picasso

Tym razem wszystko poprawnie odbudowane. Przechodzimy już do finalizacji: 1. Uruchom TFC - Temp Cleaner. 2. Przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie, resztę narzędzi dokasuj ręcznie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Dla pewności zrób jeszcze pełny skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. .

1. Otwórz Notatnik i wklej w nim: C:\Users\admin\AppData\Roaming\settings.ini C:\Users\admin\AppData\Roaming\i.ini C:\Users\admin\Desktop\Antivirus Security Pro support.url C:\Users\admin\Desktop\Antivirus Security Pro.lnk C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antivirus Security Pro BHO: Savensharee - {670BA3DF-57B2-1B12-10E5-BBCB35590E6B} - C:\ProgramData\Savensharee\9asrfx.dll () BootExecute: autocheck autochk /p \??\I:autocheck autochk * R3 catchme; \??\C:\ComboFix\catchme.sys [x] U3 mbr; \??\C:\Users\admin\AppData\Local\Temp\mbr.sys [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Savensharee. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Tak jak prawi log: "operacja ukończona pomyślnie". Możemy więc kończyć: 1. Uruchom TFC - Temp Cleaner. 2. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Users\Sławek\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Kilka dni upłynęło, porównaj co wymaga aktualizacji: KLIK. .

Zasady działu diagnostyki malware wyraźnie mówią, że obowiązkowe są także raporty z FRST i GMER (KLIK). Ale na razie to sobie odpuść, problem z instalacją SP1 nie tutaj, przenoszę do Windows 7. Kompletnie nie opisałeś o co chodzi z tą instalacją, co widzisz / jaki błąd. W Dzienniku zdarzeń widać takie nagranie: Error - 2013-09-30 03:04:06 | Computer Name = Sebastian-PC | Source = Microsoft-Windows-WindowsUpdateClient | ID = 20 Description = Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x80070490: Windows 7 Service Pack 1 (KB976932). - Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. - Następnie skopiuj na Pulpit cały folder C:\Windows\Logs\CBS, zapakuj do ZIP, rzuć na jakiś hosting i podaj tu link do paczki. Error - 2013-09-30 05:06:46 | Computer Name = Sebastian-PC | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6 Description = Niektóre funkcje zarządzania energią procesora w czasie wydajności zostały wyłączone z powodu znanego problemu z oprogramowaniem układowym. Skontaktuj się z producentem komputera w celu uzyskania aktualizacji oprogramowania układowego. Kolejny błąd sugerujący już kierunek na aktualizację BIOS / sterowników. .

W raporcie MBAM nic ciekawego: cracki do Adobe / Sony Vegas oraz instalka YTDSetup.exe (klasyfikowana tak, bo ma adware w instalatorze). Żaden z obiektów nie jest powiązany z owym "zacięciem", trudno powiedzieć o co wtedy chodziło. Z tego co rozumiem system obecnie działa poprawnie. .

Zestaw raportów FRST niepełny, brakuje pliku Addition. Ponadto nie został dostarczony GMER. Póki co, w dostarczonych już danych nie widzę infekcji w rozumieniu wirusów/trojanów, ale adware owszem. Pod tym kątem: 1. Przez Panel sterowania odinstaluj adware: BitGuard, Bonanza Deals, ConvertAd, Delta toolbar, Delta Chrome Toolbar, Desk 365, Lyrmix, Pokki, RegClean Pro, VuuPC, VuuPC Packages, WinZipper. Poza tym, jest tu za dużo antywirusów, wspólnie działa MSSE i Avast Internet Security, jeden z nich do deinstalacji. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Pobierz ponownie FRST (jest nowsza wersja). Zrób nowy skan FRST (zaznacz, by powstał Addition) oraz zaległy GMER. Dołącz log utworony przez AdwCleaner. .

