picasso

1. Skorzystaj z tego szerokiego skanu (nie tylko wpisy Avira, bo jest widziane mniej), ale przy usuwaniu opuść te klucze: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\avast! Antivirus HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\avast! Antivirus HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\avast! Antivirus 2. Po tym wdróż zaległe instrukcje: .

Wendor Nie wiem co miałeś na celu zakładając replikę tematu w dziale diagostyki infekcji, skoro jest od dawna zdefiniowane wyraźnie, że to nie ma związku z infekcją. Ja się nie dam na to nabrać, by przetwarzać temat jako "nowy" wg innych priorytetów (tzn. szybciej niż mogę). Tematy skleiłam razem, bo dałeś nowsze raporty (stare wyrzucone). Aczkolwiek w kółko je podstawiasz, a pominąłeś co powiedziałam o plikach DMP... Niemniej te pliki DMP pewnie już nie będą potrzebne. Conor29134 prawidłowo wytypował co jest problemem, potwierdziłeś to w treści przepisanej z ekranu BSOD, choć błędną nazwę pliku wklepałeś. To nie jest igdomd64.sys lecz igdpmd64.sys, czyli sterownik Intel datowany na rok 2011: DRV:64bit: - [2011-04-15 05:08:26 | 012,228,128 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\igdpmd64.sys -- (intelkmd) Wendor, wszystko zostało podane, nic tylko korzystać z danych. Otrzymałeś już link do KB2670838. Wejdź w niego, rozwiń blok "Incompatibility issues on certain computers that have hybrid video cards" i przeczytaj co tam jest napisane... Czyli: - Jeśli jest zainstalowana łata KB2670838, to doładować łatę KB2834140 - Zaktualizować sterownik Intel igdpmd64.sys (jeśli aktualizacja dostępna) - Jeśli nic nie pomaga, odinstalować łatę KB2670838. PS. A co do szczątków adware i wpisów pustych, w spoilerze instrukcje. Powtarzam = brak jakiegokolwiek związku z problemami. aneciok12345 Na przyszłość: proszę się nie dopisywać do cudzych tematów, choć w tym przypadku owszem macie dokładnie ten sam problem ze sterownikiem Intel. Wnioskuję to ze zrzutu ekranu BSOD, bo podany log OTL (usuwam) to przecież log Wendora! Podane już co robić. muzyk75 Co do Twojego raportu na temat wpisu SearchScopes w logu Wendor: to nie ma żadnego znaczenia dla problemu, nie jest związane z BSOD. Temat nie ma podstaw, by być analizowany w innym dziale niż Windows. .

Jak mówiłam, ja tu nie widzę problemu. Co do zmiany tytułu: otwórz do Edycji pierwszy post > Użyj pełnego edytora > możesz zmienić tytuł.

Niby w porządku, choć folder C:\Program Files (x86) nie ma atrybutu R = Read-only. Spróbuj więc dodać ten atrybut, a także przeładować cache ikon. Tak, cache ikon może mieć związek, ostatnio nawet miałam taki problem na wirtualnej maszynie z Vista, gdzie to z kolei był odwrotny problem (po usunięciu pliku desktop.ini ikona folderu i jego nazwa nie zmieniły się). Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > zostaw okno otwarte. Uruchom menedżer zadań i zabij proces explorer.exe. Następnie w otwartym oknie cmd wklep trzy komendy zatwierdzając je ENTER: attrib +r "C:\Program Files (x86)" cd %userprofile%\AppData\Local del /a:h IconCache.db W menedżerze zadań z menu Plik > Nowe zadanie uruchom explorer.exe.

Kroki końcowe: 1. Uruchom TFC - Temp Cleaner. 2. Przez SHIFT+DEL skasuj FRST i foldery: C:\FRST C:\Users\Adrian\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. Skoro na automatycznym pobieraniu nie ma żadnych problemów z łączeniem, to nie sądzę, by wystąpiły tu jakieś problemy. Prawdopodobnie można byłoby ustawić także i DNS na automatyczne pobieranie, a nie statycznie zdefiniowane Google. .

