picasso

Adware PriceFountain nabyłeś z serwisu dobreprogramy.pl pobierając uTorrent. Na dysku widać poniższy plik "Asystenta pobierania" tego serwisu. Więcej na temat praktyk dobreprogramy: KLIK. 2016-03-30 10:16 - 2016-03-30 10:16 - 01023280 _____ (Hesudemo ) C:\Users\krzysiek\Desktop\uTorrent-13270-dp.exe Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {234BB692-CD84-4C2D-A2FA-4D7A2C69A5F9} - System32\Tasks\krzysiekMoonletsWhirredV2 => Rundll32.exe PolitburoBushiest.dll,main 7 1 Task: {600192B6-5E9F-44D4-9031-2CF7D63DE1AF} - System32\Tasks\PriceFountainUpdateVer => C:\Users\krzysiek\AppData\Roaming\PriceFountainUpdateVer\UpdateProc\UpdateTask.exe [2016-03-30] () Task: C:\Windows\Tasks\PriceFountainUpdateVer.job => DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PriceFountain RemoveDirectory: C:\Users\krzysiek\AppData\Local\MoonletsWhirred RemoveDirectory: C:\Users\krzysiek\AppData\Roaming\PriceFountainUpdateVer C:\Users\krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\allegro.pl .lnk C:\Users\krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Booking .lnk C:\Users\krzysiek\Desktop\uTorrent-13270-dp.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Problemem prawdopodobnie jest bufor DNS i w poniższym fiksie FRST zostanie wdrożone jego czyszczenie komendą ipconfig. Do przeprowadzenia następujące operacje: 1. Odinstaluj stare wersje i zbędne programy: Adobe Flash Player 10 ActiveX, Badanie mające na celu poprawę produktów HP Deskjet 1510 series, Java 8 Update 25, HP Customer Participation Program 13.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-4099545310-4218574422-2264496415-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 HKLM\...\Run: [] => [X] Task: {26999323-34EE-4C7D-A7BA-0113B3B014CE} - System32\Tasks\{69A61545-F91F-48B0-952E-68E8B80713AF} => E:\x86\setup.exe Task: {391DC075-9F86-4379-94C2-DF11F40189B7} - System32\Tasks\{A095500B-E3FB-436E-BFD7-A4D3418555CA} => Chrome.exe DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default C:\Users\admin\Desktop\Continue Flv Player Installation.lnk C:\Users\admin\Desktop\Moje Dokumenty\Winamp.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem nadal występuje.

MPC Cleaner posługuje się bardzo inwazyjnymi sterownikami, które nakładają filtry na woluminy oraz pilnują komponentów, stąd błąd dostępu przy próbie bezpośredniego skasowania elementów z rejestru. Sterowniki te są nieusuwalne przez programy które nie pracują na poziomie kernel, czyli AdwCleaner i FRST nie dadzą temu rady. Zwykle należy je usuwać z poziomu środowiska zewnętrznego. Wstępnie spróbuj tych działań: 1. Uruchom Registry DeleteEx (pracuje na poziomie kernel). Zaznacz opcję "Recursively delete all subkeys". W pasku adresów po kolei wklej te ścieżki i je usuń: HKLM\SYSTEM\CurrentControlSet\Services\MPCBase HKLM\SYSTEM\CurrentControlSet\Services\MPCKpt HKLM\SYSTEM\CurrentControlSet\Services\MPCProtectService Zresetuj system. 2. Wejdź do folderu C:\Program Files\MPC Cleaner i uruchom deinstalator, o ile plik nadal jest. Zresetuj system. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Aktualizacja do Windows 10 nie ma związku z problemem reklam. Był tu definitywnie uruchamiany jakiś "Asystent pobierania" ze sponsorami, przypuszczalnie z serwisu dobreprogramy.pl, gdyż w Temp jest charakterystyczny plik: C:\Users\Edyta\AppData\Local\Temp\ICReinstall_Adblock Plus 1.5 - Internet Explorer.exe Wstępnie: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Buzzdock, Wander Burst. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghCeQsLUwwSQhgVIgsKTA1IFA0OeAtdABRAFwZCd1paBFhBFQMFIk0FA1ADB0VXfVBdFElXTwh0IVdcBEszVEdQNA== HKU\S-1-5-21-4279228227-215742994-1318027649-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghCeQsLUwwSQhgVIgsKTA1IFA0OeAtdABRAFwZCd1paBFhBFQMFIk0FA1ADB0VXfVBdFElXTwh0IVdcBEszVEdQNA== SearchScopes: HKLM -> DefaultScope {A9A9ECA3-DEA4-482B-AD43-46692B227404} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfVgBUwpDFFZAbQ9aUwtcFQwWeBQAU1wQDAQVc1gPAlsUQAUXdh9aFQQTSEcFME0FCFwEURNNfW5ZD10UU3dWMkpM&q={searchTerms} SearchScopes: HKLM -> {A9A9ECA3-DEA4-482B-AD43-46692B227404} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfVgBUwpDFFZAbQ9aUwtcFQwWeBQAU1wQDAQVc1gPAlsUQAUXdh9aFQQTSEcFME0FCFwEURNNfW5ZD10UU3dWMkpM&q={searchTerms} SearchScopes: HKU\S-1-5-21-4279228227-215742994-1318027649-1001 -> DefaultScope {5B31877C-3856-4258-9A5F-AC0CDA29EF5D} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfVgBUwpDFFZAbQ9aUwtcFQwWeBQAU1wQDAQVc1gPAlsUQAUXdh9aFQQTSEcFME0FCFwEURNNfW5ZD10UU3dWMkpM&q={searchTerms} SearchScopes: HKU\S-1-5-21-4279228227-215742994-1318027649-1001 -> OldSearch URL = SearchScopes: HKU\S-1-5-21-4279228227-215742994-1318027649-1001 -> {5B31877C-3856-4258-9A5F-AC0CDA29EF5D} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfVgBUwpDFFZAbQ9aUwtcFQwWeBQAU1wQDAQVc1gPAlsUQAUXdh9aFQQTSEcFME0FCFwEURNNfW5ZD10UU3dWMkpM&q={searchTerms} SearchScopes: HKU\S-1-5-21-4279228227-215742994-1318027649-1001 -> {A9A9ECA3-DEA4-482B-AD43-46692B227404} URL = CHR RestoreOnStartup: Default -> "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghCeQsLUwwSQhgVIgsKTA1IFA0OeAtdABRAFwZCd1paBFhBFQMFIk0FA1oDB0VXfV5bFElXTwh0IVdcBEszVEdQNA==" CHR StartupUrls: Default -> "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghCeQsLUwwSQhgVIgsKTA1IFA0OeAtdABRAFwZCd1paBFhBFQMFIk0FA1oDB0VXfV5bFElXTwh0IVdcBEszVEdQNA==" CHR DefaultSearchURL: Default -> hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfVgBUwpDFFZAbQ9aUwtcFQwWeBQAU1wQDAQVc1gPAlsUQAUXdh9aFQQTQkcFME0FBloEURNNfW5ZD10UU3dWMkpM&q={searchTerms} CHR DefaultSearchKeyword: Default -> searchinterneat-a.akamaihd.net CHR DefaultNewTabURL: Default -> hxxp://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHFQacgoKVFoSDANBcgsVVQBEGRgbclxZTAhHElQUI1tdAAlFFxNBNARaAktXUUEeJ1pNER8fHGJCLl1dE3sEU0ZX DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy Task: {00983364-EC4D-4640-B6BA-7F2B9679F7A3} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File Task: {012DBFBE-3003-46A3-AC90-D6E1C31F873D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File Task: {08EB5D75-B8B7-431E-909D-FD30D04E62CE} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File Task: {2363E481-2A90-4F36-8E61-CE80E8072648} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File Task: {26374A49-3B60-4D71-B7A1-5A0CE67744D8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File Task: {3C50A149-FA75-4C0B-B8EE-FC73A9A244BD} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File Task: {92C22980-DE9D-41C1-B184-07025C64A105} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File Task: {A2A08ECD-4D0B-467B-98F8-011E6E0FA4E5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File Task: {AE668968-11DC-4F1E-B6E1-A99C45ACBDEF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File Task: {C0749BAC-A607-43DA-A670-0D614A99E853} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File Task: {DEC0DFB6-7790-4859-A6BC-BE69CE76D148} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File Task: {F6F96355-145B-4D26-A0C8-6B1DE674BB17} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Wander Burst C:\Program Files (x86)\Common Files\fccb0821-00ee-466c-acb5-2a5cec258511 C:\ProgramData\fccb0821-00ee-466c-acb5-2a5cec258511 C:\ProgramData\Mozilla C:\Users\Edyta\AppData\Local\Mozilla C:\Users\Edyta\AppData\Roaming\Mozilla C:\Users\Edyta\Desktop\Maciej\EPSON Scan.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt.

