picasso

Tak jak mówię, obstaję za formatem, tylko musisz brać pod uwagę: - Nie wolno Ci z żadnego z dysków tego komputera skopiować ani jednego pliku wykonywalnego. Jeden plik z genem Sality przypadkowo skopiowany i uruchomiony po formacie = zabawa od początku. - Są podejrzane trzy dyski (w tym przenośny). Format w domyślnym wyborze dedykuje tylko C, dwoma pozostałymi musisz się też zająć. Przy okazji: dysk C sformatowany w archaicznym FAT32 - wykonaj format w NTFS (mniejsza awaryjność układu). - Instaluj Windows już wstępnie zaopatrzony conajmniej w SP3 (choć i to mało, SP3 jest z 2008...). Jak przygotować podstawową integrację: KLIK. Można to rozszerzyć posługując się nLite: KLIK. ==================== Memory info =========================== Processor: Intel® Celeron® M CPU 410 @ 1.46GHz Percentage of memory in use: 62% Total physical RAM: 190.1 MB Available physical RAM: 71.72 MB Total Pagefile: 463.84 MB Available Pagefile: 226.36 MB Total Virtual: 2047.88 MB Available Virtual: 1944.07 MB 1. Ilość RAM opłakana, to tylko nieco wyżej od minimum instalacyjnego XP. Na tym nie pójdzie żaden nowoczesny kompleksowy antywirus. Możesz ostatecznie spróbować czy da się uruchomić bez zamulenia Immunet Free. 2. Zainteresuj się też rozwiązaniami innego typu: - Panda USB Vaccine, by zabezpieczyć przed wykonywaniem plików autorun.inf (m.in. delikwent Sality tym się posługuje) - Windows Worms Doors Cleaner do zamknięcia podstawowych portów. - EMET, by ogólnie uszczelnić system .

Dostarczyłeś konkretny obrazek notujący problemy z dyskiem. Temat przenoszę do działu Hardware. Uzupełnij dane: KLIK. .

Kolejne poprawki: 1. Ja nadal widzę w Google Chrome Sweetpacks jako dostawcę wyszukiwania: CHR DefaultSearchProvider: Default -> Sweetpacks CHR DefaultSearchURL: Default -> http://mysearch.sweetpacks.com?src=6&q={searchTerms}&barid=& CHR DefaultSuggestURL: Default -> Tego nie powinno być w Preferences po wykonaniu tej akcji: Czy na pewno to zrobiłeś? Wykonaj ponownie. 2. Po tej akcji wejście programu zniknie z listy zainstalowanych. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Allin1Convert_8hbar Uninstall Internet Explorer" /f RemoveDirectory: C:\Program Files (x86)\Allin1Convert_8h RemoveDirectory: C:\Users\Michael\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. I wypowiedz się czy nadal w systemie występują raportowane problemy ze stronami. .

Logi uzupełnione, choć brakuje FRST Shortcut. W Firefox widzę śmiecia "Site Matcher". Ponadto do usunięcia będą inne szczątki adware, wygląda mi to na skutki nieumiejętnie użytego AdwCleaner. Wstępnie: 1. Konkretnie wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną wyzerowane. Rozszerzenia uzupełnisz potem, musi być wiadome jak działa FF w stanie czystym. 2. Otwórz Notatnik i wklej w nim: BHO: Ask Toolbar -> {5347542D-5637-006A-76A7-7A786E7484D7} -> "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\SGT-V7\Passport_x64.dll" No File BHO-x32: Ask Toolbar -> {5347542D-5637-006A-76A7-7A786E7484D7} -> "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\SGT-V7\Passport.dll" No File Toolbar: HKLM - Ask Toolbar - {5347542D-5637-006A-76A7-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\SGT-V7\Passport_x64.dll" No File Toolbar: HKLM-x32 - Ask Toolbar - {5347542D-5637-006A-76A7-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\SGT-V7\Passport.dll" No File EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner. Wypowiedz się czy widzisz jakieś zmiany. .

Opuść więc ten krok i przejdź dalej. Zajmę się usuwaniem komponentów ręcznie.

