picasso

Tylko fixlog był potrzebny (usuwam zbędny główny log). Możemy kończyć: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj foldery C:\FRST + "Stare dane programu Firefox" na Pulpicie, w OTL uruchom Sprzątanie. 2. Wyczyść pliki tymczasowe za pomocą TFC - Temp Cleaner. 3. Wyczyść foldery Przywracania systemu: KLIK. .

Skoro wpis rejestru pomyślnie usunięty, podobnież jak komendy usuwania plików, zastartuj do Trybu normalnego i z tego poziomu zrób raporty FRST (ma powstać też plik Addition). .

Wszystko to: albo instalatory adware (w tym zamiast bezpośredniego instalatora TeamSpeak: Softonic Downloader), albo rozpoczęta procedura ich instalacji w Temp. W logach nic podejrzanego czy szczególnie ciekawego. Tylko kosmetyka. 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\safeguard-secure-search.xml BootExecute: Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd U4 dwshd; \SystemRoot\System32\drivers\dwshd.sys [x] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [x] S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [x] U4 sptd; \SystemRoot\System32\Drivers\sptd.sys [x] S3 usbbus; system32\DRIVERS\lgusbbus.sys [x] S3 USBModem; system32\DRIVERS\lgusbmodem.sys [x] Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. 2. Uruchom TFC - Temp Cleaner. .

Temat przenoszę, na razie do działu Windows. Nie widzę oznak czynnej infekcji, ale nie podałeś raportu z GMER. Doczyść tylko wpisy puste i śmieci. W spoilerze instrukcje. Widzę też błędy braku plików usług Windows: Error: (08/30/2013 06:34:10 PM) (Source: Service Control Manager) (User: ) Description: Nie można uruchomić usługi Aktualizacje automatyczne z powodu następującego błędu: %%2 Error: (08/30/2013 06:34:10 PM) (Source: Service Control Manager) (User: ) Description: Nie można uruchomić usługi Usługa inteligentnego transferu w tle z powodu następującego błędu: %%2 Podaj skan z Farbar Service Scanner. Mało danych. Jaki konkretnie jest to błąd, co mówi? Jaki błąd przy uruchomieniu OTL? Widzę na dysku mnóstwo plików DMP oraz C:\FOUND.00X (obcięte dane na skutek uruchamiania chceckdiska). Może: - Wyciągnij dane z plików DMP, punkt 5 w ogłoszeniu: KLIK. - Przetestuj stronę sprzętową, tzn. pamięć (Memtest86) i dysk (MHDD). .

W systemie działa adware, stąd błąd. Przeprowadź następujące działania: 1. Na początek poprawne deinstalacje. Przez Panel sterowania odinstaluj: AVG Security Toolba, BrowseToSave, Bundled software uninstaller, FilesFrog Update Checker, uTorrentControl2 Toolbar, Yontoo 1.10.03. 2. Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=44444&tt=5112_8&babsrc=HP_ss&mntrId=20ac5fe4000000000000001a4d4f744d SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=44444&tt=5112_8&babsrc=SP_ss&mntrId=20ac5fe4000000000000001a4d4f744d SearchScopes: HKCU - {1A5F3C3D-AADD-461B-B610-B70EC372A8D4} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={B5652C0A-8964-4443-9C07-CF7A03989A47}&mid=7f62107ed46147d080d6d1530bab9dbe-4969d719da5ad74dc2fd5281d9d4142d3507ff38&lang=pl&ds=AVG&pr=pa&d=2012-08-09 22:51:48&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms} BHO: BroaWSe2save - {13708CA9-BA14-A998-61A4-88454033501F} - C:\ProgramData\BroaWSe2save\516fca21bd5be.dll No File Toolbar: HKLM - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File Toolbar: HKCU -No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File Toolbar: HKCU -No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKCU -No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Task: {71475C66-1947-49D7-935C-2226C67F07EB} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{1E422482-72B2-4BC9-944D-264D8FDEB0AF}.exe No File Task: {9E862474-DC27-4005-AC8A-C4505B1B69C7} - System32\Tasks\YourFile DownloaderUpdate => C:\Program Files\YourFileDownloader\YourFileUpdater.exe No File Task: {D42B8011-0C85-4940-8828-B64C51ABA72D} - System32\Tasks\ROC_JAN2013_TB_rmv => C:\Program Files\AVG Secure Search\PostInstall\ROC.exe [2013-01-31] () Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{1E422482-72B2-4BC9-944D-264D8FDEB0AF}.exe Task: C:\Windows\Tasks\ROC_JAN2013_TB_rmv.job => C:\Program Files\AVG Secure Search\PostInstall\ROC.exe HKU\UpdatusUser\...\Run: [ROC_JAN2013_TB] - C:\Program Files\AVG Secure Search\ROC_JAN2013_TB.exe [ 2013-01-23] () HKU\UpdatusUser\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] - C:\Program Files\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe [ 2013-06-03] (AVG Secure Search) C:\Users\Tatuś\Desktop\DownloadManagerSetup.exe C:\Users\Tatuś\AppData\Local\Google C:\Users\Tatuś\AppData\Roaming\mozilla C:\Program Files\Mozilla Firefox Reg: reg delete HKLM\SOFTWARE\Google /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Przemilczane użycie określonych procedur: - Używałeś ComboFix. Na ten temat: KLIK. I nie po0dałeś nawet do sprawdzenia raportu C:\ComboFitxt, który się utworzył. - Przetwarzałeś jakiś skrypt w OTL. Skąd i co zawierał. - Jest na dysku także folder C:\TDSSKiller_Quarantine. Co konkretnie robiłeś w programie? Oznak infekcji brak i temat przeniosę. Usuń tylko puste wpisy i szczątki po skanerach. W spoilerze instrukcje. Procesy poprawne. A lokalizacji ani opisu nie możesz pobrać, gdyż działasz na niskich uprawnieniach. Opcja "Pokaż procesy wszystkich użytkowników" powoduje, że Menedżer przeładowuje się na wyższych uprawnieniach i wtedy pojawiają się dodatkowe dane. 1. Na początek upewnij się, że problemu nie tworzy Panda Antivirus Pro 2013. Wykonaj testową deinstalację. 2. Widzę też, że nie tak dawno aktualizowałeś sterowniki nVidia. W Dzienniku zdarzeń są jakieś tajemnicze błędy: Error: (08/29/2013 04:47:50 PM) (Source: NvStreamSvc) (User: ) Description: NvStreamSvcNvVAD endpoint registered successfully [0] .

Skrypt wykonany poprawnie. Kolejne akcje: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj foldery C:\FRST + C:\Kaspersky Rescue Disk 10.0, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek zrób skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. .

W ramach ukończeń tematu: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. .

Nie podałeś mi głównego nowego skanu FRST. Nie wiem, ale antywirus to nie wszystko i jest dużo czynników dlaczego infekcja w piewszej kolejności w ogóle była możliwa. W tym zakresie jest nieaktualizowane oprogramowanie. Tu u Ciebie zwraca uwagę m.in. sfatygowana Java. Jednakże aktualizacje oprogramowania zawsze wdrażam na końcu, gdy czyszczenie systemu zostanie ukończone. .

Wpisy wykończył AdwCleaner. Google Chrome jest nadal zdewastowane, a wg OTL w katalogach rozszerzeń nadal pliki *.crypted.... 1. W związku z uszkodzeniem Google Chrome, proponuję przeglądarkę odinstalować. Po deinstalacji zaś przez SHIFT+DEL skasować z dysku folder C:\Users\Artur\AppData\Local\Google\Chrome. 2. Nadal mamy problem z obecnością plików crypted. To są pliki zaszyfrowane przez infekcję, a ja nie orientuję się czy jest do tego jakiś deszyfrator. Logi OTL/FRST są bardzo ograniczone i mogą nie pokazywać jak daleko niszczenie danych się posunęło. Zrób wstępne szukanie na dysku na takie pliki i powiedz mi jak dużo wyników otrzymujesz. 3. Usunięcie szczątków Avast: ==================== Faulty Device Manager Devices ============= Name: avast! Firewall NDIS Filter Miniport Description: avast! Firewall NDIS Filter Miniport Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: ALWIL Software Service: aswNdis Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Wejdź do menedżera urządzeń, odinstaluj martwe urządzenie Avast, zresetuj system. R0 aswKbd; C:\Windows\System32\Drivers\aswKbd.sys [22600 2013-03-07] (AVAST Software) Usuń sterownik Avast filtrujący klawiaturę wg kroków:

Widzę, że reset pliku HOSTS już zrobiony. Nanosząc inne poprawki: 1. Operacje w Google Chrome: - Przestawienie domyślnej wyszukiwarki: wejdź do ustawień, w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy Funmoods - Reset cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. 2. Usunięcie wpisów pustych i szczątków. Otwórz Notatnik i wklej w nim: FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32.dll No File FF Plugin-x32: @bittorrent.com/BitTorrentDNA - C:\Program Files (x86)\DNA\plugins\npbtdna.dll No File FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 - C:\Program Files (x86)\Microsoft Silverlight\4.0.60831.0\npctrl.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=3 - C:\Program Files (x86)\Google\Update\1.3.21.79\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 - C:\Program Files (x86)\Google\Update\1.3.21.79\npGoogleUpdate3.dll No File Task: {1742F71C-4B8E-4CC5-9C0F-FB82B4D2B643} - \Scheduled Update for Ask Toolbar No Task File Task: {A3963F11-0E90-4AA8-825D-CB272EFCD26A} - System32\Tasks\Secunia PSI Logon Task => C:\Program Files (x86)\Secunia\PSI\psi.exe No File HKLM\...\Run: [intelPROSet] - "C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel PROSet/Wireless [x] HKLM\...\Run: [intelPAN] - "C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel PAN Tray [x] HKCU\...\Run: [bitTorrent] - "E:\torent\BitTorrent.exe" /MINIMIZED [x] HKCU\...\Run: [KiesAirMessage] - E:\samsung s4\Kies\KiesAirMessage.exe -startup [x] HKCU\...\Run: [] - E:\samsung s4\Kies\External\FirmwareUpdate\KiesPDLR.exe [x] S4 ABBYY.Licensing.FineReader.Professional.9.0; "C:\Program Files (x86)\ABBYY FineReader 9.0\NetworkLicenseServer.exe" -service [x] S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [x] S2 EvtEng; C:\Program Files\Intel\WiFi\bin\EvtEng.exe [x] S3 MyWiFiDHCPDNS; C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe [x] S2 RegSrvc; C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe [x] S3 massfilter; system32\drivers\massfilter.sys [x] S3 NETw5s64; system32\DRIVERS\NETw5s64.sys [x] S3 PSI; system32\DRIVERS\psi_mf.sys [x] U2 wuaserv; S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [x] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [x] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [x] Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: rd /s /q "C:\Users\Dano\AppData\Roaming\Mozilla\Firefox" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Wszystko wykonane. Mała poprawka. Otwórz Notatnik i wklej w nim: Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. .

Jedna komenda się nie wykonała, bo omyłkowo podwójny // znak mi się zaplątał. Powtórz plik o zawartości i przedstaw wynikowy fixlog: Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xb5 /f .

Hmmm, gdzie są te wyniki: Podane tu raporty MBAM i MSSE w ogóle nie pokazują takiego czegoś. Czy te detekcje nadal występują? A co do tego wyniku: Boot Time Removal Tool started Error 0xc0000034 opening (\??\C:\Documents and Settings\Tadek\Menu Start\Programy\Autostart\bpgirhcddrcbnihebso.lnk) for reparse check. Unable to strip attributes from \??\C:\Documents and Settings\Tadek\Menu Start\Programy\Autostart\bpgirhcddrcbnihebso.lnk with error 0xc0000034 Error 0xc0000034 removing: \??\C:\Documents and Settings\Tadek\Menu Start\Programy\Autostart\bpgirhcddrcbnihebso.lnk BTR Completed Successfully Pochodzi z konta Tadek, a wszystkie podane tu logi OTL/FRST są z konta Admin. Tak więc: czy konto Tadek jest w użyciu? Jeśli tak, należy zrobić logi będąc zalogowanym na tym koncie. .

