picasso

Raporty z FRST skonfigurowane niezgodnie z wytycznymi w przyklejonym temacie. Opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. O reszcie felerów z raportami mówił już Rucek. W podanych raportach FRST nie widać żadnych oznak tej infekcji, choć jest ustawione jakieś dziwne proxy. Do wykonania działania poboczne: 1. Do deinstalacji stare wersje Adobe AIR, Java 7 Update 75, Java 8 Update 31, Java SE Development Kit 7 Update 75 oraz program Spybot - Search & Destroy (to obecnie mierny skaner i przeważnie nie rozwiązuje żadnych bieżących spraw infekcji). I skoro zainstalowany ESET Smart Security, to nie dubluj funkcji i pozbądź się COMODO Firewall. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicyScripts: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3125787238-854365603-2573035606-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3125787238-854365603-2573035606-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main FF NetworkProxy: "no_proxies_on", "" FF NetworkProxy: "type", 0 R3 catchme; \??\C:\Users\Sidoruk\AppData\Local\Temp\catchme.sys [X] S3 EverestDriver; \??\D:\EVEREST Home Edition\kerneld.wnt [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad32v.sys [X] S3 SenFiltService; system32\drivers\Senfilt.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] U3 mbr; \??\C:\ComboFixnew\mbr.sys [X] HKU\S-1-5-21-3125787238-854365603-2573035606-1000\...\Run: [Mobile Partner] => C:\Program Files\PLAY Web partner\PLAY Web partner Task: {374BED84-5D3C-47DD-B1A7-AC82038193AC} - System32\Tasks\{7A998E86-D25C-4FC4-8C2F-CBA1AEC857FF} => pcalua.exe -a C:\Users\Sidoruk\Downloads\VMware-player-12.1.0-3272444.exe -d C:\Users\Sidoruk\Downloads Task: {8A84490B-39BD-4181-8C37-A65F7559F543} - System32\Tasks\{82DD5D82-AEE0-4906-B62E-5AAF4C8E5626} => pcalua.exe -a "C:\Program Files\Analog Devices\SoundMAX\SMax4.cpl" -c SoundMAX Task: {AAD064C1-F276-413D-9A8B-115DD87C22FC} - System32\Tasks\{E5F42BE9-DC75-48F9-91CA-79B1CAEE865D} => pcalua.exe -a K:\Setup.exe -d K:\ Task: {E6E4B37B-3E7D-453B-B8EC-9320A436FF3C} - System32\Tasks\{75B62C3B-89F3-41E5-8B06-716441EE98F1} => pcalua.exe -a C:\Users\Sidoruk\Downloads\VirtualBox-4.3.22-98236-Win.exe -d C:\Users\Sidoruk\Downloads RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Deinstalacja MPC się powiodła, tylko że w trakcie deinstalacji dążył on zmodyfikować ustawienia przeglądarek Firefox i Google Chrome kierując na adres search.mpc.am. Czyli skoryguj tę "robotę": 1. W Firefox: FireFox: ======== FF Homepage: search.mpc.am Menu Ustawienia > Opcje > Po uruchomieniu programu Firefox > w sekcji Strona startowa wymaż adres search.mpc.am zastępując czymś innym. 2. W Google Chrome: Chrome: ======= CHR HomePage: Default -> search.mpc.am CHR StartupUrls: Default -> "search.mpc.am" CHR DefaultSearchURL: Default -> hxxp://search.mpc.am?q={searchTerms}&cx=partner-pub-3796753109442372:3837783968 CHR DefaultSearchKeyword: Default -> MPC Safe Search Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres search.mpc.am, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres search.mpc.am. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > ustaw jako domyślną Google, skasuj z listy MPC Safe Search. 3. Drobna poprawka. Otwórz Notatnik i wklej w nim: S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] DisableService: Mobile Partner. RunOuc DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Temat jedzie do XP. Tu nie ma co szukać infekcji. Do usunięcia byłyby jakieś drobne wpisy puste, ale to na razie nie warte uwagi. Dziennik Aplikacja: ================== Error: (04/19/2016 09:54:26 AM) (Source: MsiInstaller) (EventID: 11719) (User: DOMOWY) Description: Product: OSCAR Editor -- Error 1719.Windows Installer service could not be accessed. Contact your support personnel to verify that it is properly registered and enabled. Czy ten błąd występuje tylko i wyłącznie dla tego konkretnego programu, czy również przy innych programach opartych na Instalatorze Windows? Czy próbowałeś przy wyłączonym COMODO? Nawiasemmówiąc, to stara wersja. Była już tu instalacja Windows Installer 4.5, która przebija ustawienia, ale na wszelki wypadek pokaż jak wyglądają podstawowe komponenty Instalatora. Uruchom SystemLook i do okna wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer /s :filefind msiexec.exe msi.dll msihnd.dll msimsg.dll msisip.dll Klik w Look. Dostarcz raport wynikowy.

