picasso

Wszystkie problemy są z jednego worka = adware (to nie są wirusy czy trojany). Pierwszy problem: trudności z usunięciem, gdyż adware nie zostało poprawnie odinstalowane i aktywnie działa w tle. Drugi problem: skróty LNK przeglądarek (w tym Opera) są zmodyfikowane (mają dopisane uruchamianie adresu dosearches.com). Ogólnie też jest znacznie więcej do czyszczenia niż zgłaszasz i system jest potwornie zaśmiecony adware. Widzę tewż nieudolne próby usuwania tutaj: - Był uruchamiany jakiś skrypt do OTL - jaki i skąd? Chyba nie z cudzego tematu? I OTL jest uruchamiany z dziwacznej ścieżki systemowej C:\Windows\SysWOW64\OTL.exe, co będę likwidować. - Jest uruchomiony w procesach AdwCleaner i nie wiem co to za wersja (czy najnowsza). On będzie tu pobierany na nowo i używany, ale w późniejszej fazie poprawkowej, bo najpierw należy odinstalować poprawnie wszystko. Akcja: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\ProgramData\IePluginService\PluginService.exe (Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe () C:\Users\Marek Atłachowicz\AppData\Local\UpdateChecker\UpdateCheckerApp.exe () C:\Program Files (x86)\qualitink\updatequalitink.exe () C:\Program Files (x86)\qualitink\bin\utilqualitink.exe () C:\Program Files (x86)\qualitink\bin\FilterApp_C64.exe () C:\Users\Marek Atłachowicz\Desktop\AdwCleaner.exe (OldTimer Tools) C:\Windows\SysWOW64\OTL.exe R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED) R2 Update qualitink; C:\Program Files (x86)\qualitink\updatequalitink.exe [350496 2014-04-24] () R2 Util qualitink; C:\Program Files (x86)\qualitink\bin\utilqualitink.exe [350496 2014-04-24] () R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [496640 2014-03-25] (Cherished Technololgy LIMITED) R1 wStLib64; C:\Windows\System32\drivers\wStLib64.sys [61112 2014-03-18] (StdLib) S0 BootDefragDriver; System32\drivers\BootDefragDriver.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] HKU\S-1-5-21-2042052474-958444054-2180519110-1001\...\Run: [updateChecker] => C:\Users\Marek Atłachowicz\AppData\Local\UpdateChecker\UpdateCheckerApp.exe [7168 2014-02-18] () HKU\S-1-5-21-2042052474-958444054-2180519110-1001\...\CurrentVersion\Windows: [Load] C:\Users\MAREKA~1\LOCALS~1\Temp\msveibk.bat AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => C:\PROGRA~2\SupTab\SEARCH~2.DLL File Not Found AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => "C:\PROGRA~2\SupTab\SEARCH~1.DLL" File Not Found ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\opera.exe (Opera Software) -> hxxp://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058 ShortcutWithArgument: C:\Users\Marek Atłachowicz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058 ShortcutWithArgument: C:\Users\Marek Atłachowicz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058 ShortcutWithArgument: C:\Users\Marek Atłachowicz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058 ShortcutWithArgument: C:\Users\Marek Atłachowicz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.11 1661.lnk -> C:\Program Files (x86)\Opera\opera.exe (Opera Software) -> hxxp://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058 HKCU\Software\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = http://search.babylon.com/?AF=100482&babsrc=HP_ss&mntrId=d28af13a000000000000889ffad6cdba HKCU\Software\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = http://search.babylon.com/?affID=44444&tt=3712_7&babsrc=HP_ss&mntrId=d28af13a000000000000889ffad6cdba HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=D28A889FFAD6CDBA&affID=119357&tt=200813_246&tsp=4982 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1395710801&from=cor&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1395710801&from=cor&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1395710801&from=cor&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&q={searchTerms} URLSearchHook: HKCU - (No Name) - {1283e7d0-b598-4b2d-a20f-59a9dde270a8} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1395710801&from=cor&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1395710801&from=cor&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&q={searchTerms} SearchScopes: HKLM - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzuzzzzzy0F0F0A0DyC0C0D0B0A0FtCtA0AtN0D0Tzu0CtByEtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1429869957 SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=418&systemid=406&sr=0&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 - Backup.Old.DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} SearchScopes: HKLM-x32 - {19C2172F-A98A-47CA-B5E4-2449B0613155} URL = ${SEARCH_URL}{searchTerms} SearchScopes: HKLM-x32 - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzuzzzzzy0F0F0A0DyC0C0D0B0A0FtCtA0AtN0D0Tzu0CtByEtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1429869957 SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=418&systemid=406&sr=0&q={searchTerms} SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3065462 SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - Backup.Old.DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - BrowserMngrDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=44444&tt=3712_7&babsrc=SP_ss&mntrId=d28af13a000000000000889ffad6cdba SearchScopes: HKCU - {1688462A-7C5E-9A81-82BF-21CF6B487D4C} URL = http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=d28af13a000000000000889ffad6cdba SearchScopes: HKCU - {19C2172F-A98A-47CA-B5E4-2449B0613155} URL = http://search.babylon.com/?q={searchTerms}&affID=44444&tt=3712_7&babsrc=SP_ss&mntrId=d28af13a000000000000889ffad6cdba SearchScopes: HKCU - {2CFD01E7-33FC-4403-BD2E-63EAC360CA74} URL = http://search.babylon.com/?q={searchTerms}&affID=44444&tt=3712_7&babsrc=SP_ss&mntrId=d28af13a000000000000889ffad6cdba SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {61651822-E4E3-4D72-BEC9-DA18DD9223A5} URL = http://websearch.ask.com/redirect?client=ie&tb=VDJ&o=41647960&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=8R&apn_dtid=YYYYYYYYPL&apn_uid=C7AB60FF-D641-4F2A-8213-16966CFAE21B&apn_sauid=E49EB9E2-2F51-4C3B-A8B5-6E0B460FF5D9 SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=418&systemid=406&sr=0&q={searchTerms} SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3065462 SearchScopes: HKCU - {FFEBBF0A-C22C-4172-89FF-45215A135AC8} URL = http://search.icq.com/search/results.php?q=%s&ch_id=hm&search_mode=web