jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
1) Otwórz Notatnik i wklej w nim:
BHO-x32: Strong Signal -> {c723a437-2eaf-466d-a95b-3fa0966bf88c} -> C:\Program Files (x86)\Strong Signal\Extensions\c723a437-2eaf-466d-a95b-3fa0966bf88c.dll No File
C:\Program Files (x86)\Strong Signal
C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce
C:\Program Files (x86)\Common Files\0780f478-67ce-4ec3-98db-39a65f4618ce
R2 Service Mgr StrongSignal; C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce\PluginContainer.exe [556304 2015-05-01] ()
R2 Update Mgr StrongSignal; C:\Program Files (x86)\Common Files\0780f478-67ce-4ec3-98db-39a65f4618ce\updater.exe [478992 2015-05-01] ()
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://q.search-simple.com/?affID=bl_c90e6650-6940-4c3f-8c1d-6730650b5563
HKU\S-1-5-21-2740577455-217369204-621276946-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://q.search-simple.com/?affID=bl_c90e6650-6940-4c3f-8c1d-6730650b5563
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://q.search-simple.com/?affID=bl_c90e6650-6940-4c3f-8c1d-6730650b5563&q={searchTerms}
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://q.search-simple.com/?affID=bl_c90e6650-6940-4c3f-8c1d-6730650b5563&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://q.search-simple.com/?affID=bl_c90e6650-6940-4c3f-8c1d-6730650b5563&q={searchTerms}
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
SearchScopes: HKU\S-1-5-21-2740577455-217369204-621276946-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://q.search-simple.com/?affID=bl_c90e6650-6940-4c3f-8c1d-6730650b5563&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2740577455-217369204-621276946-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://q.search-simple.com/?affID=bl_c90e6650-6940-4c3f-8c1d-6730650b5563&q={searchTerms}
EmptyTemp:Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.2) Zrób nowe logi FRST - już bez Shortcut.
jessi
-
1) Odinstaluj niepotrzebny Akamai NetSession Interface
2) Odinstaluj te programy:
Ask Toolbar (HKLM-x32\...\{86D4B82A-ABED-442A-BE86-96357B70F4FE}) (Version: 1.15.14.0 - Ask.com) <==== ATTENTION
Ask Toolbar Updater (HKU\S-1-5-21-637789347-3411735977-3138111424-1000\...\{79A765E1-C399-405B-85AF-466F52E918B0}) (Version: 1.2.3.29495 - Ask.com) <==== ATTENTION3) Otwórz Notatnik i wklej w nim:
Task: {9A68C9BC-A00A-483F-B054-FAA200F33215} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe <==== ATTENTION
C:\Users\Sebastian\AppData\Local\Akamai\netsession_win.exe
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [ApnUpdater] => "C:\Program Files (x86)\Ask.com\Updater\Updater.exe"
HKU\S-1-5-21-637789347-3411735977-3138111424-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-637789347-3411735977-3138111424-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Sebastian\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-30] (Akamai Technologies, Inc.)
HKU\S-1-5-21-637789347-3411735977-3138111424-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\msqfjiv.exe <===== ATTENTION
C:\ProgramData\msqfjiv.exe
SearchScopes: HKU\S-1-5-21-637789347-3411735977-3138111424-1000 -> {C8128FA0-256D-424E-8BE4-FA57E16B2F46} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=017EE723-031B-4C48-8B2A-2DF4B05DF50E&apn_sauid=7509D55D-B9E7-49C2-934E-D7D0B9C604F5
BHO-x32: Ask Toolbar -> {D4027C7F-154A-4066-A1AD-4243D8127440} -> C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKLM-x32 - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKU\S-1-5-21-637789347-3411735977-3138111424-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
Toolbar: HKU\S-1-5-21-637789347-3411735977-3138111424-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
FF SearchEngineOrder.1: Ask.com
FF Keyword.URL: hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=&locale=&apn_uid=017EE723-031B-4C48-8B2A-2DF4B05DF50E&apn_ptnrs=U3&apn_sauid=7509D55D-B9E7-49C2-934E-D7D0B9C604F5&apn_dtid=OSJ000YYPL&&q=
FF SearchPlugin: C:\Users\Sebastian\AppData\Roaming\Mozilla\Firefox\Profiles\qc8hs5n7.default\searchplugins\askcom.xml [2013-01-16]
FF Extension: Ask Toolbar - C:\Users\Sebastian\AppData\Roaming\Mozilla\Firefox\Profiles\qc8hs5n7.default\Extensions\toolbar@ask.com [2013-01-16]
CHR Extension: (Ask Toolbar) - C:\Users\Sebastian\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aaaaojmikegpiepcfdkkjaplodkpfmlo [2013-03-05]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.4) Wyłącz swego Antywirusa, ściągnij od nowa USBFix, i użyj go.
jessi
-
W logach nie ma niczego z YAHOO
Kosmetyka:
Otwórz Notatnik i wklej w nim:
S2 Update Mgr RollAround; "C:\Program Files (x86)\Common Files\2a617352-d396-46a3-a71b-5d89535356cf\updater.exe" [X]
C:\Program Files (x86)\Common Files\2a617352-d396-46a3-a71b-5d89535356cf
S3 EraserUtilDrv11311; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11311.sys [X]
S3 SBIOSIO; \??\C:\Users\Juleczka\AppData\Local\Temp\__Samsung_Update\SBIOSIO64.sys [X]
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0001.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_04_05\IMG.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0002.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_04_05\IMG_0001.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0003.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_04_05\IMG_0002.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0004.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_04_05\IMG_0003.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0005.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_05_10\IMG.jpg (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0006.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_05_10\IMG_0001.jpg (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0007.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_05_10\IMG_0002.jpg (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0008.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_05_10\IMG_0003.jpg (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0009.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_05_10\IMG_0004.jpg (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0010.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_05_10\IMG_0005.jpg (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0011.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_07_22\IMG.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0012.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_09_04\IMG.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0013.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_09_04\IMG_0001.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0014.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_09_17\IMG.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0015.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_09_26\IMG.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0016.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_09_26\IMG_0001.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0017.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2015_03_03\IMG.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0018.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2015_03_03\IMG_0001.pdf (No File)
C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0019.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2015_04_17\IMG.jpg (No File)
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.jessi
-
Ja w logach nie widzę niczego podejrzanego.
