Zainfekowany system, Toolbar etc.

[htw]

Witam,

 

standardowo system zwolnił , duże obciążenie dysku, pełno na silę uszczęśliwiających aplikacji, toolbarów etc.

 

Wykonane czynności:

 

1. Odistalowanie ręczne wszystkiego co zbędne (włącznie z badziewnym Avastem, zainstaluje coś ciekawszego na końcu)

2. Skan Malwarebytes (usunięcie)

3. Skan FRBR

 

logi:

 

Malwarebytes

http://wklej.org/id/1131565/

 

FRBR

http://wklej.org/id/1131566/

 

ADD

http://wklej.org/id/1131567/

 

 

 

.

[picasso]

Jak napisałam w przyklejonym, na razie jest okres przejściowy i raporty z OTL też się dołącza.

 

Śmieci adware pewnie nabyte przez portalowe downloadery, bo widzę wyniki typu avast-Free-Antivirus(13266).exe ("Asystent pobierania" dobrychprogramów) czy ClassicShell_downloader_by_Downloadnetpl.exe. I w systemie należy załadować poprawki na szczątki adware oraz malware skryptowe w Harmonogramie Windows. Zanim wszystko usuniemy, skopiuj na Pulpit plik zadania C:\Windows\system32\Tasks\5828 i wyślij mi go na PW do wglądu jaka ścieżka skryptu jest wywoływana. FRST powinien pobrać z XML ścieżkę docelową, a nie zrobił tego na widzianym tu Windows 8. Po przesłaniu pliku:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {6E9FDC62-9A21-4347-BCCB-67CE8281F2D7} - System32\Tasks\0 => Iexplore.exe
Task: {B3900731-BA36-44D8-ACD3-836EDA12A892} - System32\Tasks\5828 => C:\Windows\System32\wscript.exe [2012-07-26] (Microsoft Corporation)
HKLM-x32\...\Run: [tuto4pc_pl_17] - [x]
URLSearchHook: (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=34ABCAF73394719B&affID=119357&tsp=5004
SearchScopes: HKCU - {0FCBC34A-9748-45CD-827C-A5603F08C103} URL = http://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10513
SearchScopes: HKCU - {779A2E64-4866-4DC0-893A-609F3F79FCD6} URL =
SearchScopes: HKCU - {DB1711F6-2AC9-47B9-8611-4AB7254FB0CC} URL = http://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10511
SearchScopes: HKCU - {E7F800B0-10E9-4FDA-A845-F6943F71F5C5} URL = http://www.search.ask.com/web?p2=^B7N^YYYYYY^YY^PL&gct=&itbv=12.2.2.604&o=APN11293&tpid=CME-V7&apn_uid=98A53056-F5E6-4571-BC82-DCB0E1C16C37&apn_ptnrs=^B7N&apn_dtid=^YYYYYY^YY^PL&apn_dbr=iexplore.exe_6_10.0.9200.16537&doi=2013-08-01&trgb=IE&q={searchTerms}&psv=barid%3D{B579631D-FACE-11E2-BE82-C8F73394719E}%26cargo%3DCME-V7%26spr%3Da
SearchScopes: HKCU - {EC2D9970-EBD0-4C24-B4A7-A6453DA04714} URL = http://search.us.com/serp?guid={CC767068-5A1F-4EE4-9982-F94E413D831C}&action=default_search&serpv=5&k={searchTerms}
Toolbar: HKCU - No Name - {434D452D-5637-006A-76A7-7A786E7484D7} - No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
FF Plugin HKCU: intel.com/AppUp - C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp.dll No File
FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\extensions\ffxtlbr@babylon.com
S3 SBIOSIO; \??\C:\Users\Krzysiu i Danusia\AppData\Local\Temp\__Samsung_Update\SBIOSIO64.sys [x]
S3 TVICPORT; \??\C:\windows\system32\DRIVERS\TVICPORT.SYS [x]
C:\windows\SysWOW64\searchplugins
C:\windows\SysWOW64\Extensions
C:\Program Files (x86)\BonanzaDealsLive
C:\Program Files (x86)\BonanzaDeals
C:\Program Files (x86)\hdvidcodec.com
C:\Program Files (x86)\Movdap
C:\Program Files (x86)\predm
C:\Program Files (x86)\Smart PC Cleaner
C:\Program Files (x86)\WebCakeLayers.crx
C:\Users\Krzysiu i Danusia\AppData\Local\avgchrome
C:\Users\Krzysiu i Danusia\AppData\Local\eorezo
C:\Users\Krzysiu i Danusia\AppData\Local\BonanzaDealsLive
C:\Users\Krzysiu i Danusia\AppData\Local\TNT2
C:\Users\Krzysiu i Danusia\AppData\Local\Temp\*.exe
C:\Users\Krzysiu i Danusia\AppData\Roaming\Betcat
C:\Users\Krzysiu i Danusia\AppData\Roaming\Movdap
C:\ProgramData\BonanzaDealsLive
C:\ProgramData\Babylon
C:\ProgramData\DSearchLink
C:\ProgramData\Norton