To już było dyskutowane z jessiką na PW, w logu FRST było widać, iż grasuje wirus Sality (sterownik WMI_MFC_TPSHOKER_80). Wirus atakuje wszystkie pliki wykonywalne na wszystkich dyskach (system, programy). Wg FRST są tu dwa dyski fizyczne stałe i jeden pendrive - na wszystkich już może być wirus: ==================== Drives ================================ Drive c: () (Fixed) (Total:27.33 GB) (Free:18.84 GB) FAT32 ==>[Drive with boot components (Windows XP)] Drive d: () (Fixed) (Total:28.53 GB) (Free:28.38 GB) NTFS Drive f: () (Removable) (Total:29.88 GB) (Free:29.87 GB) FAT32 Leczenie z Sality jest trudne, nawet jeśli szczepionka SalityKiller i jakiś skaner antywirusowy wyleczą pliki, system może nie uzyskać pierwotnej sprawności, może zostać mnóstwo uszkodzonych leczeniem plików (wymagających i tak podmian plików Windows i reinstalacji programów), a zakres tego jest nie do sprawdzenia. I właśnie: Moim zdaniem nie warto czyścić tego systemu tylko go postawić od nowa. Przecież tu jest tragiczny poziom aktualizacji: Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) OS Language: Polski Internet Explorer Version 6 Robota w ogóle nieopłacalna. Tylko że tu nie tylko już chodzi o dysk C, są zagrożone również dyski D i F. Co tu planuję: doczyścić co widać, usunąć maksimum zagrożeń z dysków innych niż C, przygotowanie nowej płyty XP ze zintegrowanym SP3 (to i tak cholernie stare) i format. Wstępnie podaj log z USBFix z opcji Listing. .

Nic nie wciskaj tylko zresetuj system, tak jak mówi komunikat.

1. Zmienne są uszkodzone, brakuje domyślnych ciągów Windows: path=C:\ProgramData\Oracle\Java\javapath;C:\Program Files (x86)\NVIDIA Corporation\PhysX\Common;C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\Windows Live\Shared Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe zaznacz Path i klik w Edytuj. Przeklej całą ścieżkę do Notatnika, wstaw pomarańczowy blok jako pierwszy: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\ProgramData\Oracle\Java\javapath;C:\Program Files (x86)\NVIDIA Corporation\PhysX\Common;C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\Windows Live\Shared Zedytowaną ścieżkę przeklej z powrotem do okna i zapisz. Zresetuj system. Dla pewności zrób mi nowy skan FRST (bez Addition i Shortcut). 2. Jeśli chodzi o uszkodzony plik notowany w SFC: 2014-08-03 14:40:29, Info CSI 000003ba [sR] Cannot repair member file [l:30{15}]"XInput9_1_0.dll" of Microsoft-Windows-DirectX-XInput, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-08-03 14:40:29, Info CSI 000003bb [sR] This component was referenced by [l:242{121}]"Microsoft-Windows-Client-Features-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.Microsoft-Windows-Client-Features-Update" 2014-08-03 14:40:29, Info CSI 000003be [sR] Could not reproject corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:30{15}]"XInput9_1_0.dll"; source file in store is also corrupted Wszystkie wystąpienia, 32-bitowe i 64-bitowe, są zdefektowane: złe sumy kontrolne MD5 niezgodne z komponentem wersji 6.1.7600.16385, a pliki są identyczne. Nie wiem jakim cudem w nowoczesnym systemie Windows 7 x64 mógł się pojawić zreplikowany plik datowany na rok 2005, to mi wygląda na jakieś niepoprawne próby ręczej podmiany wcześniej prowadzone (warte odnotowania, że quakelive posiada identyczną kopię): C:\Windows\winsxs\x86_microsoft-windows-directx-xinput_31bf3856ad364e35_6.1.7600.16385_none_32ce1c4d9f461d17\XInput9_1_0.dll [2014-08-03 13:49][2005-12-05 18:07] 0061136 ____A (Microsoft Corporation) ADFB6D7B61E301761C700652B6FE7CCD [File is signed] C:\Windows\winsxs\amd64_microsoft-windows-directx-xinput_31bf3856ad364e35_6.1.7600.16385_none_8eecb7d157a38e4d\XInput9_1_0.dll [2014-06-05 01:31][2005-12-05 18:07] 0061136 ____A (Microsoft Corporation) ADFB6D7B61E301761C700652B6FE7CCD [File is signed] C:\Windows\SysWOW64\XInput9_1_0.dll [2014-08-03 13:49][2005-12-05 18:07] 0061136 ____A (Microsoft Corporation) ADFB6D7B61E301761C700652B6FE7CCD [File is signed] C:\Windows\System32\XInput9_1_0.dll [2014-06-05 01:31][2005-12-05 18:07] 0061136 ____A (Microsoft Corporation) ADFB6D7B61E301761C700652B6FE7CCD [File is signed] C:\Users\Preak\AppData\Local\id Software\quakelive\xinput9_1_0.dll [2014-02-21 15:54][2014-02-21 15:54] 0061136 ____A (Microsoft Corporation) ADFB6D7B61E301761C700652B6FE7CCD [File is signed] Poprawne pliki wyglądają następująco: C:\Windows\winsxs\x86_microsoft-windows-directx-xinput_31bf3856ad364e35_6.1.7600.16385_none_32ce1c4d9f461d17\XInput9_1_0.dll [2009-07-14 02:05][2009-07-14 03:16] 0025600 ____A (Microsoft Corporation) 79186F76982318D9C438323219464208 [File is signed] C:\Windows\winsxs\amd64_microsoft-windows-directx-xinput_31bf3856ad364e35_6.1.7600.16385_none_8eecb7d157a38e4d\XInput9_1_0.dll [2009-07-14 02:20][2009-07-14 03:41] 0030720 ____A (Microsoft Corporation) 393889ECAE3D4459451428143993023B [File is signed] C:\Windows\SysWOW64\XInput9_1_0.dll [2009-07-14 02:05][2009-07-14 03:16] 0025600 ____A (Microsoft Corporation) 79186F76982318D9C438323219464208 [File is signed] C:\Windows\System32\XInput9_1_0.dll [2009-07-14 02:20][2009-07-14 03:41] 0030720 ____A (Microsoft Corporation) 393889ECAE3D4459451428143993023B [File is signed] Przesyłam poprawne pliki z mojego systemu: KLIK. Umieść je w roboczo utworzonym folderze C:\TMP. Otwórz Notatnik i wklej w nim: Replace: C:\TMP\XInputx64.dll C:\Windows\System32\XInput9_1_0.dll Replace: C:\TMP\XInputx64.dll C:\Windows\winsxs\amd64_microsoft-windows-directx-xinput_31bf3856ad364e35_6.1.7600.16385_none_8eecb7d157a38e4d\XInput9_1_0.dll Replace: C:\TMP\XInputx86.dll C:\Windows\SysWOW64\XInput9_1_0.dll Replace: C:\TMP\XInputx86.dll C:\Windows\winsxs\x86_microsoft-windows-directx-xinput_31bf3856ad364e35_6.1.7600.16385_none_32ce1c4d9f461d17\XInput9_1_0.dll C:\Users\Preak\AppData\Local\id Software\quakelive\xinput9_1_0.dll Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

