picasso

Podaj raport z antywirusa, co i gdzie wykryte. Nie, ta opcja to nie jest prawdziwy skan "wszystkich użytkowników". Rejestr danego użytkownika jest załadowany tylko wtedy, gdy też użytkownik jest zalogowany. A że każdy użytkownik ma inny rejestr, logi z OTL muszą być robione z poziomu danego zalogowanego konta. .

To oznacza koniec tematu. Nie zapomnij wykonać aktualizacji oprogramowania i zmiany haseł.

Ten wynik MBAM się nie liczy. MBAM klasyfikuje narzędzia do podglądu kluczy jako "risk", ryzyka nie ma, gdy aplikacja została świadomie użyta przez użytkownika. Należało mi o tym od razu powiedzieć. Norton Removal Tool załatwił tylko główne komponenty (w logu z OTL zero sterowników Symantec), należy doczyścić resztę. Przejrzałam rejestr, zajęło mi to kilka godzin, by ogarnąć całość, bo masa wpisów Symantec w SOFTWARE. Martwe dane instalacyjne (to co widzisz w Dodaj / Usuń) i mnogość komponentów, nie wyrejestrowane biblioteki Symantec, Kosz "chroniony przez Symantec", niekompletnie zdjęta osłona skryptowa. Plik FIX będzie potężny: 1. Włącz widzialność rozszerzeń: w Mój komputer > Narzędzia > Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia znanych typów plików. Pobierz poniższy plik: symantec.txt Zmień mu rozszerzenie z TXT na REG. Uruchom ten plik z dwukliku i zatwierdź import do rejestru. 2. Zresetuj system. 3. Wyczyść foldery Przywracania systemu po raz drugi. .

Tak, dostarcz te logi. Zajmę się tym po przejrzeniu Dzienników zdarzeń. .

1. Wyniki MBAM: to są szczątki po vShare. Do usunięcia. 2. Na zakończenie zaktualizuj wyliczone poniżej aplikacje: KLIK. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20 "{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish "{E33DB440-A008-4928-8A4E-5FC5ADDED608}" = OpenOffice.org 2.4 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----> wersja nieznana, do sprawdzenia "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) ----> już jest najnowsza "Adobe Shockwave Player" = Adobe Shockwave Player PS. Gadu-Gadu 10 też sugeruję wymienić lżejszym dla systemu programem z obsługą sieci Gadu. Propozycje: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. .

Jak mówiłam, tylko log z usuwania i nowy skan nie był potrzebny (usuwam), bo ostatnia z ingerencji takiego poziomu, że ocena może się opierać tylko na wynikach usuwania. Akcja wykonana i galopujemy ku końcowi: 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek przeskanuj system za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. .

Na wszelki wypadek sprawdź co powie Kaspersky TDSSKiller. Jeśli on nic nie wykryje, to trop infekcji definitywnie zarzucam: To może być też sprawa sprzętowa. Wstępnie do wykonania punkt numer 5 z ogłoszenia, czyli debug zrzutów pamięci DMP: KLIK. W skrócie: skopiuj na Pulpit cały folder C:\Windows\Minidump (o ile nie pusty), spakuj do ZIP, umieść na jakimś hostingu i podaj link do paczki. To standardowy tekst. .

Plik prefs.js będzie do usunięcia. Jego przeniesienie na Pulpit zamiast natychmiastowej kasacji to tylko asekuracja. Zadania pomyślnie wykonane, zmierzamy ku końcowi: 1. Mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2 - BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found. Klik w Wykonaj skrypt. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę: G:\Download\ComboFix.exe /uninstall Gdy komenda ukończy działanie, w OTL uruchom Sprzątanie. Przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt. 3. Na wszelki wypadek zrób skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. .

voyteck, proszę nie pisać postów pod postem (skleiłam), do takich operacji uzupełniania wypowiedzi służy opcja "Edytuj". Jest jasno napisane w zasadach działu, że to nic nie przyśpieszy. Poza tym, nad tematem należy się zastanowić, nie wszystko się diagnozuje w 5 minut. Tak więc, gdy będę miała coś do powiedzenia czy trop, wtedy się wypowiem konkretnie. EDIT: Co do Przywracania systemu, jest ono wykonalne nie spod uruchomionego Windows czyli z poziomu środowiska WinRE: KLIK. Czyli: F8 > Napraw komputer > z menu wybierz Przywracanie systemu do daty sprzed usterki. .