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Wyczyść Google Chrome:

• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
• Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres Delta, przestaw na "Otwórz stronę nowej karty"
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i wymaż Delta stamtąd
• Ustawienia > karta Rozszerzenia > odinstaluj Web Cake
• Ustawienia > karta Historia > wyczyść

3. Wyczyść radykalnie Firefox poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[htw]

cholera, totalnie spiepszyłem .... samodzielnie nie odpowiedzialnie zrobiłem fixlist'a i teraz mam za swoje, masakra. Mogłem niczego nie ruszać - na własne życzenie

 

poniżej mój spiepszony farbar list:

http://wklej.org/id/1132316/

 

Mam nadzieję, że wszystko jest do odkręcenia, fixlog się powieksza i powieksza .....a FRST mieli i mieli, może wyłączyć cholera ... w dodatku dałem do wywalenia sofcik gdzie były pliki Video i Quarantine urosła do UWAGA - 77 GB,

 

ale ze mnie  pajac.

[picasso]

Potężnie zamieszałeś i użyj Przywracanie systemu do stanu sprzed fiksa, patrząc na spis punkty są i ten można wykorzystać:

 

==================== Restore Points =========================

 

20-08-2013 13:24:57 Windows Update

04-09-2013 06:30:39 Zaplanowany punkt kontrolny

07-09-2013 23:07:26 Installed Nero 9 Essentials 4.4.9.0

12-09-2013 15:01:41 Windows Update

17-09-2013 06:21:55 Installed SW Update

 

Nie wiem czy da radę w aktualnym stanie zrobić Przywracanie z poziomu Windows, ale do WinRE możesz wejść i stamtąd uruchomić Przywracanie. A po Przywracaniu systemu zrób nowe logi FRST (włącznie z Addition). W spoilerze komentarze dlaczego należy cofnąć system wstecz oraz co jest nie tak w skrypcie:

 

 

 

1. Wywalasz cały profil konta (sic!), czyli rejestr i wszystkie programy oraz ustawienia konta. Załączyłeś folder profilu, co rekursywnie załatwi profil:

 

C:\Users\Krzysiu i Danusia

 

To już powód, by szybko się cofnąć. Ale jeszcze skomentuję:

 

2. Załączyłeś inne poprawne linie i prawidłowe pliki:

 

Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 > być może padnie sieć jeśli FRST to naprawdę przetworzy

 

C:\Users\Krzysiu i Danusia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\S Agent.lnk

C:\Users\Krzysiu i Danusia\AppData\Roaming\dvdcss

C:\windows\SysWOW64\config.nt

C:\HDW40_TMP

C:\windows\Tasks\SA.DAT

 

3. Usuwasz zadania z Harmonogramu w niepoprawny sposób.

 

4. Tego FRST w ogóle nie przetworzy, gdyż jedyny sposób na czyszczenie określonych preferencji Google Chrome to opcje przeglądarki:

 