Zadania wykonane pomyślnie. Czy system przyśpieszył? Statystyki wolnego miejsca się poprawiły, około 10GB do przodu: ==================== Drives ================================ Drive c: (WINDOWS) (Fixed) (Total:149.04 GB) (Free:19.23 GB) NTFS Co wykazał SpaceSniffer w dalszej analizie? Ciągle mi się wydaje, że zajętego miejsca jest zbyt dużo w stosunku do ilości zainstalowanych aplikacji. Dodatkowo, jeszcze mogę zaproponować: 1. Wymianę niektórych aplikacji na lżejsze odpowiedniki: - WinZIP i WinRAR zastąpi jeden dobry darmowy program 7-zip (otwiera formaty obu programów): KLIK (pobierasz wersję 64-bit). - Stare ciążkie GG10 możesz zastąpić lekkim WTW z dobrą obsługą GG i bez reklam: KLIK. Ewentualnie zaktualizuj GG10 do najnowszej wersji GG12 (jest lżejsza i ma mniej reklam). 2. Wyłączenie zbędnych wpisów ze startu. Uruchom Autoruns i w karcie Logon odznacz: HKLM\...\Run: [Toshiba Registration] - C:\Program Files\TOSHIBA\Registration\ToshibaReminder.exe [136136 2010-04-19] (Toshiba Europe GmbH) HKLM-x32\...\Run: [bCSSync] - C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation) HKLM-x32\...\Run: [PWRISOVM.EXE] - C:\Program Files (x86)\PowerISO\PWRISOVM.EXE [312376 2012-02-09] (Power Software Ltd) HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [946352 2012-12-03] (Adobe Systems Incorporated) HKLM-x32\...\Run: [LWS] - C:\Program Files (x86)\Logitech\LWS\Webcam Software\LWS.exe [204136 2012-09-13] (Logitech Inc.) HKLM-x32\...\Run: [sunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation) HKCU\...\Run: [DAEMON Tools Lite] - C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe [357696 2010-04-01] (DT Soft Ltd) HKCU\...\Run: [Facebook Update] - C:\Users\Kamil\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2013-05-05] (Facebook Inc.) Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk ShortcutTarget: TRDCReminder.lnk -> C:\Program Files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe) W karcie Scheduled Tasks możesz odfajkować zadania Adobe / Google / Facebook. Zresetuj system. 3. Uruchom menedżer urządzeń i odinstaluj szczątkowe urządzenie avast! Firewall NDIS Filter Miniport (pozostałość po komercyjnej wersji avast! Internet Security). Powtórz reset cache wtyczek Google Chrome. A resztę szczątków / wpisów pustych usunie skrypt do FRST. Otwórz Notatnik i wklej w nim: Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Messenger.lnk FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3502.0922 - C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll No File 2013-12-31 16:22 - 2013-12-31 16:22 - 00000020 _____ C:\Windows\PöŞ 2013-12-31 16:27 - 2010-11-22 10:17 - 00000000 ____D C:\ProgramData\McAfee 2013-12-04 21:41 - 2013-12-04 21:31 - 00000000 ____D C:\Users\Kamil\AppData\Roaming\MultiBit 2013-12-01 09:33 - 2013-11-29 20:48 - 00000000 ____D C:\Users\Kamil\AppData\Roaming\Litecoin Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Po potwierdzeniu przez SHIFT+DEL skasujesz foldery: C:\FRST C:\Users\Kamil\Desktop\Upload C:\Users\Kamil\Downloads\FRST-OlderVersion 4. Na koniec wyczyść foldery Przywracania systemu: KLIK. To powinno poszerzyć nieco miejsce na dysku. Do czasu rzecz jasna. .

Diagnostyka BSOD w punkcie 5: KLIK. Pliki Minidump są dostępne: 2013-12-30 12:22 - 2013-12-30 12:22 - 00081920 _____ C:\WINDOWS\Minidump\Mini123013-01.dmp 2013-12-27 10:52 - 2013-12-27 10:52 - 00081920 _____ C:\WINDOWS\Minidump\Mini122713-01.dmp 2013-12-23 11:18 - 2013-12-23 11:18 - 00081920 _____ C:\WINDOWS\Minidump\Mini122313-02.dmp 2013-12-23 09:40 - 2013-12-23 09:40 - 00081920 _____ C:\WINDOWS\Minidump\Mini122313-01.dmp PS. Drobne uwagi spoza tematu: - Możesz odinstalować McAfee Security Scan. To prawdopodobnie była instalacja sponsorowana: KLIK. - Przeczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. .