BHO: HDvid Codec V1 - {11111111-1111-1111-1111-110311431162} - C:\Program Files (x86)\HDvid Codec V1\HDvid Codec V1-bho64.dll (installdaddy) BHO: HDvid-Codec V9.0 - {11111111-1111-1111-1111-110511131156} - C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-bho64.dll (installdaddy) BHO-x32: HDvid Codec V1 - {11111111-1111-1111-1111-110311431162} - C:\Program Files (x86)\HDvid Codec V1\HDvid Codec V1-bho.dll (installdaddy) BHO-x32: HDvid-Codec V9.0 - {11111111-1111-1111-1111-110511131156} - C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-bho.dll (installdaddy) Toolbar: HKLM - No Name - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No File Toolbar: HKCU - No Name - {1283E7D0-B598-4B2D-A20F-59A9DDE270A8} - No File Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.dosearches.com/?utm_source=b&utm_medium=ild&utm_campaign=rg&utm_content=sc&from=ild&uid=ST9500325AS_5VEEXTPPXXXX5VEEXTPP&ts=1383683058 CHR HKLM\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\MAREKA~1\AppData\Local\funmoods.crx [2012-08-27] CHR HKCU\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\MAREKA~1\AppData\Local\funmoods.crx [2012-08-27] CHR HKLM-x32\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\MAREKA~1\AppData\Local\funmoods.crx [2012-08-27] CHR HKLM-x32\...\Chrome\Extension: [dnllcmllkjofnojidnaknldfehfhehoo] - C:\Program Files (x86)\HDvidCodec.com\HDvidCodec10.crx [2013-06-30] CHR HKLM-x32\...\Chrome\Extension: [fjoijdanhaiflhibkljeklcghcmmfffh] - C:\Program Files (x86)\WebCake\WebCakeLayers.crx [2013-06-27] CHR HKLM-x32\...\Chrome\Extension: [hfimjncgpflkpkhbnnblhblobjjjhjhd] - C:\Program Files (x86)\qualitink\hfimjncgpflkpkhbnnblhblobjjjhjhd.crx [2013-06-27] CHR HKLM-x32\...\Chrome\Extension: [kkfggacklibaabdomphfdpcodjgihgon] - C:\Program Files (x86)\LSHunter.TV\stv10.crx [2012-07-26] CHR HKLM-x32\...\Chrome\Extension: [ljkcijnbckdflhifmbnfnkjacokloacf] - C:\Program Files (x86)\qualitink\ljkcijnbckdflhifmbnfnkjacokloacf.crx [2012-07-26] CHR HKLM-x32\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files (x86)\LiveVDO plugin\livevdoplg.crx [2012-10-29] Task: {0B052B62-4F1A-4511-AB57-B913DF61F2E6} - System32\Tasks\HDvid-Codec V9.0-updater => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-updater.exe Task: {1795E28D-9849-4C72-8088-9B2DC9D62F8F} - System32\Tasks\HDvid-Codec V9.0-firefoxinstaller => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-firefoxinstaller.exe Task: {5210279E-6033-46B8-9460-6FD4F7FC2B5E} - System32\Tasks\HDvid Codec V1-codedownloader => C:\Program Files (x86)\HDvid Codec V1\HDvid Codec V1-codedownloader.exe [2013-11-05] (installdaddy) Task: {724F422E-C159-4B3B-A419-81AEAA97E9B1} - System32\Tasks\HDvid-Codec V9.0-chromeinstaller => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-chromeinstaller.exe Task: {8BA9B5D6-E34E-499D-8BA3-9F6B44937F3D} - System32\Tasks\{AD586DCB-7B06-4581-A025-A2EAA16866EC} => C:\Program Files (x86)\VirtualDJ\virtualdj_pro.exe Task: {8E4A541B-3093-477C-8013-500B9F0B7CC5} - System32\Tasks\BrowserDefendert => Sc.exe start BrowserDefendert Task: {D8017D7D-D1B9-4493-A740-5696D70EECF1} - System32\Tasks\HDvid-Codec V9.0-enabler => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-enabler.exe Task: {E4755615-787A-471D-A2A4-2E1BB0A713F1} - System32\Tasks\HDvid-Codec V9.0-codedownloader => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-codedownloader.exe Task: {F80D669D-B718-4DAC-AFD8-866F378EC00C} - System32\Tasks\HDvid Codec V1-updater => C:\Program Files (x86)\HDvid Codec V1\HDvid Codec V1-updater.exe Task: {FD689D2A-A169-4B3C-ACD6-28A8FA6DD43E} - System32\Tasks\HDvid Codec V1-enabler => C:\Program Files (x86)\HDvid Codec V1\HDvid Codec V1-enabler.exe Task: C:\Windows\Tasks\HDvid Codec V1-codedownloader.job => C:\Program Files (x86)\HDvid Codec V1\HDvid Codec V1-codedownloader.exe Task: C:\Windows\Tasks\HDvid Codec V1-enabler.job => C:\Program Files (x86)\HDvid Codec V1\HDvid Codec V1-enabler.exe Task: C:\Windows\Tasks\HDvid Codec V1-updater.job => C:\Program Files (x86)\HDvid Codec V1\HDvid Codec V1-updater.exe Task: C:\Windows\Tasks\HDvid-Codec V9.0-chromeinstaller.job => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-chromeinstaller.exe Task: C:\Windows\Tasks\HDvid-Codec V9.0-codedownloader.job => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-codedownloader.exe Task: C:\Windows\Tasks\HDvid-Codec V9.0-enabler.job => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-enabler.exe Task: C:\Windows\Tasks\HDvid-Codec V9.0-firefoxinstaller.job => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-firefoxinstaller.exe Task: C:\Windows\Tasks\HDvid-Codec V9.0-updater.job => C:\Program Files (x86)\HDvid-Codec V9.0\HDvid-Codec V9.0-updater.exe C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files (x86)\mozilla firefox\searchplugins C:\Program Files (x86)\LSHunter.TV C:\Program Files (x86)\WebCake C:\ProgramData\iolo C:\Users\Marek Atłachowicz\AppData\Roaming\Babylon C:\Users\Marek Atłachowicz\AppData\Roaming\iolo C:\Users\Marek Atłachowicz\AppData\Roaming\Movdap C:\Users\Marek Atłachowicz\AppData\Roaming\msnmsgr C:\Users\Marek Atłachowicz\AppData\Roaming\OpenCandy C:\Users\Marek Atłachowicz\AppData\Roaming\sweet-page C:\Users\Marek Atłachowicz\AppData\Roaming\WebCake C:\Users\Marek Atłachowicz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\hdvidcodec.com C:\Users\Marek Atłachowicz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QTRAX C:\Windows\System32\drivers\wStLib64.sys C:\Windows\SysWOW64\OTL.exe C:\Windows\SysWOW64\RegFile3.txt C:\Windows\SysWOW64\sqlite3.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware HDvid Codec V1, HDVidCodec, HDvid-Codec V9.0, LiveVDO, Qtrax Player, qualitink 1.0.0, UpdateChecker, V9 Homepage Uninstaller, WPM17.8.0.3442 i od razu także stare Java 6. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj Funmoods, HDvid Codec 3, HDvid-Codec V9.0, LiveVDO.tv plugin, LSHunter.TV, qualitink, WebCake (częśc może być już nieobecna) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Pobierz ponownie z przyklejonego AdwCleaner i uruchom. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy log FRST z opcji Scan (pola Addition i Shortcut mają być zaznaczone). Dołącz też pliki: fixlog.txt, log z AdwCleaner oraz log z katalogu C:\_OTL. By doczepić ten ostatni, musisz mu zmienić rozszerzenie z *.LOG na *.TXT (lub zapisać do nowego pliku TXT). .