Tak więc musisz czekać na @Picasso - jest chora, więc nie wiadomo, kiedy będzie miała możliwość pomagania tu.
Kosmetyka:
Otwórz Notatnik i wklej w nim:
S3 BT; system32\DRIVERS\btnetdrv.sys [X]
S3 Btcsrusb; System32\Drivers\btcusb.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 HSPADataCardusbmdm; system32\DRIVERS\HSPADataCardusbmdm.sys [X]
S3 HSPADataCardusbnmea; system32\DRIVERS\HSPADataCardusbnmea.sys [X]
S3 HSPADataCardusbser; system32\DRIVERS\HSPADataCardusbser.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X]
S3 hwusb_cdcecm; system32\DRIVERS\ew_cdcecm.sys [X]
S4 IntelIde; No ImagePath
S3 massfilter; system32\drivers\massfilter.sys [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X]
S3 rt2870; system32\DRIVERS\rt2870.sys [X]
S3 VComm; system32\DRIVERS\VComm.sys [X]
S3 VcommMgr; System32\Drivers\VcommMgr.sys [X]
S3 X86BDA; system32\DRIVERS\OEMDrv.sys [X]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.jessi
-
1) Odinstaluj niepotrzebny Akamai NetSession Interface
2) Otwórz Notatnik i wklej w nim:
Task: {C54BB568-9B67-4F31-ACA1-6CD6C74F0B42} - System32\Tasks\Bidaily Synchronize Task => C:\ProgramData\{a2fb8fee-2190-6ab2-a2fb-b8fee2193fb8}\Setup.exe
Task: C:\Windows\Tasks\Bidaily Synchronize Task.job => C:\ProgramData\{a2fb8fee-2190-6ab2-a2fb-b8fee2193fb8}\Setup.exe
C:\ProgramData\{a2fb8fee-2190-6ab2-a2fb-b8fee2193fb8}
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
C:\ProgramData\c71614d0000033d9
C:\Users\Damian\AppData\Roaming\EZDownloader
C:\Program Files (x86)\FoxFilter The content filter
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.jessi
-
Co do logów:
Otwórz Notatnik i wklej w nim:
Task: {CE1EC5DD-4323-4C2D-B8AC-3A111DBD2382} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles Updater\GFFUpdater.exe <==== ATTENTION
Task: {E8E81C54-FF9C-49AA-8373-BAE3F98D55A1} - System32\Tasks\YourFile DownloaderUpdate => C:\Program Files (x86)\YourFileDownloader Updater\YourFileUpdater.exe <==== ATTENTION
HKU\S-1-5-21-3203633311-1799429440-1605116918-1001\Software\Classes\.exe: => <===== ATTENTION!
IE restricted site: HKU\S-1-5-21-3203633311-1799429440-1605116918-1001\...\dosearches.com -> hxxp://www.dosearches.com
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpeedUpMyComputer" /f
C:\Program Files (x86)\SmartTweak
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rovio\Angry Birds Seasons\Angry Birds Seasons.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Polski Projekt Społeczności\ArcaniA - Upadek Setarrif.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Polski Projekt Społeczności\Odinstaluj spolszczenie.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OBD-II Software\ScanTool.net\ScanTool.net for Windows v1.21 Read Me.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OBD-II Software\ScanTool.net\ScanTool.net for Windows v1.21.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OBD-II Software\ScanTool.net\Uninstall ScanTool.net for Windows v1.21.lnk
C:\Users\dibox\Desktop\grykamil\Nowy folder (2)\Angry Birds Seasons.lnk
SearchScopes: HKU\S-1-5-21-3203633311-1799429440-1605116918-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3203633311-1799429440-1605116918-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q={searchTerms}
S2 Hamachi2Svc; "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe" -s [X]
S1 ArcSec; system32\drivers\ArcSec.sys [X]
S3 cpuz130; \??\C:\Users\dibox\AppData\Local\Temp\cpuz130\cpuz_x64.sys [X]
S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X]
S1 EIO64; system32\DRIVERS\EIO64.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\found.000
C:\Users\dibox\ORTHOS.exe
C:\Users\dibox\plik.reg
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.==================
Co do problemów:
musisz czekać na @Picasso - jest chora, więc nie wiadomo, kiedy będzie miała możliwość pomagania tu.
jessi
-
Otwórz Notatnik i wklej w nim:
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\Users\Renia\AppData\Local\nsaFF2B.tmp
EmptyTemp:Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.Potem chyba możemy kończyć:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