CHR HomePage: hxxp://www2.delta-search.com/?babsrc=HP_ss&mntrId=34ABCAF73394719B&affID=119357&tsp=5004

CHR RestoreOnStartup: "hxxp://www2.delta-search.com/?babsrc=HP_ss&mntrId=34ABCAF73394719B&affID=119357&tsp=5004"

CHR Plugin: (Chrome Remote Desktop Viewer) - internal-remoting-viewer

CHR Plugin: (Norton Identity Safe) - C:\Users\Krzysiu i Danusia\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkfokfffehpeedafpekjeddnmnjhmcmk\2013.3.3.19_0\npcoplgn.dll No File

 

A to w ogóle źle sformatowane:

 

C:\Program Files (x86)\Google\Update\1.3.21.145\npGoogleUpdate3.dll No File

C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)

 

5. Reset Firefox zadałam, bo to co może pokazać skan FRST (i OTL też) to tylko specyficzna część. W prefs.js jest na pewno dużo więcej rekordów adware. Dlatego ja nie używam w większości przypadków skryptu do czyszczenia Firefox, zadaję w skryptach tylko te części których reset Firefox nie obejmuje.

 

 

 

 

 

 

.

[htw]

C:\Users\Krzysiu i Danusia

 

nie mam pojęcia jak się to dostało do tej listy - wiem co to za katalog .. , kolejne wpisy były zamierzone, dokładnie te które wymieniłaś latały mi po głowie nie ruszaj .... (miałem spore wątpliwości ale pomyślałem, zobaczymy) MASAKRA - mam solidna nauczkę.

 

wyłączyć przetwarzenie FRST ?

 

btw. punkt przywracania:

 

17-09-2013 06:21:55 Installed SW Update

 

przywróci z powrotem pliki na swoje miejsce ? ta kwarantanna w FRBR - nie można z tego skorzystać ?

 

i w ogóle co zrobić bo FRBR skanuje cały czas, zatrzymać  i zresetować ?

 

sytuacja:

 

 

uwaliłem proces FRBR jak cała zawartość katalogu głównego ( użytkownika) zniknęła znikać .... mogłem za wczasu jak widziałem że cos niedobrego się robi wywalić ..

 

zresetować kompa ? co z kwarantanną ? jest tam wszystko co przesunęło chyba .. ( obecnie 88 GB)

 

i tutaj fixlog po fatalnym przetwarzaniu ..

http://www.sendspace.com/file/b48fbw

[picasso]

Co to za punkt "Removed Recovery" utworzony dziś przed 12? Czy on został utworzony przed skryptem FRST? Jeśli tak, ten wybierz.

 

 

btw. punkt przywracania:

 

17-09-2013 06:21:55 Installed SW Update

 

przywróci z powrotem pliki na swoje miejsce ? ta kwarantanna w FRBR - nie można z tego skorzystać ?

1. Przywracanie systemu od Vista w górę to potężny proces (cieniowanie woluminu) i dane (przynajmniej w większości) powinny wrócić na miejsce.

 

2. Niestety, ale tu nie ma czegoś takiego jak gładkie przywrócenie z kwarantanny FRST, z następujących powodów:

- Brak opcji wbudowanej umożliwiającej precyzyjne przesunięcie do lokalizacji pierwotnej, a ręczna robota nastręcza trudności:

- Kwarantanna nie respektuje struktury pierwotnej i wszystko jest wrzucane "luzem", na dodatek uprawnienia obiektów są zmieniane.

- W profilu jest mnóstwo obiektów specjalnych takich jak linki symboliczne i ręczne skopiowanie nie wchodzi w grę, one prawdopodobnie już zostały rozbite i nie są linkami.

Ponadto, FRST nadal przetwarza dane i nie oczekuj, że ukończy szybko (zadałeś mu potężną komendę):

 

 

i w ogóle co zrobić bo FRBR skanuje cały czas, zatrzymać i zresetować ?

Siłowy abort (wyłączenie systemu i od razu boot do WinRE zewnętrznego), bo szkody postępują.

