picasso

Trudno tu obliczać "gorącą pizzą". Czas skanowania dysku zależy od wielu czynników i nie można ustalić ile to zajmie u Ciebie. Problem wystąpi jednak, jeśli skan się zatnie na tym zerze na kilka godzin. W takim przypadku trzeba będzie przerwać działania i kombinować z innej strony. .

Przechodzimy do czyszczenia systemu ze śmieci: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Winlogon: [userinit] C:\Windows\system32\userinit.exe,userinit.exe,C:\windows\system32\MSDCSC\msdcsc.exe HKU\S-1-5-21-3914683434-684966938-2725549555-1000\...\Run: [LG LinkAir] => [X] HKU\S-1-5-21-3914683434-684966938-2725549555-1000\...\Policies\system: [EnableLUA] 0 AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll => C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll File Not Found AppInit_DLLs: C:\PROGRA~3\WebPlat\WEBPLA~1.DLL => C:\ProgramData\WebPlat\WebPlat_x64.dll [4275200 2013-12-28] () AppInit_DLLs-x32: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll => "C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll" File Not Found Startup: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MyPC Backup.lnk SSODL-x32: 0aMCPClient - {F5DF91F9-15E9-416B-A7C3-7519B11ECBFC} - No File Task: {1FC85F66-012C-4F58-B762-E6B18C2AB758} - System32\Tasks\Express FilesUpdate => C:\Program Files (x86)\ExpressFiles\EFUpdater.exe Task: {259AC2CF-EC24-460B-BBC8-57355F69A24D} - System32\Tasks\{E19CAE8B-731A-4E18-8438-BC2F2A1A87F4} => C:\Program Files (x86)\Ares\Ares.exe Task: {41CFBD2B-8539-4A5A-8BED-13968F8B4FD4} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {68738944-BE9C-42C0-BB2F-E90978AA4410} - \DealPlyUpdate No Task File Task: {6A29DB99-DD47-4FC8-A97E-7DB756D21F42} - System32\Tasks\{5813D8AE-E1FF-47F3-A707-765886861780} => C:\ProgramData\BetterSoft\OptimizerPro\OptimizerPro.exe Task: {6D1C469E-2BB9-4905-97D9-6CF0A29B32F4} - \Dealply No Task File Task: {78A8EC62-4BB8-49E2-B08D-6B9F460077EA} - System32\Tasks\{B5471B4D-EF56-41E9-AC9C-8C66FD76D2C5} => C:\Program Files (x86)\Rockstar Games\Grand Theft Auto Vice City HQ\gta-vc.exe Task: {BD1C4908-49E6-4D3D-9F29-FCD5208D315C} - System32\Tasks\{C6B23001-7DC6-479F-B0C8-2B1A91AFB5B8} => C:\Program Files (x86)\Ares\Ares.exe Task: {EC1C60E5-BB77-4AD7-BE5A-C79235054718} - System32\Tasks\pc-dis-upd => C:\Program Files (x86)\PC Cleaners\PCCleaners.exe Task: C:\windows\Tasks\Dealply.job => C:\Users\Lenovo\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE Task: C:\windows\Tasks\pc-dis-upd.job => C:\Program Files (x86)\PC Cleaners\PCCleaners.exe Task: C:\windows\Tasks\{5813D8AE-E1FF-47F3-A707-765886861780}.job => C:\ProgramData\BetterSoft\OptimizerPro\OptimizerPro.exe S4 976137e5; "C:\windows\system32\rundll32.exe" "c:\progra~3\webplat\WebPlatSvc.dll",service U3 BcmSqlStartupSvc; S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] U2 IviRegMgr; U2 RichVideo; U3 SQLWriter; HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" ProxyServer: 8.8.8.8:80 HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388677655&from=wpm0102&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A907719277192&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388677655&from=wpm0102&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A907719277192 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1388677655&from=wpm0102&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A907719277192 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388677655&from=wpm0102&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A907719277192&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - {72CB84B9-2592-4ED9-BA51-DFBA0B98CDAA} URL = http://www.mysearchresults.com/search?c=2402&t=15&q={searchTerms} SearchScopes: HKCU - {F8D1CDFB-2BBE-4A5F-9B5F-7E1ED3EF2BB6} URL = http://websearch.ask.com/redirect?client=ie&tb=CIE&o=2240&src=kw&q={searchTerms}&locale=&apn_ptnrs=^A2T&apn_dtid=^YYYYYY^YY^PL&apn_uid=48ED29AD-0359-4560-A61F-1F00B8E6E180&apn_sauid=54F67EE8-CE5C-4DCF-9FA4-49B05BF76F87 BHO: ssafeWeeb - {1FBA780A-5830-77F9-BC55-90A8E6A4A7E2} - C:\Program Files (x86)\ssafeWeeb\x8a8X.x64.dll () BHO: EnujoyCoUpoonu - {4AED814F-11C3-535A-4462-B8D8D277DA6A} - C:\ProgramData\EnujoyCoUpoonu\0.x64.dll No File BHO: CoupExtension - {7C662EA3-0373-0B0D-4EF9-D0497505BA25} - C:\ProgramData\CoupExtension\swKl0X5Yd6.x64.dll No File Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\Babylon.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\delta-homes.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\portaldosites.xml CHR HKCU\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Lenovo\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2014-03-10] CHR HKCU\...