Miszel03

KOMPUTER 1:

Komentując wyniki z HitmanPro, do kasacji:

C:\Users\Marcin\Desktop\MARCIN\Programy\codec_pack_214302_ff.exe

C:\Users\Marcin\Desktop\MARCIN\Programy\LUMION5.0\LUMION5.0\lumion.5.pro-patch.exe  

HKU\S-1-5-21-2793137438-1847085760-1212310075-1000\Software\Softonic\ (Softonic) 

Generalnie wygląda to już w porządku, Podsumuj te dwa komputery i dodaj zestaw raportów z trzeciego komputera. 

Jak wspomniałem w poprzednim poście profilaktycznie usunąłem wszystkie znalezione zagrożenia.

OK. 

Czy będą jakieś dodatkowe instrukcje?

Oprócz tego z czym czekam na pisacco, to już nic.

Gedo

Sam Windows Defender na systemie Windows 7 może być lekko mówiąc niewystarczający, więc zainstalowany Avast jest dobrym rozwiązaniem.

P.S W systemie Norton'a praktycznie nie ma. Zostały po nim tylko szczątki. 

ayla

W raportach brak oznak infekcji, spoilerze działania poboczne, kosmetyczne.

CloseProcesses:
CreateRestorePoint:
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
S3 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X]
S3 GPU-Z; \??\C:\Users\MOTHER~1\AppData\Local\Temp\GPU-Z.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
S2 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X]
Task: {32F26BB6-BA81-4175-91A6-9652424425F6} - System32\Tasks\{9F100929-2175-46CD-A568-B34BEE62D1DF} => pcalua.exe -a C:\Users\MOTHER~1\AppData\Local\Temp\jre-8u66-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 
Task: {A23E4031-F75A-4E6B-A7CA-4AD03BE4FD2C} - System32\Tasks\{E34B028A-5A45-443C-B2BE-D7C7687ADF9A} => pcalua.exe -a C:\Users\MOTHER~1\AppData\Local\Temp\jre-8u111-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 
EmptyTemp:

Użyłam AdwCleanera.

Odinstalowałam Google Update Helper (za pierwszym razem nie pojawił on się na liście programów, to go pominęłam; dopiero po restarcie wrócił i mogłam go usunąć).

Co do pracy komputera, to wszystko jest w porządku (w kwestii infekcji oczywiście   ). Generalnie nigdy żadnych oznak infekcji nie przejawiał. Druga sprawa, że w sumie nie wchodzę na żadne podejrzane strony, nie pobieram pirackich gier, więc nie mam skąd załapać "bakcyla".

W takim razie ze strony tego działu kończymy. Temat przenoszę do działu Hardware. 

Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz zaktualizuj ważne programy - KLIK / KLIK. 

Nie zlecam kasacji punktów przywracania, bo mogą się awaryjnie przydać, ale jak już wszystko rozwiążesz to możesz je również skasować: KLIK.

To standardowe symptomy infekcji VBKlip / Banatrix, z tym, że trochę nie pasuję mi wygląd tej infekcji w logach (z reguły była uruchamiana poprzez harmonogram zadań). Stawiam, że poniższe pliki oraz wpisy w auto-uruchamianie należą właśnie do tej infekcji, więc je wywalam:
 

Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.dat [2016-12-22] ()
Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2.dat [2016-12-21] ()
C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.dat
C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2.dat