 

 

 

.

[htw]

myśalłem, że przywracanie to proces prostszy .. w zasadzie jest sens, żebym zgrał na wszelki wypadek tą kwarantannę na drugi zew dysk jeśli by się nie powiodło przywracanie, w sęsie tam jest wszystko przesunięte wiec fotki itp. są ewentualnie nie będą posegregowne katalogami ale nie znikną .. ? 

[picasso]

myśalłem, że przywracanie to proces prostszy ..

Co masz na myśli? Przywracanie systemu to najprostsza droga.

 

 

w zasadzie jest sens, żebym zgrał na wszelki wypadek tą kwarantannę na drugi zew dysk jeśli by się nie powiodło przywracanie, w sęsie tam jest wszystko przesunięte wiec fotki itp. są ewentualnie nie będą posegregowne katalogami ale nie znikną .. ?

Na wszelki wypadek to zrób.

 

 

.

[htw]

Co masz na myśli? Przywracanie systemu to najprostsza droga.

 

1. Przywracanie systemu od Vista w górę to potężny proces (cieniowanie woluminu) i dane (przynajmniej w większości) powinny wrócić na miejsce.

 

nie widziałem że to taki zaawansowany proces, myslalem ze jak zrobi np. punkt instalacji czegoś tam to ewentualne przywrócenie nastąpi do momentu z przed instalacji nie grzebiąc w środowisku użytkownia ( katalog User, gdzie defacto wszystko jest, jeśli się nie rozubi innej partycji ..)

[htw]

niestety katalog (User) nie został przywrócony. Fotki plus wideo zostały nazwane wg daty wiec da się poukładać. Skąd się tam pojawił ten przeklęty katalog użytkownika do reszty sie przyznaje ale to .. 

 

logi po przywracaniu :

 

FRBR

http://wklej.org/id/1132685/

 

ADD

http://wklej.org/id/1132687/

 

OTL

http://wklej.org/id/1132689/

 

EX

http://wklej.org/id/1132690/

 

przeglądarki wyresetowane.

[picasso]

To mi daj zanim przejdę dalej:

 

Zanim wszystko usuniemy, skopiuj na Pulpit plik zadania C:\Windows\system32\Tasks\5828 i wyślij mi go na PW do wglądu jaka ścieżka skryptu jest wywoływana. FRST powinien pobrać z XML ścieżkę docelową, a nie zrobił tego na widzianym tu Windows 8.

I mam pytanie:

 

niestety katalog (User) nie został przywrócony

Który punkt Przywracania systemu wykorzystałeś?

 

 

.

[htw]

ten, który sugerowałaś. Poza tym w konsoli przywracania jest napisane, że nie rusza plików prywatnych użytkownika ...

 

Firefox jest ze stroną startową taka jak z przed psełdo naprawy.

 

Sytuacja:

 

notabene źródła tego syfu trafiłaś w 10 !

 

 

wywalam Chrome, użytkownik wcale za nią nie przepada .... wiec nie ma się nią co przejmować.

[picasso]

Dzięki za plik. Malware uruchamia taką oto komendę:

 

    <Exec>
      <Command>wscript.exe</Command>
      <Arguments>C:\Users\Krzysiu i Danusia\AppData\Local\Temp\launchie.vbs //B</Arguments>
    </Exec>

Zgłosiłam, powinno być naprawione. Pobierz ponownie FRST i zrób nowy skan, ale podaj tylko plik Addition. Po jego weryfikacji dokończymy inne sprawy.

 

 

Firefox jest ze stroną startową taka jak z przed psełdo naprawy.

Sytuacja jest taka jak przed zmianami i nie ma oznak resetu Firefox. To będzie zadane w instrukcjach.

 

 

wywalam Chrome, użytkownik wcale za nią nie przepada .... wiec nie ma się nią co przejmować.

Czyszczenie nie przedstawia trudności. Jeśli jednak usuwasz Google Chrome, to nie zapomnij skasować folder danych:

 

C:\Users\Krzysiu i Danusia\AppData\Local\Google\Chrome

 

 

 

.

