picasso

W systemie są też odpadki po F-Secure oraz ślady cracka aktywacji Chew7Hale (wyłączony w msconfig) - czy crack został odinstalowany? Wdróż następujące działania:

1. Otwórz Notatnik i wklej w nim:

() C:\Users\ewunia\AppData\Roaming\regsrv64.exe
(F-Secure Corporation) C:\Program Files\Bezpieczny Internet Premium\fshoster32.exe
(F-Secure Corporation) C:\Program Files\Bezpieczny Internet Premium\fshoster32.exe
HKU\S-1-5-21-743547813-428604125-3645034512-1000\...\Run: [Microsoft DLL Registration] => C:\Users\ewunia\AppData\Roaming\regsrv64.exe [77824 2014-04-25] ()
Startup: C:\Users\ewunia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{be62610d-322b-3431-dc31-96f6be62610d}.exe (Nero StartSmart Essentials)
R2 fshoster; C:\Program Files\Bezpieczny Internet Premium\fshoster32.exe [188400 2013-01-18] (F-Secure Corporation)
C:\Program Files\Bezpieczny Internet Premium
C:\Users\ewunia\AppData\Roaming\*.exe
C:\Users\ewunia\AppData\Roaming\{be62610d-322b-3431-dc31-96f6be62610d}
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Uruchom TFC - Temp Cleaner.

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

.

To co jest w skanie AVG to kompletnie inny plik, czyli FlashUpdater.exe (dwie kopie pobrane ręcznie), a podany program to TFC.exe. Prawdopodobnie ten szkodliwy FlashUpdater.exe już był wcześniej na dysku w tym folderze D:\Download, ale AVG się obudził dopiero, gdy zacząłeś zapisywać tam TFC. To co wykrył AVG do usunięcia.

Plik HOSTS bez zmian. Kolejne podejście:

1. Otwórz Notatnik i wklej w nim:

Unlock: C:\Windows\system32\Drivers\etc\hosts

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt.

2. Ponownie uruchom narzędzie Fix-it resetujące HOSTS.

3. Zrób nowy log FRST, ale dodaj mi tylko plik Addition. Dołącz też plik fixlog.txt.

.

Wszystko pomyślnie wykonane (w tym Google Chrome wygląda już poprawnie), ale to jeszcze nie koniec działań.

1. Uruchom TFC - Temp Cleaner.

2. Usuń używane narzędzia za pomocą DelFix. Ręcznie dokasuj z Pobieranych plik 8f2u218c.exe (GMER) oraz Shortcut.txt.

3. Zrób pełny skan za pomocą Malwarebytes Anti-Malware. Jeśli coś zostanie wykryte, przedstaw raport.

.

Brakuje danych po czyszczeniu:

4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition, by powstał drugi log). Dołącz też plik fixlog.txt oraz logi AdwCleanerSnumer.txt z katalogu C:\AdwCleaner.

A to co wykrył CureIt to instalator sponsorów w Temp. Czego unikać: KLIK.

.

@EDIT a ja ci mówie, że jak otworzyłem to txt już był

Na pewno plik był utworzony na świeżo ręcznie, mówią o tym daty jego utworzenia i modyfikacji (nanieś poprawkę na cofnięty czas systemowy):

2014-04-23 20:12 - 2014-04-25 20:22 - 00000977 _____ () C:\Windows\system32\Drivers\etc\hosts.txt

Plik powstał tuż przed instalacją MBAM i używaniem AdwCleaner. Tak więc owszem, mógł być w momencie, gdy na tamtym forum zadano modyfikację HOSTS, co nie zmienia faktu, że plik został utworzony (nie było go wcześniej) i otwierałeś zły plik. Plik systemowy jest na dysku, nie ma rozszerzenia i nie jest to powyższy plik.

