picasso

Proszę uściślij o co tu chodzi: o zanik autologowania i automatycznego wypełniania pól czy o zanik haseł w Ustawienia > Pokaż ustawienia zaawansowane > Hasła i formularze > Zarządzaj hasłami. Poproszę o nowe logi z FRST, które mają wykazać czy wpis nadal się uruchamia. Podaj też log z Farbar Service Scanner. O ile Chew7Hale został usunięty (on tworzy takie efekty): Był uruchamany też GMER, więc zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. .

Żadnych konkretów w raportach. Z rzeczy bardziej zwracających uwagę nagminne błędy zawieszania jeden z usług Hewlett-Packard: System errors: ============= Error: (09/08/2014 10:57:34 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi hpqwmiex. Temat prawdopodobnie wyląduje w dziale Windows. W systemie owszem jest adware (SNT i YoutubeAdblocker), ale wątpię by to była przyczyna problemów. Na razie doczyść to śmietnisko i wpisy puste oraz przestaw na ręczny start w/w usługi HP: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=vlt2&from=vlt2&uid=Hitachi_HTS723232A7A364_E3834563C1B3BMC1B3BMX&ts=1354739381 SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF SearchScopes: HKLM-x32 - DefaultScope {ec29edf6-ad3c-4e1c-a087-d6cb81400c43} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: YoutubeAdblocker -> {782A52D7-455D-EA56-C266-C18ADBF6796C} -> C:\Program Files (x86)\YoutubeAdblocker\vlpU.x64.dll () BHO: SNT -> {F86A13C1-24B3-A430-4C23-B7C11BC1F6FF} -> C:\Program Files (x86)\SNT\HjI3.x64.dll () BHO-x32: YoutubeAdblocker -> {782A52D7-455D-EA56-C266-C18ADBF6796C} -> C:\Program Files (x86)\YoutubeAdblocker\vlpU.dll () BHO-x32: SNT -> {F86A13C1-24B3-A430-4C23-B7C11BC1F6FF} -> C:\Program Files (x86)\SNT\HjI3.dll () Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll (Google Inc.) FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - c:\Program Files (x86)\Hewlett-Packard\HP ProtectTools Security Manager\Bin\FirefoxExt FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird HKLM-x32\...\Run: [] => [X] Winlogon\Notify\DeviceNP-x32: DeviceNP.dll [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] Google Update Helper (x32 Version: 1.3.24.7 - Google Inc.) Hidden C:\Program Files (x86)\SNT C:\Users\User_2\AppData\Local\Google Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: sc config hpqwmiex start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware YoutubeAdblocker oraz odpadek Google Update Helper. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Temat przenoszę do działu Windows, przewodni wątek nie jest kwestią infekcji. W spoilerze doczyszczanie adware, ale to nie ma związku z problemami aktualizacji. Wstępnie: 1. Jeden z plików systemowych nie ma sygnatury Microsoftu: Handler: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\Windows\System32\msvidctl.dll () Handler: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\Windows\System32\msvidctl.dll () Może jest więcej uszkodzeń. Dodaj wyniki sprawdzania integralności plików. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. 2. Dodatkowo, w Dzienniku zdarzeń figurują takie błędy związane z bazą WebCache IE: Error: (05/09/2014 07:31:00 PM) (Source: ESENT) (EventID: 104) (User: ) Description: taskhost (2504) WebCacheLocal: Aparat bazy danych zatrzymał wystąpienie (0) z błędem (-510). Error: (05/09/2014 07:30:56 PM) (Source: ESENT) (EventID: 492) (User: ) Description: taskhost (2504) WebCacheLocal: Sekwencja pliku dziennika w "C:\Users\Tomek\AppData\Local\Microsoft\Windows\WebCache\" została zatrzymana z powodu błędu krytycznego. Przyszłe aktualizacje nie są możliwe w wypadku baz danych używających tej sekwencji pliku dziennika. Usuń problem i ponownie uruchom bazę danych lub przywróć ją z kopii zapasowej. Error: (05/09/2014 07:30:56 PM) (Source: ESENT) (EventID: 418) (User: ) Description: taskhost (2504) WebCacheLocal: Wystąpił błąd -1811 (0xfffff8ed) podczas otwierania nowo utworzonego pliku dziennika C:\Users\Tomek\AppData\Local\Microsoft\Windows\WebCache\V01.log. Tu ogólnie o opróżnianiu tego cache: KLIK. I sprawdź dysk pod kątem błędów uruchamiając w cmd komendę chkdsk /f /r. .

