picasso

To na pewno jest konto tworzone przez ESET. Kolejny temat z forum ESET relatywny do "dziwnych" losowych kont: KLIK. Wersja programu u Ciebie zainstalowana: ==================== Installed Programs ====================== ESET Smart Security (HKLM\...\{B0D9ABD0-A8FD-41CE-85A5-D5AFF3BB3990}) (Version: 7.0.302.26 - ESET, spol s r. o.) Wyniki SFC: 2014-08-23 23:53:05, Info CSI 000008fb [sR] Cannot repair member file [l:36{18}]"Amd64\CNBJ2530.DPB" of prncacla.inf, Version = 6.3.9600.16384, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-08-23 23:53:05, Info CSI 000008fd [sR] Cannot repair member file [l:36{18}]"Amd64\CNBJ2530.DPB" of prncacla.inf, Version = 6.3.9600.16384, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-08-23 23:53:05, Info CSI 000008fe [sR] This component was referenced by [l:186{93}]"Microsoft-Windows-Printer-Drivers-Package~31bf3856ad364e35~amd64~~6.3.9600.16384.INF_prncacla" Temat na forum: KLIK.

Nie widzę tu żadnych oznak infekcji. Temat migruję do działu Windows. To konto tworzone przez ESET Smart Security (ochrona Anti-Theft). Więcej o funkcjonalności w tym artykule: KLIK. Konto ma losową nazwę, na każdym komputerze inną. Podobny temat z forum: KLIK. Log się nie zmieścił, bo go nie przefiltrowałeś. Dostarczyłeś cały CBS.LOG z rozmaitymi akcjami, nie został ograniczony do operacji stricte SFC. Uruchom cmd z prawokliku opcją Uruchom jako Administrator > wklej komendę i ENTER: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.

SFC - brak wykrytych naruszeń plików systemowych. Problem nie wygląda na infekcję. Application errors: ================== Error: (08/23/2014 05:33:39 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: mbam.exe, wersja: 1.0.0.532, sygnatura czasowa: 0x53518532 Nazwa modułu powodującego błąd: MSVCR100.dll, wersja: 10.0.40219.325, sygnatura czasowa: 0x4df2be1e Kod wyjątku: 0x40000015 Przesunięcie błędu: 0x0008d6fd Identyfikator procesu powodującego błąd: 0xb00 Godzina uruchomienia aplikacji powodującej błąd: 0xmbam.exe0 Ścieżka aplikacji powodującej błąd: mbam.exe1 Ścieżka modułu powodującego błąd: mbam.exe2 Identyfikator raportu: mbam.exe3 Error: (08/23/2014 05:33:28 PM) (Source: SideBySide) (EventID: 33) (User: ) Description: Nie można wygenerować kontekstu aktywacji dla "Microsoft.VC90.OpenMP,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"1". Nie można odnaleźć zestawu zależnego Microsoft.VC90.OpenMP,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8". Użyj narzędzia sxstrace.exe, aby uzyskać szczegółową diagnozę. 1. Ogólnie spróbuj zainstalować pakiety Microsoft Visual C++ 2008 Service Pack 1 Redistributable Package MFC Security Update + Microsoft Visual C++ 2010 Service Pack 1 Redistributable Package MFC Security Update. Linki w artykule Microsoftu: KB2019667. 2. Jeśli chodzi stricte o MBAM, dodatkowo spróbuj narzędzia Net Conf Fix: KLIK .

Nie ma potrzeby, choć program możesz sobie pobrać do użytku własnego. Akcja czyszczenia Tempów już została tu wykonana: komenda EmptyTemp: w skrypcie FRST. .

Te pliki możesz usunąć, nie wykluczone że pierwszy z nich i tak powróci. W czym leży problem? Po prostu odinstaluj i zostaw tylko Adobe Flash. .

Czy próbowałeś przeinstalować Avast? I na wszelki wypadek dodaj raporty z FRST i GMER, by wykluczyć infekcję jako źródło. .

Tu jest jeszcze jedna sprawa, Zmienne środowiskowe wyglądają na uszkodzone, gdyż w OTL są wpisy oznaczone "not found" np. userinit czy explorer, a jest to niemożliwe (system nie zostałby zalogowany) 1. Doczyszczanie adware i wpisów odpadkowych, weryfikacja Zmiennych: 2. Pobór listy plików wykazanych w SFC jako nienaprawialne. Uruchom FRST ponownie i w polu Search wklej nazwy plików przedzielone średnikiem: XInput9_1_0.dll;sfc.exe Klik w Search Files i dostarcz wynikowy log. .