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.dat [2016-12-22] ()
Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2.dat [2016-12-21] ()
C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.dat
C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2.dat
AppInit_DLLs: C:\Windows\system32\nvinitx.dll => Brak pliku
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
U3 idsvc; Brak ImagePath
Task: {0D83B61C-B076-48DF-96E3-31D49B14C899} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {1C95882A-1D92-4744-8FB0-C19FA1E5F1B3} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {1C95882A-1D92-4744-8FB0-C19FA1E5F1B3} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {5090963D-78FF-4D79-B841-7E0CDEDC16E6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {514F8650-03DE-4C21-82EA-B6725BA9A9F5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {5E6E6BC0-4514-41FB-B974-5F583C5ED6D2} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {8701B720-AFFD-4CD8-8448-3E46B095E716} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {9D39B992-8C23-4C3B-8823-110A300ABD98} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {ACB3BDD0-6A5D-4A8E-9D48-7A33DEF88CE0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {BC15E50D-FEBB-4AB5-9AFF-8A6F9234CAC0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {C398AE07-670E-47D6-A26D-C86E7C168E39} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {CA119C24-25C3-4D19-BE28-1539ED15E71E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku ShortcutWithArgument: C:\Users\Damian\Desktop\App Launcher for Messenger.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=bllmngcdibgbgjnginpehneeofhbmdjm
ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\App Launcher for Messenger.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=bllmngcdibgbgjnginpehneeofhbmdjm
ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome1.exe (Google Inc.) -> --profile-directory=Default --app-id=knipolnnllmklapflnccelgolnpehhpl

DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Hosts:
EmptyTemp:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Wyczyść FireFox:

• Odłącz synchronizację (o ile włączona): KLIK
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania

4. Przeskanuj system za pomocą programu HitmanPro, jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 
 
5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

KOMPUTER 2:

Wyniki z HitmanPro oprócz aplikacji FRST nadają się do kasacji.

KOMPUTER 1:

Też mi się tak wydaję, właśnie dlatego nie będę tego ruszał.
 

Proces będę robił jeszcze dziś, jak tylko narzeczona wróci, wtedy wstawię rzeczy, o które prosiłeś.

OK, jak będziesz je wstawiał użyj opcji Edytuj w poście.

Coś przykrego dzieje się z moim systemem, próbowałam już wielu sposobów, ale niestety nic nie daję rady, więc zwracam się z pomocą do Was. 

Mam nadzieję, że dacie radę mi pomóc.

Nie wile mi to mówi, - opisz bardziej problemy z systemem.

Jeszcze zrób proszę obowiazkowy GMER - instrukcję masz w zasadach działu.

Możesz sobie odpuścić już ten raport, choć Rucek ma rację, że zgodnie z wymaganiami powinnaś go załączyć.

Przeglądarka Google Chrome została zaatakowana przez adware wstawiające prefabrykowany profil / osobę, który jest skłonny wyświetlać niepożądane reklamy, strony itd. Oprócz tego nie widać innych oznak infekcji. 

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-887697183-1252705721-1128697598-1000\...\Run: [AdobeBridge] => [X]
GroupPolicy\User: Ograniczenia - Chrome 
S2 ASPI32; Brak ImagePath
S3 SwitchBoard; "C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [X]
ShortcutWithArgument: C:\Users\Mariolka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop CS6.lnk
C:\Users\fifa\Desktop\Hugo 8.lnk
C:\Users\Mariolka\Links\Muzyka.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Mariolka\AppData\Local\Mozilla
C:\Users\Mariolka\AppData\Roaming\Mozilla
C:\Users\Mariolka\AppData\Roaming\Profiles
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Obecny profil / osoba w Google Chrome jest prefabrykowany(a) przez adware, więc nadający(a) się do kasacji.

Otwórz Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Po utworzeniu nowego profilu / osoby, zaloguj się na niego > ponownie przechodzisz to karty Ustawień, następnie do Osoby i usuwasz wszystkie poprzednie osoby. 

3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

1. W AdwCleaner ponownie wybierz opcję Szukaj, a po jej wykonaniu wybierz opcję Oczyść.
Nie musisz dostarczać już raportu z tego działania.

2. Na liście zainstalowanych programów nadal widzę Google Update Helper (DealPly) - czy na pewno zostało to odinstalowana?

3. Czy coś od strony infekcyjnej nie gra? 

 

KOMPUTER 2

Proszę uważnie wykonywać moje zalecenia, bo np. w pkt 5 mojego pierwszego posta prosiłem tylko i wyłącznie o raport z opcji Szukaj, a nie z opcji Szukaj i Oczyść. Na szczęścicie wykryte elementy nadawały się do kasacji. 

Wygląda to już o wiele lepiej, teraz przeprowadź skanowanie przy pomocy narzędzia HitmanPro, jeśli coś wykryję to niczego nie usuwaj. Dostarcz z tego skanowania raport. 

