picasso

Owszem, w Operze także jest adware, a konkretnie PHD-V1.4, a skrót w Menu Start jest zmodyfikowany przez istart.webssearches.com: Zbierając wszystko do kupy, przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 d0e87c27; c:\Program Files (x86)\SW-Booster\AssistantSvc.dll [174928 2014-09-06] () [File not signed] R2 f1f78e38; c:\ProgramData\WinSpeed\WinSpeedSvc.dll [186192 2014-08-24] () [File not signed] R2 Update trolatunt; C:\Program Files (x86)\trolatunt\updatetrolatunt.exe [323360 2014-08-05] () R2 Util trolatunt; C:\Program Files (x86)\trolatunt\bin\utiltrolatunt.exe [323360 2014-08-05] () S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] R1 {0c0bb4a8-45a4-4685-9c1d-08d98af4b926}w64; C:\Windows\System32\drivers\{0c0bb4a8-45a4-4685-9c1d-08d98af4b926}w64.sys [61112 2014-07-21] (StdLib) R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}w64; C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys [61120 2014-06-20] (StdLib) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] HKU\S-1-5-21-555694070-2704252721-650672022-1001\...\Run: [LiveSupport] => "C:\Program Files (x86)\LiveSupport\LiveSupport.exe" /noshow /log AppInit_DLLs: C:\PROGRA~3\WinSpeed\WINSPE~1.DLL => C:\ProgramData\WinSpeed\WinSpeed_x64.dll [4304896 2014-08-24] () AppInit_DLLs: C:\PROGRA~2\SW-BOO~1\ASSIST~2.DLL => C:\Program Files (x86)\SW-Booster\Assistant_x64.dll [4210176 2014-09-06] () AppInit_DLLs-x32: c:\progra~3\winspeed\winspeed.dll => c:\ProgramData\WinSpeed\WinSpeed.dll [4127232 2014-08-24] () AppInit_DLLs-x32: c:\progra~2\sw-boo~1\assist~1.dll => c:\Program Files (x86)\SW-Booster\Assistant.dll [4296192 2014-09-06] () Task: {05D3ADF8-CE9A-4055-A096-309A2A4674EC} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-7 No Task File Task: {084C8F1A-2E78-430F-ADA1-2C8B82EE08E0} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-3 No Task File Task: {192D2401-A40C-4F45-91C2-0E0517BD0EDF} - \globalUpdateUpdateTaskMachineCore No Task File Task: {24568D78-9A9C-4CDC-970C-085D23BB9062} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-6 No Task File Task: {3E7FE32C-41D9-43ED-9647-2B18AF9C46DF} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-2 No Task File Task: {61A0D17A-4EE0-4B60-94AE-05E5615B2128} - \globalUpdateUpdateTaskMachineUA No Task File Task: {6802742F-4C28-4F2A-BD57-C6F9303AF642} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-5_user No Task File Task: {81659E09-3D80-4823-A99B-AB219F27A085} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-4 No Task File Task: {A8176A55-FCBE-4637-B317-F8A88CD832F0} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe Task: {E265FCDD-A1FD-4BD4-A2F1-6CB2B9BAC123} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-5 No Task File Task: {E3CD8524-11B9-4622-B51C-8918B40C3AD4} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-1 No Task File Task: {E57B6BBE-F340-4B37-B308-F8296965D490} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-11 No Task File Task: {FE510951-41DE-4787-BE21-3C328FBE813E} - System32\Tasks\SW-Booster-S-792098896 => c:\programdata\trusted publisher\sw-booster\SW-Booster.exe [2013-09-06] () Task: C:\Windows\Tasks\SW-Booster-S-792098896.job => c:\programdata\trusted publisher\sw-booster\SW-Booster.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\Bobek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378 ShortcutWithArgument: C:\Users\Bobek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378 ShortcutWithArgument: C:\Users\Bobek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms} SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a12834-386&apn_uid=0471563149454403&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms} SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a12834-386&apn_uid=0471563149454403&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409996866&from=wpc&uid=SAMSUNGXHD502HJ_S20BJ9AZ407378&q={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a12834-386&apn_uid=0471563149454403&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} BHO: YYoUtubeAdBloceke -> {3bcd3670-a43d-4c97-b26c-52bb0681bbe2} -> C:\Program Files (x86)\YYoUtubeAdBloceke\SzK2uA6boZ2LOs.x64.dll () BHO: tperifecctucoUpoon -> {77D615B8-2E98-F959-C446-9B9CE5299EEF} -> C:\ProgramData\tperifecctucoUpoon\d6K.x64.dll () BHO: pRiCCechop -> {c561f6d7-a9d0-41ac-b055-eca900b58b9b} -> C:\Program Files (x86)\pRiCCechop\1eBzEahhdxcxYC.x64.dll () BHO: piricaeciHoop -> {e335ae00-2ef1-4198-80ec-fed4694b68b7} -> C:\Program Files (x86)\piricaeciHoop\UnOVOebpR7QvXg.x64.dll () BHO: CoollSaLaeCoupon -> {F324BF5E-B7D0-58BC-98F8-330489556625} -> C:\ProgramData\CoollSaLaeCoupon\BCsk.x64.dll () BHO-x32: YYoUtubeAdBloceke -> {3bcd3670-a43d-4c97-b26c-52bb0681bbe2} -> C:\Program Files (x86)\YYoUtubeAdBloceke\SzK2uA6boZ2LOs.dll () BHO-x32: tperifecctucoUpoon -> {77D615B8-2E98-F959-C446-9B9CE5299EEF} -> C:\ProgramData\tperifecctucoUpoon\d6K.dll () BHO-x32: pRiCCechop -> {c561f6d7-a9d0-41ac-b055-eca900b58b9b} -> C:\Program Files (x86)\pRiCCechop\1eBzEahhdxcxYC.dll () BHO-x32: piricaeciHoop -> {e335ae00-2ef1-4198-80ec-fed4694b68b7} -> C:\Program Files (x86)\piricaeciHoop\UnOVOebpR7QvXg.dll () BHO-x32: CoollSaLaeCoupon -> {F324BF5E-B7D0-58BC-98F8-330489556625} -> C:\ProgramData\CoollSaLaeCoupon\BCsk.dll () Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Program Files (x86)\trolatunt C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BananaMt2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZDownloader C:\Users\Administrator C:\Users\Gość C:\Users\Bobek\AppData\Local\Chromatic Browser C:\Users\Bobek\AppData\Local\Comodo C:\Users\Bobek\AppData\Local\Google\Chrome C:\Users\Bobek\AppData\Local\Torch C:\Users\Bobek\AppData\Roaming\Mozilla C:\Users\Bobek\AppData\Roaming\Systweak C:\Users\Bobek\Downloads\yet_another_cleaner_reh.exe C:\Users\Bobek\Downloads\yet_another_cleaner_gam.exe C:\Users\Public\Desktop\EZDownloader.lnk C:\Windows\pss\MyPC Backup.lnk.Startup C:\Windows\System32\drivers\{0c0bb4a8-45a4-4685-9c1d-08d98af4b926}w64.sys C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys C:\Windows\SysWOW64\GroupPolicy\GPT.INI Folder: C:\Windows\SysWOW64\X86 Folder: C:\Windows\SysWOW64\AMD64 Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Bobek^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^MyPC Backup.lnk" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: CoollSaLaeCoupon, EZDownloader, pRiCCechop, SW-Booster, SW-Sustainer 1.80, tperifecctucoUpoon, WinSpeed, YYoUtubeAdBloceke. 3. W Operze CTRL+SHIFT+E i na liście rozszerzeń odmontuj adware PHD-V1.4. 4. Zrób nowy log FRST z opcji Scan, zaznacz onownie Addition. Dołącz też plik fixlog.txt. .