Wszystko wykonane. 1. Odinstaluj stary Adobe Flash Player 10 ActiveX (wtyczka dla IE). 2. Usuń używane narzędzia z C:\Users\user\Desktop\frst. Popraw narzędziem DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. I dostarcz pełne komplety logów z pozostałych laptopów, dla pewności, że tu obrabiany delikwent był jedynym naprawdę zainfekowanym. .

W podanych tu raportach nie widzę jawnych oznak infekcji. W temacie na innym forum wspominasz o próbie uruchomienia skanu SFC (a okno cmd miało na dodatek dziwnie obcięty tekst). Poproszę o log z tej akcji: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. .

Z jakiego instalatora próbujesz reinstalować program? Czy ten instalator został pobrany na nowo? Jeśli nie, skasuj obecnie posiadany, pobierz nowy plik i ponów próbę. .

By uściślić wizualnie, te trzy wyniki w MBAM to jest równoważność akcji "deaktywacja powiadomień Centrum" w tym temacie: KLIK. Dzięki! .

Fix wykonany. Czekam więc na odpowied z support Avast.

Skąd pobrałeś FRST? Została uruchomiona stara wersja sprzed miesiąca: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:21-07-2014 Jeśli zaś chodzi o GMER, to nie przygotowałeś poprawnego podłoża do uruchomienia: KLIK. W logu jest aktywny emulator napędów wirtualnych SPTD: R0 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [466008 2013-11-25] (Duplex Secure Ltd.) Tak, ta infekcja jest tu dobrze widoczna. Przeprowadź następujące działania: 1. Pobierz najnowszy FRST, linki są w przyklejonym temacie: KLIK. Otwórz Notatnik i wklej w nim: () C:\Documents and Settings\Kuba\buaage.exe HKU\S-1-5-21-2025429265-261478967-682003330-1003\...\Run: [buaage] => C:\Documents and Settings\Kuba\buaage.exe [138240 2014-05-22] () NETSVC: hsrxlhdnv -> No Registry Path. S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X] S3 andnetndis; system32\DRIVERS\lgandnetndis.sys [X] S3 massfilter; system32\drivers\massfilter.sys [X] S3 ryaatjfr; \??\C:\WINDOWS\system32\01.tmp [X] U2 wuaserv; S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Kuba\DANEAP~1\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\Express FilesUpdate.job => C:\Program Files\ExpressFiles\EFUpdater.exe Task: C:\WINDOWS\Tasks\Registry Optimizer_DEFAULT.job => C:\Program Files\WinZip Registry Optimizer\Winzipro.exe Task: C:\WINDOWS\Tasks\Registry Optimizer_UPDATES.job => C:\Program Files\WinZip Registry Optimizer\Winzipro.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=en&pid=NIS&pvid=21.2.0.38 URLSearchHook: HKLM - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File C:\Documents and Settings\Kuba\*.bat C:\Documents and Settings\Kuba\*.exe C:\Documents and Settings\Kuba\*.lnk C:\Documents and Settings\Kuba\*.scr C:\Documents and Settings\All Users\Dane aplikacji\eSafe C:\Documents and Settings\All Users\Dane aplikacji\Norton C:\Documents and Settings\Kuba\Dane aplikacji\DRPSu C:\Documents and Settings\Kuba\Dane aplikacji\ExpressFiles C:\Documents and Settings\Kuba\Dane aplikacji\FoxTab C:\Documents and Settings\Kuba\Dane aplikacji\newnext.me C:\Documents and Settings\Kuba\Dane aplikacji\SimilarSites C:\Documents and Settings\Kuba\Dane aplikacji\SwvUpdater C:\Documents and Settings\Kuba\Dane aplikacji\Thinstall RemoveDirectory: C:\found.001 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj zbędnik KMP Service. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) i zaległy GMER (po deinstalacji lub wyłączeniu SPTD). Dołącz też plik fixlog.txt. .

Jak mówię, w logach nic nie widać. 1. Drobne wpisy szczątkowe do likwidacji, akcja poziomu kosmetycznego. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. S3 ALSysIO; \??\F:\XP\TEMP\ALSysIO.sys [X] S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X] S3 hocksquw; No ImagePath S3 HWiNFO32; \??\F:\XP\TMP\HWiNFO32.SYS [X] S3 RTLVLANMP; system32\DRIVERS\RTLVLAN.SYS [X] FF user.js: detected! => F:\XP\FF\Henry\user.js Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Po w/w akcji możesz usunąć używane skanery z folderu F:\XP\Pobieranie i zastosować DelFix. Też tak sądzę, by w pierwszej kolejności uderzać do supportu Avast, gdyż może to być problem tego oprogramowania. .

Wymagane jeszcze poprawki. W pierwszym skrypcie za późno poprawiłam literówkę w ostatniej komendzie czyszczenia plików tymczasowych i przetworzyłeś z błędem (tzn. komenda się nie wykonała). Natomiast te dziadostwa adware są nadal w rozszerzeniach Google Chrome, a skoro ich nie widzisz, to możliwe iż to odpadki. 1. W Google widzę także to do ręcznej korekty: - Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres trovi.com, przestaw na "Otwórz stronę nowej karty" - Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres trovi.com 2. Otwórz Notatnik i wklej w nim: CHR Extension: (Extutil) - C:\Users\user\AppData\Local\Temp\D7ADFCCA-EE7E-442C-9999-C4D14FEF360B [2014-06-25] CHR Extension: (Managera) - C:\Users\user\AppData\Local\Temp\38fdaae5-8e0e-493c-88ec-e05c3be06e42 [2014-06-25] EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

W polu szybkiej odpowiedzi na spodzie posta klikasz w "Więcej opcji", co otworzy edytor udostępniający m.in. załączniki plików.

Kolejne czynności: 1. AdwCleaner się pomylił i usunął foldery PC Tools Registry Mechanic. Odzyskaj je z kwarantanny AdwCleaner i wstaw na miejsce: Folder Usunięto : C:\Documents and Settings\All Users\Menu Start\Programy\registry mechanic Folder Usunięto : C:\Program Files\registry mechanic Folder Usunięto : C:\Documents and Settings\Ania\Dane aplikacji\registry mechanic Dopiero po tym kroku: 2. Usuń szczątki po Firefox i foldery narzędzi. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MozillaMaintenanceService /f RemoveDirectory: C:\Program Files\mozilla firefox\plugins RemoveDirectory: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension RemoveDirectory: C:\AdwCleaner Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw fixlog.txt. A następnie zastosuj DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Spróbuj zainstalować wybranego antywirusa. .

halu prosiłam o log z FRST wykonany po modyfikacji Google Chrome, log ma pokazać czy poprawnie ją przeprowadziłeś. A tak to dwa razy log FRST produkowany... Jeśli to jedyny zainfekowany komputer w sieci, to tak. Ale i tak mam zamiar poprosić o raporty z wszystkich pozostałych laptopów. .

Opisz bardziej szczegółowo swoje odczucia co jest nie tak. W raportach nie ma oznak czynnej infekcji, ani widocznych obiektów które mogą jawnie powodować problemy. Do usuwania będą jedynie drobnostki, które zresztą nie powinny mieć wpływu na wydajność. Ale skoro tu był wirus wykonywalnych Jeefo, mogą być liczne uszkodzenia w plikach (system i programy). Już to notujesz: Tu nie ma innego sposobu niż reinstalacja ze świeżych instalatorów wszystkich uszkodzonych programów. Inna sprawa ma się z plikami Windows, te należy podstawiać poprawnymi wersjami - poproszę o ogólny skan poprawności plików: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. .

OK, to zrób jeszcze dla pewności ostatni log FRST z opcji Scan (bez Addition i Shortcut). .

Wpis AppInit_DLLs-x32 nie został przetworzony. Dla świętego spokoju pokaż mi czy on nadal zawiera jakieś dziwne znaki. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz fixlog.txt. .

Jeszcze dokasuj używane narzędzia z folderu C:\Documents and Settings\B i W\Pulpit\Naprawa. Z ogłoszenia: .

Log z FRST jest źle skonfigurowany, została wyłączona biała lista (odznaczone wszystkie pola Whitelisting). Brakuje też raportu z OTL (nadal go sprawdzam porównawczo). Póki co to tu nie widać żadnych oznak infekcji i wątpię, by w tym była rzecz. Od razu sprawdź też transfer dysku, gdyż był uruchamiany GMER. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. .

Tak jest, pokazany tu w logach system jest zainfekowany trojanem MSIL/Injector.CPM. Trojan ten blokuje oproramowanie zabezpieczające, wyłącza Harmonogram zadań Windows oraz resetuje uprawnienia różnych plików i folderów (to jest najtrudniejsza partia w usuwaniu, bo może być zresetowane wiele ścieżek, a logi nie adresują detekcji tego rodzaju). Skaner ESET zdeaktywował infekcję, ale nie jest ona wcale dobrze wyczyszczona, ostała się m.in. blokada skanerów, nie wątpię też że są w systemie inne wymieniane problemy. Ponadto w logu są ślady adware. Ukończ skan GMER i wdróż wstępne działania: 1. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows Script" /f Reg: reg delete "HKCU\Software\Microsoft\Windows Script Host" /f HKLM-x32\...\Run: [Winlogon] => C:\Users\user\AppData\Roaming\winlogon.exe HKU\S-1-5-21-3451519264-229654876-2956084100-1000\...\Run: [Winlogon] => C:\Users\user\AppData\Roaming\winlogon.exe HKU\S-1-5-21-3451519264-229654876-2956084100-1000\...\Winlogon: [shell] explorer.exe,"C:\Users\user\AppData\Roaming\winlogon.exe" AppInit_DLLs: C:\Program Files => C:\Program Files [0 2014-08-20] () AppInit_DLLs-x32: C:\Program Files => C:\Program Files [0 2014-08-20] () IFEO\AvastSvc.exe: [Debugger] nqij.exe IFEO\AvastUI.exe: [Debugger] nqij.exe IFEO\avcenter.exe: [Debugger] nqij.exe IFEO\avconfig.exe: [Debugger] nqij.exe IFEO\avgcsrvx.exe: [Debugger] nqij.exe IFEO\avgidsagent.exe: [Debugger] nqij.exe IFEO\avgnt.exe: [Debugger] nqij.exe IFEO\avgrsx.exe: [Debugger] nqij.exe IFEO\avguard.exe: [Debugger] nqij.exe IFEO\avgui.exe: [Debugger] nqij.exe IFEO\avgwdsvc.exe: [Debugger] nqij.exe IFEO\avp.exe: [Debugger] nqij.exe IFEO\avscan.exe: [Debugger] nqij.exe IFEO\bdagent.exe: [Debugger] nqij.exe IFEO\blindman.exe: [Debugger] nqij.exe IFEO\ccuac.exe: [Debugger] nqij.exe IFEO\ComboFix.exe: [Debugger] nqij.exe IFEO\egui.exe: [Debugger] nqij.exe IFEO\hijackthis.exe: [Debugger] nqij.exe IFEO\instup.exe: [Debugger] nqij.exe IFEO\keyscrambler.exe: [Debugger] nqij.exe IFEO\mbam.exe: [Debugger] nqij.exe IFEO\mbamgui.exe: [Debugger] nqij.exe IFEO\mbampt.exe: [Debugger] nqij.exe IFEO\mbamscheduler.exe: [Debugger] nqij.exe IFEO\mbamservice.exe: [Debugger] nqij.exe IFEO\MpCmdRun.exe: [Debugger] nqij.exe IFEO\MSASCui.exe: [Debugger] nqij.exe IFEO\MsMpEng.exe: [Debugger] nqij.exe IFEO\msseces.exe: [Debugger] nqij.exe IFEO\rstrui.exe: [Debugger] nqij.exe IFEO\SDFiles.exe: [Debugger] nqij.exe IFEO\SDMain.exe: [Debugger] nqij.exe IFEO\SDWinSec.exe: [Debugger] nqij.exe IFEO\spybotsd.exe: [Debugger] nqij.exe IFEO\wireshark.exe: [Debugger] nqij.exe IFEO\zlclient.exe: [Debugger] nqij.exe StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3314958&octid=EB_ORIGINAL_CTID&ISID=MF96F3262-D612-4751-863A-AD0BD60C2F0D&SearchSource=58&CUI=&UM=5&UP=SP7AD324F7-C4D2-461F-9172-D04736224FAF&q={searchTerms}&SSPV= SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3314958&octid=EB_ORIGINAL_CTID&ISID=MF96F3262-D612-4751-863A-AD0BD60C2F0D&SearchSource=58&CUI=&UM=5&UP=SP7AD324F7-C4D2-461F-9172-D04736224FAF&q={searchTerms}&SSPV= CHR HomePage: hxxp://www.trovi.com/?gd=&ctid=CT3314958&octid=EB_ORIGINAL_CTID&ISID=MF96F3262-D612-4751-863A-AD0BD60C2F0D&SearchSource=55&CUI=&UM=5&UP=SP7AD324F7-C4D2-461F-9172-D04736224FAF&SSPV= CHR StartupUrls: "hxxp://www.trovi.com/?gd=&ctid=CT3314958&octid=EB_ORIGINAL_CTID&ISID=MF96F3262-D612-4751-863A-AD0BD60C2F0D&SearchSource=55&CUI=&UM=5&UP=SP7AD324F7-C4D2-461F-9172-D04736224FAF&SSPV=" FF SearchPlugin: C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\e0dks6s1.default\searchplugins\trovi-search.xml C:\Users\user\AppData\Roaming\msconfig.ini C:\Windows\SysWOW64\Windows System EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść adware z Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Extutil i Managera Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Trovi search. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i ów GMER. ,

Ostatni fix pomyślnie wykonany. Jeśli chodzi o "delta-homes", to poprzedni log to nadal pokazywał. Zrób zrzut ekranu z listy wyszukiwarek jaką widzisz w opcjach przeglądarki. .