\Chrome\Extension: [dknkjnkhedbanphkkpbpcgoblmkbfhlf] - C:\Users\Lenovo\AppData\Local\CRE\dknkjnkhedbanphkkpbpcgoblmkbfhlf.crx [2014-03-10] CHR HKLM-x32\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Lenovo\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2014-03-10] CHR HKLM-x32\...\Chrome\Extension: [dknkjnkhedbanphkkpbpcgoblmkbfhlf] - C:\Users\Lenovo\AppData\Local\CRE\dknkjnkhedbanphkkpbpcgoblmkbfhlf.crx [2014-03-10] CHR HKLM-x32\...\Chrome\Extension: [hggpkhijoeadmdfmlbdepfbngmhaldci] - C:\Program Files (x86)\DealPly\DealPly.crx [2014-04-08] CHR HKLM-x32\...\Chrome\Extension: [nbmafkdmkkckhggblphicnnhlgljnoje] - C:\Program Files (x86)\TornTV.com\torn2_10.crx [2014-04-11] CHR HKLM-x32\...\Chrome\Extension: [ohlfohjgijhjlpidbbnmcdooegafnnnm] - C:\Program Files (x86)\SockshareDownloader\SockshareDownloader10.crx [2012-11-15] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKCU\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://google.pl" ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.portaldosites.com/?utm_source=b&utm_medium=slbnew&from=slbnew&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A907719277192&ts=1369508672 ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1388677655&from=wpm0102&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A907719277192 ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.portaldosites.com/?utm_source=b&utm_medium=slbnew&from=slbnew&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A907719277192&ts=1369508672 ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A907719277192&ts=1373111218 ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.portaldosites.com/?utm_source=b&utm_medium=slbnew&from=slbnew&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A907719277192&ts=1369508672 ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://google.pl" AlternateDataStreams: C:\ProgramData:NT2 AlternateDataStreams: C:\Users\All Users:NT2 AlternateDataStreams: C:\ProgramData\Application Data:NT2 AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT2 AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 AlternateDataStreams: C:\ProgramData\Temp:07F6D9E4 AlternateDataStreams: C:\ProgramData\Temp:56E2E879 AlternateDataStreams: C:\Users\Lenovo\Dane aplikacji:NT AlternateDataStreams: C:\Users\Lenovo\Dane aplikacji:NT2 AlternateDataStreams: C:\Users\Lenovo\AppData\Roaming:NT AlternateDataStreams: C:\Users\Lenovo\AppData\Roaming:NT2 C:\Program Files (x86)\Desk 365 C:\ProgramData\pclunst.exe C:\ProgramData\PC1Data C:\ProgramData\EnujoyCoUpoonu C:\ProgramData\eSafe C:\ProgramData\InstallMate C:\ProgramData\ssafeWeeb C:\ProgramData\simplitec C:\ProgramData\WebPlat C:\ProgramData\wxDownload C:\Users\Lenovo\Qtrax C:\Users\Lenovo\AppData\Local\B1E C:\Users\Lenovo\AppData\Local\Conduit C:\Users\Lenovo\AppData\Local\cre C:\Users\Lenovo\AppData\Local\SearchProtect C:\Users\Lenovo\AppData\Local\PutLockerDownloader C:\Users\Lenovo\AppData\Local\SwvUpdater C:\Users\Lenovo\AppData\Roaming\337 C:\Users\Lenovo\AppData\Roaming\B1Toolbar C:\Users\Lenovo\AppData\Roaming\Babylon C:\Users\Lenovo\AppData\Roaming\eIntaller C:\Users\Lenovo\AppData\Roaming\ExpressFiles C:\Users\Lenovo\AppData\Roaming\simplitec C:\Users\Lenovo\Start Menu\Programs\Browser Manager C:\Users\Lenovo\Documents\smart pc cleaner C:\windows\pss\McAfee Security Scan Plus.lnk.CommonStartup Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ares" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C:" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FixMyRegistry" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PC Cleaners" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sllaunch" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\slwc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spotify Web Helper" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyPC Backup" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{976137e5} /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PC Cleaners" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PCData App" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozzerzenia trzeba będzie przeinstalować. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware seafeWeb i nadwyżkę Ad-blocków Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (w opcjach ręcznie zmienisz im status). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

To tylko kilka minut. Czekaj cierpliwie, skan może trwać nawet i godzinę lub więcej. Start > Uruchom > eventvwr.msc .