Zapomniałeś dodać plik fixlog.txt z przetwarzania skryptu. Zostaw to już jednak. W raportach jest wszystko w porządku, jeśli chodzi o poprzednie czyszczenia (DhcpNameServer i śmieci). W tym zakresie już kończ działania: 1. Usuń ręcznie używane narzędzia z G:\Users\Filip\Pobieranie\Czyszczenie. Popraw narzędziem DelFix. 2. Jeśli jeszcze tego nie zrobiłeś, zaktualizuj cały system i poniżej wyliczone aplikacje. Stan obecny: Windows 7 Ultimate (X64) OS Language: Polish Internet Explorer Version 8 ==================== Installed Programs ====================== Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle) Microsoft Office Enterprise 2007 (HKLM-x32\...\ENTERPRISE) (Version: 12.0.4518.1014 - Microsoft Corporation) ----> instalacja SP3 Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.20513.0 - Microsoft Corporation) Ja sądzę, że Ty je zmieniasz nie dla tego interfejsu sieciowego, o który chodzi. Raport wykazuje obecność dwóch interfejsów. Ile interfejsów wykrywa Public DNS Server Tool? .

Ten raport MBAM jest fatalnie sformatowany i ciężko się go czyta. Nowy skan znacznie się różni od poprzednich, ów katalog Google nie jest wykrywany, co zdaje się potwierdzać w pełni teorię o przebojach z logami w konfrontacji z rzeczywistym brakiem katalogu. Czy usunąłeś za pomocą MBAM wykryte wpisy (szczątki adware) i czy ponowny skan coś jeszcze wykrywa? .

Porcja poprawek: 1. W Google Chrome nadal widać ten adres adware: CHR StartupUrls: "hxxp://www.searchgol.com/?babsrc=HP_ss&mntrId=EC6178E400D81602&affID=125032&tsp=5035" Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres searchgol.com, przestaw na "Otwórz stronę nowej karty" 2. Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll No File CHR Extension: (AVG Security Toolbar) - C:\Users\hp\AppData\Local\Google\Chrome\User Data\Default\Extensions\ndibdjnfmopecpmkdieinmbadjfpblof [2013-03-07] Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: rd /s /q C:\Users\hp\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przedstaw wynikowy fixlog.txt. 3. Następnie usuń używane narzędzia za pomocą DelFix. 4. Ponów skan MBAM i przedstaw wynikowy log, o ile coś zostanie wykryte, w przeciwnym wypadku jest on zbędny. .

Na przyszłość: logi umieszczaj na innym serwisie wklejkowym (np. wklej.org) lub jako załączniki forum. Tu użyty jest badziewny (rozkodowane znaki). Skoro Tryb awaryjny się ładował, wnioski są takie, iż jakiś ofensywny sterownik się uruchamiał w normalnym. Stan tu oglądany jest po Przywróceniu systemu, więc logi na nic. Na dysku są za to pliki Minidump: 2014-04-24 14:55 - 2014-04-24 14:54 - 00090112 _____ () C:\WINDOWS\Minidump\Mini042414-05.dmp 2014-04-24 14:53 - 2014-04-24 14:53 - 00090112 _____ () C:\WINDOWS\Minidump\Mini042414-04.dmp 2014-04-24 14:52 - 2014-04-24 14:52 - 00090112 _____ () C:\WINDOWS\Minidump\Mini042414-03.dmp 2014-04-24 14:49 - 2014-04-24 14:49 - 00090112 _____ () C:\WINDOWS\Minidump\Mini042414-02.dmp 2014-04-24 14:47 - 2014-04-24 14:47 - 00090112 _____ () C:\WINDOWS\Minidump\Mini042414-01.dmp Przepuść je przez debugger i podaj wyniki: KLIK (punkt 5). Oznak infekcji tu nie widzę. Poważne zastrzeżenia budzi tu przede wszystkim stan "zabezpieczeń": Microsoft Windows XP Home Edition Dodatek Service Pack 2 (X86) OS Language: Polish Internet Explorer Version 6 ... z dodatkową "ochroną" zdezelowanym ESET z roku 2009: S3 EhttpSrv; C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe [20680 2009-10-07] (ESET) R2 ekrn; C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe [472280 2009-10-07] (ESET) R2 eamon; C:\WINDOWS\System32\DRIVERS\eamon.sys [40824 2009-10-07] (ESET) R1 easdrv; C:\WINDOWS\System32\DRIVERS\easdrv.sys [54184 2009-10-07] (ESET) R1 epfwtdir; C:\WINDOWS\System32\DRIVERS\epfwtdir.sys [35168 2009-10-07] () 1. Kosmetyka wpisów odpadkowych, w tym szczątków po produktach G Data (sterowniki AFPAnsi i FO_PAnt). Otwórz Notatnik i wklej w nim: R0 AFPAnsi; C:\WINDOWS\System32\Drivers\AFPAnsi.sys [43904 2002-10-09] (Alfa Corporation) C:\WINDOWS\System32\Drivers\AFPAnsi.sys HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k S2 aksfridge; \??\C:\WINDOWS\system32\drivers\aksfridge.sys [X] S0 FO_PAnt; System32\Drivers\FO_PAnt.sys [X] S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [X] Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe C:\Documents and Settings\All Users\Dane aplikacji\Avg7 C:\Documents and Settings\All Users\Dane aplikacji\Google C:\Documents and Settings\kasiarz\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Google Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. To wszystko do deinstalacji i zastąpienia najnowszymi wersjami: ==================== Installed Programs ====================== Adobe Flash Player 12 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla Firefox ESET NOD32 Antivirus (HKLM\...\{35E7A746-03D5-4461-9D98-0326B889C81D}) (Version: 3.0.695.0 - Eset spol s r. o.) Java™ 6 Update 30 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216022FF}) (Version: 6.0.300 - Oracle) McAfee Security Scan Plus (HKLM\...\McAfee Security Scan) (Version: 3.8.141.11 - McAfee, Inc.) ----> zbędny (instalacja sponsorowana) OpenOffice.org 3.3 (HKLM\...\{EB87675F-5281-4767-A54B-31931794C23D}) (Version: 3.3.9567 - OpenOffice.org) 3. Uruchom TFC - Temp Cleaner. 4. Na dalszą metę: pełna aktualizacja systemu i zainstalowanie nowoczesnego antywirusa. .

