picasso

To przypuszczalnie nie jest problem infekcji, ale owszem, w Twoim systemie widać odpadki po instalacji adware/PUP, w tym ofensywny sterownik UCGuard (i to jedyny obiekt który ewentualnie mógłby skutkować opisywanymi objawami, reszta to głównie nieaktywne drobne śmieci). Wstępnie przeczyść z tych śmieci, a jeśli nie będzie wyników, przeniosę temat do stosowniejszego działu. Działania do przeprowadzenia:

Tak, wszystko wykonane. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

W tej sytuacji to wszystko z mojej strony. Urządzenia TAP będą wracać i nie można tego zablokować, dopóki siedzi obiekt startowy w Harmonogramie.

A czy to właśnie nie Comodo (i jego zabezpieczenia) jest tu winny? Nazwa sugeruje, że odwiedzasz nie to miejsce co należy. Ta konkretna ścieżka to nie jest folder tylko link symboliczny dla wstecznej kompatybilności, zabezpieczony przez uprawnienia celowo. Nie należy nic zmieniać. Upewnij się, że w opcjach folderów masz włączone pokazywanie ukrytych folderów i dopiero po tym wejdź do folderu C:\Users\Dawid B. Powinnaś tam widzieć dwa obiekty: Appdata (tu wchodzisz) oraz Dane aplikacji (to link do Appdata, to nas nie interesuje).

Otwórz Notatnik i wklej w nim: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "Desktop"="C:\\Users\\Diana\\Desktop" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "Desktop"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,44,00,65,00,73,00,6b,00,74,00,6f,00,70,00,00,00 EndRegedit: Reboot: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu. Przedstaw wynikowy fixlog.txt. Jeśli wszystko poprawnie się wykona, skasuj folder D:\Diana\Desktop. Rzecz jasna wcześniej wyciągnij z niego ewentualne potrzebne rzeczy.

Sugerowałam się obrazkiem z Process Hacker pokazującym usługę wuauserv w składzie. Czy to oznacza, że ta usługa nie jest w ogóle aktywna? Wymieniłam obie pro forma, lecz zaznaczyłam, że nowsza łata wypiera poprzednią, czyli powinieneś mierzyć w ściąganie tylko tej drugiej. Ale jeśli Windows Update nie jest aktywna, to problem może być innej natury. Tylko że to wyłączone Windows Update sugeruje mi, że może brakować także innych łat, które mogą coś polepszyć w systemie. W związku z tym włączyłabym usługę Windows Update i sprawdziła co się pokazuje do pobrania. Niemniej przy braku łaty KB3172605 wyszukiwanie może być bardzo powolne... Rzeczywiście, wczoraj nawet nie mogłam się dostać na niektóre linki, po czym się "naprawiło", ale akurat to pobieranie u mnie nadal nie działa. Skorzystaj z trzeciej metody tam umieszczonej, czyli Microsoft Update Catalog. Stronę musisz otworzyć w Internet Explorer, nie w Firefox. Do czego konkretnie zmierzasz, jakie wpisy i gdzie? W raportach nie ma żadnych śladów Kaspersky Total Security ani Emsisoft w rejestrze. Jedyny widoczny (i martwy) wpis rejestru pochodzi od ekspresowego skanera Kaspersky Security Scan, na dysku też jeden plik Emsisoft (ale już bez odnośników uruchomieniowych). Rekordy zawierające frazę "Emsisoft" to są wyciągi z Dziennika zdarzeń a nie rejestru. Tak więc pokaż konkretnie które wpisy masz na myśli. ps. Jeśli chodzi o "kosmetykę" wpisów szczątkowych widocznych w raporcie FRST, to popatrz do spoilera. To działanie podrzędne i nie zadane przeze mnie wcześniej, gdyż nie ma żadnego wpływu na problem zasadniczy.

