picasso

Tak, katastrofa z antywirusami, zainstalowane adware oraz odpadki po instalacji IOBit. Następujące akcje do wykonania: 1. Wejdź w Tryb awaryjny i zastosuj firmowy usuwacz Panda Generic Uninstaller. 2. Przejdź z powrotem w Tryb normalny. Poprzez Panel sterowania odinstaluj: - Adware/PUP: Amazon Assistant, Booking.com version 1.1.0.5019, SafeFinder, Update for PriceFountain, WarThunder, WinThruster. - Pozostałe: Adobe Shockwave Player + Authorware Web Player, Java 8 Update 77, SUPERAntiSpyware. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Zathtone.dll => C:\ProgramData\Quotenamron\Zathtone.dll [257536 2016-04-21] () S4 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2724128 2015-01-16] (IObit) S4 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe [1017344 2016-04-21] () [brak podpisu cyfrowego] S2 rtop; "C:\Program Files\ByteFence\rtop\bin\rtop_svc.exe" [X] Task: {5EC6C11E-9EAF-4162-81CF-E5146F93D9C0} - System32\Tasks\DistromaticSearchProtect-logon => C:\Program Files (x86)\Amazon Browser Settings\AmznSearchProtect.exe [2016-04-20] (Distromatic) Task: {9012A5E0-8F23-444E-BB4F-90C770B9FB52} - System32\Tasks\DistromaticSearchProtect-hourly => C:\Program Files (x86)\Amazon Browser Settings\AmznSearchProtect.exe [2016-04-20] (Distromatic) Task: {B912689A-D8BB-416B-914A-A93E4B41CEB3} - System32\Tasks\Driver Booster SkipUAC (admin) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {BB8BF0FC-9FD6-4F09-9E1D-FB925CFAD18A} - System32\Tasks\adminTrowCatkinV2 => Rundll32.exe AdministratricesAlms.dll,main 7 1 Task: {C626D32D-649F-4B8D-8990-C6A84CE015A8} - System32\Tasks\DistromaticUpdater-periodic => C:\Program Files (x86)\Amazon Browser Settings\updater.exe [2016-04-20] (Distromatic) Task: {C76C41EB-442C-4804-84DF-B1AF61CFE600} - System32\Tasks\{02A4C830-93E9-550B-DF07-2212D2B65170} => C:\Users\admin\AppData\Roaming\PriceFountainUpdateVer\syncversion.exe [2013-05-01] () Task: {F515DA5D-B244-4271-A5F8-AE402E5F5A9E} - System32\Tasks\DistromaticUpdater-logon => C:\Program Files (x86)\Amazon Browser Settings\updater.exe [2016-04-20] (Distromatic) Task: C:\Windows\Tasks\ByteFence Scan.job => C:\Program Files\ByteFence\ByteFence.exe Task: C:\Windows\Tasks\Norton 8M.job => C:\Program Files (x86)\Norton Security\Engine64\22.5.4.24\uiStub.exe Task: C:\Windows\Tasks\WarThunder sat.job => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe}hxxp:/mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy/ Task: C:\Windows\Tasks\WarThunder sun.job => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe}hxxp:/mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy/ Task: C:\Windows\Tasks\WarThunder05.job => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe}hxxp:/mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy/ Task: C:\Windows\Tasks\WarThunder24.job => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe}hxxp:/mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy/ Task: C:\Windows\Tasks\{02A4C830-93E9-550B-DF07-2212D2B65170}.job => C:\Users\admin\AppData\Roaming\PRICEF~1\SYNCVE~1.EXE GroupPolicyScripts-x32: Ograniczenia HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOCee0yRPAwrv_jK62Njfiz5lPQf1U7ejQ8FmGXvRcoNg18gQHte48rm697QpOyY4iBaPQrTknueNjlCkLN7lMTaFsIaPXAr1movn9RXgngg09PV0vfaKpMMjdi652GynY7MvtJCWv-I1cos_AvUk_yyhQ_vjh7&q={searchTerms} HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOCee0yRPAwrv_jK62Njfiz5lPQf1U7ejQ8FmGXvRcoNg18gQHte48rm697QpOyY4iN8MNwZqxJ1OJiSYHbgr_JRQl9BmeqAvl3Uq3I_zKJ_3LMW4YlyouVMINVT6fuaDlMz2VQ4R9QQKUu0TFpGkiykE9n5YfP HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOCee0yRPAwrv_jK62Njfiz5lPQf1U7ejQ8FmGXvRcoNg18gQHte48rm697QpOyY4iBaPQrTknueNjlCkLN7lMTaFsIaPXAr1movn9RXgngg09PV0vfaKpMMjdi652GynY7MvtJCWv-I1cos_AvUk_yyhQ_vjh7&q={searchTerms} HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOCee0yRPAwrv_jK62Njfiz5lPQf1U7ejQ8FmGXvRcoNg18gQHte48rm697QpOyY4iBaPQrTknueNjlCkLN7lMTaFsIaPXAr1movn9RXgngg09PV0vfaKpMMjdi652GynY7MvtJCWv-I1cos_AvUk_yyhQ_vjh7&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOCee0yRPAwrv_jK62Njfiz5lPQf1U7ejQ8FmGXvRcoNg18gQHte48rm697QpOyY4iBaPQrTknueNjlCkLN7lMTaFsIaPXAr1movn9RXgngg09PV0vfaKpMMjdi652GynY7MvtJCWv-I1cos_AvUk_yyhQ_vjh7&q={searchTerms} SearchScopes: HKU\S-1-5-21-1693114668-2537149228-3336235061-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOCee0yRPAwrv_jK62Njfiz5lPQf1U7ejQ8FmGXvRcoNg18gQHte48rm697QpOyY4iBaPQrTknueNjlCkLN7lMTaFsIaPXAr1movn9RXgngg09PV0vfaKpMMjdi652GynY7MvtJCWv-I1cos_AvUk_yyhQ_vjh7&q={searchTerms} SearchScopes: HKU\S-1-5-21-1693114668-2537149228-3336235061-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOCee0yRPAwrv_jK62Njfiz5lPQf1U7ejQ8FmGXvRcoNg18gQHte48rm697QpOyY4iBaPQrTknueNjlCkLN7lMTaFsIaPXAr1movn9RXgngg09PV0vfaKpMMjdi652GynY7MvtJCWv-I1cos_AvUk_yyhQ_vjh7&q={searchTerms} CHR HomePage: Default -> amazon.com/websearch/?ie=UTF8__PARAM__ CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&publisherid=51218&publisher=extensiondefaultap&st=ed&q={searchTerms} CHR DefaultSearchKeyword: Default -> SafeFinder CHR HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ooebgdicanjhnamfmdlmlbcnkgehkkmf] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbjikboenpfhbbejgkoklgkhjpfogcam] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-04-23] CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\!SASCORE DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\hpsrv DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\LiveUpdateSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PandaAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Quotenamron DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Advanced SystemCare 8 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PSUAMain DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sidebar DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Skype DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\7-Zip C:\Program Files (x86)\Amazon Browser Settings C:\Program Files (x86)\IObit C:\Program Files (x86)\Opera C:\Program Files (x86)\WinThruster C:\Program Files (x86)\mozilla firefox\browser\searchplugins C:\ProgramData\NortonInstaller C:\ProgramData\Quotenamron C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Booking.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinThruster C:\Users\admin\AppData\Local\Opera Software C:\Users\admin\AppData\Local\TrowCatkin C:\Users\admin\AppData\Roaming\*.* C:\Users\admin\AppData\Roaming\Opera Software C:\Users\admin\AppData\Roaming\PriceFountainUpdateVer C:\Users\admin\AppData\Roaming\Solvusoft C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\ByteFence C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\admin\Desktop\WinThruster_2016_Setup.exe C:\Users\admin\Desktop\instalki\Booking.com.lnk C:\Users\admin\Desktop\instalki\WarThunder.lnk C:\Users\admin\Desktop\instalki\WinThruster.lnk C:\Users\admin\Desktop\starv\Dont.Starve.Build.20151202.Incl.2DLCs\data\data - Shortcut.lnk C:\Windows\system32\roboot64.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Amazon Smart Search, o ile nadal będzie widoczny. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Bez raportów nie jestem w stanie pomóc. Sprawdź czy coś pomoże próba uruchomienia FRST z poziomu Trybu awaryjnego Windows.