Widzę do czyszczenia adware (AdwCleaner już się częstowałeś), historyczne mapowanie MountPoints2 wskazujące na podpinanie zainfekowanych i szczątki Firefox. Akcja: 1. Otwórz Notatnik i wklej w nim: MountPoints2: {7a5beeec-3957-11df-b670-001fd02506b0} - F:\vjxnQV.EXe MountPoints2: {b456b536-c328-11df-b711-001fd02506b0} - F:\vjxnQV.EXe MountPoints2: {c69d9d5f-075c-11e0-b783-001fd02506b0} - F:\vjxnQV.EXe MountPoints2: {d5336516-3422-11e0-b7c7-001fd02506b0} - F:\vjxnQV.EXe MountPoints2: {de7b9974-e28d-11df-b749-001fd02506b0} - F:\vjxnQV.EXe Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Pawelek\DANEAP~1\DSite\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\Pawelek\DANEAP~1\Dealply\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\Lyrmix Update.job => C:\Program Files\Lyrmix\LymxUD.exe HKLM\...\Run: [ConvertAd] - C:\Documents and Settings\Pawelek\Ustawienia lokalne\Dane aplikacji\ConvertAd\ConvertAd.exe SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear BHO: DealPly Shopping - {4B6ACEA2-308A-4876-AD36-57CEC5B4FCC7} - C:\Program Files\DealPly\DealPlyIE.dll No File BHO: Lyrmix - {804efe7d-a8d7-4351-a6df-014d1ed7c6fc} - C:\Program Files\Lyrmix\133.dll () CHR HKLM\...\Chrome\Extension: [kidmhllhjmmmnpbiaihafgchacpmokof] - C:\Program Files\Lyrmix\133.crx S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x] S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [x] C:\Program Files\BonanzaDeals C:\Program Files\BonanzaDealsLive C:\Documents and Settings\All Users\Dane aplikacji\BonanzaDealsLive C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer C:\Documents and Settings\Pawelek\RegShellSM.exe C:\Documents and Settings\Pawelek\Dane aplikacji\Funmoods C:\Documents and Settings\Pawelek\Dane aplikacji\MetaCrawler C:\Documents and Settings\Pawelek\Dane aplikacji\Mozilla C:\Documents and Settings\Pawelek\Dane aplikacji\systweak C:\Documents and Settings\Pawelek\Ustawienia lokalne\Dane aplikacji\BonanzaDealsLive C:\Documents and Settings\Pawelek\Ustawienia lokalne\Dane aplikacji\nsy20D.tmp.exe C:\Program Files\Enigma Software Group C:\Program Files\Mozilla Firefox C:\WINDOWS\865537E164904193A4B6669C62711852.TMP Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj Lyrmix, McAfee Security Scan Plus. 3. Google Chrome wygląda jakby miało uszkodzone preferencje. Zrób kilka akcji resetujących: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > przestaw kilka razy domyślną wyszukiwarkę, ostatecznie Google ma stanąć jako domyślna. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt oraz zaległy log AdwCleaner (jest w folderze C:\AdwCleaner). Czy to na pewno jest powiązane? Dobreprogramy owszem mogą ładować adware, jeśli użyty ichniejszy "Asystent pobierania" i zatwierdzenie sponsorów, ale problemy z siecią zdają się być odrębnym zagadnieniem. W raportach widzę: 1. Nieaktywne następujące urządzenie sieciowe: ==================== Faulty Device Manager Devices ============= Name: Realtek PCIe GBE Family Controller Description: Realtek PCIe GBE Family Controller Class Guid: {4D36E972-E325-11CE-BFC1-08002BE10318} Manufacturer: Realtek Semiconductor Corp. Service: RTLE8023xp Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Czy wyłączenie go było celowe? 2. Skomasowanie serwerów DNS: Tcpip\..\Interfaces\{E1C1EDFF-9616-46A5-9884-A00EFF7B1F11}: [NameServer]8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 Google Public DNS, OpenDNS, Comodo Secure DNS, DNS Advantage... Wyzeruj to wszystko. .