Zappa Nie w tym przypadku: [01/08/2016 - 18:34:03 | RASHD] - C:\Autorun.inf [01/08/2016 - 18:34:04 | RASHD] - G:\Autorun.inf Veron POPRZEDNI KOMPUTER: Sprawy czyszczenia nieukończone, w raporcie FRST było więcej wpisów do interwencji od adware, tzn. polityki blokujące któreś ustawienia w Chrome, zanieczyszczony Firefox, usługa adware MustangService, niechciane instalacje PUP od Lenovo (tu nie ma komputera Lenovo tylko ASUS). Również immunizację USBFix z dysku C usunę, to ma skutki uboczne dla dysków lokalnych, a poza tym to ten rodzaj zabezpieczenia od dawna ma nikłą rolę, bo systemy Windows 7 z łatami i nowsze nie umożliwiają wykonania autorun.inf, infekcje stosują inne metody. Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-3872225513-4102284116-2658569052-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3872225513-4102284116-2658569052-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.piesearch.com/?type=sc&ts=1451822655&pid=etc0103&uid=9ed4e68e-014a-4f81-9fa2-ea14dbc02584 FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Madzia\AppData\Roaming\Mozilla\Firefox\Profiles\utsynkfr.default\extensions\deskCutv2@gmail.com => nie znaleziono S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer34.exe [235776 2015-12-15] (MustangService) S3 e1edc438-f640-4184-a443-d2a7c37a01dc; \??\C:\OA30\690b33e1-0462-4e84-9bea-c7552b45432a.sys [X] Task: {310BA02C-9380-48ED-8CAB-645720B6EB56} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\ProgramData\TempMoudleSet C:\Program Files (x86)\Lenovo C:\Users\Madzia\AppData\Local\Lenovo C:\Users\Madzia\Desktop\Magda\szkoła\Nowy folder\Skrót do praca z socjologii.lnk C:\Windows\System32\Tasks\Lenovo RemoveDirectory: C:\Autorun.inf EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus zostanie zdegradowany. Sugeruję w zamian wstawić uBlock Origin. Menu Historia > Wyczyść całą historię przeglądania. 3. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń wpis Metric Collection SDK (od niechcianej instalacji Lenovo).. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. KOMPUTER Z XP: Co masz na myśli mówiąc "+ pendrive nr 2"? FRST w ogóle nie skanuje pendrivów, od tego jest USBFix lub komendy w skryptach FRST. Działania na poziomie XP: 1. Odinstaluj Adobe AIR, Adobe Shockwave Player 12.1, HP Customer Participation Program 13.0, Java 8 Update 60. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Szymon\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\Szymon\DANEAP~1\PRICEF~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\BVRFVTD.job => rundll32.exe 0 C:\WINDOWS\system32\compobjk.dll Task: C:\WINDOWS\Tasks\PFExe.job => C:\Documents and Settings\Szymon\Ustawienia lokalne\Dane aplikacji\PriceFountain\pricefountain.exe Task: C:\WINDOWS\Tasks\SzymonStaplersFloatV2.job => rundll32 exe RejudgesAttaching dll S1 {fe331f63-d0ef-486b-89da-478e619996a9}Gt; system32\drivers\{fe331f63-d0ef-486b-89da-478e619996a9}Gt.sys [X] HKU\S-1-5-21-329068152-746137067-1644491937-1003\...\Run: [tsiVideo] => rundll32.exe C:\DOCUME~1\Szymon\USTAWI~1\Temp\mdi064.dll,dalmat SearchScopes: HKU\S-1-5-21-329068152-746137067-1644491937-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-329068152-746137067-1644491937-1003\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{0265E1E5-A74F-8601-9120-4A1B8ED37D9D} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PriceFountain DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Skype C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\All Users\Menu Start\Programy\PDFCreator\Licenses C:\Documents and Settings\Szymon\Dane aplikacji\PriceFountain C:\Documents and Settings\Szymon\Dane aplikacji\WindowsServices C:\Documents and Settings\Szymon\Ustawienia lokalne\Dane aplikacji\PriceFountain C:\Documents and Settings\Szymon\Ustawienia lokalne\Dane aplikacji\StaplersFloat C:\WINDOWS\system32\compobjk.dll EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\Szymon\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. 5. Jeśli masz zaprawiony jakiś drugi pendrive, wymagane kolejny log USBFix z opcji Listing zrobiony przy podpiętym pendrive.