Win32:BProtect-D = adware. By to usunąć, potrzebuję precyzyjnych danych. Nie zastosowałaś się do zasad działu w kwestii tego co tu się dostarcza: KLIK. Proszę o obowiązkowe raporty z FRST i OTL. EDIT: Zuzaa, czy jest jakiś problem ze zrobieniem tych raportów?

Temat przenoszę do działu Windows. Nie ma tu żadnych podstaw do szukania infekcji oraz nastąpiło to: Mam pytanie: czy po reinstalacji systemu od razu władowałeś Kaspersky Internet Security nie sprawdzając nawet jak system pracuje bez niego? Te objawy mogą być powodowane przez Kasperskiego. Przy okazji, wygląda na to, że po reinstalacji systemu nie wszystkie sterowniki obsługi sprzętowej są zainstalowane. W raporcie Addition.txt są takie odczyty: ==================== Faulty Device Manager Devices ============= Name: Kontroler sieci Description: Kontroler sieci Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: Kontroler Uniwersalnej magistrali szeregowej (USB) Description: Kontroler Uniwersalnej magistrali szeregowej (USB) Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: Kontroler Uniwersalnej magistrali szeregowej (USB) Description: Kontroler Uniwersalnej magistrali szeregowej (USB) Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: Kontroler magistrali zarządzania systemem Description: Kontroler magistrali zarządzania systemem Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. .

Nie ma podstaw, by przypuszczać, iż to infekcja blokuje start Windows. Nasuwa się wręcz przeciwne skojarzenie, czyli antywirus, gdyż to co różni tu wybitnie tryby Windows to właśnie sterowniki Symantec. Komputer może startować w Trybie awaryjnym. Z poziomu tego trybu zastosuj Norton Removal Tool. Podaj wyniki, czy start Windows został odblokowany. Dodatkowo, widać że checkdisk się uruchamiał i jest na dysku odpadek po jego pracy (wysoki numer, co oznacza, że sprawdzanie dysku pracowało wiele razy wcześniej): 2013-12-11 00:17 - 2013-12-11 00:17 - 00000000 __SHD C:\found.012 PS. W systemie są drobne szczątki adware i ZeroAccess w Koszu, ale to nie ma w ogóle związku z problemami. Gdy się wykaraskasz z podstawowego problemu, wykonaj te akcje: .

Skrypt pomyślnie wykonany. Zanim zadam czynności końcowe: Nic nie zepsujesz. Masz za dużo serwerów DNS sprecyzowanych: Comodo Secure DNS, DNS Advantage, Google DNS w kilku wersjach (starej i nowej), OpenDNS. Zresetuj wszystko, a jeśli jesteś niepewny co wprowadzić, użyj adresy Google punktowane w tutorialu (8.8.8.8 + 8.8.4.4). I pytanie: czy nadal występują te objawy ze zwiechą po starcie systemu? .

Skan został zrobiony przed czy po formacie? Czy były wykrycia na innych dyskach niż sformatowany C? Mam nadzieję, że wszystko zostało definitywnie usunięte. W nowych dostarczonych tu raportach nie ma żadnych widzialnych oznak Sality. I uzupełnij wszystkie aktualizacje Windows z Windows Update, gdyż ominąłeś conajmniej Internet Explorer: Microsoft Windows XP Professional Dodatek Service Pack 3 (X86) OS Language: Polish Internet Explorer Version 6 .

