jessica

Możemy kończyć:

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

jessi

Klucze wyglądają na OK (są różnice w porównaniu z moimi kluczami, ale wg mnie nie mające nic wspólnego z błędem 1068)

I sposób:

START>>URUCHOM >> wybierz (lub wpisz): regedit >OK >TAK >
rozwiń ten klucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
>prawoklik na NlaSvc >Uprawnienia >Zaawansowane>zakładka Uprawnienia > podaj, jakie tam widzisz uprawnienia
(u mnie są takie:
----> SYSTEM: Pełna kontrola
----> Administratorzy: Pełna kontrola
----> Użytkownicy: Odczyt
----> TWÓRCA-WŁAŚCICIEL: Uprawnienia specjalne)

rozwiń ten klucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc
>prawoklik na Parameters >Uprawnienia >Zaawansowane>zakładka Uprawnienia > podaj, jakie tam widzisz uprawnienia
(u mnie są takie:
----> SYSTEM: Pełna kontrola
----> Administratorzy: Pełna kontrola
----> Dhcp, NlaSvc, INTERAKTYWNA, USŁUGA: Uprawnienia specjalne

rozwiń ten klucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc
>prawoklik na Security >Uprawnienia >Zaawansowane>zakładka Uprawnienia > podaj, jakie tam widzisz uprawnienia
(u mnie są takie:
----> SYSTEM: Pełna kontrola
----> Administratorzy: Pełna kontrola
----> TWÓRCA-WŁAŚCICIEL: Uprawnienia specjalne
----> Użytkownicy: Odczyt)

albo zamiast I sposobu możesz zrobić to:

II sposób:

Otwórz Notatnik i wklej w nim:

ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc
ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters
ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Security

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

dla @Picasso to bez znaczenia, który z powyższych sposobów wybierzesz.

jessi

DigitalPowered Toolbar (HKLM-x32\...\DigitalPowered Toolbar) (Version:  - )

 

Jeśli nie korzystasz z niego, to też odinstaluj.

Tylko kosmetyka:

Otwórz Notatnik i wklej w nim:

ShortcutWithArgument: C:\Users\kuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\TheSettlersOnline.lnk -> C:\Users\kuba\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> --app=hxxp://www.thesettlersonline.pl/?pid=TSO_PL_05_0316_09_000_02_0514_00 --app-window-size=1366,768

FirewallRules: [TCP Query User{1B326EA5-2CCE-4621-BC2A-47D98D284AB4}C:\users\kuba\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\kuba\appdata\local\akamai\netsession_win.exe

FirewallRules: [uDP Query User{EBAEE11C-9EE3-4ACC-9112-970C53B20EB3}C:\users\kuba\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\kuba\appdata\local\akamai\netsession_win.exe

Task: {30403A59-C3E9-48BD-A51C-C6306AC2226D} - System32\Tasks\{1ECF8733-C313-4F20-9A03-65183F74BA73} => pcalua.exe -a C:\Users\kuba\Downloads\Knights.and.Merchants.The.Shattered.Kingdom.i.The.Peasants.Rebbelion.PL\Knights.and.Merchants.The.Shattered.Kingdom.i.The.Peasants.Rebbelion.PL\KaM_TPR\KaM_TPR_patch\sr2_polish.exe -d C:\Users\kuba\Downloads\Knights.and.Merchants.The.Shattered.Kingdom.i.The.Peasants.Rebbelion.PL\Knights.and.Merchants.The.Shattered.Kingdom.i.The.Peasants.Rebbelion.PL\KaM_TPR\KaM_TPR_patch

Task: {4E14A8A9-6AB1-45AA-A61E-9DA66339D4C6} - System32\Tasks\Zadania podglądu zdarzeń\818644e6-fdbf-4728-a086-9ed46bd1973b => Wscript.exe "C:\Users\kuba\AppData\Local\Temp\tmpAB9D.vbs" <==== UWAGA

Task: {989FF1C8-5313-48BC-A1ED-E572C2B8433B} - System32\Tasks\{32CD24A5-C2A4-4B21-A229-53851D801C01} => pcalua.exe -a "E:\Program Files\gothic\Materiały Dodatkowe\gothic1_playerkit-1.08k.exe" -d "E:\Program Files\gothic\Materiały Dodatkowe"