W skanie SFC brak wykrytych naruszeń. Cóż, programy lub ich wybrane pliki mogą być uszkodzone. Jak mówię, przy infekcjach w plikach wykonywalnych nie ma innego sposobu niż reinstalacja zdefektowanego programu. Wszystkie programy, które się dziwnie zachowują (inaczej niż wcześniej), bądź też zwracają jawne błędy, odinstaluj. Pobierz świeże instalatory i zainstaluj ponownie. .

Istari dlaczego logi zostały usunięte? Temat zepsuty, nic nie można sprawdzić i porównać powtórnie. Załączniki przywrócone. vs. Tak więc proponuję jednak zresetować preferencje przeglądarki Opera. .

Zadane operacje wykonane, a w podanym raporcie nie widzę nic podejrzanego. Wygląda na to, że skończyliśmy. Usuń używane narzędzia z folderu G:\docs\download, popraw za pomocą DelFix.

To właśnie przyczyna dla niemożności deinstalacji dwóch pozycji. Pierwsza pozycja: AdwCleaner uszkodził możliwości deinstalacyjne programu usuwając na chama folder C:\Program Files (x86)\Allin1Convert_8h. Trzecia pozycja skasowana na poziomie rejestru. Dlaczego nie chciałam użyć AdwCleaner w tym punkcie czasowym: powyższe oraz dlatego, że było planowane także czyszczenie przeglądarek w sposób dla nich naturalny i szerszy (odtworzenie czystych preferencji) niż mogą to robić narzędzia. Usuwanie AdwCleaner to nie jest równoważność i gdyby przeglądarki zostały wyczyszczone wg mojej metody, AdwCleaner prawie w ogóle by tam nie grzebał. Poprawki: 1. Wyciągnij z kwarantanny AdwCleaner folder C:\Program Files (x86)\Allin1Convert_8h i wstaw na miejsce. Ponów próbę deinstalacji Allin1Convert Internet Explorer Toolbar. 2. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [Allin1Convert Home Page Guard 64 bit] => "C:\PROGRA~2\ALLIN1~2\bar\1.bin\AppIntegrator64.exe" HKLM-x32\...\Run: [Allin1Convert Search Scope Monitor] => "C:\PROGRA~2\ALLIN1~2\bar\1.bin\8hsrchmn.exe" /m=2 /w /h HKLM-x32\...\Run: [Onet.pl AutoUpdate] => "C:\Program Files (x86)\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexe HKU\S-1-5-21-1663669549-1389508221-1922632647-1000\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\ChomikBox.exe HKU\S-1-5-21-1663669549-1389508221-1922632647-1000\...\Run: [] => [X] URLSearchHook: HKCU - (No Name) - {5bcf818d-78c8-41b8-ba89-65c5fdac4fc4} - C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\8hSrcAs.dll No File SearchScopes: HKCU - {C342530B-7CE0-4E4F-BD7F-3C4F213D9BB8} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 SearchScopes: HKCU - {CD37D6D5-7E9A-4D70-9AE8-A391DBBCE73B} URL = http://www.search.ask.com/web?p2=^ADN^OSJ000^YY^PL&gct=&itbv=12.6.0.11&o=APN10616&tpid=ORJ-V7&apn_uid=FAB8FF80-2B17-4508-BF64-A7E2C6A21ED7&apn_ptnrs=ADN&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_10.0.9200.16720&doi=2013-11-13&trgb=IE&q={searchTerms}&psv= BHO-x32: Search Assistant BHO -> {a4c2fb10-84c3-44eb-9f9e-860fa1d9a797} -> C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\8hSrcAs.dll No File BHO-x32: Toolbar BHO -> {fbcbc43a-dca9-4192-a4c8-b57fd0f77d4d} -> C:\PROGRA~2\ALLIN1~2\bar\1.bin\8hbar.dll No File CHR Extension: (No Name) - C:\Users\Michael\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb [2013-06-11] CHR Extension: (No Name) - C:\Users\Michael\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn [2013-06-11] CHR Extension: (No Name) - C:\Users\Michael\AppData\Local\Google\Chrome\User Data\Default\Extensions\mocblcnaofikinigmceddfghppkkjbog [2013-06-08] Task: {49ECBD82-807A-4EF6-91FB-BC267A9B737B} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{E5F34C71-4B21-4863-B0D9-CC32DB03AC34}.exe Task: {8262DEC7-75E2-4149-A4BE-17B11F53068D} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{6431D390-0C32-4B5E-AFB0-3F476224535C}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{E5F34C71-4B21-4863-B0D9-CC32DB03AC34}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{6431D390-0C32-4B5E-AFB0-3F476224535C}.exe S2 EvtEng; C:\Program Files\Intel\WiFi\bin\EvtEng.exe [X] S3 MyWiFiDHCPDNS; C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe [X] S2 RegSrvc; C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe [X] S2 ZeroConfigService; "C:\Program Files\Intel\WiFi\bin\ZeroConfigService.exe" [X] S3 clwvd; system32\DRIVERS\clwvd.sys [X] C:\Users\Michael\AppData\Local\CRE RemoveDirectory: C:\AdwCleaner CMD: del /q C:\Windows\SysWOW64\sqlite3.dll Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Sweetpacks i inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Wygląda na to, iż skończyliśmy. Finalizacja: 1. Zastosuj DelFix. Pousuwaj ręcznie używane narzędzia z D:\Users\Mistrz\Desktop\rr. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji programy i cały system: KLIK. Stan wg logów: Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 9 ==================== Installed Programs ====================== Adobe Flash Player 11 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 11.5.502.110 - Adobe Systems Incorporated) ----> wtyczka dla FF i Opera Java 7 Update 51 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417051FF}) (Version: 7.0.510 - Oracle) Java 7 Update 7 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217007FF}) (Version: 7.0.70 - Oracle) Java 7 Update 9 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417009F0}) (Version: 7.0.90 - Oracle) Java™ 6 Update 29 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86416029FF}) (Version: 6.0.290 - Oracle) Microsoft Silverlight (HKLM-x32\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.10411.0 - Microsoft Corporation) Nowe Gadu-Gadu (HKLM-x32\...\Nowe Gadu-Gadu) (Version: - GG Network S.A.) Wszystkie stare pozycje Adobe i Java odinstaluj przed wprowadzeniem najnowszych. A zastępstwa dla Gadu tu (polecany nowoczesny WTW): KLIK. .