Cóż, należy od nowa czyścić po adware. 1. Pobierz ponownie FRST (jest nowsza wersja). Otwórz Notatnik i wklej w nim: S2 Update WebConnect; C:\Program Files (x86)\WebConnect\updateWebConnect.exe [206632 2013-08-30] (WebConnect) Task: {34421D8A-73DC-4029-92CA-F731D8AE8B6B} - System32\Tasks\{8E4A4EDD-8841-457E-8931-F6516D109634} => C:\Program Files (x86)\Master\EasyClicker\EasyClicker Pro 1.3v.exe Task: {0462D0DA-7840-44D9-B065-EFC0574B9EF3} - System32\Tasks\DSite => C:\Users\Adam\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: {FAE4364D-BF71-4A87-BC55-5EFA282F1CB3} - System32\Tasks\EPUpdater => C:\Users\Adam\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] () Task: C:\Windows\Tasks\DSite.job => C:\Users\Adam\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=082DB6DBC94C28EC&affID=119357&tsp=5001 BHO-x32: WebConnect - {2316c625-b487-4410-a1a5-ff040b65245f} - C:\Program Files (x86)\WebConnect\WebConnectbho.dll (Web Connect) CHR HKLM-x32\...\Chrome\Extension: [hbcennhacfaagdopikcegfcobcadeocj] - C:\Program Files (x86)\Common Files\Spigot\GC\saebay_1.0.crx CHR HKLM-x32\...\Chrome\Extension: [icdlfehblmklkikfigmjhbmmpmkmpooj] - C:\Program Files (x86)\Common Files\Spigot\GC\errorassistant_1.1.crx CHR HKLM-x32\...\Chrome\Extension: [ieakfmpjhljbpbfpldjkddkjmmgjmgon] - C:\Program Files (x86)\WebConnect\ieakfmpjhljbpbfpldjkddkjmmgjmgon.crx CHR HKLM-x32\...\Chrome\Extension: [mhkaekfpcppmmioggniknbnbdbcigpkk] - C:\Program Files (x86)\Common Files\Spigot\GC\coupons_2.3.crx CHR HKLM-x32\...\Chrome\Extension: [obilhkhfmlggcoildcnoeknaghkiiclj] - C:\Users\Adam\AppData\Local\CRE\obilhkhfmlggcoildcnoeknaghkiiclj.crx CHR HKLM-x32\...\Chrome\Extension: [pfndaklgolladniicklehhancnlgocpp] - C:\Program Files (x86)\Common Files\Spigot\GC\saamazon_1.0.crx CHR HKCU\SOFTWARE\Policies\Google: Policy restriction R3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] 2013-09-15 17:58 - 2013-09-15 17:58 - 00000000 _____ C:\Windows\SysWOW64\sho70D1.tmp 2013-09-10 13:02 - 2013-09-10 13:02 - 00000000 ____D C:\Users\Adam\AppData\Local\avgchrome 2013-09-10 12:56 - 2013-09-10 12:56 - 00000000 ____D C:\Users\Adam\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2Z 2013-09-10 12:55 - 2013-09-23 21:40 - 00000000 ____D C:\Users\Adam\AppData\Roaming\BabSolution 2013-09-10 12:55 - 2013-09-10 12:55 - 00000000 ____D C:\Users\Adam\AppData\Roaming\Babylon 2013-09-10 12:55 - 2013-09-10 12:55 - 00000000 ____D C:\ProgramData\Babylon 2013-09-10 12:53 - 2013-09-10 12:53 - 00000000 ____D C:\Users\Adam\AppData\Roaming\DSite 2013-08-28 19:23 - 2013-09-24 16:27 - 00000127 _____ C:\Users\Adam\AppData\Roaming\sp_data.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Odinstaluj WebConnect 3.0.0. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Sprawdź jak to wygląda na czystym rozruchu: KB310353. .

Po wykonaniu działań miałeś przedstawić nastyępujący zestaw raportów: .

1. Nie wiem z jakich aplikacji korzystasz, więc deinstalacja głównie zależy od Ciebie. Uwagi ode mnie: pozbądź się Spybot - Search & Destroy (skaner o przestarzałej konstrukcji, niski stopień przydatności obecnie) + Gadu-Gadu 10 (obecnie najnowsza i nieco lepsza wersja to GG12) + starszych produktów Adobe. 2. W kwestii wyłączania zbędnych wpisów w starcie, to za pomocą Autoruns możesz odfajkować w karcie Logon: HKCU\...\Run: [WinFast Schedule] - C:\Program Files\WinFast\WFDTV\WFWIZ.exe [2912256 2009-03-11] (Leadtek Research Inc.) HKCU\...\Run: [Google Update] - C:\Users\User\AppData\Local\Google\Update\GoogleUpdate.exe [136176 2011-10-01] (Google Inc.) HKLM-x32\...\Run: [WinFastDTV] - C:\Program Files\WinFast\WFDTV\DTVSchdl.exe [90112 2009-10-02] (Leadtek Research Inc.) HKLM-x32\...\Run: [ArcSoft Connection Service] - C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe [207424 2010-10-27] (ArcSoft Inc.) HKLM-x32\...\Run: [Adobe Reader Speed Launcher] - C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe [41208 2012-12-19] (Adobe Systems Incorporated) HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [946352 2012-12-03] (Adobe Systems Incorporated) HKLM-x32\...\Run: [LogMeIn Hamachi Ui] - C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe [2254768 2012-12-10] (LogMeIn Inc.) HKLM-x32\...\Run: [sunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation) W karcie Services: SRV - [2010-03-18 11:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto | Running] -- C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon) SRV - [2004-12-13 05:34:32 | 000,049,152 | ---- | M] (Ulead Systems, Inc.) [Auto | Running] -- C:\Program Files (x86)\Common Files\Ulead Systems\DVD\ULCDRSvr.exe -- (UleadBurningHelper) I poprawki na poprzednie działania: 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM-x32 - Backup.Old.DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} SearchScopes: HKLM-x32 - {14D20B54-692B-A145-9C63-1444FD9A71E0} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640 SearchScopes: HKLM-x32 - {aa91a22e-2e6d-4c79-a578-d50109b651aa} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZVxdm138YYPL&ptb=F7C46875-5961-40B1-B8D3-4777F69E7E76&psa=&ind=2010071702&ptnrS=ZVxdm138YYPL&si=gua131701&st=sb&n=77cf4296&searchfor={searchTerms} SearchScopes: HKCU - Backup.Old.DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} SearchScopes: HKCU - {14D20B54-692B-A145-9C63-1444FD9A71E0} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640 SearchScopes: HKCU - {18670B1F-C2D6-45BD-9A8D-52765D9D04C3} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=D5E9B6A6-CB5D-4DC3-B56D-FC6AD2BD42F4&apn_sauid=BE31E702-B2A2-453B-B9B1-DF77225466F7 SearchScopes: HKCU - {1922A1A6-2BE2-476D-A739-609B79AF019D} URL = http://www.youtube.com/results?search_query={searchTerms}&page={startPage?}&utm_source=opensearch SearchScopes: HKCU - {70E7FB92-85CD-4b16-95D0-47F304E4C883} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD SearchScopes: HKCU - {aa91a22e-2e6d-4c79-a578-d50109b651aa} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZVxdm138YYPL&ptb=F7C46875-5961-40B1-B8D3-4777F69E7E76&psa=&ind=2010071702&ptnrS=ZVxdm138YYPL&si=gua131701&st=sb&n=77cf4296&searchfor={searchTerms} BHO-x32: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll No File Toolbar: HKCU - No Name - {DD02A4EB-4AFD-4D60-99D8-E67F964CA813} - No File Toolbar: HKCU - No Name - {AC7B03F7-9C6B-4946-8964-7A00F880E1F6} - No File C:\Program Files\Przyspiesz Komputer C:\ProgramData\APN C:\ProgramData\Symantec C:\ProgramData\Norton C:\Users\User\Documents\APNSetup.exe C:\Users\User\AppData\Roaming\DownLite C:\Users\User\AppData\Roaming\Software Informer C:\Users\User\AppData\Local\Temp*.html Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Ten katalog Winsock dziwnie wygląda, nie wiem skąd takie struktury, może ComboFix go błędnie zresetował. Zrób całkowite przeładowanie klucza Winsock Protocol: 1. Pobierz najnowszą wersję FRST. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries /f CMD: netsh winsock reset Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj system. Zrób nowy log FRST na warunku: w sekcji Internet odznacz opcję Whitelist. Dołącz też fixlog.txt. Wersje stabilne. Podaję zawsze wersje, które są oznaczone jako najnowsze stabilne, nie linkuję do wersji beta. .