KOMPUTER 1

Ten komputer również jest zainfekowany infekcją Trojan:VBS/Kalhine.A (KLIK). Komentując wyniki z Malwarebytes: to są tylko aktywatory cracków.

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Marcin\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" 
HKU\S-1-5-21-2793137438-1847085760-1212310075-1000\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Marcin\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" 
Startup: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf [2016-03-29] ()
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
Toolbar: HKU\S-1-5-21-2793137438-1847085760-1212310075-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Przeskanuj system za pomocą programu HitmanPro, jeśli coś wykryję to tak postąpisz tak ja w przypadku komputera numer 2.

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Jeśli chodzie o te wpisy, to wcale nie jestem przekonany co do wpisuje sygnalizującym o braku ImagePath, więc w tej sprawie skonsultuje się z picasso.

U3 BcmSqlStartupSvc; Brak ImagePath


U2 CLKMSVC10_3A60B698; Brak ImagePath

U2 CLKMSVC10_C3B3B687; Brak ImagePath

U2 DriverService; Brak ImagePath

U2 iATAgentService; Brak ImagePath

U2 idealife Update Service; Brak ImagePath

U3 IGRS; Brak ImagePath

U2 IviRegMgr; Brak ImagePath

U2 nvUpdatusService; Brak ImagePath

U2 Oasis2Service; Brak ImagePath

U2 PCCarerService; Brak ImagePath

U2 ReadyComm.DirectRouter; Brak ImagePath

U2 RichVideo; Brak ImagePath

U2 RtLedService; Brak ImagePath

U2 SeaPort; Brak ImagePath

U2 SoftwareService; Brak ImagePath

U3 SQLWriter; Brak ImagePath

U2 Stereo Service; Brak ImagePath

System jest zainfekowany adware i to teraz staję się priorytetem. Druga sprawa: czy celowo używasz serwera proxy?
 
1. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.google.com" SearchScopes: HKLM -> DefaultScope - brak wartości
BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku
BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Brak pliku
Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} -  Brak pliku
Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} -  Brak pliku
S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X]
S4 IntelIde; Brak ImagePath
U1 WS2IFSL; Brak ImagePath
C:\Documents and Settings\All Users\hash.dat
Google Update Helper (Version: 1.3.23.0 - DealPly Technologies Ltd) Hidden Hosts:
EmptyTemp:

• Browser Configuration Utility 
• Google Update Helper (DealPly)

3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Pierwsze dwa zagrożenia (z pierwszego screena) to asystent pobierania dobrych programów, w którym siedzi adware - dlatego jest wykrywany. Trzeci wynik to też wykrycie adware / pup, więc to błacha sprawa.Drugi screen: to samo co w pierwszych trzech wynikach na pierwszym screenie, aczkolwiek tym razem siedzi to w punktach przywracania systemu.

1. Czy mam to robić z wpiętymi pendrive ?

Nie, pendriva masz podpiąć dopiero wtedy gdy będziesz go formatował.

2. Czy jak sformatuje pendrive'y to wszystko będzie z nich usunięte i to wystarczy ?

Tak, dane z pendriva zostaną bezpowrotnie (ale to chyba nie problem, skoro masz kopie tych danych) skasowane, przy czym również infekcja. 

3. Czy jak zrobię wszystkie kroki, to jest możliwość zniszczenia plików albo programów ? Jestem w trakcie pisania pracy i mam na komputerach mega ważne projekty ArchiCada, które w najbliższych dniach muszę oddać skończone.

Z początku w skrypcie (punkt 1) uwzględniłem usuwanie pustych skrótów od tego ArchiCAD, ale na wszelki wypadek je wywaliłem ze skryptu. Jeśli wszystko wykonasz wg powyższych zaleceń nie dojdzie do uszkodzenia, p.s zrób w miarę możliwości kopie tej pracy.

W skrypcie z większych zmian to usuwam:

HKLM\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Ola\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" 
HKU\S-1-5-21-1190775597-3038459951-4028443085-1000\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Ola\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" 
Startup: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf [2016-03-29] ()

...ale to ma związek z infekcją. 