Task: {ACD3705D-4FA1-4B75-963B-8ABEA458E250} - System32\Tasks\{03AADE93-CA62-4776-8D36-BCB8C7B87FC1} => pcalua.exe -a "C:\Users\kuba\Desktop\Hearts of Iron 2 Doomsday - Armagedon[PL]\HoI 2 Doomsday Armagedon\setup.exe" -d "C:\Users\kuba\Desktop\Hearts of Iron 2 Doomsday - Armagedon[PL]\HoI 2 Doomsday Armagedon"

Task: {C9B3F332-4DB8-4C47-B098-4330D77B5C72} - System32\Tasks\{C5BCE396-915B-4A94-A3F8-FAFE1AE9F565} => pcalua.exe -a C:\Users\kuba\Desktop\TagesSetup.exe -d C:\Users\kuba\Desktop

Task: {FAD92861-DB69-425B-96C5-8CA504A00930} - System32\Tasks\{7D3D6221-6F47-4D64-84B6-A58E66D9D2DB} => pcalua.exe -a "F:\DUNGON KEEPER 2\(PATCHE DO GRY)\DK2 1.3 do 1.7 patch\Aktualizacja wersji 1.3 do 1.7.exe" -d "F:\DUNGON KEEPER 2\(PATCHE DO GRY)\DK2 1.3 do 1.7 patch"

HKLM-x32\...\Run: [tuto4pc_pl_5] => [X]

HKU\S-1-5-21-4106749709-3876302293-3960192693-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\kuba\AppData\Local\Akamai\netsession_win.exe"

C:\Users\kuba\AppData\Local\Akamai\netsession_win.exe

SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2031308

SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2031308

SearchScopes: HKU\S-1-5-21-4106749709-3876302293-3960192693-1001 -> {A69A52F6-B39E-4B0D-B61E-B6F2FAEC20B3} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=8EBED9A7-939F-4E5E-9DD8-8FF2F175073B&apn_sauid=98FC1BF8-EC22-4FE4-AC01-B194402E0B80

S3 massfilter_lte; \??\C:\Windows\system32\drivers\massfilter_lte.sys [X]

S3 zgdcat; system32\DRIVERS\zgdcat.sys [X]

S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X]

S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X]

S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X]

S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN\Documentation.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN\Release Notes.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN\Reset VLC media player preferences and cache files.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN\VideoLAN Website.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN\VLC media player skinned.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN\VLC media player.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcerSystem\AcerSystem User Guide.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcerSystem\AcerSystem User Quick Guide.lnk

C:\Users\UpdatusUser\Desktop\Heroes III In the Wake of Gods.lnk

C:\Users\UpdatusUser\Desktop\Knights & Merchants TPR.lnk

C:\Users\UpdatusUser\Desktop\Mount&Blade.lnk

C:\Users\UpdatusUser\Desktop\New Features of Heroes III In the Wake of Gods.lnk

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

jessi

Dzisiaj już nie mam czasu zająć się tematem, ale:

1) Odinstaluj te programy:

Akamai NetSession Interface

Complitly (HKLM-x32\...\{4FFBB818-B13C-11E0-931D-B2664824019B}_is1) (Version:  - Complitly) <==== UWAGA

2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego

3) Zrób nowe logi FRST.

jessi

Otwórz Notatnik i wklej w nim:

CustomCLSID: HKU\S-1-5-21-312285223-1735466544-1751200684-1129_Classes\CLSID\{2D349E57-23E4-4A67-9624-F1DC6B65AABF}\InprocServer32 -> C:\ProgramData\{F66CB4EE-546F-4D54-9332-216DE189AAB0}\shsetup.dll (ioofoonrar ipottMscCr) <==== UWAGA
C:\ProgramData\{F66CB4EE-546F-4D54-9332-216DE189AAB0}
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== UWAGA
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== UWAGA
HKU\S-1-5-21-312285223-1735466544-1751200684-1129 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== UWAGA
HKU\S-1-5-21-312285223-1735466544-1751200684-1129 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe <====== UWAGA
HKU\S-1-5-21-312285223-1735466544-1751200684-1129 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe <====== UWAGA
HKU\S-1-5-21-312285223-1735466544-1751200684-1129 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== UWAGA
HKU\S-1-5-21-312285223-1735466544-1751200684-1129\SOFTWARE\Policies\Microsoft\Internet Explorer: Zasada ograniczeń <======= UWAGA
SearchScopes: HKU\S-1-5-21-312285223-1735466544-1751200684-1129 -> DefaultScope {1A95DC8F-4A6D-4938-B715-50B59B516306} URL =
SearchScopes: HKU\S-1-5-21-312285223-1735466544-1751200684-1129 -> {1A95DC8F-4A6D-4938-B715-50B59B516306} URL =
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\mozilla.cfg [2015-08-17] <==== UWAGA
EmptyTemp:

Zrób nowe logi FRST.

Jeśli problem będzie dalej występował, to gdy tylko zauważysz, że @Picasso zaczęła pomagać na forum, to zgłosisz swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/

jessi

Tylko kosmetyka:

Otwórz Notatnik i wklej w nim:

Task: {CD85339A-7BA6-45D1-9AF0-FDC60E06EAF9} - System32\Tasks\{A7606FBA-B982-4548-8C07-4621563FE4CA} => pcalua.exe -a "E:\Pobrane pliki\Nowy folder\Setup.exe" -d "E:\Pobrane pliki\Nowy folder"
Task: {FB3ADF40-5039-4679-8E69-B579843EBB70} - System32\Tasks\{ACDF651B-6078-4389-A14F-06362E3186D2} => pcalua.exe -a C:\Users\Admin\Downloads\dotnetfx35.exe -d C:\Users\Admin\Downloads
EmptyTemp:

Error: (08/25/2015 06:16:27 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Usługa Usługa listy sieci zależy od usługi Rozpoznawanie lokalizacji w sieci, której nie można uruchomić z powodu następującego błędu:
%%1068

 

Niestety, ja nie mam pojęcia, co oznacza błąd "1068".

Być może chodzi o uprawnienia. do dostępu do usługi.

W tej sytuacji musi to obejrzeć @Picasso.

Już wróciła, ale nie wiem, kiedy zacznie pomagać, bo najpierw musi się zająć sprawami administracyjnymi forum.

Jak tylko zauważysz, że już pomaga, to zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/

W międzyczasie możesz przygotować:

Otwórz Notatnik i wklej w nim:

Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\nlasvc /s

jessi

W tych logach nie widzę niczego podejrzanego.

Na wszelki wypadek zrób jeszcze logi z FRST https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

jessi

Otwórz Notatnik i wklej w nim:

CustomCLSID: HKU\S-1-5-21-2467892005-1031204728-3390297362-1000_Classes\CLSID\{939A0D04-0E07-48FE-A463-6623B70C3A96}\localserver32 -> "C:\Users\Ania\AppData\Roaming\ValueApps\IE\ValueApps.exe" Brak pliku
C:\Program Files\Common Files\fccb0821-00ee-466c-acb5-2a5cec258511
C:\ProgramData\fccb0821-00ee-466c-acb5-2a5cec258511
GroupPolicy: Zasady grupy  Chrome wykryto <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Zasada ograniczeń <======= UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Zasada ograniczeń <======= UWAGA
HKU\S-1-5-21-2467892005-1031204728-3390297362-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Zasada ograniczeń <======= UWAGA
BHO: Wander Burst -> {0f4e02f8-f10e-493d-a1a7-3aed7ba7b110} -> C:\Program Files\Wander Burst\Extensions\0f4e02f8-f10e-493d-a1a7-3aed7ba7b110.dll Brak pliku
BHO: BrowseSmart -> {4c06cc5b-59cb-4063-8ddb-6452de2c5617} -> C:\Program Files\BrowseSmart\BrowseSmartBHO.dll Brak pliku
C:\Program Files\BrowseSmart
C:\Program Files\Wander Burst
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
R2 Service Mgr WanderBurst; C:\ProgramData\fccb0821-00ee-466c-acb5-2a5cec258511\PluginContainer.exe [1193696 2015-08-25] ()
R2 Update Mgr WanderBurst; C:\Program Files\Common Files\fccb0821-00ee-466c-acb5-2a5cec258511\updater.exe [703712 2015-08-25] ()
S3 ASUSProcObsrv; \??\E:\I386\AsProcOb.sys [X]
S3 catchme; \??\C:\Users\Ania\AppData\Local\Temp\catchme.sys [X]
EmptyTemp:

Zrób nowe logi FRST.