.jessi
-
1. Odinstaluj DealNoDeal.
2. Otwórz Notatnik i wklej w nim:
C:\ProgramData\8392544933744911333
C:\Program Files (x86)\DealNoDeal
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKLM-x32 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.coolsearches.info/?l=1&q={searchTerms}&pid=21098&r=2015/03/26&hid=7853995736041375858&lg=EN&cc=PL&unqvl=85
SearchScopes: HKU\S-1-5-21-3765252679-2603235602-2670530523-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9BD930989&ts=1427405167&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3765252679-2603235602-2670530523-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9BD930989&ts=1427405167&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3765252679-2603235602-2670530523-1002 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9BD930989&ts=1427405167&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3765252679-2603235602-2670530523-1002 -> {7B888875-3611-474C-8EF8-A5B3E7D10C50} URL = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9BD930989&ts=1427405167&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3765252679-2603235602-2670530523-1002 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9BD930989&ts=1427405167&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3765252679-2603235602-2670530523-1002 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9BD930989&ts=1427405167&type=default&q={searchTerms}
FF SearchEngineOrder.1: WebSearch
FF DefaultSearchEngine: WebSearch
FF SelectedSearchEngine: WebSearch
FF SearchEngineOrder.1,S: WebSearch
FF DefaultSearchEngine,S: WebSearch
FF SelectedSearchEngine,S: WebSearch
CHR StartupUrls: Default -> "hxxp://websearch.coolsearches.info/?pid=21098&r=2015/03/26&hid=7853995736041375858&lg=EN&cc=PL&unqvl=85", "hxxp://www.sweet-page.com/?type=hp&ts=1427405145&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9BD930989"
CHR Extension: (RespecTSale) - C:\Users\Basia\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\lkfndloiopmolapngpbjdcldnhgienmc [2015-04-09]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
3. Zrób nowe logi FRST. Napisz, jak oceniasz obecną sytuację?
jessi
-
1)
C:\Program Files (x86)\bestadblocker
C:\Program Files (x86)\SalePlus
C:\Program Files (x86)\IndepthGeneration
C:\Program Files (x86)\SalePulus
Jeśli któryś z tych powyższych programów jest na liście Twoich programów, to go odinstaluj.
2)
CHR Extension: (FoxFilter The content filter) - C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Extensions\nopeodilnmhhlfageeohjojginlgeljk [2015-04-30]
2015-04-30 21:53 - 2015-04-30 21:53 - 00000000 ____D () C:\Program Files (x86)\FoxFilter The content filter
Jeśli nie znasz tego powyższego programu oraz rozszerzenie Chrome, to odinstaluj. Zainstalowane dokładnie w tym samym momencie, co inne śmieci.
3) Otwórz Notatnik i wklej w nim:
C:\ProgramData\{a2fb8fee-2190-6ab2-a2fb-b8fee2193fb8}\Setup.exe
Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Setup.lnk [2015-04-30]
ShortcutTarget: Setup.lnk -> C:\ProgramData\{a2fb8fee-2190-6ab2-a2fb-b8fee2193fb8}\Setup.exe ()
BHO: No Name -> {40d033aa-0b2e-4a9b-ac9c-7950f43ff57b} -> No File
BHO: bestadblocker -> {8cc02f2a-da94-408c-83ed-0c41c3a37fc3} -> C:\Program Files (x86)\bestadblocker\p2TZhNHekki8yG.x64.dll [2015-04-30] ()
BHO: No Name -> {9ca8ab41-cc25-4502-9889-620107ab85f1} -> No File
BHO: SalePlus -> {f7da9695-8d35-4e7b-b0c4-b0e20d80f537} -> C:\Program Files (x86)\SalePlus\5hF5ZdwxIGfXji.x64.dll [2015-04-30] ()
BHO-x32: bestadblocker -> {8cc02f2a-da94-408c-83ed-0c41c3a37fc3} -> C:\Program Files (x86)\bestadblocker\p2TZhNHekki8yG.dll [2015-04-30] ()
BHO-x32: SalePlus -> {f7da9695-8d35-4e7b-b0c4-b0e20d80f537} -> C:\Program Files (x86)\SalePlus\5hF5ZdwxIGfXji.dll [2015-04-30] ()
R2 46a69adc; c:\Program Files (x86)\IndepthGeneration\IndepthGeneration.dll [1629184 2015-04-30] () [File not signed]
C:\Program Files (x86)\SalePlus
C:\Program Files (x86)\bestadblocker
C:\ProgramData\mmpcpeiocfndkpfkickinhifkkbgeopm
C:\Program Files (x86)\SalePulus
C:\Program Files (x86)\IndepthGeneration
C:\ProgramData\5012284986389246348
C:\ProgramData\mjobklfbclpdmaiaimjjdpkpmhjnmnag
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.4) Zrób nowe logi FRST.
Przed skanem zaznacz "Additional".
jessi
-
pozmieniało mi to wszystkie pliki, dodało do nich jakby rozszerzenie gpmeijj.
To mi wygląda na infekcję CBT-LOCKER.
Niestety, zaszyfrowanych przez nią plików nie da się odszyfrować.
jessi
-
1) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt2) Zrób nowe l;ogi z FRST - już bez Shortcut.
jessi
-
Zrobione
. W dwóch krokach, ale wszystko co chciałem zostało usunięte. Znakomicie!Jak tutaj można się odwdzięczyć?
https://www.fixitpc.pl/topic/2595-przycisk-dotacji-wsparcie-finansowe-dla-forum/
Jeśli będzie OK, to będziemy kończyć:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.
jessi
-
Restore Point z logu Additional.txt usuniesz poprzez opróżnienie foldery "Przywracania Systemu" wg https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/#entry50
Oczywiście znikną wszystkie punkty przywracania Systemu.