Akcje pomyślnie wykonane. 1. Drobna poprawka. Otwórz Notatnik i wklej w nim: HKCU\...\Run: [MSConfig] - "C:\Documents and Settings\Administrator\leajbjp.exe" [x] SearchScopes: HKLM - DefaultScope value is missing. 2013-08-30 00:18 - 2012-04-29 15:40 - 00000000 ____D C:\Program Files\v9Soft Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. 2. W logu pojawił się taki wpis: Handler: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - No File Sprawdź czy masz na dysku C:\Windows\system32\inetcomm.dll To może być nie powiązane wcale z tematem głównym. Podejmowałeś próbę uruchomienia GMER, więc zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. .

Nie mam już danych, ani czy liternictwo na pewno pozostało zmienne, ani czy komendy wklepane bez błędu. Brak komunikatu i automatyczne przejście do nowej linii oznacza pomyślne wykonanie zadania. Jeśli sprawdzałeś to via "Notatnik" uruchomiony z linii komend, to metoda jest do niczego, bo nie pokazuje ukrytych. Metodę z Notatnikiem stosuję tylko do pobrania liter, usuwanie tą metodą ma bardzo krótkie nogi (nie widać wielu rzeczy). I znowu notepad. To nie jest dobra metoda w tym przypadku. Pytanie: czy Ty przypadkiem nie próbowałeś szukać pliku ... przez Notatnik? To oczywiście też odpada. Miałeś uruchomić regedit i wskazać plik. Plik powinien być inaczej w ogóle byś nie zalogował konta Agata. Pewnie po prostu nie widzisz pliku, bo nie masz wyłączonej opcji Ukrywaj chronione pliki systemu operacyjnego. A te co wyliczasz to zupełnie inny obiekt, C:\Users\Default (Użytkownicy to fałszywa nazwa nakładkowo wyświetlania plikiem desktop.ini) to matryca zakładania nowych kont. I ta operacja jest awykonalna z poziomu Trybu awaryjnego. Nie można zamontować rejestru, który jest już załadowany. No to sprawdź czy da się usunąć to w już załadowanym rejestrze. Uruchom regedit i wejdź do klucza: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Sprawdź czy da się skasować eebdeaccdfbeedc Czy mówisz o CMD Trybu awaryjnego czy CMD WinRE? .