MBAM wykrył szczątki adware i Confickera oraz wyłączone powiadomienia Centrum zabezpieczeń. O ile jeszcze tego nie zrobiłeś, usuń wszystkie wyniki za pomocą programu. Następnie: 1. Powtórz czyszczenie folderów Przywracania systemu. 2. Wymagane aktualizacje oprogramowania: KLIK. Wg listy do deinstalacji wszystko od Adobe i Java, zastąpienie najnowszymi wersjami, oraz aktualizacja IE (nawet jeśli tylko FF używasz): Internet Explorer Version 6 ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 10.0.45.2 - Adobe Systems Incorporated) Adobe Flash Player 12 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) Adobe Reader 9.5.5 - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-A95000000001}) (Version: 9.5.5 - Adobe Systems Incorporated) Java 7 Update 45 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.450 - Oracle) Java™ SE Runtime Environment 6 (HKLM\...\{3248F0A8-6813-11D6-A77B-00B0D0160000}) (Version: 1.6.0.0 - Sun Microsystems, Inc.) Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.20513.0 - Microsoft Corporation) 3. System nie posiada żadnego antywirusa - uzupełnij. .

Skrypt pomyślnie wykonany. Na zakończenie: 1. Zastosuj DelFix. Co nie zostanie usunięte ręcznie dokończ. 2. Na Twojej liście zainstalowanych była stara Java 7 Update 55. O ile to nadal aktualne, usuń i zastąp najnowszą (o ile potrzebne): KLIK. .

Poproszę o podanie mi co wykrył Avast, dokładny spis obiektów i ścieżek dostępu. Również proszę o zestaw nowych logów (FRST, GMER i OTL). FRST musi być pobrany ponownie, użyta początkowo wersja nie dość, że w chwili obecnej już stara, to jeszcze z bugiem braku widoczności wpisów HKLM Run (widać to porównując podane tu raporty). Najnowszy FRST ma już to naprawione. .

1. Do deinstalacji są jeszcze te obiekty adware: Allin1Convert Internet Explorer Toolbar, DealPly (remove only), Internet Explorer Toolbar 4.6 by SweetPacks. 2. Przed użyciem AdwCleaner (zostanie użyty na końcu) poproszę o nowe raporty FRST, proszę zaznaczyć opcję Addition ponownie. .