Usuwanie:
Otwórz Notatnik i wklej w nim:C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Stardock CursorXP\Configure CursorXP.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Stardock CursorXP\Eula.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Stardock CursorXP\Readme.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Stardock CursorXP\Uninstall CursorXP.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Program Protector\Program Protector.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Program Protector\Uninstall Program Protector.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Process Hacker 2\PE Viewer.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\NT Registry Optimizer\Documentation.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\NT Registry Optimizer\NTREGOPT Homepage.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\NT Registry Optimizer\NTREGOPT.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\NT Registry Optimizer\Uninstall NTREGOPT.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Microsoft Office Tools\Activate Product.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Microsoft Office Tools\Microsoft Access Snapshot Viewer.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Microsoft Office Tools\Microsoft Clip Organizer.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Microsoft Office Tools\Microsoft Office Application Recovery.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Microsoft Office Tools\Microsoft Office Document Imaging.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Microsoft Office Tools\Microsoft Office Document Scanning.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Microsoft Office Tools\Microsoft Office XP Language Settings.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Microsoft Office Tools\Save My Settings Wizard.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Komputerowy Słownik Niemiecko-Polski\Komputerowy Słownik Niemiecko-Polski w Sieci.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Komputerowy Słownik Niemiecko-Polski\Komputerowy Słownik Niemiecko-Polski.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Komputerowy Słownik Niemiecko-Polski\Licencja.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Komputerowy Słownik Niemiecko-Polski\Odinstaluj.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Komputerowy Słownik Niemiecko-Polski\Pomoc.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\JCreator LE\Help.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\JCreator LE\JCreator LE.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Other Tools\Ajt Soft\Pomoc Słownika angielsko-polskiego.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\Nero\Nero ControlCenter.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\Nero\Nero 2015\Nero 2015.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\Nero\Nero 2015\Nero Burning ROM.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\ffdshow\makeAVIS.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\ffdshow\Odinstaluj ffdshow.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\DivX\Remove the DivX Bundle.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\DivX\DivX Player\DivX Player Help.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\DivX\DivX Player\DivX Player.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\DivX\DivX Player\DivX.com.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\DivX\DivX Player\License.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\DivX\DivX Player\README.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\DivX\DivX Player\Remove the DivX Player.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\DivX\DivX Codec\Decoder Configuration Utility.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\DivX\DivX Codec\DivX EKG.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\DivX\DivX Codec\License.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\DivX\DivX Codec\README.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\DivX\DivX Codec\Remove the DivX Codec.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\Codec\Configure AC3Filter.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\Codec\Configure DivX.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\Codec\Other\History.txt.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\Codec\Other\Readme.txt.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\Codec\Other\Uninstall Codec.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\VoipDiscount\VoipDiscount on the Web.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\VoipDiscount\VoipDiscount.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Tracks Eraser Pro\Help.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Tracks Eraser Pro\Online Help.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Tracks Eraser Pro\Plugin Maker.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Tracks Eraser Pro\Tracks Eraser File Shredder.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Tracks Eraser Pro\Tracks Eraser Pro on the Web.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Tracks Eraser Pro\Tracks Eraser Pro.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Tracks Eraser Pro\Uninstall Tracks Eraser Pro.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Total Commander\Total Commander 32.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Total Commander\Total Commander Help.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Total Commander\Uninstall or Repair Total Commander.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Spybot - Search & Destroy\Spybot - Search & Destroy.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Spybot - Search & Destroy\Uninstall Spybot - Search & Destroy.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Security Task Manager\Deinstalacja.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Security Task Manager\Instrukcja.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Security Task Manager\Kup Security Task Manager Teraz!.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Security Task Manager\Pomoc.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Security Task Manager\Security Task Manager.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Security Task Manager\Spy Protector.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Pasek TVN24\Deinstalacja programu Pasek TVN24.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Pasek TVN24\Pasek TVN24.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Mumble\Deinstalacja Mumble.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Mumble\Licencja Mumble.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Mumble\Licencja Qt.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Mumble\Licencja Speex.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Mumble\Mumble (Klient Kompatybilny Wstecz).lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Mumble\Mumble.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Mumble\Plik Czytaj To.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Hide IP Platinum\Buy Now.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Hide IP Platinum\Hide IP Platinum Help.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Hide IP Platinum\Hide IP Platinum.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Hide IP Platinum\License.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Hide IP Platinum\Uninstall.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Hamachi\Hamachi.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Internet Tools\Hamachi\Uninstall.lnk
C:\Program Files\Microsoft Office
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\UltraISO\UltraISO Readme.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\UltraISO\UltraISO Revision History.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\UltraISO\UltraISO.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Multimedia\UltraISO\Uninstall UltraISO.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Programy\Graphic Tools\Jasc Software\Jasc Paint Shop Pro 8.lnk
C:\Documents and Settings\All Users\Menu Start\Microsoft Office\Microsoft Office Access 2007.lnk
C:\Documents and Settings\All Users\Menu Start\Microsoft Office\Microsoft Office Excel 2007.lnk
C:\Documents and Settings\All Users\Menu Start\Microsoft Office\Microsoft Office Groove 2007.lnk
C:\Documents and Settings\All Users\Menu Start\Microsoft Office\Microsoft Office InfoPath 2007.lnk
C:\Documents and Settings\All Users\Menu Start\Microsoft Office\Microsoft Office OneNote 2007.lnk
C:\Documents and Settings\All Users\Menu Start\Microsoft Office\Microsoft Office Outlook 2007.lnk
C:\Documents and Settings\All Users\Menu Start\Microsoft Office\Microsoft Office PowerPoint 2007.lnk
C:\Documents and Settings\All Users\Menu Start\Microsoft Office\Microsoft Office Publisher 2007.lnk
C:\Documents and Settings\All Users\Menu Start\Microsoft Office\Microsoft Office Word 2007.lnk
C:\Documents and Settings\All Users\Menu Start\Microsoft Office\Narzędzia Microsoft Office\Certyfikat cyfrowy dla projektów VBA.lnk
C:\Documents and Settings\All Users\Menu Start\Microsoft Office\Narzędzia Microsoft Office\Diagnostyka pakietu Microsoft Office.lnk
C:\Documents and Settings\All Users\Menu Start\Microsoft Office\Narzędzia Microsoft Office\Microsoft Clip Organizer.lnk
C:\Documents and Settings\All Users\Menu Start\Microsoft Office\Narzędzia Microsoft Office\Microsoft Office 2007 Ustawienia języka.lnk
C:\Documents and Settings\All Users\Menu Start\Microsoft Office\Narzędzia Microsoft Office\Microsoft Office Picture Manager.lnk
C:\Documents and Settings\Piotr\Pulpit\FastIcon\Proxifier.lnk
C:\Documents and Settings\Piotr\Menu Start\Programy\Programy\Other Tools\Unlocker\README.lnk
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\Bonus 2.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\Bron.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\CHU7S1AN.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\conf.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\KALENDARIUM przed BIERZMOWANIEM.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\komendy_sopa.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\Królowie Polscy.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\LiveChat.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\Macromedia Flash MX Serial 2004 really work .LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\MaMa.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\Megaherc.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\Mona Lisa.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\Oferta.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\Pismo-spotkanie 2005.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\Pismo-spotkanie 2005[1].LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\Praca.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\program spotkania 2005 (dla PH).LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\rozmyty.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\ryz_v3.1_RELEASE_poprawki.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\SpeeDy.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\sss.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\szkoła.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\vv.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\ważne logi.LNK
C:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Office\Niedawny\Życiorys.LNKPlik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.jessi
-
To wskaż mi, o które wpisy w logach Ci chodzi.