Prócz infekcji na urządzeniu, w systemie kupa adware. 1. Przez Panel sterowania odinstaluj adware Bundled software uninstaller, Complitly, Delta toolbar, Protected Search 1.1, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, Viewpoint Media Player. Jeśli coś zwróci błąd, nie szkodzi, leć dalej: 2. Urządzenie ma być podpięte. Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=1373037930 HKCU\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=33953&st=home&tid=3546&ts=1363644749269&tguid=33953-3546-1363644650200-959201 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=1373037930 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=1373037930 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=1373037930 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=33953&tid=3546&ts=1363644749269&tguid=33953-3546-1363644650200-959201&st=chrome&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=1373037930 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=1373037930 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=33953&st=home&tid=3546&ts=1363644749269&tguid=33953-3546-1363644650200-959201 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=vltnew&from=vltnew&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=1366455997 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=vltnew&from=vltnew&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=0 SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=vltnew&from=vltnew&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=0 SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=vltnew&from=vltnew&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=0 SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=33953&st=bs&tid=3546&ts=1363644749269&tguid=33953-3546-1363644650200-959201&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=vltnew&from=vltnew&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=0 SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=120349&babsrc=SP_ss&mntrId=1CF11C6F653F903B SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=33953&st=bs&tid=3546&ts=1363644749269&tguid=33953-3546-1363644650200-959201&q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=120349&babsrc=SP_ss&mntrId=1CF11C6F653F903B SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=0 SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = BHO: Complitly - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\Wojtek\AppData\Roaming\Complitly\64\Complitly64.dll (SimplyGen) BHO-x32: Complitly - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\Wojtek\AppData\Roaming\Complitly\Complitly.dll (SimplyGen) Toolbar: HKLM - No Name - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - No File Toolbar: HKCU - No Name - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - No File FF Plugin-x32: @ei.VideoDownloadConverter_4z.com/Plugin - C:\Program Files (x86)\VideoDownloadConverter_4zEI\Installr\1.bin\NP4zEISB.dll (VideoDownloadConverter) FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin-x32: @viewpoint.com/VMP - C:\Program Files (x86)\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll () Task: {009C38CF-D6F9-4B86-8DB3-463FA5FFEFCE} - \Program aktualizacji online firmy InstallShield Software. No Task File Task: {0AFF3B88-5D8F-446C-8F75-2EBD0DC8005C} - System32\Tasks\{D8F5A6FD-114F-4547-BEB8-5F00B5662B7D} => G:\Download\cfosspeed-v650.exe No File Task: {25378259-25DB-460D-BA2E-895BDD1CCB32} - System32\Tasks\{739C6975-C9E6-4AC1-81D4-1A009DD24596} => C:\Users\Wojtek\AppData\Local\e-academy Inc\SecureDownloadManager\SecureDownloadManager.exe No File Task: {26A0FFFE-028E-452B-8D08-D1D9D820C297} - System32\Tasks\{A0A7E3DF-6C78-47CA-B931-51E25C75D967} => C:\Program Files (x86)\Mozilla Firefox\firefox.exe [2013-08-17] (Mozilla Corporation) Task: {335BD46B-563B-48ED-A15A-5AF24A315B33} - System32\Tasks\{159C5AD2-E12B-43BF-A328-CFE769D04955} => c:\program files (x86)\mozilla firefox\firefox.exe [2013-08-17] (Mozilla Corporation) Task: {3C1D1FBC-D4E1-4153-8B2E-3BF2DACADE64} - System32\Tasks\ProtectedSearch\Protected Search => C:\Program Files (x86)\Protected Search\ProtectedSearch.exe [2013-01-14] (Simplygen) Task: {54BB3138-1C82-45F3-9C97-86226F696E40} - System32\Tasks\{2759E921-AE3D-42D2-A496-339ED5BD53D0} => E:\Program Files (x86)\Dwarfs!\Dwarfs.exe No File Task: {68A94A54-2E4C-4FA5-B832-1FFB29F45E11} - System32\Tasks\{BAAD6AE8-4C8F-4849-A082-00168435ED31} => E:\instalki gier\Assassins Creed 2-skidrow-crack\NEW CRACK\serial_generator.exe No File Task: {68DDA1DE-A293-4271-85E3-39C4F558A7AF} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe No File Task: {6EE733F1-B9FF-4DCA-B1A7-C123071E07FF} - System32\Tasks\{64C74183-FECF-4015-9F65-BC348035522F} => N:\setup.exe No File Task: {7821C510-ADE6-41ED-B27B-53D2D51AB8F0} - System32\Tasks\EPUpdater => C:\Users\Wojtek\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe [2013-04-17] () Task: {85236802-FC87-4616-9C3C-C53802563CC9} - \Program aktualizacji online firmy Adobe. No Task File Task: {A846291A-1FA5-40F8-B513-3588F442A559} - System32\Tasks\{13096EA7-E36E-4689-BFE6-8F49B1BC38D4} => N:\setup.exe No File Task: {D0EA2D68-8DFC-40AB-802C-11241091472C} - System32\Tasks\{4D9DDE33-B491-4A41-9856-9EE875F0BF3C} => D:\Program Files (x86)\Mount&Blade Warband\mb_warband.exe No File Task: {DCE8433E-BCF9-4703-BCA6-BA24BA4BC4C4} - System32\Tasks\{966BA18A-7791-4F40-9228-19F26658DFB1} => E:\instalki gier\Assassins Creed 2-skidrow-crack\NEW CRACK\serial_generator.exe No File Task: {E96BBEBC-BEC9-4FB3-BB3B-BED985708C7F} - System32\Tasks\{0469D7A3-6063-4A56-B499-06AAD5DE3A43} => C:\Program Files (x86)\Mozilla Firefox\firefox.exe [2013-08-17] (Mozilla Corporation) Task: {EF19A3C1-9C64-4B25-8B54-D3226A07F794} - System32\Tasks\{A2972611-2F98-44EC-B578-5AF87B9A7B78} => C:\Program Files (x86)\Mozilla Firefox\firefox.exe [2013-08-17] (Mozilla Corporation) Task: {F28774D9-2575-4130-8196-FE60C78526C4} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe No File Task: {F3706AA0-2D47-4FA1-8C72-47C77A9554A2} - System32\Tasks\{76830C27-38DA-4F7E-9170-6792DC6A1B95} => D:\Program Files (x86)\Battlestations Pacific\Battlestations Pacific\battlestationspacific.exe No File HKCU\...\Run: [] - [x] ProxyServer: http=;ftp=;https=; S3 AtiDCM; \??\C:\Users\Wojtek\AppData\Local\Temp\atidcmxx.sys [x] S3 dump_wmimmc; \??\D:\Program Files (x86)\gPotato.eu\Rappelz\GameGuard\dump_wmimmc.sys [x] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] S3 LgBttPort; system32\DRIVERS\lgbtpt64.sys [x] S3 lgbusenum; system32\DRIVERS\lgbtbs64.sys [x] S3 LGVMODEM; system32\DRIVERS\lgvmdm64.sys [x] S3 NPPTNT2; \??\C:\Windows\system32\npptNT2.sys [x] U0 sr; S3 usbbus; system32\DRIVERS\lgx64bus.sys [x] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [x] S3 USBModem; system32\DRIVERS\lgx64modem.sys [x] C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Wojtek\*.exe C:\Users\Wojtek\*.dat C:\Users\Wojtek\AppData\Roaming\BabMaint.exe C:\Users\Wojtek\AppData\Roaming\B1Toolbar C:\Users\Wojtek\AppData\Roaming\BabSolution C:\Users\Wojtek\AppData\Roaming\Babylon C:\Users\Wojtek\AppData\Roaming\Dealply C:\Users\Wojtek\AppData\Roaming\eIntaller C:\Users\Wojtek\AppData\Roaming\eUpdate C:\Users\Wojtek\AppData\Roaming\OpenCandy C:\Users\Wojtek\AppData\Roaming\toolplugin C:\Users\Wojtek\AppData\Local\Google\Chrome CMD: del /q M:\*.lnk CMD: attrib /d /s -s -h M:\* CMD: rd /s /q M:\$RECYCLE.BIN CMD: rd /s /q M:\RECYCLER CMD: for /d %f in (C:\Users\Wojtek\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v NoDispScrSavPage /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v NoDispAppearancePage /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v NoDispCPL /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v NoVirtMemPage /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v DisableStatusMessages /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xb5 /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowe logi: skan FRST (bez Addition) + USBFix z opcji Listing. Dołącz plik fixlog.txt oraz log z AdwCleaner. .

Logi OTL już niepotrzebne (usuwam), prosiłam tylko o FRST. Ja nie mówię o domyślnej przeglądarce, tylko domyślnej wyszukiwarce w Google Chrome, aktualnie adware: Chrome: ======= CHR DefaultSearchURL: (Search the web) - http://search.fbdownloader.com/search.php?channel=msus200fbdgy6&q={searchTerms} CHR DefaultSuggestURL: (Search the web) - "suggest_url": "" W Google Chrome: Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzaj wyszukiwarkami > ustaw Google jako domyślną, a po tym skasuj z listy "Search the web". W logu obfita konfiguracja wykryta: FireFox: ======== FF ProfilePath: C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Firefox\Profiles\909u0o1v.default FF SelectedSearchEngine: Bing FF Homepage: hxxp://msn.gazeta.pl/msn/0,0.html?pc=UP97&ocid=UP97DHP FF Plugin: @adobe.com/FlashPlayer - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF Plugin: @adobe.com/ShockwavePlayer - C:\WINDOWS\system32\Adobe\Director\np32dsw_1168638.dll (Adobe Systems, Inc.) FF Plugin: @java.com/DTPlugin,version=10.17.2 - C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) FF Plugin: @java.com/JavaPlugin,version=10.17.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation) FF Plugin: @microsoft.com/WPF,version=3.5 - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.) FF Plugin HKCU: @unity3d.com/UnityPlayer,version=1.0 - C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS) FF SearchPlugin: C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Firefox\Profiles\909u0o1v.default\searchplugins\bingp.xml FF Extension: ftd - C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Firefox\Profiles\909u0o1v.default\Extensions\ftd@ftd.com.xpi FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ Skoro Firefoxa nie ma już, dokończ te resztki. Otwórz Notatnik i wklej w nim: CMD: rd /s /q "C:\Documents and Settings\Ja\Dane aplikacji\Mozilla" Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. vs. ==================== Processes (Whitelisted) =================== (Creative Technology Ltd.) C:\WINDOWS\system32\devldr32.exe (NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (PC Tools) C:\Program Files\Common Files\PC Tools\sMonitor\StartManSvc.exe () C:\WINDOWS\system32\PnkBstrA.exe (TeamViewer GmbH) C:\DOCUME~1\Ja\USTAWI~1\Temp\TeamViewer\Version8\tv_w32.exe Kolejno: proces sterowników Creative, aktualizator nVidia, PC Tools Registry Mechanic, PunkBuster, TeamViewer. .