Wprawdzie zreflektowałaś się po tym nieszczęsnym ComboFixie (użyty niepotrzebnie, tylko wymęczony system) i dostarczyłaś raporty z FRST, ale brakuje FRST Shortcut oraz GMER. Widzę w systemie uruchomione komponenty adware (sterownik wStLibG64 oraz pasek Ask Toolbar). Wstępnie to usuń: 1. Otwórz Notatnik i wklej w nim: (APN LLC.) C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe R2 APNMCP; C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe [165784 2014-06-24] (APN LLC.) C:\Windows\System32\drivers\wStLibG64.sys R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61136 2014-04-18] (StdLib) S3 catchme; \??\C:\ComboFix\catchme.sys [X] HKLM-x32\...\Run: [ApnTBMon] => C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1957784 2014-08-05] (APN) HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=irmsd1202&cd=2XzuyEtN2Y1L1Qzu0AyCyE0B0FyD0CyC0ByBtC0DtDyCzztAtN0D0Tzu0CyBtByCtN1L2XzutN1L1CzutCyD1B1P1R&cr=1126576384&ir= HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=irmsd1202&cd=2XzuyEtN2Y1L1Qzu0AyCyE0B0FyD0CyC0ByBtC0DtDyCzztAtN0D0Tzu0CyBtByCtN1L2XzutN1L1CzutCyD1B1P1R&cr=1126576384&ir= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=irmsd1202&cd=2XzuyEtN2Y1L1Qzu0AyCyE0B0FyD0CyC0ByBtC0DtDyCzztAtN0D0Tzu0CyBtByCtN1L2XzutN1L1CzutCyD1B1P1R&cr=1126576384&ir= StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {4A90ED37-607B-4CEE-BE98-8B8258AE11BB} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=73EF36A9-5CE0-4B75-9B61-EEE39F273EB1&apn_sauid=3344CF4F-CB83-4F74-B690-40AA277AE27D SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKCU - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = http://isearch.avg.com/search?cid={791098AB-F5B0-4239-8EA7-209AC2100E83}&mid=fc42dd8e82a14261a394f9617188a2e2-3dc66b5a472c212ef428c444782f8381c978afe0&lang=pl&ds=xn011&pr=sa&d=2012-09-28 15:39:18&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms} BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll No File FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2014-07-14] CHR HKLM-x32\...\Chrome\Extension: [cdgmmlamjcghkhlknnlgjmgdjfookecn] - C:\Program Files (x86)\MarketResearchHelper\cdgmmlamjcghkhlknnlgjmgdjfookecn.crx [] CHR HKLM-x32\...\Chrome\Extension: [pljcgbedjplidkdjahbaalanadmjfgop] - C:\ProgramData\AskPartnerNetwork\Toolbar\ORJ-V7C\CRX\ToolbarCR.crx [2014-08-06] CustomCLSID: HKU\S-1-5-21-585505546-2000119919-12035665-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Paszczak\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-585505546-2000119919-12035665-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Paszczak\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll (Google Inc.) CustomCLSID: HKU\S-1-5-21-585505546-2000119919-12035665-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Paszczak\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll (Google Inc.) CustomCLSID: HKU\S-1-5-21-585505546-2000119919-12035665-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Paszczak\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj Ask Toolbar. 3. W Google Chropme: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. Wypowiedz się czy są jakieś zmiany oraz doprecyzuj o co Ci chodzi, gdzie to widzisz (przedstaw obrazek): .

Powtórne wystąpienie OTL wywalam z drugiego posta, przecież źle skonfigurowany (wszystkie opcje zaznaczone na All zamiast filtrowania) .... I nie ma potrzeby sprawdzać po raz drugi. Brakuje pliku FRST Shortcut. GMER uruchomiony w złych warunkach, nie usunąłeś sterownika emulacji: KLIK. R0 sptd; C:\Windows\System32\Drivers\sptd.sys [721904 2009-08-09] () [File not signed] U3 auk74ci3; No ImagePath Pliki o rozszerzeniu *.LOG są tu zabronione. Wyraźnie instrukcja nakazuje kopiowanie do Notatnika i zapis do nowego pliku *.TXT. I podaję nowe instrukcje, te z poprzedniego posta usuwam. 1. Otwórz Notatnik i wklej w nim: HKLM\...\InprocServer32: [Default-wbemess] \\.\globalroot\systemroot\Installer\{0b3a81c9-c8c0-bd15-d3d3-27dd0c816f0b}\n. ATTENTION! ====> ZeroAccess? HKU\.DEFAULT\...\Run: [] => [X] HKU\S-1-5-21-1768184581-2917878914-1899908149-1004\...