Infekcje adware wprowadził poniższy plik, to downloader ze śmieciami a nie zasadniczy poprawny instalator: 2016-03-28 16:47 - 2016-03-28 16:47 - 00755890 _____ (DotaPit) C:\Users\Marcin\Downloads\FirewatchSpolszczenie__7934_il49169.exe Działania wstępne: 1. Zastosuj narzędzie RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 2. Klawisz z flagą Windows + X >Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Deinstalacje: - Wejdź do folderu C:\Program Files (x86)\MPC Cleaner. Wyszukaj plik deinstalatora i z prawokliku "Uruchom jako Administrator". - Klawisz flagą Windows + X > Programy i funkcje > odinstaluj zbędne programy HijackThis 2.0.2, Lenovo Experience Improvement. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Fokpelil; C:\Users\Marcin\AppData\Roaming\Wyblifubyi\Wyblifubyi.exe [174424 2016-03-28] () R2 Mulrot; C:\Users\Marcin\AppData\Roaming\Cemmueyk\Cemmueyk.exe [174440 2016-03-27] () R2 Sajji; C:\Users\Marcin\AppData\Roaming\MynculLinn\Kyrnoete.exe [125800 2016-03-27] () S2 Adorbapa; "C:\Users\Marcin\AppData\Roaming\BykwSoacmo\Fesuiie.exe" -cms [X] HKLM\...\Run: [WINCOMVVP] => "C:\Program Files (x86)\sunnyday\wincom_VVP.exe" HKLM-x32\...\Run: [win_en_77] => "C:\Program Files (x86)\win_en_77\win_en_77.exe" HKLM-x32\...\Run: [mpck_en_005030281] => "C:\Program Files (x86)\mpck_en_005030281\mpck_en_005030281.exe" HKLM-x32\...\Run: [rec_pl_237] => "C:\Program Files (x86)\rec_pl_237\rec_pl_237.exe" Task: {6954A981-DDD9-402C-A2B8-B76AF67528D1} - System32\Tasks\Pepim => C:\PROGRA~1\NOLLEL~1\Pusrocv.bat Task: {6B84146F-6B46-436B-AC72-425A25EBE149} - System32\Tasks\Imosfadp => C:\PROGRA~1\KIJZHD~1\Wowda.bat Task: {9F68F609-6720-4B5A-8474-56E24C9C558A} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-05-30] (Lenovo) Task: {AA0ABD2A-24A8-40F3-80E3-BDC4AC93C815} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-09-02] (Lenovo) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKU\S-1-5-21-3990597668-3980982948-3345965999-1001 -> DefaultScope {93765662-4D05-4E19-91C8-CB83C3482FB2} URL = SearchScopes: HKU\S-1-5-21-3990597668-3980982948-3345965999-1001 -> {93765662-4D05-4E19-91C8-CB83C3482FB2} URL = FF Plugin-x32: @esn/npbattlelog,version=2.7.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.7.1\npbattlelog.dll [brak pliku] C:\Program Files (x86)\AdwCleaner C:\ProgramData\settings.cfg C:\uninst C:\Users\Marcin\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 C:\Users\Marcin\AppData\Local\app C:\Users\Marcin\AppData\Local\OTLand C:\Users\Marcin\AppData\Local\Tempfolder C:\Users\Marcin\AppData\Local\tuto_monetize_120160328 C:\Users\Marcin\AppData\Local\tuto_monetize_220160328 C:\Users\Marcin\AppData\Local\Steam\htmlcache C:\Users\Marcin\AppData\LocalLow\Company C:\Users\Marcin\AppData\Roaming\MCorp C:\Users\Marcin\AppData\Roaming\MynculLinn C:\Users\Marcin\AppData\Roaming\Cemmueyk C:\Users\Marcin\AppData\Roaming\Wyblifubyi C:\Users\Marcin\Downloads\FirewatchSpolszczenie__7934_il49169.exe C:\Users\Marcin\Downloads\ipchanger.exe C:\Users\Marcin\Downloads\IP Changer.rar C:\Users\Marcin\Downloads\IP Changer C:\WINDOWS\msdownld.tmp C:\WINDOWS\system32\cepl C:\WINDOWS\system32\los C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\Number of results C:\WINDOWS\SysWOW64\taskSchedularLog.txt CMD: ipconfig /flushdns Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z plikiem Addition. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

