Miszel03

Dostarczyłeś tylko 2 raporty z narzędzia Farbar Recovery Scan Tool, czyli FRST oraz ADDITION, a ma być jeszcze do tego raport SHORTCUT.

Raport dodaj używając opcji Edytuj w poście. 

G DATA przeniosła do kwarantanny pliki ERUNT, który patrząc po MD5 i po nazwie nie jest szkodliwy - KLIK. 

1. Przez panel sterowania odinstaluj: Popcorn Time (nie jestem pewny co do tej detekcji, więc jeśli program znasz i mu ufasz to możesz zostawić).

2. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShortcutTarget: Wysyłanie do programu OneNote.lnk -> C:\Program Files (x86)\Microsoft Office\root\Office16\ONENOTEM.EXE (Brak pliku)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
SearchScopes: HKU\S-1-5-21-3865186189-997488633-1609009381-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3865186189-997488633-1609009381-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku
BHO-x32: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku
CHR StartupUrls: Profile 1 -> "hxxp://istart.webssearches.com/?type=hp&ts=1404513516&from=amt&uid=TOSHIBAXMK5055GSX_79RJS13JSXX79RJS13JS","hxxps://start.allianz.pl/","hxxps://www.google.pl/"
Task: {0528E465-F2D0-4CD3-9B75-AA0A29C1127B} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku 
C:\Users\Bob\Desktop\Bob\AppData\Roaming\Microsoft\Word\662%20rodzic%20bez%20szpitala%2015%25304696493377610516\662%20rodzic%20bez%20szpitala%2015%25.doc.lnk
C:\Users\Bob\Desktop\ASUS\System tool\ASUS InstantOn.lnk
C:\Users\Bob\Desktop\ASUS\System tool\Power4Gear Hybrid.lnk
C:\Users\Bob\Desktop\ASUS\Business tool\Adobe Reader X.lnk
C:\Users\Bob\AppData\Roaming\Skype\My Skype Received Files\Bandicam.lnk
C:\Users\Bob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wysyłanie do programu OneNote.lnk
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

3. Zrób analizę urządzenia E:\ za pomocą programu UsbFix z opcji Listing oraz Research. Dostarcz raport z tego działania.

4. Zrób skan za pomocą Hitman Pro. Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport.

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

1. Przeprowadź skanowanie za pomocą Malwarebytes, dla wszystkich wyników zastosuj opcję przenieś do kwarantanny.

2. Wygeneruj nowe raporty FRST.

Praktycznie nic się nie przywróciło z infekcji. 
 
Drobniutka poprawka:
 
Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia - Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SteelSeries\SteelSeries Engine 3\Uninstall SteelSeries Engine 3.lnk
C:\Users\Mateusz\AppData\Roaming\Microsoft\Word\skrót305627793764937439\skrót.docx.lnk
C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash\Wrye Bash - Extra 1 (Debug Log).lnk
C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash\Wrye Bash - Extra 1.lnk
EmptyTemp:

Windows Defender działa, nie pojawiają się żadne komunikaty. Nie mogę go jednak zaktualizować. Wchodząc poprzez centrum zabezpieczeń, w zakładce z Defenderem widnieje komunikat, że jest nieaktualny. Klikam przycisk "Aktualizuj teraz" i rusza, lecz zatrzymuje się po sekundzie.

Sama usługa została pomyślnie odbudowana, spróbuj wejść w Tryb awaryjny Windows i zmień nazwę folderu C:\Windows\SoftwareDistribution np. na C:\Windows\SoftwareDistribution.old. Sprawdź czy nastąpiła poprawa.

 Natomiast po uruchomieniu tej facebook'owej aplikacji (HappyAcres) dzieją się cuda. Aplikacja uruchamia się w nieskończoność i strasznie muli. Dla jasności sytuacji odpaliłem ją również w Operze. Rezultat jest taki sam.

Czy zatem jest to kwestia samej aplikacji czy też być może sprzętu? Systemu? (stara wersja).

To problem chyba po stronie aplikacji, a nie Twojej. 

Używałem takich programów jak: AdwCleaner i Malwarebytes. Liczę na pomoc.

Dostarcz raporty z tych działań oraz zestaw logów z narzędzia Farbar Recovery Scan Tool.