@EDIT2 gmer już jest, nie wiem czy reklamy miały już zniknąć bo dalej je mam

Rootkit został pomyślnie usunięty, o czym zawiadamia GMER i ustąpienie procesów iexplore.exe, ale plik HOSTS w ogóle nie został zresetowany. Może plik jest zablokowany przez uprawnienia?

coś jest nie tak, bo w procesach jest powielony chrome.exe, komp mi zmulił i w malwarebytes wyłączyło mi opcje blokowania szkodliwych stron, ciekawy zbieg okoliczności

Google Chrome stosuje antyawaryjny system separacji kart i rozszerzeń do osobnych procesów. Powielenie procesu chrome.exe nie jest nienormalne, jeśli przeglądarka była ręcznie uruchomiona. Np. u mnie przy otwartych 8 kartach Google Chrome mam 11 procesów chrome.exe. Poprzednio wspominane powielenie iexplore.exe to było co innego (ciche uruchomienie procesów nie używanej przeglądarki). Sytuacja, gdy działał rootkit:

==================== Processes (Whitelisted) =================
 

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe

(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe

(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe

(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe

(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe

Obecna sytuacja:

==================== Processes (Whitelisted) =================
 

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

A MBAM prawdopodobnie reaguje na przekierowania HOSTS. Skoro reset HOSTS narzędziem Fix-it się nie udaje, ręcznie zostanie wdrożona akcja:

1. Otwórz Notatnik i wklej w nim:

146.0.75.221 www.google-analytics.com.
146.0.75.221 google-analytics.com.
146.0.75.221 connect.facebook.net.
146.0.75.221 bing.com.
146.0.75.221 www.bing.com.
146.0.75.221 gb.bing.com.
146.0.75.221 au.bing.com.
146.0.75.221 ca.bing.com.
79.142.66.242 www.google-analytics.com.
79.142.66.242 google-analytics.com.
79.142.66.242 connect.facebook.net.
79.142.66.242 bing.com.
79.142.66.242 www.bing.com.
79.142.66.242 gb.bing.com.
79.142.66.242 au.bing.com.
79.142.66.242 ca.bing.com.
C:\Windows\system32\Drivers\etc\hosts.txt
C:\Windows\SysWOW64\sqlite3.dll
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\67791575.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\67791575.sys => ""="Driver"
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Uruchom TFC - Temp Cleaner.

3. Zrób nowy log FRST z opcji Scan (główny + Addition). Dołącz też plik fixlog.txt.

.

Pisze, że nie mam uprawnień do wysyłania tego typu plików.

Czy log widnieje pod nazwą: shexview.cfg?

Log ma być zapisany do formatu TXT, inne są zabronione w załącznikach.

.

Skoro odcinanie oczywistych procesów niedomyślnych nic nie wnosi, przetestuj rozszerzenia powłoki. Uruchom ShellExView x64, z wciśniętym CTRL zaznacz wszystkie niedomyślne wpisy (są wyróżnione na różowym the) i je wyłącz. Zresetuj komputer. Podaj także log z narzędzia ShellExView.

.

Opuść Tryb awaryjny i postaraj się wyciągnąć pożądane dane HWiNFO w tej "luce" kilkuminutowej, która występuje przed wystąpieniem awarii.

Na pierwszym kompie jak mam uruchomioną przeglądarkę firefox, jakąkolwiek stronę np. onet otwierają się nadal same okna (karty) z ilove.mobi i jeszcze dodatkowo kilka innych. Zazwyczaj wszystkie są związane z loteriami pieniężnymi, lub płatnymi smsami. Teraz otwierają się po dwie do czterech naraz. Innych objawów narazie nie zauważyłam.

Wprawdzie w raportach FRST i OTL nie było poprzednio nic szczególnego w Firefox - z tą różnicą, iż narzędzia widziały inne profile (FRST wykrywał Kaspersky Lab SafeBrowser) - ale nie jest wykluczone, że problem jest jednak w przeglądarce. Spróbuj tych akcji w Firefox:

• menu Historia > Wyczyść historię przeglądania
• menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

.

Wykonaj jeszcze test z czystym rozruchem: KLIK. Podaj czy są jakieś zmiany.

.

Ten crash i kolorowe zmazy na ekranie sugerują tu teraz całkiem inny problem: z grafiką. Przesuwam temat na diagnostykę sprzętową. Dostarcz wymagane dane: KLIK.