Poprzednie akcje wykonane. Wykończ jeszcze szczątki. Otwórz Notatnik i wklej w nim: S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [x] S3 xhunter1; \??\C:\Windows\xhunter1.sys [x] C:\Users\Adrian\Desktop\Realtek-High-Definition-Audio-Codecs(21164).exe C:\Windows\72AAF4551E54475BB0AB5413C78D0E63.TMP C:\Program Files\Enigma Software Group Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. A co do pliku Realtek-High-Definition-Audio-Codecs(21164).exe, to nie jest instalator właściwy tylko śmieć "Asystent pobierania": KLIK. + Nie ruszałam nic związanego z tematem, po wykonaniu instrukcji powinny być wręcz odwrotne rezultaty. W nowym raporcie nie widać nic dodatkowego. Aczkolwiek są tu dwie rzeczy relatywne do sieci przyciągające uwagę: ==================== Registry (Whitelisted) ================== HKCU\...\Run: [uTorrent] - C:\Users\Adrian\AppData\Roaming\uTorrent\uTorrent.exe [1044560 2013-05-09] (BitTorrent Inc.) ==================== Internet (Whitelisted) ==================== Tcpip\..\Interfaces\{125C4FAF-8776-4E90-A306-1BB7AC348470}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 - uTorrent w Autostarcie. Klient torrent może zatykać przepustowość nadmiarem połączeń. Wyłącz go z Autostartu i zresetuj system. - Jest masa serwerów DNS zdefiniowana. Zresetuj ustawienia DNS: KLIK. .

Są drobnostki jeszcze do zaadresowania, czyli szczątki adware ScorpionSaver i Level Quality Watcher oraz Google Chrome (nie jest zainstalowane, folder dorobiony prawdopodobnie przez adware). 1. Przez Panel sterowania odinstaluj adware Level Quality Watcher. Wpis został naruszony skanerami, więc Windows powinien zapytać czy usunąć zdefektowany wpis. Jeśli jednak będzie problem, zastosuj do usunięcia wpisu to narzędzie: KLIK. 2. Otwórz Notatnik i wklej w nim: FF HKLM-x32\...\Firefox\Extensions: [{BBDA0591-3099-440a-AA10-41764D9DB4DB}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_21.1.0.18\IPSFF FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\xfinity.xml HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AdpeakProxy => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AdpeakWFP => ""="Driver" C:\WINDOWS\system32\Drivers\AdpeakWFP64.sys C:\Users\Dominik\AppData\Local\Google C:\Users\Dominik\AppData\Local\NPE C:\ProgramData\Norton Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST, zaznacz ponownie pole Addition. Dołącz plik fixlog.txt. .

Mam jedną wątpliwość: czy Google Chrome jest zainstalowane? Nie widzę wejścia programu na liście (tylko pomocnik "Google Update Helper"), ale pełna konfiguracja na dysku. I kończymy: 1. Przez SHIFT+DEL skasuj FRST i foldery: C:\AdwCleaner C:\FRST C:\Documents and Settings\palikot\Dane aplikacji\newnext.me C:\Documents and Settings\palikot\Pulpit\Stare dane programu Firefox W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Te programy do aktualizacji: ==================== Installed Programs ====================== Adobe Reader XI (11.0.02) (Version: 11.0.02 - Adobe Systems Incorporated) Adobe Shockwave Player 12.0 (Version: 12.0.0.112 - Adobe Systems, Inc.) Foxit Reader (Version: 5.4.4.1023 - Foxit Corporation) GG (Version: 11 - GG Network S.A.) Microsoft Silverlight (Version: 5.1.20513.0 - Microsoft Corporation) Mozilla Firefox 18.0.1 (x86 pl) (Version: 18.0.1 - Mozilla) .

Mam nadzieję, że to było ostatnie podejście. Infekcja usunięta. 1. Jeszcze drobnostka (pusty wpis Adobe). Otwórz Notatnik i wklej w nim: FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32.dll No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Przez SHIFT+DEL skasuj FRST i foldery C:\AdwCleaner, C:\FRST. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Dla pewności pozmieniaj hasła dostępowe w grach i serwisach, gdyż jest niepewnym co te trojany robiły. .