Akcja wykonana pomyślnie. Kończymy: 1. Uruchom narzędzie Fix-it usuwające drobny błąd WMI z Dziennika zdarzeń: KLIK. 2. Przez SHIFT+DEL (omija Kosz) skasuj folder E:\FRST64. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji systemowy Internet Explorer. Posiadasz starą niewpieraną już wersję IE9. Należy zainstalować IE11, pomimo że używasz tylko Firefoxa. Link do instalatora także w w/w linku. Po instalacji sprawdź też czy posiadasz wszystkie łatki z Windows Update.

Skoro nie było widać rozszerzenia, to usuń jeszcze folder rozszerzenia z dysku. Czyli ostatni skrypt do FRST: RemoveDirectory: C:\Users\Przemo\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Problem rozwiązany. Końcowe mini poprawki: 1. W tym starym profilu, który właśnie zaimplementowałeś, były następujące rozszerzenia, które należy odinstalować: CHR Extension: (Aktualizacja dodatku Flash) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ekjjdohpclmnphcgdgdmhoikilfcaabe [2016-05-24] Mocno podejrzane, nie ma czegoś takiego w Chrome Web Store. CHR Extension: (PoE Helper) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\lpdnfedfopfbealaokkpjbngaphfceoi [2014-11-18] [updateUrl: hxxps://raw.github.com/njs50/poe_ext/master/poe_updates.xml] Bardzo stare rozszerzenie, które Chrome na pewno odrzuca, bo obecnie jest blokada w przeglądarce uniemożliwiająca instalację rozszerzeń spoza Chrome Web Store. Jeśli potrzebujesz nowej wersji, to jest dostępna: Path of Exile Inventory Helper. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-543564396-1890180113-2280842612-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\Mateusz\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 1 Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

Wszystko pomyślnie zrobione, problem rozwiązany. Drobne korekty: 1. W Operze: Ustawienia > karta Rozszerzenia > odinstaluj AS Magic Player pozostawiony po deinstalacji Ace Stream Media. 2. Jeśli Alcohol został usunięty, to należy pozbyć się też sterownika SPTD posługując się narzędziem SPTDinst: KLIK. 3. Otwórz Notatnik i wklej w nim: FF HKU\S-1-5-21-3441687360-914018952-2576187937-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Przemo\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => nie znaleziono S3 avchv; system32\DRIVERS\avchv.sys [X] C:\Windows\system32\LavasoftTcpService64.dll C:\Windows\system32\LavasoftTcpServiceOff.ini C:\Windows\SysWOW64\LavasoftTcpService.dll C:\Windows\SysWOW64\LavasoftTcpServiceOff.ini RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Przemo\AppData\Roaming\.ACEStream RemoveDirectory: C:\Users\Przemo\AppData\Roaming\ACEStream RemoveDirectory: C:\Users\Przemo\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

Problem podstawowy objaśniony szczegółowo. Niewiele mam do dodania. W raportach nie widać żadnej dodatkowej infekcji, ale możesz doczyścić odpadkowe wpisy po odinstalowanych programach, w tym majdan od Firefoxa: 1. Zresetuj cache wtyczek Google Chrome, by usunąć martwe wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ProxyServer: [s-1-5-21-2304537269-2391276559-412557570-1000] => http=127.0.0.1:4444;https=127.0.0.1:4445 SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FirewallRules: [{02D13420-FAAF-490F-9255-BF31909D516D}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MozillaMaintenance DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Sony PC Companion DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUS Screen Saver Protector DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CLMLServer DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UpdateLBPShortCut DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UpdateP2GoShortCut DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Users\ZST2\AppData\Local\Mozilla RemoveDirectory: C:\Users\ZST2\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite C:\Windows\Minidump\fdxryrb EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe skany FRST nie są mi potrzebne.

Tak, to wszystko. Jeśli nie ma innych problemów w systemie, temat będziemy zamykać.