O ile problem nadal aktualny: 1. Odinstaluj YAC(Yet Another Cleaner!). To oszust: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs-x32: C:\ProgramData\Airtostrong\Techlab.dll => C:\ProgramData\Airtostrong\Techlab.dll [257536 2016-02-20] () R2 gprotect; C:\ProgramData\Google\update\GoogleUpdate.exe [315008 2016-01-25] () R2 WMModules; C:\ProgramData\Google\update\GoogleUpdate.exe [315008 2016-01-25] () S2 dnwnload; Brak ImagePath S2 ineupdwte; Brak ImagePath S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-20] () CMD: type C:\Windows\System32\Tasks\absprqduua CMD: type C:\Windows\System32\Tasks\prmdbctpro Task: {173A9D33-FC7D-4CDF-A356-7D5B6823CC54} - System32\Tasks\prmdbctpro => C:\Windows\system32\config\systemprofile\AppData\Local\Bam Task: {6F7ED116-4E4D-4D19-BE61-8FC92557BC4D} - System32\Tasks\absprqduua => C:\Windows\system32\config\systemprofile\AppData\Local\Incof [2016-02-15] () GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1436543881-1699761947-1862286600-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdGU-LUrHiwE6pHJ2ZtcWwDm0mZnNCcep1dJVnonlS3UyTWMG4df4VifsgL0Slqvgo4Ta7HQEB4mVs7bvWpfBgadxSJNim_XixiiB_35TIUnAO2GNK_M1n1MbevG5egGUYFFY0kegIqC_WTMAWUOEqC-goyTnN4,&q={searchTerms} HKU\S-1-5-21-1436543881-1699761947-1862286600-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdGU-LUrHiwE6pHJ2ZtcWwDm0mZnNCcep1dJVnonlS3UyTWMG4df4VifsgL0Slqvgo4Ta7HQEB4mVs7bvWpfBgadxSJNim_XixiiB_35TIUnAO2GNK_M1n1MbevG5egGUYFFY0kegIqC_WTMAWUOEqC-goyTnN4,&q={searchTerms} HKU\S-1-5-21-1436543881-1699761947-1862286600-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdGU-LUrHiwE6pHJ2ZtcWwDm0mZnNCcep1dJVnonlS3UyTWMG4df4VifsgL0Slqvgo4Ta7HQEB4mVs7bvWpfBgadxSJNim_XixiiB_35TIUnAO2GNK_M1n1MbevG5egGUYFFY0kegIqC_WTMAWUOEqC-goyTnN4,&q={searchTerms} URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} CHR HKLM-x32\...\Chrome\Extension: [bbidppmgmdmjgfenjdafcalmciolcehp] - hxxp://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Google C:\Program Files\Common Files\*.exe C:\Program Files\Common Files\bv5xjuxt C:\Program Files\Common Files\nubb32cc C:\Program Files\Common Files\zkp3phuf C:\ProgramData\Airtostrong C:\ProgramData\Airtostrongs C:\ProgramData\Google C:\Users\Dom\AppData\Local\*.* C:\Users\Dom\Desktop\Game\YAC.lnk C:\Users\Dom\Desktop\GRY\League of Legends.lnk C:\Windows\System32\config\systemprofile\AppData\Local\Incof C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\system32\log C:\Windows\SysWOW64\SetupComponents.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Zostały do wykonania akcje doczyszczające, tzn. usunięcie polityk Google wprowadzonych przez adware i zdefektowanej przeglądarki Google Chrome, adware w Operze oraz wpisów szczątkowych. Czyli: 1. Odinstaluj stare wersje, zbędne programy oraz nieszczęsne Google Chrome: Adobe Flash Player 20 PPAPI, Adobe Flash Player ActiveX, Adobe Shockwave Player, Badanie mające na celu poprawę produktów HP Deskjet 4640 series, Google Chrome. Przy deinstalacji Google Chrome zaznacz opcję Usuń także dane przeglądarki. Resztę elementów Google Chrome dokasuje skrypt podany poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Ograniczenia - Chrome CHR HKU\S-1-5-21-815356041-1699837707-3089796282-1001\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-815356041-1699837707-3089796282-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki SearchScopes: HKU\S-1-5-21-815356041-1699837707-3089796282-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-815356041-1699837707-3089796282-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-815356041-1699837707-3089796282-1001\...\MountPoints2: {2a437a52-3c2c-11e5-8298-142d27d525b2} - "G:\AutoRun.exe" Task: {3AF5E8D9-4AF7-46F1-8211-F3D23970E305} - System32\Tasks\{1EA26257-660C-42CF-B34E-11AAEF597768} => pcalua.exe -a "G:\fifa07 demo.exe" -d G:\ Task: {6331A89F-D9DC-49C9-8EA0-C5E66EC50496} - System32\Tasks\{3231C55A-F800-4457-99F5-870460284996} => pcalua.exe -a "C:\Program Files (x86)\Solid Edge V17\SETUP.EXE" -d "C:\Program Files (x86)\Solid Edge V17" Task: {822A9C2B-0C9D-4958-98BA-D199E8B4F097} - System32\Tasks\{582F851B-01A6-4A6A-9ACD-302E1DD517CF} => pcalua.exe -a "C:\Users\MASTER\Desktop\fifa07 demo.exe" -d C:\Users\MASTER\Desktop) Task: {A2E8B944-7D58-448E-ABD4-68940C422BD2} - System32\Tasks\{F89A535E-D949-4D59-8C81-DFFE0ED69E02} => pcalua.exe -a "E:\SolidEdge v17\CAD-edukacja 17\SE17 wersja polska\SETUP.EXE" -d "E:\SolidEdge v17\CAD-edukacja 17\SE17 wersja polska" Task: {B18450C2-0BF9-4C07-A4D0-0BA8DFA946E7} - System32\Tasks\{92C1C6E9-E0FE-4EB2-81D4-7481B2627CED} => pcalua.exe -a "C:\Program Files (x86)\Solid Edge V17\Program\Edge.exe" -d C:\Users\MASTER\Documents\ HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses C:\Users\MASTER\AppData\Local\Google C:\Users\MASTER\AppData\Roaming\appdataFr2.bin C:\Users\MASTER\AppData\Roaming\appdataFr25.bin C:\Users\MASTER\AppData\Roaming\XDSUPF C:\Users\MASTER\AppData\Roaming\MiKTeX\2.9\doc\latex\natbib\README.lnk C:\Users\MASTER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FarmVille 2.lnk C:\Users\MASTER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk C:\Users\MASTER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\MASTER\Desktop\programy\McAfee LiveSafe - Internet Security.lnk C:\Users\MASTER\Desktop\kognitywistyka\I semestr\Technologie informacyjne\zadania\document.pdf — skrót (2).lnk C:\Users\MASTER\Desktop\kognitywistyka\I semestr\Technologie informacyjne\zadania\Dok1.docx — skrót.lnk C:\Users\MASTER\Desktop\kognitywistyka\I semestr\Technologie informacyjne\zadania\zadanie4.pdf — skrót.lnk CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Operę z adware: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware Jungle Net 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Fix pomyślnie wykonany. Kolejne poprawki na wyniki wyszukiwania w rejestrze. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\.qbox DeleteKey: HKLM\SOFTWARE\Classes\qmbfile DeleteKey: HKLM\SOFTWARE\Classes\qpakfile DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Classes\WOW6432Node\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\WOW6432Node\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\WOW6432Node\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\WOW6432Node\Google\Chrome\NativeMessagingHosts\com.qq.qmchext DeleteKey: HKLM\SOFTWARE\WOW6432Node\Tencent DeleteKey: HKU\S-1-5-21-957152668-3480208630-3226306878-1002\SOFTWARE\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKU\S-1-5-21-957152668-3480208630-3226306878-1002\SOFTWARE\Tencent Reg: reg delete HKU\S-1-5-21-957152668-3480208630-3226306878-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\UFH\SHC /v 0 /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. I jakoś przeoczyłam, że nie podałeś pliku FRST Shortcut. Dorzuć go.

Ten plik Fixlog ma bardzo dziwną zawartość, która w ogóle nie potwierdza że wklejono podany przeze mnie tekst do Notatnika. Otwórz go, w nim są "same zera". Powtórz operację. Oczywiście. I załatwmy to w tym temacie.

Brakuje głównego raportu FRST.txt. Uzupełnij.

Widzę tylko drobne szczątki adware Tencent. Zadam też reset ustawień Edge. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f S1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TSDefenseBT64.sys [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys [X] ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku Task: {1C88472F-7AE8-4148-BE6D-FC4B0C696599} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {26589765-2AC6-47BE-806C-E798EB64C4FA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {2E62F1F4-4CB0-4ADC-B4E2-1F66548D749F} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {3116CDEE-6163-490C-8557-7A415BD86EA5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {40943A3C-838D-4C74-9E91-80B54CB9C424} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {49AFB004-2C12-4AD8-82E5-22489CFBA1D0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {5DE58182-FA5F-43EC-8AB8-5E4378C48412} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {70E81956-0A4D-4A41-AE31-6F800A27C96A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {9C1DDC58-DF39-44F1-9958-0547779CABFA} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {ADAB1B1B-2CD6-4DD3-A0AC-CA2C90E8BE7E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {D8A9AC46-2C32-4FA0-8ECD-A1C39722D31F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-03-01] ManualProxies: C:\Program Files (x86)\Tencent C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\Users\HP\AppData\Roaming\Tencent C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys C:\WINDOWS\system32\Drivers\TFsFltX64.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Potwierdź też, że w Edge przestały się ładować niepożądane strony. 2. Uruchom FRST, w polu Szukaj wklej co poniżej i klik w Szukaj w rejestrze. Dostarcz wynikowy log. QQPCMgr;Tencent

Infekcja została pomyślnie usunięta, zgłoszenia raportowane wcześniej powinny ustać. Natomiast nie zostały zresetowane zgodnie z planem wszystkie wejścia Google Chrome i nadal w konfiguracji ładują się odpadki adware: CHR HomePage: Default -> hxxp://search.babylon.com/?affID=112555&tt=3612_7&babsrc=HP_ss&mntrId=2070d0960000000000000617c4f19fb4 CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=112555&tt=3612_7&babsrc=HP_ss&mntrId=2070d0960000000000000617c4f19fb4","hxxp://home.sweetim.com/?crg=3.1010000&st=12&barid={5A41FD70-A53D-434C-975F-5B7B5B667113}","hxxp://do-search.com/?type=hp&ts=1432454299&z=1f9bc17b04fb7a2aff2a4a0g5z3cdo7zcwbzeodq3o&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9HF816434","hxxp://www.istartsurf.com/?type=hp&ts=1433940339&z=2cf5db7b1000730097babf7g0z4c2c7tfz1e4c5e0e&from=cornl&uid=ST1000LM024XHN-M101MBB_S30YJ9HF816434" Pod tym kątem: Zresetuj synchronizację (o ile włączona), punkt 2: Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres search.babylon.com

Nic tu nie wskazuje, by w systemie była jakakolwiek infekcja, a skany dobrymi narzędziami potwierdziły już ten stan. Aczkolwiek nie został podany log z GMER. Prawdopodobnie zgłoszenie "podłączenia do botnetu" wypływa z aktywności innego komputera w sieci w której jesteś, a nie Twojego. Nie mam tu za bardzo czym się zajmować. Do wykonania tylko mały kosmetyczny skrypt usuwający drobne puste wpisy i czyszczący lokalizacje tymczasowe. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [HotKeysCmds] => C:\windows\system32\hkcmd.exe HKLM\...\Run: [Persistence] => C:\windows\system32\igfxpers.exe SearchScopes: HKU\S-1-5-21-4286887730-1492350271-2724356993-1002 -> DefaultScope {360D2864-5DBA-4042-85BF-70750DAD2BCC} URL = SearchScopes: HKU\S-1-5-21-4286887730-1492350271-2724356993-1002 -> {360D2864-5DBA-4042-85BF-70750DAD2BCC} URL = CMD: type C:\ProgramData\MakeMarkerFile.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRSt nie są mi potrzebne.