Potwierdzam zawartość DelFix, możesz usunąć ten log. Gdyby jeszcze gdzieś się zaplątał jakiś tekstowy log z narzędzi, po prostu usuń ręcznie. Nie wiem o co chodzi. Nigdy tego nie widziałam. Różnie to bywa. .

Wszystko wykonane. Kończymy: 1. Uruchom TFC - Temp Cleaner. 2. Usuń używane narzędzia za pomocą DelFix. Ręcznie z Pulpitu dokasuj folder FRST-OlderVersion i pobrany GMER. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Usuń stare programy Adobe i Java, zastąp najnowszymi, zaktualizuj Operę. Stan obecny: ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 11.8.800.94 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 11.8.800.94 - Adobe Systems Incorporated) ----> wtyczka dla FF/Opera Adobe Reader XI (11.0.05) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.05 - Adobe Systems Incorporated) Java 7 Update 25 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417025FF}) (Version: 7.0.250 - Oracle) Java 7 Update 25 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.250 - Oracle) Opera 11.61 (HKLM-x32\...\Opera 11.61.1250) (Version: 11.61.1250 - Opera Software ASA) .

Niestety tu nie koniec zmagań. System jest nadal zainfekowany (dwa czynne wpisy). Tam jedna rzecz się zwichrowała w podejściu TDSSKiller, on nie wykrył jako infekcji drugiego komponenetu: 08:05:01.0653 0x16c0 syshost32 ( LockedFile.Multi.Generic ) - skipped by user 08:05:01.0653 0x16c0 syshost32 ( LockedFile.Multi.Generic ) - User select action: Skip Komponent był zablokowany (notabene: przez ... swój własny sterownik) i otrzymał inną detekcję niż należy. I ten komponent Necurs jest nadal aktywny. Ponadto, mamy do czyszczenia różne odpadkowe wpisy po programach. Akcja: 1. Otwórz Notatnik i wklej w nim: () C:\Users\Vista\xusyvykyxcyz.exe (Mozilla Foundation) C:\Users\Vista\AppData\Local\Temp\~tmp9C4642\xulrunner.exe Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\...\Run: [Regedit32] => C:\Windows\system32\regedit.exe HKU\S-1-5-21-1058216481-2180761106-2217758376-1000\...\Run: [xusyvykyxcyz] => C:\Users\Vista\xusyvykyxcyz.exe [62976 2014-04-12] () HKU\S-1-5-21-1058216481-2180761106-2217758376-1000\...\Run: [Regedit32] => C:\Windows\system32\regedit.exe HKU\S-1-5-21-1058216481-2180761106-2217758376-1000\...\Run: [AdobeBridge] => [X] S2 syshost32; C:\Windows\Installer\{50DC793C-6DC5-BF2B-9A15-9D2679C24EE3}\syshost.exe [81920 2014-04-02] () R2 aswHwid; C:\Windows\system32\drivers\aswHwid.sys [24184 2014-04-22] () S2 .1254667122; C:\Program Files\1254667122\Vista1254667122L.exe [X] S3 hpqcxs08; C:\Program Files\HP\Digital Imaging\bin\hpqcxs08.dll [X] S2 hpqddsvc; C:\Program Files\HP\Digital Imaging\bin\hpqddsvc.dll [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] AlternateDataStreams: C:\Windows:4EE65BCA044A8D46 Task: {A33DF31D-302D-474B-91C9-A416F77169FB} - System32\Tasks\PCConfidential => C:\Program Files\Winferno\PC Confidential\PCConfidential.exe Task: C:\Windows\Tasks\PCConfidential.job => C:\Program Files\Winferno\PC Confidential\PCConfidential.exe 127.0.0.1 symantec.com.102.112.2o7.net ProxyServer: 80.248.221.57:3128 URLSearchHook: HKCU - (No Name) - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - No File URLSearchHook: HKCU - (No Name) - {37483b40-c254-4a72-bda4-22ee90182c1e} - No File SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {00231EAD-09C4-451f-8DF0-079848A18F62} URL = http://www.google.com/cse?cx=partner-pub-3794288947762788%3A4067623346&ie=UTF-8&q={searchTerms}&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4067623346 SearchScopes: HKCU - {80C4CAB5-040C-4c1d-B18E-68ECA5881634} URL = http://search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=STDVM SearchScopes: HKCU - {93B83575-A752-4881-95DC-4D1210B65759} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms} Toolbar: HKCU - No Name - {37483B40-C254-4A72-BDA4-22EE90182C1E} - No File FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Program Files\AVAST Software C:\Users\Vista\xusyvykyxcyz.exe C:\Users\Vista\AppData\Local\XulTest C:\Users\Vista\AppData\Roaming\AVAST Software C:\Users\Vista\AppData\Roaming\BITS C:\Users\Vista\AppData\Roaming\FlashGet C:\Users\Vista\AppData\Roaming\FlashGetBHO C:\Users\Vista\AppData\Roaming\FlashgetSetup C:\Users\Vista\AppData\Roaming\XulTest C:\Windows\Installer\{50DC793C-6DC5-BF2B-9A15-9D2679C24EE3} C:\Windows\system32\140414-124726 C:\Windows\system32\140414-074225 C:\Windows\system32\140412-084029 C:\Windows\system32\140411-065416 C:\Windows\system32\140410-083220 C:\Windows\system32\140409-074032 C:\Windows\system32\140408-083810 C:\Windows\system32\140406-082521 C:\Windows\system32\140405-090653 C:\Windows\system32\140404-074620 C:\Windows\system32\140403-152416 C:\Windows\system32\Drivers\aswHwid.sys Reg: reg delete HKCU\Software\Mozilla\SeaMonkey /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Pobierz wszystko przez FlashGet" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Pobrane przez FlashGet" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Download all links by FlashGet3" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Download by FlashGet3" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Pobierz wszystko FlashGetem3" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{DDE87865-83C5-48c4-8357-2F5B1AA84522}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{DDE87865-83C5-48c4-8357-2F5B1AA84522}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Odinstaluj zbędnik Akamai NetSession Interface oraz stary UnHackMe 5.99 release. 3. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Brakuje raportu z GMER. Dołącz. Żadnych detali jaki i gdzie (konkretna ścieżka dostępu)? .

Temat przenoszę do działu Windows. Zostanie połączony z poprzednim, gdyż są tu niejako kontynuacje, a żadnych dowodów, by zachodziły ingerencje infekcji. Z raportów kompletnie nic nie wynika. W poprzednim temacie był nagrany tylko enigmatyczny błąd explorer.exe kierujący do Centrum Akcji po szczegóły. Cóż, takie błędy mogą być także z powodu wadliwych rozszerzeń powłoki czy kodeków. Na duszę i zgadywanie to podejrzenia budzi u Ciebie zainstalowany K-Lite Codec Pack 9.9.5. Application errors: ================== Error: (04/23/2014 05:43:14 PM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Jest on bez znaczenia i nie ma żadnego wpływu na wydajność, ani związku z problemami. Jeśli chcesz wykonać "kosmetykę", to zastosuj narzędzie Fix-it usuwające ten błąd: KLIK. Application errors: ================== Error: (04/23/2014 05:42:06 PM) (Source: Schedule) (User: ) Description: Schedule error: 0Initialize call failed, bailing out Mamy za to do załatwienia sprawę powyższego błędu Harmonogramu zadań (Schedule). To są skutki uboczne użycia WWDC na systemie Vista i nowszym. Wspominałam o tym w Twoim poprzednim temacie i zadałam skan lokalizacji modyfikowanej przez WWDC. W pliku fixlog w tamtym temacie jest dowód, że istnieje ta zła modyfikacja blokująca Harmonogram zadań: ========= reg query HKLM\SOFTWARE\Microsoft\Rpc\Internet ========= HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet UseInternetPorts REG_SZ N ========= reg query HKLM\SOFTWARE\Wow6432Node\Microsoft\Rpc\Internet ========= HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Rpc\Internet UseInternetPorts REG_SZ N Na przyszłość: najpierw odinstaluj programy adware / nieznane via Panel sterowania, a po tym dopiero AdwCleaner. Znów popełniłeś ten sam błąd i przejechałeś AdwCleaner na w pełni zainstalowanym BrowseMark. I adware raczej bez związku z opisywanymi problemami. Mamy jeszcze z poprzedniego tematu drobne zaległe szczątki adware do usunięcia. "Odinstalowane: PrivDog, RegClean Pro. Pozostałych nie było." = one nadal są: ==================== Installed Programs ====================== BrowseSmart (HKLM\...\BrowseSmart) (Version: 2013.11.21.002241 - BrowseSmart) FindRight (HKLM\...\FindRight) (Version: 2014.02.21.042329 - FindRight) Szybkie poprawki na szczątki adware i zdefektowany Harmonogram: 1. Otwórz Notatnik i wklej w nim: Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BrowseSmart /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FindRight /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Rpc\Internet /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Rpc\Internet /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Uruchom TFC - Temp Cleaner. .

Temat prawdopodobnie zostanie przeniesiony. Brak tu widocznych oznak infekcji trojanami i podobnymi, ale GMER nie został przedstawiony, więc sprawdzanie jest połowiczne. Nie zostało przygotowane środowisko do uruchomienia GMER. System jest naszpikowany emulatorami napędów wirtualnych: HKU\S-1-5-21-1844237615-1060284298-682003330-1006\...\Run: [AlcoholAutomount] => g:\Program Files\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [75624 2012-01-05] (Alcohol Soft Development Team) HKU\S-1-5-21-1844237615-1060284298-682003330-1006\...\Run: [DAEMON Tools Lite] => G:\Program Files\DAEMON Tools Lite R0 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [324096 2013-11-01] (Duplex Secure Ltd.) U3 as31etm0; C:\WINDOWS\system32\Drivers\as31etm0.sys [0 ] (NVIDIA Corporation) U3 avbh9f98; C:\WINDOWS\system32\Drivers\avbh9f98.sys [0 ] (NVIDIA Corporation) Wdróż ogłoszenie: KLIK. Czyli: odinstaluj Alcohol (skrót w Menu Start) i DAEMON Tools (wpis na liście Dodaj/Usuń), następnie usuń sterownik SPTD i zresetuj system. Ponów skan GMER. Na razie: 1. Odinstaluj przez Dodaj/Usuń programy adware Sopcast Toolbar, które ma czynne procesy APN. 2. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty szczątkowy wpis ArcaBit Prerequistes > Dalej. I tu może być problem sterownikowy lub sprzętowy. Dziennik zdarzeń notuje takie oto błędy sterownika SATA od nVidia: [ System Events ] Error - 2014-03-11 16:59:41 | Computer Name = SPECIAL-XP | Source = nvgts | ID = 262153 Description = Urządzenie \Device\Scsi\nvgts1 nie odpowiedziało w ramach ustalonego limitu czasu. Error - 2014-03-11 16:59:41 | Computer Name = SPECIAL-XP | Source = nvgts | ID = 262149 Description = Na \Device\Scsi\nvgts1 został wykryty błąd parzystości. vs. DRV - [2010-04-08 20:30:10 | 000,168,040 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\nvgts.sys -- (nvgts) .