[htw]

tylko ADD :

http://wklej.org/id/1132763/

po wykasowaniu Chrome

 

 

\Temp\launchie.vbs - ładnie to wybadałaś !

 

ten plik co kazałaś pokazać (5828) był podejrzany ze względu na nazwę .. ?

[picasso]

Ale przecież to log ze starej wersji (Version: 16-09-2013) bez poprawki. Najnowsza to: Version: 18-09-2013.

 

 

ten plik co kazałaś pokazać (5828) był podejrzany ze względu na nazwę .. ?

Kombinacja nazwy z faktem co uruchamia zadanie (interpreter skryptów). To oznacza, że musi być dodatkowy argument kierujący na uruchamianie konkretnego docelowego skryptu.

W Harmonogramie zadań w normalnych okolicznościach nie ma żadnych niedomyślnych zadań uruchamiających skrypty. Jest to od razu podejrzane.

 

 

 

.

[htw]

ściągam z :

http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/

 

ściągałem dwa razy z rzędu.

 

Additional scan result of Farbar Recovery Scan Tool (x64) Version: 16-09-2013

Ran by Krzysiu i Danusia at 2013-09-19 01:14:13

 

sprawdziłem na swoim kompie to samo:

 

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 16-09-2013

Ran by htw (administrator) on STACJONARNY on 19-09-2013 01:20:59

 

przy okazji (przeproszam za off-topic), oglądnąłem sobie loga  co zrobil Farbar i proszę:

DPF: HKLM-x32 {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} http://game.zylom.com/activex/zylomgamesplayer.cab

 

masakra, jaka patologia - przecież mi ostatnio sprawdzałaś i czyściłaś komputer a tu znowu, a przecież się pilnuję ...

 

albo:

S4 NanoServiceMain; "C:\Program Files (x86)\Panda Security\Panda Cloud Antivirus\PSANHost.exe" [x]

 

to szczątki po Pandzie (odinstalowana prawidłowo), po każdym  sofcie zostaje taki dziad ?

 

 

 

może autor aplikacji wywalił nową wersje .. ?

[picasso]

A widzę, to wersja x64 nie jest podmieniona (ja mam system x86). I przechodzimy do czyszczenia zasadniczego:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {6E9FDC62-9A21-4347-BCCB-67CE8281F2D7} - System32\Tasks\0 => Iexplore.exe
Task: {B3900731-BA36-44D8-ACD3-836EDA12A892} - System32\Tasks\5828 => C:\Windows\System32\wscript.exe [2012-07-26] (Microsoft Corporation)
HKLM-x32\...\Run: [tuto4pc_pl_17] - [x]
URLSearchHook: (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=34ABCAF73394719B&affID=119357&tsp=5004
SearchScopes: HKCU - {0FCBC34A-9748-45CD-827C-A5603F08C103} URL = http://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10513
SearchScopes: HKCU - {779A2E64-4866-4DC0-893A-609F3F79FCD6} URL =
SearchScopes: HKCU - {DB1711F6-2AC9-47B9-8611-4AB7254FB0CC} URL = http://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10511
SearchScopes: HKCU - {E7F800B0-10E9-4FDA-A845-F6943F71F5C5} URL = http://www.search.ask.com/web?p2=^B7N^YYYYYY^YY^PL&gct=&itbv=12.2.2.604&o=APN11293&tpid=CME-V7&apn_uid=98A53056-F5E6-4571-BC82-DCB0E1C16C37&apn_ptnrs=^B7N&apn_dtid=^YYYYYY^YY^PL&apn_dbr=iexplore.exe_6_10.0.9200.16537&doi=2013-08-01&trgb=IE&q={searchTerms}&psv=barid%3D%7BB579631D%2DFACE%2D11E2%2DBE82%2DC8F73394719E%7D%26cargo%3DCME%2DV7%26spr%3Da
SearchScopes: HKCU - {EC2D9970-EBD0-4C24-B4A7-A6453DA04714} URL = http://search.us.com/serp?guid={CC767068-5A1F-4EE4-9982-F94E413D831C}&action=default_search&serpv=5&k={searchTerms}
Toolbar: HKCU - No Name - {434D452D-5637-006A-76A7-7A786E7484D7} - No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
FF Plugin HKCU: intel.com/AppUp - C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp.dll No File
FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\extensions\ffxtlbr@babylon.com
S3 SBIOSIO; \??\C:\Users\Krzysiu i Danusia\AppData\Local\Temp\__Samsung_Update\SBIOSIO64.sys [x]
S3 TVICPORT; \??\C:\windows\system32\DRIVERS\TVICPORT.SYS [x]
C:\windows\SysWOW64\searchplugins
C:\windows\SysWOW64\Extensions
C:\Program Files (x86)\BonanzaDeals
C:\Program Files (x86)\Smart PC Cleaner
C:\Users\Krzysiu i Danusia\AppData\Local\TNT2
C:\Users\Krzysiu i Danusia\AppData\Roaming\Movdap
C:\Users\Krzysiu i Danusia\AppData\Roaming\WebApp