2. Jeżeli chodzi o odinstalowanie UCBrowser problem jest taki że folder UCBrowser w ogóle nie istnieje w program files x86

Pomyliłem ścieżki dostępu, ale już trudno, bo po programie i tak zostały tylko resztki.

Poprawki:

Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
C:\Users\ggg\AppData\Local\UCBrowser
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
C:\Program Files (x86)\Enigma Software Group
Task: {44E47B90-F1B6-487F-B8D7-17CF3B0E695C} - System32\Tasks\SpyHunter3 => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter3.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

Nie musisz dostarczać nowych logów, ani raportu wynikowego pliku Fixlog.txt). Podsumuj obecną sytuację.

OK. Dziękuję i wzajemnie!   

Kliknij: Windows + R > services.msc > odnajdź usługę Windows Defender > ustaw uruchamianie na tryb Automatyczny > Zresetuj komputer > Sprawdź rezultaty > Działa > Idziesz dalej z krokami. 

Nie działa > poinformuj mnie o tym. 

W raportach brak oznak infekcji, w spoilerze działania poboczne, czysto kosmetyczne: kasacja pustych wpisów, martwych wpisów oraz szczątek po przeglądarce FireFox.

Korzystasz z rozwiązania firmy Qihoo, więc pozwolę sobie zacytować fragment z tematu picasso:

Qihoo - Z firmą są związane liczne kontrowersje oraz afera z manipulowaniem wyników w testach. Ponadto, raporty na temat reklam produkowanych przez program. Pod ocenę indywidualną czy produkt jest godny zaufania.

Jeśli chodzi o problem z siecią to problem nie na miarę mojej specjalizacji, najlepiej to poczekaj na moderatora tego działu, czyli DawidS28.

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2270930814-2333390826-4270964841-1000\...\Run: [AdobeBridge] => [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
U0 aswVmm; Brak ImagePath
S3 dcdbas; system32\DRIVERS\dcdbas64.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Bogusia\AppData\Local\Mozilla
C:\Users\Bogusia\AppData\Roaming\Mozilla
C:\Users\Bogusia\AppData\Roaming\Profiles
EmptyTemp:

1. Podczas deinstalacji FireFoxa nie miałem możliwości wyboru czegokolwiek, proces przebiegł od początku do końca automatycznie.

Ja podałem to awaryjnie, bo nie pamiętam jak przebiega deinstalacja każdej przeglądarki (a powinienem! )

2. Po przeprowadzeniu "Napraw" w FRST komputer "nie wstał" padł na ekranie "Zapraszamy" zaraz po wyborze użytkownika. Za drugim razem udało się.

OK.

3. W chwili obecnej korzystam z Opery. Czy w tych okolicznościach instalować ponownie FIrefoxa?

Jak chcesz, teraz Firefox powinien działać lepiej.

Usługą Windows Defender jest kompletnie zdewastowana, praktycznie jej nie ma, więc nic dziwnego, że się nie uruchamia i zwraca błąd. 

Rekonstrukcja: 

1. Otwórz Notatnik w nim wklej:

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\
00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\
72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\
00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\
69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\
00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]
"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\
01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal.

Zresetuj system.

2. Uruchom SystemLook i oknie programu wklej:

:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0 /s

Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum.

3. Zrób też nowy raport z Farbar Service Scanner.

4. Sprawdź czy Windows Defender już działa.

SpyHunter jest programem wątpliwej reputacji, cytuję z tematu picasso:
 

SpyHunter - Skaner wątpliwej reputacji bardzo silnie forsowany w wynikach Google i stosujący techniki manipulacji skłaniające do instalacji. Na Google cała masa wysoko pozycjonowanych opisów "usuwania malware" skonstruowanych w taki sposób, by pobrać SpyHunter jako cudowny darmowy lek na daną infekcję. Po instalacji okazuje się, że jest to program płatny. Niestety SpyHunter raczej nie jest wykrywany i usuwany, gdyż każde takie podejście kończy się sprawą w sądzie - przykład z AdwCleaner.

To jak postąpisz to Twoja decyzja. 

W raportach widoczne infekcji adware / PUP, od razu przechodzimy do działań. 