Tak, ale to jest powiązane z DirectX. Sprawdź czy będzie miała wpływ na stan rzeczy testowa redukcja procesów. Zrób czysty rozruch wg instrukcji z KB310353. .

On jest, tylko widocznie wpis ukryty. Przejdź po prostu do dalszych działań, jak rozpisałam, a w końcowej fazie AdwCleaner i tak namierzy Ask i usunie. Log z ComboFix kompletnie uszkodzony, praktycznie brak zawartości - czy na pewno ten log na dysku wygląda w taki sposób? W ogóle nie wiadomo co robił ComboFix, ale jeśli log rzeczywiście tylko taki, to może w ogóle nic nie robił. Natomiast wg skanu MBAM nie wynika obecność żadnego trojana, to co wykrył MBAM to tylko adware (FunWebProducts / MyWebSearch). Te wpisy sklasyfikowane jako "Trojan.Vundo" to były wyszukiwarki w Internet Explorer (ID wyszukiwarki = {56256A51-B582-467e-B8D4-7786EDA79AE0}): HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. To nie jest prawdziwy Vundo, zresztą ta infekcja jest prehistoryczna i jest bardzo nikła szansa, by ktoś się tym zainfekował w dzisiejszych czasach. To co zostało wykryte jako Vundo to tylko wyszukiwarka adware MyWebSearch i gdyby MBAM tego nie usunął, w logu z OTL byłoby widzialne to jako: IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm227YYPL&ptnrS=GRxdm227YYPL&ptb=10YjZopMRaeXbVG5waOnOw&ind=2010111700&n=77cfded4&psa=&st=sb&searchfor={searchTerms}" To wszystko co usuwał MBAM nie mogło mieć tak drastycznego wpływu na system, to śmieci, ale kaliber bardzo słaby... Na razie tu nie ma potwierdzenia, że system jest zainfekowany czymś. Objaśnij mi co się teraz dzieje z systemem, jaki jest problem. .

Wspominany przeze mnie plik jest na dysku: [2012-09-26 17:43:34 | 000,000,045 | ---- | C] () -- C:\Documents and Settings\Kamil\Dane aplikacji\msconfig.ini Na dodatek, ComboFix wcale nie usunął prawidłowo głównego wpisu infekcji (tylko plik wywalał, ale nie skorygował rejestru): O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Kamil\Dane aplikacji\msconfig.dat) - File not found Poza tym, do wyczyszczenia inne obiekty infekcji, adware (śmieci wprowadzone przez wtyczkę vShare = tak, vShare robi bajzel w systemie) oraz wpisy puste. Czyli akcja: 1. Przez Panel sterowania odinstaluj vShare.tv plugin 1.3. 2. Zamknij Firefox (nie może być uruchomiony w procesach). Zresetuj radykalnie plik preferencji (w którym zresztą są martwe preferencje ze starszych wersji FF) poprzez wyizolowanie na Pulpit poniższego pliku: C:\Documents and Settings\Kamil\Dane aplikacji\Mozilla\Firefox\Profiles\e8lv1jmm.default\prefs.js 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Kamil\Dane aplikacji\msconfig.ini C:\Documents and Settings\Kamil\Dane aplikacji\wyUpdate AU C:\Documents and Settings\Kamil\wc C:\Documents and Settings\Kamil\Dane aplikacji\Mozilla\Firefox\Profiles\e8lv1jmm.default\searchplugins\startsear.xml C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{57A2BF33-284A-4BDD-8619-B95ED32C85CC}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{57A2BF33-284A-4BDD-8619-B95ED32C85CC}" :OTL IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=66e9b992-3a37-11e1-887a-00138f4003a1&q={searchTerms}" IE - HKCU\..\SearchScopes\{0BC50E57-6E9F-4F2C-A93E-1F8889C2A8DC}: "URL" = "http://search.avg.com/route/?d=4da45d6c&v=6.103.18.1&i=23&tp=chrome&q={searchTerms}&lng={language}&iy=&ychte=us" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={5F025306-8725-4447-BD87-99A0CF61A499}&mid=400444565b1d47d6a00bd15ac9a4ea52-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=AVG&pr=fr&d=2012-09-27 15:38:38&v=13.1.0.1&sap=dsp&q={searchTerms}" FF - HKLM\Software\MozillaPlugins\@pages.tvunetworks.com/WebPlayer: C:\Program Files\TVUPlayer\npTVUAx.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKCU..\Run: [blazeServoTool] "C:\Program Files\BlazeVideo\BlazeDTV 6.0\MediaDetector.exe" File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva389.sys -- (XDva389) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\ctdvda2k.sys -- (ctdvda2k) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1.PRV\USTAWI~1\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Na zakończenie zaktualizuj system i wymienione poniżej aplikacje: KLIK. Log wykazuje, że brak tu aktualizacji Windows (pakiet SP1+IE9) oraz są następujące wersje zainstalowane: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) "ENTERPRISE" = Microsoft Office Enterprise 2007 ----> doinstaluj pakiet SP3 "Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll () FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.0.61118.0\npctrl.dll ( Microsoft Corporation) Dzięki. .