Komentarz przed zamknięciem: W samo-oczyszczanie wątpię. Na jednym z obrazków widać, że część obiektów była "blada", czyli była ukryta. Bardziej prawdopodobne się zdaje, iż ponownie przestawiła się widoczność plików (opcje Ukryj chronione pliki systemu operacyjnego + Pokaż ukryte pliki i foldery). .

Rzuca się w oczy zainstalowane rozszerzenie Microsoft Update: O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1326361774988 (MUWebControl Class) Microsoft Update to znacznie poszerzona wersja, Windows Update jest skromniejsze. MU może mieć negatywny problem na system. Wykonaj akcje opisane w tym poście: KLIK. Zresetuj system i sprawdź czy jest poprawa pod kątem wolnego działania Windows. W systemie są także inne problemy. Widać różne śmieci (szczątki adware, odpadkowe sterowniki MSSE, resztki COPMODO) oraz dysfunkcję usługi Instrumentacji zarządzania Windows. Jest ona w stanie "Zatrzymano" i Dziennik zdarzeń sypie błędami: S2 winmgmt; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) ==================== Restore Points ========================= Could not list Restore Points. Check "winmgmt" service or repair WMI. ==================== Faulty Device Manager Devices ============= Could not list Devices. Check "winmgmt" service or repair WMI. Application errors: ================== Error: (04/17/2014 10:52:48 AM) (Source: SecurityCenter) (User: ) Description: Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić kwerend zdarzeń z WMI, aby monitorować zaporę i program antywirusowy innej firmy. System errors: ============= Error: (04/22/2014 04:25:59 PM) (Source: DCOM) (User: D630-D3A527AA04) Description: Serwer {8BC3F05E-D86B-11D0-A075-00C04FB68820} nie zarejestrował się w modelu DCOM w wymaganym czasie. Mogą być różne przyczyny tego stanu rzeczy: błedna konfiguracja usługi Winmgmt, niepoprawne wersje bibliotek WMI, uszkodzone repozytorium i kilka innych. Aczkolwiek nasuwa mi się, że problemem jest jednak źle naprawiona usługa Winmgmt, gdyż w systemie są znaki, że kiedyś była infekcja policyjna. Adresując powyższe punkty (COMODo będę wypinać z Dziennika zdarzeń potem): 1. Otwórz Notatnik i wklej w nim: S2 winmgmt; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) S1 aqfyvszx; \??\C:\WINDOWS\system32\drivers\aqfyvszx.sys [X] S1 atpofphs; \??\C:\WINDOWS\system32\drivers\atpofphs.sys [X] S1 elwanrlf; \??\C:\WINDOWS\system32\drivers\elwanrlf.sys [X] S1 jzfimovn; \??\C:\WINDOWS\system32\drivers\jzfimovn.sys [X] S1 kalrgrad; \??\C:\WINDOWS\system32\drivers\kalrgrad.sys [X] S1 kdaskjfk; \??\C:\WINDOWS\system32\drivers\kdaskjfk.sys [X] S1 kdicitfx; \??\C:\WINDOWS\system32\drivers\kdicitfx.sys [X] S1 minmloiz; \??\C:\WINDOWS\system32\drivers\minmloiz.sys [X] S1 mvrujavj; \??\C:\WINDOWS\system32\drivers\mvrujavj.sys [X] S1 nbssngoj; \??\C:\WINDOWS\system32\drivers\nbssngoj.sys [X] S1 nkwjghrc; \??\C:\WINDOWS\system32\drivers\nkwjghrc.sys [X] S1 nmsgbirz; \??\C:\WINDOWS\system32\drivers\nmsgbirz.sys [X] S1 orsiynoz; \??\C:\WINDOWS\system32\drivers\orsiynoz.sys [X] S1 rvdiabjt; \??\C:\WINDOWS\system32\drivers\rvdiabjt.sys [X] S1 vfrgxfvc; \??\C:\WINDOWS\system32\drivers\vfrgxfvc.sys [X] S1 wweoiusj; \??\C:\WINDOWS\system32\drivers\wweoiusj.sys [X] S1 xcmplsfp; \??\C:\WINDOWS\system32\drivers\xcmplsfp.sys [X] S1 xwhzvdxt; \??\C:\WINDOWS\system32\drivers\xwhzvdxt.sys [X] Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\ADMINI~1\DANEAP~1\BABSOL~1\Shared\BabMaint.exe Task: C:\WINDOWS\Tasks\Microsoft Antimalware Scheduled Scan.job => C:\Program Files\Microsoft Security Client\MpCmdRun.exe HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm SearchScopes: HKLM - DefaultScope {a5b9c0f5-5616-47cd-a95f-e43b488faccf} URL = SearchScopes: HKCU - {221F6852-E080-49F1-B197-742D9433BAD4} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=9BA0E5AD-23D3-4972-8369-A5289D880B1F&apn_sauid=2E7E7D22-87BB-425A-95DD-ADF9CB911CA5 SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo Toolbar: HKLM - No Name - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKCU - No Name - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ C:\Documents and Settings\All Users\Dane aplikacji\jw1rbnwl1.ctrl C:\Documents and Settings\All Users\Dane aplikacji\f8bq.pad C:\Documents and Settings\All Users\Dane aplikacji\o7iw8.pad C:\Documents and Settings\All Users\Dane aplikacji\91f63af8d8706ade C:\Documents and Settings\All Users\Dane aplikacji\Adtrustmedia C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\Comodo C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Norton C:\Documents and Settings\All Users\Dane aplikacji\websaave C:\Documents and Settings\All Users\Dane aplikacji\WinZip C:\Documents and Settings\Administrator\Dane aplikacji\Babylon C:\Documents and Settings\Administrator\Menu Start\Programy\BitGuard C:\Program Files\Common Files\Symantec Shared C:\Program Files\Comodo C:\Program Files\websaave C:\Program Files\YoutubeAdblocker C:\Program Files\mozilla firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\tasks\ImCleanDisabled C:\WINDOWS\Tasks\TaskDisabled C:\WINDOWS\System32\sh4native.exe Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v BootExecute /t REG_EXPAND_SZ /d "autocheck autochk *" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\COMODO Internet Security" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PrivDogService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sony Ericsson PC Companion" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpyHunter Security Suite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tvncontrol" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Search" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony reset, a w katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Search-Gol Toolbar, YTBookMArk, YoutubeAdblocker, Websaave Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Delta Search i inne niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy raport FRST z Addition (bez Shortcut). Dołącz też pliki wynikowe fixlog.txt i AdwCleaner. .