1. Nie widzę oznak wykonania tych operacji, nadal te same programy na liście zainstalowanych oraz wyliczane rozszerzenia w Chrome: Do wykonania. 2. Następnie otwórz Notatnik i wklej w nim: Task: {758DC6AC-4170-48F7-B274-7E8F9FDC8D12} - \Browser Updater Task(Core) -> Brak pliku S2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [X] DeleteKey: HKCU\Software\jIxmRfR DeleteKey: HKCU\Software\Classes\jIxmRfRHTM DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\31057361_0 DeleteKey: HKLM\SOFTWARE\Classes\jIxmRfRHTM DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\jIxmRfR DeleteKey: HKLM\SOFTWARE\Wow6432Node\jIxmRfR Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v jIxmRfR /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\qwinpq RemoveDirectory: C:\Program Files (x86)\TXQQBrowser EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

Problem tworzą wpisy Quotenamron. Log coś jakby sugeruje, że adware zostało nabyte podczas instalacji konwertera "Any Video Converter"... Działania do przeprowadzenia: 1. Odinstaluj programy typu adware/PUP: - Ace Stream Media 3.0.12 - Ma zintegrowany moduł adware aktywowany po określonym przedziale czasu: KLIK. - Smart File Advisor 1.1.8 - Deinstalacja jest sprzężona z Alcohol 52 i go usunie, proszę nie omiń tego kroku. To jest perfidnie skombinowana instalacja. By uniknąć instalacji tego śmiecia, należy podczas instalacji Alcohola odciąć sieć, o czym wspominam w przyklejonym: KLIK (popatrz na spód tematu). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe [949248 2016-05-07] () [brak podpisu cyfrowego] AppInit_DLLs: C:\ProgramData\Quotenamron\StrongStating.dll => C:\ProgramData\Quotenamron\StrongStating.dll [361984 2016-05-07] () AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Kanfresh.dll => Brak pliku Winlogon\Notify\igfxcui: igfxdev.dll [X] S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X] CustomCLSID: HKU\S-1-5-21-3441687360-914018952-2576187937-1000_Classes\CLSID\{A2DF06F9-A21A-44A8-8A99-8B9C84F29160}\localserver32 -> "C:\Users\Przemo\AppData\Local\Vivaldi\Application\1.0.219.34\delegate_execute.exe" => Brak pliku HKU\S-1-5-21-3441687360-914018952-2576187937-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ79IgcmrEEV-PxTz-MtJMyWEEwjTNLqyiG2SVrKuWyIJrfgvRg_R6FrDfdrBqdU37CpEMr28bCuT9xoYeHdPj7grbmew,,&q={searchTerms} HKU\S-1-5-21-3441687360-914018952-2576187937-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ33Sw5LF-l3FH8gBKvU9OEYL1ziaiImGobKre6dQQmHv54a2_aIrQ3RRCqbNOGN12TqziYUV37zU5txQwHPYkU790Q2g,, HKU\S-1-5-21-3441687360-914018952-2576187937-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ79IgcmrEEV-PxTz-MtJMyWEEwjTNLqyiG2SVrKuWyIJrfgvRg_R6FrDfdrBqdU37CpEMr28bCuT9xoYeHdPj7grbmew,,&q={searchTerms} HKU\S-1-5-21-3441687360-914018952-2576187937-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ79IgcmrEEV-PxTz-MtJMyWEEwjTNLqyiG2SVrKuWyIJrfgvRg_R6FrDfdrBqdU37CpEMr28bCuT9xoYeHdPj7grbmew,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ79IgcmrEEV-PxTz-MtJMyWEEwjTNLqyiG2SVrKuWyIJrfgvRg_R6FrDfdrBqdU37CpEMr28bCuT9xoYeHdPj7grbmew,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-3441687360-914018952-2576187937-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ79IgcmrEEV-PxTz-MtJMyWEEwjTNLqyiG2SVrKuWyIJrfgvRg_R6FrDfdrBqdU37CpEMr28bCuT9xoYeHdPj7grbmew,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-3441687360-914018952-2576187937-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ79IgcmrEEV-PxTz-MtJMyWEEwjTNLqyiG2SVrKuWyIJrfgvRg_R6FrDfdrBqdU37CpEMr28bCuT9xoYeHdPj7grbmew,,&q={searchTerms} FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\findit.xml [2016-06-03] DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg C:\ProgramData\Quotenamron C:\ProgramData\Quotenamrons C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mroczne Wieki\Mroczne Wieki EN.lnk C:\Users\Przemo\AppData\Roaming\*.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia trzeba będzie przeinstalować. I zamiast wersji uBlock, należy zainstalować rozwijaną wersję oryginalnego autora uBlock Origin. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W ShellExView prawy klik na cytowane wejście i wybierz opcję "Disable".