Skoro zwartość pendrive masz na komputerze, to najlepszym wyjściem będzie jakiego kompleksowe sformatowanie. 
 

• Adware / PUP: Ringtones Maker Packages
• Zbędniki: Akamai NetSession Interface

2. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Ola\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" HKU\S-1-5-21-1190775597-3038459951-4028443085-1000\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Ola\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" Startup: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf [2016-03-29] ()
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
SearchScopes: HKU\.DEFAULT -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = 
SearchScopes: HKU\S-1-5-21-1190775597-3038459951-4028443085-1000 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = 
Toolbar: HKU\S-1-5-21-1190775597-3038459951-4028443085-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  Brak pliku
CHR HomePage: Default -> hxxp://search.babylon.com/?affID=110825&tt=5212_8&babsrc=HP_ss&mntrId=7c4e86d40000000000008ca98206ecfd
CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=110825&tt=5212_8&babsrc=HP_ss&mntrId=7c4e86d40000000000008ca98206ecfd","hxxp://search.babylon.com/?affID=110825&tt=5212_1&babsrc=HP_ss&mntrId=7c4e86d40000000000008ca98206ecfd"
S3 dbx; system32\DRIVERS\dbx.sys [X]
S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\BatteryCare\WinRing0x64.sys [X]
EmptyTemp:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Wyczyść FireFox:

• Odłącz synchronizację (o ile włączona): KLIK
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania

5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
 
6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. 
Dołącz również zestaw obowiązkowych raportów z następnego komputera.

W raportach brak oznak infekcji. Komentując zaś sam wynik z GMER punktujący niesprecyzowany ukryty proces (GMER niestety obcina dane), to nie jest wiadome czy to prawdziwy rootkit. Wg mnie to raczej fałszywy wynik i nie należny się nic przejmować (+ gdyby infekcja rootkit faktycznie była raczej widział bym jej oznaki z raportach, a już na pewno wykryły by ją użyte przez Ciebie skanery) . 

Przywrócimy fabryczny stan klucza SafeBoot wykorzystując gotowiec od Kasperskiego (nie mam w swojej bazie wyglądu tego klucza w Windows Vista). Widoczne tutaj problemy sugeruję obecność jakiejś infekcji w przeszłości, strzelam: Sality czy Bagle, a może rootkit ZeroAcces?

1. Otwórz Notatnik w nim wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppInfo]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KeyIso]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NTDS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ProfSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SWPRV]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TabletInputService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TBS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TrustedInstaller]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VDS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgr.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgrx.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{6BDD1FC1-810F-11D0-BEC7-08002BE2092F}]
@="IEEE 1394 Bus host controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D48179BE-EC20-11D1-B6B8-00C04FA372A7}]
@="SBP2 IEEE 1394 Devices"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}]
@="SecurityDevices"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppInfo]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BFE]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\bowser]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dfsc]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dot3Svc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Eaphost]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\IKEEXT]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\KeyIso]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MPSDrv]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MPSSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mrxsmb]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mrxsmb10]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mrxsmb20]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NativeWifiP]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\netprofm]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NlaSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Nsi]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nsiproxy.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NTDS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PolicyAgent]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ProfSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdbss]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpencdd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCardSvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SWPRV]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TabletInputService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TBS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TrustedInstaller]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\volmgr.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\volmgrx.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Wlansvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}]
@="Net"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}]
@="NetClient"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}]
@="NetService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}]
@="NetTrans"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{50DD5230-BA8A-11D1-BF5D-0000F805F530}]
@="Smart card readers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{6BDD1FC1-810F-11D0-BEC7-08002BE2092F}]
@="IEEE 1394 Bus host controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{D48179BE-EC20-11D1-B6B8-00C04FA372A7}]
@="SBP2 IEEE 1394 Devices"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}]
@="SecurityDevices"

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal.

Zresetuj system.

2. Sprawdź czy Tryb Awaryjny działa. 

Obawiam się, że może kryć się nadal na innej partycji niż C.  Do zainfekowanego laptopa podłączałem pendrive, dysk zewnętrzny oraz telefon. Czym można przeskanować te urządzenia, aby się upewnić czy są zainfekowane?