Czy przyznając uprawnienia zaznaczyłeś opcje rekursywnego przetwarzania podobiektów? Jaki błąd obecnie zwraca próba otworzenia tych folderów i plików? - Jeśli jest to "Odmowa dostępu" lub "Nie można uzyskać dostępu...", to spróbuj narzędzie GrantPerms. Obsługa: wklejasz w oknie dokładne ścieżki do każdego folderu / pliku i klik w Unlock. - Jeśli inny błąd, podaj jaki, bo na razie są sugerowane tylko uprawnienia, a nie wiadomo czy w tym rzecz. .

Czy po przeprowadzonych działaniach jest jakaś poprawa w funkcjonowaniu systemu? Jeszcze drobnostki: 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. HKLM\...\Run: [sunJavaUpdateSched] => "C:\Program Files\Java\jre1.7.0_17\bin\jusched.exe" S3 usbbus; system32\DRIVERS\lgusbbus.sys [X] S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [X] S3 USBModem; system32\DRIVERS\lgusbmodem.sys [X] C:\Documents and Settings\1\Dane aplikacji\OpenCandy C:\Documents and Settings\1\Dane aplikacji\rmi Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Do wglądu wynikowy fixlog.txt. 2. W Autoruns w karcie Logon odfajkuj wpis HP Digital Imaging Monitor (podawałam go wcześniej). 3. Ponownie zastosuj TFC - Temp Cleaner. Do wykonania punkt 5 z ogłoszenia: KLIK. To co notuje GMER nie wygląda na infekcję. To moduł Google Drive zarejestrowany w eksploratorze wykryty jako "ukryty". .

Wykonaj następujące działania: 1. Otwórz Notatnik i wklej w nim: R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61120 2014-04-18] (StdLib) S2 Update Jump Flip; C:\Program Files (x86)\Jump Flip\updateJumpFlip.exe [350496 2014-04-21] () S2 Util Jump Flip; C:\Program Files (x86)\Jump Flip\bin\utilJumpFlip.exe [350496 2014-04-21] () HKU\S-1-5-21-81588081-3447371820-785248835-1000\...\Run: [NextLive] => C:\Windows\SysWOW64\rundll32.exe "C:\Users\Krystian\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l HKU\S-1-5-21-81588081-3447371820-785248835-1000\...\Run: [iLivid] => "C:\Users\Krystian\AppData\Local\iLivid\iLivid.exe" -autorun SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=444F20CF3024A2BF&affID=119357&tsp=4994 BHO-x32: Jump Flip - {6db9fdfe-b718-4962-be0c-0a5fce7f7f7b} - C:\Program Files (x86)\Jump Flip\JumpFlipbho.dll () C:\Windows\System32\drivers\wStLibG64.sys C:\Users\Krystian\AppData\Roaming\Babylon C:\Users\Krystian\AppData\Roaming\newnext.me C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoFiltre Studio X Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ooVoo.exe" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Jump Flip, Mobogenie. 3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

1. Active Desktop: W pasku adresów eksploratora wklej poniższą ścieżkę i ENTER. C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer Skasuj plik Desktop.htt. Odśwież Pulpit i sprawdź co się dzieje. 2. Usługa SENS: pokiereszowana wielopłaszczyznowo, klucz w rejestrze przetrzebiony oraz brakuje pliku. Uzupełnienie pliku podane powyżej i to wykonaj jako krok pierwszy, ale trzeba jeszcze odtworzyć wpisy rejestru. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS] "DependOnService"=hex(7):45,00,76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,\ 65,00,6d,00,00,00,00,00 "Description"="Tracks system events such as Windows logon, network, and power events. Notifies COM+ Event System subscribers of these events." "DisplayName"="System Event Notification" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "ObjectName"="LocalSystem" "Group"="Network" "Start"=dword:00000002 "Type"=dword:00000020 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 73,00,65,00,6e,00,73,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\ 02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Zresetuj system. 3. Tryb awaryjny: "Trochę inne" = ładuje się klasyczny ekran logowania a nie Ekran powitalny. I czy dobrze rozumiem, że wybór opcji logowania w tym menu ładuje Windows w Trybie normalnym? Nie sugeruj się datowaniem w raportach, są przesunięcia czasowe. Jedyny pewny sposób potwierdzenia czasu to wejście w oryginalny Dziennik zdarzeń. Nie prosiłam o logi OTL bez filtrowania, zresztą ono zostało zrobione niekonsekwentnie (Rejestr / Usługi / Sterowniki są na ustawieniu filtrującym). Gdybym prosiła o logi, padłaby prośba o FRST + OTL, gdyż FRST powoli wypiera poprzednika tu na forum. Nawiasem mówiąc, OTL nawet nie wykrywa uszkodzenia usługi SENS, bo sprawdza serwisy w inny (mniej dokładny) sposób niż FRST (FRST nadaje priorytet detekcji ImagePath, tym samym wykrywa uszkodzenia, których OTL nie potrafi). .