W systemie są zainstalowane rozmaite obiekty adware. Z raportu wynika, iż używaną przeglądarką jest Opera. Niestety FRST jej nie skanuje, więc przed zadaniem jakichkolwiek czynności muszę pobrać o niej dane ręcznie, by wiedzieć czy coś należy w samej Operze zrobić. Na razie więc tylko skan Opery. Otwórz Notatnik i wklej w nim: Folder: C:\Users\Bobek\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Bobek\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

W msconfig jest tylko start do Trybu awaryjnego, nie do RE. Skoro opcja "Napraw komputer" nie jest osiągalna przez F8, to wejdź do tego środowiska z płyty instalacyjnej Windows 7: KLIK. .

Oczywiście można spróbować powyższych akcji. Natomiast ja szukałam pasującego kodu, który może odblokować start. Z tematu na Elektrodzie ostatni post: Spróbuj wklepać ten kod na ekranie. .

Skąd / kiedy pobrałeś FRST? Używasz starszej wersji 03-09-2014 02 pozbawionej określonych funkcji. Przejdź w Tryb awaryjny Windows (z obsługą sieci), pobierz najnowszą wersję i ponów skann. Podstaw załączniki w pierwszym poście i daj znać na PW, że post został eddytowany. .

Brakuje pliku Fixlog utworzonego podczas przetwarzania skryptu FRST. Dołącz. W raportach nie widzę jawnej podróbki Java. Dla bezpieczeństwa będzie usuwana cała Tibia, Java i wszystkie boty dodatkowe. .

Nasuwają się wnioski, że złapała coś nowego (powtarzając ten sam błąd co wcześniej, jakiś instalator lub "downloader" portalowy). W związku z tym wymagany jest nowy zestaw wszystkich raportów. .

Jest tu infekcja typu ransomware, która modyfikuje kod MBR dysku, coś podobnego do (to inny stary wariant): KLIK. Teoretycznie ten rodzaj infekcji wykonuje jedynie symulację, że dysk jest zaszyfrowany, i po prostu należy naprawić rozruch i MBR, by zdjąć zastraszającą planszę. Aczkolwiek są tu niepokojące znaki, gdyż FRST kompletnie nie może się dostać do zawartości dysku (nie zdołał odczytać układu partycji, ani podmontować rejestru, ani odczytać plików na dysku), log jest całkowicie bezużyteczny. Wstępnie sprawdź czy jesteś w stanie uruchomić płytę Kaspersky Rescue Disk i czy ona wykrywa zawartość dysku. .

Posty dla porządku sklejam, ale już mi oczywiście odpowiesz w nowym poście. Są tu obiekty adware, niestety większość (obiekty partnera "Spigot") weszła z nieuważną instalacją produktów IOBit. Przeprowadź następujące akcje: 1. Na początek wykonaj poprawne deinstalacje przez Panel sterowania: - Programy typu adware/PUP: Assistant, AVG Security Toolbar, Browser Extensions, IObit Apps Toolbar, Qtrax Player, Slick Savings, sweet-page uninstaller. - Proponuję także wyrzucić wszystkie zasadnicze programy IObit (Advanced SystemCare 7, Driver Booster, IObit Uninstaller, Smart Defrag 3, Surfing Protection), marka skompromitowana, no i te zintegrowane instalacje adware: KLIK. 2. Zrób nowy log FRST z opcji Scan, ponownie zaznacz Addition. Na tej podstawie będzie doczyszczanie śmieci. .

Skan wykonany kilka dni temu przy udziale wersji w owym czasie najnowszej: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 06-09-2014 Ran by Bobek (administrator) on BOBEK-KOMPUTER on 06-09-2014 20:48:06 Wymagany jest skan z chwili obecnej przy udziale najnowszej wersji. 1. Pobierz FRST ponownie (najnowszy to "Version: 07-09-2014 01"), ale przed uruchomieniem skanu: Start > w polu szukania wpisz eventvwr.msc > rozwiń sekcję Dzienniki systemu Windows > z prawokliku na gałąź Aplikacja wyczyść ten dziennik. 2. Zresetuj system. Ponów skan, pola Addition i Shortcut mają być zaznaczone. .