jessi
-
Zauważyłem w logach FRST ślady usuwania takich programów jak Total Commander czy Office 2007. Czy jest możliwość usunięcia tych logów, tak by żaden program tego nie widział? Czy wystarczy usunąć ślady działań poprzez Revo Uninstaller?
Nie bardzo rozumiem, o co Ci chodzi?
jessi
-
Zadanie wykonane. Po restarcie pliku fixlist.txt już nie było, a cmd.exe przestał się pojawiać. Magia.
Dziękuję bardzo
A co do zamułki Firefoxa - może powinienem zmniejszyć ilość dodatków, które na nim poinstalowałem?
Być może, ale nie przesądzam tego.
FF Extension: Video DownloadHelper - C:\Documents and Settings\Piotr\Dane aplikacji\Mozilla\Firefox\Profiles\i9dra9ge.default-1409666055000\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}.xpi [2015-03-15]Tylko to rozszerzenie jest z ostatniego czasu -inne były już wcześniej, gdy nie było jeszcze problemu.
jessi
-
Chciałam obejrzeć logi, bo myślałam, że będzie w nich widoczna prosta przyczyna pojawiania się "cmd.exe", ale widzę, że nie ma takiej przyczyny.
Prawdopodobnie to któryś z Twoich egzotycznych programów to wywołuje.
Ale nie wiem, który.
Infekcji żadnej tu nie widzę.
Otwórz Notatnik i wklej w nim:
S3 vtany; \??\C:\WINDOWS\vtany.sys [X]
S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X]
S3 RTL8192cu; system32\DRIVERS\rtwlanu.sys [X]
S3 avchv; system32\DRIVERS\avchv.sys [X]
S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X]
SearchScopes: HKU\S-1-5-21-220523388-1078081533-839522115-1004 -> ${searchCLSID} URL = http://startsear.ch/?aff=1&src=sp&cf=56ef9ecc-3725-11e1-b1f5-000c768f679d&q={searchTerms}
ShellIconOverlayIdentifiers: [ 0Cloudfogger] -> {15EDBCBF-7231-4290-946E-5BB12C6AF342} => No File
ShellIconOverlayIdentifiers: [ 1Cloudfogger] -> {14A3EC74-D852-416A-9691-AC3096EE1953} => No File
ShellIconOverlayIdentifiers: [ 2Cloudfogger] -> {E9C2814C-12B8-4D74-9551-16DDEBFC8AE4} => No File
IFEO\taskmgr.exe: [Debugger] "C:\Program Files\Process Hacker 2\ProcessHacker.exe"
Task: C:\WINDOWS\Tasks\060184C3-9766-46a0-B258-F4518A0B2633.job => C:\WINDOWS\system32\cscript.exeHC:\Documents and Settings\All Users\Dane aplikacji\Duplicaterecord.js <==== ATTENTION
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.
Uruchom FRST i kliknij przycisk Fix.jessi
-
2) cmd.exe, który włącza mi się niepotrzebnie wielokrotnie po starcie systemu
Zrób logi z FRST > http://forum.pclab.pl/topic/893302-WA%C5%BBNE-Wymagane-logi-systemowe-w-tym-dziale/page__p__11808087entry11808087
przed skanem zaznacz: Shortcut, Additional
jessi
-
Jeszcze malutka kosmetyka:
Otwórz Notatnik i wklej w nim:
FF Extension: No Name - C:\Documents and Settings\dalewa\Dane aplikacji\Mozilla\Firefox\Profiles\069lv5xw.default\extensions\istart_ffnt@gmail.com [Not Found]
FF Plugin: @divx.com/DivX Player Plugin,version=1.0.0 -> C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll No File
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.Nic tu więcej nie wymyślę, więc chyba możemy kończyć:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
.Uaktualnij Javę, wg https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/#entry43590
Uaktualnij Open Office ze strony http://www.openoffice.org/pl/
jessi
-
A próbowałeś tego
https://www.fixitpc.pl/topic/7-dezynfekcja-narz%C4%99dzie-combofix/?do=findComment&comment=55
?
Najlepszym wyjściem byłoby zrobienie zwykłego "Przywracania Systemu", ale u Ciebie to niemożliwe:
ATTENTION: System Restore is disabled.Ja w logach nie widzę niczego szczególnego.
Otwórz Notatnik i wklej w nim:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1123561945-789336058-682003330-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
URLSearchHook: [s-1-5-21-1123561945-789336058-682003330-1005] ATTENTION ==> Default URLSearchHook is missing.