Jest tu sporo niedomyślnych rozszerzeń, typuję "na duszę". Sprawdź co się stanie po deaktywacji modułu Intel: ================================================== Extension Name : TheDeskTopContextMenu Class Disabled : No Type : Context Menu Description : igfxDTCM Module Version : 6.15.10.4276 Product Name : Intel® Common User Interface Company : Intel Corporation My Computer : No Desktop : No Control Panel : No My Network Places : No Entire Network : No Remote Computer : No Filename : C:\Windows\system32\igfxDTCM.dll CLSID : {9B5F5829-A529-4B12-814A-E81BCB8D93FC} File Created Time : 27.08.2015 19:20:10 CLSID Modified Time: 31.05.2016 16:52:15 Microsoft : No File Extensions : Directory\Background File Attributes : A File Size : 230 384 .NET Extension : No Digital Signature : Missing File : No ================================================== Po deaktywacji należy wykonać restart systemu, by w pełni odładować moduł z pamięci.

W raporcie FRST w Dzienniku zdarzeń stoi: Dziennik Aplikacja: ================== Error: (06/02/2016 06:50:32 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program clover.exe w wersji 3.0.406.0 przestał współpracować z systemem Windows i został zamknięty. Aby sprawdzić, czy jest dostępnych więcej informacji na temat tego problemu, sprawdź historię problemu w oknie Zabezpieczenia i konserwacja w Panelu sterowania. Identyfikator procesu: 1c78 Godzina rozpoczęcia: 01d1bceed77debc7 Godzina zakończenia: 8 Ścieżka aplikacji: C:\Program Files (x86)\Clover\clover.exe Identyfikator raportu: 1c7a00dc-28e2-11e6-8e92-dc0ea1fa3b3a Pełna nazwa pakietu powodującego błąd: Identyfikator aplikacji względem pakietu powodującego błąd: Error: (06/02/2016 06:48:03 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program clover.exe w wersji 3.0.406.0 przestał współpracować z systemem Windows i został zamknięty. Aby sprawdzić, czy jest dostępnych więcej informacji na temat tego problemu, sprawdź historię problemu w oknie Zabezpieczenia i konserwacja w Panelu sterowania. Identyfikator procesu: 23d8 Godzina rozpoczęcia: 01d1bcee770972fa Godzina zakończenia: 5 Ścieżka aplikacji: C:\Program Files (x86)\Clover\clover.exe Identyfikator raportu: c3e537be-28e1-11e6-8e92-dc0ea1fa3b3a Pełna nazwa pakietu powodującego błąd: Identyfikator aplikacji względem pakietu powodującego błąd: Error: (06/02/2016 06:47:32 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program clover.exe w wersji 3.0.406.0 przestał współpracować z systemem Windows i został zamknięty. Aby sprawdzić, czy jest dostępnych więcej informacji na temat tego problemu, sprawdź historię problemu w oknie Zabezpieczenia i konserwacja w Panelu sterowania. Identyfikator procesu: 1d40 Godzina rozpoczęcia: 01d1bcee65414cf3 Godzina zakończenia: 3 Ścieżka aplikacji: C:\Program Files (x86)\Clover\clover.exe Identyfikator raportu: b06ef592-28e1-11e6-8e92-dc0ea1fa3b3a Pełna nazwa pakietu powodującego błąd: Identyfikator aplikacji względem pakietu powodującego błąd: Error: (05/31/2016 04:32:12 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program explorer.exe w wersji 10.0.10586.306 przestał współpracować z systemem Windows i został zamknięty. Aby sprawdzić, czy jest dostępnych więcej informacji na temat tego problemu, sprawdź historię problemu w oknie Zabezpieczenia i konserwacja w Panelu sterowania. Identyfikator procesu: 2550 Godzina rozpoczęcia: 01d1bb45cea7d22f Godzina zakończenia: 0 Ścieżka aplikacji: C:\Windows\explorer.exe Identyfikator raportu: 617639a1-273c-11e6-8e90-dc0ea1fa3b3a Pełna nazwa pakietu powodującego błąd: Identyfikator aplikacji względem pakietu powodującego błąd: Error: (05/30/2016 04:11:16 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: ExplorerSafeMode.exe, wersja: 1.0.0.0, sygnatura czasowa: 0x563beb75 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 10.0.10586.306, sygnatura czasowa: 0x571af331 Kod wyjątku: 0xe0434352 Przesunięcie błędu: 0x0000000000071f28 Identyfikator procesu powodującego błąd: 0xe6c Godzina uruchomienia aplikacji powodującej błąd: 0xExplorerSafeMode.exe0 Ścieżka aplikacji powodującej błąd: ExplorerSafeMode.exe1 Ścieżka modułu powodującego błąd: ExplorerSafeMode.exe2 Identyfikator raportu: ExplorerSafeMode.exe3 Pełna nazwa pakietu powodującego błąd: ExplorerSafeMode.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: ExplorerSafeMode.exe5 Error: (05/30/2016 04:11:16 PM) (Source: .NET Runtime) (EventID: 1026) (User: ) Description: Aplikacja: ExplorerSafeMode.exe Wersja architektury: v4.0.30319 Opis: proces został przerwany z powodu nieobsłużonego wyjątku. Informacje o wyjątku: System.ArgumentException w System.ThrowHelper.ThrowArgumentException(System.ExceptionResource) w Microsoft.Win32.RegistryKey.DeleteValue(System.String) w ExplorerSafeMode.Program.Main() Error: (05/30/2016 04:11:11 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program explorer.exe w wersji 10.0.10586.306 przestał współpracować z systemem Windows i został zamknięty. Aby sprawdzić, czy jest dostępnych więcej informacji na temat tego problemu, sprawdź historię problemu w oknie Zabezpieczenia i konserwacja w Panelu sterowania. Czyli masowe błędy Clover, a wcześniej także incydent z QTTabBar. Aplikacja Clover rejestruje rozszerzenie powłoki explorer. Rozpocznij od deinstalacji tego programu. Tylko nie zgadza mi się przedział czasowy, to aplikacja instalowana zaledwie kilka dni temu, a nie "kilkanaście". Jeśli pomimo deinstalacji nadal będą problemy, dodaj log z programu ShellExView x64. Poprzez klik na kolumnę Company posortuj wpisy, by ułożyć niedomyślne (wyróżnione na różowym tle) w jednym bloku. Z wciśniętym CTRL zaznacz wszystkie różowe, z prawokliku opcja Save Selected Items, by zapisać log.