Ów WPM17.8.0.3159 to komponent ochraniający ustawienia aartemis, ale jego deinstalacja nie usuwa wcale modyfikacji aaartemis (np. w skrótach przeglądarek). Pod tym kątem: 1. Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://aartemis.com/?type=hp&ts=1387613786&from=wpc&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC502077 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://aartemis.com/?type=hp&ts=1387613786&from=wpc&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC502077 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1387613786&from=wpc&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC502077&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://aartemis.com/?type=hp&ts=1387613786&from=wpc&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC502077 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://aartemis.com/?type=hp&ts=1387613786&from=wpc&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC502077 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1387613786&from=wpc&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC502077&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387613786&from=wpc&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC502077&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387613786&from=wpc&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC502077&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387613786&from=wpc&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC502077&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387613786&from=wpc&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC502077&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387613786&from=wpc&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC502077&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387613786&from=wpc&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC502077&q={searchTerms} CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://aartemis.com/?type=sc&ts=1387613786&from=wpc&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC502077 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 S0 BootDefragDriver; System32\drivers\BootDefragDriver.sys [x] S3 catchme; \??\C:\1\catchme.sys [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj (nie posługuj się Revo) adware Bundled software uninstaller. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. No cóż, ComboFix użyty raczej niepotrzebnie, nic ciekawego nie robił. A użyty Kaspersky Removal Tool to nie wersja 2011 tylko stara 2009. Rozumiem, że to już nieaktualne? Konkretnie: na czym to polega / jakie błędy widzisz? Nie jest wykluczone, że ComboFix nabroił. W skasowanych elementach są następujące rzeczy: ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) c:\windows\IsUn0411.exe c:\users\SAMSUNG\AppData\Roaming\BDL+D c:\users\SAMSUNG\AppData\Roaming\BDL+D\MANGAGAMER.COM\39FD8254-8737-4AFF-9C31-D593D385AFD3\____.hld c:\users\SAMSUNG\AppData\Roaming\BDL+D\MANGAGAMER.COM\39FD8254-8737-4AFF-9C31-D593D385AFD3\____.sys c:\users\SAMSUNG\AppData\Roaming\BDL+D\MANGAGAMER.COM\activation_log.dat c:\users\SAMSUNG\AppData\Roaming\BDL+D\MANGAGAMER.COM\activation_log.dat.1 c:\users\SAMSUNG\AppData\Roaming\BDL+D\MANGAGAMER.COM\activation_log.dat.2 c:\users\SAMSUNG\AppData\Roaming\BDL+D\MANGAGAMER.COM\activation_log.dat.3 c:\users\SAMSUNG\AppData\Roaming\BDL+D\MANGAGAMER.COM\B60AD237-1634-401B-BB3E-406FD6699ACA\____.hld c:\users\SAMSUNG\AppData\Roaming\BDL+D\MANGAGAMER.COM\B60AD237-1634-401B-BB3E-406FD6699ACA\____.sys - - - - USUNIĘTO PUSTE WPISY - - - - AddRemove-m_yakata - c:\windows\IsUn0411.exe AddRemove-n[Ś€•n[Ś€ - c:\windows\IsUn0411.exe Folder BDL+D wygląda na związany z grą. Plik IsUn0411.exe to był deinstalator dwóch pozycji (ale nie wiem co to konkretnie jest), które po usunięciu pliku sklasyfikowane zostały jako "puste" i też usunięte.

Prawdopodobnie w Twoim (starym) systemie brakuje odpowiednich bibliotek. Zainstaluj Service Pack 6 for Visual Basic 6.0. .

pkoszi, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Napisałeś 4 posty w serii jeden pod drugim. Podałeś też zbyt dużo logów FRST. Wszystko sklejone, zostawione najświeższe logi. Założyłeś nowy temat w dziale Windows, a tu jeszcze nie skończona sprawa. Nie wiem co się stało z odtwarzaniem Youtube, ale ja nie ruszałam nic związanego z tą wtyczką ani z Operą (Opera nie jest nawet skanowana przez narzędzia logów). Przeinstalowałeś wtyczkę, więc OK. Zostały tu jeszcze poprawki. Widzę, że w międzyczasie dorobiłeś się kolejnych wpisów niepożądanych aplikacji (pojawiła się większa iość szczątków BonanzaDeals i Mobogenie). 1. Na liście zainstalowanych jest fałszywy wpis Google Update Helper. To nie jest program od Google, tylko od adware (opis "BonanzaDeals"). Wpis jest ukryty, nie widać go na liście zainstalowanych programów. Zastosuj to narzędzie: KLIK. Wybierz tryb nieautomatyczny i moduł deinstalacji, zaznacz wpis i usuń. 2. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKCU\...\Run: [NextLive] - C:\Windows\SysWOW64\rundll32.exe "C:\Users\Paweł\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l C:\Users\Paweł\.android C:\Users\Paweł\daemonprocess.txt C:\Users\Paweł\AppData\Local\Google C:\Users\Paweł\AppData\Local\genienext C:\Users\Paweł\AppData\Local\Mobogenie C:\Users\Paweł\AppData\Roaming\MetaCrawler C:\Users\Paweł\AppData\Roaming\Mozilla C:\Users\Paweł\AppData\Roaming\newnext.me C:\Users\Paweł\Documents\Mobogenie C:\Program Files (x86)\BonanzaDeals C:\Program Files (x86)\BonanzaDealsLive C:\Program Files (x86)\Mobogenie C:\ProgramData\InstallMate Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Uruchom Menedżer urządzeń i odinstaluj wadliwe urządzenie avast! Firewall NDIS Filter Miniport pozostałe po komercyjnej już odinstalowanej wersji Internet Security. 4. Zrób nowy skan FRST, zaznacz ponownie pole Addition. Dołącz plik fixlog.txt. .