wieSmac, proszę nie twórz posta pod postem, do uzupełniania wypowiedzi służy opcja Edytuj, a ja się zabieram za temat gdy jestem w stanie i wiem co powiedzieć. Kwarantanna Avast kompletnie nieczytelna, ten shostowany plik DOCX pokazuje sieczkę po otworzeniu. Proszę przeklej z okna Avast wyniki do posta w postaci tekstowej lub po prostu zrób zrzut ekranu (ale tak, by było widać dokładnie ścieżki dostępu). I jak mówiłam, do usunięcia tylko drobne szczątki (co nie ma żadnego znaczenia dla poprawy kondycji) oraz naprawa WMI - otwórz Notatnik i wklej w nim: HKLM\...\Run: [] => [X] AppInit_DLLs: c:\docume~1\alluse~1\daneap~1\bitguard\261673~1.238\{c16c1~1\bitguard.dll => c:\docume~1\alluse~1\daneap~1\bitguard\261673~1.238\{c16c1~1\bitguard.dll File Not Found CHR HKCU\SOFTWARE\Policies\Google: Policy restriction C:\Documents and Settings\admin\Dane aplikacji\SampleView C:\Documents and Settings\admin\Dane aplikacji\TuneUp Software C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software C:\Documents and Settings\All Users\Dane aplikacji\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} C:\Documents and Settings\Default User\Dane aplikacji\SampleView C:\Program Files\mozilla firefox\plugins D:\Autorun.inf D:\AUTORUN.FCB Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{A7DF592F-6E2A-45C4-9A87-4BD217D714ED}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: rundll32 wbemupgd, UpgradeRepository EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Tamat przenoszę do działu Windows. Nic tu nie wskazuje na ingerencje infekcji, przyczyna spowolnienia systemu musi być więc inna. Wstępnie: 1. Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Wyłącz zbędne wpisy ze startu. W Autoruns w karcie Logon odznacz: HKLM\...\Run: [HP Software Update] => C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [49152 2007-03-11] (Hewlett-Packard Co.) HKLM\...\Run: [sunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [253816 2013-03-12] (Oracle Corporation) HKLM\...\Run: [WatchDog] => C:\Program Files\InterVideo\DVD Check\DVDCheck.exe [184320 2005-11-08] (InterVideo Inc.) HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated) HKLM\...\Run: [NeroFilterCheck] => C:\WINDOWS\system32\NeroCheck.exe [155648 2006-01-12] (Nero AG) HKLM\...\Run: [GrooveMonitor] => C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [31016 2006-10-27] (Microsoft Corporation) HKU\S-1-5-21-3258611155-3004601454-3534232741-1006\...\Run: [NBJ] => C:\Program Files\Ahead\Nero BackItUp\NBJ.exe [2048000 2006-09-15] (Ahead Software AG) HKU\S-1-5-21-3258611155-3004601454-3534232741-1006\...\Run: [Facebook Update] => C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Facebook\Update\FacebookUpdate.exe [138096 2014-04-09] (Facebook Inc.) HKU\S-1-5-21-3258611155-3004601454-3534232741-1006\...\Run: [skype] => C:\Program Files\Skype\Phone\Skype.exe [21650536 2014-07-02] (Skype Technologies S.A.) W karcie Services odznacz JavaQuickStarterService, SkypeUpdate. Zresetuj system. 4. Problem może tworzyć także Avast per se, ale to można potwierdzić tylko poprzez tymczasową jego deinstalację. 5. Do wykonania pełna aktualizacja Windows. Po wykonaniu tych kroków zgłoś się i wypowiedz co się konkretnie dzieje. .

Zrób nowy raport FRST, ale na następujących warunkach: odznacz pola Whitelist w sekcjach Services i Drivers.

Wprawdzie tamtego wpisu nie ma, ale i tak jesteś zainfekowany. Nabyłeś nowe adware, niejaki "Adanak". Prawdopodobna droga nabycia to jedno z tych źródeł: KLIK. 1. Rozpocznij od poprawnej deinstalacji adware poprzez Dodaj/Usuń programy: Adanak, ExpressFiles. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też log z AdwCleaner. .