Spróbuj zresetować ustawienia tej Zapory, czyli włącz w services.msc usługę ponownie, następnie Start > Uruchom > cmd, wklep netsh firewall reset i zresetuj system. .

Wszystko zrobione. Kończymy: 1. Drobna poprawka. Pobierz na nowo FRST (ma naprawiony pewien bug). Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. HKCU\...\Policies\Explorer: [] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Uruchom TFC - Temp Cleaner. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Odinstaluj starą wtyczkę Adobe oraz zainstaluj pakiet SP3 dla Office 2007: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (Version: 10.0.42.34) Microsoft Office Enterprise 2007 (Version: 12.0.4518.1014) .

Nie podałeś raportu z MBAM co zostało znalezione. Nie mogę tego ocenić, a w raportach żadnych oznak infekcji. Tylko przez SHIFT+DEL dokasuj ten szczątkowy plik po Dll-Files.com: C:\Windows\system32\roboot64.exe .

Start > Uruchom > regedit i skasuj klucze: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Enum HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum Zresetuj system. .

Żadnych oznak infekcji nie notuję. Pozbądź się tylko drobnego adware: 1. Odinstaluj Ask Toolbar (przez Panel sterowania + w Google Chrome w Rozszerzeniach). 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw go. Co to konkretnie oznacza? Opisz dokładnie co się dzieje. Pierwszy podejrzany wyzierający z raportów to AVG 2011, edycja zresztą nienajnowsza. Odinstaluj go, zresetuj system i podaj czy są zmiany. Wyłącza (power down) czy automatycznie resetuje? .

Importowałam wpisy domyślne wyeksportowane z systemu Windows 2003. Skoro import spowodował brak sieci, to nasuwa się, iż problem stanowi usługa SharedAccess (Zapora systemu Windows/Udostępnianie połączenia internetowego). Sprawdź co się stanie, jeśli w services.msc wyłączysz tę usługę (Typ uruchomienia ustaw na Wyłączony) i zresetujesz system. .