W logu podanym powyżej jest definitywnie ustawiony zły profil jako domyślny (to nazwa tożsama z folderem, w opcjach Chrome jest inna nazwa wyświetlana), a folder ChromeDefaultData istnieje na dysku: Chrome: ======= CHR HomePage: ChromeDefaultData -> hxxp://google.pl/ CHR DefaultSearchKeyword: ChromeDefaultData -> lp CHR Profile: C:\Users\Dawid B\AppData\Local\Google\Chrome\User Data\ChromeDefaultData (i kupa rozszerzeń) Owszem, może to być jedyny widoczny profil (tak było też w kilku tematach z tym adware tu na forum) i może nawet zawierać "Twoje" dane (wystąpiła synchronizacja z serwerem Google), tylko że to na pewno nie jest profil utworzony przez Chrome. Chrome domyślnie tworzy profil w folderze "Default" (to też masz na dysku, ale to wygląda na martwy folder), a w przypadku tworzenia kolejnych "Profile Numer". Natomiast folder o nazwie "ChromeDefaultData" wstawia adware. Twój opis sugeruje mi, że na serwerze Google możesz mieć ten cały profil skopiowany i będzie ładowany w kółko podczas synchronizacji. Dlatego też instruowałam, by eksportować zakładki ręcznie, następnie utworzyć zupełnie nowy profil, bo to rozwiązuje zależność synchronizacyjną. Proponuję zrobić jeszcze raz taką operację: 1. CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Zresetuj synchronizację: KLIK. 2. Odinstaluj całkowicie Google Chrome, przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. Po deinstalacji przez SHIFT+DEL (omija Kosz) skasuj całkowicie z dysku poniższy folder: C:\Users\Dawid B\AppData\Local\Google 3. Zainstaluj Chrome od nowa, zaimportuj zakładki, zainstaluj ręcznie po kolei wybrane potrzebne rozszerzenia. Synchronizację z serwerem Chrome włączysz później, gdy będzie potwierdzone, że poprzednie dane z serwera zostały rzeczywiście wyzerowane. 4. Dla potwierdzenia nowy log FRST.txt.

O ile Cię dobrze rozumiem: - Ta akcja z Chrome została wykonana już po zrobieniu podanych powyżej raportów FRST? - Profil usunięty "na żywca" z dysku a nie via opcje przeglądarki? Mi chodziło mi o usuwanie profilu w opcjach Chrome, bo to poprawniejsza metoda niż brutalne usuwanie folderu profilu z dysku. Na wszelki wypadek poproszę o świeży log FRST.txt (bez Addition i Shortcut) mający obrazować te zmiany w profilach Chrome.

Czy w ogóle były wykonywane jakieś operacje? Nie przedstawiłaś pliku Fixlog.txt oraz nadal widzę w Google Chrome ustawiony jako domyślny niepożądany profil ChromeDefaultData. Nic konkretnego dla Chrome nie przychodzi mi teraz do głowy. Niestety wiele "downloaderów" podobnego typu w Chrome Web Store budzi zastrzeżenia. Ten typ programów jest po prostu dobrą bazą dla forsowania adware, reklam i podobnych, gdyż jest duże zapotrzebowanie na taki typ aplikacji.

Ja się jednak obawiam, że ta "naprawa" XP z płyty zdewastowała dużo więcej i są większe niezgodności oraz braki, a może i uszkodzenia też. Np. w wynikach Fixlog kolejne błędy przy wykonywaniu komend netsh "Klasa niezarejestrowana"... Nie za bardzo wiem co poradzić, bo pole manewru wygląda na ograniczone.

Przyjrzałam się jeszcze raz na logi. Te urządzenia TAP wyglądają na pochodną cracka aktywacji, który jest w Harmonogramie zadań: Task: {B9BE3B91-44AB-47CF-A612-EF836D8A4CCE} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe [2015-12-28] () O tym cracku m.in. w tym temacie: KLIK. Decyduj co robimy, czy usuwamy crack w całości.

Czy wyniki Centrum zabezpieczeń pokazane na obrazku na pewno są aktualne? FRST twierdzi, że obecnie nie ma żadnej rejestracji programów antywirusowych we WMI - goło: ==================== Centrum zabezpieczeń ======================== (Załączenie wejścia w fixlist spowoduje jego usunięcie.) I wg raportu odinstalowałeś G Data na rzecz 360 Total Security i Zone Alarm, żaden z nich nie jest wykryty w Centrum, a dlaczego to zaraz się wypowiem. Windows Defender zintegrowany w systemie Windows 10 automatycznie samodzielnie się deaktywuje, gdy jest instalowany program zewnętrzny. Z tym że tu jest problem z tym, iż programy nie są rejestrowane we WMI i nie widać ich w Centrum.... Rejestracje programów w Centrum nie są poprawnie prowadzone, a Pomoc IP (zależna od usłuigi Instrumentacja Windows) nie chce się uruchomić, gdyż jest jakiś problem z funkcjonowaniem WMI. W Dzienniku zdarzeń następujący błąd: Dziennik Aplikacja: ================== Error: (08/09/2016 06:27:39 PM) (Source: SecurityCenter) (EventID: 3) (User: ) Description: Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić zapytań dotyczących zdarzeń z usługi WMI, aby monitorować program antywirusowy, program antyszpiegowski i zaporę innej firmy. Poproszę o raport diagnostyczny z WMI Diagnosis Utility. Skrypt należy uruchomić jako Administrator, czyli po rozpakowaniu narzędzia do jakiegoś folderu w krótkiej ścieżce dostępu i bez spacji: klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklep ścieżkę do pliku WMIDiag.vbs i ENTER. Wynikowemu raportowi zmień ręcznie rozszerzenie z *.log na *.txt, by wszedł w załączniki.