Umieszczanie logów w załącznikach jest tu wymogiem, nie wkleja się ich w postach. Za logi "krótkie" dozwolone do wklejania bezpośredniego uznaję kilkulinijkowe a nie takie. W systemie działa agresywne adware, m.in. z grupy Sambreel. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 Update sizlsearch; C:\Program Files\sizlsearch\updatesizlsearch.exe [323360 2014-09-08] () R2 Util sizlsearch; C:\Program Files\sizlsearch\bin\utilsizlsearch.exe [323360 2014-09-08] () R2 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe [528896 2014-09-03] (Fuyu LIMITED) [File not signed] R1 {9d5747ee-0448-4681-8337-1555de75a3b6}Gt; C:\WINDOWS\System32\drivers\{9d5747ee-0448-4681-8337-1555de75a3b6}Gt.sys [55104 2014-08-23] (StdLib) S3 adusbser; system32\DRIVERS\adusbser.sys [X] S1 eeCtrl; \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys [X] S3 EraserUtilRebootDrv; \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [X] S3 HidNt; system32\DRIVERS\HIDNt.sys [X] S3 Mac606; system32\DRIVERS\Mac606.sys [X] HKLM\...\Run: [] => [X] HKLM\...\Run: [fst_pl_188] => [X] AppInit_DLLs: c:\progra~1\movies~1\datamngr\mgrldr.dll => c:\progra~1\movies~1\datamngr\mgrldr.dll File Not Found HKLM\...\AppCertDlls: [x64] -> c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\Asia\DANEAP~1\BABSOL~1\Shared\BabMaint.exe Startup: C:\Documents and Settings\Asia\Menu Start\Programy\Autostart\Canon IJ Status Monitor Canon MP230 series Printer.lnk HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1409764853&from=obw&uid=SAMSUNGXHD250HJ_S0URJ9DQ221815&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1409764853&from=obw&uid=SAMSUNGXHD250HJ_S0URJ9DQ221815&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.doko-search.com/?babsrc=HP_ss&mntrId=58DD001BFCD00BC7&affID=125839&tl=gpn65235&tsp=5039 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1409764853&from=obw&uid=SAMSUNGXHD250HJ_S0URJ9DQ221815&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1409764853&from=obw&uid=SAMSUNGXHD250HJ_S0URJ9DQ221815&q={searchTerms} URLSearchHook: HKCU - UsProvider Class - {539F76FD-084E-4858-86D5-62F02F54AE86} - C:\Program Files\Minibar\Minibar.dll (KangoExtensions) StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1409764853&from=obw&uid=SAMSUNGXHD250HJ_S0URJ9DQ221815 SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=495&systemid=406&v=a9396-116&apn_uid=5044781299234525&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} SearchScopes: HKLM - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={44DB1399-D6E7-4B27-863D-B1A7B726FEFC} SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.doko-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=58DD001BFCD00BC7&affID=125839&tl=gpn65235&tsp=5039 SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=495&systemid=406&apn_uid=5044781299234525&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={44DB1399-D6E7-4B27-863D-B1A7B726FEFC} BHO: sizlsearch -> {36d96925-abfa-4eb8-b630-305e905a930d} -> C:\Program Files\sizlsearch\sizlsearchbho.dll (sizlsearch) BHO: MinibarBHO -> {AA74D58F-ACD0-450D-A85E-6C04B171C044} -> C:\Program Files\Minibar\Minibar.dll (KangoExtensions) Toolbar: HKLM - No Name - {377e5d4d-77e5-476a-8716-7e70a9272da0} - No File Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.21.165\npGoogleUpdate3.dll No File FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.21.165\npGoogleUpdate3.dll No File FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM\...\Firefox\Extensions: [{6D5C8FC4-DE46-41bf-9092-93F0F78E9115}] - C:\Documents and Settings\All Users\Dane aplikacji\Norton\{78CA3BF0-9C3B-40e1-B46D-38C877EF059A}\NSM_2.8.0.5\coFFFw FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 CHR HKLM\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\newtab.crx [2013-10-18] CHR HKLM\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [2012-11-26] CHR HKLM\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetNT.crx [2012-11-26] CHR HKCU\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\DOCUME~1\Asia\USTAWI~1\DANEAP~1\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx [2013-05-21] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction GroupPolicy: Group Policy on Chrome detected C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\BitGuard C:\Documents and Settings\All Users\Dane aplikacji\Norton C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\Asia\Dane aplikacji\ap_logs C:\Documents and Settings\Asia\Dane aplikacji\aps.uninstall.scan.results C:\Documents and Settings\Asia\Dane aplikacji\BabSolution C:\Documents and Settings\Asia\Dane aplikacji\Babylon C:\Documents and Settings\Asia\Dane aplikacji\Minibar C:\Documents and Settings\Asia\Dane aplikacji\onlysearch C:\Documents and Settings\Asia\Dane aplikacji\OpenCandy C:\Documents and Settings\Asia\Dane aplikacji\Radmin C:\Documents and Settings\Asia\Dane aplikacji\webssearches C:\Documents and Settings\Asia\Pulpit\Continue Live Installation.lnk C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\*.tmp C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847} C:\Program Files\Minibar C:\Program Files\predm C:\WINDOWS\jumpshot.com C:\WINDOWS\system32\Drivers\{9d5747ee-0448-4681-8337-1555de75a3b6}Gt.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f CMD: netsh firewall reset CMD: sc config "PLAY ONLINE. RunOuc" start= demand Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj adware: sizlsearch, WindowsMangerProtect20.0.0.722. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Lightning Newtab, SweetIM for Facebook, SweetPacks Chrome Extension Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Wszystko zrobione. Kończymy: 1. AdwCleaner się pomylił i usunął foldery poprawnego programu Lightspark: Folder Usunięto : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightspark 0.5.3-git Folder Usunięto : C:\Program Files (x86)\Lightspark 0.5.3-git Wejdź do kwarantanny AdwCleaner (C:\AdwCleaner) i przywróć oba foldery na miejsce. Jeśli program nadal nie będzie działał, nadinstaluj go. 2. Usuń używane narzędzia z E:\ i popraw za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj poniżej wyliczone programy: KLIK. Internet Explorer Version 9 ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 11.6.602.180 - Adobe Systems Incorporated) ----> wtyczka dla IE Google Chrome (HKLM-x32\...\Google Chrome) (Version: 34.0.1847.116 - Google Inc.) Java 7 Update 25 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.250 - Oracle) Microsoft Office 2010 Service Pack 1 (SP1) (HKLM\...\{90140000-0011-0000-1000-0000000FF1CE}_Office14.PROPLUS_{7BC9B5EB-125A-4E9B-97E1-8D85B5E960B8}) (Version: - Microsoft) ----> instalacja SP2 Ten stary Adobe i Java do deinstalacji, i to ta stara dziurawa Java była przypuszczalnie przyczyną infekcji blokującej system. .