Ten błąd OTL tu był na forum i do dziś nie został zdiagnozowany. Tak więc tu raczej nie wymyślę nic więcej. Co do zawartości raportów, oznak infekcji czynnej brak, są tylko drobne odpadki w mapowaniu MountPoints2 wskazujące na podpinanie zainfekowanych USB. Kosmetyczne czyszczenie: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [userFaultCheck] - %systemroot%\system32\dumprep 0 -u MountPoints2: {6280b827-25e2-11df-9c3a-001f1f425883} - F:\pbyqfn.exe MountPoints2: {bfdbe01e-c213-11de-9bac-001422523e51} - E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\reg32.exe SearchScopes: HKLM - DefaultScope value is missing. BHO: No Name - {3049C3E9-B461-4BC5-8870-4C09146192CA} - No File Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd S3 AR5523; system32\DRIVERS\ar5523.sys [x] S3 AR9271; system32\DRIVERS\athuw.sys [x] S3 AX88772; system32\DRIVERS\ax88772.sys [x] S4 hpt3xx; No ImagePath S3 Pcouffin; System32\Drivers\Pcouffin.sys [x] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. 2. Zresetuj cache wtyczek Google Chrome, by usunąć stamtąd puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Pod kątem spowolnienia: 1. Został uruchomiony GMER. Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Czy deinstalacja G Data AntiVirus 2014 na pewno nie miała wpływu na przyśpieszenie Windows? W Dzienniku zdarzeń są różne błędy relatywne do pakietu: Application errors: ================== Error: (09/27/2013 10:09:28 AM) (Source: Application Error) (User: ) Description: Aplikacja powodująca błąd AVKProxy.exe, wersja 1.5.13081.613, moduł powodujący błąd AVKProxy.exe, wersja 1.5.13081.613, adres błędu 0x0002e1c2. Przetwarzanie zdarzenia określonego nośnika dla [AVKProxy.exe!ws!] Error: (09/21/2013 10:08:14 AM) (Source: AVKWCtl) (User: ) Description: Nie można uruchomić wątku Error: (09/21/2013 10:08:14 AM) (Source: AVKWCtl) (User: ) Description: No AV Engine installed System errors: ============= Error: (10/01/2013 10:56:37 AM) (Source: Service Control Manager) (User: ) Description: Usługa G Data AntiVirus Proxy niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 60000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie. 3. Jest tu gruby plik HOSTS, co może mieć skutki uboczne: ==================== Hosts content: ========================== 2002-07-12 20:54 - 2010-05-10 09:55 - 00393070 ___RA C:\WINDOWS\system32\Drivers\etc\hosts 127.0.0.1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1001namen.com 127.0.0.1 1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 100sexlinks.com 127.0.0.1 www.100sexlinks.com 127.0.0.1 10sek.com 127.0.0.1 www.10sek.com 127.0.0.1 www.1-2005-search.com 127.0.0.1 1-2005-search.com 127.0.0.1 123haustiereundmehr.com 127.0.0.1 www.123haustiereundmehr.com 127.0.0.1 123moviedownload.com 127.0.0.1 www.123moviedownload.com There are 1000 more lines. Zresetuj plik HOSTS do postaci domyślnej narzędziem Fix-it: KB972034. .

Akcja pomyślnie wykonana. Został do usunięcia (już pusty) wpis infekcji, uprzednio niewidoczny (uruchamiałeś FRST z innego konta niż infekcja). Jedziemy: 1. Otwórz Notatnik i wklej w nim: HKU\G256385\...\Run: [AS2014] - C:\ProgramData\6XgVgp9n\6XgVgp9n.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zrób nowy skan FRST będąc zalogowanym na koncie G256385. Dołącz plik fixlog.txt. .

1. Przez Panel sterowania odinstaluj adware DProtect. W Google Chrome odinstaluj w Rozszerzeniach Lightning Newtab, skoro mówisz, że pojawił się "samodzielnie". 2. Pobierz od nowa FRST (jest nowsza wersja). Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380038773 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380038773 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380038773 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380038773 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380038773 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380038779&type=default&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380038779&type=default&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380038779&type=default&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380038779&type=default&q={searchTerms} Toolbar: HKCU - No Name - {41564952-412D-5637-00A7-7A786E7484D7} - No File CHR StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380043353 2013-09-24 18:06 - 2013-09-24 19:29 - 00000000 ____D C:\Users\slimosolo\AppData\Local\DProtect 2013-09-24 18:05 - 2013-09-24 18:05 - 00581488 _____ C:\Users\slimosolo\Downloads\SharePod 3.9.9_isdmgr.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Proszę nie podbijaj przez pisanie osobnych postów "co dalej" (sklejam). Ja widzę co mam do zrobienia w dziale i reaguję, gdy jestem w stanie. Hmm, wydawało mi się, że tego "Log.txt" nie było wcześniej, w związku z tym usuwam zbędny nadwyżkowy log ComboFix. Akcja przeprowadzona pomyślnie, więc możesz już kończyć: 1. Odinstaluj w prawidłowy sposób ComboFix. Poprzednio uruchamiany ze ścieżki F:\ComboFix.exe. Pobierz go ponownie (KLIK) i zapisz na Pulpicie. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\robert\Desktop\ComboFix.exe /uninstall Gdy komenda ukończy działanie, przez SHIFT+DEL skasuj foldery: C:\FRST C:\Windows\erdnt W OTL uruchom Sprzątanie. 2. Zaktualizuj poniżej wyliczone programy: KLIK. Wg listy zainstalowanych są tu: ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (Version: 11.8.800.94) ----> wtyczka dla IE Gadu-Gadu 7.7 Java 7 Update 9 (Version: 7.0.90) Microsoft Silverlight (Version: 5.1.10411.0) To m.in. nieaktualizowana Java jest przyczyną tej infekcji. A stare (również niezabezpieczone) Gadu można spokojnie zamienić nowoczesnym WTW: KLIK. .