Log z OTL zrobiony na złych ustawieniach - sekcja "Rejestr" ustawiona na Wszystko, a miało być "Użyj filtrowania". Log z FRST niekompletny - brakuje pliku Shortcut. W związku z jego brakiem instrukcje zostaną podzielone, bo tu prawie na pewno są zmodyfikowane także skróty LNK przeglądarek. W systemie jest ogromna ilość instalacji adware. Przeprowadź wstępnie następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-08-18] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-08-18] (globalUpdate) [File not signed] S4 LPTSystemUpdater; C:\Program Files (x86)\LPT\srpts.exe [32888 2014-08-13] () [File not signed] R2 Update findopolis; C:\Program Files (x86)\findopolis\updatefindopolis.exe [323360 2014-09-09] () R2 Util findopolis; C:\Program Files (x86)\findopolis\bin\utilfindopolis.exe [323360 2014-09-09] () R1 {c486bc7a-4f2c-4a8b-ac38-4952f70809b9}Gw64; C:\Windows\System32\drivers\{c486bc7a-4f2c-4a8b-ac38-4952f70809b9}Gw64.sys [61120 2014-08-18] (StdLib) R2 webinstr; C:\Windows\system32\Drivers\webinstr.sys [57528 2014-07-16] (Corsica) Task: {115C1490-59CB-46C5-B06B-170008017D09} - System32\Tasks\5cb7818a-addc-49b2-b2ac-91eafe086181 => C:\Program Files (x86)\videos MediaPlay-Air\6d581fee-66a6-4ea4-a87e-d36565ead186-4.exe [2014-08-18] (enter) Task: {1C5DAD2E-2F71-42D6-8D7D-02603A7BE4CD} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-08-18] (globalUpdate) Task: {20DE40E6-92B7-4019-BC67-F80C1B131298} - System32\Tasks\6d581fee-66a6-4ea4-a87e-d36565ead186-5 => C:\Program Files (x86)\videos MediaPlay-Air\6d581fee-66a6-4ea4-a87e-d36565ead186-5.exe [2014-08-18] (enter) Task: {3D64E427-F1BE-4D17-B9F1-FBFBD4A1B94B} - System32\Tasks\6d581fee-66a6-4ea4-a87e-d36565ead186-11 => C:\Program Files (x86)\videos MediaPlay-Air\6d581fee-66a6-4ea4-a87e-d36565ead186-11.exe [2014-08-18] (enter) Task: {5C0F58F5-786C-4E79-9FDA-9D29D205F3EE} - System32\Tasks\6d581fee-66a6-4ea4-a87e-d36565ead186-6 => C:\Program Files (x86)\videos MediaPlay-Air\6d581fee-66a6-4ea4-a87e-d36565ead186-6.exe [2014-08-18] (enter) Task: {6A3D1ADE-0D34-4BC2-B27D-60860DA5BD0F} - System32\Tasks\6d581fee-66a6-4ea4-a87e-d36565ead186-5_user => C:\Program Files (x86)\videos MediaPlay-Air\6d581fee-66a6-4ea4-a87e-d36565ead186-5.exe [2014-08-18] (enter) Task: {80F96EB9-A441-42EB-819E-CF3590DB57B5} - System32\Tasks\6d581fee-66a6-4ea4-a87e-d36565ead186-7 => C:\Program Files (x86)\videos MediaPlay-Air\6d581fee-66a6-4ea4-a87e-d36565ead186-7.exe [2014-08-18] (enter) Task: {9FEF3C04-A593-4E3F-BA91-4922F935B6F1} - System32\Tasks\6d581fee-66a6-4ea4-a87e-d36565ead186-2 => C:\Program Files (x86)\videos MediaPlay-Air\6d581fee-66a6-4ea4-a87e-d36565ead186-2.exe [2014-08-18] (enter) Task: {E2430F77-50EB-4A4B-9072-FE492AB0B1C7} - System32\Tasks\6d581fee-66a6-4ea4-a87e-d36565ead186-3 => C:\Program Files (x86)\videos MediaPlay-Air\6d581fee-66a6-4ea4-a87e-d36565ead186-3.exe [2014-08-18] (enter) Task: {E4477EA1-6C4A-4383-BED2-4914654B2EC6} - System32\Tasks\Run RoboForm TaskBar Icon => C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe Task: {EDB06FB0-C9F2-4180-B707-60D1FD076BEB} - System32\Tasks\6d581fee-66a6-4ea4-a87e-d36565ead186-1 => C:\Program Files (x86)\videos MediaPlay-Air\videos MediaPlay-Air-codedownloader.exe [2014-08-18] (enter) Task: {FD09CBDD-A8AE-4ABA-ACBB-BFCBD97889A6} - System32\Tasks\6d581fee-66a6-4ea4-a87e-d36565ead186-4 => C:\Program Files (x86)\videos MediaPlay-Air\6d581fee-66a6-4ea4-a87e-d36565ead186-4.exe [2014-08-18] (enter) Task: C:\Windows\Tasks\5cb7818a-addc-49b2-b2ac-91eafe086181.job => C:\Program Files (x86)\videos MediaPlay-Air\6d581fee-66a6-4ea4-a87e-d36565ead186-4.exe Task: C:\Windows\Tasks\6d581fee-66a6-4ea4-a87e-d36565ead186-1.job => C:\Program Files (x86)\videos MediaPlay-Air\videos MediaPlay-Air-codedownloader.exe Task: C:\Windows\Tasks\6d581fee-66a6-4ea4-a87e-d36565ead186-11.job => C:\Program Files (x86)\videos MediaPlay-Air\6d581fee-66a6-4ea4-a87e-d36565ead186-11.exe Task: C:\Windows\Tasks\6d581fee-66a6-4ea4-a87e-d36565ead186-2.job => C:\Program Files (x86)\videos MediaPlay-Air\6d581fee-66a6-4ea4-a87e-d36565ead186-2.exe Task: C:\Windows\Tasks\6d581fee-66a6-4ea4-a87e-d36565ead186-3.job => C:\Program Files (x86)\videos MediaPlay-Air\6d581fee-66a6-4ea4-a87e-d36565ead186-3.exe Task: C:\Windows\Tasks\6d581fee-66a6-4ea4-a87e-d36565ead186-4.job => C:\Program Files (x86)\videos MediaPlay-Air\6d581fee-66a6-4ea4-a87e-d36565ead186-4.exe Task: C:\Windows\Tasks\6d581fee-66a6-4ea4-a87e-d36565ead186-5.job => C:\Program Files (x86)\videos MediaPlay-Air\6d581fee-66a6-4ea4-a87e-d36565ead186-5.exe Task: C:\Windows\Tasks\6d581fee-66a6-4ea4-a87e-d36565ead186-5_user.job => C:\Program Files (x86)\videos MediaPlay-Air\6d581fee-66a6-4ea4-a87e-d36565ead186-5.exe Task: C:\Windows\Tasks\6d581fee-66a6-4ea4-a87e-d36565ead186-6.job => C:\Program Files (x86)\videos MediaPlay-Air\6d581fee-66a6-4ea4-a87e-d36565ead186-6.exe¼/agentregpath='videos MediaPlay-Air-nv' /appid=61799 /srcid='001673' /subid='verticals-ads,intext,pops,shopping' /zdata='0' /bic=8CA2DE43D94D49189C1A4DF470B31AD8IE /verifier=c7bcdbc4eef78df6d9eaaecb44474f4f /installerversion=1_34_08_12 /installerfullversion=1.34.8.12 /installationtime=1408371506 /statsdomain=http://stats.inputdatacloud.com /errorsdomain=http://errors.inputdatacloud.com /codedownloaddomain=http://js.inputdatacloud.com /defbro=ch /DllName32ToInjectToChrome='3d5c382a-d0f7-4612-a315-79328f81fd70.dll' /DllName64ToInjectToChrome='bacf4676-8944-4c72-957c-c45715a1f249.dll' /nova64bitexe='6d581fee-66a6-4ea4-a87e-d36565ead186-64.exe Task: C:\Windows\Tasks\6d581fee-66a6-4ea4-a87e-d36565ead186-7.job => C:\Program Files (x86)\videos MediaPlay-Air\6d581fee-66a6-4ea4-a87e-d36565ead186-7.exeÖ/updateapp /agentregpath='videos MediaPlay-Air-nv' /appid=61799 /srcid='001673' /subid='verticals-ads,intext,pops,shopping' /zdata='0' /bic=8CA2DE43D94D49189C1A4DF470B31AD8IE /verifier=c7bcdbc4eef78df6d9eaaecb44474f4f /installerversion=1_34_08_12 /installerfullversion=1.34.8.12 /installationtime=1408371506 /statsdomain=http://stats.inputdatacloud.com /errorsdomain=http://errors.inputdatacloud.com /codedownloaddomain=http://js.inputdatacloud.com /defbro=ch /DllName32ToInjectToChrome='3d5c382a-d0f7-4612-a315-79328f81fd70.dll' /DllName64ToInjectToChrome='bacf4676-8944-4c72-957c-c45715a1f249.dll' /nova64bitexe='6d581fee-66a6-4ea4-a87e-d36565ead186-64.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe HKLM-x32\...\Run: [blockAndSurf] => C:\Program Files (x86)\ver3BlockAndSurf\BlockAndSurf.exe [121856 2014-08-18] () HKLM-x32\...\Run: [AnyProtect Scanner] => "C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe" Winlogon\Notify\klogon: %SystemRoot%\System32\klogon.dll [X] Startup: C:\Users\milenka21\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DesktopWeatherAlerts.lnk Startup: C:\Users\milenka21\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Weather Alerts.lnk GroupPolicy: Group Policy on Chrome detected HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9hoxpME1_IVPTybtgShexzpRr66pOJWG6fRkD4bmtni_Hc9jp42b43noJKIRct2AfQeyZyBqmXO1SUERdQC-m5NdR0yHyQtTstQE5qkLX4373Ryqd0rtwtsCNNn3KiIf0O9D1FDOYDRy3amj71xE78zNuVJZ26Or5ZM8A,,&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://groovorio.com/?f=1&a=grv_tuto1_14_30&cd=2XzuyEtN2Y1L1Qzuzzzz0A0EtC0DtA0FtDyEzytCtA0B0CtBtN0D0Tzu0SzyyCtBtN1L2XzutBtFtBtCtFtCzztFtAtN1L1Czu1N1C2X1V2Z2Y2Z1FtC1VtCyE1VtAtDtN1L1G1B1V1N2Y1L1Qzu2StD0AtBtDtB0EtCyDtG0C0EtC0FtGtDzy0A0FtGtAyDyEtCtGtBzytDyD0AyC0C0BzytB0FtC2QtN1M1F1B2Z1V1N2Y1L1Qzu2StCyByByByD0ByCzytGyE0FzzyCtG0CyBtByBtGyC0DyB0CtGtByDtDtAzytD0D0FtByDzztC2Q&cr=784297013&ir= HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istart123.com/?type=hp&ts=1408371514&from=tugs&uid=TOSHIBAXMK3265GSX_30SFF102SXX30SFF102S HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9hoxpME1_IVPTybtgShexzpRr66pOJWG6fRkD4bmtni_Hc9jp42b43noJKIRct2AfQeyZyBqmXO1SUERdQC-m5NdR0yHyQtTstQE5qkLX4373Ryqd0rtwtsCNNn3KiIf0O9D1FDOYDRy3amj71xE78zNuVJZ26Or5ZM8A,,&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istart123.com/web/?type=ds&ts=1408371514&from=tugs&uid=TOSHIBAXMK3265GSX_30SFF102SXX30SFF102S&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istart123.com/?type=hp&ts=1408371514&from=tugs&uid=TOSHIBAXMK3265GSX_30SFF102SXX30SFF102S HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istart123.com/?type=hp&ts=1408371514&from=tugs&uid=TOSHIBAXMK3265GSX_30SFF102SXX30SFF102S HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istart123.com/web/?type=ds&ts=1408371514&from=tugs&uid=TOSHIBAXMK3265GSX_30SFF102SXX30SFF102S&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istart123.com/web/?type=ds&ts=1408371514&from=tugs&uid=TOSHIBAXMK3265GSX_30SFF102SXX30SFF102S&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istart123.com/?type=hp&ts=1408371514&from=tugs&uid=TOSHIBAXMK3265GSX_30SFF102SXX30SFF102S HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istart123.com/?type=hp&ts=1408371514&from=tugs&uid=TOSHIBAXMK3265GSX_30SFF102SXX30SFF102S HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istart123.com/web/?type=ds&ts=1408371514&from=tugs&uid=TOSHIBAXMK3265GSX_30SFF102SXX30SFF102S&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istart123.com/web/?type=ds&ts=1408371514&from=tugs&uid=TOSHIBAXMK3265GSX_30SFF102SXX30SFF102S&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istart123.com/web/?type=ds&ts=1408371514&from=tugs&uid=TOSHIBAXMK3265GSX_30SFF102SXX30SFF102S&q={searchTerms} SearchScopes: HKLM - {CC865B26-C31D-4D23-B17B-96548EEF03F6} URL = SearchScopes: HKLM-x32 - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9hoxpME1_IVPTybtgShexzpRr66pOJWG6fRkD4bmtni_Hc9jp42b43noJKIRct2AfQeyZyBqmXO1SUERdQC-m5NdR0yHyQtTstQE5qkLX4373Ryqd0rtwtsCNNn3KiIf0O9D1FDOYDRy3amj71xE78zNuVJZ26Or5ZM8A,,&q={searchTerms} SearchScopes: HKLM-x32 - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9hoxpME1_IVPTybtgShexzpRr66pOJWG6fRkD4bmtni_Hc9jp42b43noJKIRct2AfQeyZyBqmXO1SUERdQC-m5NdR0yHyQtTstQE5qkLX4373Ryqd0rtwtsCNNn3KiIf0O9D1FDOYDRy3amj71xE78zNuVJZ26Or5ZM8A,,&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istart123.com/web/?type=ds&ts=1408371514&from=tugs&uid=TOSHIBAXMK3265GSX_30SFF102SXX30SFF102S&q={searchTerms} SearchScopes: HKCU - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://groovorio.com/results.php?f=4&q={searchTerms}&a=grv_tuto1_14_30&cd=2XzuyEtN2Y1L1Qzuzzzz0A0EtC0DtA0FtDyEzytCtA0B0CtBtN0D0Tzu0SzyyCtBtN1L2XzutBtFtBtCtFtCzztFtAtN1L1Czu1N1C2X1V2Z2Y2Z1FtC1VtCyE1VtAtDtN1L1G1B1V1N2Y1L1Qzu2StD0AtBtDtB0EtCyDtG0C0EtC0FtGtDzy0A0FtGtAyDyEtCtGtBzytDyD0AyC0C0BzytB0FtC2QtN1M1F1B2Z1V1N2Y1L1Qzu2StCyByByByD0ByCzytGyE0FzzyCtG0CyBtByBtGyC0DyB0CtGtByDtDtAzytD0D0FtByDzztC2Q&cr=784297013&ir= SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://groovorio.com/results.php?f=4&q={searchTerms}&a=grv_tuto1_14_30&cd=2XzuyEtN2Y1L1Qzuzzzz0A0EtC0DtA0FtDyEzytCtA0B0CtBtN0D0Tzu0SzyyCtBtN1L2XzutBtFtBtCtFtCzztFtAtN1L1Czu1N1C2X1V2Z2Y2Z1FtC1VtCyE1VtAtDtN1L1G1B1V1N2Y1L1Qzu2StD0AtBtDtB0EtCyDtG0C0EtC0FtGtDzy0A0FtGtAyDyEtCtGtBzytDyD0AyC0C0BzytB0FtC2QtN1M1F1B2Z1V1N2Y1L1Qzu2StCyByByByD0ByCzytGyE0FzzyCtG0CyBtByBtGyC0DyB0CtGtByDtDtAzytD0D0FtByDzztC2Q&cr=784297013&ir= SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istart123.com/web/?type=ds&ts=1408371514&from=tugs&uid=TOSHIBAXMK3265GSX_30SFF102SXX30SFF102S&q={searchTerms} SearchScopes: HKCU - {E39CB8DF-F421-4950-A3E7-D000FA76C164} URL = http://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9hoxpME1_IVPTybtgShexzpRr66pOJWG6fRkD4bmtni_Hc9jp42b43noJKIRct2AfQeyZyBqmXO1SUERdQC-m5NdR0yHyQtTstQE5qkLX4373Ryqd0rtwtsCNNn3KiIf0O9D1FDOYDRy3amj71xE78zNuVJZ26Or5ZM8A,,&q={searchTerms} BHO: videos MediaPlay-Air -> {11111111-1111-1111-1111-110611171199} -> C:\Program Files (x86)\videos MediaPlay-Air\videos MediaPlay-Air-bho64.dll (enter) BHO: SafeFinder SmartbarEngine -> {31ad400d-1b06-4e33-a59a-90c2c140cba0} -> C:\Windows\system32\mscoree.dll (Microsoft Corporation) BHO: BlockAndSurf -> {C22E1917-A32D-DCC8-4EC4-919BA8DF9D8A} -> C:\Program Files (x86)\ver3BlockAndSurf\177_x64.dll () BHO-x32: videos MediaPlay-Air -> {11111111-1111-1111-1111-110611171199} -> C:\Program Files (x86)\videos MediaPlay-Air\videos MediaPlay-Air-bho.dll (enter) BHO-x32: SafeFinder SmartbarEngine -> {31ad400d-1b06-4e33-a59a-90c2c140cba0} -> C:\Windows\SysWOW64\mscoree.dll (Microsoft Corporation) BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: BlockAndSurf -> {C22E1917-A32D-DCC8-4EC4-919BA8DF9D8A} -> C:\Program Files (x86)\ver3BlockAndSurf\177.dll () BHO-x32: findopolis -> {ccfd8427-0c44-4b91-abbb-d6aa65f7d2a1} -> C:\Program Files (x86)\findopolis\findopolisbho.dll (findopolis) Toolbar: HKLM - SafeFinder Smartbar - {ae07101b-46d4-4a98-af68-0333ea26e113} - C:\Windows\system32\mscoree.dll (Microsoft Corporation) Toolbar: HKLM-x32 - SafeFinder Smartbar - {ae07101b-46d4-4a98-af68-0333ea26e113} - C:\Windows\SysWOW64\mscoree.dll (Microsoft Corporation) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF HKCU\...\Firefox\Extensions: [{6AB830C7-31B7-EBDB-1936-993285547942}] - C:\Program Files (x86)\ver3BlockAndSurf\177.xpi CHR StartupUrls: Default -> "hxxp://groovorio.com/?f=7&a=grv_tuto1_14_30&cd=2XzuyEtN2Y1L1Qzuzzzz0A0EtC0DtA0FtDyEzytCtA0B0CtBtN0D0Tzu0SzyyCtBtN1L2XzutBtFtBtCtFtCzztFtAtN1L1Czu1N1C2X1V2Z2Y2Z1FtC1VtCyE1VtAtDtN1L1G1B1V1N2Y1L1Qzu2StD0AtBtDtB0EtCyDtG0C0EtC0FtGtDzy0A0FtGtAyDyEtCtGtBzytDyD0AyC0C0BzytB0FtC2QtN1M1F1B2Z1V1N2Y1L1Qzu2StCyByByByD0ByCzytGyE0FzzyCtG0CyBtByBtGyC0DyB0CtGtByDtDtAzytD0D0FtByDzztC2Q&cr=784297013&ir=", "hxxp://uk.msn.com/?pc=UP97&ocid=UP97DHP", "hxxp://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9hoxpME1_IVPTybtgShexzpRr66pOJWG6fRkD4bmtni_Hc9jp42b43noJKIRct2AfQeyZyBqmXO1SUERdgGzpt1s-fLIyiaJWdtI7XMpBcswGzwvxvWnFnlje5hSMRC2cNRI37wFX0qfQcToDImR7N39ecmrXPJQfh-Cg," CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\milenka21\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-08-18] C:\END C:\Program Files (x86)\AskPartnerNetwork C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Optimizer Pro C:\Program Files (x86)\ver3BlockAndSurf C:\ProgramData\374311380 C:\ProgramData\APN C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FREESOFTTODAY C:\ProgramData\TEMP C:\Users\Administrator\Downloads\New_Player.exe C:\Users\Administrator\Downloads\Setup.exe C:\Users\milenka21\AppData\Local\*.tmp C:\Users\milenka21\AppData\Local\globalUpdate C:\Users\milenka21\AppData\Roaming\aps.uninstall.scan.results C:\Users\milenka21\AppData\Roaming\Mozilla C:\Users\milenka21\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Search.lnk C:\Users\milenka21\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\milenka21\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Weather Alerts C:\Users\milenka21\Documents\Optimizer Pro C:\Users\milenka21\Downloads\Java*.exe C:\Users\milenka21\Downloads\jxpiinstall*.exe C:\Users\milenka21\Downloads\PCHealthBoost-Setup.exe C:\Users\milenka21\Downloads\tamsp_180806290435012771.exe C:\Users\milenka21\Downloads\TorpedoSetup.exe C:\Users\milenka21\Downloads\videoperformerSetup.exe C:\Windows\system32\Drivers\{c486bc7a-4f2c-4a8b-ac38-4952f70809b9}Gw64.sys C:\Windows\system32\Drivers\webinstr.sys C:\Windows\SysWOW64\GroupPolicy\GPT.INI Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\My Web Search Bar Search Scope Monitor" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MyWebSearch Email Plugin" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ROC_roc_ssl_v12" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SiteRanker" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: Buzzdock, DesktopWeatherAlerts, findopolis, FreeSoftToday 013.102, Groovorio, istart123 uninstall, LPT System Updater Service, Remote Desktop Access (VuuPC), SafeFinder Smartbar, UnknownFile, videos MediaPlay-Air, WindowsMangerProtect20.0.0.722, x3_Codec 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj BlockAndSurf, FilmFanatic, Quick start, videos MediaPlay-Air Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Groovorio i inne niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy raporty. Dołącz też plik fixlog.txt. .