Problem rozwiązany, ale na wszelki wypadek należy "pilnować" tego miejsca, gdyż nie jest wykluczone, iż czynny pakiet GData doda ponownie ten filtr. Gdyby problem wystąpił w przyszłości ponownie, wiesz jak działać. Usuń używane narzędzia z J:\heal i zastosuj DelFix. To tyle. .

Jak mówię, pojawił się nowy niedomyślny obiekt czy MSSE (to nie jest część instalacji SP1), który wprowadza nowe sterowniki i usługi. "Trwa uruchamianie systemu windows" = faza ładowania sterowników, "Zapraszamy" = usługi. Sprawdź więc czy to nie antywirus jest problemem i na próbę go odinstaluj (to jedyna 100% metoda sprawdzianu). Niestety jeśli się okaże, że spuści to czas uruchomienia, zbyt dużo się nie da zrobić, gdyż każdy nowoczesny antywirus ładuje się przy udziale usług i sterowników i będzie wydłużał czas uruchomienia. Wątpię w tę teorię. Inna metoda instalacji może mieć odbicie w innym układzie zainstalowanych komponentów, ale nic nie jest dodawane do startu. Jeśli chodzi o rozmaite przypadki "spowolnienia po instalacji SP1": każda konfiguracja jest unikatowa, nie wiadomo jakie mieli niedomyślne programy zainstalowane, ani jaką konfigurację sprzętową i sterowniki firm trzecich, a jest zbyt dużo czynników definiujących problem. .

irafula, byłeś proszony o pełne Dzienniki zdarzeń a nie logi (one są bezużyteczne w kontekście problemu, a infekcja została wykluczona już na samym początku na podstawie raportu USBFix). Zostawiam tylko Addition, bo on podaje ostatnie błędy.