Podaj spis zadań. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: schtasks /Query /FO LIST /V > C:\zadania.txt Przedstaw wynikowy plik C:\zadania.txt. .

Został dostarczony niewłaściwy log z AdwCleaner, czyli z kolejnego uruchomienia, które nie pokazuje co usunięto. Podaj plik C:\AdwCleaner\AdwCleaner[s0].txt z pierwszego usuwania. .

Nadal brak GMER. Jeśli chodzi o poprzednie zadania, to prawie wykonane. Kolejna porcja czynności: 1. Usunięcie szczątków po Firefox (zakładam, że został zgodnie z zaleceniem odinstalowany). Otwórz Notatnik i wklej w nim: E:\Documents and Settings\Radek.LZTU9NUP1182PY8\Dane aplikacji\Mozilla E:\Program Files\Mozilla Firefox Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Sprawdzanie błędów dysku. Start > Uruchom > cmd, wklep komendę chkdsk /f /r i ENTER, zatwierdź dezinstalację woluminu i zresetuj system. Podczas restartu powinno się wykonać sprawdzanie dysku. Otwór Dziennik zdarzeń, w sekcji Aplikacja wyszukaj zdarzenie Winlogon numer 1001, pobierz jego Szczegóły, skopiuj je i wklej do posta statystyki checkdisk. .

Właśnie tego nie widzę, gdyż był problem detekcji ścieżki Google Chrome. Odinstalowałeś i OK. A poprzednie zadania wykonane. 1. Poprawki. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. FF Plugin: @Microsoft.com/DownloadManager,version=1.1 - C:\WINDOWS\ () FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\default-search.xml FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ [] FF HKLM\...\Firefox\Extensions: [ext@VideoPlayerV3beta993.net] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta993\ff FF HKLM\...\Firefox\Extensions: [ext@MediaWatchV1home746.net] - C:\Program Files\MediaWatchV1\MediaWatchV1home746\ff C:\Documents and Settings\ja sam.ANONIM-E21ED28F\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\Default User.WINDOWS\Ustawienia lokalne\Dane aplikacji\Google\Chrome CMD: rd /s /q C:\AdwCleaner CMD: rd /s /q "C:\Documents and Settings\ja sam.ANONIM-E21ED28F\Pulpit\Stare dane programu Firefox" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Druga sprawa, mówiłam: "problemy ze strukturą plików dysku (replika tych samych folderów w dokładnie tym samym miejscu)". Przykładowe rekordy z raportu FRST, taki duplikat jest nienormalny: 2014-05-05 18:53 - 2014-05-05 18:53 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Logomocja-Imagine 2014-05-05 18:53 - 2014-05-05 18:53 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Logomocja-Imagine 2014-05-05 18:52 - 2014-05-05 18:52 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\WinRAR 2014-05-05 18:52 - 2014-05-05 18:52 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\WinRAR Wykonaj sprawdzanie dysku pod kątem błędów. Start > Uruchom > cmd, wklep komendę chkdsk /f /r i ENTER, na pytanie o dezinstalację woluminu odpowiedz twierdząco z klawiatury i zresetuj system. Podczas restartu powinno się wykonać sprawdzanie dysku. Podaj jego statystyki, są one dostępne w Dzienniku zdarzeń w sekcji Aplikacja jako zdarzenie Winlogon numer 1001. Wyszukaj ten rekord, pobierz jego Szczegóły, skopiuj je i wklej do posta. .

To dziwne, że DelFix pozoruje usuwanie, zamiast jasno powiedzieć, że nie może tego skasować. W takim razie z innej strony: 1. Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Qoobox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Po tym użyj ponownie DelFix i zaprezentuj C:\delfix.txt (zostanie nadpisany). Potwierdź, że oba foldery wyniosły się w kosmos. .

Tu w ogóle nie chodzi o to co jest, doskonale wiem co to za komponent (aktywacja Windows), tylko o usterkę tego komponentu. Blokada pliku uniemożliwiająca pobór danych o nim jest nienormalna. Ten plik w normalnych okolicznościach nie jest zablokowany. Akcje pomyślnie wykonane, plik został odblokowany skryptem FRST, problemu już nie powinno być. Kończymy: 1. Uruchom TFC - Temp Cleaner. 2. Usuń używane narzędzia za pomocą DelFix. Przez SHIFT+DEL (omija Kosz) skasuj to co nie zostanie usunięte oraz te foldery: C:\Windows\erdnt C:\Windows\ERUNT 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj systemowy Internet Explorer 8 do wersji 11. To tyle. .