W takim razie potraktuj wszystkie partycje, urządzenia przenoście (do wyboru w opcjach) narzędziem KVRT. Jeśli chodzi o telefon to nie mógł on zostać zainfekowany. 

W raportach brak oznak infekcji, aby uniknąć podobnych sytuacji w przyszłości zainstaluj bloker reklam - KLIK (patrz sekcja blokowanie reklam przy użyciu rozszerzenia do przeglądarki). 

HitmanPro wykrył: pup (resztki adware), ciasteczka z przeglądarki oraz rzekomo podejrzany program FRST. To oczywiście fałszywy alarm. Oprócz tych wszystkich raportów prosiłem również o analizę urządzenia E:\ (czyli tego zarażonego, wg GDATA) pendrive.

Poprawki: 

1. Otwórz Notatnik w nim wklej. 

CloseProcesses:
CreateRestorePoint:
SearchScopes: HKU\S-1-5-21-3865186189-997488633-1609009381-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S3 GDPkIcpt; \??\C:\Windows\system32\drivers\PktIcpt.sys [X]
FirewallRules: [{76CDBCB7-7202-4C0B-B9D5-240770F839DB}] => C:\Program Files (x86)\Popcorn Time\Updater.exe
FirewallRules: [{87FFF6C6-B0C7-496A-B7E9-6FC1642D34E5}] => C:\Program Files (x86)\Popcorn Time\Updater.exe
EmptyTemp:

Nie dostarczaj z tego żadnych raportów. 

2. Zrób raport z Farbar Service Scanner. 

W raportach widać aktywne adware oraz już takie, które musiało zostać usuniętę wcześniej. Akcja.