Tak, zgodnie z podejrzeniami jest tu rootkit (GMER po odsianiu aktywności SPTD lepiej to wykazuje + TDSSKiller ma konkretną detekcję typu), a modyfikacja HOSTS to tylko część zestawu. Plik HOSTS nie został zresztą wcale zresetowany, prawdopodobnie infekcja blokuje, choć nie jestem pewna czy w ogóle uruchomiłeś narzędzie Fix-it. Wdróż następujące działania:

1. Uruchom ponownie Kaspersky TDSSKiller, ale tym razem dla wyniku Rootkit.Boot.Cidox.b wybierz akcję domyślnie zaproponowaną przez narzędzie. Zresetuj system. Narzędzie zapisze kolejny log na C:\.

2. Ponów reset pliku HOSTS narzędziem Fix-it: KLIK.

3. Zrób nowe logi: FRST (główny + Addition) oraz GMER. Dołącz log z Kasperskiego.

ten plik host miał już plik .txt a jego modyfikowanie też podała mi filutka

Nie, ten plik *.txt Ty utworzyłeś. Tu są obecnie dwa pliki w systemie:

Plik właściwy bez rozszerzenia (to ten miał być modyfikowany):

2009-07-14 04:34 - 2014-04-24 08:51 - 00001659 ____N C:\Windows\system32\Drivers\etc\hosts

Plik sztuczny dorobiony przez Ciebie (nie jest interpretowany przez Windows):

2014-04-23 20:12 - 2014-04-25 20:22 - 00000977 _____ () C:\Windows\system32\Drivers\etc\hosts.txt

.

Plik PDF opisujący konfigurację tego modelu: KLIK. Karta Interface Setup > sekcja LAN > DHCP ustawione na Enabled > na spodzie są ustawienia DNS (Primary + Secondary DNS Server).

.

Nie wiem jaki to router, ani jak wygląda interfejs ustawiania DNS. Przydałby się obrazek z konfiguracji. Jeśli nie wiesz co tam wpisać w polach DNS, możesz tymczasowo wstawić adresy Google (zresztą jeden z nich był wcześniej obok adresu złośliwego):

Podstawowy: 8.8.8.8

Zapasowy: 8.8.4.4

.

Nie, logi nie są już potrzebne. Temat rozwiązany. Zamykam.

W tym podejściu McAfee został usunięty i nie jest już czynny, widać jeszcze po nim drobne odpadki oraz nadal uszkodzone Google Chrome, ale to zostawiam na potem. Skoro nadal występuje problem, to jeszcze jako podejrzani są Avast w kombinacji z MBAM. Ale wstępnie sprawdź inny układ, który może ograniczy obszar poszukiwań, tzn. czy efekt występuje na czystym rozruchu: KLIK.

.

Zrób bardziej kompletny test: tymczasowo odinstaluj w całości tego Kasperskiego, zresetuj system, nie instaluj na razie żadnych innych antywirusów, wypowiedz się czy jest różnica.

.

Jak sądzę, system powinien już śmigać. Ustosunkuj się jeszcze do tego, bo może trzeba na siłę usuwać te pozycje:

3. Nadal widzę na liście Dodaj/Usuń te programy zalecone kilka razy do deinstalacji, czy Ty ich nie widzisz, czy też omijasz usuwanie?

 

==================== Installed Programs ======================
 

20Dollars2Surf 1.1 (HKLM\...\{1EE9BBA1-312F-4EC0-9DEA-A8FE22BBABAA}_is1) (Version: - Galactic Brothers LTD) 

All-In-I-Key-logger (HKLM\...\ZxjX95sfv_is1) (Version: - )

Dll-Files.com Fixer (HKLM\...\Dll-Files.com Fixer_is1) (Version: 1.0 - Dll-Files.com)

NCDownloader (HKLM\...\{0F44DC3F-6E62-4961-A14B-95323C512F9B}_is1) (Version: 1.0 - Solibo Ltd.) 