Przechodzimy do czyszczenia adware i wpisów pustych: 1. Otwórz Notatnik i wklej w nim: Task: {1E5463CA-ACC7-4E4F-B8CC-EAD15804D669} - System32\Tasks\{939270E1-3198-42D0-9E9C-2A35EF3CECB0} => C:\Users\Kuba\Desktop\StarCraft II Wings of Liberty-RELOADED Crack\StarCraft II Wings of Liberty-RELOADED Crack\StarCraft II.exe Task: {3CFEAFD2-F6D8-43D8-8D36-0086F421F6BB} - System32\Tasks\Digital Sites => C:\Users\Kuba\AppData\Roaming\DigitalSites\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {E2164964-8F02-4C16-B069-675369FE0D77} - System32\Tasks\DigitalSite => C:\Users\Kuba\AppData\Roaming\DigitalSite\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {FBA33CA3-DCD5-462C-B861-2068371782EC} - System32\Tasks\AmiUpdXp => C:\Users\Kuba\AppData\Local\SwvUpdater\Updater.exe [2013-12-16] (Amonetizé Ltd) Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\Kuba\AppData\Local\SwvUpdater\Updater.exe Task: C:\Windows\Tasks\Digital Sites.job => C:\Users\Kuba\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\DigitalSite.job => C:\Users\Kuba\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE FF HKLM-x32\...\Firefox\Extensions: [ext@flash-Enhancer.com] - C:\Program Files (x86)\AmiExt\flashEnhancer\ff FF HKLM-x32\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha7988.net] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha7988\ff FF HKLM-x32\...\Firefox\Extensions: [ext@VideoPlayerV3beta264.net] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta264\ff FF HKLM-x32\...\Firefox\Extensions: [ext@MediaPlayerV1alpha636.net] - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha636\ff FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewerV1alpha986.net] - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha986\ff FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewV1alpha2370.net] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha2370\ff FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewV1alpha1447.net] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha1447\ff FF HKLM-x32\...\Firefox\Extensions: [ext@MediaWatchV1home2265.net] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home2265\ff FF HKLM-x32\...\Firefox\Extensions: [ext@MediaBuzzV1mode5806.net] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode5806\ff CHR HKLM-x32\...\Chrome\Extension: [bgclfemcpgkemipfhhijfpabjagbjopd] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode5806\ch\MediaBuzzV1mode5806.crx [2014-04-24] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.doko-search.com/?babsrc=HP_ss&mntrId=C0E5002481488D21&affID=125839&tsp=5036 StartMenuInternet: IEXPLORE.EXE - c:\program files (x86)\internet explorer\iexplore.exe SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.doko-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=C0E5002481488D21&affID=125839&tsp=5036 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.doko-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=C0E5002481488D21&affID=125839&tsp=5036 BHO-x32: Media Buzz -> {52631182-6574-4d7f-ace5-ed6b829a8571} -> C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode5806\ie\MediaBuzzV1mode5806.dll () BHO-x32: Shopping Suggestion. -> {e7e8ed77-2fba-4ec6-bc07-65de4de6709f} -> C:\Windows\SysWOW64\mscoree.dll (Microsoft Corporation) BHO-x32: Shopping Suggestion -> {F6C07882-D703-4DD5-905A-2C4E815A5066} -> C:\Users\Kuba\AppData\Roaming\D394D188-BAC7-4e03-8FAF-389A4D7EC6F4\Shopping Suggestion.dll (WW3, LLC) ShellIconOverlayIdentifiers-x32: Groove Explorer Icon Overlay 1 (GFS Unread Stub) -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} => C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL No File ShellIconOverlayIdentifiers-x32: Groove Explorer Icon Overlay 2 (GFS Stub) -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} => C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL No File ShellIconOverlayIdentifiers-x32: Groove Explorer Icon Overlay 2.5 (GFS Unread Folder) -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} => C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL No File ShellIconOverlayIdentifiers-x32: Groove Explorer Icon Overlay 3 (GFS Folder) -> {16F3DD56-1AF5-4347-846D-7C10C4192619} => C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL No File ShellIconOverlayIdentifiers-x32: Groove Explorer Icon Overlay 4 (GFS Unread Mark) -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} => C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL No File ShellExecuteHooks-x32: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL No File [ ] C:\Users\Kuba\AppData\Roaming\D394D188-BAC7-4e03-8FAF-389A4D7EC6F4 C:\Windows\pss\Empty.pif.Startup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Kuba^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: Codec Pack Packages, flash-Enhancer, GPU Monitor, Media Buzz, Media Player, Media View (dwie pozycje), Media Viewer, Media Watch, Mobogenie, Software Version Updater, Video Player, Webexp Enhanced, YAC 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Media Buzz Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Klucze wtyczek są przetrzebione. Nie wiem co się stało z wtyczkami, w logach z usuwania nie ma oznak, by któreś narzędzie naruszyło coś więcej niż zadane. Aspekt nie jest jednak kluczowy, te wtyczki mogą się samoistnie nadbudować. Poza tym drobnym zawirowaniem akcje zostały wykonane i kończymy: 1. Usuń ręcznie używane programy z C:\Users\Paweł\Desktop\programy do analizy. Zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do deinstalacji (i o ile potrzeba zastąpić najnowszą wersją): ==================== Installed Programs ====================== Adobe Flash Player 12 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla IE Java 7 Update 51 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle) Mozilla Firefox 28.0 (x86 pl) (HKLM\...\Mozilla Firefox 28.0 (x86 pl)) (Version: 28.0 - Mozilla) .

Czy są jakieś zmiany w uruchamianiu systemu?