W środowisku zewnętrznym liternictwo może być inne, a dlatego, że jest tu ukryta partycja rozruchowa "Zastrzeżone przez system", która otrzymuje pierwszą literę w WinRE, dlatego Windows jest widziany pod dalszą. Dodatkowo, jak mówię, FRST i tak stara się przetasować litery, by Windows był pokazany na C, więc z kolei "Zastrzeżoną" przesuwa pod Y: Drive y: (System Reserved) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[system with boot components (obtained from reading drive)] Nie w tym jednak problem. Problem jest w tym, że faktycznie Windows jest na innej partycji niż ten szczególny folder użytkownika. Konto jest zablokowane przez ten wpis startowy: HKCU\...\Run: [eebdeaccdfbeedc] - "C:\ProgramData\eebdeaccdfbeedc.exe" [x] Startup: D:\Users\Konto\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xuhevoboaparptyomwe.lnk ShortcutTarget: xuhevoboaparptyomwe.lnk -> D:\Users\Konto\AppData\Local\Temp\ewmoytprapaobovehux.bfg () Akcja: 1. Zastartuj do WinRE z płyty instalacyjnej. Uruchom Wiersz polecenia, wklep notepad, by upewnić się, że partycja z Windows to D:, a z folderem konta Agata to E:. Następnie wklep następujące komendy: rd /s /q E:\Users\Konto\AppData\Local\Temp del /q "E:\Users\Konto\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xuhevoboaparptyomwe.lnk" del /q D:\ProgramData\xuhevoboaparptyomwe.bat del /q D:\ProgramData\xuhevoboaparptyomwe.reg 2. W Wierszu polecenia wklep regedit. Podświetl gałąź HKEY_USERS. Z menu Plik > Załaduj gałąź rejestru i wskaż plik E:\Users\Konto\NTUSER.DAT. Przy pytaniu o nazwę roboczą wklep byle co, np. AGATA. Pojawi się klucz AGATA, wejdź tu: HKEY_USERS\AGATA\Software\Microsoft\Windows\CurrentVersion\Run Ze środka skasuj eebdeaccdfbeedc. Po kasacji podświetl HKEY_USERS i z menu Plik > Zwolnij gałąź rejestru. 3. Spróbuj zastartować do Windows w Trybie normalnym. Jeśli się uda, zrób nowy skan FRST (ma powstać też plik Additin). .