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}" /f
Reg: reg delete "HKU\S-1-5-21-1123561945-789336058-682003330-1004\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}"
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CHR StartupUrls: Default -> "hxxp://www.oursurfing.com/?type=hp&ts=1430260888&from=amt&uid=ST3200827AS_4ND2DS5AXXXX4ND2DS5A"
CHR DefaultSearchKeyword: Default -> oursurfing
CHR DefaultSearchURL: Default -> http://www.oursurfing.com/web/?type=ds&ts=1430260888&from=amt&uid=ST3200827AS_4ND2DS5AXXXX4ND2DS5A&q={searchTerms}
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S3 cpuz130; \??\C:\DOCUME~1\User\USTAWI~1\Temp\cpuz130\cpuz_x32.sys [X]
S3 EagleXNt; \??\C:\WINDOWS1\system32\drivers\EagleXNt.sys [X]
S3 OSFMount; \??\C:\CS GO\Counter-Strike Global Offensive\image\x86\OSFMount.sys [X]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.jessi
-
Następna porcja usuwania:
Otwórz Notatnik i wklej w nim:
InternetURL: C:\Documents and Settings\dalewa\Szablony\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Pulpit\Basia\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Menu Start\Programy\The KMPlayer\KMPlayer Home Page.url -> hxxp://www.kmplayer.com/forums
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Sun\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Sun\Java\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Sun\Java\Deployment\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Spotify\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Spotify\Data\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Real\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Real\Update\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Real\RealPlayer\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Real\RealPlayer\db\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Real\RealMediaSDK\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Opera Software\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Opera Software\Opera Stable\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Opera Software\Opera Stable\themes\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Opera Software\Opera Stable\Pepper Data\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Opera Software\Opera Stable\Pepper Data\Shockwave Flash\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Opera Software\Opera Stable\Pepper Data\Shockwave Flash\CacheWritableAdobeRoot\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Opera Software\Opera Stable\dictionaries\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Opera\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Opera\Opera\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Opera\Opera\skin\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Opera\Opera\sessions\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\OpenOffice.org\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\OpenOffice.org\3\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\OpenOffice.org\3\user\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\OpenOffice.org\3\user\gallery\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\OpenOffice.org\3\user\extensions\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\OpenOffice.org\3\user\extensions\tmp\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\OpenOffice.org\3\user\extensions\tmp\registry\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\OpenOffice.org\3\user\extensions\tmp\registry\com.sun.star.comp.deployment.configuration.PackageRegistryBackend\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\OpenOffice.org\3\user\extensions\shared\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\OpenOffice.org\3\user\extensions\shared\registry\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\OpenOffice.org\3\user\extensions\shared\registry\com.sun.star.comp.deployment.configuration.PackageRegistryBackend\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\OpenOffice.org\3\user\extensions\bundled\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\OpenOffice.org\3\user\extensions\bundled\registry\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\OpenOffice.org\3\user\extensions\bundled\registry\com.sun.star.comp.deployment.configuration.PackageRegistryBackend\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\OpenOffice.org\3\user\database\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\OpenOffice.org\3\user\database\biblio\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Mozilla\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Mozilla\Firefox\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Mozilla\Firefox\Profiles\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Mozilla\Firefox\Profiles\069lv5xw.default\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Mozilla\Firefox\Profiles\069lv5xw.default\storage\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Mozilla\Firefox\Profiles\069lv5xw.default\storage\persistent\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Mozilla\Firefox\Profiles\069lv5xw.default\storage\persistent\moz-safe-about+home\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Mozilla\Firefox\Profiles\069lv5xw.default\storage\persistent\moz-safe-about+home\idb\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Mozilla\Firefox\Profiles\069lv5xw.default\storage\persistent\chrome\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Mozilla\Firefox\Profiles\069lv5xw.default\storage\persistent\chrome\idb\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Microsoft\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Microsoft\Internet Explorer\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Key Metric Software\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Key Metric Software\FolderSizes 7\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\foobar2000\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\FastStone\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\FastStone\FSIV\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Adobe\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Adobe\Flash Player\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Adobe\Acrobat\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Dane aplikacji\Adobe\Acrobat\10.0\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Default User\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Default User\Ustawienia lokalne\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Default User\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Default User\Ustawienia lokalne\Dane aplikacji\Microsoft\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Default User\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows Media\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Default User\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows Media\9.0\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Default User\Szablony\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Default User\Dane aplikacji\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Default User\Dane aplikacji\Microsoft\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Default User\Dane aplikacji\Microsoft\Internet Explorer\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\LocalService\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\LocalService\Ustawienia lokalne\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\PCHealth\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\PCHealth\ErrorRep\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\PCHealth\ErrorRep\QSignoff\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows Media\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows Media\9.0\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows Media\11.0\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\LocalService\Dane aplikacji\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\LocalService\Dane aplikacji\McAfee\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\LocalService\Dane aplikacji\McAfee\sacore\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\NetworkService\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\NetworkService\Ustawienia lokalne\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\PCHealth\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\PCHealth\ErrorRep\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\PCHealth\ErrorRep\QSignoff\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\All Users\Dokumenty\Moje obrazy\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\All Users\Dokumenty\Moje obrazy\Przykładowe obrazy\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\All Users\Dane aplikacji\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\All Users\Dane aplikacji\Real\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\All Users\Dane aplikacji\Real\RealPlayer\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller\Logs\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\All Users\Dane aplikacji\Key Metric Software\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\All Users\Dane aplikacji\Key Metric Software\FolderSizes 7\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\All Users\Dane aplikacji\InstallMate\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\All Users\Dane aplikacji\InstallMate\{A337C409-E0D1-4856-AABD-A8F378D4E6FF}\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\All Users\Dane aplikacji\DivX\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\All Users\Dane aplikacji\DivX\Setup\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\All Users\Dane aplikacji\DivX\Setup\EULAs\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\All Users\Dane aplikacji\DivX\Setup\EULAs\consumer\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Sun\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Sun\Java\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Sun\Java\Deployment\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Spotify\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Opera\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Opera\Opera\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Opera\Opera\icons\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Mozilla\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows Media\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows Media\9.0\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows Media\11.0\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Silverlight\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Silverlight\OutOfBrowser\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Silverlight\OutOfBrowser\index\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Silverlight\is\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Silverlight\is\f4oxgeua.20n\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Silverlight\is\f4oxgeua.20n\zna3xqzo.rnw\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Silverlight\is\f4oxgeua.20n\zna3xqzo.rnw\1\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Silverlight\is\f4oxgeua.20n\zna3xqzo.rnw\1\s\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Silverlight\is\f4oxgeua.20n\zna3xqzo.rnw\1\s\xkmxhg0mmb4r5xd0tn5nbrjr50mahm2ahzlat2wckazh1zgu3zaaacfa\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Silverlight\is\f4oxgeua.20n\zna3xqzo.rnw\1\s\xkmxhg0mmb4r5xd0tn5nbrjr50mahm2ahzlat2wckazh1zgu3zaaacfa\f\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Silverlight\is\f4oxgeua.20n\zna3xqzo.rnw\1\s\l0dloepm5laiurcxndhcfn1hzadwc4b2tjs2hfc1lmfyygrzkraaacaa\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Silverlight\is\f4oxgeua.20n\zna3xqzo.rnw\1\s\l0dloepm5laiurcxndhcfn1hzadwc4b2tjs2hfc1lmfyygrzkraaacaa\f\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Silverlight\is\f4oxgeua.20n\zna3xqzo.rnw\1\s\3y4n53isjsdvmzyexc0w4szt132r5uwgv2uzbqxczisu5ziis1aaahha\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Silverlight\is\f4oxgeua.20n\zna3xqzo.rnw\1\s\3y4n53isjsdvmzyexc0w4szt132r5uwgv2uzbqxczisu5ziis1aaahha\f\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Internet Explorer\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Google\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Google\GoogleEarth\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Google\GoogleEarth\unified_cache_leveldb_leveldb2\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Google\Google Talk\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Google\Google Talk\themes\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Google\Google Talk\themes\user\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Google\Google Talk\themes\system\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Google\Google Talk\avatars\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Google\Chrome\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Dane aplikacji\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Dane aplikacji\TeamViewer\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Dane aplikacji\Sun\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Dane aplikacji\Sun\Java\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Dane aplikacji\Sun\Java\Deployment\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\mc8q0xww.default\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Internet Explorer\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Dane aplikacji\Adobe\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Dane aplikacji\Adobe\Acrobat\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Dane aplikacji\Adobe\Acrobat\10.0\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\All Users\Szablony\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Szablony\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Moje dokumenty\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Moje dokumenty\Pobieranie\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Moje dokumenty\Pobieranie\gpSP-J_090905\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Moje dokumenty\Pobieranie\gpSP-J_090905\PSP\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Moje dokumenty\Pobieranie\gpSP-J_090905\PSP\GAME\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Moje dokumenty\Pobieranie\gpSP-J_090905\PSP\GAME\gpSP-J\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Moje dokumenty\Pobieranie\gpSP-J_090905\for_IRShell\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Moje dokumenty\Pobieranie\gpSP-J_090905\documents\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Moje dokumenty\Pobieranie\gpSP-J_090905\documents\Original_Docs\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Moje dokumenty\Moje obrazy\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Moje dokumenty\Moje obrazy\Obraz\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\mc8q0xww.default\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows Media\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows Media\9.0\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Internet Explorer\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
C:\Documents and Settings\dalewa\Dane aplikacji\Real\RealPlayer\Favorites\Web Pages\Film.com.lnk
C:\Documents and Settings\dalewa\Dane aplikacji\Real\RealPlayer\Favorites\Web Pages\RealGames.lnk
C:\Documents and Settings\dalewa\Dane aplikacji\Real\RealPlayer\Favorites\Web Pages\Zylom.com.lnk
C:\Documents and Settings\dalewa\Dane aplikacji\Real\RealPlayer\Favorites\Video\Live TV News.lnk
C:\Documents and Settings\dalewa\Dane aplikacji\Real\RealPlayer\Favorites\Video\Music Videos.lnk
C:\Documents and Settings\dalewa\Dane aplikacji\Real\RealPlayer\Favorites\Video\RealVideo.lnk
C:\Documents and Settings\dalewa\Dane aplikacji\Real\RealPlayer\Favorites\Radio\RealMusic.lnk
C:\Documents and Settings\Administrator\Menu Start\Programy\vanBasco's Karaoke Player\Uninstall vanBasco's Karaoke Player.lnk
C:\Documents and Settings\Administrator\Menu Start\Programy\vanBasco's Karaoke Player\vanBasco's Karaoke Player Help.lnk
C:\Documents and Settings\Administrator\Menu Start\Programy\vanBasco's Karaoke Player\vanBasco's Karaoke Player.lnk
C:\Documents and Settings\Administrator\Menu Start\Programy\VAG-COM-PL\Deinstalacja programu VAG-COM-PL.lnk
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.Zrób nowe logi FRST.
jessi
-
Skoro się samo naprawiło, to chyba możemy kończyć:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRSTUaktualnij Javę wg https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/#entry43590
jessi
-
Nie widzę tu żadnej infekcji.
Kosmetyka:
Otwórz Notatnik i wklej w nim:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.google.com"<======= ATTENTION
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
S3 k750bus; system32\DRIVERS\k750bus.sys [X]
S3 k750mdfl; system32\DRIVERS\k750mdfl.sys [X]
S3 k750mdm; system32\DRIVERS\k750mdm.sys [X]
S3 k750mgmt; system32\DRIVERS\k750mgmt.sys [X]
S3 k750obex; system32\DRIVERS\k750obex.sys [X]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.W sprawie problemów musisz czekać na @Picasso (jest chora)
jessi
-
Do leciwego XP wdarł się cryptolocker. Da się to jakoś posprzątać bez reinstalacji całości?