Zestaw obowiązkowych logów niekompletny. OTL niepełny (brak pliku Extras = opcja "Rejestr - skan dodatkowy" nie została zaznaczona), brak obowiązkowych raportów z FRST. Uzupełnij.

OTL niekompletny (brak pliku Extras). Poza tym, na PW kierowałam do linka, w skład obowiązkowych raportów wchodzi tu także FRST. Dodaj go proszę. .

Rzeczywiście, nie zauważyłam, że uruchomiłeś FRST z bardzo dziwnego miejsca (tymczasowa lokalizacja IE): Running from C:\Users\Grażyna\AppData\Local\Microsoft\Windows\INetCache\IE\MIGG1TP5 Pobierz FRST ponownie i zapisz na Pulpicie. Wtedy możesz dopiero utworzyć plik fixlist.txt, który również ma być na Pulpicie. Plik fixlist.txt musi być w tym samym folderze co FRST, w przeciwnym wypadku funkcja Fix w FRST nic nie zrobi (nie znajdzie pliku skryptu). .

Komunikat z w8gjz8e.plz pochodzi od resztek infekcji trojanem "policyjnym". Infekcja nie została poprawnie usunięta, pozostał w starcie wpis próbujący uruchamiać nieistniejący już plik infekcji. Prócz Aartemisa jest większa ilość obiektów adware, adware dorobiło też katalogi kont które nie były uprzednio czynne. Widzę, że był używany AdwaCleaner, w ogóle nie sprawdzone co robił. Podejrzewam też, że zamiast deinstalować adware w poprawny sposób od razu uruchomiłeś AdwCleaner. Będę to sprawdzać. Adresując wszystkie zgłoszone sprawy: 1. Otwórz Notatnik i wklej w nim: Task: {5038C2AC-B74D-41CD-BCB8-08A517D219CC} - System32\Tasks\MetaCrawler => C:\Users\PAWE~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\MetaCrawler.job => C:\Users\PAWE~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE HKCU\...\Policies\Explorer: [] Startup: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e8zjg8w.lnk SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1388083011&from=wpc&uid=HitachiXHTS545050A7E380_TA95123VG87XAXG87XAXX&q={searchTerms} BHO: YoutubeAdblocker - {1D7F90DF-4BE5-0978-F3A4-4B8013C35F90} - C:\Program Files (x86)\YoutubeAdblocker\a.x64.dll () BHO: surf And keepa - {90CA0531-BD1E-ED0E-E1A7-2FAFA3B1AA5E} - C:\Program Files (x86)\surf And keepa\XVhgq.x64.dll () BHO-x32: YoutubeAdblocker - {1D7F90DF-4BE5-0978-F3A4-4B8013C35F90} - C:\Program Files (x86)\YoutubeAdblocker\a.dll () BHO-x32: surf And keepa - {90CA0531-BD1E-ED0E-E1A7-2FAFA3B1AA5E} - C:\Program Files (x86)\surf And keepa\XVhgq.dll () C:\Windows\system32\log C:\Program Files (x86)\Optimizer Pro C:\Program Files (x86)\surf And keepa C:\Program Files (x86)\YoutubeAdblocker C:\ProgramData\e8zjg8w.ctrl C:\ProgramData\e8zjg8w.pff C:\ProgramData\3cea804ea800994f C:\ProgramData\surf And keepa C:\ProgramData\YoutubeAdblocker C:\ProgramData\WPM C:\Users\Paweł\AppData\Local\Comodo C:\Users\Paweł\AppData\Local\Google C:\Users\Paweł\AppData\Local\Packages C:\Users\Paweł\AppData\Local\Torch C:\Users\Paweł\AppData\Roaming\eCyber C:\Users\Paweł\AppData\Roaming\iSafe C:\Users\Paweł\AppData\Roaming\MetaCrawler C:\Users\Paweł\AppData\Roaming\Mozilla C:\Users\Paweł\AppData\Roaming\systweak