Ostatni skrypt wykonany. Kończymy: 1. Uruchom TFC - Temp Cleaner. 2. Usuń używane narzędzia via DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj poniższe programy: Internet Explorer Version 8 ==================== Installed Programs ====================== Adobe Flash Player 12 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 12 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Java 7 Update 51 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.510 - Oracle) Microsoft Office 2010 (HKLM\...\{95140000-0070-0000-0000-0000000FF1CE}) (Version: 14.0.4763.1000 - Microsoft Corporation) ----> instalacja SP2 .

To co wykrył MBAM to tylko szczątki adware. Rozumiem, że wszystko zostało usunięte i program nic już nie wykrywa. Na zakończenie: 1. Wyczyść foldery Przywracania systemu: KLIK. 2. Odinstaluj stare Java i zaktualizuj resztę poniżej wyliczonych aplikacji: ==================== Installed Programs ====================== Adobe Flash Player 12 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 12 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera Adobe Shockwave Player 12.0 (HKLM-x32\...\Adobe Shockwave Player) (Version: 12.0.2.122 - Adobe Systems, Inc.) AVG 2013 (HKLM\...\AVG) (Version: 2013.0.3466 - AVG Technologies) Gadu-Gadu 10 (HKLM-x32\...\Gadu-Gadu 10) (Version: - GG Network S.A.) Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.510 - Oracle) Java™ 6 Update 33 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216033FF}) (Version: 6.0.330 - Oracle) Jeśli chodzi o GG10, to trup na śmietnik. Do wyboru: instalacja nieco lepszego najnowszego GG12 lub program alternatywny. Z alternatyw polecam WTW: KLIK. .

Dodałeś mi plik fixlist.txt pod zmienioną nazwą fixlog.txt - to nie jest plik z przetwarzania skryptu FRST. I mam wątpliwości czy w ogóle uruchomiłeś skrypt. Poprawki: 1. Ponownie uruchom narzędzie Microsoftu, tym razem jednak by usunąć ukryty szczątkowy wpis AVG 2011. 2. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. HKLM\...\Run: [fst_pl_96] => [X] Task: {C097C91D-B818-4625-BAD5-89BBE54077F4} - System32\Tasks\{BD22DDA1-CE6C-4106-83AD-1E4748A26FE8} => Firefox.exe http://ui.skype.com/ui/0/5.10.0.116/pl/abandoninstall?page=tsProgressBar C:\Users\Grzegorz\AppData\Local\Google C:\Users\Grzegorz\Desktop\grzes\McAfee Security Scan Plus.lnk C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj te obiekty: C:\Program Files (x86)\GUTEDE8.tmp C:\Program Files (x86)\GUMEDE7.tmp 2. Zastosuj DelFix. 3. Zaktualizuj wyliczone programy: ==================== Installed Programs ====================== Adobe Reader X (10.1.9) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AA1000000001}) (Version: 10.1.9 - Adobe Systems Incorporated) AVG 2013 (HKLM\...\AVG) (Version: 2013.0.3466 - AVG Technologies) .

Wszystko wykonane. Kończymy: 1. Uruchom TFC - Temp Cleaner. 2. Uruchom DelFix. Ręcznie dokasuj z Pulpitu folder "Stare dane programu Firefox". 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Poniższe programy do aktualizacji: ==================== Installed Programs ====================== Adobe Flash Player 12 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 12 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) -----> wtyczka dla Firefox Adobe Reader X (10.1.9) (HKLM-x32\...\{AC76BA86-7AD7-1033-7B44-AA1000000001}) (Version: 10.1.9 - Adobe Systems Incorporated) Java 7 Update 45 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417045FF}) (Version: 7.0.450 - Oracle) Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.510 - Oracle) Microsoft Office 2010 Service Pack 1 (SP1) (HKLM-x32\...\{90140000-003D-0000-0000-0000000FF1CE}_Office14.SingleImage_{047B0968-E622-4FAA-9B4B-121FA109EDDE}) (Version: - Microsoft) ----> instalacja SP2 Mozilla Firefox 24.0 (x86 pl) (HKLM-x32\...\Mozilla Firefox 24.0 (x86 pl)) (Version: 24.0 - Mozilla) Adobe i Java po prostu odinstaluj przed nałożeniem najnowszych wersji. .

Akcje wykonane pomyślnie. Szczerze powątpiewałam w to czy zalecenia pomogą rozwiązać zgłaszany problem. Proponuję wykonać standardowe testy: 1. Sytuację w stadium czystego rozruchu: KLIK. 2. Stan po deinstalacji Avira. 3. Zachowanie po wykonaniu pełnej defragmentacji dysku (zwykła + "Boot Time"). Proponowany darmowy program: Puran Defrag. Jeśli żadne z powyższych nie wpłynie na zmianę sytuacji, nie jest tu wykluczony problem sprzętowy ("nagrzewa się") i przesunę temat do działu Hardware. .

Wszystko pomyślnie wykonane. Finalizuj temat: 1. Przez SHIFT+DEL (omija Kosz) dokasuj te elementy SpyHunter: C:\Program Files\Enigma Software Group C:\Program Files (x86)\Enigma Software Group C:\Users\Szymon\Downloads\sh-remover.exe C:\Users\Szymon\Downloads\original.exe C:\Users\Szymon\Downloads\SpyHunter 4.12.13.4202.rar C:\Users\Szymon\Downloads\SpyHunter4.exe 2. Usuń używane narzędzia za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji te programy: Internet Explorer Version 10 ==================== Installed Programs ====================== Adobe Flash Player 12 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 12 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 12.0.0.44 - Adobe Systems Incorporated) -----> wtyczka dla Firefox/Opera Adobe Reader X - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AA0000000001}) (Version: 10.0.0 - Adobe Systems Incorporated) Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle) .

Wszystko wykonane. Kończymy: 1. Drobna korekta domyślnych wyszukiwarek IE. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Uruchom TFC - Temp Cleaner. 3. Usuń używane narzędzia za pomocą DelFix. Dokasuj z Pulpitu folder "Stare dane programu Firefox". 4. Wyczyść foldery Przywracania systemu: KLIK 5. Zaktualizuj produkty Adobe: ==================== Installed Programs ====================== Adobe Flash Player 12 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Adobe Reader X (10.1.9) MUI (HKLM-x32\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.9 - Adobe Systems Incorporated) .