Miszel03

Doczytaj pkt. 3.

Idziemy dalej: 1. W AdwCleaner przeprowadź jeszcze raz skanowanie, ale po nim kliknij w Oczyść. Dostarcz raport z tego działania. 2. Otwórz Notatnik w nim wklej: C:\Users\Laptop\Desktop\Stare dane programu Firefox FirewallRules: [TCP Query User{5E8AA9DF-73EC-450B-AD4A-23B2F5877A2D}C:\users\laptop\appdata\local\akamai\netsession_win.exe] => C:\users\laptop\appdata\local\akamai\netsession_win.exe FirewallRules: [uDP Query User{5FF1773D-D4EA-4168-92D5-C91EBAD6C3BB}C:\users\laptop\appdata\local\akamai\netsession_win.exe] => C:\users\laptop\appdata\local\akamai\netsession_win.exe FirewallRules: [TCP Query User{EB4BB8F0-2891-4738-94DE-CACEBB17DC65}C:\users\laptop\appdata\local\akamai\netsession_win.exe] => C:\users\laptop\appdata\local\akamai\netsession_win.exe FirewallRules: [uDP Query User{B3BDCA42-29B1-45A9-88A8-CD0194AC1EE0}C:\users\laptop\appdata\local\akamai\netsession_win.exe] => C:\users\laptop\appdata\local\akamai\netsession_win.exe Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 3. Podsumuj obecną sytuację, nie musisz dostarczać żadnych innych raportów (prócz AdwCleanera).

Poprawkowe działania: 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {2EB383DB-1DAD-4BEB-A645-04560689D9D9} - \GoogleUpdateTaskMachineCore1d2557b104ac77d -> Brak pliku 2016-12-13 20:56 - 2016-12-13 21:11 - 07065600 _____ C:\Program Files (x86)\GUTBA69.tmp 2016-12-13 20:56 - 2016-12-13 20:56 - 00000000 ____D C:\Program Files (x86)\GUMBA68.tmp 2016-12-13 20:48 - 2016-12-13 20:48 - 07065600 _____ C:\Program Files (x86)\GUTC67A.tmp 2016-12-13 20:48 - 2016-12-13 20:48 - 00000000 ____D C:\Program Files (x86)\GUMC679.tmp 2016-12-13 20:36 - 2016-12-13 20:48 - 07065600 _____ C:\Program Files (x86)\GUTBD37.tmp 2016-12-13 20:36 - 2016-12-13 20:36 - 00000000 ____D C:\Program Files (x86)\GUMBD26.tmp 2016-12-13 19:51 - 2016-12-13 19:51 - 07065600 _____ C:\Program Files (x86)\GUTC38E.tmp 2016-12-13 19:51 - 2016-12-13 19:51 - 00000000 ____D C:\Program Files (x86)\GUMC38D.tmp 2016-12-09 18:57 - 2016-12-09 18:57 - 07065600 _____ C:\Program Files (x86)\GUTCF3E.tmp 2016-12-09 18:57 - 2016-12-09 18:57 - 00000000 ____D C:\Program Files (x86)\GUMCF3D.tmp RemoveDirectory: C:\Users\admin\AppData\Roaming\cfibf RemoveDirectory: C:\ProgramData\ehadh RemoveDirectory: C:\ProgramData\aehad RemoveDirectory: C:\ProgramData\ttff Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\admin\AppData\Local\Mozilla C:\Users\admin\AppData\Roaming\Mozilla C:\Users\admin\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Podsumuj obecną sytuację, nie dostarczaj żadnych raportów.

Raporty dostarczone, ale tylko częściowo, bo brakuje 3-ego raportu generowanego przez FRST czyli Shortcut.txt. Bez niego nie zaczniemy.

Dałeś link do tematu tutaj na forum, a nie do tematu spoza forum - uzupełnij go, bo znacznie naświetli mi sprawę. Nie dostarczyłeś również żadnych wymaganych raportów czyli FRST + GMER.