W większości instrukcje poprawne. Ale mam uwagi do podanego skryptu: - Komenda "netsh advfirewall reset" nie miała prawa się wykonać, gdyż aplikuje się tylko dla systemów Vista i nowszych. Na XP należy użyć "netsh firewall reset". - Wszystkie wpisy grupy Policies\Explorer to był "naturalny" składnik tego konkretnego XP. Posiadasz niestandardowy Windows instalowany z modyfikowanej płyty zrobionej za pomocą nLite. Te wszystkie uszkodzenia to też skutek wycinania komponentów: Obecnie raporty nie wykazują, by robak Brontok był aktywny (tylko dwa foldery w Danych aplikacji widoczne i to dokasujemy potem), ale: 1. Brontok tworzy w predefiniowanych folderach multum plików-falsyfikatów powtarzając nazwę folderu w którym są. Przypadkowe uruchomienie takiego pliku przywraca infekcję. Log FRST jest bardzo selektywny i na jego podstawie nie da się stwierdzić gdzie takie pliki są. Jest niezbędny kompleksowy skan całego Windows. Został podany skan Malwarebytes, czy on został wykonany w trybie pełnym? 2. System nadal w krytycznym stanie aktualizacji: Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) Język: Polski Internet Explorer Wersja 7 (Domyślna przeglądarka: IE) Zainstaluj ręcznie conajmniej SP3 + IE8 posiłkując się linkami w przyklejonym: KLIK. Z tym że to i tak za mało, brak wielu innych aktualizacji wydanych po i tu będzie problem w związku z tym, że w XP tym wycięto system automatycznych aktualizacji. Prawdopodobnie jest naruszone więcej niż tylko usługa i jej odbudowa to będzie za mało.

Usunęłam nadwyżkowe logi FRST, te wyciągnięte z folderu C:\FRST\Logs. Bieżące raporty powstają zawsze tam skąd uruchamiasz FRST, w tym przypadku folder Pobrane. Jest tu mnóstwo obiektów adware, nie tylko tytułowy yoursites123, m.in. ogromna ilość sterowników z grupy Sambreel i powinieneś notować poważne problemy przy nawigacji internetowej. Poza tym, widnieje niepoprawnie odinstalowany McAfee. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {00aec75d-051f-41a9-9837-e94ac4f56303}w64; C:\Windows\System32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}w64.sys [48784 2014-10-15] (StdLib) R1 {02bbe9df-d3b0-43f4-8dcb-e24500d3308f}w64; C:\Windows\System32\drivers\{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}w64.sys [48784 2014-10-17] (StdLib) R1 {10e3e2da-8f7b-42cc-9f00-90007ce494b8}w64; C:\Windows\System32\drivers\{10e3e2da-8f7b-42cc-9f00-90007ce494b8}w64.sys [48832 2014-11-07] (StdLib) R1 {1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}w64; C:\Windows\System32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}w64.sys [48784 2014-10-13] (StdLib) R1 {255a824a-3cde-4dee-9785-284605606456}w64; C:\Windows\System32\drivers\{255a824a-3cde-4dee-9785-284605606456}w64.sys [48832 2014-10-28] (StdLib) R1 {3b808196-ff63-49ee-b33b-efdf51723eca}w64; C:\Windows\System32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}w64.sys [48784 2014-10-13] (StdLib) R1 {3cac76e7-8310-45ea-8277-96d048a78c60}w64; C:\Windows\System32\drivers\{3cac76e7-8310-45ea-8277-96d048a78c60}w64.sys [48784 2014-11-27] (StdLib) R1 {3fa44d1f-c300-4673-a8c1-5ba05468b4bd}w64; C:\Windows\System32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}w64.sys [48784 2014-10-17] (StdLib) R1 {4530e639-76ab-4435-889d-a5e81ae090a4}w64; C:\Windows\System32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}w64.sys [48784 2014-10-20] (StdLib) R1 {51365faa-196b-4544-91d5-04a729ae9395}w64; C:\Windows\System32\drivers\{51365faa-196b-4544-91d5-04a729ae9395}w64.sys [48784 2014-11-26] (StdLib) R1 {51b9c91c-8e38-40ae-80de-58a590512b6b}w64; C:\Windows\System32\drivers\{51b9c91c-8e38-40ae-80de-58a590512b6b}w64.sys [48832 2014-11-10] (StdLib) R1 {5d78e0ee-ca60-46a4-9492-4f24429cc925}w64; C:\Windows\System32\drivers\{5d78e0ee-ca60-46a4-9492-4f24429cc925}w64.sys [48784 2014-10-17] (StdLib) R1 {67f29abb-07b3-41f5-94cd-f819d7c1fc76}w64; C:\Windows\System32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}w64.sys [48784 2014-10-20] (StdLib) R1 {733fb217-c049-41ba-9504-3f2045e61977}w64; C:\Windows\System32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}w64.sys [48784 2014-10-21] (StdLib) R1 {871a812f-cd37-4983-9b44-0ab62f735457}w64; C:\Windows\System32\drivers\{871a812f-cd37-4983-9b44-0ab62f735457}w64.sys [48784 2014-11-29] (StdLib) R1 {b0c7827f-c845-429a-833b-c2a798fc4fc3}w64; C:\Windows\System32\drivers\{b0c7827f-c845-429a-833b-c2a798fc4fc3}w64.sys [48784 2014-10-27] (StdLib) R1 {bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64; C:\Windows\System32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys [48784 2014-09-28] (StdLib) R1 {bf42a736-9bd4-4575-b45b-11d4dd6a3399}w64; C:\Windows\System32\drivers\{bf42a736-9bd4-4575-b45b-11d4dd6a3399}w64.sys [48784 2014-11-30] (StdLib) R1 {d997fcb4-42b4-4f84-a147-2e498567c954}w64; C:\Windows\System32\drivers\{d997fcb4-42b4-4f84-a147-2e498567c954}w64.sys [48784 2014-11-29] (StdLib) R1 {dc592624-f532-4311-9fc7-6920126fc404}w64; C:\Windows\System32\drivers\{dc592624-f532-4311-9fc7-6920126fc404}w64.sys [48784 2014-10-22] (StdLib) R1 {e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64; C:\Windows\System32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64.sys [48784 2014-10-12] (StdLib) R1 {e9629596-2cbd-4eea-9329-7470e8b0fdae}w64; C:\Windows\System32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}w64.sys [48784 2014-10-12] (StdLib) R1 {f5d136d7-adc2-4c84-85b2-e564334ab0bc}w64; C:\Windows\System32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}w64.sys [48784 2014-10-22] (StdLib) R1 {f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}w64; C:\Windows\System32\drivers\{f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}w64.sys [48832 2014-11-03] (StdLib) R1 {fc7329ef-e953-454c-8e78-ed2cf0acb2ef}w64; C:\Windows\System32\drivers\{fc7329ef-e953-454c-8e78-ed2cf0acb2ef}w64.sys [48832 2014-11-01] (StdLib) R1 {fce396ae-d8d1-4789-946e-2106fbe4292b}w64; C:\Windows\System32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}w64.sys [48784 2014-10-19] (StdLib) R1 F06DEFF2-5B9C-490D-910F-35D3A91196222; C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\configmgrc3.cfg [46160 2014-12-15] (SafetyNut Inc) R2 IhPul; C:\Users\Rodzice\AppData\Roaming\TSv\TSvr.exe [116368 2016-03-17] (tsvr.com) R2 MaintainerSvc1.20.7247763; C:\ProgramData\d2446020-ddff-402b-b064-199d2ce66b2b\maintainer.exe [128232 2015-10-23] () R2 SafetyNutManager; C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\SafetyNutManager.exe [3574480 2014-12-15] (SafetyNut Inc) R2 WdMan; C:\ProgramData\4WdM4\WdMan.exe [294912 2016-03-17] (TFuns LIMITED) [brak podpisu cyfrowego] U1 iSafeKrnl; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [X] U1 iSafeKrnlKit; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [X] U1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\...\AppCertDlls: [x64] -> C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\safetycrt.dll [669392 2014-12-15] () HKLM\...\Run: [HotKeysCmds] => C:\WINDOWS\system32\hkcmd.exe HKLM\...\Run: [Persistence] => C:\WINDOWS\system32\igfxpers.exe Task: {004F1281-CFF1-4E98-B180-D8C306409B1C} - System32\Tasks\{4DA15624-6037-4F93-BDD6-3F136050A6BA} => Firefox.exe hxxp://ui.skype.com/ui/0/6.22.81.104/pl/abandoninstall?source=lightinstaller&page=tsProgressBar Task: {4FFA5D67-60F1-4E02-9F21-0B730B12C232} - System32\Tasks\{6CF022DC-B2C0-4F02-B7E4-51E77CA4D868} => Firefox.exe hxxp://ui.skype.com/ui/0/6.22.81.104/pl/abandoninstall?source=lightinstaller&page=tsProgressBar Task: {FB33CE0A-A13D-4C73-98E3-E5079C262E87} - System32\Tasks\Lenovo\Lenovo GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467" CHR DefaultSearchURL: Default -> hxxp://yoursites123.com/web?type=ds&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 HKU\S-1-5-21-785319261-2855401731-2711227746-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a15007-473&apn_uid=5555239400134351&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a15007-473&apn_uid=5555239400134351&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Rodzice\AppData\Roaming\Mozilla\Firefox\Profiles\t5e3fq3j.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Rodzice\AppData\Roaming\Mozilla\Firefox\Profiles\t5e3fq3j.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Rodzice\AppData\Roaming\Mozilla\Firefox\Profiles\t5e3fq3j.default\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK => nie znaleziono Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2013-05-15] (Lenovo) DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\genesis_09281008 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v uTorrent /f C:\Program Files\McAfee Security Scan C:\Program Files (x86)\Browser Tab Search by Ask C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\qksee C:\Program Files (x86)\mozilla firefox\browser\searchplugins C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\4WdM4 C:\ProgramData\d2446020-ddff-402b-b064-199d2ce66b2b C:\ProgramData\MWdMM C:\ProgramData\SafetyNut C:\ProgramData\WWdsManProW C:\Users\Rodzice\AppData\Roaming\TSv C:\WINDOWS\SysWOW64\123.html C:\WINDOWS\system32\log C:\WINDOWS\SysWOW64\_tWm C:\Windows\System32\drivers\{*}w64.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj odpadek po McAfee Shared C Run-time for x64. Następnie zastosuj firmowe narzędzie McAfee Consumer Product Removal Tool. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt.

- "Miałem już to wyłączone" - Czy to oznacza, że w linii Typ uruchomienia figuruje "Wyłączone", czy może chodzi o to, że stan był już "Zatrzymana"? - By widzieć folder "Appdata", należy mieć włączone pokazywanie ukrytych folderów w Opcjach folderów.

Reset bufora DNS i tak został załączony w skrypcie FRST, więc przejdź do dalszych czynności.

Nie szkodzi. Jak napisałam wcześniej:

Temat przeniosę, tylko nie wiem gdzie jeszcze. Nie wygląda by chodziło tu o infekcję. Z raportów nic też konkretnego nie wynika. Jedyne co się rzuca w oczy, to ten błąd zawieszenia usługi: Error: (03/25/2016 10:07:46 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 z powodu następującego błędu: %%1053 Error: (03/25/2016 10:07:46 AM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0. Wstępnie przeprowadź czynności resetu buforu czcionek rozpisane tutaj: KLIK. Przy czym wykonaj nawigację stopniową do podanej ścieżki C:\Windows\ServiceProfiles\LocalService\AppData\Local, nie wklejaj jej w całości bezpośrednio w eksploratorze, gdyż nie zostanie znaleziona. Podczas wchodzenia stopniowo głębiej pojawią się komunikaty o braku dostępu które należy potwierdzić.

Multum obiektów adware i zmienione serwery DNS. Przeprowadź następujące operacje: 1. Odinstaluj: - Adware: DNS Unlocker version 1.4, Foxy Secure, Gameo, Reimage Repair, Search App by Ask, Shopping App by Ask, Sparta, WarThunder, Yahoo! Search. - Stare wersje i zbędniki: ClamWin Free Antivirus 0.98.7, Java 8 Update 40, Java 8 Update 74, PC Mechanic. Jeśli coś będzie niewidoczne lub zwróci błąd, kontynuuj. 2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs-x32: C:\ProgramData\Lightzap\Can-Trax.dll => C:\ProgramData\Lightzap\Can-Trax.dll [320512 2015-11-28] () HKLM-x32\...\Run: [ApnTBMon] => "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe" HKU\S-1-5-21-2273012611-303174682-3880648035-1000\...\Run: [Gameo] => C:\Users\Admin\AppData\Roaming\Gameo\gameo.exe [42482176 2015-07-04] () Task: {0B42EA5C-ABD5-4288-81D3-F897D7D81160} - System32\Tasks\PC-Mechanic Maintenance => C:\Program Files (x86)\Uniblue\PC-Mechanic\pc-mechanic.exe [2015-01-28] (Uniblue Systems Limited) Task: {12FB840A-516D-4C0D-815A-6C8DC22C81E0} - System32\Tasks\{FD5AE810-2139-4881-A66B-5A088D55CF93} => pcalua.exe -a C:\Users\Admin\Downloads\clamwin-0.98.7-setup_(www.programki.pl).exe -d C:\Users\Admin\Downloads Task: {2FFB3E57-8D29-4798-BD7D-1E17D2479AF6} - System32\Tasks\DNSKALAMAZOO => dnskalamazoo.exe Task: {4B1D622B-DF14-468B-9D62-54CEE03DCFA1} - \new_game_notification_service -> Brak pliku Task: {4FBC4ECC-270B-49B1-9A97-CBB7350CA088} - System32\Tasks\PC-Mechanic Subscription => C:\Program Files (x86)\Uniblue\PC-Mechanic\pc-mechanic.exe [2015-01-28] (Uniblue Systems Limited) Task: {668DE9A9-58CF-49D9-87D1-3AA832C86B09} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe Task: {76DD9942-C71D-4EEA-8396-F95DC772354B} - System32\Tasks\PC-Mechanic Startup => C:\Program Files (x86)\Uniblue\PC-Mechanic\pc-mechanic.exe [2015-01-28] (Uniblue Systems Limited) Task: {8D89ADD1-71FD-4837-BD04-1A76E60C7784} - \Yahoo! Search -> Brak pliku Task: {B23C871F-F5E7-4AA5-A699-38867DE8F1F1} - \Yahoo! Search Updater -> Brak pliku Task: {E1AFD920-8078-4E2E-9787-73199C554D27} - System32\Tasks\Reimage Reminder => C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe [2015-11-10] (Reimage ltd.) Task: {F70DFA71-3345-4C4C-A6AF-5D891F007912} - System32\Tasks\godzilla_shopper_helper_service => C:\Program Files (x86)\Godzilla Shopper\godzilla_shopper_helper_service.exe Task: {F9B7044B-C3B1-44A1-9357-04FA06BC6629} - \new_game_updating_service -> Brak pliku Task: C:\Windows\Tasks\godzilla_shopper_helper_service.job => C:\Program Files (x86)\Godzilla Shopper\godzilla_shopper_helper_service.exe Task: C:\Windows\Tasks\new_game_notification_service.job => C:\Program Files (x86)\new game\new_game_notification_service.exeǤ/url='hxxp:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='new game' /appid='73143' /srcid='2913' /bic='88ab7bbd29a2cfbab6c5a76d39948d0a' /verifier='7ca80c4d88f6116717d8ce6de10fe5d1' /installerversion='1.50.3.10' /statsdomain='hxxp:/stats.buildomserv.com/data.gif?' /errorsdomain='hxxp:/stats.buildomserv.com/data.gif?' /monetizationdomain='hxxp:/logs.buildomserv.com/monetization.gif Task: C:\Windows\Tasks\new_game_updating_service.job => C:\Program Files (x86)\new game\new_game_updating_service.exe© /campid=2913 /verid=1 /url=hxxp:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=new_game_updating_service /funurl=hxxp:/stats.buildomserv.com Task: C:\Windows\Tasks\PC-Mechanic Maintenance.job => C:\Program Files (x86)\Uniblue\PC-Mechanic\pc-mechanic.exe Task: C:\Windows\Tasks\PC-Mechanic Startup.job => C:\Program Files (x86)\Uniblue\PC-Mechanic\pc-mechanic.exe Task: C:\Windows\Tasks\PC-Mechanic Subscription.job => C:\Program Files (x86)\Uniblue\PC-Mechanic\pc-mechanic.exe S2 APNMCP; "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe" [X] S3 cpuz134; \??\C:\Users\Admin\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSWwKIf0jRaXmSECqDhR3_S1HL-G6B4HLUqwfsieeCNTR8ViWaXyESVMiRUfb8mL2cpRp5O5qg8vlTQdLi_A3QTnwr-weV-7NQ1WfXyTG4A9mM6kYat6TtObboPPlCaGzpcFdSFLApx9g,, CHR StartupUrls: Default -> "hxxp://www.mysites123.com/?type=hp&ts=1452530008&z=acb9cad27bc97f5eb3a77b4g2z9w4o5w3c1e1e9e3b&from=amt&uid=st500dm002-1bd142_z2ayqqqaxxxxz2ayqqqa" CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSWwKIf0jRaXmSECqDhR3_S1HL-G6B4HLUqwfsieeCNTR8ViWaXyESVMiRUfb8mL2clMAWWuX5ai2bPJrmO66GgwCD0zh8Cv7RUsoXahXwxg-B9Iluz7tocuIg2Efej23IELNIlpnjfKA,,&q={searchTerms} CHR DefaultSearchKeyword: Default -> feed.sonic-search.com CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avast.com/AV772/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avast.com/AV772/search/web?q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2273012611-303174682-3880648035-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avast.com/AV772/search/web?q={searchTerms} HKU\S-1-5-21-2273012611-303174682-3880648035-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avast.com/AV772/ HKU\S-1-5-21-2273012611-303174682-3880648035-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://search.avast.com/AV772/ HKU\S-1-5-21-2273012611-303174682-3880648035-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSWwKIf0jRaXmSECqDhR3_S1HL-G6B4HLUqwfsieeCNTR8ViWaXyESVMiRUfb8mL2cydYP5POUdtvJZy4Mypu8uKOyVX_rKWf6I6_uYCcBfXeUJHJYi8n12wDOvBGI3a6PF04rFadAPzg,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms} SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSWwKIf0jRaXmSECqDhR3_S1HL-G6B4HLUqwfsieeCNTR8ViWaXyESVMiRUfb8mL2cydYP5POUdtvJZy4Mypu8uKOyVX_rKWf6I6_uYCcBfXeUJHJYi8n12wDOvBGI3a6PF04rFadAPzg,,&q={searchTerms} SearchScopes: HKLM-x32 -> {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-2273012611-303174682-3880648035-1000 -> DefaultScope {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-2273012611-303174682-3880648035-1000 -> D735241F7F874887B9EF63F4A7F61B79 URL = hxxp://www.bing.com/search?FORM=U218DF&PC=U218&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-2273012611-303174682-3880648035-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://q.search-simple.com/?affID=pr_01ad000c-f598-40c5-9bfd-2bc7e87ec7be&q={searchTerms} SearchScopes: HKU\S-1-5-21-2273012611-303174682-3880648035-1000 -> {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-2273012611-303174682-3880648035-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSWwKIf0jRaXmSECqDhR3_S1HL-G6B4HLUqwfsieeCNTR8ViWaXyESVMiRUfb8mL2cydYP5POUdtvJZy4Mypu8uKOyVX_rKWf6I6_uYCcBfXeUJHJYi8n12wDOvBGI3a6PF04rFadAPzg,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2273012611-303174682-3880648035-1000 -> {szukaj.gazeta.pl} URL = hxxp://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF C:\Program Files\Essentware C:\Program Files\Reimage C:\Program Files\Symantec C:\Program Files\Common Files\Symantec Shared C:\Program Files (x86)\DNS Unlocker C:\Program Files (x86)\Godzilla Shopper C:\Program Files (x86)\Mozilla Firefox\my.cfg C:\Program Files (x86)\Mozilla Firefox\browser\defaults C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\Program Files (x86)\Norton Internet Security C:\Program Files (x86)\Norton PC Checkup C:\Program Files (x86)\NortonInstaller C:\ProgramData\{08e235cf-712c-0} C:\ProgramData\{08e235cf-712c-1} C:\ProgramData\{1097c2c1-412c-0} C:\ProgramData\Essentware C:\ProgramData\f4f6b501 C:\ProgramData\Lightzap C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Reimage Protector C:\ProgramData\Microsoft\Windows\GameExplorer\{A365DE48-2DF3-4EDA-8BE3-DA8483A23B25} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kao - 2nd round (demo) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2 Ravia.eu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Norton PC Checkup C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair C:\rei C:\Users\Admin\AppData\Local\Ranktom.dat C:\Users\Admin\AppData\Local\AEFF2680-1452531350-11DD-920E-3085A98D4FF2 C:\Users\Admin\AppData\Local\AEFF2680-1452528769-11DD-920E-3085A98D4FF2 C:\Users\Admin\AppData\Local\Gameo C:\Users\Admin\AppData\Local\Steam\htmlcache C:\Users\Admin\AppData\Local\Microsoft\Windows\GameExplorer\{A365DE48-2DF3-4EDA-8BE3-DA8483A23B25} C:\Users\Admin\AppData\Roaming\*.* C:\Users\Admin\AppData\Roaming\Gameo C:\Users\Admin\AppData\Roaming\HTThread C:\Users\Admin\AppData\Roaming\Security Systems C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Sparta.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gameo.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Duel of Champions Launcher\Duel of Champions Launcher Website.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sparta C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gameo C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Admin\Desktop\Zdjecia\Kao - 2nd round (demo).lnk C:\Users\Admin\Downloads\6587.tmp C:\Users\Admin\Downloads\ReimageRepair.exe C:\Windows\system32\Drivers\NISx64 C:\Windows\system32\Drivers\NortonPCCheckupx64 C:\Windows\Reimage.ini DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy CMD: for /d %f in ("C:\Program Files (x86)\AEFF2680-*") do rd /s /q "%f" CMD: for /d %f in (C:\ProgramData\4bdbe351-*) do rd /s /q "%f" CMD: for /d %f in (C:\ProgramData\e7c2fe2e-*) do rd /s /q "%f" CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj mysafetabsearch, o ile nadal będzie widoczny. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Opera: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware Round World, SuperPlusRadio v2.1V28.02 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąpiły.

Błąd tworzy adware PriceFountain w Harmonogramie, ale jest w systemie znacznie więcej śladów, w tym po bardzo starych adware sprzed kilku lat. Ponadto, jest tu strasznie stary (z 2011!) i scrackowany ESET, który należałoby później wymienić czymś nowoczesnym. Wykonaj następujące czynności: 1. Odinstaluj wstępnie zbędniki i starocie: Japanese Fonts Support For Adobe Reader 9, McAfee Security Scan Plus, MiPony 2.1.0, MyFreeCodec. Natomiast wejścia uszkodzonych programów adware doczyści poniższy skrypt. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://www.searchgol.com/?babsrc=HP_ss&mntrId=04F70060B3077712&affID=125032&tsp=5118 CHR StartupUrls: Default -> "hxxp://www.searchgol.com/?babsrc=HP_ss&mntrId=04F70060B3077712&affID=125032&tsp=5118" CHR DefaultSearchURL: Default -> hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ironmsd04&cd=2XzuyEtN2Y1L1QzutDtDyCtD0BtAtDyByByBtCtB0AtB0CyBtN0D0Tzu0SyEzytBtN1L2XzutBtFtBtFtCtFyDtCyDtN1L1Czu1L1C1F1G1H1B1QtDyE&cr=151932893&ir= CHR DefaultSearchKeyword: Default -> mysearchdial.com HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120140825 HKU\S-1-5-21-776561741-682003330-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxAX3mng3QUIQYMVDcUQqWUvE2B6tMJOZLhCcmXsT5wre4vOmIAzV-bhZFahSfaRYKck4hEKlxm0FPzkKEqEWcSYdt4, HKU\S-1-5-21-776561741-682003330-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxw9Y1HEQEaCqGFk6CFJeqalVyUKH9xscESK5NHAgID2MLWSc5Gl3PAFzqsSMOthe1j2-_BvlGFGi6I1UKf8q09lJRE,&q={searchTerms} HKU\S-1-5-21-776561741-682003330-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxw9Y1HEQEaCqGFk6CFJeqalVyUKH9xscESK5NHAgID2MLWSc5Gl3PAFzqsSMOthe1j2-_BvlGFGi6I1UKf8q09lJRE,&q={searchTerms} HKU\S-1-5-21-776561741-682003330-1801674531-1004\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxw9Y1HEQEaCqGFk6CFJeqalVyUKH9xscESK5NHAgID2MLWSc5Gl3PAFzqsSMOthe1j2-_BvlGFGi6I1UKf8q09lJRE,&q={searchTerms} SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxw9Y1HEQEaCqGFk6CFJeqalVyUKH9xscESK5NHAgID2MLWSc5Gl3PAFzqsSMOthe1j2-_BvlGFGi6I1UKf8q09lJRE,&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ironmsd04&cd=2XzuyEtN2Y1L1QzutDtDyCtD0BtAtDyByByBtCtB0AtB0CyBtN0D0Tzu0SyEzytBtN1L2XzutBtFtBtFtCtFyDtCyDtN1L1Czu1L1C1F1G1H1B1QtDyE&cr=151932893&ir= SearchScopes: HKU\S-1-5-21-776561741-682003330-1801674531-1004 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxw9Y1HEQEaCqGFk6CFJeqalVyUKH9xscESK5NHAgID2MLWSc5Gl3PAFzqsSMOthe1j2-_BvlGFGi6I1UKf8q09lJRE,&q={searchTerms} SearchScopes: HKU\S-1-5-21-776561741-682003330-1801674531-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ironmsd04&cd=2XzuyEtN2Y1L1QzutDtDyCtD0BtAtDyByByBtCtB0AtB0CyBtN0D0Tzu0SyEzytBtN1L2XzutBtFtBtFtCtFyDtCyDtN1L1Czu1L1C1F1G1H1B1QtDyE&cr=151932893&ir= SearchScopes: HKU\S-1-5-21-776561741-682003330-1801674531-1004 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www.delta-search.com/?q={searchTerms}&affID=119776&babsrc=SP_ss&mntrId=04F70060B3077712 SearchScopes: HKU\S-1-5-21-776561741-682003330-1801674531-1004 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-776561741-682003330-1801674531-1004 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxw9Y1HEQEaCqGFk6CFJeqalVyUKH9xscESK5NHAgID2MLWSc5Gl3PAFzqsSMOthe1j2-_BvlGFGi6I1UKf8q09lJRE,&q={searchTerms} FF Plugin: @alawar.com/npapi -> H:\WINDOWS\npapi.dll [2014-01-29] (Alawar) FF Plugin: @pandonetworks.com/PandoWebPlugin -> H:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - H:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Task: H:\WINDOWS\Tasks\DriverDoc_UPDATES.job => H:\Program Files\DriverDoc\Solvusoftdd.exe Task: H:\WINDOWS\Tasks\RMAutoUpdate.job => H:\Program Files\PC Tools Registry Mechanic\SULauncher.exe Task: H:\WINDOWS\Tasks\RMSchedule.job => H:\Program Files\PC Tools Registry Mechanic\RegMech.exe Task: H:\WINDOWS\Tasks\WojtekSherlocksBabkaV2.job => H:\WINDOWS\system32\rundll32.exePleaseRatline.dll AppInit_DLLs: H:\DOCUME~1\ALLUSE~1\DANEAP~1\Viatax\Truebam.dll => Brak pliku S2 Viatax; H:\Documents and Settings\All Users\Dane aplikacji\\Viatax\\Viatax.exe shuz -f "H:\Documents and Settings\All Users\Dane aplikacji\\Viatax\\Viatax.dat" -l -a S3 GMSIPCI; \??\G:\INSTALL\GMSIPCI.SYS [X] S3 ZDCndis5; \??\H:\WINDOWS\system32\ZDCndis5.SYS [X] S3 ZDPNDIS5; \??\H:\WINDOWS\system32\ZDPNDIS5.SYS [X] HKLM\...\Run: [] => [X] HKLM\...\Run: [DivXMediaServer] => H:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe HKU\S-1-5-21-776561741-682003330-1801674531-1004\...\Run: [ChicaPasswordManager] => "H:\Program Files\ChicaLogic\Chica Password Manager\stpass.exe" /autorunned HKU\S-1-5-21-776561741-682003330-1801674531-1004\...\Run: [AirDroid 3] => H:\Program Files\AirDroid\AirDroid.exe /start DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Price Fountain DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PriceFountain DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{FB199703-4327-4CA8-BD37-FF99D3F05BCC} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1ClickDownload DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OptimizerPro DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webget DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f H:\Documents and Settings\All Users\Menu Start.lnk H:\Documents and Settings\All Users\Dane aplikacji\TEMP H:\Documents and Settings\All Users\Dane aplikacji\Viatax H:\Documents and Settings\All Users\Dane aplikacji\Viataxs H:\Documents and Settings\All Users\Menu Start\Programy\3DO H:\Documents and Settings\Wojtek\Dane aplikacji\*.* H:\Documents and Settings\Wojtek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\ChomikBox (2).lnk H:\Documents and Settings\Wojtek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Facebook.lnk H:\Documents and Settings\Wojtek\Dane aplikacji\Mozilla\Firefox\profiles\extensions H:\Documents and Settings\Wojtek\Dane aplikacji\PriceFountain H:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\SherlocksBabka H:\Program Files\Common Files\PhysTinfan H:\Program Files\Mozilla Firefox\extensions H:\Program Files\Mozilla Firefox\plugins H:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension H:\WINDOWS\system32\findit.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition (bez Shortcut). Dołącz też plik fixlog.txt.

Na koniec zastosuj DelFix, wyczyść foldery Przywracania systemu i wykonaj pełną aktualizację Windows: KLIK.