Kończymy: 1. Skasuj z folderu C:\Users\Patrycja\Documents\wirus FRST i jego logi. 2. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Posty dla porządku połączyłam, ale już oczywiście odpowiadasz w nowym. Szkodnik "MPC Cleaner" nie ma deinstalatora na liście programów, ale w jego folderze jest plik umożliwiający deinstalację. Działania do wykonania: 1. Wejdź do folderu C:\Program Files (x86)\MPC Cleaner. Z prawokliku na plik deinstalatora "Uruchom jako administrator". Po deinstalacji zresetuj system. 2. Za dużo antywirusów. Odinstaluj tradycyjnie via Panel sterowania Microsoft Security Essentials. 3. W Firefox w menedżerze dodatków odinstaluj stare niepodpisane cyfrowo rozszerzenia: Alexa Toolbar, Widevine Media Optimizer. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 rimipirozbt; C:\Program Files (x86)\4C4C4544-1461421464-3310-804C-C6C04F475431\knsiE588.tmpfs [X] S3 EverestDriver; \??\C:\Users\ja\AppData\Local\Temp\EverestDriver.sys [X] HKLM-x32\...\Run: [mpck_en_005030307] => [X] HKLM-x32\...\Run: [snp2uvc] => C:\Windows\vsnp2uvc.exe HKLM-x32\...\Run: [tsnp2uvc] => C:\Windows\tsnp2uvc.exe FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-01-30] C:\Program Files (x86)\4C4C4544-1461421464-3310-804C-C6C04F475431 C:\Program Files (x86)\MPC Cleaner C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\Users\ja\AppData\Local\app C:\Users\ja\AppData\Roaming\MCorp Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Potwierdź też, że zmodyfikowane skróty LNK przeglądarek ustawione na otwieranie strony startbook.com to celowa modyfikacja.

Temat przenoszę do działu Windows. To nie jest problem infekcji. 1. Informacje o procesorze i pamięci są pobierane via WMI. W raporcie zaś adnotacja, że WMI nie działa poprawnie: ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI. "Provider load failure" - Na tym komunikacie są jakieś konkretne detale? I w przypadku tego komunikatu wypadałoby zdiagnozować o którą klasę chodzi przy udziale wbudowanego w system narzędzia wbemtest.exe lub skryptu PowerShell. Ale ja się zastanawiam czy naruszenia WMI nie nastąpiły podczas kombinacji z crackowaniem Windows. W Harmonogramie zadań startuje obiekt cracka: Task: {7D0D765C-3505-4D49-A729-9CBDEFA7FF13} - System32\Tasks\KMSAutoNet => C:\ProgramData\KMSAutoS\KMSAuto Net.exe [2015-10-01] (MSFree Inc.) Sprecyzuj więc: od kiedy występuje problem z poborem danych, czy nie zazębia się z tymi kombinacjami, czy działanie cracka było już odwracane? Przywracania systemu użyć nie można, bo jest wyłączone, zresztą przy dysfunkcjach WMI i tak może nie działać poprawnie. 2. Wolno działający internet niekoniecznie powiązany z powyższym, o ile w grę nie wchodzi jakaś klasa sieciowa WMI zmanipulowana przez crack. Alternatywnym podejrzanym byłby Kaspersky Internet Security.

Ale przedstaw ostatni wynikowy plik fixlog.txt.