Komentując Fixlog: wklejałeś do Notatnika niedokładnie, "ucięło" Ci literę w pierwszej komendzie zabijania procesów, dlatego się nie wykonała. Jeśli rzecz o reszcie, to nie ma śladów wykonania punktu 3, nadal widać strony adware w Google Chrome: CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=sy&ts=1435597077&z=8afcf42752125a84e138084g5zac3w0w7t7m1e5m1w&from=smt&uid=ST500DM002-1BD142_Z6E4GE59XXXXZ6E4GE59 CHR StartupUrls: Default -> "hxxp://search.conduit.com/?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M486E8DD3-338A-4D2F-8481-5A54586888CF&SearchSource=55&CUI=&UM=5&UP=SP5B546ED7-912D-4C4B-9B30-ED04FEBB673E&SSPV=","hxxp://www.oursurfing.com/?type=hp&ts=1435597040&z=af967304df28f82b50eaf49gbz7c5wcwbtbmaeaccb&from=smt&uid=ST500DM002-1BD142_Z6E4GE59XXXXZ6E4GE59","hxxp://www.oursurfing.com/?type=hppp&ts=1435597077&z=8afcf42752125a84e138084g5zac3w0w7t7m1e5m1w&from=smt&uid=ST500DM002-1BD142_Z6E4GE59XXXXZ6E4GE59" 1. Wdróż punkt z czyszczeniem Google Chrome. 2. Przez SHIFT+DEL (omija Kosz) skasuj te puste skróty z dysku: C:\Users\mentol\Desktop\skan\ComboFix - Shortcut.lnk C:\Users\mentol\Desktop\skan\ComboFix - Shortcut (2).lnk C:\Users\mentol\AppData\Roaming\Microsoft\Word\PEWNIAKI%20EGZAMIN305282680747599287\PEWNIAKI%20EGZAMIN.docx.lnk Z folderu "skan" także FRST i jego logi oraz ewentualnie inne pobrane wcześniej narzędzia usuwające. 3. A na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

To nie koniec zadań. Proszę dostarcz wynikowe logi potwierdzające operacje:

Wbrew pozorom to bardzo prymitywna infekcja, działa w oparciu o dwa wpisy (Harmonogram zadań + wpis Run). Kombinowałeś sporo, wliczając uruchomienie ComboFix, co było za ciężkim zadaniem w stosunku do wagi infekcji. Poza tym, wygląda na to że uruchamiałeś jakiś skrypt do FRST (pewnie pod cudzy przypadek) i to aż 4 razy, bo są nagrane 4 punkty Przywracania pochodzące z komendy w skryptach FRST... Skrypty z innych tematów nie będą działać, a można też uszkodzić sobie system. Działania do przeprowadzenia: 1. Odinstaluj starą niebezpieczną wersję Adobe Flash Player 10 ActiveX. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3502765815-1476509878-803485157-1000\...\Run: [mentol] => explorer.exe hxxp://kb-ribaki.org <===== ATTENTION Task: {0806F485-DF2B-4BAD-9389-EF7AA8F707FE} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-08-10] (AVAST Software) Task: {237D854E-51D4-47A6-A7D2-12C6EEC9D6B8} - \mentol -> No File <==== ATTENTION Task: {73593C5D-0497-4BE6-8BE6-60741742347E} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKU\S-1-5-21-3502765815-1476509878-803485157-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKU\S-1-5-21-3502765815-1476509878-803485157-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3502765815-1476509878-803485157-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={1707ADCF-42A9-4ACD-9C05-7B80B920D146}&mid=3015cc824ed947cc88e46d16b21eab62-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0516pi&pr=fr&d=2016-08-02%2018:29:24&v=4.3.2.18&pid=wtu&sg=&sap=hp CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=sy&ts=1435597077&z=8afcf42752125a84e138084g5zac3w0w7t7m1e5m1w&from=smt&uid=ST500DM002-1BD142_Z6E4GE59XXXXZ6E4GE59 CHR StartupUrls: Default -> "hxxp://search.conduit.com/?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M486E8DD3-338A-4D2F-8481-5A54586888CF&SearchSource=55&CUI=&UM=5&UP=SP5B546ED7-912D-4C4B-9B30-ED04FEBB673E&SSPV=","hxxp://www.oursurfing.com/?type=hp&ts=1435597040&z=af967304df28f82b50eaf49gbz7c5wcwbtbmaeaccb&from=smt&uid=ST500DM002-1BD142_Z6E4GE59XXXXZ6E4GE59","hxxp://www.oursurfing.com/?type=hppp&ts=1435597077&z=8afcf42752125a84e138084g5zac3w0w7t7m1e5m1w&from=smt&uid=ST500DM002-1BD142_Z6E4GE59XXXXZ6E4GE59" DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^FAH.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Update Notifier.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Windows\pss\FAH.lnk.CommonStartup C:\Windows\pss\Update Notifier.lnk.CommonStartup C:\Windows\system32\Drivers\MBAMSwissArmy.sys C:\Windows\system32\Drivers\mbamchameleon.sys C:\Windows\SysWOW64\prod-pgm.vpx C:\Windows\SysWOW64\servers.def C:\Windows\SysWOW64\servers.def.lkg C:\Windows\SysWOW64\servers.def.vpx RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\$AVG RemoveDirectory: C:\SUPERDelete RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Program Files (x86)\Windows Loader RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\ProgramData\Avg RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable) RemoveDirectory: C:\ProgramData\MFAData RemoveDirectory: C:\Users\Default\AppData\Roaming\TuneUp Software RemoveDirectory: C:\Users\mentol\AppData\Local\Avg RemoveDirectory: C:\Users\mentol\AppData\Local\AvgSetupLog RemoveDirectory: C:\Users\mentol\AppData\Local\MFAData RemoveDirectory: C:\Users\mentol\AppData\Roaming\AVG RemoveDirectory: C:\Users\mentol\AppData\Roaming\TuneUp Software RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z preferencji adware: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition ale z brakującym Shortcut. Dołącz też plik fixlog.txt.

Wg Fixlog wykonała się tylko pierwsza komenda zabijania procesów i nic poza tym. Spróbuj wykonać skrypt ograniczony do: swMSM (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) CustomCLSID: HKU\S-1-5-21-1644491937-117609710-682003330-1003_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\Górski\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll (GG Network S.A.) CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Documents and Settings\All Users\Dane aplikacji\Adobe C:\Documents and Settings\All Users\Dane aplikacji\GG C:\Documents and Settings\Górski\Dane aplikacji\GG C:\Documents and Settings\Górski\Dane aplikacji\Mozilla C:\Documents and Settings\Górski\Ulubione\GG dysk*.lnk C:\Documents and Settings\Górski\Ustawienia lokalne\Dane aplikacji\GG C:\Program Files\Mozilla Firefox C:\Program Files\Common Files\Adobe Skrypt ten odkryje też wejście swMSM na liście zainstalowanych. Spróbuj normalnie odinstalować ten odpadek.

Co masz na myśli z usuwaniem "FRST i jego logów"? To już wykonał DelFix. Natomiast mnie chodziło tylko o ten wynik ze skanu Hitman: C:\Users\Fig\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2ANTUED9\FRST64[1].exe

Wszystko wykonane, czyli teraz do usunięcia kolejne szczątki, w tym Firefox i GG Dysk. 1. Uruchom Program Install and Uninstall Troubleshooter. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis po deinstalacji Adobe swMSM > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) CustomCLSID: HKU\S-1-5-21-1644491937-117609710-682003330-1003_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\Górski\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll (GG Network S.A.) CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Documents and Settings\All Users\Dane aplikacji\Adobe C:\Documents and Settings\All Users\Dane aplikacji\GG C:\Documents and Settings\Górski\Dane aplikacji\GG C:\Documents and Settings\Górski\Dane aplikacji\Mozilla C:\Documents and Settings\Górski\Ulubione\GG dysk*.lnk C:\Documents and Settings\Górski\Ustawienia lokalne\Dane aplikacji\GG C:\Program Files\Mozilla Firefox C:\Program Files\Common Files\Adobe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Powinien nastąpić restart. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne. Foldery GG Dysku z C:\Documents and Settings\Górski dokasuj już ręcznie (po sprawdzeniu czy nie ma w nich nic do zachowania).