Napisz, czy Wander Burst znikł?

jessi

https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

Bez logów nie da się zobaczyć, czy jeszcze jest coś podejrzanego.

jessi

@Picasso już wróciła, ale najpierw musi się zająć sprawami administracyjnymi forum,.

Jak tylko zauważysz, że zaczęła pomagać, to zgłosisz temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/

jessi

Mam 2 pytania jeszcze:

1) Czy jak mam zsynchronizowany chrome z chromem na tel to tam też coś mogło się zainstalować? Bo np. jak wejdę tam w ustawienia> wyszukiwarka, to jest ustawione na Google ale pod spodem widzę też Bing

2) Jakim programem się chronić, bo Malwarebytes jest tylko wersją próbną?

Ad1: Bing jest domyślną wyszukiwarką Microsoftu.

Ad2: To nie chodzi o program, tylko o ostrożność - przejrzyj ten temat https://www.fixitpc.pl/topic/19809-portale-z-oprogramowaniem-instalatory-na-co-uwa%C5%BCa%C4%87/

A po każdym ściągnięciu jakiegokolwiek programu z netu lepiej jest od razu użyć Adw-Cleaner.

Otwórz Notatnik i wklej w nim:

C:\windows\4941BFEB62C047A2801E998FC469CC2C.TMP

C:\Users\User\Documents\SpyHunter 4.13.6.4253 + Patch

FirewallRules: [{10FB2BDE-0838-426A-9941-527B46D92D47}] => (Allow) C:\ProgramData\eSafe\eGdpSvc.exe

FirewallRules: [{081A3B26-F0C1-47F2-8E3E-934A4D836F35}] => (Allow) C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe

FirewallRules: [{0DF22785-00D1-4530-8CC8-3CE703895C63}] => (Allow) C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe

FirewallRules: [{5DFC5CDB-8A7D-4295-8C8B-B0346F802891}] => (Allow) C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe

FirewallRules: [{53165822-6FE3-43AB-B362-BE2BD9FFEECE}] => (Allow) C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Potem kończymy:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.

przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

Java 8 Update 45 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218045F0}) (Version: 8.0.450 - Oracle Corporation)

Jest już nowsza wersja Javy, zainstaluj wg https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/?do=findComment&comment=43590

jessi

# Aktualizacja 03/11/2013 przez Xplode

Taki antyczny Adw-Cleaner oczywiście nie mógł usunąć nowszych wersji śmieci.

1)  .               SPYHUNTER

Odinstaluj, ale w ten sposób:

kliknij na tę ikonkę C:\Users\nazwa Użytkownika\Start Menu\Programs\SpyHunter\Uninstall.lnk (czyli >>START >>Programy>>Spy Hunter>>Unnistal)

wyskoczy okienko, ale zamiast klikać wielki zielony guzik "continue" kliknij "no, thanks". To drugie odinstalowuje.

2) Otwórz Notatnik i wklej w nim:

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Users\User\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1440441017&z=fd08ddff55a9051bbd1430eg0z6zbe4z5z0e6t0g6g&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Users\User\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1440441017&z=fd08ddff55a9051bbd1430eg0z6zbe4z5z0e6t0g6g&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Hola Better Internet Engine.lnk -> C:\Users\User\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1440441017&z=fd08ddff55a9051bbd1430eg0z6zbe4z5z0e6t0g6g&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1440441017&z=fd08ddff55a9051bbd1430eg0z6zbe4z5z0e6t0g6g&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1440441017&z=fd08ddff55a9051bbd1430eg0z6zbe4z5z0e6t0g6g&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\18e32c68f4f8f5e7\Google Chrome.lnk -> C:\Users\User\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1440441017&z=fd08ddff55a9051bbd1430eg0z6zbe4z5z0e6t0g6g&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016

AppInit_DLLs: C:\ProgramData\Tristip\Alphadax.dll => C:\ProgramData\Tristip\Alphadax.dll Plik nie znaleziono

AppInit_DLLs-x32: C:\ProgramData\Tristip\Quad-Tech.dll => "C:\ProgramData\Tristip\Quad-Tech.dll" Plik nie znaleziono