No właśnie, a podejrzewałam, że obierzesz inną metodę dla Firefox i zapomniałam powiedzieć, że deinstalacja Firefox i tak nie załatwia sprawy, zostaje na dysku cały profil Firefox oraz klucze rozszerzeń i wtyczek w rejestrze. W podanym tu raporcie FRST widać brak zmian w skanie Firefox, pomimo że "odinstalowany". Nowa instalacja Firefox w przyszłości zaadaptowałaby zaśmiecony profil i Firefox byłby od razu zanieczyszczony po jakoby "świeżej" instalacji. Należy więc usunąć wszystkie elementy Firefox. Czyli poprawki: Otwórz Notatnik i wklej w nim: S1 bsdriver; \??\C:\WINDOWS\system32\drivers\bsdriver.sys [X] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Users\Patrycja\AppData\Local\Mozilla RemoveDirectory: C:\Users\Patrycja\AppData\Roaming\Mozilla CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Entfernen (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

Poczekam na raport końcowy. Do wykonania będą jeszcze czynności końcowe.

Wielkie dzięki za dotację. Temat rozwiązany. Zamykam.

1. Skąd tu wiadomo, że chodzi o "CryptoLocker" (nie podałeś jaką formę nazwy otrzymały zaszyfrowane pliki), to stara infekcja. Prawdopodobnie nadziałeś się na formę posługującą się tą nazwą na komunikacie ransom, ale to nie była infekcja CryptoLocker tylko jej nowocześniejszy copycat / klon. Podobny temat z forum: KLIK. Nie jest możliwe odkodowanie plików najnowszych wariantów wskazywanych w linku. 2. Odzysk z kopii cieniowej (Przywracanie systemu) i tak w 99% przypadkach niewykonalny lub nie prowadzi do niczego. Te infekcje kasują wszystkie punkty Przywracania systemu. A nawet jeśli cudem się ostaną na skutek błędu infekcji lub raptownego przerwania jej procesu, to dotyczy to tylko dysku systemowego z Windows. Przywracanie systemu jest domyślnie wyłączone na wszystkich innych dyskach, a infekcja atakuje wszystkie dostępne dyski lokalne i sieciowe, gdzie Przywracanie systemu nie sięga. I na dodatek tu jest XP, system ma mierny mechanizm Przywracania systemu, nie działa on na tej samej zasadzie co w nowszych systemach.

Skrypt FRST pomyślnie wykonany. W zakresie drobnego czyszczenia ukończyliśmy działania. Skorzystaj z DelFix. Na dalszą metę sugeruję kompleksowy format dysku, by pozbyć się wszystkich śladów szyfrowania. Jak mówiłam, niestety zaszyfrowane dane to osobny problem, nie do rozwiązania w chwili obecnej.

Skrypt wykonany. Kończymy: 1. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania na co uważać, bo tytułowy problem został nabyty z trefnego sponsorowanego instalatora, bądź downloadera portalowego: KLIK.

W raportach brak oznak infekcji i przenoszę temat do działu Software. Nie pokazałeś raportu AdwCleaner co niby usuwał - przedstaw ten raport z usuwania z folderu C:\AdwCleaner. Z raportów nic nie wynika, żadnych oznak związanych z tymi zachowaniami. Czy próbowałeś reinstalować przeglądarkę, z uwzględnieniem likwidacji profilu na dysku (zaznaczenie opcji Usuń także dane przeglądarki)?

Na przyszłość: nazwa raportu FRST wskazuje, że wyciągnąłeś plik z katalogu C:\FRST\Logs. To jest archiwum logów, bieżące powstają zawsze tam skąd uruchamiasz FRST, czyli w tym przypadku na Pulpicie. Niemniej akurat przekopiowałeś poprawną kopią, po wykonanych zadaniach. Prawie wszystko zrobione. Poprawki: 1. Nadal w Google Chrome po resetach ustawień widać to: CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1425676910&from=wnf&uid=WDCXWD3200AVVS-73L2B0_WD-WCAV1373858538585","hxxp://www.hohosearch.com/?mode=nnnb&ptid=amz&uid=FF7BB33FD1ABCECA6A21802F55D6E89C&v=20160329&ts=AHEpCHMtBX0pBE..","hxxp://www.google.pl/" W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem google.pl, przestaw na "Otwórz stronę nowej karty". 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Google\Chrome\Extensions RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