Spróbuj jeszcze zrobić sprawdzanie dysku z poziomu niezaładowanego systemu, czyli Środowiska odzyskiwania RE: F8 > Napraw komputer > Wiersz polecenia > wpisz komendę chkdsk /f /r .

Cóż, podejrzewałam to, crack jest nadal aktywny: ==================== Processes (Whitelisted) ================= () C:\Windows\System32\hale.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [Chew7Hale] => C:\Windows\System32\hale.exe [2169856 2012-06-28] () I to jest przyczyna Twoich problemów z wydajnością systemu. Proszę odwiedź poprzednio podane linki: SunShine, ale co Ty właściwie chesz zrobić? Tego cracka nie da się usunąć w sposób który sugerujesz ("skasowanie pliku z dysku" bądź "odinstalowanie przez Panel sterowania"). By go odinstalować, jest wymagane użycie tego samego instalatora Chew7Hale za pomocą którego crack instalowano, po ponownym uruchomieniu pokaże opcję Uninstall. Tak więc: posiadasz ten instalator czy nie? Czy crack instalowałeś samodzielnie, czy też ktoś Ci stawiał system i się porządził? .

Nie, są wymagane nowe logi z teraz, wystarczy minuta i mogą zajść w systemie kolejne zmiany. Stare są bezużyteczne (usuwam) i pokazują działający w tle crack Chew7Hale, który rzekomo odinstalowałeś, a przecież ja właśnie chcę sprawdzić czy to prawda, bo to ten crack właśnie powoduje opisywane objawy. .

OK. Temat rozwiązany, zamykam.

Jeśli skan naprawdę się zawiesi, to go ostatecznie przerwiesz. Nie potrafię ustalić granicy czasowej, a takie zacięcie na sprawdzaniu dysku może być też oznaką problemu. Zobaczymy.