Skan z SystemLook nie jest potrzebny (i wstawiłaś tam błędne komendy, czyli komendy FRST), więc go usuwam. Wg skanu foldery są puste, a w kluczu Active Setup nie ma żadnego odnośnika do trojana. Zabierzmy się więc po prostu za usunięcie resztek: 1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 2. Otwórz Notatnik i wklej w nim: 2013-08-28 17:51 - 2013-08-27 14:38 - 00000000 ____D C:\Windows\SysWOW64\InstallDir 2013-08-28 17:17 - 2013-08-28 08:27 - 00000000 ____D C:\Users\Marta\AppData\Roaming\InstallDir DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab S3 13ABD630; \??\e:\temp marta\13ABD630.sys [x] S3 58905472; \??\e:\temp marta\58905472.sys [x] S3 BTMCOM; System32\Drivers\btmcom.sys [x] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [x] Reg: reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD / /d 0xb5 /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Log z AdwCleaner: nie rozumiem, to format TXT. Masz załączyć plik AdwCleanerS0.txt Log z MSSE: to format *.LOG a nie *.TXT. W załącznikach nie pozwalam na takie pliki. Albo zmień nazwę pliku ręcznie na .TXT albo przeklej do nowego pliku wyniki. .

Akcje zrobione, preferencje Google Chrome wyglądają OK. Kończąc sprawę czyszczenia śmieci: 1. Porządki po narzędziach. Przez SHIFT+DEL skasuj foldery: 2013-08-24 11:29 - 2013-08-24 11:29 - 00000000 ____D C:\FRST 2013-08-24 10:48 - 2013-08-24 10:55 - 00000000 ____D C:\AdwCleaner 2013-08-24 10:45 - 2013-08-24 10:45 - 00000000 ____D C:\Users\Ana\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Uruchom TFC - Temp Cleaner. 2. Wyczyść foldery Przywracania systemu: KLIK. Możesz posiłkować się tymi artykułami: KLIK / KLIK. PS. A "wywalanie sterownika ekranu" to jak mówiłam nowy temat na to przeznacz w styosowniejszym dziale. .

Dosłany rejestr nic nie wykazuje, za wyjątkiem faktu, że pliku SYSTEM (o który poprosiłam dodatkowo) nie da rady podmontować w moim rejestrze (błąd montowania). To sugeruje uszkodzenie rejestru. Proponuję cofnąć rejestr do stanu sprzed usuwania infekcji i uruchamiania ComboFix. Na dysku jest folder kopii rejestru utworzony przez ComboFix: 2013-08-06 20:28 - 2013-08-06 20:59 - 00000000 ____D C:\Windows\erdnt 1. Otwórz Notatnik i wklej w nim: RestoreErunt: cf Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Sprawdź czy jesteś w stanie zalogować konto, a jeśli tak, to zrób raporty spod Windows (z OTL i FRST). Dołącz plik fixlog.txt. .

Sprawdź ten Avast i podaj wyniki. Na razie żadnej zamiany AV nie polecam, musi być pewne że Avast jest lub nie problemem. Wyniki DMP nic konkretnego mi nie mówią: W załącznikach tylko TXT dopuszczalne. Nie śmieć sfałszowanymi rozszerzeniami. Przerzucam na serwis zewnętrzny. .

jupi, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, a nie post pod postem. Znów sklejam. Sprawdź czy problemów nie tworzy Avast. Testowo odinstaluj i podaj czy nadal Windows długo się uruchamia i wiesza. .