\Winlogon: [shell] HKU\S-1-5-21-1768184581-2917878914-1899908149-1004\...0c966feabec1\InprocServer32: [Default-shell32] C:\Users\Bartaz\AppData\Local\{0b3a81c9-c8c0-bd15-d3d3-27dd0c816f0b}\n. ATTENTION! ====> ZeroAccess/Alureon? Startup: C:\Users\Bartaz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk ShortcutTarget: ctfmon.lnk -> C:\ProgramData\lsass.exe (Microsoft Corporation) S2 ADExchange; C:\Program Files\Common Files\ArcSoft\esinter\Bin\eservutil.exe [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\atashost => ""="Service" HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=BC5B0022FAB5ABDC&affID=125032&tsp=5026 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE409A9010490104&ts=1380995128 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE409A9010490104&ts=1380995128 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE409A9010490104&ts=1380995128 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE409A9010490104&ts=1380995128 SearchScopes: HKLM - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} URL = http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE409A9010490104&ts=1380995128&type=default&q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=bc5be76b0000000000000022fab5abdc SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE409A9010490104&ts=1380995128&type=default&q={searchTerms} SearchScopes: HKCU - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} URL = http://search.avg.com/route/?d=4cd04cbd&v=6.10.6.4&i=26&tp=chrome&q={searchTerms}&lng={language}&iy=&ychte=us BHO: AVG Safe Search -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> C:\Program Files\AVG\AVG2012\avgssie.dll No File BHO: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\Users\Bartaz\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll No File Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll No File CustomCLSID: HKU\S-1-5-21-1768184581-2917878914-1899908149-1004_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\Users\Bartaz\Desktop\BESTplayer.exe No File CustomCLSID: HKU\S-1-5-21-1768184581-2917878914-1899908149-1004_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Bartaz\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1768184581-2917878914-1899908149-1004_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Bartaz\AppData\Local\Google\Update\1.3.21.99\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1768184581-2917878914-1899908149-1004_Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32 -> C:\Users\Bartaz\AppData\Local\{0b3a81c9-c8c0-bd15-d3d3-27dd0c816f0b}\n. No File CustomCLSID: HKU\S-1-5-21-1768184581-2917878914-1899908149-1004_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Bartaz\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1768184581-2917878914-1899908149-1004_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Bartaz\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1768184581-2917878914-1899908149-1004_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Bartaz\AppData\Local\Google\Update\1.3.21.149\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1768184581-2917878914-1899908149-1004_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Bartaz\AppData\Local\Google\Update\1.3.21.115\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1768184581-2917878914-1899908149-1004_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Bartaz\AppData\Local\Google\Update\1.3.21.111\psuser.dll No File Task: {64F3CB5B-B1FC-453F-AD27-610E15928739} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2013-04-06] (Google Inc.) Task: {7FB9FECC-B984-49FE-8400-71DC97D3216E} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2013-04-06] (Google Inc.) Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Google Update Helper (Version: 1.3.24.15 - Google Inc.) Hidden C:\Program Files\mozilla firefox\plugins C:\ProgramData\Temp C:\Users\Bartaz\uidsave.dat C:\Users\Bartaz\AppData\Local\Google C:\Users\Bartaz\AppData\Local\{0b3a81c9-c8c0-bd15-d3d3-27dd0c816f0b} C:\Users\Bartaz\AppData\Roaming\Babylon C:\Users\Bartaz\AppData\Roaming\Buma C:\Users\Bartaz\AppData\Roaming\Oxpies C:\Windows\Installer\{0b3a81c9-c8c0-bd15-d3d3-27dd0c816f0b} C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension RemoveDirectory: C:\Users\TEMP Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: FoxTab FLV Player, Google Update Helper, KMP Service. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. . Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition oraz Shortcut. Dołącz też plik fixlog.txt. .