Hmmm, a jaki był tam błąd? Zgodnie z przewidywaniami Farbar Service Scanner zgłasza "mieszane" wyniki nie związane z Twoją platformą (KLIK), ale po odrzuceniu niepoprawnych danych wynika, iż ZeroAccess skasował usługi: BITS, SharedAccess, PolicyAgent, RemoteAccess, wuauserv. I do przeprowadzenia następujące akcje: 1. Drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [] File not found O16 - DPF: {414FB93D-DEDD-4FEF-AD7F-167992EBDB52} https://77.79.241.141/CSHELL/extender.cab (Reg Error: Key error.) [2013-10-01 13:17:36 | 000,005,632 | -HS- | M] () -- C:\WINDOWS\assembly\GAC\Desktop.ini :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu G:\_OTL powstanie log z wynikami usuwania. Przedstaw go. 2. Rekonstrukcja skasowanych usług Windows 2003. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS] "Type"=dword:00000020 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Usługa inteligentnego transferu w tle" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Używa przepustowości bezczynnej sieci do transferu danych. Jeżeli BITS zostanie wyłączone, funkcje takie jak Windows Update przestaną działać." "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters] "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,71,00,6d,00,\ 67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security] "Security"=hex:01,00,14,80,b8,00,00,00,c4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,88,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,\ 00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,\ 01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6c,\ 00,73,00,61,00,73,00,73,00,2e,00,65,00,78,00,65,00,00,00 "DisplayName"="Usługi IPSEC" "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,54,00,63,00,70,00,\ 69,00,70,00,00,00,49,00,50,00,53,00,65,00,63,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zarządza zasadami zabezpieczeń IP i uruchamia sterownik ISAKMP/Oakley (IKE) i sterownik zabezpieczeń IP." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley] "NLBSFlags"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\ 02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Enum] "0"="Root\\LEGACY_POLICYAGENT\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess] "Type"=dword:00000020 "Start"=dword:00000004 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Routing i dostęp zdalny" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,53,00,00,00,00,00 "DependOnGroup"=hex(7):4e,00,65,00,74,00,42,00,49,00,4f,00,53,00,47,00,72,00,\ 6f,00,75,00,70,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Oferuje usługi routingu firmom w środowiskach sieci lokalnych i rozległych." @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Accounting] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Accounting\Providers] "ActiveProvider"="{1AA7F846-C7F5-11D0-A376-00C04FC9DA04}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Accounting\Providers\{1AA7F840-C7F5-11D0-A376-00C04FC9DA04}] "ConfigClsid"="{1AA7F840-C7F5-11D0-A376-00C04FC9DA04}" "DisplayName"="Księgowanie usługi RADIUS" "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\ 61,00,73,00,72,00,61,00,64,00,2e,00,64,00,6c,00,6c,00,00,00 "ProviderTypeGUID"="{76560D80-2BFD-11d2-9539-3078302C2030}" "VendorName"="Microsoft" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Accounting\Providers\{1AA7F846-C7F5-11D0-A376-00C04FC9DA04}] "ConfigClsid"="" "DisplayName"="Księgowanie systemu Windows" "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,\ 70,00,72,00,64,00,64,00,6d,00,2e,00,64,00,6c,00,6c,00,00,00 "ProviderTypeGUID"="{76560D81-2BFD-11d2-9539-3078302C2030}" "VendorName"="Microsoft" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Authentication] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Authentication\Providers] "ActiveProvider"="{1AA7F841-C7F5-11D0-A376-00C04FC9DA04}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Authentication\Providers\{1AA7F83F-C7F5-11D0-A376-00C04FC9DA04}] "ConfigClsid"="{1AA7F83F-C7F5-11D0-A376-00C04FC9DA04}" "DisplayName"="Uwierzytelnianie usługi RADIUS" "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\ 61,00,73,00,72,00,61,00,64,00,2e,00,64,00,6c,00,6c,00,00,00 "VendorName"="Microsoft" "ProviderTypeGUID"="{76560D00-2BFD-11d2-9539-3078302C2030}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Authentication\Providers\{1AA7F841-C7F5-11D0-A376-00C04FC9DA04}] "ConfigClsid"="" "DisplayName"="Uwierzytelnianie systemu Windows" "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,\ 70,00,72,00,64,00,64,00,6d,00,2e,00,64,00,6c,00,6c,00,00,00 "VendorName"="Microsoft" "ProviderTypeGUID"="{76560D01-2BFD-11d2-9539-3078302C2030}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\DemandDialManager] "DllPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,\ 00,70,00,72,00,64,00,64,00,6d,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces] "Stamp"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\0] "InterfaceName"="Loopback" "Type"=dword:00000005 "Enabled"=dword:00000001 "Stamp"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\0\Ip] "ProtocolId"=dword:00000021 "InterfaceInfo"=hex:01,00,00,00,68,00,00,00,03,00,00,00,05,00,ff,ff,38,00,00,\ 00,00,00,00,00,40,00,00,00,04,00,ff,ff,04,00,00,00,01,00,00,00,40,00,00,00,\ 07,00,ff,ff,10,00,00,00,01,00,00,00,48,00,00,00,00,00,00,00,01,00,00,00,00,\ 00,00,00,58,02,c2,01,08,07,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\1] "InterfaceName"="Internal" "Type"=dword:00000004 "Enabled"=dword:00000001 "Stamp"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\1\Ip] "ProtocolId"=dword:00000021 "InterfaceInfo"=hex:01,00,00,00,68,00,00,00,03,00,00,00,05,00,ff,ff,38,00,00,\ 00,00,00,00,00,40,00,00,00,04,00,ff,ff,04,00,00,00,01,00,00,00,40,00,00,00,\ 07,00,ff,ff,10,00,00,00,01,00,00,00,48,00,00,00,00,00,00,00,01,00,00,00,00,\ 00,00,00,58,02,c2,01,08,07,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\2] "InterfaceName"="{D7DAE09C-CA67-4CAA-9F59-D3F168525428}" "Type"=dword:00000003 "Enabled"=dword:00000001 "Stamp"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\2\Ip] "ProtocolId"=dword:00000021 "InterfaceInfo"=hex:01,00,00,00,68,00,00,00,03,00,00,00,05,00,ff,ff,38,00,00,\ 00,00,00,00,00,40,00,00,00,04,00,ff,ff,04,00,00,00,01,00,00,00,40,00,00,00,\ 07,00,ff,ff,10,00,00,00,01,00,00,00,48,00,00,00,00,00,00,00,01,00,00,00,00,\ 00,00,00,58,02,c2,01,08,07,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters] "RouterType"=dword:00000001 "ServerFlags"=dword:00002702 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 