GMER nadal w złym środowisku, ciągle działa wtle sterownik SPTD: R0 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2010-04-04] () [File not signed] Mam pytanie: w logach widać różne paczki / boty powiązane z Tibia, uruchomienie której z nich doprowadziło do infekcji? Ta paczka musi być w całości usunięta, a program odinstalowany, bo to źródło infekcji. Natomiast wstępnie wygląda na to, iż ów sfałszowany "svchost.exe" rzeczywiście zotał usunięty z dysku, ale nadal jest jego wpis startowy. Oprócz tego w systemie jest dużo odpadków adware uprzednio niedokładnie czyszczonych. Wykonaj następujące operacje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2588407172-804001942-3011641386-1000\...\Run: [MSTime] => "C:\Users\ikaaa\AppData\Roaming\svchost.exe" (the data entry has 54 more characters). HKLM\...\RunOnce: [*CA] => [X] S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X] S3 DAUpdaterSvc; C:\Games\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe [X] S3 NMIndexingService; "C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe" [X] S2 Update webget; "C:\Program Files (x86)\webget\updatewebget.exe" [X] S2 Util webget; "C:\Program Files (x86)\webget\bin\utilwebget.exe" [X] S2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [X] S3 esihdrv; \??\C:\Users\ikaaa\AppData\Local\Temp\esihdrv.sys [X] S2 SPDRIVER_1.37.1.189; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1.37.1.189\jsdrv.sys [X] S1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [X] U3 fwddakog; \??\C:\Users\ikaaa\AppData\Local\Temp\fwddakog.sys [X] Task: {08AC59F4-2C27-4E30-B709-763EF2E214CA} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {08CDD52A-8954-4434-98C0-608C1259574E} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {2133DF6B-DC8E-4135-9153-F340EC57787C} - System32\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-7 => C:\Program Files (x86)\Sense\Sense-nova.exe Task: {36DBB82A-3818-40D8-828A-5F200C703249} - System32\Tasks\{15BACE32-35D8-476E-82D1-A2B5C8CA5BCE} => G:\FOLDER DO INST\Battlefield 3™\bf3.exe Task: {3AD96D17-F989-408D-BC4A-5F781C0CC979} - System32\Tasks\SPDriver => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.1.189\jsdrv.exe Task: {544FCF7E-DE5F-4BD5-A159-7C9D76E8BC6B} - System32\Tasks\UNELEVATE_25328 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.1.189\jsdrv.exe Task: {5557CAEB-C876-47C1-A3F1-F7E0EB6869AA} - System32\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-6 => C:\Program Files (x86)\Sense\Sense-novainstaller.exe Task: {5B43B6E8-6778-468A-AB0C-A08E90C849BB} - System32\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-2 => C:\Program Files (x86)\Sense\f3c825f8-dc21-4793-9f24-12a483c004ae-2.exe Task: {693AD7C2-E5AF-4A66-A2F0-8BD1068AFC2D} - System32\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-4 => C:\Program Files (x86)\Sense\f3c825f8-dc21-4793-9f24-12a483c004ae-4.exe Task: {6EAFFA92-9DA9-43D5-9AB5-224B159B88CE} - System32\Tasks\UNELEVATE_5226 => C:\Program Files (x86)\ShopperPro\JSDriver\1.36.1.172\jsdrv.exe Task: {8C589ED8-6300-49D1-AF05-A890317F30D9} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe Task: {94B8D4D3-8482-4074-8384-2E9C158847A4} - System32\Tasks\ShopperPro => C:\Program Files (x86)\ShopperPro\ShopperPro.exe Task: {A2E9C6C3-486C-4B28-900B-8C07D6B13260} - System32\Tasks\Express Files Updater => C:\Program Files (x86)\ExpressFiles\EFupdater.exe Task: {AF95CC6B-764D-494D-9049-A55CC8D43C76} - System32\Tasks\UNELEVATE_20909 => C:\Program Files (x86)\ShopperPro\JSDriver\1.36.1.172\jsdrv.exe Task: {B0EE11F4-8560-4C89-B4C2-29B543CB8DEF} - System32\Tasks\UNELEVATE_4237 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.1.189\jsdrv.exe Task: {B55068EE-FE19-42EB-967F-29643C1238F5} - System32\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-5 => C:\Program Files (x86)\Sense\f3c825f8-dc21-4793-9f24-12a483c004ae-5.exe Task: {D6C8FC30-A4CF-44DF-875A-59D0575AC41F} - System32\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-1 => C:\Program Files (x86)\Sense\Sense-codedownloader.exe Task: {EBDB6691-E438-4621-833E-A3C947C0D53E} - System32\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-3 => C:\Program Files (x86)\Sense\f3c825f8-dc21-4793-9f24-12a483c004ae-3.exe Task: {F3F8CF4B-CF01-4946-80CB-E254F2D10FF5} - System32\Tasks\SMupdate1 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update1 Task: C:\Windows\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-1.job => C:\Program Files (x86)\Sense\Sense-codedownloader.exe Task: C:\Windows\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-2.job => C:\Program Files (x86)\Sense\f3c825f8-dc21-4793-9f24-12a483c004ae-2.exe Task: C:\Windows\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-3.job => C:\Program Files (x86)\Sense\f3c825f8-dc21-4793-9f24-12a483c004ae-3.exe Task: C:\Windows\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-4.job => C:\Program Files (x86)\Sense\f3c825f8-dc21-4793-9f24-12a483c004ae-4.exe Task: C:\Windows\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-5.job => C:\Program Files (x86)\Sense\f3c825f8-dc21-4793-9f24-12a483c004ae-5.exe Task: C:\Windows\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-6.job => C:\Program Files (x86)\Sense\Sense-novainstaller.exe Task: C:\Windows\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-7.job => C:\Program Files (x86)\Sense\Sense-nova.exe AlternateDataStreams: C:\Windows:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bestsearchonweb.com HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=sc&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms} SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms} BHO: No Name -> {11111111-1111-1111-1111-110411821192} -> No File BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll (Goobzo Ltd.) BHO-x32: No Name -> {11111111-1111-1111-1111-110411821192} -> No File BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll (Goobzo Ltd.) BHO-x32: IE MANAGER -> {DE274C2C-2133-4B4B-93B3-8F21486DABC0} -> C:\Users\ikaaa\AppData\Roaming\IE_fb\bho.dll () Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File CHR Extension: (Chrome Manager) - C:\Users\ikaaa\AppData\Local\Google\Chrome\User Data\Default\Extensions\opfkgldmlgoldjlhaecddmhjgnanodfl [2012-02-21] CHR HKLM-x32\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.23.10\BabylonToolbar.crx [2014-07-19] CHR HKLM-x32\...\Chrome\Extension: [opfkgldmlgoldjlhaecddmhjgnanodfl] - C:\Users\ikaaa\AppData\Roaming\Chrome_manager\src.crx [2012-02-20] CHR StartupUrls: Default -> "hxxp://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=hp&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836" C:\ProgramData\ShopperPro C:\ProgramData\TEMP C:\Users\ikaaa\AppData\Roaming\* C:\Users\ikaaa\AppData\Roaming\aps.uninstall.scan.results C:\Users\ikaaa\AppData\Roaming\Babylon C:\Users\ikaaa\AppData\Roaming\Chrome_manager C:\Users\ikaaa\AppData\Roaming\ExpressFiles C:\Users\ikaaa\AppData\Roaming\ext@mozilla.com C:\Users\ikaaa\AppData\Roaming\Fighters C:\Users\ikaaa\AppData\Roaming\Hotdog Hotshot C:\Users\ikaaa\AppData\Roaming\IE_fb C:\Windows\pss\MyPC Backup.lnk.Startup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^ikaaa^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^MyPC Backup.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AppleSyncNotifier" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Application Restart #1" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FreeAC" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Pando Media Booster" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows (to ma na celu zapobiegnięciu blokady FRST przez Comodo). Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przy wyłączonym Comodo uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Specjalny skrót Internet Explorer jest uszkodzony (brak pecjalnego atrybutu): Shortcut: C:\Users\ikaaa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\ikaaa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Uwagi dodatkowe: ten PowerISO to w ogóle odnistaluj, archaiczny sterownik. Natomiast gdyby pakiet Office potrzebował którejś z usług, to w Autoruns odwracasz akcję dla jednej z tych (w zależności od tego jaka funkcja będzie potrzebna): Microsoft Office Groove Audit Service, odserv, ose. Czekaj ciepliwie, skan może długo potrwać, a sprawdzanie dysku pod kątem błędów jest istotnym krokiem przed właściwą defragmentacją. .