OpenOffice.org 3.3 (HKLM\...\{0141D498-16DA-4221-A529-1D7A64BE8B05}) (Version: 3.3.9567 - OpenOffice.org)

Spybot - Search & Destroy (HKLM\...\{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1) (Version: 2.0.12 - Safer-Networking Ltd.)

I po tym zadam czynności końcowe.

.

Folderu System Volume Information nie miałam także nie kasowałam.

Folder definitywnie jest, tylko go nie widzisz (zaznaczona opcja "Ukryj chronione pliki systemu operacyjnego"), i nie jest pusty. A lista punktów jest następująca:

==================== Restore Points =========================
 

26-04-2014 11:16:55 avast! antivirus system restore point

26-04-2014 11:21:36 Installed SpyHunter

26-04-2014 11:27:33 Windows Update

26-04-2014 11:39:51 Removed SpyHunter

26-04-2014 11:40:41 Removed SpyHunter

Tego folderu nie czyści się ręcznie (i nie wolno tego zrobić na systemach Vista i nowszych)! Przecież w linku są podane metody poprzez opcje Windows. Wykonaj podane tam akcje.

.

Zabrakło obowiązkowego raportu z GMER. Uzupełnij. Przed uruchomieniem należy odinstalować emulatory napędów wirtualnych i sterownik SPTD: KLIK.

R0 sptd; C:\Windows\System32\Drivers\sptd.sys [503352 2013-04-23] ()

Były używane narzędzia: SpyHunter (to wątpliwy skaner) oraz AdwCleaner (dostarcz logi z folderu C:\AdwCleaner). Na razie nie widzę tu żadnych oznak czynnej infekcji, tylko odpadki adware i wpisy puste do usunięcia. Doczyść, ale to jednak nie wpłynie na poprawę stanu systemu:

HKLM\...\AppCertDlls: [x64] -> c:\program files (x86)\settings manager\systemk\x64\sysapcrt.dll
HKLM\...\AppCertDlls: [x86] -> c:\program files (x86)\settings manager\systemk\sysapcrt.dll
Task: {38C41DA1-63B8-4A4F-8AD4-ADD8C96F1518} - \QtraxPlayer No Task File 
Task: {F5A23878-59EA-49AE-BFA3-74A01E3D823C} - \EPUpdater No Task File 
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
HKU\S-1-5-21-628482503-715703045-1814460480-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-628482503-715703045-1814460480-1000\...\Policies\Explorer: []
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.default-search.net?sid=476&aid=132&itype=n&ver=12349&tm=329&src=hmp
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=12349&tm=329&src=ds&p={searchTerms}
FF HKLM-x32\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
C:\Program Files\Enigma Software Group
C:\Program Files (x86)\Anvisoft
C:\Program Files (x86)\Settings Manager
C:\Program Files (x86)\mozilla firefox\plugins
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anvisoft
C:\Users\Aleksandra\Favorites\GG dysk.lnk
C:\Users\Aleksandra\AppData\Local\Anvisoft
C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete HKCU\Software\Mozilla\SeaMonkey /f

Wrócił do mnie laptop po paromiesięcznym użytkowaniu przez znajomych - ma parę uciążliwych felerów:

- system długo się inicjuje

- ekran długo i na raty się odświeża

- kontrolka dysku bardzo często zapala się (jakieś procesy w tle)

Czekam jeszcze na GMER, ale póki co do sprawdzenia:

1. Wyłączenie zbędnych procesów. Uruchom msconfig:

- W karcie Uruchamianie odznacz wpisy: AdobeAAMUpdater-1.0, Adobe ARM, AdobeCS6ServiceManager, BCSSync, SunJavaUpdateSched, SwitchBoard, Windows Defender

- W karcie Usługi odznacz wpisy: Adobe Acrobat Update Service, Adobe SwitchBoard, Autodesk Content Service, Nero Update, Skype Updater, Windows Defender

Zresetuj system. Przy braku zmian:

2. Testowa deinstalacja Avira.

.

Na tym etapie działań prosiłam Cię o konkretne logi, czyli już tylko FRST i to bez Shortcut. Usuwam nadwyżkę. A fixlog.txt wykazuje, że był prawdopodobnie uruchomiony dwa razy, gdyż nic nie zostało znalezione, a obecnie wpisów i tak nie ma.

