukiwanie plików bez producenta), które wydłużają czas. .

Widzę, że Microsoft usunął oficjalny link pobierania IE8. Uruchom Windows Update i sprawdź czy jest oferowany do instalacji. .

Gładko poszło i możemy kończyć zmagania: 1. Zmienił się układ wtyczek (stara wersja Adobe Flash Player 14 Plugin wygląda na odinstalowaną), więc powtórz ponownie w Google Chrome reset cache. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Przez SHIFT+DEL skasuj plik C:\Windows\SysWOW64\sqlite3.dll. Usuń używane narzędzia za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. .

Czy w folderze C:\FRST\Logs są dwa pliki Fixlog_data_czas.txt? Jeśli tak, to pokaż ten starszy. .

Kończąc sprawę czyszczenia systemu: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu i porównaj co wymaga aktualizacji: KLIK. Co to za sprawa z dyskiem? Dodatkowo: czy przejrzałeś temat tyczący BSOD z winy sterowników Intel? Dzięki! .

Nazwy dostarczonych plików FRST sugerują, że je wyciągałeś z folderu C:\FRST\Logs. Bieżący log jest zawsze nagrywany w miejscu z którego uruchomiono FRST, czyli w tym przypadku C:\Users\Grzegorz\Downloads\FRST. Natomiast C:\FRST\Logs to archiwum logów, owszem najnowszy też jest zarchiwizowany, ale nie ma potrzeby go stamtąd wyciągać. I dostarczyłeś mi stary nieświeży Addition (usuwam), miałeś zrobić ten log ponownie... Zadania wykonane. Poprawki i czyszczenie lokalizacji tymczasowych. Otwórz Notatnik i wklej w nim: CloseProcesses: BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File FF Plugin-x32: @java.com/DTPlugin,version=1.6.0_39 -> C:\Windows\SysWOW64\npdeployJava1.dll (Sun Microsystems, Inc.) C:\$AVG C:\ProgramData\AVG2012 C:\ProgramData\MFAData C:\Users\Grzegorz\AppData\Local\Avg2015 C:\Users\Grzegorz\AppData\Roaming\TuneUp C:\Windows\system32\Drivers\AVG RemoveDirectory: C:\Users\Grzegorz\Desktop\Stare dane programu Firefox EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Dostarcz wynikowy fixlog.txt. Tym zajmiemy się na końcu. Zadałam deinstalację a nie aktualizację, gdyż była tu stosunkowo stara wersja i uważam, iż lepiej instalować "na czysto" niż systemem nakładkowym. .

Tym razem uporczywy "Term Tutor" został pomyślnie usunięty. Wszystko zrobione i finalizujemy sprawy: 1. Przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, a z folderu Pobrane to narzędzie od Google. Zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj poniżej wyliczone programy: KLIK. Internet Explorer Version 8 ==================== Installed Programs ====================== Adobe Flash Player 12 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 14 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 14.0.0.145 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Adobe Reader XI (11.0.07) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.07 - Adobe Systems Incorporated) Java 7 Update 65 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.650 - Oracle) Mozilla Firefox 31.0 (x86 pl) (HKLM-x32\...\Mozilla Firefox 31.0 (x86 pl)) (Version: 31.0 - Mozilla) .

Z dodatkowych logów tylko pliki Adddition miały być dostarczone, gdyż tam może być notowana różnica między kontami. Shortcut usuwam, jest wspólny i pokazuje to samo niezależnie od zalogowanego konta. Wszystkie logi główne FRST są identyczne i wcale nie są zrobione z poziomu kontekstu kont Adnia i Domuś tylko z poziomu konta admin: Ran by admin (administrator) on ADMIN-KOMPUTER on 20-09-2014 09:30:17 Jeśli te dwa konta nie mają uprawnień administracyjnych, prawdopodobnie przy starcie FRST użyłeś opcję "Uruchom jako Administrator", co zmieniło kontekst konta. Proszę zaloguj się po kolei na Ania i Domuś, uruchom FRST normalnie przez dwuklik i nie stosuj opcji "Uruchom jako Administrator". .

Potwierdzam wykonanie zadania. DelFix też możesz usunąć. Temat rozwiązany. Zamykam.