Posty połączyłam dla porządku, ale teraz oczywiście odpowiadasz mi już w nowym. Widać więcej modyfikacji adware niż zgłoszone, np. polityki Google Chrome, szkodliwe proxy. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: fltmc detach bsdriver c: bsdriver R1 bsdriver; C:\WINDOWS\system32\drivers\bsdriver.sys [34720 2016-04-20] () S3 GDPkIcpt; \??\C:\WINDOWS\system32\drivers\PktIcpt.sys [X] S2 Lnspmekiingcachesrv; "C:\Program Files (x86)\Lnspmekiing\Lnspmekiingcachesrv.exe" {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X] GroupPolicy: Beschränkung - Chrome CHR HKLM\SOFTWARE\Policies\Google: Beschränkung HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung CHR HKLM-x32\...\Chrome\Extension: [ocbnpbkmjpgbdcgiflkgkpnkinifpgpj] - C:\Users\Patrycja\ChromeExtensions\ocbnpbkmjpgbdcgiflkgkpnkinifpgpj\amazon-icon-2.crx [2015-01-18] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> ShortcutWithArgument: C:\Users\Patrycja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Patrycja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com Task: {028EC560-AE32-4587-B5CF-F5C1FFDFA021} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Keine Datei Task: {044C6631-46A3-4AAC-B220-74EB04BB196F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Keine Datei Task: {079D2CF9-F252-424F-A9C8-AC91ED8E5C54} - System32\Tasks\Busirekesp Host => Rundll32.exe "C:\Program Files (x86)\Busirekesp\Busirekesphost.dll",w Task: {3E1BA518-F750-47B6-829D-560A63FF11DB} - System32\Tasks\{453C301A-E212-4F88-8DFD-32646D65DAE4} => pcalua.exe -a "C:\Program Files (x86)\ALCATech\BPM-Studio Profi\BPM.exe" -d "C:\Program Files (x86)\ALCATech\BPM-Studio Profi" Task: {553986AF-A136-4334-B098-527692B29FF6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Keine Datei Task: {772F5C1A-E8B7-4284-9F38-F9F7004E5B2C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Keine Datei Task: {795F3B99-48D3-43D4-8348-D72524B3E5AB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Keine Datei Task: {7D3E0D40-D586-44A8-84D8-12F45E640B96} - System32\Tasks\Lnspmekiing Cache => C:\Program Files (x86)\Lnspmekiing\Lnspmekiingcachetsk.exe Task: {88263CBC-55C0-4C8A-A685-0B67093F784F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Keine Datei Task: {A2269927-4B93-496D-92D7-1ACB34872538} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Keine Datei Task: {B31D0DA5-9BF5-4F27-9A33-AC71F52A1ECD} - System32\Tasks\Ezurgyua => C:\PROGRA~1\JUKMIS~1\Ogaocfu.bat Task: {BF50596C-85BB-4011-A88D-D55C37C0FEAE} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Keine Datei Task: {EA6DDCB0-A44C-4F87-8966-FF23A5EF9A05} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Keine Datei Task: {EDF311BF-6F96-491F-A7EE-B57130DAE705} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Keine Datei Task: {F816312A-DFFF-478E-9A9B-42745E39D6CE} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Keine Datei HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Busirekesp RemoveDirectory: C:\ProgramData\G Data RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\uninst RemoveDirectory: C:\Users\Patrycja\AppData\Local\Tempfolder RemoveDirectory: C:\Users\Patrycja\AppData\LocalLow\Company RemoveDirectory: C:\Users\Patrycja\AppData\Roaming\Fiiig RemoveDirectory: C:\Users\Patrycja\ChromeExtensions RemoveDirectory: C:\Users\Public\Documents\dmp RemoveDirectory: C:\WINDOWS\system32\oti RemoveDirectory: C:\WINDOWS\System32\Tasks\McAfee C:\Users\Patrycja\AppData\Roaming\*.* C:\WINDOWS\system32\Drivers\bsdriver.sys C:\WINDOWS\system32\Drivers\cherimoya.sys RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Entfernen (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware (nanieś poprawki na niemiecki układ opcji): Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Untersuchen (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podsumuj czy widzisz jeszcze jakieś problemy w systemie.