Czy to na pewno logi FRST po użyciu McAfee Consumer Products Removal tool? W ogóle na to nie wygląda, zmian brak. McAfee odinstalowany tylko pozornie. Wpis z listy programów zniknął, niestety reszta działa pełną parą. Program jest czynny w procesach i multum usług / sterowników.... Kolejne podejście:

1. Uruchom McAfee Consumer Products Removal tool. Nie zważaj na ewentualne błędy podawane przez narzędzie.

2. Zresetuj system, sprawdź czy da się wejść w Tryb normalny. Zrób nowe raporty z FRST (zaznacz ponownie pole Addition, by powstały dwa logi).

.

Poprzedni skrypt pomyślnie wykonany.

Bardzo mi przykro, ale ikony nadal są niekatywne i jedynie uruchamianie za każdym razem menadżera zadań pomaga...

Sprawdź czy przypadkiem nie ponosi winy Kaspersky Anti-Virus 2013. Test wstępny: zdeaktywuj wszystkie osłony i zresetuj system. Podaj czy jest jakaś zmiana.

.

Wszystko przetworzone pomyślnie. Nie udzieliłeś jednak odpowiedzi na temat widzialności pendrive oraz używania Nero.

Jeśli chodzi o połączenie internetowe to jest jak było: Połączono. Brak dostępu do internetu. Unidentified network.

W Dzienniku zdarzeń ponawiają się te błędy:

System errors:

=============

Error: (04/26/2014 04:20:08 PM) (Source: NetBT) (User: )

Description: Zainicjowanie nie powiodło się, ponieważ transport odmówił otwarcia adresów początkowych.

Sprawdź:

- Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej Zmień ustawienia karty sieciowej > dla wszystkich widzialnych połączeń z prawokliku wybierasz Właściwości > w pierwszej karcie zweryfikuj listę czy nie ma tam aby czegoś od Avast. Ewentualne znaleziska odinstaluj i zresetuj system. W razie wątpliwości pokaż zrzut ekranu.

- Start > w polu szukania wklep devmgmt.msc > z prawokliku Uruchom jako Administrator > z menu Widok włącz pokazywanie ukrytych urządzeń > odinstaluj wszystkie urządzenia sieciowe i zresetuj system.

- Przy braku wyników dodaj log z Farbar Service Scanner

.

Teraz zadanie się wykonało. Jeszcze dokasuj sobie ręcznie plik Shortcut.txt z Pobieranie.

Brakuje obowiązkowego raportu z GMER. Dostarcz także logi z folderu C:\AdwCleaner (był używany).

W pozostałych raportach brak oznak infekcji w stanie czynnym, tylko drobne odpadki adware i na razie szczerze wątpię, by chodziło o infekcję. Usuń te odpadki i wpisy puste, ale nie ma to żadnego związku z problemami:

1. Otwórz Notatnik i wklej w nim:

Task: C:\WINDOWS\Tasks\AppleSoftwareUpdate.job => C:\Program Files\Apple Software Update\SoftwareUpdate.exe
Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\apple3\DANEAP~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE 
Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\NETWOR~1\DANEAP~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE 
Task: C:\WINDOWS\Tasks\ROC_JAN2013_TB_rmv.job => C:\Program Files\AVG Secure Search\PostInstall\ROC.exe
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKLM - {E0330E2C-F2B2-478F-B629-4EE252F5065A} URL = http://startsear.ch/?aff=1&src=sp&cf=edaa28ae-d9b0-11e1-94db-002608d91702&q={searchTerms}
SearchScopes: HKCU - DefaultScope 6F09D7F7060E4EAAB00D19067F92DCC9 URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=081F00FF8894748A&affID=125032&tsp=5033
SearchScopes: HKCU - 6F09D7F7060E4EAAB00D19067F92DCC9 URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=081F00FF8894748A&affID=125032&tsp=5033
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {C0FDD538-41A0-44FE-9E0F-8EA45DA09E22} URL = http://www.search.ask.com/web?tpid=ORJ-V7C&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=sb&itbv=12.10.3.34&apn_uid=DBD0480D-8181-4B71-A2FA-73F313B1D5BC&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_8.0.6001.18702&doi=2014-03-18&trgb=IE&q={searchTerms}&psv=
SearchScopes: HKCU - {E0330E2C-F2B2-478F-B629-4EE252F5065A} URL = http://startsear.ch/?aff=1&src=sp&cf=edaa28ae-d9b0-11e1-94db-002608d91702&q={searchTerms}
BHO: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll No File
Toolbar: HKCU - No Name - {4F524A2D-5637-4300-76A7-7A786E7484D7} - No File
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S2 zumbus; system32\DRIVERS\zumbus.sys [X]
C:\Documents and Settings\All Users\Dane aplikacji\188F1432-103A-4ffb-80F1-36B633C5C9E1
C:\Documents and Settings\All Users\Dane aplikacji\APN
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\MFAData
C:\Documents and Settings\All Users\Dane aplikacji\WPM
C:\Documents and Settings\apple3\Dane aplikacji\SupTab
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\mozilla firefox\plugins
C:\Program Files\Enigma Software Group
C:\WINDOWS\455F074C814E4520B69B5584BD90400C.TMP
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

2. Uruchom TFC - Temp Cleaner.

Pojawienie się BSOD dobiło sprawę.

Diagnostyka BSOD w punkcie 5 ogłoszenia: GMER. Stosowny plik DMP jest na dysku:

2014-04-27 03:42 - 2014-04-27 03:41 - 00131072 _____ () C:\WINDOWS\Minidump\Mini042714-01.dmp

Problem w Outlook z wejściem na pocztę i masakratycznie powolne działanie - nie dość że niemożliwością jest wejście do outooka to jeszcze ściągnięcie poczty graniczy z cudem - próbowałem założyć inny profil i jest ok ale przełożyć pocztę do nowego profilu to abstrakcja (problemy z połączeniem z serwerami, certyfikaty, połączenia itp )

Error: (04/26/2014 11:10:33 AM) (Source: Microsoft Office 12) (User: )

Description: Rejected Safe Mode action : Microsoft Office Outlook.
 

Error: (04/26/2014 11:10:07 AM) (Source: Application Hang) (User: )

Description: Aplikacja zawieszająca OUTLOOK.EXE, wersja 12.0.6691.5000, moduł zawieszenia hungapp, wersja 0.0.0.0, adres zawieszenia 0x00000000.

Może baza Outlook jest uszkodzona.

Przepraszam ale dodatkowe zapytanie gdyż przeprowadziłem skan aswMBR i wyskoczyło sporo tego i oczywiście klawisz FIX ale pojawił się komunikat : writing a new master boot record to your system partition ......

 

Info posiadam mac i mam bootcampa C: z win XP

 

Czy po napisaniu nowego boot recordu na mojej partycji się coś nie wywali? już dobitnie?

Dostarcz poprzedni log z aswMBR (nie uruchamiaj narzędzia ponownie ponownie, chodzi o poprzedni log). I nie wiadomo co Ty właściwie naprawiłeś i czy w ogóle była to poprawna akcja. Ten Fix mógł tylko pogorszyć coś. Twój układ jest kombinowany, czyli przepisywanie na ślepo "boot recordów" nie wchodzi w grę, na dodatek tu jest typ GPT a nie MBR:

==================== Drives ================================
 

Drive c: (BOOTCAMP) (Fixed) (Total:74.85 GB) (Free:8.82 GB) NTFS ==>[Drive with boot components (Windows XP)]

Drive g: (Macintosh HD) (Fixed) (Total:73.88 GB) (Free:54.99 GB) HFS
 

==================== MBR & Partition Table ==================
 

Disk: 0 (Size: 149 GB) (Disk ID: 00002EAD)
 

Partition: GPT Partition Type.

Partition 2: (Not Active) - (Size=74 GB) - (Type=AF)

Partition 3: (Active) - (Size=75 GB) - (Type=07 NTFS)

.