C:\ProgramData\Tristip

StartMenuInternet: Google Chrome.7UHCOHOCA5VZPBFJSPRUTZRCNM - C:\Users\User\AppData\Local\Google\Chrome\Application\chrome.exe http://www.istartsurf.com/?type=sc&ts=1440441017&z=fd08ddff55a9051bbd1430eg0z6zbe4z5z0e6t0g6g&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016

S3 esgiguard; C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [13088 2011-03-02] ()

C:\windows\Minidump\*.dmp

C:\ProgramData\update

C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat

C:\Users\User\Desktop\programy\SpyHunter.lnk

C:\Program Files (x86)\Enigma Software Group

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\SpyHunter.lnk

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\SpyHunter Emergency Startup.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "%PROGRAMFILES%\Enigma Software Group\SpyHunter\SH4.com"

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\Uninstall SpyHunter.lnk -> C:\Windows\SysWOW64\msiexec.exe (Microsoft Corporation) -> /X {4941BFEB-62C0-47A2-801E-998FC469CC2C}

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\SpyHunter Emergency Startup.lnk

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\Uninstall SpyHunter.lnk

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

Napisz, czy problem znikł?

jessi

W nowych logach nie widzę już niczego podejrzanego, więc możemy kończyć:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

jessi

Tylko kosmetyka:

Otwórz Notatnik i wklej w nim:

Task: {2DE7C9FE-18B9-4716-8574-0480E829D15A} - System32\Tasks\{ABB383B5-7924-4738-9821-80A2F6FDEE45} => pcalua.exe -a C:\Users\Maciek\Downloads\SETUP.EXE -d C:\Users\Maciek\Downloads
EmptyTemp:

---------------------------------------------------------------------

.

(AMD) C:\Windows\System32\atieclxx.exe

+

2015-08-24 16:44 - 2015-08-24 16:44 - 00426280 _____ C:\Windows\Minidump\082415-16146-01.dmp
2015-08-24 16:43 - 2015-08-24 16:43 - 00426280 _____ C:\Windows\Minidump\082415-14898-01.dmp
2015-08-24 16:42 - 2015-08-24 16:42 - 00580424 _____ C:\Windows\Minidump\082415-14024-01.dmp
2015-08-24 16:39 - 2015-08-24 16:39 - 00974136 _____ C:\Windows\Minidump\082415-13946-01.dmp
2015-08-24 16:35 - 2015-08-24 16:35 - 01110376 _____ C:\Windows\Minidump\082415-14523-01.dmp
2015-08-24 16:28 - 2015-08-24 16:28 - 00715144 _____ C:\Windows\Minidump\082415-14726-01.dmp
2015-08-24 16:24 - 2015-08-24 16:24 - 00715088 _____ C:\Windows\Minidump\082415-15116-01.dmp

+

ekran komputera rozmywa się, staje się coraz jaśniejszy i komputer sie resetuje

Wygląda na to, że Twoja karta graficzna jest uszkodzona.

Ale to już problem nie do tego działu forum.

jessi

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8EE0F9DF-1DAC-4979-BB71-EE61D7FBEE00}]

[-HKEY_USERS\S-1-5-21-3916604919-2912353607-3506189148-1003\Software\Microsoft\Internet Explorer\DOMStorage\search.safefinder.com]

Uruchom FRST.
W polu SEARCH wklej:

SafeFinder;

{8EE0F9DF-1DAC-4979-BB71-EE61D7FBEE00}

jessi

1) Odinstaluj ten program:

WinZipper (HKLM-x32\...\WinZipper) (Version: 1.5.104 - Taiwan Shui Mu Chih Ching Technology Limited.) <==== UWAGA
 

2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego

3) Otwórz Notatnik i wklej w nim:

ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1432921660&z=2dcc7ddcf64fb84f9a3efa3g4z9caoet0o8gdqez3w&from=wpm052932&uid=ST1000LM024XHN-M101MBB_S314J90F914049914049
ShortcutWithArgument: C:\Users\dell1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1432921660&z=2dcc7ddcf64fb84f9a3efa3g4z9caoet0o8gdqez3w&from=wpm052932&uid=ST1000LM024XHN-M101MBB_S314J90F914049914049
GroupPolicy: Zasady grupy  Chrome wykryto <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Zasada ograniczeń <======= UWAGA
S3 cpuz136; \??\C:\Users\dell1\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X]
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3707648062-2139271918-1591676855-1001 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL =
EmptyTemp:

4) Zrób nowe logi FRST.

jessi

Chyba żartujesz :) - Hijacka nie używa się już od bardzo dawna.