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\...\Providers\tvuf9a0e: C:\Program Files (x86)\Curoydrerguse Log\local64spl.dll [292352 2016-12-30] ()
C:\Program Files (x86)\Curoydrerguse Log
ShellExecuteHooks: Brak nazwy - {9C8A04D0-CAA5-11E6-96ED-64006A5CFC23} - -> Brak pliku
GroupPolicy: Ograniczenia - Chrome 
BHO: Jidd -> {9211B66D-AA1B-4BD0-bF35-65E6C6E5F23F} -> Brak pliku
BHO-x32: Jidd -> {9211B66D-AA1B-4BD0-bF35-65E6C6E5F23F} -> Brak pliku
Toolbar: HKU\S-1-5-21-1411627303-691169763-3188944280-1000 -> Brak nazwy - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} - Brak pliku
S2 Cegoe; "C:\Users\HP\AppData\Roaming\Xeeedxi\Xeeedxi.exe" -cms [X]
S2 Ilaaugca; "C:\Users\HP\AppData\Roaming\JucdiJhnoz\Rawei.exe" -cms [X]
S2 KarxMhfonki; "C:\Program Files\Jidd\KarxMhfonki.exe" [X]
S1 webhzmhh; \??\C:\Windows\system32\drivers\webhzmhh.sys [X]
C:\ProgramData\igfxDH.dll
Task: {1BE436F8-FB60-4A40-B012-7AC746705F61} - \Microsoft\Windows\Media Center\UpdateRecordPath -> Brak pliku 
Task: {3099723F-3394-41EF-87DE-7E7B04DD61F1} - \Microsoft\Windows\Media Center\InstallPlayReady -> Brak pliku 
Task: {3997F149-23A2-40A2-AC75-9EEE116D6B40} - \Microsoft\Windows\Media Center\ActivateWindowsSearch -> Brak pliku 
Task: {4BC47ABA-902E-4412-979E-F4F0182697A7} - \Microsoft\Windows\Media Center\mcupdate -> Brak pliku 
Task: {4BEAE93B-37E1-4708-BB8A-7BDA2CE2D699} - \Microsoft\Windows\Media Center\OCURDiscovery -> Brak pliku 
Task: {59FF2269-CCBE-4DC9-9CD2-46CFE1A40E7E} - \Microsoft\Windows\Media Center\ReindexSearchRoot -> Brak pliku 
Task: {5D70E0C1-B7B7-49CD-AA32-638F4564CD33} - \Microsoft\Windows\Media Center\PvrRecoveryTask -> Brak pliku 
Task: {5D763B1E-F3A4-45FD-8599-1FD517299D85} - \Microsoft\Windows\Media Center\PBDADiscoveryW1 -> Brak pliku 
Task: {67B15243-36F1-4490-A82D-8D665B203F99} - \Microsoft\Windows\Media Center\RegisterSearch -> Brak pliku 
Task: {7E843BD9-8997-4487-BFFA-3F41CD0B40A6} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> Brak pliku 
Task: {86B82FEE-5137-46F8-9715-AE0F2537347A} - \Microsoft\Windows\Media Center\ConfigureInternetTimeService -> Brak pliku 
Task: {9F940857-E05D-4200-818E-39B54CB5D928} - \Microsoft\Windows\Media Center\PBDADiscoveryW2 -> Brak pliku 
Task: {A9140D5E-8C31-43CA-88E9-13DEF1381D42} - \Microsoft\Windows\Media Center\RecordingRestart -> Brak pliku 
Task: {A9FCCEB9-5E17-4EA4-BFB4-5CA11425FC96} - \Microsoft\Windows\Media Center\OCURActivate -> Brak pliku 
Task: {B7CA392C-2166-4C3F-8505-01FE9CB3D9D8} - \Microsoft\Windows\Media Center\PeriodicScanRetry -> Brak pliku 
Task: {BCFD55EC-7D7D-4576-92B2-E8F90DAC4593} - \Microsoft\Windows\Media Center\ehDRMInit -> Brak pliku 
Task: {D087FE87-1F19-48AA-9D4A-D1F766F0384D} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> Brak pliku 
Task: {DE3C3E70-A38F-47C1-A78C-764BAD6F6640} - \Microsoft\Windows\Media Center\DispatchRecoveryTasks -> Brak pliku 
Task: {E0D4917A-2CCB-469B-91F5-8397722DF4D9} - \Microsoft\Windows\Media Center\PvrScheduleTask -> Brak pliku 
Task: {FDB46B28-B730-470E-B530-6B3BE381FB75} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> Brak pliku 
Task: {FF3F9ECF-3E27-4F4F-AC1A-4CF9E716ABC0} - \Microsoft\Windows\Media Center\PBDADiscovery -> Brak pliku 
DeleteKey: HKU\.DEFAULT\Software\jhtrsq
DeleteKey: HKU\S-1-5-18\Software\jhtrsq
DeleteKey: HKLM\SOFTWARE\jhtrsq
Hosts:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

W raportach brak oznak infekcji, a wyniki znalezione przez Malwarebytes to błache sprawy. W spolerze drobne działania kosmetyczne: kasacja pustych wpisów oraz skrótów LNK oraz szczątek po programach (głownie po przeglądarce FireFox).

Temat przenoszę do działu Windows 7.

CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => -> Brak pliku
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku
BHO-x32: Brak nazwy -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> Brak pliku
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Brak pliku
C:\Users\Dom\PITy 2009.lnk
C:\Users\Dom\AppData\Local\Microsoft\Windows\GameExplorer\{0F4BBFD9-F213-4D38-BE25-1011ED489A72}\PlayTasks\0\Play.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Dom\AppData\Local\Mozilla
C:\Users\Dom\AppData\Roaming\Mozilla
C:\Users\Dom\AppData\Roaming\Profiles
EmptyTemp:

OK.

Teraz chciałbym zapytac o youtube, gdy przewijam często mi sie przegladarka zwiesza. ;d

To nie problem na miarę tego działu (nie jest infekcyjny), więc temat przenoszę do działu Windows 10.

Wirusa nie mam skanowałem komputer kilka razy AVG.

Wiem, że nie masz przecież sprawdzałem Twój system pod kątem infekcji.