Raport FRST zrobiony nie na tych ustawieniach, które są tu na forum w instrukcjach. Opcje Lista BCD i MD5 sterowników nie mają być zaznaczone. Adware PriceFountain jest montowane w Harmonogramie zadań, zasięg globalny, więc reklamy będą występować w każdej przeglądarce. Akcja do przeprowadzenia: 1. Odinstaluj zbędny program HP Deskjet 3510 series — badanie mające na celu poprawę produktów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {102BAD74-4F6D-4F8D-A228-A9E3A5F8AACD} - System32\Tasks\EnfiladesSignificantlyV2 => Rundll32.exe EntombDibbuk.dll,main 7 1 Task: {13B156DD-D031-4FEF-AF08-AFEEFC031C98} - System32\Tasks\{C9008B7F-A4B5-4A2D-B24B-B5F8D53236BD} => pcalua.exe -a J:\instmsiw.exe -d J:\ Task: {97B1E69B-2C99-47AA-934F-DFFC5E288AE0} - System32\Tasks\{690C62C0-3E96-4140-A619-BE8E24FBE8D4} => Chrome.exe Task: {C6B89C6F-9EDE-4884-BEA4-A198192CD4F3} - System32\Tasks\{0F19099C-ACB0-4AB7-B703-6E6256A5B2B9} => pcalua.exe -a C:\Users\Dawid\AppData\Roaming\yoursearching\UninstallManager.exe -c -ptid=cornl S2 BBSvc; C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\BBSvc.exe [X] S3 BBUpdate; C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\SeaPort.exe [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] HKU\S-1-5-21-486512578-4224766929-2653693065-1000\...\Run: [RGSC] => D:\Program Files\Gry\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent HKU\S-1-5-21-486512578-4224766929-2653693065-1000\...\Run: [Napisy24Update] => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep" HKU\S-1-5-21-486512578-4224766929-2653693065-1000\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-004-752 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-004-752&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-486512578-4224766929-2653693065-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-004-752&q={searchTerms} HKU\S-1-5-21-486512578-4224766929-2653693065-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-004-752 HKU\S-1-5-21-486512578-4224766929-2653693065-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-004-752 SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-004-752&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-004-752&q={searchTerms} SearchScopes: HKU\S-1-5-21-486512578-4224766929-2653693065-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-004-752&q={searchTerms} SearchScopes: HKU\S-1-5-21-486512578-4224766929-2653693065-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-486512578-4224766929-2653693065-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-004-752&q={searchTerms} BHO-x32: Brak nazwy -> {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -> Brak pliku CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxps://www.google.com/?trackid=sp-004-752" FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Dawid\AppData\Local\EnfiladesSignificantly RemoveDirectory: C:\Users\Dawid\Downloads\FRST-OlderVersion EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Czy na pewno problem reklam nadal występuje po użyciu AdwCleaner? Jedyne co tu widzę, to Popcorn Time (w niektórych źródłach klasyfikowany jako program z adware). A spowolnienie systemu to musi być z innej przyczyny, być może ten świeżo doinstalowany / aktualizowany Avast bruździ. Wstępnie: 1. Odinstaluj zbędny Akamai NetSession Interface oraz Popcorn Time. Natomiast pod kątem opornego SpyHuntera skorzystaj z narzędzia SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 cpuz134; \??\C:\Users\aaa\AppData\Local\Temp\cpuz134\cpuz134_x32.sys [X] S3 EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys [X] S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 ipswuio; System32\DRIVERS\ipswuio.sys [X] S3 lvupdtio; \??\C:\Program Files\ASUS\ASUS Live Update\SYS\lvupdtio.sys [X] U3 tmlwf; Brak ImagePath U3 tmwfp; Brak ImagePath S3 U46WDM1_01; system32\DRIVERS\U46wdm.sys [X] S1 U46_AA; system32\DRIVERS\U46DRV.sys [X] Task: {0738362A-D40F-40C4-AD47-79761F50F0C4} - System32\Tasks\{CE15E7A2-95F1-4B80-A42D-3B49EF0B2E76} => pcalua.exe -a C:\Users\aaa\Downloads\GyroMouse.exe -d C:\Users\aaa\Downloads Task: {09C56AEC-8DDE-49E0-A9C4-1B41C9A753BD} - System32\Tasks\{685797C1-9431-4EDF-98D3-32BAF9D0687C} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {0E797C26-A100-42D4-90BE-A4B8838A95DE} - System32\Tasks\{86F3E347-6725-4AEC-81C1-05E29C541A6E} => pcalua.exe -a C:\Users\aaa\Desktop\MixmanStudioMP3.exe -d C:\Users\aaa\Desktop Task: {15A43132-0A89-4EAA-B872-7256FA654BFF} - System32\Tasks\{8EBDDD23-B682-440C-AC1B-E8643E829918} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {18E6840C-6498-4AAD-822B-6A2B395C8CA1} - System32\Tasks\{52E67DE2-E606-459C-9AC1-25BAFBFEED1E} => pcalua.exe -a C:\Users\aaa\Downloads\setup-PDB-ED1.5.exe -d C:\Users\aaa\Downloads Task: {43660526-09B0-4BC5-9F8C-57B88A5196A1} - System32\Tasks\{DC3696E2-0C94-4C5B-9FDE-57FBED626467} => pcalua.exe -a "C:\Program Files\InstallShield Installation Information\{9DF0196F-B6B8-4C3A-8790-DE42AA530101}\SPORESetup.exe" -c -runfromtemp -l0x0015 -removeonly Task: {5920DE58-723F-48E1-AFCA-2948500930A9} - System32\Tasks\{7289E6E1-7CB5-4795-8AED-489EDA9CD239} => C:\Users\aaa\Downloads\TS3_1.67.2.0240xx_update.exe Task: {5AB58A12-426E-45B6-BCCD-A7FD7D17C2F2} - System32\Tasks\{197A2732-AD26-49B7-A6F4-622BEDF27736} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {6A8F3DAC-900B-4EC5-BA11-8622EEEDB903} - System32\Tasks\{53EB1DD7-86F5-41E5-BC24-B98CEC96777B} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {6B95C76C-8DF5-4865-A9F2-F42A34540FAC} - System32\Tasks\{DE3164A2-7E9D-415F-A146-CF37EF84200A} => pcalua.exe -a C:\Users\aaa\Desktop\Sims3EP05Setup.exe -d C:\Users\aaa\Desktop Task: {71CD52D7-ACE5-4CBF-B262-5417FD849E46} - System32\Tasks\{A65177A1-9E44-4C8B-BA34-DB6FF70E684C} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {72BB8ED2-6DB9-4FC8-A40C-37D5CC5C937B} - System32\Tasks\{4A7EAF56-4EB8-4412-8423-E576D9D50DAA} => pcalua.exe -a C:\Windows\snuninst.exe -c /name='USB2.0 UVC VGA WebCam' Task: {78239E01-BDB8-4866-AC19-288EB4D6C2D8} - System32\Tasks\{1A998398-0486-411F-A34C-E2D83B909C0D} => pcalua.exe -a C:\Users\aaa\Downloads\wlsetup-web.exe -d C:\Users\aaa\Downloads Task: {7D38F400-1AB1-4E92-A27B-B04C3DC17BC6} - System32\Tasks\{831FD31F-DF1F-44CF-A719-E0126BD80A05} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {835614CA-CD0D-48B8-AD10-1ABA42A5AA75} - System32\Tasks\{8AAC17AC-ED58-4C59-BE07-D79B38777749} => pcalua.exe -a "D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe" -d "D:\DOWNLOAD\TH3\Island Paradise" Task: {8558D3C4-C340-42E3-80CD-277C3304A82F} - System32\Tasks\{9FCE15D3-4BBF-4516-8E8D-3529430E9B64} => pcalua.exe -a C:\Users\aaa\Downloads\setup-PDB-ED1.5.exe -d C:\Users\aaa\Downloads Task: {869D5DB2-E5A6-4F45-A348-86BBEF1F04CB} - System32\Tasks\{1B2CA23A-FC5B-4E3B-875F-33B0DB238FFE} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {8EDCA5CB-7AF7-4A3E-9E21-7BF29F75735B} - System32\Tasks\GridinSoft Anti-Malware => D:\AAAProgramy\GridinSoft Anti-Malware\gsam.exe Task: {995DBEE1-D998-4B05-AE60-EF23649404E8} - System32\Tasks\{310F7921-44F9-418D-8D0A-2494BFE6F8A9} => pcalua.exe -a D:\AAAProgramy\Steam\steam.exe -c steam://uninstall/42680 Task: {99FD482C-1883-4D5E-93BF-3F8E0607E0AA} - System32\Tasks\{E2532236-7AA2-49C9-8274-C27956E264F1} => pcalua.exe -a E:\SETUP.EXE -d E:\ Task: {9FB0DEF5-8CA0-4FB0-B670-DFFA9C0FF35D} - System32\Tasks\{EF22C505-4693-4E4F-9AF2-70B49EC1B506} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {C93C9D92-3BCD-420F-8016-DBCEC08DFBE4} - System32\Tasks\{E31CE0F1-7BD8-4D6E-A3E0-FCAC46D8F3FF} => pcalua.exe -a "D:\Prawo Jazdy 2011\unins000.exe" -d "D:\Prawo Jazdy 2011" Task: {D9B7F75A-DFE3-4C37-B83E-A843967E5859} - System32\Tasks\{E36B74A3-3B47-46AB-9ACF-A5C0EEDB27ED} => pcalua.exe -a C:\Users\aaa\Downloads\msicuu2.exe -d C:\Users\aaa\Downloads Task: {F57AC501-B2ED-46A1-B56D-C78F5A4FA6BD} - System32\Tasks\{9E9618DE-E449-438C-9B0B-A468AA7701A4} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe CustomCLSID: HKU\S-1-5-21-993321323-3193323119-4218094022-1001_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-993321323-3193323119-4218094022-1001_Classes\CLSID\{D166BD15-03AF-413A-BEFD-0679FF410B49}\InprocServer32 -> C:\Users\aaa\AppData\Local\Dropbox\Update\1.3.27.29\psuser.dll => Brak pliku HKU\S-1-5-21-993321323-3193323119-4218094022-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> none HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com HKU\S-1-5-21-993321323-3193323119-4218094022-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com HKU\S-1-5-21-993321323-3193323119-4218094022-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com URLSearchHook: HKU\S-1-5-21-993321323-3193323119-4218094022-1001 - (Brak nazwy) - {60c4696a-e4eb-4d2d-9060-38928dd0b6a2} - Brak pliku SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-993321323-3193323119-4218094022-1001 -> DefaultScope {A3EA6799-929E-48C6-936C-25F0A789F20A} URL = FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF Plugin HKU\S-1-5-21-993321323-3193323119-4218094022-1001: ubisoft.com/uplaypc -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eKWEJK DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mpck_en_005030252 C:\Program Files\Common Files\Net4Switch.ico C:\ProgramData\GridinSoft C:\ProgramData\TEMP C:\Users\aaa\AppData\Local\{8E66D97F-D53A-4214-B72D-A5D8BC1E0956} C:\Users\aaa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Osoba 1 - Chrome.lnk C:\Users\aaa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Popcorn Time.lnk C:\Users\aaa\Desktop\Programy\Google Chrome.lnk C:\Users\aaa\Desktop\Programy\GridinSoft Anti-Malware.lnk C:\Users\aaa\Desktop\Programy\Popcorn Time.lnk C:\Users\aaa\Desktop\Programy\Program uruchamiający aplikacje Chrome.lnk C:\Users\aaa\Desktop\Różne\Niepotrzebne\Drivery ASUS\Adobe Reader 9.lnk C:\Users\aaa\Desktop\Różne\Niepotrzebne\Drivery ASUS\Gadu-Gadu 10.lnk C:\Users\aaa\Downloads\FRST.exe.part C:\Users\aaa\Downloads\gsamDV.exe C:\Windows\~INSX362.EXE CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\aaa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.