C:\Users\Paweł\Documents\Optimizer Pro C:\Users\UpdatusUser\AppData\Local\Comodo C:\Users\UpdatusUser\AppData\Local\Google C:\Users\UpdatusUser\AppData\Local\Torch C:\Users\Administrator C:\Users\Gość C:\Users\HomeGroupUser$ Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d c:\windows\syswow64\nvinit.dll /f Reg: reg query HKLM\SOFTWARE\Clients\StartMenuInternet\Opera\shell\open\command Reg: reg query HKLM\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\Opera\shell\open\command Reg: reg query HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} /s Reg: reg export HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall C:\Users\Paweł\Desktop\uninstall.reg Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj GS.Supporter 1.74. 3. Uruchom TFC - Temp Cleaner. 4. Skasuj wszystkie skróty przeglądarek (mogą być zmodyfikowane = dopisana komenda otwierania aartemis) z Pulpitu / Menu Start / Paska zadań i utwórz nowe na czysto. 5. Zrób nowy skan FRST, zaznacz ponownie pole Addition, by powstał też drugi log. Dołącz plik fixlog.txt oraz logi utworzone przez AdwCleaner (nie uruchamiaj narzędzia ponownie, logi są już nagrane w folderze C:\AdwCleaner). Wszystkie logi doczep jako załączniki posta. Natomiast na Pulpicie powstał plik uninstall.reg, shostuj go gdzieś na serwisie zewnętrznym i podaj link do tego. .

Dlaczego usunąłeś wcześniejsze logi? Takich rzeczy się nie robi. Nic nie można sprawdzić co było wcześniej (by porównać dane / zweryfikować czy wszystko poszło OK), a temat w ogóle traci sens, bo skąd niby dane brane. Logi w większości przywrócone. Brakuje nadal pliku Addition (który jest potrzebny do ukończenia tematu), ale on i tak zostanie zaraz zrobiony. Wyniki ostatnich akcji: wprawdzie wykonane, ale nie wygląda, że wszystko. Nie ma tu oznak resetu Firefox. Poza tym, wspominasz, że "Antywiry zaczeły już normalnie pracować", ale nie widać ani jednego w logu. Proszę więc o nowy świeży log FRST z teraz, pole Addition zaznaczone, by powstał drugi log. Po sprawdzeniu logów pójdą jeszcze drobne poprawki. .

jeja001, zasady działu. Proszę nie podbijaj tematu bezużytecznymi postami typu "help" (usunięty). Jest dziś specjalny dzień Sylwestrowy i odpisuję na tyle na ile jestem w stanie. Czy notujesz jakieś problemy w systemie obecnie? Wszystko zostało wykonane. Zadaję czynności końcowe: 1. Mini poprawka. Otwórz Notatnik i wklej w nim: HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKCU\...\Policies\Explorer: [NoSaveSettings] 0 Handler: ipp - No CLSID Value - Handler: msdaipp - No CLSID Value - S3 ZDPNDIS5; \??\C:\WINDOWS\system32\ZDPNDIS5.SYS [x] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Został uruchomiony GMER, toteż na wszelki wypadek zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 3. Przez SHIFT+DEL skasuj foldery C:\AdwCleaner, C:\FRST, w OTL uruchom Sprzątanie. 4. Na wszelki wypadek zrób jeszcze pełny skan za pomocą Malwarebytes Anti-Malware (wersja darmowa). Jeżeli coś zostanie wykryte, przedstaw raport. .