Zasady działu: KLIK. Wymagane obowiązkowe logi innego kalibru. ComboFix uruchomiony niepotrzebnie, nic nie robił i nie jest to normalny skaner. A Spybotowi owszem ufać nie można, aplikacja o archaicznej konstrukcji, niezdolna leczyć nowoczesne zagrożenia. I nie podałeś wcale raportu co znalazł Spybot, by można było ocenić na ile to warte zainteresowania, co to w ogóle było. .

Czy prócz wersji *.EXE próbowałeś też uruchomić wersję *.COM? .

Kamil12, poprosiłam o logi z OTL. Logi te mają inny charakter niż raport z ComboFix i widać tam więcej danych.

Wymagana poprawka. W międzyczasie nowe foldery infekcji się ujawniły oraz należy usunąć szczątki po właśnie usuniętych paskach. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O4 - HKLM..\Run: [ROC_ROC_JULY_P1] "C:\Program Files\AVG Secure Search\ROC_ROC_JULY_P1.exe" / /PROMPT /CMPID=ROC_JULY_P1 File not found O4 - HKLM..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" File not found O4 - HKCU..\Run: [Ciyfr] C:\Users\danio\AppData\Roaming\Meen\sukum.exe File not found :Files C:\Users\danio\AppData\Roaming\Yhonoh C:\Users\danio\AppData\Roaming\Ufok C:\Users\danio\AppData\Roaming\Meen :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Do oceny wystarczy tylko log z wynikami usuwania. Nowy skan OTL niepotrzebny. To foldery utworzone przez infekcję. Dane brane z Twojego raportu OTL. Dyskusja na forum: KLIK. .

Na temat użytkowania ComboFix: KLIK. Sprawę dało się rozwiązać bez ComboFix. I poproszę o obowiązkowe w tym dziale logi z OTL. Na dysku powinien być jeszcze jeden plik po tej infekcji (msconfig.ini), którego ComboFix nie kasował, a jego log też go nie pokazuje (logi ComboFix są filtrowane wg nieco innych parametrów niż np. logi OTL). .

Zadanie pomyślnie wykonane. Przejdź do wykończeń: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Java i Adobe Reader: KLIK. W Twoim systemie aktualnie widać wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java™ 6 Update 30 "{AC76BA86-7AD7-1033-7B44-A90100000001}" = Adobe Reader 9.0.1 .

Opisz w jaki sposób prowadziłeś usuwanie. W raportach widzę tylko jeden plik od infekcji (msconfig.ini). Poza tym, jest adware. 1. Przez Panel sterowania odinstaluj adware Ashampoo PO Toolbar, Conduit Engine. Otwórz Google Chrome i w Rozszerzeniach odinstaluj Ashampoo PO. 2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\user\AppData\Roaming\msconfig.ini :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 2. .