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[htw]

FIXLOG

http://wklej.org/id/1132778/

ADW

http://wklej.org/id/1132779/

FRST

http://wklej.org/id/1132780/

 

 

.

[picasso]

Akcje wykonane. Natomiast mnie interesuje stan ogólny konta. Sprawdź czy wszystko działa. Nie chodzi mi o "pliki prywatne", które już ręcznie z kwarantanny odzyskiwałeś, tylko o część programową konta: czy uprzednio zainstalowane aplikacje części użytkownika są widoczne, czy działają, czy nie mają wymazanych ustawień.

 

 

.

[htw]

odpaliłem wszystkie aplikacje dla pewności, odpalają się śpiewająco. Oczywiście dane muszę poukładać mniej wiecej tak jak było, trochę czasu mi zejdzie, dobrze, że komputer jest świeży notabene poza aktualnym systemem jest jakiś strażnik, żeby ewentualnie czuwał nad czystością, właśnie testuje Sandboxa, którego polecałaś w innym temacie ... w antywirusy już nie wierzę, nawet  Kasper, który jest chwalony i w testach wychodzi dobrze nie daje rady z takim dziadostwem ...

[picasso]

Czyli możesz kończyć temat.

- Na liście zainstalowanych widzę wpis Adobe Reader X (10.1.8) MUI. Jeśli nie jest widoczny w Panelu sterowania, to załatw go tym: KLIK.

- Posprzątaj po narzędziach i wyczyść foldery Przywracania systemu.

 

PS. Co do wersji x64 FRST, to była pomyłka przy uploadzie. Program miał być zaktualizowany. Obecnie już jest, ale nie ma po co go ściągać, bo i skończyliśmy, bo i przy kolejnym temacie i tak należy pobrać na nowo. Wersje galopują zbyt szybko, by nadążyć.

 

 

przy okazji (przeproszam za off-topic), oglądnąłem sobie loga co zrobil Farbar i proszę:

DPF: HKLM-x32 {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} hxxp://game.zylom.com/activex/zylomgamesplayer.cab

 

masakra, jaka patologia - przecież mi ostatnio sprawdzałaś i czyściłaś komputer a tu znowu, a przecież się pilnuję ...

 

albo:

S4 NanoServiceMain; "C:\Program Files (x86)\Panda Security\Panda Cloud Antivirus\PSANHost.exe" [x]

 

to szczątki po Pandzie (odinstalowana prawidłowo), po każdym sofcie zostaje taki dziad ?

Ta kontrolka ActiveX nie jest szkodliwa, dlatego nie ruszam, no i nie można stwierdzić czy z niej korzystasz czy nie. Co do szczątków po deinstalacjach, to trudno przewidzieć co i kiedy wyskoczy. Są logi gdzie po deinstalacji Pandy (i innych) nic nie widać, a są i takie gdzie wręcz przeciwnie.

 

 

.