1. Wejdź do folderu C:\Program Files (x86)\UCBrowser i spróbuj z niego uruchomić deinstalator (uninstall.exe).

2. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
HKLM\...\RunOnce: [GrpConv] => grpconv -o
HKLM\...\RunOnce: [wd] => C:\Windows\Temp\g5561.tmp.exe [252416 2016-12-28] () HKU\S-1-5-18\...\Run: [] => 0
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> 
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  -> Brak pliku
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-2169502771-1325052205-2191854498-1000\Software\Microsoft\Internet Explorer\Main,Start Page = 
OPR Extension: (Fast search) - C:\Users\ggg\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-25]
S2 GmSvc; C:\Program Files (x86)\LDSGameCenter\GmSvc.dll [X]
S3 dtldrvhelp; \??\c:\program files\safiplayer\dtldrvhelp64.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
NETSVCx32: GmSvc -> C:\Program Files (x86)\LDSGameCenter\GmSvc.dll ==> Brak pliku
2016-12-25 02:40 - 2016-12-25 02:40 - 7316480 _____ () C:\Users\ggg\AppData\Roaming\agent.dat
2016-12-25 02:39 - 2016-12-25 02:39 - 0140288 _____ () C:\Users\ggg\AppData\Roaming\Installer.dat
2016-12-25 02:40 - 2016-12-25 02:40 - 0018432 _____ () C:\Users\ggg\AppData\Roaming\Main.dat
C:\Windows\Temp\g5561.tmp.exe
C:\ProgramData\cis7407.exe
C:\ProgramData\cmdres.dll
Task: {4F09A7B6-FE78-4979-9A33-C4E06D43EAED} - System32\Tasks\gggDecompensatingFodderingV2 => Rundll32.exe HijackerSupernova.dll,main 7 1 Task: {5DEE1CE0-2959-4993-942D-489A61EB6E58} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe Task: {C48182D4-37BC-4FD8-BD21-38D7610F4AA8} - System32\Tasks\59548362d1t1795256 => Rundll32.exe "C:\ProgramData\59548362d1t1795256\59548362d1t1795256.dll",DMT ShortcutWithArgument: C:\Users\ggg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=SD0H20014L1TH55103RX_LITEONLDH-256V2S&tm=1449317201
ShortcutWithArgument: C:\Users\ggg\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  
ShortcutWithArgument: C:\Users\ggg\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\ggg\AppData\Local\Mozilla
C:\Users\ggg\AppData\Roaming\Mozilla
C:\Users\ggg\AppData\Roaming\Profiles 
Hosts:
EmptyTemp:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Dostarcz mi nowe raporty FRST. 

Zi84

Zrób mi nowy zestaw raportów FRST.

apostrofy

Dziękuję za pomoc, masz rację podałem złą ścieżkę. Natomiast, następnym razem (zgodnie z regulaminem) poinformuj mnie o tym na PW, a ja na pewno wspomnę o Twojej uwadze w poście. 

 ponieważ za każdym razem gdy mam właśnie te problemy z playlistą i tak dalej adw znajduje wirus w przeglądarce.

To nie ma ze sobą związku, zresztą po deinstalacji Google Chrome, AdwCleaner już niczego nie będzie wykrywał

Jeżeli sądzisz że to mój 2 problem powiesz mi gdzie mam zrobić 2 temat by temu zaradzić

Widzę, że już założyłeś temat w dziale Windows 7, - a to odpowiedni dział to tego problemu. 

PS. dziękuje za wszelką pomoc , odezwę się jak tylko przeinstaluje chromę i pobędę troszkę na niej.

OK. 

Problemy czysto infekcyjne załatwione, więc możemy iść dalej.

1. Komunikat dotyczący błędu Defendera pokazujący się po uruchomieniu komputera, pokazuje się w dalszym ciągu.

Na razie pobór danych o stanie usługi Windows Defender w Twoim systemie. 

1. Uruchom SystemLook i oknie programu wklej:

:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend /s

Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum.

2. Zrób też raport z Farbar Service Scanner. 

2. Przeglądarka bez spektakularnych zmian.

Przeinstalujemy przeglądarkę na czysto (wszystkie dane związane z przeglądarką zostaną usunięte).

• Upewnij się, że synchronizacja jest wyłączona: KLIK.
• Przez panel sterowania odinstaluj przeglądarkę Mozilla FireFox (w trakcie deinstalacji zaznaczasz wszystkie opcje dot. usunięcia danych). 