Pro forma zaznaczę, iż infekcja routera była widoczna w postaci wpisu (chodzi o kanadyjskie IP 192.99.14.108): Tcpip\Parameters: [DhcpNameServer] 192.99.14.108 8.8.8.8 Mam nadzieję, że login routera także uwględniłeś. W kwestii podanych wcześniej logów, to właściwie nie ma się już czym zajmować. Tylko drobnostki i koniec: 1. Otwórz Notatnik i wklej w nim: Task: {94832313-0C04-492B-B2A0-AF04096F9A70} - \AppCloudUpdater No Task File Task: {E288A6A4-B12D-4CA1-8048-80D192E6221E} - \DealPly No Task File SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] C:\Users\Robert\Downloads\AdobeFlashPlayer.exe C:\Users\Robert\Downloads\Media-Player-Classic-BE(42122).exe C:\Users\Robert\Downloads\setup (1).exe.ull4kt8.partial C:\Windows\system32\bootdelete.exe C:\Windows\SysWOW64\sqlite3.dll Reg: reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Advanced SystemCare Ultimate" /fmobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TBHider" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń używane narzędzia za pomocą DelFix. Przez SHIFT+DEL (omija Kosz) usuń ten folder z dysku: C:\Users\Robert\Desktop\Stare dane programu Firefox 3. Odinstaluj stare Java, zastąp najnowszą, o ile w ogóle potrzebna: ==================== Installed Programs ====================== Java 7 Update 45 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417045FF}) (Version: 7.0.450 - Oracle) Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle) .

DelFix mówi, iż skasował foldery C:\FRST i C:\Qoobox. Czy Ty nadal je widzisz? A te trzy pliki tekstowe, o których wcześniej wspominałeś, możesz do śmieci wyrzucić. .

SystemLook nie mógł obliczyć sumy kontrolnej tego pliku ("Unable to calculate MD5"), co sugeruje, że plik jest po prostu zablokowany przez uprawnienia (dlatego nie jest odczytywana sygnatura MS, która prawdopodobnie jest). Blokada powoduje też, iż skan SFC nie może się wykonać. Spróbujmy go odblokować: 1. Otwórz Notatnik i wklej w nim: SetDefaultFilePermissions: C:\Windows\system32\Wat\WatAdminSvc.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. 2. Zrób nowy skan SystemLook na ten sam warunek co poprzednio. .

Problem w tym, że plik fixlog.txt załączyłeś w pierwszym poście. W pierwszym poście są spodziewane logi od których się zaczynało, a nie logi po przeprowadzeniu działań, dyskusja jest nieliniowa i ja nie sprawdzam pierwszego posta w poszukiwaniu nowych logów. Log przekleiłam do posta powyżej. Nadal nie dostarczyłeś pliku C:\delfix.txt. .

Temat pod dostosowanym do problematyki tytułem przesuwam do działu Windows. Opisywany problem zwykle ma przyczyny inne niż "śmieci na kompie" np. błędy dysku, utrata uprawnień, możliwe defekty po stronie antywirusa. Błąd ów występował w Dzienniku zdarzeń w formie: Application errors: ================== Error: (05/16/2014 06:33:22 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1505) (User: KASIA-Komputer) Description: System Windows nie może załadować profilu użytkownika, ale wykonał logowanie przy użyciu domyślnego profilu systemowego. SZCZEGÓŁY - Odmowa dostępu. PS. Są tu owszem śmieci do czyszczenia (odpadki starej infekcji "policyjnej" i wpisy puste), ale one nie mają żadnego związku ze zdarzeniem. Pod tym kątem: 1. Odinstaluj zbędniki: AVG Security Toolbar, Bing Bar. Po tym uruchom TFC - Temp Cleaner. 2. Otwórz Notatnik i wklej w nim: SearchScopes: HKCU - DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={192BEDA6-1E23-4DBB-82D2-7DB2FBDE3F2D}&mid=029c4d69651a47d0b5d3d16d5b73d621-8f95795fd2cf7e8667cb7c4671062feeed25bfaf&lang=pl&ds=AVG&pr=fr&d=2012-11-20 12:50:13&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={192BEDA6-1E23-4DBB-82D2-7DB2FBDE3F2D}&mid=029c4d69651a47d0b5d3d16d5b73d621-8f95795fd2cf7e8667cb7c4671062feeed25bfaf&lang=pl&ds=AVG&pr=fr&d=2012-11-20 12:50:13&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms} BHO: No Name - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No File BHO: No Name - {A057A204-BACC-4D26-9990-79A187E2698E} - No File Toolbar: HKLM - No Name - {A057A204-BACC-4D26-9990-79A187E2698E} - No File Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File S3 EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys [X] C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\lsass.exe RemoveDirectory: C:\Users\TEMP Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Wszystko poszło sprawnie. Kończymy: 1. Uruchom TFC - Temp Cleaner. 2. Usuń używane narzędzia za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do aktualizacji te pozycje na liście zainstalowanych: ==================== Installed Programs ====================== Adobe Reader X (10.1.10) (HKLM\...\{AC76BA86-7AD7-1033-7B44-AA1000000001}) (Version: 10.1.10 - Adobe Systems Incorporated) Gadu-Gadu 10 (HKLM\...\Gadu-Gadu 10) (Version: - GG Network S.A.) Java™ 6 Update 45 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216033FF}) (Version: 6.0.450 - Oracle) ----> deinstalacja, najnowsza Java 7 już jest Gadu-Gadu 10 to stary i zasobożerny program. Albo zamień najnowszym GG12 (nieco lepsze i mniej reklam), albo alternatywnym programem w rodzaju WTW. Wszystko opisane tu: KLIK. .

Dodaj mi szukanie na wystąpienia tego pliku. Uruchom SystemLook x64 i w oknie wklej: :filefind WatAdminSvc.exe Klik w Look. vs. Czyli ma być ustawiona para adresów Google: - Podstawowy: 8.8.8.8 - Zapasowy: 8.8.4.4 .

Bron Spizaetus i Tok-Cirrhatus to robak Brontok. Prócz niego siedzi tu też adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\ProgramData\IePluginService\PluginService.exe (Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe (Aztec Media Inc) C:\Program Files\Settings Manager\systemk\SystemkService.exe (Aztec Media Inc) C:\Program Files\Settings Manager\systemk\SystemkService.exe (Aztec Media Inc) C:\Program Files\Settings Manager\systemk\systemku.exe () C:\Users\Natalia\AppData\Local\winlogon.exe () C:\Users\Natalia\AppData\Local\services.exe () C:\Users\Natalia\AppData\Local\lsass.exe R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED) R2 SystemkService; C:\Program Files\Settings Manager\systemk\SystemkService.exe [3543056 2014-05-12] (Aztec Media Inc) R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [549008 2014-05-12] (Cherished Technololgy LIMITED) R1 F06DEFF2-5B9C-490D-910F-35D3A91196222; C:\Program Files\Settings Manager\systemk\systemkmgrc1.cfg [31120 2014-05-12] (Aztec Media Inc) HKLM\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\sempalong.exe [42734 2008-01-02] () HKLM\...\Winlogon: [shell] Explorer.exe "C:\Windows\eksplorasi.exe" [x ] () HKU\S-1-5-21-3717591281-2072224576-1635484359-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Natalia\AppData\Local\smss.exe [42734 2008-01-02] () HKU\S-1-5-21-3717591281-2072224576-1635484359-1000\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-3717591281-2072224576-1635484359-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-3717591281-2072224576-1635484359-1000\...\Policies\Explorer: [NoFolderOptions] 1 IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe Startup: C:\Users\Natalia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () HKLM\...\AppCertDlls: [x64] -> c:\program files\settings manager\systemk\x64\sysapcrt.dll HKLM\...\AppCertDlls: [x86] -> C:\Program Files\Settings Manager\systemk\sysapcrt.dll [490000 2014-05-12] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496&q={searchTerms} SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=175&itype=a&ver=12627&tm=350&src=ds&p={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496&q={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=175&itype=a&ver=12627&tm=350&src=ds&p={searchTerms} BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files\SupTab\SupTab.dll (Thinknice Co. Limited) BHO: Linkey - {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} - C:\Program Files\Linkey\IEExtension\iedll.dll (Aztec Media Inc) ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496 ShortcutWithArgument: C:\Users\Natalia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496 ShortcutWithArgument: C:\Users\Natalia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496 ShortcutWithArgument: C:\Users\Natalia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496 ShortcutWithArgument: C:\Users\Natalia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496 ShortcutWithArgument: C:\Users\Natalia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496 CMD: for /d %f in (C:\Users\Natalia\AppData\Local\*bron*) do rd /s /q "%f" C:\Users\Natalia\AppData\Local\*bron* C:\Users\Natalia\AppData\Local\*.exe C:\Users\Natalia\AppData\Local\*.txt C:\Users\Natalia\Downloads\SoftonicDownloader_dla_spss-16.exe C:\Windows\eksplorasi.exe C:\Windows\ShellNew\sempalong.exe C:\autorun.inf D:\autorun.inf E:\autorun.inf Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. System zostanie zresetowany, wejdź w Tyb normalny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zresetuj plik HOSTS posiłkując się narzędziem Fix-it: KLIK. 3. Przez Panel sterowania odinstaluj adware Linkey, Settings Manager, sweet-page uninstaller, WPM18.8.0.304. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > Po uruchomieniu > usuń wszstkie adresy tam widziane Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres default-search.net Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt i log z AdwCleaner. Odpowiadasz mi oczywiście w nowym poście, nie edytuj już pierwszego. .

Kończymy: 1. Uruchom TFC - Temp Cleaner. 2. Przez SHIFT+DEL (omija Kosz) skasuj: C:\Users\AM\Desktop\vir (używae narzędzia stąd) C:\Windows\SysWOW64\sqlite3.dll Popraw za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. .

Ale przecież miałeś mi przedstawić plik fixlog.txt przed przejściem do dalszych punktów, bo DelFix usuwa ten plik (!). W przeciwnym wypadku jak mam sprawdzić czy się zadanie wykonało, "z powietrza"? I chodzi o log z pierwszego podejścia, ponowne uruchomienie tego samego skryptu jest bezcelowe, skrypt jest jednorazowego użytku. Z tym, że tu już są ślady użycia DelFix i możliwe, że pliku fixlog.txt nie ma już na dysku. FRST (wiadomo co go utworzyło) i Qoobox (od ComboFix) miał usunąć program DelFix. Nie przedstawiłeś raportu DelFix.txt, więc nie mogę ocenić co poszło źle, bo z pewnością program nie wykonał zadań. .

Akcje wykonane, ale: 1. Nadal nie są poprawione adresy DNS routera i stoją dwa identyczne, Zapasowy miał być zmieniony: Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.8.8 2. Ten plik nie miał sygnatury Microsoftu: ==================== Services (Whitelisted) ================= S3 WatAdminSvc; C:\Windows\system32\Wat\WatAdminSvc.exe [1255736 2012-09-10] () Zadałam więc jego skan naprawczy, ale to się nie udało, komenda SFC zwróciła następujący błąd: ========= sfc /scanfile=C:\Windows\system32\Wat\WatAdminSvc.exe ========= Funkcja Ochrona zasobów systemu Windows nie może wykonać żądanej operacji. Spróbuj raz jeszcze, ale w innym środowisku. Wejdź do Trybu awaryjnego Windows. Uruchom linię komend cmd, wklej tę komendę i ENTER: sfc /scanfile=C:\Windows\system32\Wat\WatAdminSvc.exe Podaj czy pokazuje się ten sam błąd. Ja nie widzę potrzeby wymiany antywirusa. I żaden antywirus czy pakiet zabezpieczeń nie uchroni przed infekcją, którą miałeś, gdyż to nie jest infekcja po stronie systemu tylko infekcja zewnętrznego urządzenia. To router musi zostać zabezpieczony, a podstawowa sprawa to niedomyślny login. Ogólnie na ten temat: KLIK. .

EDIT: Zapomniałam poprzednio dodać: - Wszystkie pozycje Freecorder też do deinstalacji bo mają komponenty adware. - WinPcap jest OK. To rodzaj "sniffera" sieciowego zwykle instalowany z innymi programami, których cel to pobieranie mediów ze stron (np. filmików). Te dwa programy zostały zainstalowane razem, WM Recorder używa WinPcap do łapania linków (KLIK): ==================== Installed Programs ====================== WinPcap 4.1.3 (HKLM\...\WinPcapInst) (Version: 4.1.0.2980 - Riverbed Technology, Inc.) WM Recorder 12.1 (HKLM\...\WM Recorder 12.1) (Version: - ) Dodatkowo, widzę na Twojej liście programów niejaki Screenshot Captor od DonationCoder.com. URL Snooper tej samej firmy także posługuje się właśnie WinPcap. I wiele innych aplikacji też może używać WinPcap. Teraz po deinstalacjach adware możemy doczyszczać, bo problemów nadal multum. Aktywne adware oraz problemy ze strukturą plików dysku (replika tych samych folderów w dokładnie tym samym miejscu). Akcje: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\IePluginService\PluginService.exe () C:\Program Files\004\rqpbhevlkc32.exe () C:\Documents and Settings\ja sam.ANONIM-E21ED28F\Ustawienia lokalne\Dane aplikacji\t4pc_en_3\upt4pc_en_3.exe R2 IePluginService; C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED) R2 rqpbhevlkc32; C:\Program Files\004\rqpbhevlkc32.exe [543232 2014-05-05] () S2 Update webget; "C:\Program Files\webget\updatewebget.exe" [X] HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe HKLM\...\Run: [fst_pl_117] => [X] HKLM\...\Run: [t4pc_en_3] => [X] HKLM\...\Run: [upt4pc_en_3.exe] => C:\Documents and Settings\ja sam.ANONIM-E21ED28F\Ustawienia lokalne\Dane aplikacji\t4pc_en_3\upt4pc_en_3.exe [3268080 2014-05-14] () HKU\S-1-5-21-299502267-1993962763-1417001333-1004\...\Run: [speedUpMyComputer] => C:\Program Files\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\...\AppCertDlls: [x64] -> c:\program files\settings manager\systemk\x64\sysapcrt.dll Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\bench-sys.job => C:\Program Files\Bench\Updater\updater.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.default-search.net?sid=492&aid=109&itype=a&ver=12692&tm=354&src=hmp HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1396980688&from=smt&uid=ST980811AS_5LY7743GXXXX5LY7743G&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1396980688&from=smt&uid=ST980811AS_5LY7743GXXXX5LY7743G&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1396980688&from=smt&uid=ST980811AS_5LY7743GXXXX5LY7743G SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1396980688&from=smt&uid=ST980811AS_5LY7743GXXXX5LY7743G&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1396980688&from=smt&uid=ST980811AS_5LY7743GXXXX5LY7743G&q={searchTerms} SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=109&itype=a&ver=12692&tm=354&src=ds&p={searchTerms} SearchScopes: HKCU - DefaultScope {D9DC290A-C648-4059-8596-A905DF4F5037} URL = http://search.findwide.com/serp?guid={D2B77A2A-623F-4294-9EF8-EE59945FE51C}&action=default_search&serpv=22&k={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=109&itype=a&ver=12692&tm=354&src=ds&p={searchTerms} SearchScopes: HKCU - {C72DDC0F-5BF4-4DA8-9F70-9A50C53E669C} URL = http://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10809 SearchScopes: HKCU - {D9DC290A-C648-4059-8596-A905DF4F5037} URL = http://search.findwide.com/serp?guid={D2B77A2A-623F-4294-9EF8-EE59945FE51C}&action=default_search&serpv=22&k={searchTerms} BHO: BlockAndSurf - {8E9C1CC8-FCEC-F858-9CEC-A4143CA5EE64} - C:\Program Files\BlockAndSurf-soft\170.dll () BHO: No Name - {95B7759C-8C7F-4BF1-B163-73684A933233} - No File BHO: BlockAndSurf - {DF521630-EB03-9984-BAFD-0E502341A6FD} - C:\Program Files\BlockAndSurf-soft\170.dll () Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKCU - No Name - {8235B9EF-7F8E-4FFE-9261-CDABFB7345FA} - No File FF Plugin: @Microsoft.com/DownloadManager,version=1.1 - C:\WINDOWS\ () FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\default-search.xml FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ FF HKLM\...\Firefox\Extensions: [ext@VideoPlayerV3beta993.net] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta993\ff FF HKLM\...\Firefox\Extensions: [ext@MediaWatchV1home746.net] - C:\Program Files\MediaWatchV1\MediaWatchV1home746\ff C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\IePluginService C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\WPM C:\Documents and Settings\ja sam.ANONIM-E21ED28F\Dane aplikacji\aps.uninstall.scan.results C:\Documents and Settings\ja sam.ANONIM-E21ED28F\Dane aplikacji\Settings Manager C:\Documents and Settings\ja sam.ANONIM-E21ED28F\Dane aplikacji\SwvUpdater C:\Documents and Settings\ja sam.ANONIM-E21ED28F\Moje dokumenty\Optimizer Pro C:\Documents and Settings\ja sam.ANONIM-E21ED28F\Pulpit\Free Games.lnk C:\Documents and Settings\ja sam.ANONIM-E21ED28F\Ustawienia lokalne\Dane aplikacji\AnyProtectScannerSetup.exe C:\Documents and Settings\ja sam.ANONIM-E21ED28F\Ustawienia lokalne\Dane aplikacji\genienext C:\Documents and Settings\ja sam.ANONIM-E21ED28F\Ustawienia lokalne\Dane aplikacji\t4pc_en_3 C:\Program Files\004 C:\Program Files\Bench C:\Program Files\BlockAndSurf-soft C:\Program Files\Free Games 111 C:\Program Files\fst_pl_117 C:\Program Files\MediaWatchV1 C:\Program Files\Mobogenie C:\Program Files\MyPC Backup C:\Program Files\predm C:\Program Files\VideoPlayerV3 C:\WINDOWS\system32\roboot.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\AVScanner.ini C:\install.exe C:\winrarfree.exe Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót Internet Explorer jest wadliwy (utrata specjalnego atrybutu): Shortcut: C:\Documents and Settings\ja sam.ANONIM-E21ED28F\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\ja sam.ANONIM-E21ED28F\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj wszystko co podejrzane / nieznane Ci Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Uruchom TFC - Temp Cleaner. 7. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. Ponadto, jest tu także Opera, ale żaden z używanych programów nie skanuje jej konfiguracji, toteż przedstaw mi dane ręcznie. Uruchom najnowszą Operę (chodzi o Opera Stable 21.0.1432.67, a nie starą Opera 12.17), CTRL+SHIFT+E i zrób zrzut ekranu z rozszerzeń. .

Proszę nie mieszaj logów, usuwam dodane co dopiero w pierwszym poście FRST i fixlog. Przecież dialog nie jest liniowy. Nowe logi mają być podane w nowym poście. W pierwszym poście zostaje komplet startowy od którego zaczynaliśmy robotę. .

OK, wszystko wykonane. Na koniec: 1. Usuń używane narzędzia za pomocą DelFix. Ręcznie dokasuj poniższy plik: C:\Windows\SysWOW64\sqlite3.dll 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Internet Explorer i Java 32-bit. Wg raportu są tu wersje: Internet Explorer Version 10 ==================== Installed Programs ====================== Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle) .

Wg raportu FRST IP pobrane z routera jest już poprawne, ale niepotrzebnie zreplikowałeś adres Google. Jako Podstawowy i Zapasowy stoi dokładnie to samo IP Google: 8.8.8.8. Skoryguj, by Zapasowy był rzeczywiście różny. Zapasowym Google jest 8.8.4.4. Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.8.8 Skoro nadal jest problem z komunikatami, może trzeba opróżnić bufor DNS. Od razu też poprzednio wspominane poprawki na wpisy puste. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - {C507CCFA-2A70-4A09-AC54-3095DB815AFD} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=198484&p={searchTerms} Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf - C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll No File FF Plugin-x32: @nitropdf.com/NitroPDF - C:\Program Files (x86)\Nitro\Pro 8\npnitromozilla.dll No File S1 aswTdi; \??\C:\Windows\system32\drivers\aswTdi.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz134; \??\C:\Users\Kolbe\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] Task: {99E77C41-19DC-41A1-B561-D06FC7F50B4B} - System32\Tasks\{59278CFA-8759-4369-9C11-E205765C2367} => H:\Gry\FINAL FANTASY VII\ff7_en.exe Task: {F0B86B6E-06CC-4048-B080-194CE023ADEA} - System32\Tasks\{C6684A3A-373D-42E3-A4DB-157355E02FEA} => C:\Users\Kolbe\Desktop\vfd21-080206\vfdwin.exe AlternateDataStreams: C:\Windows:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} AlternateDataStreams: C:\ProgramData\TEMP:D1B5B4F1 AlternateDataStreams: C:\Users\Kolbe\Ustawienia lokalne:dVN5DgGGU4zccna0nq6l5K AlternateDataStreams: C:\Users\Kolbe\AppData\Local:dVN5DgGGU4zccna0nq6l5K AlternateDataStreams: C:\Users\Kolbe\AppData\Local\Dane aplikacji:dVN5DgGGU4zccna0nq6l5K AlternateDataStreams: C:\Users\Kolbe\AppData\Local\Temporary Internet Files:UJKslb48ts5WSVDf C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\Spybot - Search & Destroy C:\Windows\System32\Tasks\Safer-Networking C:\Windows\SysWOW64\RegFile3.txt C:\Windows\SysWOW64\sqlite3.dll CMD: sfc /scanfile=C:\Windows\system32\Wat\WatAdminSvc.exe CMD: ipconfig /flushdns CMD: C:\Users\Kolbe\Downloads\ComboFix.exe /uninstall Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Jako ostatnia komenda wykonuje się deinstalacja ComboFix, więc czekaj cierpliwie. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zresetuj ręcznie system. Wyczyść cache przeglądarek: - Firefox: Opcje > Zaawansowane > Sieć > opróżnij pamięć podręczną + menu Historia > Wyczyść historię przeglądania - Google Chrome: Ustawienia > karta Historia > wyczyść 3. Odinstaluj Pandora Service (zbędnik instalowany z KMPlayer). 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

A do czego konkretnie zmierzasz, o który folder Ci szczególnie chodzi? .