Czy to na pewno log z właściwego konta użytkownika, a może już coś usuwałeś np. Avastem? W logach brak oznak tej infekcji, żadnego wpisu startowego nie widać ...

Wielokrotne posty scaliłam. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=b4d9bb82-8d78-11e1-bc8f-6c626dd8c176&q={searchTerms}" IE - HKU\S-1-5-21-1496740862-1212796334-510915182-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={F2C39E43-08FA-4B06-BE81-FBBB7AD5046F}&mid=6b7a9bafa7bf47d1b40dbd2b2b3c2885-94613708c3d9c656af7aafbd1e451874fd2a3d9f&lang=pl&ds=AVG&pr=fr&d=2012-06-08 22:32:34&v=12.2.5.32&sap=dsp&q={searchTerms}" IE - HKU\S-1-5-21-1496740862-1212796334-510915182-1000\..\SearchScopes\{A6BFBD1A-4FA3-4101-A59A-367B75FDBDEB}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=85FFD5A7-FD7A-40A8-B9A1-3D3949A028FE&apn_sauid=22E32F8D-3714-4CBC-B5CF-04E672706701" O3 - HKU\S-1-5-21-1496740862-1212796334-510915182-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [taskbarcpl] C:\Users\danio\AppData\Local\Microsoft\Windows\962\taskbarcpl.exe () O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) SRV - [2011-10-12 00:30:46 | 000,111,632 | ---- | M] (TMRG, Inc.) [Auto | Stopped] -- C:\Program Files\RelevantKnowledge\rlservice.exe -- (RelevantKnowledge) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nvhda32v.sys -- (NVHDA) DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\EIO.sys -- (EIO) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\danio\AppData\Local\Temp\ALSysIO.sys -- (ALSysIO) :Files C:\Users\danio\AppData\Local\Microsoft\Windows\962 C:\Users\danio\AppData\Roaming\hellomoto C:\Users\danio\AppData\Roaming\Uwok C:\Users\danio\AppData\Roaming\Roim C:\Users\danio\AppData\Roaming\Fowusu C:\Users\danio\AppData\Roaming\Umzuor C:\Users\danio\AppData\Roaming\Rikem C:\Users\danio\AppData\Roaming\Aqha C:\ProgramData\vfzpfdyijjwrste C:\Windows\System32\b8d81714.dll C:\Program Files\RelevantKnowledge C:\Users\danio\AppData\Roaming\mozilla\firefox\profiles\gzp73afc.default\extensions\505244efa4987@505244efa49c0.com.xpi :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "{3C5F0F00-683D-4847-89C8-E7AF64FD1CFB}"=- [HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions] "{EB132DB0-A4CA-11DF-9732-0E29E0D72085}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie i działasz już w Trybie normalnym: 2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, uTorrentBar Toolbar. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Skutek uboczny: AdwCleaner usunie AVG Secure Search, gdyż ten komponent traktuje jako sponsora. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3. .

Hatebreeder, rejestru jeszcze nie obejrzałam, ale checkdisk uruchomiłeś w trybie do odczytu bez jakichkolwiek parametrów. Komenda naprawcza w Konsoli to CHKDSK /P /R

Rozruch wygląda na naprawiony (mimo błędu w Paragonie), Windows przeszedł pomyślnie tę fazę startu. Pokazane tu skomasowanie błędów to już dalszy etap, jesteśmy więc w punkcie wyjścia od którego startowałeś. Nie wspominasz jednak nic o tym czy Tryb awaryjny wchodzi teraz? Nasuwa się, by to brać dosłownie. Poprzednio używałeś checkdiska z poziomu niepełnosprawnej Konsoli Odzyskiwania, która psuła partycje. Skoro teraz już posiadasz zaktualizowaną Konsolę rozpoznającą prawidłowo rozmiary partycji, to w niej zrób sprawdzanie dysku. EDIT: Dodatkowo poproszę o pełny rejestr do wglądu. Skopiuj cały katalog C:\Windows\system32\config, spakuj do ZIP, shostuj gdzieś i na PW mi doślij link. .

Na wszelki wypadek zrób skanowanie pełne w Malwarebytes Anti-Malware. Przedstaw raport, o ile coś wykryje.