Nie wiem o co chodzi z błędem dołączania raportu, możesz go też wkleić wprost w poście. I kończymy: 1. Za pomocą Hitman usuń wszystkie wykryte wyniki. 2. Wyczyść foldery Przywracania systemu: KLIK 3. Ogólnie na co uważać podczas pobierania: KLIK.

W instrukcji jest to wyraźnie zaznaczone:

AdwCleaner pomyślnie usunął śmieci. Teraz: 1. Zastosuj DelFix, który usunie kwarantanny narzędzi z dysku oraz FRST i AdwCleaner z ich logami. 2. Pomimo tego, że stosowałaś wcześniej, uruchom ponownie Hitman Pro. Dostarcz log wynikowy, o ile narzędzie coś znajdzie.

Uruchom AdwCleaner ponownie, tym razem po kolei wybierz opcje Skanuj + Usuń i dostarcz wynikowy log z czyszczenia.

W rejestrze jest już ustawione, że jeden z folderów Pulpitu (są zawsze dwa: użytkownika + C:\Users\Public) jest już ustawiony na tę ścieżkę: ========= reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" ========= HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Desktop REG_SZ D:\Diana\Desktop ========= reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" ========= HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Desktop REG_EXPAND_SZ D:\Diana\Desktop Czyli mam rozumieć, że: relokacja do katalogu D:\Diana\Desktop była celowa + a mimo tego zawartość tego folderu na dysku nie jest widziana na ekranie Pulpitu?