Tak, infekcja zmodyfikowała usługę Winmgmt (Instrumentacja zarządzania Windows), dlatego nie jest możliwy start systemu w żadnym z trybów. Prócz tego jest dużo adware, ale dokładniejsze czyszczenie tych śmieci odbędzie się już spod Windows. Przechodzimy do usuwania: 1. Otwórz Notatnik i wklej w nim: S2 Winmgmt; C:\Users\Kuba\AppData\Local\Temp\Low\mqmqiflf8z.faa [332020 2014-04-01] (Microsoft Corporation) S2 iSafeService; C:\Program Files (x86)\iSafe\iSafeSvc.exe [118056 2014-04-23] (Elex do Brasil Participações Ltda) S2 MgAssistService; C:\Program Files (x86)\Mobogenie\MgAssist.exe [70848 2014-04-17] () S3 iSafeKrnl; C:\Program Files (x86)\iSafe\iSafeKrnl.sys [232960 2014-04-23] (Elex do Brasil Participações Ltda) S1 iSafeKrnlKit; C:\Program Files (x86)\iSafe\iSafeKrnlKit.sys [66048 2014-04-23] (Elex do Brasil Participações Ltda) S1 iSafeNetFilter; C:\Program Files (x86)\iSafe\iSafeNetFilter.sys [48128 2014-04-23] (Elex do Brasil Participações Ltda) S3 iSafeKrnlBoot; \??\system32\DRIVERS\iSafeKrnlBoot.sys [X] HKLM-x32\...\Run: [tuto4pc_pl_17] => [X] HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [761536 2014-01-06] () HKLM-x32\...\Run: [GPULoader] => C:\Program Files (x86)\VLC Player GPU+\GPULog.exe [1303776 2013-12-13] () HKLM-x32\...\Run: [GPUTemp] => C:\Users\Kuba\AppData\Local\Temp\GPUTemp.exe [1312136 2014-01-09] () HKU\Kuba\...\Run: [NextLive] => C:\Windows\SysWOW64\rundll32.exe "C:\Users\Kuba\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hfrev9h.lnk GroupPolicy: Group Policy on Chrome detected C:\ProgramData\2992199F9A C:\Users\Kuba\daemonprocess.txt C:\Users\Kuba\AppData\Local\Temp Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. System zostanie odblokowany. Zaloguj się normalnie do Windows. Zrób nowe logi z FRST (mają powstać 3: FRST.txt, Addition.txt i Shortcut.txt). .

1. Tu pojawił się niedomyślny element czyli antywirus MSSE. Dodatkowo nadal jest stary MBAM w starcie. Proponuję zacząć jednak od kolejnych deinstalacji: na początek odinstaluj MBAM i zresetuj system. 2. Pojawił się też nowy wpis Adobe ARM, możesz go wyłączyć via Autoruns w karcie Logon. .

To już wszystko. Temat rozwiązany, zamykam.

Uprzednio zadane czynności zostały pomyślnie wykonane. W związku jednak z tym, iż główny log FRST pochodzi sprzed prawie trzech miesięcy, na wszelki wypadek pobierz najnowszy FRST i zrób nowy skan (dostarcz wszystkie trzy logi: FRST.txt, Addition.txt i Shortcut.txt).