Doczyszczanie w/w i drobnostek: 1. Uruchom Program Install and Uninstall Troubleshooter i usuń Google Update Helper. 2. Skrypt do FRST: FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll [Brak pliku] FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll [Brak pliku] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Battle.net DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome Przedstaw wynikowy fixlog.txt. Tak, chodzi o Podstawowe programy Live. I ten pakiet nie ma związku z przyciskami funkcyjnymi w laptopie, to majdan Microsoftu z Pocztą, Messengerem i podobnymi. Jeśli użytkownik nie korzysta, odinstaluj ten pakiet. Po deinstalacji sprawdź za pomocą podanego powyżej narzędzia Microsoftu czy nadal są widoczne w nim wpisy określone w FRST Addition flagą Hidden: ==================== Zainstalowane programy ====================== „Messenger“ pagalbinė priemonė (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden „Windows Live Essentials“ (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden „Windows Live Mail“ (x32 Version: 15.4.3502.0922 - „Microsoft Corporation“) Hidden „Windows Live Messenger“ (x32 Version: 15.4.3502.0922 - „Microsoft Corporation“) Hidden „Windows Live“ fotogalerija (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Bing Rewards Client Installer (x32 Version: 16.0.345.0 - Microsoft Corporation) Hidden Doplnok programu Messenger (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Fotogalerija Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galeria fotografii usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galerie foto Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Junk Mail filter update (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Mesh Runtime (x32 Version: 15.4.5722.2 - Microsoft Corporation) Hidden Messenger Companion (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Messenger kísérő (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Messenger Pratilac (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Messenger Suradnik (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Messengeri kaaslane (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Poczta usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Podstawowe programy Windows Live (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3502.0922 - Microsoft Corporation) Podstawowe programy Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Pomocnik Messenger (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Pošta Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Spremljevalec Messenger (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Помощник на Messenger (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Фотогалерия на Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Za przyciski odpowiada program ASUSa ATK Package, którego komponenty nie były ruszane przeze mnie, nie wskazywałam nic z tej paczki do deinstalacji czy usunięcia. Obecnie po Twojej reinstalacji program jest zainstalowany i uruchamia się w starcie: ==================== Zainstalowane programy ====================== ATK Package (HKLM-x32\...\{AB5C933E-5C7D-4D30-B314-9C83A49B94BE}) (Version: 1.0.0010 - ASUS) ==================== Rejestr (filtrowane) =========================== HKLM-x32\...\Run: [ATKOSD2] => C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe [5732992 2010-08-17] (ASUS) HKLM-x32\...\Run: [ATKMEDIA] => C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe [170624 2010-10-07] (ASUS) HKLM-x32\...\Run: [HControlUser] => C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe [105016 2009-06-19] (ASUS) ==================== Zaplanowane zadania (filtrowane) ============= Task: {D7F3FD94-DB67-4DF6-8EEA-247BFE72D6BA} - System32\Tasks\ATKOSD2 => C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe [2010-08-17] (ASUS) I te komponenty były też w poprzednich logach, więc nie wiem co się stało, że trzeba było reinstalować.

Wszystko zrobione. Na koniec: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do wykonania kompleksowa aktualizacja systemu z Windows Update. Stan fatalny: brak SP1, IE11 i reszty łat. Do pobrania i instalacji będzie z kilkaset pozycji. Platform: Microsoft Windows 7 Home Premium (X86) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

Wielkie dzięki za wsparcie. Temat rozwiązany. Zamykam.

Madzio, to że je widzisz to nie problem i nie jest nawet istotne, bo one i tak będą na każdym dysku. To że je widać: albo nie zaznaczyłeś opcji Ukryj chronione pliki systemu operacyjnego, albo foldery utraciły atrybuty HS (ukryty systemowy) na skutek Twoich niefortunnych kombinacji. Nadać im atrybuty HS to bułka z masłem i ja się tym na razie nie zajmuję, bo były o wiele większe problemy: Prosiłam o odwrócenie zmian w kontach na dysku przy udziale Przywracania systemu i przedstawienie nowych raportów FRST po użyciu Przywracania systemu.