Czy Comodo sobie poradził to dopiero z logów wyjdzie, a typ obiektu jest nie do końca jasny. Jeśli chodzi o logi, to na czas ich wykonywania Comodo proszę wyłącz (interferencja), a skład obowiąkowych logów jest szerszy, tzn. muszą być dodane FRST i GMER. .

Zadania wykonane. Na razie podaję kroki końcowe pod kątem czyszczenia systemu ze śmieci. Mówiłam wprawdzie, że wątpię, by to miało związek ze zgłoszonymi problemami, ale mimo wszystko czekam na jasne potwierdzenie czy problem nadal występuje. 1. Usuń używane narzędzia za pomocą DelFix. Ręcznie usuń to co samo nie zniknie. 2. Wyczyść foldery Przywracania systemu: KLIK. .

Jak ta "reinstalacja" wyglądała? Czy usuwałeś "dane użytkownika", gdy padło takie pytanie (to usuwa katalog profilu, w przeciwnym wypadku zostaje i jest ładowany). .

Jeszcze wypróbuj te kroki: 1. W Autoruns w karcie Services odfajkuj: R2 AdobeARMservice; C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe [65432 2014-05-08] (Adobe Systems Incorporated) S3 AdobeFlashPlayerUpdateSvc; C:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [262320 2014-09-06] (Adobe Systems Incorporated) S2 gupdate; C:\Program Files\Google\Update\GoogleUpdate.exe [135664 2010-06-20] (Google Inc.) S3 gupdatem; C:\Program Files\Google\Update\GoogleUpdate.exe [135664 2010-06-20] (Google Inc.) S3 Microsoft Office Groove Audit Service; C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe [64856 2009-02-26] (Microsoft Corporation) S3 odserv; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [440696 2011-07-20] (Microsoft Corporation) S3 ose; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation) R2 RichVideo; C:\Program Files\CyberLink\Shared files\RichVideo.exe [247152 2009-07-07] () Zaś w karcie Drivers odfajkuj ten strasznie stary sterownik PowerISO: SCDEmu; C:\windows\system32\Drivers\SCDEmu.sys [56572 2008-11-02] (PowerISO Computing, Inc.) [File not signed] W karcie Scheduled Tasks odfajkuj wszystkie zadania RealPlayer, Google, oraz dodatkowo i te: ==================== Scheduled Tasks (whitelisted) ============= Task: {203C9096-F7A8-42A5-AA32-93BB6658F88A} - System32\Tasks\HPCustParticipation HP Deskjet 2540 series => C:\Program Files\HP\HP Deskjet 2540 series\Bin\HPCustPartic.exe [2014-03-06] (Hewlett-Packard Co.) Task: {628B7324-02A9-4C4B-BB2F-7A99D45C1A89} - System32\Tasks\SamsungSupportCenter => C:\Program Files\Samsung\Samsung Support Center\SSCKbdHk.exe [2009-10-26] (SAMSUNG Electronics) Task: {641A4260-85F3-44B4-A843-CD92F58BE808} - System32\Tasks\SUPBackground => C:\Program Files\Samsung\Samsung Update Plus\SUPBackground.exe [2010-04-20] () Task: {6C89850C-1724-4702-9596-E55444587194} - System32\Tasks\Launch HTC Sync Loader => C:\Program Files\HTC\HTC Sync 3.0\htcUPCTLoader.exe Task: {871539F3-4248-4D54-8AFD-1ADF452D58A6} - System32\Tasks\APSchedulerC => C:\Program Files\AnyPC Client\APLanMgrC.exe [2009-10-20] (DoctorSoft Zresetuj system. 2. Dodatkowo, zrób pełną defragmentację dysku programem Puran Defrag. Wykonaj standardową defragmentację całego dysku oraz tzw. Boot Time (do plików nieprzesuwalnych spod działającego Windows). Po wszystkim zdaj relację ile się uruchamia Windows. Te programy możesz odinstalować, to nic kluczowego. Do działania kamery jest istotny sam sterownik per se, nie wiem jednak jaki tu jest zainstalowany. .

Start > w polu szukania wpisz regedit > prawoklik na klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder Wyeksportuj do pliku REG, plik otwórz w Notatniku i wklej do posta treść do oceny. .

Dostarczyłeś dwa razy plik Fixlog, brak raportu Addition. Szczątki Firefox zostaną więc usunięte. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Optimizer Pro C:\ProgramData\InstallMate C:\ProgramData\WindowsProtectManger C:\Users\Maja\AppData\Roaming\Mozilla C:\Users\Maja\AppData\Roaming\Systweak Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Przedstaw oba logi wynikowe i wypowiedz się konkretnie na czym stoimy: czy start systemu nadal jest długi i czy coś się zawiesza. .

Poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468} /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} /f Reg: reg delete HKLM\SOFTWARE\SystemK /f Reg: reg delete HKLM\SOFTWARE\VBMZ /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\08121C32A9C319F4CB0C11FF059552A4 /f Reg: reg delete HKCU\Software\Linkey /f Reg: reg delete HKCU\Software\Softonic /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\superfish.com" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706} /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\VisualBee for Microsoft PowerPoint" /f Reg: reg delete "HKU\S-1-5-21-2696247456-811157038-2453434591-1000\Software\Microsoft\Internet Explorer\URLSearchHooks" /v {4c60e5ab-5c68-4c59-abaa-885010b24b32} /f Reg: reg delete "HKU\S-1-5-21-2696247456-811157038-2453434591-1000\Software\Microsoft\Internet Explorer\URLSearchHooks" /v {77f5fe49-12e3-4cf5-abb4-d993a0164d9e} /f Reg: reg delete "HKU\S-1-5-21-2696247456-811157038-2453434591-1000\Software\Microsoft\Internet Explorer\URLSearchHooks" /v {d2cf9842-af95-48cd-b873-bfbb48cd7f5e} /f Reg: reg delete "HKU\S-1-5-21-2696247456-811157038-2453434591-1000\Software\Microsoft\Internet Explorer\URLSearchHooks" /v {da7a20cf-bef4-4342-ad78-0240fdf87055} /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\AVG Security Toolbar RemoveDirectory: C:\Program Files (x86)\AVG SafeGuard toolbar RemoveDirectory: C:\ProgramData\APN RemoveDirectory: C:\ProgramData\AVG Security Toolbar RemoveDirectory: C:\Users\Owner\AppData\Roaming\Settings Manager RemoveDirectory: C:\Users\Owner\Desktop\Stare dane programu Firefox DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Nastąpi restart. Przedstaw fixlog.txt. .