Szczególnie mocnych infekcji tu nie widzę, ale adware owszem jest i może to mieć pewien wpływ. Podejrzewam również, że problem z ładowaniem systemu we wczesnej fazie pogarsza właśnie Avast, który na dodatek jest stary i nieaktywny. Co tu zostanie więc przeprowadzone: usunięcie Avast oraz śmieci. Ale ja nie o tym mówię. Na dysku jest owszem ta paczka: C:\Users\Maja\Downloads\mhdd32ver4.6iso.zip. Ale to nie może mieć w ogóle związku z: MHDD jest darmowy i w ogóle nie skanuje rejestru, jest programem do sprawdzania kondycji dysku i uruchamia się z płyty CD (to co pobrałeś ma wyraźnie w nazwie "iso", co oznacza konieczność nagrania obrazu na płytę). Ty chyba mówisz o RegClean Pro (świeża instalacja), który jest programem wątpliwej reputacji, klasyfikowanym jako "PUP/adware". RegClean będzie usuwany. Przeprowadź następujące kroki, punkty 1+2 w Trybie awaryjnym Windows: 1. Przez Panel sterowania odinstaluj avast! Free Antivirus. Następnie zastosuj narzędzie Avast Uninstall Utility. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [704112 2014-05-08] (Cherished Technololgy LIMITED) S2 Update Greener Web; C:\Program Files (x86)\Greener Web\updateGreenerWeb.exe [323360 2014-09-06] () S2 Util Greener Web; C:\Program Files (x86)\Greener Web\bin\utilGreenerWeb.exe [323360 2014-09-06] () S2 WindowsProtectManger; C:\ProgramData\WindowsProtectManger\wprotectmanager.exe [591776 2014-06-12] (Fuyu LIMITED) S2 NVSvc; %SystemRoot%\system32\nvvsvc.exe [X] S2 SftService; "C:\Program Files (x86)\Dell DataSafe Local Backup\sftservice.EXE" [X] S2 Stereo Service; C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [X] R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}w64; C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys [61120 2014-06-20] (StdLib) S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] HKU\S-1-5-21-4029269388-3786882740-1588903154-1001\...\Run: [Optimizer Pro] => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe [81952 2012-10-21] (PC Utilities Pro) AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => C:\Program Files (x86)\SupTab\SearchProtect64.dll [102512 2014-05-08] (Skytech Co., Ltd.) AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => C:\Program Files (x86)\SupTab\SearchProtect32.dll [91248 2014-05-08] (Skytech Co., Ltd.) Task: {1869C1C4-14C5-4039-ACAD-65221131526B} - System32\Tasks\{D35135FA-E195-4AB2-BCDC-1AE291C791E0} => C:\Program Files (x86)\Internet w Cyfrowym Polsacie\Internet w Cyfrowym Polsacie.exe Task: {2F434EFE-6B33-440D-B651-21AD963323B7} - System32\Tasks\{0B7CE84B-5F9B-4539-84A2-4B73A046E2BD} => C:\Program Files (x86)\Internet w Cyfrowym Polsacie\Internet w Cyfrowym Polsacie.exe Task: {379681CA-57ED-4B9E-B23E-E781DCBFA754} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RCP\RegCleanPro.exe [2014-08-05] () Task: {3B35384C-4C09-47C5-836E-ACF22A7F6913} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RCP\RegCleanPro.exe [2014-08-05] () Task: {3FBCB4C4-AC86-40FA-9196-5FC8C530E93F} - System32\Tasks\{D702F558-3CF6-401B-A502-690F2A602592} => C:\Program Files (x86)\Internet w Cyfrowym Polsacie\Internet w Cyfrowym Polsacie.exe Task: {3FCADD0D-B3E2-4B9D-9D44-98745D240EBD} - System32\Tasks\{7B7F3E43-B504-47ED-871B-F0A88B9E4372} => C:\Program Files (x86)\Internet w Cyfrowym Polsacie\Internet w Cyfrowym Polsacie.exe Task: {6320527D-591A-4690-881A-5201402291AE} - System32\Tasks\{D63ED6A6-C1F4-4B89-82BF-74377E3B6E67} => C:\Program Files (x86)\Internet w Cyfrowym Polsacie\Internet w Cyfrowym Polsacie.exe Task: {7397A31D-7C83-4A8E-80A0-CD4EBEBE5458} - System32\Tasks\{2819DD52-2C39-45D8-A07E-6189500ECB07} => C:\Program Files (x86)\Internet w Cyfrowym Polsacie\Internet w Cyfrowym Polsacie.exe Task: {8066BB0C-891C-406F-96FB-56505D44A77A} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RCP\RegCleanPro.exe [2014-08-05] () Task: {873DDADE-07CD-4B19-86D5-BA987979649D} - System32\Tasks\{F2C0E753-F0B1-4FEF-A492-5244D9DDDAAF} => C:\Program Files (x86)\Internet w Cyfrowym Polsacie\Internet w Cyfrowym Polsacie.exe Task: {C9F429A1-AF2B-4975-9CA7-674886F3CDB5} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe [2012-08-21] (AVAST Software) Task: {ED10FC5A-8D1F-42A8-97E8-565DAD4130A3} - System32\Tasks\{6B55B19C-95D6-4610-B5B8-BFA017C5D5A6} => C:\Program Files (x86)\Internet w Cyfrowym Polsacie\Internet w Cyfrowym Polsacie.exe Task: C:\windows\Tasks\RegClean Pro.job => C:\Program Files (x86)\RCP\RegCleanPro.exe Task: C:\windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files (x86)\RCP\RegCleanPro.exe Task: C:\windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files (x86)\RCP\RegCleanPro.exe HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1403213376&from=vit&uid=ST750LM022XHN-M750MBB_S2X2J90C532051532051 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1403213376&from=vit&uid=ST750LM022XHN-M750MBB_S2X2J90C532051532051&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1403213376&from=vit&uid=ST750LM022XHN-M750MBB_S2X2J90C532051532051 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140619 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1403213376&from=vit&uid=ST750LM022XHN-M750MBB_S2X2J90C532051532051&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1403213376&from=vit&uid=ST750LM022XHN-M750MBB_S2X2J90C532051532051&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1403213376&from=vit&uid=ST750LM022XHN-M750MBB_S2X2J90C532051532051 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140619 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1403213376&from=vit&uid=ST750LM022XHN-M750MBB_S2X2J90C532051532051&q={searchTerms} SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1403213376&from=vit&uid=ST750LM022XHN-M750MBB_S2X2J90C532051532051&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1403213376&from=vit&uid=ST750LM022XHN-M750MBB_S2X2J90C532051532051&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1403213376&from=vit&uid=ST750LM022XHN-M750MBB_S2X2J90C532051532051&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1403213376&from=vit&uid=ST750LM022XHN-M750MBB_S2X2J90C532051532051&q={searchTerms} SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=708&r=2013/04/16&hid=2136468800&lg=EN&cc=PL SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1403213376&from=vit&uid=ST750LM022XHN-M750MBB_S2X2J90C532051532051&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1403213376&from=vit&uid=ST750LM022XHN-M750MBB_S2X2J90C532051532051&q={searchTerms} SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=708&r=2013/04/16&hid=2136468800&lg=EN&cc=PL SearchScopes: HKCU - {EB44AB4A-CD98-4E48-B8B3-2C3ADD229CDB} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=D71F9C41-CC73-4ECF-8EA6-9BE4B3D2FDC2&apn_sauid=6BC3D0E8-D882-4799-892B-753DFC8D095E BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\sweet-page.xml FF HKLM-x32\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF FF HKLM-x32\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Users\Maja\AppData\Roaming\Mozilla\Firefox\Profiles\jmjiwqnz.default\extensions\quick_start@gmail.com C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Greener Web C:\Program Files (x86)\SupTab C:\ProgramData\IePluginServices C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro C:\Users\Maja\AppData\Roaming\NCdownloader C:\Users\Maja\AppData\Roaming\SupTab C:\Users\Public\Desktop\RegClean Pro.lnk C:\Windows\system32\roboot64.exe C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys RemoveDirectory: C:\ComboFix RemoveDirectory: C:\Qoobox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Spróbuj wejść w Tryb normalny Windows. Jeśli to się uda: - Odinstaluj via Panel sterowania adware: Installer, Optimizer Pro v3.0, OptimizerPro, RegClean-Pro, WindowsProtectManger20.0.0.401. - Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Spróbuj też ponowić z nim próbę. Skanu GMER nic nie zastąpi, to program do wyszukiwania ukrytych modyfikacji. .