To jest wątpliwy skaner, którego należy unikać. W wyszukiwaniu Google multum opisów-fałszywek wmanipulowywujących w instalację tego badziewia. Czy aktualizowałeś też firmware routera? Natomiast w świeżych logach widać ślady po instalacji adware, w tym zmodyfikowane skróty Google Chrome. Uruchomiłeś jakiś downloader ze sponsorami... Doczyszczanie śmieci i lokalizacji po odinstalowanym już Firefox: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Aleksiejuk\Desktop\Google Chrome.lnk -> C:\Users\Aleksiejuk\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Aleksiejuk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Users\Aleksiejuk\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Aleksiejuk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Users\Aleksiejuk\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-1931283843-340991006-2778759058-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHI50yWqzPMbyo4HK0R3RtiO1hmB9aKLceumsyxrvLcUI5nTbwnmeZ8SW9hId7dlNJwbujd2VVy3tauIvAHB6qwQgBmSb2fU34_L9ggd9jm7umo4I3__aLRo8HBFwFr5hqQIGtdYiBnCkdC2xq11DIKF3i5IA,,&q={searchTerms} HKU\S-1-5-21-1931283843-340991006-2778759058-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHI50yWqzPMbyo4HK0R3RtiO1hmB9aKLceumsyxrvLcUI5nTbwnmeZ8SW9hId7dlNJ8C2tr3yhkHCmyqIPPv1rHOE9J8TiMhul4kGc-vEI_nMuJS3sp2paBQuHi_2x0UKxTUj_SCbb_kK2QAk1lOLPcMW5Beg,, HKU\S-1-5-21-1931283843-340991006-2778759058-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHI50yWqzPMbyo4HK0R3RtiO1hmB9aKLceumsyxrvLcUI5nTbwnmeZ8SW9hId7dlNJwbujd2VVy3tauIvAHB6qwQgBmSb2fU34_L9ggd9jm7umo4I3__aLRo8HBFwFr5hqQIGtdYiBnCkdC2xq11DIKF3i5IA,,&q={searchTerms} HKU\S-1-5-21-1931283843-340991006-2778759058-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHI50yWqzPMbyo4HK0R3RtiO1hmB9aKLceumsyxrvLcUI5nTbwnmeZ8SW9hId7dlNJwbujd2VVy3tauIvAHB6qwQgBmSb2fU34_L9ggd9jm7umo4I3__aLRo8HBFwFr5hqQIGtdYiBnCkdC2xq11DIKF3i5IA,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-1931283843-340991006-2778759058-1001 -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-1931283843-340991006-2778759058-1001 -> {A3D7DDF7-20FD-43BD-9F8C-A3B944725E75} URL = AppInit_DLLs: C:\ProgramData\Trescof\Warmdex.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Trescof\Funtouch.dll => Brak pliku Task: {6544E94A-92E2-41B4-A32B-53684F1C37C0} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe Task: {91945774-6691-40B4-825D-8848670508EE} - System32\Tasks\PDVDServ12 Task => C:\Program Files (x86)\Lenovo\PowerDVD12\PDVD12Serv.exe Task: {A8A410A0-037A-4E74-8362-F0CB8762C0D0} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-04-17] () DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Trescofs RemoveDirectory: C:\Users\Aleksiejuk\AppData\local\Mozilla RemoveDirectory: C:\Users\Aleksiejuk\AppData\Roaming\Mozilla CMD: del /q C:\Users\Aleksiejuk\AppData\Roaming\*.* CMD: del /q C:\WINDOWS\system32\Drivers\EsgScanner.sys CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Oczywiście temat przenoszę do właściwego działu Hardware. Komentarze poboczne ode mnie w spoilerze:

Ten problem z wyłączaniem modułów programów zabezpieczających wygląda na pochodną uszkodzeń plików systemowych. Skan SFC notuje rozwalone komponenty Windows Filtering Platform (utylizowany przez zewnętrzne programy zabezpieczające), brak plików. Nic nie zostało naprawione, gdyż brak poprawnych kopii w systemie: 2016-04-17 18:54:27, Info CSI 0000036a [sR] Cannot repair member file [l:20{10}]"fltLib.dll" of Microsoft-Windows-FilterManager-Utils, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing 2016-04-17 18:54:27, Info CSI 0000036b [sR] Cannot repair member file [l:18{9}]"fltMC.exe" of Microsoft-Windows-FilterManager-Utils, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing 2016-04-17 18:54:27, Info CSI 0000036c [sR] Cannot repair member file [l:48{24}]"FirewallControlPanel.dll" of Networking-MPSSVC, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing 2016-04-17 18:54:27, Info CSI 0000036d [sR] Cannot repair member file [l:20{10}]"fltLib.dll" of Microsoft-Windows-FilterManager-Utils, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing 2016-04-17 18:54:27, Info CSI 0000036e [sR] This component was referenced by [l:202{101}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.WindowsFoundationDelivery" 2016-04-17 18:54:27, Info CSI 0000036f [sR] Cannot repair member file [l:18{9}]"fltMC.exe" of Microsoft-Windows-FilterManager-Utils, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing 2016-04-17 18:54:27, Info CSI 00000370 [sR] This component was referenced by [l:202{101}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.WindowsFoundationDelivery" 2016-04-17 18:54:27, Info CSI 00000371 [sR] Could not reproject corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:20{10}]"fltLib.dll"; source file in store is also corrupted 2016-04-17 18:54:27, Info CSI 00000372 [sR] Could not reproject corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:18{9}]"fltMC.exe"; source file in store is also corrupted 2016-04-17 18:54:27, Info CSI 00000373 [sR] Cannot repair member file [l:48{24}]"FirewallControlPanel.dll" of Networking-MPSSVC, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing 2016-04-17 18:54:27, Info CSI 00000374 [sR] This component was referenced by [l:202{101}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.WindowsFoundationDelivery" 2016-04-17 18:54:27, Info CSI 00000375 [sR] Could not reproject corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:48{24}]"FirewallControlPanel.dll"; source file in store is also corrupted Naprawa będzie polegać na dostarczeniu z mojego systemu wiernych kopii plików o identycznych sumach MD5 wymaganych przez system. Na razie podaj mi wygodniejszy do analizy spis plików. Tzn. uruchom FRST, polu Szukaj wklej co poniżej, klik w Szukaj plików i dostarcz wynikowy log. fltLib.dll;fltMC.exe;FirewallControlPanel.dll

Jeśli wykonałeś też reset Firefox jak powiedziałam, to przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu Asi foldery FRST + Stare dane programu Firefox. I na Asi już skończyliśmy. Teraz dostarcz logi FRST z kolejnego konta.

Skrypt FRST uruchomiłeś bezsensownie aż 4 razy. To skrypt jednorazowego podejścia i nie zadziała więcej niż raz, nie znajdzie rzeczy już przetworzonych wcześniej. Co się działo, że aż 4 podejścia były? Poprzednie zadania w większości wykonane (ostał się tylko jeden rekord DNS), tylko że w międzyczasie nabyłeś nowe obiekty adware, tzn. jIxmRfR - fałszywy klon Google Chrome, który podmienił wszystkie skróty Google Chrome. Kolejne czyszczenie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{E4D7884B-C731-44AC-ADC7-FB2C113BCEA1}: [DhcpNameServer] 46.101.178.39 8.8.8.8 S2 jIxmRfR_download; "C:\Users\asus\AppData\Local\Temp\ist936.tmp\tools\chr.exe" [X] Task: {1DAB0484-C91C-4387-ACA5-A6B5D2A8FC14} - \jIxmRfRCheckTask -> Brak pliku Task: {5BF2CFF9-CBB9-414E-AB90-D18AE27359F6} - \jIxmRfRBrowserUpdateCore -> Brak pliku Task: {6EB9E3F4-4799-48EF-B92C-B232A1E4E692} - \jIxmRfRBrowserUpdateUA -> Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\jIxmRfR RemoveDirectory: C:\ProgramData\jIxmRfR RemoveDirectory: C:\Users\asus\AppData\Local\jIxmRfR RemoveDirectory: C:\Users\asus\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Public\Documents\jIxmRfR RemoveDirectory: C:\WINDOWS\system32\log CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk" CMD: del /q "C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk" CMD: del /q "C:\Users\asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" CMD: del /q "C:\Users\asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk" CMD: del /q "C:\Users\Public\Desktop\Google Chrome.lnk" CMD: del /q C:\Users\asus\Downloads\*.exe.part CMD: del /q C:\Users\asus\Downloads\MicrosoftFixit.ProgramInstallUninstall.*.exe CMD: del /q C:\Users\asus\Downloads\OTL*.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi reset i powstanie kolejny plik fixlog.txt. Przedstaw go. 2. Uruchom FRST, w polu Szukaj wklej co poniżej i klik w Szukaj w rejestrze. Przedstaw wynikowy log. jIxmRfR;chrome.exe