Nie jest źle, ale faktycznie widać w raportach adware / PUP, które stoją za wyświetlaniem niepożądanych reklam. 1. Przez panel sterowania odinstaluj: Akamai NetSession Interface (zbędnik) McAfee Security Scan Plus (instalowany jako sponsor instalacyjny) yoursearching uninstall (Adware / PUP) 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {00363794-77AC-453C-9A9F-B63D6148C70A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {2842B1BF-D00A-46D8-AE97-93D401989447} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {35749FEB-83D6-4065-ADDA-A9E25D76633B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {37AC8612-EEAD-429E-8266-AE41B94AC171} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {6662973C-75F3-4153-8C11-90E2882BBD77} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {6F59D8D9-4E8D-4069-BFA2-103938BB1A22} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {7CDF0304-DA99-441F-A78B-146C3F9CC62C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {82CDAFF3-FD20-49C7-94E0-6664F8A7AD87} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {945EEE4F-5EEB-4751-80EA-36A85C075ACA} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {95B4CA07-C7F6-41CA-BC59-88DADA57885E} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {B107001F-91FF-451A-836F-EFC4FF30EAF2} - \WPD\SqmUpload_S-1-5-21-2898350105-1872382386-508321475-1001 -> Brak pliku Task: {C7B3E308-A027-44B9-BF2E-1727C205329F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {CC47B6FF-BE14-4D65-8CAC-7AA9917A4916} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {E47B3820-98D3-4A6E-8F39-3363EA28FD6F} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku ShortcutWithArgument: C:\Users\Laptop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursearching.com/?type=sc&ts=1448724983&z=7e585c4fe919815e2f5e3acg3z5z1b8m1oezdt1b7e&from=cor&uid=HGSTXHTS541010A7E630_S0A000SSGA3EAKGA3EAKX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursearching.com/?type=sc&ts=1448724983&z=7e585c4fe919815e2f5e3acg3z5z1b8m1oezdt1b7e&from=cor&uid=HGSTXHTS541010A7E630_S0A000SSGA3EAKGA3EAKX ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursearching.com/?type=sc&ts=1448724983&z=7e585c4fe919815e2f5e3acg3z5z1b8m1oezdt1b7e&from=cor&uid=HGSTXHTS541010A7E630_S0A000SSGA3EAKGA3EAKX R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S3 dbx; system32\DRIVERS\dbx.sys [X] S1 dnucmarp; \??\C:\WINDOWS\system32\drivers\dnucmarp.sys [X] C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Laptop\Desktop\Jarek Psota\Dokumenty\moje\Sample Pictures.lnk C:\Users\Laptop\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AsusSmartGestureDetector.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

1. W AdwCleaner jeszcze raz przeprowadź skanowanie, ale po nim kliknij w Oczyść. Dostarcz raport z tego działania. 2. Wygeneruj nowy zestaw raportów FRST. Sprawdź czy działa Ci już kompozycja Aero.

Log FRST.TXT jest ucięty, dostarcz prawidłowy.

Jeśli temat aktualny to poproszę o nowy zestaw raportów FRST.

Przejdź do deinstalacji innych programów. Ze skryptu już usunąłem kasacje proxy, więc możesz go spokojnie wykonać.

W raportach brak oznak jakiejkolwiek infekcji. W spoilerze sprawy poboczne, nie mające związku z problemem. W związku z tym, że nie jest to problem dot. infekcji temat zostaje przeniesiony do działu Windows 10, skąd poczekasz na odpowiedź (nie wykluczone, że to ja się tym zajmę).

W systemie kolosalny bałagan. Masa instalacji adware / PUP, pozwól, że nie będę się na ten temat rozpisywać. Jeśli chodzi o tytułowy problem to system jest zainfekowany nowym wariantem infekcji adware, która modyfikuję usługę Themes, dlatego też nie możesz uruchomić kompozycji Aero. 1. Przez panel sterowania odinstaluj: aMuleCustom Bundled software uninstaller Codec Package Packages Update for Codec Package Guard.ICQ ICQ Toolbar ICQ7.7 Search App by Ask vShare.tv plugin 1.3 SpyHunter (tzn. możesz sam zadecydować, ale z tym programem związane są liczne kontrowersje) Jeśli będą problemy z deinstalacją któregoś w/w programów to zrobisz to samo tylko, że z poziomu trybu awaryjnego (kliknij w F8 przed startem systemu). 2. Otwórz Notatnik w nim wklej: (W skrypcie serwery proxy podlegają usunięciu, więc jeśli jest to celowe ustawienie to poinformuj mnie o tym, nie wykonuj dalszych kroków) CloseProcesses: CreateRestorePoint: Task: {2069B703-6AAA-4A52-AB6F-4B25DC3FB233} - \fdFFHBXCheckTask -> Brak pliku Task: {4DB077B0-835E-4DE0-A557-651B24238F2E} - \FishloseUpdateTaskMachineCore -> Brak pliku Task: {5782A8CA-1DB7-4485-B286-4BB3199AA865} - \FishloseUpdateTaskMachineUA -> Brak pliku Task: {682319A2-070A-4CF4-87CF-23570A980CC0} - \Digital Sites -> Brak pliku Task: {8FF06027-654E-45D9-9584-AAC674C9DCD9} - \NobeanUpdateTaskMachineCore -> Brak pliku Task: {9C3CFE8F-28E7-485D-9634-3173196AC674} - System32\Tasks\DealPly => C:\Users\USER\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE Task: {A4C9DD3D-C35C-4C00-9E7C-353F42934666} - \DigitalSite -> Brak pliku Task: {B915706B-DDB3-4E30-A723-4B69F7DE8934} - \NobeanUpdateTaskMachineUA -> Brak pliku Task: {BF5F702F-55BB-4944-BE2F-75045ED619F4} - \fdFFHBXBrowserUpdateCore -> Brak pliku Task: {CF72C427-57FF-4CF0-87C3-B0A67CB29603} - \Update Bonanza -> Brak pliku Task: {D0D42071-7E7B-45BC-8FA7-D8BE9F0EA318} - System32\Tasks\Hoolapp For Android => C:\Users\USER\AppData\Roaming\HOOLAP~1\UPDATE~1\UPDATE~1.EXE Task: {D3F25FA5-E1FD-4C5C-A1FC-AAF570DED80D} - System32\Tasks\Hoolapp Init => C:\Users\USER\AppData\Roaming\HOOLAP~1\Hoolapp.exe C:\Users\USER\AppData\Roaming\DealPly C:\Users\USER\AppData\Roaming\HOOLAP~1 Task: C:\Windows\Tasks\Digital Sites.job => C:\Users\USER\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\DigitalSite.job => C:\Users\USER\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\Update Bonanza.job => C:\Users\USER\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk C:\Program Files (x86)\Coldjob ShellIconOverlayIdentifiers: [KAVOverlayIcon] -> {014F27E2-6D75-4E42-A0E9-2A2C68498AFA} => Brak pliku ShellIconOverlayIdentifiers-x32: [KAVOverlayIcon] -> {014F27E2-6D75-4E42-A0E9-2A2C68498AFA} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1388680489&from=wpm0102&uid=WDCXWD5000BPKT-75PK4T0_WD-WX51A71Y2161Y2161&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476786623&z=358522b4141e4cb57770e3eg9z3m0qam5b8q9q9o3z&from=amule1017&uid=WDCXWD5000BPKT-75PK4T0_WD-WX51A71Y2161Y2161 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1388680489&from=wpm0102&uid=WDCXWD5000BPKT-75PK4T0_WD-WX51A71Y2161Y2161&q={searchTerms} HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com?type=hp&ts=1450258856&from=mych123&uid=wdcxwd5000bpkt-75pk4t0_wd-wx51a71y2161y2161&z=5fbfd3366d41532261f238dgfz2wee8o2w4babawfb HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com?type=hp&ts=1450258856&from=mych123&uid=wdcxwd5000bpkt-75pk4t0_wd-wx51a71y2161y2161&z=5fbfd3366d41532261f238dgfz2wee8o2w4babawfb HKU\S-1-5-21-2555031829-1915374467-2933209100-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=WDCXWD5000BPKT-75PK4T0_WD-WX51A71Y2161Y2161&ts=1393422490&type=default&q={searchTerms} HKU\S-1-5-21-2555031829-1915374467-2933209100-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476786623&z=358522b4141e4cb57770e3eg9z3m0qam5b8q9q9o3z&from=amule1017&uid=WDCXWD5000BPKT-75PK4T0_WD-WX51A71Y2161Y2161 HKU\S-1-5-21-2555031829-1915374467-2933209100-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=WDCXWD5000BPKT-75PK4T0_WD-WX51A71Y2161Y2161&ts=1393422490&type=default&q={searchTerms} SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2555031829-1915374467-2933209100-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://startsear.ch/?aff=1&src=sp&cf=ee282f47-8e41-11e1-88f6-ac7289578bf3&q={searchTerms} SearchScopes: HKU\S-1-5-21-2555031829-1915374467-2933209100-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=C46A00FFC9715CC3&affID=121564&tsp=4957 SearchScopes: HKU\S-1-5-21-2555031829-1915374467-2933209100-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476786623&z=358522b4141e4cb57770e3eg9z3m0qam5b8q9q9o3z&from=amule1017&uid=WDCXWD5000BPKT-75PK4T0_WD-WX51A71Y2161Y2161&q={searchTerms} SearchScopes: HKU\S-1-5-21-2555031829-1915374467-2933209100-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKU\S-1-5-21-2555031829-1915374467-2933209100-1000 -> {6552C7DD-90A4-4387-B795-F8F96747DE19} URL = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd SearchScopes: HKU\S-1-5-21-2555031829-1915374467-2933209100-1000 -> {D0B48296-04EF-45D2-A31C-4353E6244893} URL = SearchScopes: HKU\S-1-5-21-2555031829-1915374467-2933209100-1000 -> {EBA63E7C-8D74-472A-94A9-6CAE67390BC4} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=6A424BB3-73DC-48F5-A620-8E8CB9DC56AD&apn_sauid=AA02F8EF-69C9-4368-9446-3AF7A57928D2 BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Brak pliku Toolbar: HKU\S-1-5-21-2555031829-1915374467-2933209100-1000 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku Toolbar: HKU\S-1-5-21-2555031829-1915374467-2933209100-1000 -> Brak nazwy - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - Brak pliku StartMenuInternet: IEXPLORE.EXE - c:\program files\internet explorer\iexplore.exe hxxp://www.mylucky123.com/?type=sc&ts=1476786623&z=358522b4141e4cb57770e3eg9z3m0qam5b8q9q9o3z&from=amule1017&uid=WDCXWD5000BPKT-75PK4T0_WD-WX51A71Y2161Y2161 S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\USER\AppData\Local CMD: dir /a C:\Users\USER\AppData\LocalLow CMD: dir /a C:\Users\USER\AppData\Roaming EmtyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść FireFox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W takim razie kończymy.

Jest już w porządku. Z mojej strony będziemy już kończyć. Usuń narzędzia diagnostyczno / dezynfekcyjne oraz skasuj punkty przywracania systemu - KLIK / KLIK. Zaktualizuj również ważne programy: KLIK. Poczekaj najlepiej na odzew Groszexxx.

A czy pkt. 2 został wykonany?

W raportach brak oznak infekcji, jest tylko bałagan w przeglądarce FireFox. W skrypcie: kasacji polityk grup, pustych wpisów, skrótów. Działanie te są raczej poboczne, nie mające związku z głównym problemem. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = R2 Winstep Xtreme Service; C:\Program Files (x86)\Winstep\WsxService [X] S3 catchme; \??\C:\cf\catchme.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sublime Text 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Zet 9 Geo™\Zet 9 Geo™.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Zet 9 Geo™\Äĺčíńňŕëëčđîâŕňü Zet 9 Geo.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows 7 - Codec Pack\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VG-Ripper\Uninstall VG-Ripper.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VG-Ripper\VG-Ripper.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SRWare Iron\Lizenz.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation\GeForce Experience.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Registry Cleaner\Uninstall Eusing Free Registry Cleaner.lnk C:\Users\sss\Downloads\IObit Driver Booster Pro 3.5.0.788 Multilingual Incl Keys + Portable [sadeemPC]\IObit Driver Booster Pro 3.5.0.788 Multilingual Portable\IObit Driver Booster Pro 3.5.0.788 Multilingual Portable\App\Driver Booster\Driver Booster 2.lnk C:\Users\sss\Downloads\IObit Driver Booster Pro 3.5.0.788 Multilingual Incl Keys + Portable [sadeemPC]\IObit Driver Booster Pro 3.5.0.788 Multilingual Portable\IObit Driver Booster Pro 3.5.0.788 Multilingual Portable\App\Driver Booster\Driver Booster 3.lnk C:\Users\sss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gravitus Minus\Gravitus Minus.lnk C:\Users\sss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gravitus Minus\Uninstall Gravitus Minus.lnk C:\Users\sss\AppData\Roaming\Microsoft\Windows\SendTo\AQQ.lnk C:\Users\sss\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\724e6c6e1aea27c4\COMODO Internet Security.lnk DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains EmptyTemp: 2. Wyczyść FireFox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 3. Wygeneruj nowe raporty FRST (bez GMER) oraz dostarcz raport wynikowy (Fixlog.txt).

OK.

W raportach brak oznak infekcji. W spoilerze sprawy poboczne, kosmetyka: kasacja pustych skrótów, wpisów.

1. Przez panel sterowania odinstaluj: ByteFence Anti-Malware Reimage Repair 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2724231249-941711842-670717779-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki HKU\S-1-5-21-2724231249-941711842-670717779-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.msn.com/?pc=SL5M&ocid=SL5MDHP&osmkt=pl-pl SearchScopes: HKU\S-1-5-21-2724231249-941711842-670717779-1001 -> {E62C8800-75E3-4AC6-9587-9714E3669CA6} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=435371&p={searchTerms} FF SearchPlugin: C:\Users\Dominikkoki\AppData\Roaming\Mozilla\Firefox\Profiles\a8f8drdz.default\searchplugins\ask-web-search.xml [2016-01-26] CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR StartupUrls: Default -> "hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki" Task: {A8975AEF-11FC-4546-92CA-5444BEDA01B0} - System32\Tasks\ByteFence Scan => C:\Program Files\ByteFence\ByteFence.exe [2016-01-22] (Byte Technologies LLC) Task: {EBCE1AA4-3276-4396-A5FE-B6B1D6AED7CD} - System32\Tasks\ByteFence => C:\Program Files\ByteFence\ByteFence.exe [2016-01-22] (Byte Technologies LLC) C:\Program Files\ByteFence C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unity 5.4.2f2 (64-bit)\Unity Documentation.lnk C:\Users\Dominikkoki\Desktop\Witamy w rejestracji produktu ASUS.lnk C:\Users\Dominikkoki\Desktop\AmeNdeR\gry AmeNdeR\ROBLOX Player.lnk C:\Users\Dominikkoki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Bulky - Ver1.0.9 Mc1.8.lnk C:\Users\Dominikkoki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wolfhound Dungeon.lnk C:\Users\Dominikkoki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\§lDefault 3D§r Snapshot §l16w09c.lnk C:\Users\Dominikkoki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\§lHarmonious§r §lx16w07a.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Dominikkoki\AppData\Local CMD: dir /a C:\Users\Dominikkoki\AppData\LocalLow CMD: dir /a C:\Users\Dominikkoki\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane lub niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Wyczyść FireFox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Wygeneruj nowe raporty FRST (bez GMER) oraz dostarcz raport wynikowy (Fixlog.txt).

Patrz pod pkt. 1. Ma znaczenie w kwesti usunięcia adware (bo w jednym z profili się ono znajduję). Ale skoro go odinstalowałeś to pomiń ten punkt całkowicie.

Ja pytałem bardziej pod kątem tego czy po wykonaniu moich zaleceń jest wszystko OK (czy nie doszły nowe problemy itd.). Problem z zawieszaniem się filmów, myślę, że pomogą rozwiązać Ci w dziale Pozostałe zagadnienia komputerowe. Tam też przenoszę Twój temat. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz zaktualizuj ważne programy - KLIK / KLIK.

Myślę, że reinstalacja załatwiłaby problem, no ewentualnie zostaję jeszcze właśnie kontakt z pomocą techniczną. To potem. Działania poprawkowe: 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\5.4.3.148966.0\BavShx64.dll Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1246516170-3302107629-780083620-1000\Software\Microsoft\Internet Explorer\Main,Start Page = S2 Hkhlp; C:\Program Files (x86)\Common Files\Apps\Hkhlp.dll [X] S2 W3PCC; C:\ProgramData\Sun\Java\extension.dll [X] S3 ABWFP; \??\C:\Program Files\Arcabit\ArcaVir\ABWFP.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] Task: {40EE2D5D-84F7-4133-8499-8551FD973891} - \{1932E307-539C-411C-9409-716957509A06} -> Brak pliku Task: {54046C98-F51F-4E79-A5C2-61A04D85DA60} - \GoogleUpdateTaskMachineCore1d21a6b39b547 -> Brak pliku Task: {93661704-91F7-49AB-B93C-19A32DD476ED} - \BossseedUpdateTaskMachineUA -> Brak pliku Task: {97419EA9-ED09-4EBD-9116-EF8661A77694} - \Microsoft\Windows Defender\MP Scheduled Scan -> Brak pliku C:\Users\admin\Desktop\Gry\Kerbal Space Program.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\DG_Ochota\AppData\Local CMD: dir /a C:\Users\DG_Ochota\AppData\LocalLow CMD: dir /a C:\Users\DG_Ochota\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. W FireFox: klawisz z flagą Windows + R > wklej komendę "C:\Program Files\Mozilla Firefox\firefox.exe" -p > skasuj wszystkie widoczne profile i załóż nowy. 3. Zrób nowy zestaw raportów FRST (bez GMERa) oraz dołącz raport wynikowy (Fixlog.txt).

1. W AdwCleaner przeprowadź jeszcze raz skanowanie, ale po nim kliknij w Oczyść. Dostarcz raport z tego działania. 2. Napisz jak oceniasz obecną sytuację i czy problem ustąpił.

OK. Wygląda to już w porządku. Jak wygląda sytuacja z Twojej strony?

Wyniki AdwCleaner zweryfikowane, przechodzimy do akcji dezynfekcyjnej automatem, potem przejdziemy do działań bardziej ręcznych. 1. W AdwCleaner przeprowadź jeszcze raz skanowanie, ale po nim kliknij w Oczyść. Dostarcz raport z tego działania. 2. Wykonaj nowy zestaw raportów FRST.