6d,00,70,00,72,00,64,00,69,00,6d,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AppleTalk] "EnableIn"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ip] "AllowClientIpAddresses"=dword:00000000 "AllowNetworkAccess"=dword:00000001 "EnableIn"=dword:00000001 "IpAddress"="0.0.0.0" "IpMask"="0.0.0.0" "UseDhcpAddressing"=dword:00000001 "EnableRoute"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ipx] "EnableIn"=dword:00000001 "AcceptRemoteNodeNumber"=dword:00000001 "AllowNetworkAccess"=dword:00000001 "AutoWanNetAllocation"=dword:00000001 "FirstWanNet"=dword:00000000 "GlobalWanNet"=dword:00000001 "LastWanNet"=dword:00000000 "EnableRoute"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Nbf] "EnableIn"=dword:00000001 "AllowNetworkAccess"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Performance] "Open"="OpenRasPerformanceData" "Close"="CloseRasPerformanceData" "Collect"="CollectRasPerformanceData" "Library"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,\ 00,61,00,73,00,63,00,74,00,72,00,73,00,2e,00,64,00,6c,00,6c,00,00,00 "PerfIniFile"="rasctrs.ini" "Last Counter"=dword:000007ba "Last Help"=dword:000007bb "First Counter"=dword:00000794 "First Help"=dword:00000795 "WbemAdapFileSignature"=hex:01,13,71,89,3b,fc,7c,9d,d0,3f,3a,03,28,4d,6d,06 "WbemAdapFileTime"=hex:00,fb,8c,09,3f,52,c7,01 "WbemAdapFileSize"=dword:00003600 "WbemAdapStatus"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy] "LicenseType"=dword:00000002 "ProductDir"="C:\\WINDOWS\\system32\\IAS" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\01] @="IAS.ProxyPolicyEnforcer" "Requests"="0 1 2" "Responses"="0 1 2 3 4" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\02] @="IAS.PEAPUpfront" "Providers"="1" "Requests"="0 2" "Responses"="0" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\03] @="IAS.Realm" "Providers"="1" "Requests"="0 1" "Replays"="0" "Responses"="0 1 2 4" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\04] @="IAS.Realm" "Providers"="0 2" "Requests"="0 1 2" "Replays"="0" "Responses"="0 1 2 3 4" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\05] @="IAS.NTSamNames" "Providers"="1" "Requests"="0" "Replays"="0" "Responses"="0 1" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\06] @="IAS.BaseCampHost" "Replays"="0" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\07] @="IAS.RadiusProxy" "Providers"="2" "Replays"="0" "Responses"="0" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\08] @="IAS.ExternalAuthNames" "Providers"="2" "Requests"="0" "Replays"="0" "Responses"="1" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\09] @="IAS.NTSamAuthentication" "Providers"="1" "Requests"="0" "Replays"="0" "Responses"="0" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\10] @="IAS.AccountValidation" "Providers"="1 3" "Requests"="0" "Replays"="0" "Responses"="0 1" "Reasons"="33" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\11] @="IAS.PolicyEnforcer" "Providers"="1 3" "Requests"="0" "Replays"="0" "Responses"="0 1" "Reasons"="33" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\12] @="IAS.NTSamPerUser" "Providers"="1 3" "Requests"="0" "Replays"="0" "Responses"="0 1" "Reasons"="33" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\13] @="IAS.URHandler" "Providers"="0 1 3" "Requests"="0" "Replays"="0" "Responses"="0 1" "Reasons"="33" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\14] @="IAS.EAP" "Providers"="1" "Requests"="0 2" "Replays"="0" "Responses"="0" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\15] @="IAS.PostEapRestrictions" "Providers"="0 1 3" "Requests"="0 2" "Replays"="0" "Responses"="0 1" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\16] @="IAS.ChangePassword" "Providers"="1" "Requests"="0" "Replays"="0" "Responses"="0 1" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\17] @="IAS.AuthorizationHost" "Replays"="0" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\18] @="IAS.EAPTLV" "Providers"="1" "Requests"="0 2" "Replays"="0" "Responses"="0 1 2 3 5" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\19] @="IAS.Accounting" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\20] @="IAS.DatabaseAccounting" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\21] @="IAS.MSChapErrorReporter" "Providers"="0 1 3" "Requests"="0" "Replays"="0" "Responses"="2" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers] "Stamp"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip] "ProtocolId"=dword:00000021 "GlobalInfo"=hex:01,00,00,00,80,00,00,00,02,00,00,00,03,00,ff,ff,08,00,00,00,\ 01,00,00,00,30,00,00,00,06,00,ff,ff,3c,00,00,00,01,00,00,00,38,00,00,00,00,\ 00,00,00,00,00,00,00,01,00,00,00,07,00,00,00,02,00,00,00,01,00,00,00,03,00,\ 00,00,0a,00,00,00,16,27,00,00,03,00,00,00,17,27,00,00,05,00,00,00,12,27,00,\ 00,07,00,00,00,0d,00,00,00,6e,00,00,00,08,00,00,00,78,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00 "DLLPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,69,\ 00,70,00,72,00,74,00,72,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Security] "Security"=hex:01,00,14,80,b8,00,00,00,c4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,88,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,\ 00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,\ 01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "DependOnGroup"=hex(7):00,00,00,00 "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego (ICS)" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "ObjectName"="LocalSystem" "Type"=dword:00000020 "Start"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Aktualizacje automatyczne" "ObjectName"="LocalSystem" "Description"="Umożliwia pobieranie i instalowanie ważnych aktualizacji systemu Windows. Jeśli ta usługa zostanie wyłączona, komputer nie będzie umożliwiał korzystania z funkcji Automatyczne aktualizacje lub strony Windows Update." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\ 61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security] "Security"=hex:01,00,14,80,b8,00,00,00,c4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,88,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,\ 00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,\ 01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum] "0"="Root\\LEGACY_WUAUSERV\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Adnotacja dla innych czytających: import dopasowany do Windows 2003. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Uruchom ten plik i potwierdź import do rejestru. Zresetuj system. .