Pozdrawiam.
Ściślej mówiąc - to CRYPTOWALL - można go poznać po "HELP_DECRYPT." widocznych w logach.
Z tego, co mi wiadomo, to zaszyfrowanych przez Cryptowall'a plików nie da się odzyskać.
1) Odinstaluj ten program:
sweet-page uninstall (HKLM\...\sweet-page uninstall) (Version: - sweet-page) <==== ATTENTION
2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt
3) Usuwanie:
Otwórz Notatnik i wklej w nim:
Startup: C:\Documents and Settings\dalewa\Menu Start\Programy\Autostart\HELP_DECRYPT.HTML [2015-03-30] ()Startup: C:\Documents and Settings\dalewa\Menu Start\Programy\Autostart\HELP_DECRYPT.PNG [2015-03-30] ()
Startup: C:\Documents and Settings\dalewa\Menu Start\Programy\Autostart\HELP_DECRYPT.TXT [2015-03-30] ()
InternetURL: C:\Documents and Settings\dalewa\Menu Start\Programy\Autostart\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-839522115-1788223648-725345543-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1427638586&from=cor&uid=WDCXWD2500BEVT-22A23T0_WD-WXJ0AC90207002070
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
FF SearchPlugin: C:\Documents and Settings\dalewa\Dane aplikacji\Mozilla\Firefox\Profiles\069lv5xw.default\searchplugins\V9.xml [2015-03-29]
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\sweet-page.xml [2015-03-29]
FF Extension: Fast Start - C:\Documents and Settings\dalewa\Dane aplikacji\Mozilla\Firefox\Profiles\069lv5xw.default\Extensions\istart_ffnt@gmail.com [2015-03-29]
FF HKLM\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Documents and Settings\dalewa\Dane aplikacji\Mozilla\Firefox\Profiles\069lv5xw.default\extensions\detgdp@gmail.com
FF HKLM\...\Firefox\Extensions: [istart_ffnt@gmail.com] - C:\Documents and Settings\dalewa\Dane aplikacji\Mozilla\Firefox\Profiles\069lv5xw.default\extensions\istart_ffnt@gmail.com
FF ExtraCheck: C:\Program Files\mozilla firefox\firefox.cfg [2014-08-28] <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [fgfdfcbeamjnjdejakdidpniblllnbpg] - C:\Windows\System32\jmdp\pnte.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - No Path Or update_url value
S2 iSafeService; C:\Program Files\Elex-tech\YAC\iSafeSvc.exe [X]
S3 EsgScanner; C:\windows\System32\DRIVERS\EsgScanner.sys [19984 2015-04-14] ()
S3 FTDIBUS; system32\drivers\ftdibus.sys [X]
S3 FTSER2K; system32\drivers\ftser2k.sys [X]
S3 MGHwCtrl; \??\U:\RESCUE\MGHwCtrl.sys [X]
S1 netfilter2; system32\drivers\netfilter2.sys [X]
S3 Rts516xIR; system32\DRIVERS\Rts516xIR.sys [X]
S2 SSPORT; \??\C:\windows\system32\Drivers\SSPORT.sys [X]
S3 USBCCID; system32\DRIVERS\Rts5161ccid.sys [X]
C:\windows\system32\Drivers\EsgScanner.sys
C:\HELP_DECRYPT.*
C:\Documents and Settings\dalewa\Dane aplikacji\HELP_DECRYPT.*
C:\Documents and Settings\dalewa\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.*
C:\Documents and Settings\All Users\HELP_DECRYPT.*
C:\Documents and Settings\dalewa\TempWmicBatchFile.bat
C:\Documents and Settings\Administrator\Pulpit\GRY\Call of Duty dla jednego gracza.lnk
C:\Documents and Settings\Administrator\Pulpit\GRY\Call of Duty dla wielu graczy.lnk
C:\Documents and Settings\Administrator\NetHood\SharedDocs na DOM (Sławek)\target.lnk
C:\Documents and Settings\Administrator\NetHood\d na DOM (Sławek)\target.lnk
C:\Documents and Settings\Administrator\Menu Start\Programy\XP Codec Pack 2.5.1\Codec Detective.lnk
C:\Documents and Settings\Administrator\Menu Start\Programy\XP Codec Pack 2.5.1\Media Player Classic.lnk
C:\Documents and Settings\Administrator\Menu Start\Programy\XP Codec Pack 2.5.1\Readme.lnk
C:\Documents and Settings\Administrator\Menu Start\Programy\VAG-COM-PL\LCode.lnk
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.delta-homes.com/?type=sc&ts=1418843543&from=wpm12173&uid=WDCXWD2500BEVT-22A23T0_WD-WXJ0AC90207002070
ShortcutWithArgument: C:\Documents and Settings\dalewa\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.delta-homes.com/?type=sc&ts=1418843543&from=wpm12173&uid=WDCXWD2500BEVT-22A23T0_WD-WXJ0AC90207002070
InternetURL: C:\Documents and Settings\Administrator\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Ustawienia lokalne\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
InternetURL: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/17g4owx
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
4) Zrób nowe logi FRST
jessi
. W dwóch krokach, ale wszystko co chciałem zostało usunięte. Znakomicie!
Yahoo Search i Toolbar
w Dział pomocy doraźnej
Opublikowano
W nowym logu - nic podejrzanego.
Uruchom FRST.
W polu SEARCH wklej:
kliknij na przycisk "Search Files".
Raport z tego będzie tam, gdzie jest FRST.
Uruchom FRST.
W polu SEARCH wklej:
kliknij na przycisk "Search Registry".
Raport z tego będzie tam, gdzie jest FRST.
A przede wszystkim - czy problem dalej występuje?
jessi