Logi z usuwania OK. To jest fabryczny błąd Twojego Windowsa. Producent komputera źle serwisował obraz i dlatego były dwie pozycje C, a samo Przywracanie nie działało wcale dla C (i nie było nic do czyszczenia), gdyż niewłaściwy wolumin był zaznaczony do monitorowania: SYSTEM (C:) (System) Wyłączona (C:) (Brak) Włączona Błąd ten likwiduje się poprzez wyłączenie monitoringu dla pozycji opisanej jako "Brak" (to już zrobiłeś) oraz włączenie Ochrony dla właściwej pozycji opisanej jako "System" (to należy wykonać). Dopiero po tej akcji Przywracanie zacznie działać. .

Dzięki za wszystkie życzenia tu, w statusie i na PW!

Skrypt wykonany. Usuń używane narzędzia za pomocą DelFix. To tyle.

Mam pytanie: czy jakieś wtyczki Firefox były usuwane ręcznie? Przetwarzałam tylko szkodliwe wtyczki, ale nowy log z FRST (z tej samej wersji programu) pokazuje zasadniczą różnicę w obszarze poprawnych wtyczek, lista jest krótsza o połowę... Wszystko zrobione. Poprawki. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SOFTWARE\MozillaPlugins /s SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: del /q C:\Users\Paweł\AppData\Roaming\WKPZ.exe CMD: del /q C:\Users\Paweł\AppData\Roaming\INMYOK.exe CMD: del /q C:\windows\system32\sqlite3.dll RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Paweł\Desktop\Stare dane programu Firefox DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Dostarcz wynikowy fixlog.txt. .

Nic tu nie wskazuje na modyfikacje infekcji. W spoilerze masz drobne usuwanie szczątków, ale to w ogóle bez znaczenia w kontekście objawów. Z raportów nic też absolutnie nie wynika pod kątem problemu zasadniczego. Ale pozbądź się tego dziwaka, sterowniki należy aktualizować ręcznie a nie przy udziale automatów: ==================== Installed Programs ====================== Driver Detective (HKLM\...\{5D6D605B-E4B7-490B-A794-9284BC3D2A8B}) (Version: 8.1 - PC Drivers HeadQuarters) ==================== Scheduled Tasks (whitelisted) ============= Task: {4A6EC3FA-4FA3-49C6-8330-BD75884C7F61} - System32\Tasks\Driver Detective-RTMScan => C:\Program Files\PC Drivers HeadQuarters\Driver Detective\DriversHQ.DriverDetective.Client.exe [2013-01-25] (PC Drivers Headquarters) Task: {D72F0C3D-BBF7-421D-B054-447704BD9D0F} - System32\Tasks\Driver Detective-RTMRules => C:\Program Files\PC Drivers HeadQuarters\Driver Detective\DriversHQ.DriverDetective.Client.exe [2013-01-25] (PC Drivers Headquarters) Task: {E0380D55-C6A7-45B6-8C57-1863B8B3B117} - System32\Tasks\Driver Detective-RTMUpdater => C:\Program Files\PC Drivers HeadQuarters\Driver Detective\DriversHQ.DriverDetective.Client.exe [2013-01-25] (PC Drivers Headquarters) Temat przenoszę. Przedstawiony na zrzutach ekranu problem wygląda na relatywny do grafiki, więc przesuwam temat do działu Hardware. Dodaj materiały wymagane działem: KLIK. Dodatkowo, przedstaw na zrzutach ekranu co jest w konfiguracji nVidia. .

Cóż, jeśli wykonałeś instrukcje z posta CreepyPasste, to i wpis zniknął i przetwarzanie go w skrypcie FRST było bezcelowe. W związku z brakiem jasności poproszę o nowy log FRST z opji Scan, zaznacz też ponownie pole Addition. .