Adnotacja o fixlog.txt już zedytowana, z rozpędu to napisałam, a przecież nie dałam żadnego skryptu do FRST. Wszystko wygląda na wykonane, ale wymagane poprawki: 1. Otwórz Notatnik i wklej w nim: 2013-09-13 23:17 - 2013-09-13 23:17 - 00000000 ____D C:\Users\user\AppData\Local\avgchrome 2013-10-02 20:56 - 2013-03-16 14:52 - 00000000 ____D C:\Users\user\AppData\Roaming\Mipony Task: {14621C48-DF92-4F0D-B644-A0C99BC17507} - \AdobeFlashPlayerUpdate No Task File Task: {1B405B08-9DD4-47D3-A9BC-141B7CCDBA7F} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {DB63E26E-025F-4350-8C4B-17C69B315853} - \AdobeFlashPlayerUpdate 2 No Task File Task: {E16ED733-CEDC-469D-BD5B-0C60F4CFF274} - \DSite No Task File S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [x] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [x] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Operacja AdwCleaner naruszyła preferencje Google Chrome, wyglądają na nieczytelne / uszkodzone. Przeładuj Preferences poprzez akcje z przestawianiem określonych opcji: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście poprzestawiaj kilka razy domyślną wyszukiwarkę, finałowo ustaw Google. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Wg danych ComboFix tu nie tylko "Antivirus Security Pro" rezydował, ale także rootkit ZeroAccess. Nie wszystko zostało usunięte. I proszę o zrealizowanie zasad działu, obowiązkowe raporty tutaj to także z narzędzia FRST. Dostarcz je. .