Zrób logi z FRST https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

Chciałem załączyć logi, jednak nie mam do tego uprawnień.

 

logi muszą miec rozszerzenie *.txt (a nie *.log)

Skoro problem znikł, to chyba możemy kończyć:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

Java 8 Update 31 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218031F0}) (Version: 8.0.310 - Oracle Corporation)

 

Zainstaluj nowszą wersję Javy, wg https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/?do=findComment&comment=43590

jessi

Nic podejrzanego.

Opróżnimy tylko foldery plików tymczasowych:

Otwórz Notatnik i wklej w nim:

S2 Service KMSELDI; C:\Program Files\KMSpico\Service_KMS.exe [966336 2014-12-04] (@ByELDI) [File not signed]
EmptyTemp:

jessi

SafeFinder (HKLM\...\{8EE0F9DF-1DAC-4979-BB71-EE61D7FBEE00}) (Version: 1.0.0.0 - Linkury)

Dalej jest na liście Twoich programów, ale poza tym w logach nie widzę niczego podejrzanego.

Uruchom FRST.

W polu SEARCH wklej:

SafeFinder*.*

kliknij na przycisk "Search Files".

Raport z tego będzie tam, gdzie jest FRST.

Uruchom FRST.

W polu SEARCH wklej:

SafeFinder;

 

{8EE0F9DF-1DAC-4979-BB71-EE61D7FBEE00}

kliknij na przycisk "Search Registry".

Raport z tego będzie tam, gdzie jest FRST.

jessi

1) Otwórz Notatnik i wklej w nim:

Winsock: Catalog5 01 C:\Windows\system32\mswsock.dll [232448 2009-07-14] (Microsoft Corporation)ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
EmptyTemp:

2) Pobierz >>ESET ServicesRepair
Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.

3) Zrób nowe logi FRST.

4) Zrób nowy log z FSS.

jessi

KMSpico (HKLM\...\{8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1) (Version: - )

 

Plik "SECOH-QAD.exe" to efekt działania tego powyższego programu (czyli niezbyt legalnego Systemu).

jessi

Adw-Cleaner nawet nie zaczął skanowania.

Otwórz Notatnik i wklej w nim:

FF NewTab: C:\\ProgramData\\Tristips\\ff.NT
C:\windows\system32\findit.xml
C:\ProgramData\Tristips
C:\ProgramData\Tristip
FF SearchEngineOrder.1: Ask Search
S2 Update FindRight; "C:\Program Files\FindRight\updateFindRight.exe" [X]
C:\Program Files\Common Files\npgnj3r0.4iv
FF Extension: Shopping App by Ask - C:\Users\HURTOWNIA\AppData\Roaming\Mozilla\Firefox\Profiles\9tuqu386.default\Extensions\toolbar_ORJ-ST-SPE@apn.ask.com.xpi [2014-12-23]
Task: {4DD8D027-FC1D-4AA9-AB56-B017AEB873F8} - System32\Tasks\{8E1667C3-5842-48B7-9259-9CCB1DCCDA95} => pcalua.exe -a "C:\Users\HURTOWNIA\AppData\Roaming\Image Editor Packages\uninstaller.exe" -c /Uninstall /NM="Image Editor Packages" /AN="" /MBN="Image Editor Packages"
CHR HKU\S-1-5-21-3916604919-2912353607-3506189148-1003\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3916604919-2912353607-3506189148-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSSMOb--s7QeNWcUk1GYs4TkjLPPJzBZArxh-7Ety6D4AQaLkMjGTKyffNp4C_fHL7_WBCBL9peOR4YyUw-qPiEH9kBhyem1vfQfc-bd6YLYDB_hWVIux-DdktAoA-0lBfhVO0nP_RMKg,,&q={searchTerms}
HKU\S-1-5-21-3916604919-2912353607-3506189148-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSSMOb--s7QeNWcUk1GYs4TkjLPPJzBZArxh-7Ety6D4AQaLkMjGTKyffNp4C_fHLIEhZmLQou-MdniXqxqDAIDd5F0TZZBaorikcrUuxLgw7gjyHILS4YAUoaOPmSWWg5Dw34w6spzdQ,,
HKU\S-1-5-21-3916604919-2912353607-3506189148-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn
HKU\S-1-5-21-3916604919-2912353607-3506189148-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSSMOb--s7QeNWcUk1GYs4TkjLPPJzBZArxh-7Ety6D4AQaLkMjGTKyffNp4C_fHL7_WBCBL9peOR4YyUw-qPiEH9kBhyem1vfQfc-bd6YLYDB_hWVIux-DdktAoA-0lBfhVO0nP_RMKg,,&q={searchTerms}
HKU\S-1-5-21-3916604919-2912353607-3506189148-1003\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSSMOb--s7QeNWcUk1GYs4TkjLPPJzBZArxh-7Ety6D4AQaLkMjGTKyffNp4C_fHL7_WBCBL9peOR4YyUw-qPiEH9kBhyem1vfQfc-bd6YLYDB_hWVIux-DdktAoA-0lBfhVO0nP_RMKg,,&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {ielnksrch} URL =
SearchScopes: HKU\S-1-5-21-3916604919-2912353607-3506189148-1003 -> DefaultScope {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN
SearchScopes: HKU\S-1-5-21-3916604919-2912353607-3506189148-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=8E740C5B8F279A64&affID=119357&tsp=4952
SearchScopes: HKU\S-1-5-21-3916604919-2912353607-3506189148-1003 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSSMOb--s7QeNWcUk1GYs4TkjLPPJzBZArxh-7Ety6D4AQaLkMjGTKyffNp4C_fHL7_WBCBL9peOR4YyUw-qPiEH9kBhyem1vfQfc-bd6YLYDB_hWVIux-DdktAoA-0lBfhVO0nP_RMKg,,&q={searchTerms}
2 DgiVecp; \??\C:\windows\system32\Drivers\DgiVecp.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 massfilter; system32\drivers\massfilter.sys [X]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
C:\windows\Minidump\*.dmp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android Studio\Android Studio.lnk
EmptyTemp:

Zrób nowe logi FRST - już bez Shortcut.

jessi

Otwórz Notatnik i wklej w nim:

Task: {4183E58D-6503-4E89-822A-0794F92CCF21} - System32\Tasks\{AE1D3BEA-CF3D-41F6-A58F-FF43873AD671} => pcalua.exe -a C:\Users\Zbig\AppData\Roaming\key-find\UninstallManager.exe -c  -ptid=cor
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKLM -> OldSearch URL = hxxp://www.key-find.com/web/?type=dspp&ts=1423498106&from=cor&uid=SanDiskXSDSSDHP128G_143209405140&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-89024625-531801101-2480016220-1001 -> OldSearch URL = hxxp://www.key-find.com/web/?type=dspp&ts=1423498106&from=cor&uid=SanDiskXSDSSDHP128G_143209405140&q={searchTerms}
SearchScopes: HKU\S-1-5-21-89024625-531801101-2480016220-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-89024625-531801101-2480016220-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL =
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
FF NewTab: hxxp://search.yahoo.com/?fr=hp-ddc-bd-tab&type=bg_616_bl-is-17__alt__ddc_dsssyctab_bd_com
FF SelectedSearchEngine: key-find
FF Keyword.URL: hxxp://search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=bg_616_bl-is-17__alt__ddc_dss_bd_com&p={searchTerms}
FF Extension: Strong Signal - C:\Users\Zbig\AppData\Roaming\Mozilla\Firefox\Profiles\2v1y3d2u.default\Extensions\{9d204d90-67ed-4674-ad22-ac0bd52d6ba6}.xpi [2015-02-09]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mała Księgowość\Aktualizacja programu.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Księga\Aktualizacja programu.lnk
EmptyTemp:

Zrób nowe logi FRST.

Ok. 23 sierpnia wraca @Picasso, więc wtedy zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/

Właściwie to @Picasso już jest, ale najpierw musi się zająć sprawami administracyjnymi forum.

jessi