W raportach brak oznak infekcji, w spoilerze działania poboczne, czysto kosmetyczne: kasacja pustych wpisów, skrótów LNK, martwej usługi oraz polityk grup. Na przyszłość: narzędzie OTL jest już nie używane, bo nie posiada wsparcia autora, a samo stało się już przestarzałe, więc mało skuteczne jeśli chodzi o nowe infekcji (logi OTL z postu kasuje).

Temat przenoszę do działu Windows 8.

CloseProcesses:
CreateRestorePoint:
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKU\S-1-5-21-1136908210-2649201948-2836840277-1002\...\Run: [ABBYY Screenshot Reader Retail] => [X]
HKU\S-1-5-21-1136908210-2649201948-2836840277-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01032017001618752\...\Run: [ABBYY Screenshot Reader Retail] => [X]
HKU\S-1-5-21-1136908210-2649201948-2836840277-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01032017002000054\...\Run: [ABBYY Screenshot Reader Retail] => [X]
ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} =>  -> Brak pliku
GroupPolicy: Ograniczenia 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
SearchScopes: HKU\S-1-5-21-1136908210-2649201948-2836840277-1002 -> DefaultScope {373D9A12-DD36-46E1-BDBE-27BFCE040A5C} URL = 
SearchScopes: HKU\S-1-5-21-1136908210-2649201948-2836840277-1002 -> {373D9A12-DD36-46E1-BDBE-27BFCE040A5C} URL = 
SearchScopes: HKU\S-1-5-21-1136908210-2649201948-2836840277-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01032017001618752 -> DefaultScope {373D9A12-DD36-46E1-BDBE-27BFCE040A5C} URL = 
SearchScopes: HKU\S-1-5-21-1136908210-2649201948-2836840277-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01032017001618752 -> {373D9A12-DD36-46E1-BDBE-27BFCE040A5C} URL = 
SearchScopes: HKU\S-1-5-21-1136908210-2649201948-2836840277-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01032017002000054 -> DefaultScope {373D9A12-DD36-46E1-BDBE-27BFCE040A5C} URL = 
SearchScopes: HKU\S-1-5-21-1136908210-2649201948-2836840277-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01032017002000054 -> {373D9A12-DD36-46E1-BDBE-27BFCE040A5C} URL = 
S3 IT9135BDA; \SystemRoot\System32\Drivers\IT9135BDA.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warblade\Warblade User Manual.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razer\Razer Synapse 2.0\Razer Synapse 2.0.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nice-Games\Tank-o-box wersja CD\Nice-Games.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nice-Games\Tank-o-box wersja CD\Tank-O-Box.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nice-Games\Tank-o-box wersja CD\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader\JDownloader.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader\Uninstall JDownloader.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic Multiplayer\Gothic Multiplayer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic Multiplayer\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\FlatOut\Uninstall FlatOut.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Frets on Fire\Frets on Fire.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Frets on Fire\Readme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Frets on Fire\Uninstall Frets on Fire.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlatOut Joint\FlatOut - FOV3\FlatOut.lnk
C:\Users\Dominik\Documents\Euro Truck Simulator 2\readme.rtf.lnk
C:\Users\Dominik\Desktop\Studia\an_daw\htdocs — skrót.lnk
C:\Users\Dominik\Desktop\Nieużywane skróty\Adobe Reader XI.lnk
C:\Users\Dominik\Desktop\Nieużywane skróty\AVG 2015.lnk
C:\Users\Dominik\Desktop\Nieużywane skróty\HP Photo Creations.lnk
C:\Users\Dominik\Desktop\Nieużywane skróty\Malwarebytes Anti-Malware.lnk
C:\Users\Dominik\Desktop\Nieużywane skróty\matlab — skrót.lnk
C:\Users\Dominik\Desktop\Gry\Cave.exe — skrót.lnk
C:\Users\Dominik\Desktop\Gry\Cities Skylines.lnk
C:\Users\Dominik\Desktop\Gry\Dreamfall Chapters.lnk
C:\Users\Dominik\Desktop\Gry\EA Sports FIFA World.lnk
C:\Users\Dominik\Desktop\Gry\Far Cry 4.lnk
C:\Users\Dominik\Desktop\Gry\Frogger2.exe — skrót.lnk
C:\Users\Dominik\Desktop\Gry\NARUTO SHIPPUDEN Ultimate Ninja STORM 3 Full Burst.lnk
C:\Users\Dominik\Desktop\Gry\Tank-O-Box.lnk
C:\Users\Dominik\Desktop\Gry\watch_dogs — skrót.lnk
C:\Users\Dominik\Desktop\Euro Truck Simulator 2\Euro Truck Simulator 2\readme.rtf.lnk
C:\Users\Dominik\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_2019413321_pl.lnk
C:\Users\Dominik\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_3806352580_pl.lnk
C:\Users\Dominik\Desktop\PULPIT\OMSI2\OMSI 2\Sceneryobjects\ADDON_SimpleStreets\ADDON_SimpleStreets - Genvej.lnk
EmptyTemp:

W raportach widać komponenty adware (oraz martwy rosyjski adres na routerze), które będziemy tutaj głównie usuwać. W związku z pomocą pytanie: czy celowo używasz serwerów proxy? 
 
1. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-721309439-3976775549-3943258617-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928
SearchScopes: HKU\S-1-5-21-721309439-3976775549-3943258617-500 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
XBox; C:\Program Files (x86)\XBox\XBLive.exe [6342584 2016-06-13] (Microsoft Corporation) S4 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X]
S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X]
ShortcutWithArgument: C:\Users\Administrator\Desktop\Google Chrome.lnk -> C:\Users\Siegmund\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928
ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928
ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928
ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928
ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928
ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928
ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\dd96def58e3ad62f\Google Chrome.lnk -> C:\Users\Siegmund\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928
C:\Users\Administrator\Documents\Euro Truck Simulator 2\readme.rtf.lnk
C:\Users\Administrator\Desktop\Kontynuuj instalację RTL8139811x816x810x Series 6.41.lnk
C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mount&Blade Warband.lnk
C:\Users\Administrator\AppData\Local\Microsoft\Windows\GameExplorer\{D2C22152-248B-4A58-B017-0423EE6A4E35}\PlayTasks\0\Zagraj.lnk
C:\Users\Administrator\AppData\Local\Microsoft\Windows\GameExplorer\{55685D5D-D80C-4803-BD2B-E35D5DB97B3E}\PlayTasks\0\Zagraj.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Recovery\RAR Password Recovery Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Recovery\RAR Password Recovery.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband\Mount&Blade Warband.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MAX-FX Tools\ActorFX.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MAX-FX Tools\MAX-FX Tools Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MAX-FX Tools\MaxEd.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MAX-FX Tools\ParticleFX.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Oblivion\Instrukcja.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Oblivion\Mapa.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Oblivion\Oblivion poradnik - Knights of the Nine.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Oblivion\Oblivion poradnik - Shivering Isles.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Oblivion\Oblivion poradnik cz. 1.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Oblivion\Oblivion poradnik cz. 2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Oblivion\Oblivion poradnik cz. 3.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\Wordpad.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{02F4060A-3BF1-4715-867C-6FBE8786013C}\PlayTasks\4\Program konfiguracyjny.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{02F4060A-3BF1-4715-867C-6FBE8786013C}\PlayTasks\3\Instrukcja do gry.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{02F4060A-3BF1-4715-867C-6FBE8786013C}\PlayTasks\2\CzytajTo.txt.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{02F4060A-3BF1-4715-867C-6FBE8786013C}\PlayTasks\1\Rejestruj.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{02F4060A-3BF1-4715-867C-6FBE8786013C}\PlayTasks\0\Graj.lnk
C:\Users\Siegmund\Desktop\Call of Duty Multiplayer.lnk
C:\Users\Siegmund\Desktop\LIMBO.lnk
C:\Users\Siegmund\AppData\Local\Microsoft\Windows\GameExplorer\{DE57FC26-3ED5-4438-A017-8713F420F27B}\PlayTasks\0\Zagraj.lnk
C:\Users\Siegmund\AppData\Local\Microsoft\Windows\GameExplorer\{DD5BFFE0-8591-4D29-BB25-46F4D732A86D}\PlayTasks\0\Zagraj.lnk
EmptyTemp:

OK.