Temat przenoszę do działu Windows. Nie ma oznak infekcji. W spoilerze podrzędne (kompletnie nie powiązane z problemem) czyszczenie ze szczątków adware, Firefox i wpisów pustych: ==================== Faulty Device Manager Devices ============= Name: Urządzenie klawiatury HID Description: Urządzenie klawiatury HID Class Guid: {4D36E96B-E325-11CE-BFC1-08002BE10318} Manufacturer: (Klawiatury standardowe) Service: kbdhid Problem: : The driver for this device might be corrupted, or your system may be running low on memory or other resources. (Code3) Resolution: If the driver is corrupted, uninstall the driver and scan for new hardware to install the driver again. To scan for new hardware, click on the "Action" menu in Device Manager, and then select "Scan for hardware changes". If your computer does not have enough memory to run the device, you can close some applications to make memory available. To check memory and system resources, right-click "My Computer", click "Properties", click the "Advanced" tab, and then click "Settings" under "Performance". You may need to install additional random access memory (RAM). On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Name: Urządzenie klawiatury HID Description: Urządzenie klawiatury HID Class Guid: {4D36E96B-E325-11CE-BFC1-08002BE10318} Manufacturer: (Klawiatury standardowe) Service: kbdhid Problem: : The driver for this device might be corrupted, or your system may be running low on memory or other resources. (Code3) Resolution: If the driver is corrupted, uninstall the driver and scan for new hardware to install the driver again. To scan for new hardware, click on the "Action" menu in Device Manager, and then select "Scan for hardware changes". If your computer does not have enough memory to run the device, you can close some applications to make memory available. To check memory and system resources, right-click "My Computer", click "Properties", click the "Advanced" tab, and then click "Settings" under "Performance". You may need to install additional random access memory (RAM). On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Podaj orientacyjnie dane o komponentach. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Kbdclass /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\kbdhid /s File: kbdclass.sys File: kbdhid.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. .