Strona usunwirusa.pl to niewiarygodne źródło informacji! To jedna z owych stron nastawionych na wmanipulowanie w instalację lewych programów jako "cudownego środka" na wszystkie infekcje jak leci. Z tego co widzę wcześniej był to SpyHunter, teraz kolejne niepożądane softy ReImage oraz Plumbytes Anti-Malware, a przy okazji wycierają sobie gębę MBAM. Tego typu strony, a jest ich znacznie więcej, to prawdziwa plaga Google. Są one wysoko pozycjonowane i użytkownik szukając informacji o usuwaniu infekcji niestety trafia na nie w pierwszej kolejności. To jeden z powodów dla którego w co drugim logu tutaj jest widoczny SpyHunter lub ślady po jego pobycie. Ze Skype nie wiem o co chodzi, w jakich warunkach samodzielnie się uruchamiał. Niemniej ten Bitcoin miner to mi jednak wygląda na zainstalowany ręcznie, z jakiegoś "setupu". Nawet znalazłam w jednym z wirtualnych sandboxów taki plik aplikujący podobną wersję (tylko inna ścieżka dostępu, nie folder AVAST): KLIK. Tak, wyniki PunkBuster to typowy widok w skanie Hitman i do zignorowania. Wykryta kopia FRST w Tymczasowych plikach internetowych to także fałszywy alarm, ale to można dla porządku usunąć, podobnie jak drobny wynik związany z ciastkami. DelFix wykonał zadanie, skasuj z dysku plik C:\delfix.txt. To wszystko.

Jeśli chodzi o te urządzenia, to ja już usuwałam powiązany sterownik w skrypcie FRST (wyglądał mi na odpadek, jakoś nie widzę skorelowanego oprogramowania na liście): R3 tapoas; C:\Windows\System32\drivers\tapoas.sys [30720 2012-07-15] (The OpenVPN Project) W związku z tym co widać w menedżerze, spróbuj odinstalować wszystkie widoczne urządzenia "TAP" + restart systemu.

Skrypt FRST pomyślnie wykonany. Na koniec usuń FRST i jego logi z podfolderu na Pulpicie. Następnie DelFix i czyszczenie folderów Przywracania systemu: KLIK. Wielkie dzięki!

Tak, oczywiście standardowe kroki końcowe. Przez SHIFT+DEL (omija Kosz) skasuj FRST i jego logi z folderu D:\Logi. Następnie DelFix i czyszczenie folderów Przywracania systemu: KLIK.

Dostarczony raport potwierdza brak widocznych oznak infekcji. Jak mówiłam, przy braku danych pierwotnych mogę tylko spekulować że prawdopodobnie wystąpił jakiś fałszywy alarm. Możesz wykonać poboczne działania: 1. Odinstaluj Dropbox (wkrótce kompletnie przestanie działać na XP) oraz NVIDIA ForceWare Network Access Manager (problematyczny stary firewall nVidia). Za to do aktualizacji te programy: Adobe Flash Player 17 ActiveX, Adobe Reader XI (11.0.08), Internet Explorer 6, Java 8 Update 31. Wszystko jest w przyklejonym: KLIK. 2. Skrypt "kosmetyczny" usuwający szczątki, niepodpisane cyfrowo rozszerzenia i inne drobnostki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] HKLM\...\Run: [nTrayFw] => C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe SearchScopes: HKU\S-1-5-21-1957994488-1450960922-1417001333-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM\...\Firefox\Extensions: [pdf_architect_2_conv@pdfarchitect.org] - C:\Program Files\PDF Architect 2\resources\pdfarchitect2firefoxextension FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CHR HKLM\...\Chrome\Extension: [daanglpcpkjjlkhcbladppjphglbigam] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-05-03] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Documents and Settings\All Users\Menu Start\Programy\PDFCreator\Licenses C:\WINDOWS\*.tmp C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: netsh firewall reset CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Skutki uboczne to redukcja aktualizacji, widoczne zdegradowanie zintegrowanej przeglądarki Internet Explorer do wersji 6, o czym już wyżej wspominam. Po instalacji IE8 należy uruchomić Windows Update i uzupełnić resztę. Druga sprawa, to seria błędów które nie wiem do czego podpiąć, czy to aby nie są też skutki tego "nadpisania" XP, oraz czy conajmniej błędy BITS są nadal aktualne: ==================== Punkty Przywracania systemu ========================= Niepowodzenie przy listowaniu punktów przywracania Sprawdź usługę "winmgmt" lub napraw WMI. Dziennik System: ============= Error: (08/08/2016 08:54:53 PM) (Source: DCOM) (EventID: 10005) (User: MISIEK) Description: Model DCOM odebrał błąd „%%1083 = Program wykonywalny, w którym ta usługa (zgodnie z jej konfiguracją) ma być uruchomiona, nie implementuje usługi.” podczas próby uruchomienia usługi BITS z argumentami „” w celu uruchomienia serwera: {4991D34B-80A1-4291-83B6-3328366B9097}

Podobnie jak w przypadku reszty tematów ze zgłoszeniami tej planszy, nie widać tu żadnych oznak infekcji. W tej sytuacji nie widzę innej drogi, niż próba wymuszenia zmiany IP. Poboczne działania, tzn. usunięcie starych programów, wpisów odpadkowych oraz czyszczenie Tempów. 1. Deinstalacje: - Odinstaluj stare niebezpieczne wersje (ryzyko infekcji szyfrującej dane): Adobe Flash Player 11 Plugin, Adobe Flash Player 14 ActiveX, Adobe Reader X (10.1.11), Adobe Shockwave Player 11.6, Java™ 6 Update 31. Najnowsze wersje linkowane w przyklejonym, ale przeczytaj wątek o ograniczaniu wsparcia dla XP: KLIK. - Należy wymienić Avast i Firefox najnowszymi wersjami. - Możesz też odinstalować zbędne programy Bonjour, HP Customer Participation Program 9.0, Pando Media Booster. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [42272 2014-04-27] (AVG Technologies) S3 USBAAPL; System32\Drivers\usbaapl.sys [X] HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-21-1644491937-117609710-682003330-1003\...\Run: [Flvto Youtube Downloader] => "D:\Documents and Settings\Górski\Ustawienia lokalne\Dane aplikacji\Flvto Youtube Downloader\FlvtoYoutubeDownloader.exe" /minimize Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Brak pliku FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff FF HKLM\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files\Hewlett-Packard\SmartPrint\QPExtension => nie znaleziono FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2014-05-26] SearchScopes: HKU\S-1-5-21-1644491937-117609710-682003330-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Górski^Menu Start^Programy^Autostart^Rejestracja FIFA 11.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AQQ DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesHelper DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPDLR DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NokiaSuite.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\screenSHU DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Steam C:\Documents and Settings\All Users\Dane aplikacji\Skype C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{F52E62F6-6FF8-409F-A76E-9107918104E4} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{ADEC9BF6-1CAF-44F8-81A8-CA81B9805690} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{92C012C9-23E5-40D6-8982-DF9039022E03} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{852A6264-8428-4F64-9BFC-DD3AE490243A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3CD7488D-4A0B-4F10-BC65-6B6818B32C8E} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3CD7488D-4A0B-4F10-BC65-6B6818B32C8E} C:\Documents and Settings\All Users\Menu Start\Programy\Minecraft PC Gamer Demo C:\Documents and Settings\Górski\Dane aplikacji\PnkBstrK.sys C:\Documents and Settings\Górski\Dane aplikacji\Opera C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Documents and Settings\Górski\Menu Start\Programy\YaTQA.lnk C:\Documents and Settings\Górski\Ustawienia lokalne\Dane aplikacji\Opera C:\Program Files\Opera C:\Program Files\Skype C:\Program Files\Common Files\WireHelpSvc.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\Rejestracja FIFA 11.lnkStartup C:\WINDOWS\system32\drivers\avgtpx86.sys Folder: C:\start CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. I jeszcze pytanie czy można usunąć (martwy już) GG dysk. Jeśli coś w nim jest potrzebnego, przekopiuj gdzieś, a potem dokasuję jego elementy zrejestru i dysku.