W kwestii wyników Hitman: 1. Chodziło mi o poprzednie wyniki,w instrukcji było napisane, by nic nie usuwać przed pokazaniem wyników skanu. I na zrzucie ekranu była dziwna sprawa, czyli detekcje w folderze C:\Users\Marcin\Documents\FRST\Quarantine. Folder kwarantanny FRST to C:\FRST\Quarantine i go usuwałam komendą w ostatnim skrypcie. Jak to się stało, że kwarantanna FRST z malware była w Dokumentach? Przez SHIFT + DEL (omija Kosz) skasuj cały folder C:\Users\Marcin\Documents\FRST z dysku. 2. Obecnie Hitman pokazuje dwie wyszukiwarki adware w Google Chrome, a przecież wcześniej podałam by wykonać to: Czy na pewno wykonałeś tę akcję wcześniej?

1. Nowy profil Google Chrome założony, a już podejrzany element Bazz Search. Jakim cudem? Czy to celowa instalacja? Usuń to: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Bazz Search. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy powiązaną z w/w wyszukiwarkę. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

A, czyli to chodzi o widoczność paska zakładek a nie zakładki per se. Wprawdzie można byłoby się zastanawiać dlaczego ta opcja się przestawia dla kart, ale ogólnie nie podoba mi się ten Twój profil ChromeDefaultData2, on nie wygląda na utworzony przez Google Chrome. Przeglądarka naturalnie startuje z profilem "Default", a przy dodawaniu kolejnych jest używana konwencja nazewnicza "Profile Numer". Proponuję stworzyć nowy profil wg następujących wytycznych: - Wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. - Menu Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > zaloguj się na ten profil, a okno poprzedniego zamknij. - Siedząc na nowym profilu zaimportuj zakładki z pliku HTML. Skonfiguruj ręcznie widoczność paska zakładek w menu Zakładki > Pokaż pasek zakładek oraz tego co na nim widać. - Jeśli wszystko będzie w porządku, w opcjach Osoby skasuj całkowicie poprzedni profil user0. - Po akcji zrób nowy log FRST przedstawiający nowy profil Google Chrome. Na chwilę obecną aktywne szkodniki zostały usunięte, więc system możesz używać normalnie, aczkolwiek czyszczenie nadal w toku. Będą jeszcze różne skany.

Lex, nie wiem czy podana data jest definitywna, ale likwidacja na pewno jest w toku. Klienci którzy zarejestrowali się zgodnie z wytycznymi na stronie Adobe otrzymują już inne linki z unikalnym ID. To dystrybucja dla organizacji. Zacznę się martwić, gdy usuną wcześniej linkowane przeze mnie instalatory offline dla użytkowników domowych, podane w Still having problems?, kierujące zawsze do najnowszej stabilnej: https://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe https://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player.exe https://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ppapi.exe Natomiast linki wygasającej strony dystrybucyjnej mają inny URL (i wersja w adresie jest podmieniana): https://fpdownload.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_21_active_x.exe https://fpdownload.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_21_plugin.exe https://fpdownload.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_21_ppapi.exe Oficjalnym powodem usunięcia publicznej strony dystrybucji jest malware. Z FAQ Adobe: Why are the current distribution pages and links being decommissioned? Third parties have been spoofing the Flash Player download pages in an attempt to spread malware. We are enabling Adobe ID login on the page in order to improve security and ensure that only licensed users have access to the distribution binaries. Dodatkowo z FAQ Firefoxa: New Adobe Flash Player Distribution (...) Older installations will continue to work in your Firefox profile. However, some sites that recommend downloading the player in Firefox (to enable you to see certain content) may or may not tell you to download it, since a distribution license is now required.

Nie chodziło mi o zrzut ekranu, który nie pokazuje nawet wszystkich wyników. Z instrukcji w przyklejonym:

To jest niekompletny zestaw FRST, brak pliku Addition.

1. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\IHeeaWA DeleteKey: HKCU\Software\Classes\IHeeaWAHTM DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\eb928bf4_0 DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\IHeeaWA DeleteKey: HKLM\SOFTWARE\Wow6432Node\IHeeaWA Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v IHeeaWA /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\IHeeaWA\IHeeaWA\chrome.exe" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Na wszelki wypadek zrób skan za pomocą Hitman Pro. Jeśli wykryje coś innego niż FRST64.exe jako "podejrzany plik" (to fałszywy alarm), dostarcz log z wynikami.