Temat przenoszę do działu Windows. Problem główny to już usterka w Windows, a poboczne czyszczenie z adware (zainstalowany "Smart Suggestor") otrzymasz po rozwiązaniu problemu zasadniczego z BFE. vs. Problem mocno wykracza poza zakres czasowy logów, więc logi nie mogą służyć do spekulacji czy była infekcja i jaka. Jedyne co wiesz to to, że obecnie nie ma czynnych śladów w raportach. Tu nie jest nawet pewne czy wina w infekcji, problem z BFE może być generowany także z innych przyczyn. Obecnie masz do rozwiązania problem na poziomie systemu a nie infekcji, w taki sposób należy to oceniać. Dodatkowo, tu forma błędu w Dzienniku zdarzeń insynuuje, że BFE jest w systemie (prawdopodobnie żadnych naruszeń klucza) tylko w stanie Wyłączonym. Gdyby usługi nie było w systemie, byłby odczyt: Usługa Moduły obsługi kluczy IPsec IKE i AuthIP zależy od następującej usługi: BFE. Ta usługa może nie być zainstalowana. Usługa Agent zasad IPsec zależy od następującej usługi: BFE. Ta usługa może nie być zainstalowana. Jest już zadany skan FSS, by to potwierdzić. .

bialykaszalot Temat nie jest związany z infekcją, przesuwam do stosowniejszego działu. Tu trzeba ruszyć głową, bo wszystkie dane masz w raportach. Odznacz proszę Whitelist w FRST to i wpis znajdziesz. Wpis Shell nie jest widoczny w Twoim logu FRST, bo jest poprawny (nie jest zmodyfikowany i nie brakuje pliku), więc przy zaznaczonym ustawieniu Whitelist jest chowany. Dodatkowo, plik definitywnie jest na dysku i ma podpis cyfrowy (to coś więcej niż sprawdzanie czy producentem jest "Microsoft" zawarte w OTL): ==================== Bamital & volsnap Check ================= C:\Windows\explorer.exe => File is digitally signed Gdyby brakowało pliku, nawet nie wszedłbyś na Pulpit. OTL notuje "brak pliku", bo stosuje inny system szukania i przy uszkodzonych Zmiennych są fałszywe zgłoszenia braków plików. To nie jedyny fałszywy "brak": O18 - Protocol\Filter\application/octet-stream {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll File not found O18 - Protocol\Filter\application/x-complus {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll File not found O18 - Protocol\Filter\application/x-msdownload {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll File not found O20 - HKLM Winlogon: Shell - (explorer.exe) - File not found O20 - HKLM Winlogon: VMApplet - (Control_RunDLL "sysdm.cpl") - File not found O29 - HKLM SecurityProviders - (credssp.dll) - File not found Instrukcję korekty Zmiennych już otrzymałeś. .

arekns W kwestii dokończenia czyszczenia: 1. Zastosuj DelFix. Dokasuj ręcznie narzędzia z folderu C:\Documents and Settings\user\Pulpit\diagnostyka. 2. Wyczyść foldery Przywracania systemu: KLIK. I owszem. Zwykle to zadaję do deinstalacji. Na wszelki wypadek podam jeszcze, że można się spodziewać na liście zainstalowanych także innej wersji, czyli pozycji "KMP Service". A na jakiej podstawie tak twierdzisz? Temp jest przebudowywany od zera (kasowanie całego katalogu). Zważ na to, że w Temp po restarcie określony program może zregenerować od ręki pliki. Przykład: spodziewaj się conajmniej pliku Dropbox. Był uruchamiany GMER, toteż zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. jessika W spoilerze komentarze: .

Winters303 Sprawdź czy system odtworzył omyłkowo usunięty folder Windows 8: C:\WINDOWS\system32\sru. I drobne poprawki: 1. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3094628068-4059591873-1470419566-1002\...\Policies\Explorer: [] HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f CMD: del /q "C:\Users\Victoria\Downloads\VSO Image Resizer 4.0.4.3 Downloader.exe" CMD: del /q C:\WINDOWS\SysWOW64\sqlite3.dll Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. jessika Komentarze w spoilerze: .

jessika Usunęłaś poprawny folder systemowy C:\Windows\system32\sru należny do Windows 8: halu Jak sądzę ostatnia instrukcja (niestety czyszczenie kwarantanny) już wykonana. Sprawdź czy po restarcie system zregenerował ten folder.