Otwórz Notatnik w nim wklej: 

DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\IZA\AppData\Local\Mozilla
C:\Users\IZA\AppData\Roaming\Mozilla
C:\Users\IZA\AppData\Roaming\Profiles
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\Mozilla
EmptyTemp:

Zaraz dodam świeże logi, plik z usuwania skasowałem omyłkowo, ale wszystko było zrobione pomyślnie

Przecież napisałem, że nie musisz dostarczać żadnych raportów i prosiłem również o podsumowanie sytuacji. 

Na tych skrótach nie mam takiej opcji jest tylko opcja przypnij do menu start

Odpowiem na to pytanie za chwilę, bo jest niepriorytetowe. 

W raportach brak oznak infekcji, więc problem z połączeniem internetowym jest pozainfekcyjny. 

Temat przenoszę do działu Sieci. 

 Czy to ma związek z naszymi działaniami? 

To zależy co usunąłeś w Malwarebytes. Na przyszłość: wykonuj tylko to co ja zleciłem w trakcie pomocy.

Postanowiłem przywrócić system sprzed 4 dni.

To mogło przywrócić wszystko co do tej pory skorygowałem, więc jedziemy od nowa: poproszę nowe raporty FRST. 

AdwCleaner już nic nie wykrył. Poprawki:

Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia 
EmptyTemp:

Przywracania systemu nie włączałem

Ale następnym razem, gdy będziesz prosił o pomoc proszę to zrobić. 

Jeszcze mały problem jak usunąć pozostałości po programach które już nie istnieją a pokazują się w menu start po ich wpisaniu

Menu Start: wpisujesz nazwę danego programu > klik PPM na niego > usuń z listy. 

Wyniki z AdwCleaner jadą do usunięcia, raporty wyglądają już OK.

Uruchom AdwCleaner przeprowadź skanowanie, ale po nim kliknij w Oczyść. Dostarcz raport z tego działania.

Podsumuj obecną sytuację. 

Atakuj do Windows 7 - tam też przenoszę Twój temat. 

OK.

AdwCleaner nie może usunać modyfikacji preferencji w Google Chrome, robienie tego ręcznie przeze mnie zajmie więcej czasu niż przeinstalowanie przeglądarki na czysto.

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTM
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

Czym przeskanować system aby upewnić się że wszystko zostało naprawione? 

Już niczym, HitmanPro zawiera w sobie silnik Kasperskiego oraz BitDefendera, a to zdecydowanie liderzy w zakresie wykrywania złośliwego oprogramowania.

W raportach brak oznak infekcji, a problem przez Ciebie opisany raczej ma podłoże kompletnie pozainfekcyjne. W spoilerze działania poboczne, czysto kosmetyczne: kasacja pustych wpisów, martwych usług oraz niepotrzebnej mapy adresów w Internet Explorer. 

CloseProcesses:
CreateRestorePoint:
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  -> Brak pliku
ShortcutTarget: Powiadomienia monitorowania tuszu - HP Deskjet 1050 J410 series.lnk ->  (Brak pliku)
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM -> {c9ab6446-7efc-47fe-966c-dc54324eff9f} URL = 
SearchScopes: HKU\S-1-5-21-382856504-3390691762-2710609008-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
S4 BrowserDefendert; C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe [X]
C:\ProgramData\BrowserDefender
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
U3 uxriqaow; \??\C:\Users\kps\AppData\Local\Temp\uxriqaow.sys [X]
IE trusted site: HKU\S-1-5-21-382856504-3390691762-2710609008-1000\...\alipay.com -> hxxps://alipay.com
IE trusted site: HKU\S-1-5-21-382856504-3390691762-2710609008-1000\...\alipay.com -> hxxp://alipay.com
IE trusted site: HKU\S-1-5-21-382856504-3390691762-2710609008-1000\...\alisoft.com -> hxxps://alisoft.com
IE trusted site: HKU\S-1-5-21-382856504-3390691762-2710609008-1000\...\alisoft.com -> hxxp://alisoft.com
IE trusted site: HKU\S-1-5-21-382856504-3390691762-2710609008-1000\...\taobao.com -> hxxps://taobao.com
IE trusted site: HKU\S-1-5-21-382856504-3390691762-2710609008-1000\...\taobao.com -> hxxp://taobao.com
EmptyTemp: