picasso

W raportach mało co widać, tylko drobne szczątki adware. Jest prawdopodobne, że pliki przelądarki Google Chrome są zmodyfikowane. Ale na razie wyczyść co widać i zobaczymy co z tego wyniknie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {2e51ecb5-0dda-44be-a9f9-06a446586d39}Gw64; C:\Windows\System32\drivers\{2e51ecb5-0dda-44be-a9f9-06a446586d39}Gw64.sys [48752 2016-03-19] (StdLib) S2 Kownofaj; "C:\Users\Lamberttychuju\AppData\Roaming\KucqatLyp\Fiobo.exe" -cms [X] Task: {9107264B-315F-4C8C-8AFB-2A4CBD397303} - System32\Tasks\Eavup => C:\PROGRA~1\SHOPPE~1\Erhoe.bat HKLM-x32\...\Run: [gupdate] => C:\Program Files (x86)\Company\gupdate\gupdate.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\extensions C:\uninst C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Lamberttychuju\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Lamberttychuju\AppData\Local\Sparta C:\Users\Lamberttychuju\AppData\Local\Tempfolder C:\Users\Lamberttychuju\AppData\LocalLow\Company C:\Users\Lamberttychuju\AppData\Roaming\System.dll C:\Users\Lamberttychuju\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Windows\system32\drivers\{2e51ecb5-0dda-44be-a9f9-06a446586d39}Gw64.sys C:\Windows\system32\Drivers\cherimoya.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\system32\podk Folder: C:\Users\Public\Documents\dmp Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy są pozytywne zmiany.

Napisałeś wiele tematów o tym samym. Wszystkie usunęłam, z wyjątkiem najnowszego. Na przyszłość: duplikowanie nie przyśpiesza pomocy, jeśli mnie nie ma. Adware PriceFountain uruchamia się poprzez Harmonogram zadań. To nie jedyny problem tutaj. System jest ogólnie zaśmiecony, są tu także liczne odpadki starych adware nie wyczyszczonych wcześniej, stare programy narażające bezpieczeństwo (np. luki w Adobe mogą doprowadzić do infekcji szyfrującej dane) oraz nadmiar antywirusów. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware: BitGuard, Internet Explorer Toolbar 4.6 by SweetPacks, LiveVDO, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, uTorrentControl_v2 Toolbar, VirtualDub Packages. - Stare programy i zbędniki: Adobe AIR, Adobe Flash Player 12 ActiveX, Adobe Flash Player 12 Plugin, Adobe Reader 9.5.5 - Polish, Facebook Video Calling 2.0.0.447, Gadu-Gadu 7.7, Gadu-Gadu 10, GG Tools, Java 7 Update 11, JavaFX 2.1.0, McAfee Security Scan Plus, Norton Internet Security, Norton Online Backup, PTC Quality Agent, Real Alternative 2.0.2, Visual Studio 2012 x64 Redistributables + Visual Studio 2012 x86 Redistributables (odpadki po deinstalacji AVG), Windows Live 程式集. Jeśli coś nie będzie się dało odinstalować lub nie będzie widoczne, kontynuuj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {f29e81af-9943-4f9f-9bf8-64524ebe0b41}w64; C:\Windows\System32\drivers\{f29e81af-9943-4f9f-9bf8-64524ebe0b41}w64.sys [48784 2014-12-29] (StdLib) S3 CrystalSysInfo; \??\D:\Program Files (x86)\MediaCoder\SysInfoX64.sys [X] S1 wfdrvr_vt_1_10_0_25; system32\drivers\wfdrvr_vt_1_10_0_25.sys [X] Task: {034FC438-375D-4E70-99C9-93BF59693BE8} - System32\Tasks\{C6AB5B57-A79F-4E9A-B358-005D0847E5B8} => Chrome.exe hxxp://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar Task: {03A5CD7D-538B-4FB5-B2B1-9D0258CDE1B7} - System32\Tasks\DorotaNonspecificFragmentedV2 => Rundll32.exe GlobalistsVandals.dll,main 7 1 Task: {68DBA077-6D76-465E-A0FE-DD4DDBD46EEB} - System32\Tasks\Odkurzacz => C:\Program Files (x86)\Odkurzacz\odkurzacz.exe Task: {7B7F90E4-FF34-4F1B-9544-CD988C79422B} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe Task: {A54BC252-60F0-47A7-A987-86EA52C41D72} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe Task: {C873C96C-89A0-4900-A860-ADA65A1C9694} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Core => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe Task: {CE4FFE68-873F-4414-817A-74085B999D28} - Brak ścieżki do pliku Task: {E89CC18F-0781-4F4E-B360-EDBC80933A21} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe HKU\S-1-5-21-3099691929-597136357-677967994-1001\...\Run: [HW_OPENEYE_OUC_] => C:\Program Files (x86)\blueconnect\UpdateDog\ouc.exe [110592 2009-12-31] (Huawei Technologies Co., Ltd.) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\NexonUp.vbs [2015-09-27] () ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{38216570-5DB1-45F8-A344-B0C4E252B14B}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.26.7\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csNBe8YCEujMDfpEJP4EyJ6_Ay2Rg4OmXux9oG2NXO8Nbcz0ZFHRKQeU2C-PX5W38YGuHDeSLpdwv89a-1YFkXJxJnZdJdktNTJUnWYBrl0dytWsG8w45OSqQfI6oCRYokrOxN7LBjy1jA,, CHR StartupUrls: Default -> "hxxps://www.google.pl/search?q=google&aq=f&oq=go&aqs=chrome.3.60l3j59l2j57.3141j0&sourceid=chrome&ie=UTF-8#hl=pl&gs_rn=12&gs_ri=psy-ab&pq=google&cp=6&gs_id=18&xhr=t&q=menostop&es_nrs=true&pf=p&sclient=psy-ab&oq=menost&gs_l=&pbx=1&bav=on.2,or.r_qf.&bvm=bv.46340616,d.Yms&fp=ca266102337a30ad&biw=796&bih=596","","hxxp://www.yessearches.com/?mode=nnnb&ptid=ior&uid=4E6152729E4773FFDA4987D6C6989BB8&v=20160108&ts=AHEpAnUoBHAkAk.." HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=AV01 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419888650&from=cor&uid=SAMSUNGXHN-M101MBB_S2R8J9FBA14001&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419888650&from=cor&uid=SAMSUNGXHN-M101MBB_S2R8J9FBA14001&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = hxxp://www.buenosearch.com/?babsrc=HP_ss&mntrId=169CB803051C2579&affID=128491&tsp=5162 HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} URLSearchHook: HKLM-x32 - (Brak nazwy) - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - Brak pliku SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {15431241-F15B-43FE-B204-ED85884C491B} URL = hxxp://www.bing.com/search?q={searchTerms}&form=SMSTDF&pc=MASM&src=IE-SearchBox SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKLM-x32 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={8AB90565-6719-11E2-AD3B-B803051C257C} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://startsear.ch/?src=sp&aff=51&cf=0e282bf6-47c2-11e2-8f12-b803051c257c&q={searchTerms} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www.buenosearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=169CB803051C2579&affID=128491&tsp=5162 SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {139DD132-0CCB-4F7B-AD1D-0EA93F8C0329} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={8AB90565-6719-11E2-AD3B-B803051C257C} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} BHO-x32: High Stairs -> {45e60e41-85ee-4c01-9dac-1ecb9bf64179} -> C:\Program Files (x86)\High Stairs\Extensions\45e60e41-85ee-4c01-9dac-1ecb9bf64179.dll => Brak pliku BHO-x32: Brak nazwy -> {7473b6bd-4691-4744-a82b-7854eb3d70b6} -> Brak pliku BHO-x32: Brak nazwy -> {EEE6C35C-6118-11DC-9C72-001320C79847} -> Brak pliku Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Toolbar: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> Brak nazwy - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - Brak pliku Toolbar: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> Brak nazwy - {EEE6C35B-6118-11DC-9C72-001320C79847} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://isearch.omiga-plus.com/?type=sc&ts=1419888650&from=cor&uid=SAMSUNGXHN-M101MBB_S2R8J9FBA14001 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\AVG C:\Program Files (x86)\LiveVDO plugin C:\Program Files (x86)\SearchesToYesbnd C:\ProgramData\Avg C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 v48 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Odkurzacz C:\Users\Default\AppData\Local\AVG C:\Users\Default\AppData\Roaming\AVG C:\Users\Dorota\AppData\Local\{3339D366-4C3A-4ABA-A74E-C415D6A5CAD4} C:\Users\Dorota\AppData\Local\AvgSetupLog C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847} C:\Users\Dorota\AppData\Local\Mozilla C:\Users\Dorota\AppData\Local\NonspecificFragmented C:\Users\Dorota\AppData\Roaming\AVG C:\Users\Dorota\AppData\Roaming\Mozilla C:\Users\Dorota\AppData\Roaming\WarThunder C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Users\Dorota\Desktop\Continue Apache OpenOffice installation.lnk C:\Users\Dorota\Desktop\Odkurzacz.lnk C:\Users\Dorota\Desktop\Play Games Online.url C:\Users\Dorota\Downloads\sh-remover.exe C:\Users\Public\Desktop\avast! Internet Security.lnk C:\windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\drivers\{f29e81af-9943-4f9f-9bf8-64524ebe0b41}w64.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj LiveVDO.tv plugin, o ile sam nie zniknie po deinstalacjach w punkcie 1. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Opera: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware High Stairs 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Dołącz też plik fixlog.txt.

Nadal są modyfikacje coldsearch w systemie (polityki Google i kilka innych drobnych śmieci), przy okazji do usunięcia szczątki po aktualizacji do Windows 10 ze starszego systemu. Akcja: 1. Odinstaluj stare programy: DivX Setup, Windows Media Player Firefox Plugin oraz jeśli nie korzystasz z Podstawowe programy Windows Live, Windows Live Sync. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-56604747-4067415843-783896686-1000\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-56604747-4067415843-783896686-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://pl.search.yahoo.com/?&fr=hp-avast&type=odc414 SearchScopes: HKLM-x32 -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = hxxp://pl.yhs4.search.yahoo.com/yhs/search?hspart=avast&hsimp=yhs-001&type=odc414&p={searchTerms} SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKU\S-1-5-21-56604747-4067415843-783896686-1000 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKU\S-1-5-21-56604747-4067415843-783896686-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku BHO-x32: Brak nazwy -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.coldsearch.com/?type=sc&uid=b4b75edf-f95b-441c-818d-82f66315c8c4 FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF S3 McComponentHostServiceSony; C:\Program Files (x86)\Sony\MSS\3.8.130\McCHSvc.exe [235216 2013-10-16] (McAfee, Inc.) U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku Task: {001A9B8F-4182-479A-84A5-7E7782125FAD} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {0171F0B8-02B1-46F2-B752-55088CDB7FB2} - System32\Tasks\SidebarExecute => C:\Program Files\Windows Sidebar\sidebar.exe Task: {0D70F1F7-8F7A-4F75-91D5-E59D2DA3BF34} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {0EC8D4FC-8D80-43B0-B4B8-73DEF9BC9AA0} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {0FACC785-4059-4998-B0F7-1AAFAA5E4C65} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {17923074-153A-48E5-85DB-56562CB1E765} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {1F2EDF92-EA41-456E-8C27-DD95D2F40854} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {2375E01A-8C55-4B80-8C63-33A29BC86D55} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {251DF3B5-CEAD-44A3-82E9-D56C783BA1B8} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {27F51064-1243-4730-B0EF-710912A4341C} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {28F2296C-89F4-46BF-B517-C74E97C7F175} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {2A2FA7BA-FA95-4EE9-8273-D4CB36524AA5} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {2AF6B35B-F81F-4AB6-9FD8-F9CCBD87D941} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {34642866-B291-4F68-B009-1E52014BFB1B} - System32\Tasks\{39880C34-AE18-408C-B021-2FA1659492C3} => pcalua.exe -a "C:\Program Files (x86)\Corel\Corel Paint Shop Pro Photo X2 - Installation Files\setup.exe" -d "C:\Program Files (x86)\Corel\Corel Paint Shop Pro Photo X2 - Installation Files" Task: {3A0BC6C5-D737-4DF5-ACCF-9570FD0E6124} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {3C5915DE-427C-42EB-9522-637D2BA4C9DC} - System32\Tasks\{646D268F-0B09-426D-B262-394C57AA8ADF} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\ZOO_TYCOON_2_PL\ZOO 2 PL - dodatki\Zoo_Tycoon_2_Addon_Hotfix.exe" -d "C:\Users\Kasiarzynka\Desktop\ZOO_TYCOON_2_PL\ZOO 2 PL - dodatki" Task: {406D9FE1-A2D8-4B55-B3DB-4F221BDA6035} - System32\Tasks\{C8D26D62-1F22-4681-B2FC-3F2FFB660B79} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\Adobe\Photoshop Lightroom 5.7.1\Install Lightroom 5.exe" -d "C:\Users\Kasiarzynka\Desktop\Adobe\Photoshop Lightroom 5.7.1" Task: {440446B4-2DEE-4B2E-9972-3E9929ECD746} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {49140EB1-1735-4C0B-B1C5-F9FF231892ED} - System32\Tasks\{B1948F05-A0A9-42B5-86D7-E3D37A18C731} => pcalua.exe -a C:\Users\Kasiarzynka\Desktop\ZOO_TYCOON_2_PL\Zoo_Tycoon_2_Addon_Hotfix.exe -d C:\Users\Kasiarzynka\Desktop\ZOO_TYCOON_2_PL Task: {61E815B3-9DEC-4B5F-9C55-C276E63F1CEE} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {677978DD-C171-480A-A88F-F60282A6A391} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {6AA45898-3DCD-46C7-B452-B46FBA8C6FD9} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {77B68D9E-83D1-489D-AC44-57423AE2EA09} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {7D1BA18F-DD11-4A40-8A6E-A51CE750D50A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {809B4B14-8500-4F18-8676-9C1BD0350FBF} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {940299DD-F528-4962-A88A-57F22ADCBB7A} - System32\Tasks\{940F26B3-C83D-4E2C-8048-96CAD8D8F0F0} => pcalua.exe -a D:\directx\dxsetup.exe -d D:\directx Task: {94FA0432-5102-4B8B-8E62-B04E5610FC21} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {9A506955-AC9C-4EDA-91C4-B7631387EA2B} - System32\Tasks\{AEEF624B-C476-4C06-BED1-8732CC3DCE47} => pcalua.exe -a C:\Users\Kasiarzynka\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {9AE89564-9106-43F4-AA24-77F307FD7E81} - System32\Tasks\{A8BD7A6B-90FC-49CC-9B96-0473C54BE8A2} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{F9657EF6-C156-4CE9-A0A2-562CD3E94842}\Setup.exe" -d "C:\Program Files (x86)\Eidos Interactive\Beach Life" Task: {9BC3C1A1-FC1C-4331-8E61-7D4F6A573D3E} - System32\Tasks\{107F1BD6-05A3-459B-9E57-60FBEC1B03CC} => pcalua.exe -a "F:\Corel Paint Shop Pro Photo X2 v12.01 CZ PL\PSPP12_Corel_TBYB_CZ_PL_ESD\setup.exe" -d "F:\Corel Paint Shop Pro Photo X2 v12.01 CZ PL\PSPP12_Corel_TBYB_CZ_PL_ESD" Task: {A041E254-8634-4930-9A76-FDF435E768C1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {A736298B-92E2-4F4B-AF61-605FDF970BB8} - System32\Tasks\{8932C48B-2392-4AE3-BE03-538F3E847DA2} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\Zoo Tycoon 2 PL.exe" -d C:\Users\Kasiarzynka\Desktop Task: {B1AF5E3B-428A-4450-B014-471365233ED9} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {B4952F30-EB0E-42D1-8576-5883CC7DC0EF} - System32\Tasks\{E388F6B4-8865-4132-84B6-BA236AB1912B} => pcalua.exe -a C:\Users\Kasiarzynka\Downloads\jxpiinstall.exe -d C:\Users\Kasiarzynka\Downloads Task: {B65376A9-FA4D-45A2-BC28-8332BFDA90AC} - System32\Tasks\{D9BE421A-7B35-43DC-8200-0C22D8C5C8C7} => pcalua.exe -a D:\autorun.exe -d D:\ Task: {C0AF4BA2-6A39-40ED-84EC-7504C032637E} - System32\Tasks\{D9F8CFBB-32A3-4399-B221-909D2CF9EFD0} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\Corel Paint Shop Pro Photo X2 v12.01 CZ PL\PSPP12_Corel_TBYB_CZ_PL_ESD\setup.exe" -d "C:\Users\Kasiarzynka\Desktop\Corel Paint Shop Pro Photo X2 v12.01 CZ PL\PSPP12_Corel_TBYB_CZ_PL_ESD" Task: {C1D966DC-64AE-4CA4-8F12-CB71C7B66CA3} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {C5E0E46F-948B-406B-A9C7-5B929FE6475B} - System32\Tasks\{0A8E30F1-B352-4E32-8753-2A5383E83F6C} => Firefox.exe hxxp://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?page=tsProgressBar Task: {C8E36C1A-EF64-41AA-8F88-2E4395940920} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {C98C691B-EC45-47A5-971D-97458FE1799F} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {D6E59995-BC8E-461F-B265-8A428C3B1DE8} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {DCC4CCF0-EA03-4C16-A6D7-2CF34DCB2B97} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {DE349F28-E836-4A22-A97B-A59F534A209C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {E14E4831-5517-42D1-BF55-B8345CB04333} - System32\Tasks\{1B1596F0-D99B-4027-879F-9BA33AAD49CD} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\beach life\Setup.exe" -d "C:\Users\Kasiarzynka\Desktop\beach life" Task: {E16E0014-C6AB-4941-94A0-619B1B305B0F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {E251D312-070E-4C1E-B589-285BCF75B603} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {E8DDE171-4E9A-4122-AB07-6B6E4686E7CF} - System32\Tasks\{F411FD4A-2576-4CF4-ACA6-7B179A502777} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=5.3.0.111.259&LastError=12002 Task: {EA140F4E-6C41-435D-B3A3-82D4845615EB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {FAAACEF3-D74B-48BF-8B54-D7091065E879} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {FEF24019-2CE4-4DF9-A82A-7F3904F55E21} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webget DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AvgUi /f C:\Program Files (x86)\AVG C:\ProgramData\Avg C:\ProgramData\Microsoft\Windows\GameExplorer\{A2672015-A91C-428D-B83E-FFF7EC4903A2} C:\ProgramData\Microsoft\Windows\GameExplorer\SupportTasks\1 C:\ProgramData\Microsoft\Windows\GameExplorer\PlayTasks\0 C:\Users\Kasiarzynka\AppData\Local\Avg C:\Users\Kasiarzynka\AppData\Local\AvgSetupLog C:\Users\Kasiarzynka\AppData\Local\Google\Chrome C:\Users\Kasiarzynka\AppData\Local\Microsoft\Windows\GameExplorer\{A2672015-A91C-428D-B83E-FFF7EC4903A2} C:\Users\Kasiarzynka\AppData\Roaming\Microsoft\Windows\SendTo\Evernote for VAIO.lnk C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Podałeś po raz drugi log z szukania AdwCleaner, miałeś dostarczyć log z usuwania. Wróć do opisu AdwCleaner jakie oznaczenie w nazwie ma log z usuwania. Poza tym, upłynęło dużo czasu, więc dla pewności zrób jeszcze świeże logi z FRST.

Log sugeruje, że problemy rozpoczęły się od pobrania cracka aktywacji Windows Loader. W systemie liczne modyfikacje adware (usługi, zaplanowane zadania, zmodyfikowane skróty przeglądarek). Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {b62cb561-fced-4cde-aa45-8be9df6fa758}Gw64; C:\Windows\System32\drivers\{b62cb561-fced-4cde-aa45-8be9df6fa758}Gw64.sys [48752 2016-02-22] (StdLib) R2 caMyciloP; C:\ProgramData\\caMyciloP\\caMyciloP.exe [528384 2016-02-23] () [brak podpisu cyfrowego] R2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe [667136 2016-02-22] () [brak podpisu cyfrowego] R2 dowoloadad; C:\Users\Rob\AppData\Local\Unocare.exe [28160 2016-02-22] () [brak podpisu cyfrowego] R2 serfev; C:\ProgramData\\serfev\\serfev.exe [528384 2016-02-24] () [brak podpisu cyfrowego] Task: {287407D4-8F10-4C2C-B49D-F64C180D3A12} - System32\Tasks\psv_Kanlab => /c regedit.exe /s "C:\ProgramData\caMyciloP\Volbam.reg" & del "C:\ProgramData\caMyciloP\Volbam.reg" & SCHTASKS /Delete /TN "psv_Kanlab" /F Task: {2FE92D6B-ADB3-43C7-9475-E57355B19F4C} - System32\Tasks\psv_Gravefresh => /c regedit.exe /s "C:\ProgramData\caMyciloP\Transtantouch.reg" & del "C:\ProgramData\caMyciloP\Transtantouch.reg" & SCHTASKS /Delete /TN "psv_Gravefresh" /F Task: {3A47E767-56D2-487A-9D92-05FAD1E7222A} - System32\Tasks\psv_Zamtom => /c regedit.exe /s "C:\ProgramData\caMyciloP\Freetop.reg" & del "C:\ProgramData\caMyciloP\Freetop.reg" & SCHTASKS /Delete /TN "psv_Zamtom" /F Task: {3C9F33CA-2BB0-4C2C-A794-EA638DD53438} - System32\Tasks\snp => C:\ProgramData\serfev\serfev.exe [2016-02-24] () Task: {3F8956D8-BD3E-44B8-9D09-6135477FACE7} - System32\Tasks\psv_Homesolfan => /c regedit.exe /s "C:\ProgramData\caMyciloP\GoodDublex.reg" & del "C:\ProgramData\caMyciloP\GoodDublex.reg" & SCHTASKS /Delete /TN "psv_Homesolfan" /F Task: {4D5EEDC0-18A1-42E2-8C1E-DB4E8B1EC579} - System32\Tasks\Mirfeodl => C:\PROGRA~1\GROOVE~1\Uwofnyka.bat Task: {63CE4D12-4F95-4F77-8E66-7B64376E7ECF} - System32\Tasks\psv_StrongAnin => /c regedit.exe /s "C:\ProgramData\serfev\Vivacore.reg" & del "C:\ProgramData\serfev\Vivacore.reg" & SCHTASKS /Delete /TN "psv_StrongAnin" /F Task: {6DE13F49-A12D-4E5F-AFC8-80B6E3032E8D} - System32\Tasks\Mojkussa => C:\PROGRA~1\SHOPPE~1\Zilgo.bat Task: {6F544E0B-F862-46CB-8241-AC76C2E0CA0F} - System32\Tasks\psv_Triotam => /c regedit.exe /s "C:\ProgramData\serfev\Touch-Lux.reg" & del "C:\ProgramData\serfev\Touch-Lux.reg" & SCHTASKS /Delete /TN "psv_Triotam" /F Task: {87804C4F-4D58-4AF8-A567-4893957FB1B2} - System32\Tasks\psv_GoldenRonsing => /c regedit.exe /s "C:\ProgramData\serfev\Sailhome.reg" & del "C:\ProgramData\serfev\Sailhome.reg" & SCHTASKS /Delete /TN "psv_GoldenRonsing" /F Task: {98BD5125-FBEB-44A5-8A9C-D607C0BB6590} - System32\Tasks\webdpwneob => C:\Windows\system32\config\systemprofile\AppData\Local\Duobam [2016-02-22] () Task: {AFBA87F4-40E7-45E7-9A92-2B701024FF40} - System32\Tasks\psv_Pluslattech => /c regedit.exe /s "C:\ProgramData\serfev\Tres-Plus.reg" & del "C:\ProgramData\serfev\Tres-Plus.reg" & SCHTASKS /Delete /TN "psv_Pluslattech" /F Task: {C2892CBE-2067-45CE-83AD-E9BD681F3BFA} - System32\Tasks\snf => C:\ProgramData\serfev\serfev.exe [2016-02-24] () Task: {E9923B76-4D2E-4019-9F0A-69F81FF3DF3F} - System32\Tasks\{FAA1C03F-2A8D-491D-8EEB-8CA2AE02C736} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Santop\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Santop\uninstall.dat" -a uninstallme 53E9D72C-4AE1-4AA8-942F-9A30524BC1EE DeviceId=9e76dd48-5251-7351-7ace-91dd6daf5860 BarcodeId=50027003 ChannelId=3 DistributerName=APSnapdoAMRev Task: {F63EDF63-6EA9-4B31-898E-09C96A6221C6} - System32\Tasks\psv_Stat-Tough => /c regedit.exe /s "C:\ProgramData\caMyciloP\Alphatax.reg" & del "C:\ProgramData\caMyciloP\Alphatax.reg" & SCHTASKS /Delete /TN "psv_Stat-Tough" /F CMD: type C:\Windows\System32\Tasks\webdpwneob HKLM-x32\...\Run: [gmsd_pl_005010245] => [X] HKU\S-1-5-21-454545797-384275535-3432456732-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgCD7X73flRI6tqEIMkflfAnctn9Q8s8s8W1MvAZ_hTBd5jZAfI9tX_HX4dJ76rUqf21N2Y0IY7du3ALD49Ykyh_ePEPmc,&q={searchTerms} HKU\S-1-5-21-454545797-384275535-3432456732-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JRmAvKTdMatTN9vc2mQeGzomn5x1pLrVtf8EQLn51gDmlleMZfAf9Nuln7QMCq0xwoeX9WnLIk6jP3gRc64wyZ7UPG5ONg, HKU\S-1-5-21-454545797-384275535-3432456732-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgCD7X73flRI6tqEIMkflfAnctn9Q8s8s8W1MvAZ_hTBd5jZAfI9tX_HX4dJ76rUqf21N2Y0IY7du3ALD49Ykyh_ePEPmc,&q={searchTerms} HKU\S-1-5-21-454545797-384275535-3432456732-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgCD7X73flRI6tqEIMkflfAnctn9Q8s8s8W1MvAZ_hTBd5jZAfI9tX_HX4dJ76rUqf21N2Y0IY7du3ALD49Ykyh_ePEPmc,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgCD7X73flRI6tqEIMkflfAnctn9Q8s8s8W1MvAZ_hTBd5jZAfI9tX_HX4dJ76rUqf21N2Y0IY7du3ALD49Ykyh_ePEPmc,&q={searchTerms} SearchScopes: HKU\S-1-5-21-454545797-384275535-3432456732-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgCD7X73flRI6tqEIMkflfAnctn9Q8s8s8W1MvAZ_hTBd5jZAfI9tX_HX4dJ76rUqf21N2Y0IY7du3ALD49Ykyh_ePEPmc,&q={searchTerms} SearchScopes: HKU\S-1-5-21-454545797-384275535-3432456732-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgCD7X73flRI6tqEIMkflfAnctn9Q8s8s8W1MvAZ_hTBd5jZAfI9tX_HX4dJ76rUqf21N2Y0IY7du3ALD49Ykyh_ePEPmc,&q={searchTerms} CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgZrlR0setODzLiXRtdCfS-ndll2C1vtopY-DuDs5LAKloQoNJFIVWC5yzc29AuQXbCjYvpHTBJ-JO3RyUGoWtJVWaP4o8, ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% C:\Program Files (x86)\Windows Loader C:\ProgramData\caMyciloP C:\ProgramData\CloudPrinter C:\ProgramData\serfev C:\ProgramData\serfevs C:\uninst C:\Users\Rob\AppData\Local\*.* C:\Users\Rob\AppData\Local\Tempfolder C:\Users\Rob\AppData\LocalLow\Company C:\Users\Rob\AppData\Roaming\*.* C:\Users\Rob\AppData\Roaming\FatceqCedeti C:\Users\Rob\AppData\Roaming\gplyra C:\Users\Rob\AppData\Roaming\GousFoavfu C:\Windows\system32\geku C:\Windows\system32\siur C:\Windows\system32\config\systemprofile\AppData\Local\Duobam C:\Windows\system32\drivers\{b62cb561-fced-4cde-aa45-8be9df6fa758}Gw64.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\findit.xml C:\Windows\SysWOW64\Number of results Folder: C:\Users\Public\Documents\dmp Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

U mnie też tak jest na Windows 10 (wszystkie foldery na C i D) i nie ma to żadnego wpływu na zdolność operacji na tych elementach. Przedstaw jaki był cel manipulacji na atrybutach, w czym one "przeszkadzały"? Natomiast jest tu inny problem w raporcie i nie wiem czy przypadkiem sam do tego nie doprowadziłeś próbując zmienić atrybuty, gdyż wspominasz też o matactwie w uprawnieniach, otóż utraciłeś dostęp do swojego profilu jak wskazuje nowszy zestaw logów FRST: Uruchomiony z C:\Users\TEMP\Downloads Załadowane profile: Łukasz (Dostępne profile: Łukasz) W raportach brak oznak infekcji, ale oglądam niewłaściwe środowisko (profil tymczasowy). Upłynęło też sporo czasu, więc poproszę dla pewności o nowy zestaw raportów FRST.

Dziś w skład zespołu weszli: Groszexxx - Moderator działu Hardware. Rucek - Moderator działu Malware, rola ograniczona do porządkowej.

Kcurek, wstępnie ruszyłam temat komunikatorów. Wymaga gruntownego przepisania, więc nie byłam w stanie zrobić za jednym zamachem wszystkiego, choć siedzę już nad tym od ponad tygodnia. Na razie: przetasowania sieciowe i mają wejść opisy Facebook, Google i Swift (przygotowałam "dziury" na zrobienie opisów), wywalona masa starych programów (wyleciało 12 kompleksowych opisów i różne linki z indeksu), nowe tabelki zgodności GG uwzględniające cechy protokołu GG11/12, opisy GG, Kadu i WTW zaktualizowane w oparciu o najnowsze wersje, wstępne edycje w pozostałych opisach (ogromna praca to wszystko zainstalować, więc na wyrywki po kawałku aktualizuję opisy).

W sytemie nadal jest szkodliwe proxy oraz różne odpadki adware. Jest tu także za dużo programów zabezpieczających, wspólnie aktywnie działają Ad-aware i ESET Smart Security. Działania do przeprowadzenia: 1. Odinstaluj nadwyżkowe programy i stare wersje: Ad-Aware Antivirus, Adobe Flash Player 10 ActiveX, Adobe Flash Player 18 PPAPI, Adobe Flash Player 20 NPAPI, Adobe Shockwave Player 12.1, Bonjour, Java 8 Update 40, Web Companion. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope - brak wartości Task: {2C27A829-127F-4CE1-A07E-62BF9F937564} - System32\Tasks\{74E386E7-18DE-4CA2-BF24-722952DAFB80} => pcalua.exe -a "E:\PLAY ONLINE\Setup.exe" -d "E:\PLAY ONLINE" Task: {3A2CF0B0-8E5D-44DB-8FA9-62183C417C47} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3559837788-3003761988-3719058285-1000UA => C:\Users\Mama\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {3C689939-E689-4E44-9F7B-334D9BD33769} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3559837788-3003761988-3719058285-1000Core => C:\Users\Mama\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {43021B01-16B4-45EA-B95A-A152787CBB63} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Task: {500D7549-1A4F-44EF-91EC-3B54CB4364D6} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-02-22] (AVAST Software) Task: {554EAD3E-5371-47C4-B6E8-96DA2A9C253B} - System32\Tasks\SafeZone scheduled Autoupdate 1456175402 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe Task: {C42BDB3F-E058-4B61-921A-789CB5925474} - System32\Tasks\{C99F3EDE-D3CE-4AEE-AE2A-2C64AA283065} => pcalua.exe -a C:\Install\Kaspersky.Internet.Security.PL\K.I.S.2011.PL\kis11.0.1.400pl_pl.exe -d C:\Install\Kaspersky.Internet.Security.PL\K.I.S.2011.PL Task: {FA0F660C-EB4F-48A1-8D39-3A7FF878207E} - System32\Tasks\{EC4820A4-DD6C-458B-92A4-894D4E8104CB} => pcalua.exe -a E:\DataCard_Setup.exe -d E:\ CustomCLSID: HKU\S-1-5-21-3559837788-3003761988-3719058285-1000_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3559837788-3003761988-3719058285-1000_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3559837788-3003761988-3719058285-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku IE trusted site: HKU\S-1-5-21-3559837788-3003761988-3719058285-1000\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-3559837788-3003761988-3719058285-1000\...\webcompanion.com -> hxxp://webcompanion.com HKLM\...\Run: [] => [X] S2 HWDeviceService.exe; "C:\ProgramData\DatacardService\HWDeviceService.exe" -/service [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Launch.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk C:\Program Files\LittleFighter2 C:\Program Files\Mobile Partner C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\PLAY ONLINE C:\Program Files\Common Files\AV\avast! Antivirus C:\ProgramData\AVAST Software C:\ProgramData\DataCardService C:\ProgramData\Origin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\3G HSUPA Modem C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Andy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hero Fighter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Little Fighter 2 version 2.0a C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\Users\Guest\Desktop\3G HSUPA Modem.lnk C:\Users\Guest\Desktop\Hero Fighter Room server v0.65.lnk C:\Users\Guest\Desktop\Hero Fighter v0.65.lnk C:\Users\Guest\Desktop\Little Fighter 2.lnk C:\Users\Mama\AppData\Local\Chromium C:\Users\Mama\AppData\Local\Microsoft\Windows\GameExplorer\{505FEEB0-80AB-4BFF-A363-DFC0348D6047} C:\Users\Mama\AppData\Roaming\Andy C:\Users\Mama\AppData\Roaming\Soft-4-Free.com C:\Users\Mama\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Andy C:\Users\Mama\Desktop\moje gry\Hero Fighter v0.65.lnk C:\Users\Mama\Desktop\moje gry\Landwirtschafts Simulator 2011 .lnk C:\Users\Mama\Desktop\moje gry\Little Fighter 2.lnk C:\Users\Mama\Desktop\moje gry\The Sims™ 2.lnk C:\Users\Mama\Desktop\moje gry\The Sims™ 3.lnk C:\Users\Mama\Desktop\Zdjęcia\PLAY ONLINE.lnk C:\Users\Mama\Desktop\Programy\Adobe Reader 9.lnk C:\Users\Mama\Desktop\Programy\Adobe Reader X.lnk C:\Users\Mama\Desktop\Programy\Euro Truck Simulator 2.lnk C:\Users\Mama\Desktop\Programy\McAfee Security Scan Plus.lnk C:\Users\Mama\Desktop\Programy\Mobile Partner.lnk C:\Users\Mama\Desktop\Programy\Origin.lnk C:\Users\Mama\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\Mama\Downloads\*crack* C:\Users\Mama\Downloads\*keygen* C:\Windows\pss\Launch.lnk.CommonStartup C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\system32\Drivers\sdfhgdf.sys CMD: netsh advfirewall reset CMD: netsh winsock reset Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Mama\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie zaznacz pole Addition i Shortcut. Dołącz też plik fixlog.txt.

Już zostało zdowodowane, że był to błąd definicji ESET. W raportach brak oznak infekcji. PS. Kosmetyka - możesz usunąć drobne puste wpisy i wyczyścić lokalizacje tymczasowe. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {1FDDA9D0-6FF4-489A-B672-DDA1B5F2C8F1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {312CD32C-13A5-4AB9-A611-A4984D9BE3DC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {61937D6D-2F3E-4E31-BE88-E016517E986A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {899BEBC9-2C02-480A-9726-300EF3958645} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {8A4CE013-6AFF-4DF5-9271-202E1CB7660A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {8FC9321F-ABBE-46D6-89B4-05D9A02EEBBC} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {94B12253-1110-45CA-A48E-9B174404214F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {97B21F06-990B-4B35-A2CB-665514286023} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {AD1708FA-D573-4606-AB63-64CBC5053F36} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {CB6DD680-9BB9-4BE0-905D-AAE92B73CDE1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {EAB06EDD-BCB0-4CF9-9B3C-3F8C800813ED} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku CustomCLSID: HKU\S-1-5-21-3220740827-1712365352-70908780-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\1\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Są tu różne instalacje adware. Operacje do wykonania: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Picexa, WindowsMangerProtect20.0.0.502, WinZip. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 gprotect; C:\ProgramData\Google\update\GoogleUpdate.exe [315008 2016-01-28] () R2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [119808 2015-12-25] (XTab system) [brak podpisu cyfrowego] R2 IhPul; C:\Users\natala\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [172192 2015-12-24] (TODO: ) R2 WdMan; C:\ProgramData\DWdMD\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [682240 2016-02-16] (Winzipper Pvt Ltd.) R2 WMModules; C:\ProgramData\Google\update\GoogleUpdate.exe [315008 2016-01-28] () S2 WSModules; C:\Program Files (x86)\crxbro Browser\crxbro\bin\browserServer.exe [505984 2016-01-28] () S2 McAfee SiteAdvisor Service; c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" Task: {2260D9F3-2841-4ECC-8CDF-0084FB57AA7F} - System32\Tasks\{922D1965-B67A-46B7-AD13-23F77DBFAE57} => pcalua.exe -a C:\Users\natala\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt Task: {2DF536FE-140D-42EB-965A-472175A04B85} - System32\Tasks\ASUS InstantOn Config => C:\Program Files\ASUS\P4G\InsOnCfg.exe Task: {863D8029-E670-41EA-964F-E77BB02E2A41} - System32\Tasks\crxbroBrowserUpdateUA => C:\Program Files (x86)\crxbro Browser\crxbro\bin\browserServer.exe [2016-01-28] () Task: {86E24755-4028-4E58-B3D0-C3F4EBD3F97F} - System32\Tasks\crxbroBrowserUpdateCore => C:\Program Files (x86)\crxbro Browser\crxbro\bin\browserServer.exe [2016-01-28] () Task: {A0D4CF18-F775-415B-AEC7-7EF49B40A055} - System32\Tasks\crxbroCheckTask => C:\Program Files (x86)\crxbro Browser\crxbro\bin\browserServer.exe [2016-01-28] () Task: {CD70D6E4-875D-47A4-8E70-AF88F7C1A5F5} - System32\Tasks\{18E86190-39DA-4B95-A7F3-9D853326EC20} => pcalua.exe -a "C:\Program Files (x86)\Picexa\uninstall.exe" AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => Brak pliku AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku Tcpip\..\Interfaces\{DAA80020-DE4B-4935-A099-7B5B246B3CBA}: [DhcpNameServer] 40.52.1.201 40.52.1.203 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-homes.com/?type=hp&ts=1418377699&from=wpm12123&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-homes.com/?type=hp&ts=1418377699&from=wpm12123&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1404286782&from=smt&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1404286782&from=smt&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1418377699&from=wpm12123&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1418377699&from=wpm12123&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1404286782&from=smt&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1404286782&from=smt&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5&q={searchTerms} HKU\S-1-5-21-2750964564-3421185021-1369942512-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1418377699&from=wpm12123&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5&q={searchTerms} HKU\S-1-5-21-2750964564-3421185021-1369942512-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-homes.com/?type=hp&ts=1418377699&from=wpm12123&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5 HKU\S-1-5-21-2750964564-3421185021-1369942512-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1418377699&from=wpm12123&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5 HKU\S-1-5-21-2750964564-3421185021-1369942512-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1418377699&from=wpm12123&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5&q={searchTerms} SearchScopes: HKU\S-1-5-21-2750964564-3421185021-1369942512-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1449097218&z=c9e5b8c9118f6df99065842g2zdz8t8e9t0m9o4o1w&from=ient07021&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5&q={searchTerms} SearchScopes: HKU\S-1-5-21-2750964564-3421185021-1369942512-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2750964564-3421185021-1369942512-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2750964564-3421185021-1369942512-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1449097218&z=c9e5b8c9118f6df99065842g2zdz8t8e9t0m9o4o1w&from=ient07021&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5&q={searchTerms} SearchScopes: HKU\S-1-5-21-2750964564-3421185021-1369942512-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} ShortcutWithArgument: C:\Users\natala\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449097218&z=c9e5b8c9118f6df99065842g2zdz8t8e9t0m9o4o1w&from=ient07021&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5 ShortcutWithArgument: C:\Users\natala\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449097218&z=c9e5b8c9118f6df99065842g2zdz8t8e9t0m9o4o1w&from=ient07021&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5 ShortcutWithArgument: C:\Users\natala\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.omniboxes.com/?type=sc&ts=1449097218&z=c9e5b8c9118f6df99065842g2zdz8t8e9t0m9o4o1w&from=ient07021&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\SSFK.exe C:\Program Files (x86)\crxbro Browser C:\Program Files (x86)\Google C:\Program Files (x86)\MiuiTab C:\Program Files (x86)\SFK C:\Program Files (x86)\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\DWdMD C:\ProgramData\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programy\Ekierowca C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\natala\AppData\Local\Google C:\Users\natala\AppData\Roaming\TSv C:\Users\natala\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\natala\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\natala\Desktop\Kontynuuj instalację Apache OpenOffice.lnk C:\Users\natala\Desktop\Nie wiem co to jest\BitComet.lnk C:\Users\natala\Desktop\Nie wiem co to jest\Origin.lnk C:\Users\Public\Desktop\Google Chrome.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Przetestowałam instalację MPC Cleaner. Jego aktywnych sterowników i filtrów nie da się żadnym sposobem usunąć spod Windows przy udziale FRST, mają silne mechanizmy ochronne, a FRST nie posiada własnego sterownika, więc nie jest w stanie pracować na równorzędnym poziomie. Sterowniki da się usunąć tylko w środowisku zewnętrznym WinRE, a filtrów z tego nie poziomu nie trzeba wypinać. Czyli: 1. Przygotuj w Notatniku fixlist.txt o następującej zawartości: R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-02-06] (DotC United Inc) C:\Windows\System32\drivers\MPCKpt.sys Plik fixlist.txt oraz FRST64.exe umieść na pendrive. 2. Uruchom FRST spod WinRE: KLIK. Klik w Fix (Napraw). Na pendrive powstanie fixlog.txt. Przedstaw ten plik.

Działania wstępne do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 QQPCRTP; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QQPCRTP.exe [301728 2016-02-15] (Tencent) R2 wucotusy; C:\Program Files\Win32_ComputerSystemProduct-1455547447---\hnsj5D.tmp [416256 2016-02-15] () [brak podpisu cyfrowego] R2 zutuzuni; C:\Program Files\Win32_ComputerSystemProduct-1455547447---\jnsc5B.tmp [307712 2016-02-15] () [brak podpisu cyfrowego] R2 jegibitozbt; C:\Program Files\Win32_ComputerSystemProduct-1455547447---\knsg4C.tmpfs [X] R1 QMIEProtect; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMIEProtect.sys [50488 2016-01-12] () R1 QMUdisk; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMUdisk.sys [78776 2016-02-15] (Tencent) R1 QQPCHelper; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QQPCHelper.sys [25400 2016-02-15] (Tencent) R2 QQSysMon; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QQSysMon.sys [108984 2016-02-15] (电脑管家) R1 softaal; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\softaal.sys [36280 2016-02-15] (Tencent) S3 TAOAccelerator; C:\WINDOWS\system32\Drivers\TAOAccelerator.sys [114616 2016-02-15] (Tencent) R1 TAOKernelDriver; C:\WINDOWS\system32\Drivers\TAOKernelXP.sys [95032 2016-02-15] (Tencent Technology(Shenzhen) Company Limited) R1 TFsFlt; C:\WINDOWS\System32\Drivers\TFsFlt.sys [150072 2016-02-15] (电脑管家) S3 TS888; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\TS888.sys [30392 2016-02-15] (Tencent) R1 TSDefenseBt; C:\WINDOWS\System32\DRIVERS\TSDefenseBt.sys [14008 2016-02-15] (Tencent) R0 TsFltMgr; C:\WINDOWS\System32\drivers\TsFltMgr.sys [128280 2016-01-14] (电脑管家) R1 TSKSP; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\TSKsp.sys [210072 2016-02-15] (电脑管家) HKLM\...\Run: [ QQPCTray] => C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QQPCTRAY.EXE [355296 2016-02-15] (Tencent) ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMGCShellExt.dll [2016-02-15] (Tencent) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=90340616_hao_pg HKU\S-1-5-21-220523388-1078081533-1417001333-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=90340616_hao_pg AV: 电脑管家系统防护 (Enabled - Up to date) {9AAC524A-BF34-49b0-91D2-71838CBB8110} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List C:\Documents and Settings\All Users\TXQMPC C:\Documents and Settings\All Users\Dane aplikacji\Tencent C:\Documents and Settings\All Users\Menu Start\强力卸载电脑上的软件 .lnk C:\Documents and Settings\All Users\Pulpit\Download ESET NOD32 Ant...lnk C:\Documents and Settings\Optimus\Dane aplikacji\GiftBag.db C:\Documents and Settings\Optimus\Dane aplikacji\Tencent C:\Documents and Settings\Optimus\Moje dokumenty\Pobrane\ESET NOD32 Antivirus 9 Crack_ Serial Number Latest Download.exe C:\Documents and Settings\Optimus\Ustawienia lokalne\Dane aplikacji\setup.txt C:\Program Files\Tencent C:\Program Files\Win32_ComputerSystemProduct-1455547447--- C:\Program Files\Common Files\Tencent C:\WINDOWS\system32\TempWmicBatchFile.bat C:\WINDOWS\system32\TSSK.sys C:\WINDOWS\system32\Drivers\TAOAccelerator.sys C:\WINDOWS\system32\Drivers\TAOKernelXP.sys C:\WINDOWS\system32\Drivers\TFsFlt.sys C:\WINDOWS\system32\Drivers\TS888.sys C:\WINDOWS\system32\Drivers\TSDefenseBt.sys C:\WINDOWS\system32\Drivers\TsFltMgr.sys C:\WINDOWS\system32\Drivers\etc\hp.bak Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Problemem są zmodyfikowane skróty LNK. Do wykonania następująca akcja: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Pr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epc&s=G27zliubl0fg1,ccee1bce-4a4b-4683-a9e0-b706e7060e95, ShortcutWithArgument: C:\Users\Pr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epc&s=G27zliubl0fg1,ccee1bce-4a4b-4683-a9e0-b706e7060e95, ShortcutWithArgument: C:\Users\Pr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epc&s=G27zliubl0fg1,ccee1bce-4a4b-4683-a9e0-b706e7060e95, ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epc&s=G27zliubl0fg1,ccee1bce-4a4b-4683-a9e0-b706e7060e95, ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epc&s=G27zliubl0fg1,ccee1bce-4a4b-4683-a9e0-b706e7060e95, S3 sdfhgdf; system32\DRIVERS\sdfhgdf.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\SpringFiles C:\Users\Pr\AppData\Roaming\Common C:\Windows\system32\${LOGFILE} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj DarkEra, McAfee Security Scan Plus, Native Info, SnapDo. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Airtostrong\Icetouch.dll => C:\ProgramData\Airtostrong\Icetouch.dll [805376 2016-02-14] () AppInit_DLLs-x32: C:\ProgramData\Airtostrong\Damdamstrong.dll => C:\ProgramData\Airtostrong\Damdamstrong.dll [257536 2016-02-14] () R2 Airtostrong; C:\ProgramData\\Airtostrong\\Airtostrong.exe [527360 2016-02-14] () [File not signed] S2 pyodqctneweowyooa; C:\Users\eafae\AppData\Local\itcom.exe [28160 2016-01-11] () [File not signed] S2 Service Mgr NativeInfo; "C:\ProgramData\074d595f-0c31-4ea0-91ea-d03ba1a766fb\plugincontainer.exe" [X] S2 Update Mgr NativeInfo; "C:\Program Files (x86)\Common Files\074d595f-0c31-4ea0-91ea-d03ba1a766fb\updater.exe" [X] S3 NPF; system32\drivers\NPF.sys [X] Task: {2B732FB9-1F74-4BFA-BE2E-3D9E35E1D1B0} - System32\Tasks\SPBIW_UpdateTask_Time_313738353133383530322d454a2a415034412a4a6c575a => C:\Windows\system32\wscript.exe [2013-08-22] (Microsoft Corporation) Task: {497AFD50-BC92-4842-8AC4-EB2C5D731D06} - System32\Tasks\Inst_Rep => C:\Users\eafae\AppData\Local\Installer\Install_14590\ytdieamodc_amodc_inst.exe [2016-01-11] () Task: {7A8B37D0-51B1-40C1-950F-28CC762AE3AC} - System32\Tasks\ndb3jyhj => C:\Program Files\Common Files\k3rc4xhk\ccd44y0jcijrf.exe [2016-02-14] () Task: {95E5BF7F-AFB6-4DDF-8421-1224113D1E48} - System32\Tasks\Installer_iwebar => C:\Users\eafae\AppData\Local\Installer\Installiwebar_18987\ytdieamodc_amodc_inst.exe [2016-01-11] () Task: {9A10756C-275D-4C25-83E7-A5645D4A7301} - System32\Tasks\f5qry3k3 => C:\Program Files\Common Files\ixsv3c2d\6fd91gmalpl2x.exe [2016-01-11] () Task: {A652EB74-B2CE-415F-98F4-3912D3DCA5FA} - \AutoPico Daily Restart -> No File Task: {ACE2164B-D103-4E55-AA60-2CAB6A13EE65} - System32\Tasks\rurtn313 => C:\Program Files\Common Files\3vmusi4v\63035qoqjoaa3.exe [2016-01-11] () Task: {BBAA705C-28AF-48AE-9FB1-78321271C3A2} - System32\Tasks\pbu12blk => C:\Program Files\Common Files\3jfzxv2k\fb9b3jkbeviro.exe [2016-01-11] () Task: {E69403FA-3ED1-475B-9CBD-222510D98362} - System32\Tasks\turodhct => C:\Windows\system32\config\systemprofile\AppData\Local\Ozerex [2016-01-11] () HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction HKU\S-1-5-21-4040340981-3488949422-2698820681-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdA6x4-YNMBuKnGEAxJ5OMXABfmoDlN5kEqlKjBbgKXXu9vSLjyLsInNx0uZUCmcnGPvQ7f7AQCXI_s1uU8B_yETmJFTRKNed6w8jXHtNkssAJ3tCqzp3DiIgNfyAFL1FwrGNatFZjNn0ukYB_-hbeqi-mF_d0k,&q={searchTerms} HKU\S-1-5-21-4040340981-3488949422-2698820681-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdA6x4-YNMBuKnGEAxJ5OMXABfmoDlN5kEqlKjBbgKXXu9vSLjyLsInNx0uZUCmcnG-uDl7JI5MZ6v6csCTS1zMfk3w-WMYPMi3JZF5hs48u0qa-59mAJ2ZdQCVq9aivBjpV4STqYr4a-hmJBwHaZb3-bDUgRZ8, HKU\S-1-5-21-4040340981-3488949422-2698820681-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdA6x4-YNMBuKnGEAxJ5OMXABfmoDlN5kEqlKjBbgKXXu9vSLjyLsInNx0uZUCmcnGPvQ7f7AQCXI_s1uU8B_yETmJFTRKNed6w8jXHtNkssAJ3tCqzp3DiIgNfyAFL1FwrGNatFZjNn0ukYB_-hbeqi-mF_d0k,&q={searchTerms} HKU\S-1-5-21-4040340981-3488949422-2698820681-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdA6x4-YNMBuKnGEAxJ5OMXABfmoDlN5kEqlKjBbgKXXu9vSLjyLsInNx0uZUCmcnGPvQ7f7AQCXI_s1uU8B_yETmJFTRKNed6w8jXHtNkssAJ3tCqzp3DiIgNfyAFL1FwrGNatFZjNn0ukYB_-hbeqi-mF_d0k,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdA6x4-YNMBuKnGEAxJ5OMXABfmoDlN5kEqlKjBbgKXXu9vSLjyLsInNx0uZUCmcnGPvQ7f7AQCXI_s1uU8B_yETmJFTRKNed6w8jXHtNkssAJ3tCqzp3DiIgNfyAFL1FwrGNatFZjNn0ukYB_-hbeqi-mF_d0k,&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdA6x4-YNMBuKnGEAxJ5OMXABfmoDlN5kEqlKjBbgKXXu9vSLjyLsInNx0uZUCmcnGPvQ7f7AQCXI_s1uU8B_yETmJFTRKNed6w8jXHtNkssAJ3tCqzp3DiIgNfyAFL1FwrGNatFZjNn0ukYB_-hbeqi-mF_d0k,&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdA6x4-YNMBuKnGEAxJ5OMXABfmoDlN5kEqlKjBbgKXXu9vSLjyLsInNx0uZUCmcnGPvQ7f7AQCXI_s1uU8B_yETmJFTRKNed6w8jXHtNkssAJ3tCqzp3DiIgNfyAFL1FwrGNatFZjNn0ukYB_-hbeqi-mF_d0k,&q={searchTerms} BHO-x32: Native Info -> {20ffc3e2-8613-4800-a80c-73ae470177af} -> C:\Program Files (x86)\Native Info\Extensions\20ffc3e2-8613-4800-a80c-73ae470177af.dll [2016-02-01] () ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\eafae\Desktop\plp\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\eafae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\eafae\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\eafae\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\eafae\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\Native Info C:\Program Files\Common Files\11kw1zdf.exe C:\Program Files\Common Files\k3rc4xhk C:\ProgramData\Airtostrong C:\ProgramData\Airtostrongs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Activision C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArcaniA - Gothic 4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty + United Offensive C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fraps C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\AutoPico.lnk C:\Users\eafae\AppData\Local\*.* C:\Users\eafae\AppData\Local\Installer C:\Users\eafae\Desktop\plp\Call of Duty - Black Ops.lnk C:\Users\eafae\Desktop\plp\DarkEra.lnk C:\Users\eafae\Desktop\plp\Fallout3.exe — skrót.lnk C:\Users\eafae\Desktop\plp\farcry3.exe -language polish.lnk C:\Users\eafae\Desktop\plp\Fraps.lnk C:\Users\eafae\Desktop\plp\Gothic III.lnk C:\Users\eafae\Desktop\plp\Start ArcaniA - Gothic 4.lnk C:\Users\eafae\Downloads\Fallout42015CODEXPolskaWersjaJzykowaSpolszczenie__7934_il87675.exe C:\Windows\system32\config\systemprofile\AppData\Local\Ozerex C:\Windows\SysWOW64\findit.xml Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Google Chrome do reinstalacji wg następujących kroków: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Na temat używania ComboFix: KLIK. Zabrakło trzeciego obowiązkowego raportu FRST Shortcut. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 AppMgr2.12.4036661; C:\ProgramData\AppMgr2.12.4036661\AppMgr.exe [488648 2016-02-17] () R2 ihpmServer; C:\Program Files (x86)\RayDld\ihpmServer.exe [264944 2016-02-03] (RayDl) R2 Update Checked List; C:\Program Files (x86)\Checked List\updateCheckedList.exe [654024 2016-02-17] () R2 Util Checked List; C:\Program Files (x86)\Checked List\bin\utilCheckedList.exe [654024 2016-02-17] () S2 sixuhuvezbt; C:\Program Files (x86)\00000000-1455653730-0000-0000-6C626DA16EEA\knsn2F45.tmpfs [X] R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [61336 2016-02-16] (Cherimoya Ltd) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-17] () R1 {2a6b0fdc-8815-4aa5-a061-069d6db3f642}Gw64; C:\Windows\System32\drivers\{2a6b0fdc-8815-4aa5-a061-069d6db3f642}Gw64.sys [48744 2016-02-16] (StdLib) U3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] HKLM\...\Run: [spaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe" HKLM\...\Run: [sound+] => "C:\Program Files\Sound+\Sound+.exe" Task: {5CC76D59-ACCE-4379-9A6E-8440D56F8E7B} - System32\Tasks\{BC7012CF-6157-4F46-9625-20A8B9C3DA93} => pcalua.exe -a "C:\Program Files (x86)\MPC Cleaner\Uninstall.exe" Task: {5DBF33E4-1CE2-4EDD-97F7-7A4871FED811} - System32\Tasks\{B559669A-EEF8-4BE0-8C98-493777119CF1} => pcalua.exe -a "C:\Users\Dom\Desktop\DAEMON Tools PL 4.30.1.exe" -d C:\Users\Dom\Desktop Task: {83D8D79D-61C0-437A-AAD8-76077C59CFD4} - System32\Tasks\{D1EDBC15-80A1-497C-AD74-46E1238BEBA7} => pcalua.exe -a "C:\Program Files (x86)\Jufsoft\BadCopy\UNWISE.EXE" -c C:\Program Files (x86)\Jufsoft\BadCopy\INSTALL.LOG Task: {B01A21B0-4CF8-4F31-8734-89E6BBC767B6} - System32\Tasks\{AFB9E940-57C9-49CD-A4CC-E4B1CE1AA71F} => pcalua.exe -a "F:\programy instalki\DAEMON Tools PL 4.30.1.exe" -d "F:\programy instalki" Task: {BB6DD6A5-AC98-4973-BF69-9EAF029FE0A1} - System32\Tasks\Fhuvac => C:\Program Task: {DF8539C5-9D36-4467-B149-59D4AB8BCCA8} - System32\Tasks\Ryltocma => C:\Program Tcpip\..\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] 104.197.191.4 GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3181640617-934616419-3571302022-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3181640617-934616419-3571302022-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO-x32: Checked List 1.0.0.7 -> {7ff0f7e7-8b1e-4e90-8bd5-f60cfdd71ecc} -> C:\Program Files (x86)\Checked List\CheckedListbho.dll => Brak pliku FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Dom\AppData\Roaming\Mozilla\Firefox\Profiles\kljyyo89.default\extensions\deskCutv2@gmail.com CHR HKU\S-1-5-21-3181640617-934616419-3571302022-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Program Files (x86)\Checked List C:\Program Files (x86)\RayDld C:\ProgramData\AppMgr2.12.4036661 C:\uninst C:\Users\Dom\AppData\Local\00000000-1455657398-0000-0000-6C626DA16EEA C:\Users\Dom\AppData\Local\Gameo C:\Users\Dom\AppData\Local\gmsd_pl_005010240 C:\Users\Dom\AppData\Local\Opera Software C:\Users\Dom\AppData\Local\Tempfolder C:\Users\Dom\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\Dom\AppData\LocalLow\Company C:\Users\Dom\AppData\Roaming\CecbeWew C:\Users\Dom\AppData\Roaming\CiiiYhu C:\Users\Dom\AppData\Roaming\gplyra C:\Users\Dom\AppData\Roaming\GoldenGate C:\Users\Dom\AppData\Roaming\Opera Software C:\Users\Dom\AppData\Roaming\PriceFountain C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Dom\Downloads\crack.zip C:\Users\Dom\Downloads\Firmware_Installer [1].exe C:\Users\Dom\Downloads\Setup.exe.search-ms C:\Windows\System32\drivers\{2a6b0fdc-8815-4aa5-a061-069d6db3f642}Gw64.sys C:\Windows\System32\drivers\cherimoya.sys C:\Windows\System32\drivers\EsgScanner.sys C:\Windows\system32\drivers\etc\hp.bak C:\Windows\system32\ema C:\Windows\system32\rac C:\Windows\system32\zuw C:\Windows\SysWOW64\Number of results CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {3FD53F44-D140-4A79-ADD6-A8B574D365D1} - System32\Tasks\{76973A3E-BEDE-44E5-A3CE-082667CADDA9} => Chrome.exe hxxp://ui.skype.com/ui/0/7.6.80.105/pl/abandoninstall?page=tsProgressBar Task: {9ABC8AD3-C0F9-45D5-9D55-9F7216EDEC0F} - System32\Tasks\Norton Anti-Theft\Norton Error Processor => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: {9FC2E443-60D7-4315-A9FE-487EBEA757B4} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe Task: {A581CBD1-FBBA-4AC7-A24E-6E8280EB1144} - System32\Tasks\AutoKMS => C:\windows\AutoKMS.exe Task: {DA154D84-5385-4EC7-8940-F3F8BD02D262} - System32\Tasks\AutoKMSDaily => C:\windows\AutoKMS.exe Task: {DA4A51E9-8294-4E44-8A14-1759F070375A} - System32\Tasks\ElajzaSeptumAssimilativeV2 => Rundll32.exe CarpelPreassemble.dll,main 7 1 Task: {DA72CDDF-3786-4834-BCC4-F5C15459520C} - System32\Tasks\Norton Anti-Theft\Norton Error Analyzer => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: {E48D9836-09AF-4197-97AB-A8D44094832C} - System32\Tasks\{2A51DD56-4D9E-4F9E-BB79-C3267BBA6909} => pcalua.exe -a C:\Users\Elajza\Downloads\mpnwin303ea22.exe -d C:\Users\Elajza\Downloads Task: {ED4744C3-363E-444D-BD48-7E7ECF249CAE} - System32\Tasks\{84B18614-57C0-48F7-821C-8DFFDC3BAAF2} => pcalua.exe -a C:\Users\Elajza\Downloads\M6A0Cmux.exe -d C:\Users\Elajza\Downloads Task: C:\WINDOWS\Tasks\AutoKMS.job => C:\windows\AutoKMS.exe Task: C:\WINDOWS\Tasks\AutoKMSDaily.job => C:\windows\AutoKMS.exe ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku CustomCLSID: HKU\S-1-5-21-1115837104-4238194641-737760799-1001_Classes\CLSID\{A5AE8924-4036-420F-B7F6-A47E4B8F692E}\InprocServer32 -> C:\Users\Elajza\AppData\LocalLow\Free_Lunch_Design_TB\prxtbFree.dll => Brak pliku URLSearchHook: HKLM-x32 - Free Lunch Design TB Toolbar - {a5ae8924-4036-420f-b7f6-a47e4b8f692e} - C:\Users\Elajza\AppData\LocalLow\Free_Lunch_Design_TB\prxtbFree.dll Brak pliku URLSearchHook: HKU\S-1-5-21-1115837104-4238194641-737760799-1001 - Free Lunch Design TB Toolbar - {a5ae8924-4036-420f-b7f6-a47e4b8f692e} - C:\Users\Elajza\AppData\LocalLow\Free_Lunch_Design_TB\prxtbFree.dll Brak pliku SearchScopes: HKLM-x32 -> DefaultScope {17E1DCF2-E248-412C-BB98-7FA664B2705B} URL = SearchScopes: HKU\S-1-5-21-1115837104-4238194641-737760799-1001 -> {72E1588E-551C-4259-8C8B-F38193E31DD5} URL = DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Anti-Theft DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Lunch Design C:\Users\Elajza\AppData\Local\SeptumAssimilative C:\Users\Elajza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aliexpress .lnk C:\Windows\System32\Tasks\Norton Anti-Theft EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

Posługiwałeś się wątpliwymi skanerami: SpyHunter, SpywareTerminator, YAC (Yet Another Cleaner). Problemem są polityki Google Chrome. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=sy&ts=1434321357&z=8bf915c7c3cc685d86e71c5g2z9cfz1c6o4g8caq8o&from=cvs&uid=SanDiskXSDSSDHP128G_142046401409 CHR HKLM\...\Chrome\Extension: [ljnfelhdldlokjkohcmjpogkdjgbgjpj] - C:\Users\Ewa\AppData\Local\Google\Chrome\User Data\Default\Extensions\ljnfelhdldlokjkohcmjpogkdjgbgjpj.crx [2015-09-28] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-1854063861-834038236-3450837710-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Brak nazwy -> {82A76710-4F98-4957-92BE-99648A4E2475} -> Brak pliku BHO-x32: Brak nazwy -> {82A76710-4F98-4957-92BE-99648A4E2475} -> Brak pliku FF DefaultSearchEngine: Bing® FF SelectedSearchEngine: Bing® FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2015-11-18] (Microsoft Corporation) Task: {06476EE8-1B68-4447-AA4D-F6D721FDDFF9} - System32\Tasks\{628AD8CD-9794-4136-A3EF-7C9983611D66} => pcalua.exe -a "C:\Program Files (x86)\PC Faster\5.1.0.0\Uninstall.exe" Task: {691FA264-7A06-482A-A18C-5A3AB7F775E7} - System32\Tasks\GridinSoft Anti-Malware => C:\Program Files\GridinSoft Anti-Malware\gsam.exe Task: {E590BAF4-2D03-4C22-AAFE-5536400776E1} - System32\Tasks\{1B660FD8-75CA-4387-B80E-68400371021F} => pcalua.exe -a C:\Users\Ewa\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=cvs HKU\S-1-5-21-1854063861-834038236-3450837710-1001\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-27] (Safer-Networking Ltd.) ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => Brak pliku BootExecute: autocheck autochk * sdnclean64.exe S3 cpuz138; \??\C:\Users\Ewa\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] IE trusted site: HKU\S-1-5-21-1854063861-834038236-3450837710-1001\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-1854063861-834038236-3450837710-1001\...\webcompanion.com -> hxxp://webcompanion.com DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files (x86)\Elex-tech C:\Program Files\Common Files\AV\Spybot - Search and Destroy C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoFiltre 7 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Lasso\Dokumentacja\Dokumentacja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware Terminator 2015 C:\Users\Ewa\AppData\Roaming\Enigma Software Group C:\Users\Ewa\Downloads\sh-remover.exe C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Skoro laptop był wpisany do innej sieci pod kontrolą TP-Link (stare wersje tej marki są dziurawe jak rzeszoto), to wyjaśnia skąd problemy u Ciebie. Szwagier ma zainfekowany router i rzecz jasna musi się tym zająć (skieruj go tu na forum). Skoro po powrocie od szwagra objawy nadal występują, pomimo że już nie łączysz się przez zainfekowany router, problemem może być bufor DNS i/lub cache przeglądarki. Poniżej podaję skrypt zawierający komendy czyszczenia tych sfer. Dodatkowa uwaga, próbując rozwiązać problemy pobierałeś wątpliwy program WinThruster - to niepożądany program, m.in. usuwany przez AdwCleaner. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 hitmanpro37; C:\Windows\system32\drivers\hitmanpro37.sys [49584 2016-02-21] () RemoveDirectory: C:\Program Files\SUPERAntiSpyware RemoveDirectory: C:\Program Files (x86)\WinThruster RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\Users\Zigi\AppData\Roaming\Solvusoft RemoveDirectory: C:\Users\Zigi\Downloads\WinThruster 1.79.69.2469 ( PL )( Zarejestrowany ) CMD: del /q C:\TDSSKiller.2.7.46.0_20.02.2016_22.37.29_log.txt CMD: del /q "C:\Users\Zigi\Downloads\WinThruster 1.79.69.2469 ( PL )( Zarejestrowany ).rar" CMD: del /q C:\Users\Zigi\Downloads\pwkygvv2.exe CMD: del /q C:\Windows\system32\.crusader CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go oraz wypowiedz się czy ustąpiły przekierowania wonderlandads.

W raporcie nie widać tej modyfikacji, ale prawdopodobnie jest zmodyfikowany globalny plik zasobów Google resources.pak. Ta modyfikacja jest niewykrywalna żadną automatyczną metodą. Poproszę o materiał do ręcznej analizy: Skopiuj na Pulpit poniższy folder, spakuj do ZIP, shostuj gdziewś i podeślij link na PW. C:\Program Files\Google\Chrome

Nie za bardzo rozumiem tę treść... Twoje Google Chrome zostało zmodyfikowane na poziomie plików DLL w katalogu C:\Program Files (x86)\Google\Chrome, adware spatchowało pliki podmieniając w nich adresy Chrome Web Store na adresy malware, by odblokować możliwość instalacji innych brzydkich obiektów. Skutkiem ubocznym tego jest, że inne zainstalowane poprawne rozszerzenia są modyfikowane (podmiana ich adresów aktualizacji z Chrome Web Store na serwery adware). To także powoduje, że te rozszerzenia w ogóle nie będą się poprawnie aktualizować. To nie są poprawne rozszerzenia Google lecz już zmodyfikowane przez adware: CHR Extension: (Dokumenty Google) - C:\Users\pomyk_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2016-01-15] [updateUrl: hxxps://mynamedomain.koko//0service/update2/crx] CHR Extension: (Dysk Google) - C:\Users\pomyk_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-01-18] [updateUrl: hxxps://mynamedomain.koko//0service/update2/crx] CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\pomyk_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-01-18] [updateUrl: hxxps://mynamedomain.koko//0service/update2/crx] Cała przeglądarka Google Chrome musi być przeinstalowana od zera, by zlikwidować tę modyfikację bibliotek oraz skutki uboczne w rozszerzeniach. A by lewe rozszerzenia nie zostały ponownie załadowane z serwera Google, przed reinstalacją należy zresetować synchronizację. Tak więc punkt 2 nadal aktualny, a po tym nowy raport FRST.

Problemem jest szkodliwe proxy przekierowujące na ten adres. Akcja: 1. Odinstaluj stare wersje: Adobe Flash Player 10 ActiveX, Google Talk Plugin (już nie działa). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction HKU\S-1-5-21-1159297443-1827356356-1939997709-1001\...\Run: [NB Probe] => [X] S3 ALSysIO; \??\C:\Users\Marcin\AppData\Local\Temp\ALSysIO64.sys [X] S3 X6va062; \??\C:\Windows\SysWOW64\Drivers\X6va062 [X] HKU\S-1-5-21-1159297443-1827356356-1939997709-1001\...\Run: [Google Update] => C:\Users\Marcin\AppData\Local\Google\Update\GoogleUpdate.exe [144200 2015-11-02] (Google Inc.) Task: {54B80A76-F222-4EDC-A336-BCEE073031C7} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1159297443-1827356356-1939997709-1001Core => C:\Users\Marcin\AppData\Local\Google\Update\GoogleUpdate.exe [2015-11-02] (Google Inc.) Task: {943E46C8-D5FB-40F3-A8AC-7043EAB50CEB} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1159297443-1827356356-1939997709-1001UA => C:\Users\Marcin\AppData\Local\Google\Update\GoogleUpdate.exe [2015-11-02] (Google Inc.) Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1159297443-1827356356-1939997709-1001Core.job => C:\Users\Marcin\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1159297443-1827356356-1939997709-1001UA.job => C:\Users\Marcin\AppData\Local\Google\Update\GoogleUpdate.exe CustomCLSID: HKU\S-1-5-21-1159297443-1827356356-1939997709-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Marcin\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll (Google Inc.) CustomCLSID: HKU\S-1-5-21-1159297443-1827356356-1939997709-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Marcin\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1159297443-1827356356-1939997709-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Marcin\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1159297443-1827356356-1939997709-1001_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Marcin\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll (Google Inc.) DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Marcin\AppData\Local\Google RemoveDirectory: C:\Users\Marcin\AppData\Roaming\mozilla C:\Users\Marcin\Downloads\fa30b6563db0f624 CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Adware PriceFountain działa za pomocą Harmonogramu Windows, dlatego tu nie pomoże czyszczenie Firefox, efekt byłby widoczny w obojętnej przeglądarce. A obecna wersja AdwCleaner nie jest w stanie wykryć tej modyfikacji. Operacje do przeprowadzenia: 1. Odinstaluj stare wersje i zbędniki: Adobe AIR, HP Officejet Pro 8100 — badanie mające na celu poprawę produktów, Java 7 Update 67, Java 8 Update 25, Real Alternative 2.0.2. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {83B31448-C12C-44A1-B8C9-B9E52B79D7B9} - System32\Tasks\{0EF353CF-C905-41FC-A4F3-38290B20EB2C} => pcalua.exe -a "C:\Users\Dell Latitude E6540\Downloads\dxwebsetup(1).exe" -d "C:\Users\Dell Latitude E6540\Downloads" Task: {BB8AF43F-768D-48BC-B60F-00B8EB97D468} - System32\Tasks\Dell Latitude E6540FilthiestRubbedV2 => Rundll32.exe UnwilledJabs.dll,main 7 1 HKLM-x32\...\Run: [] => [X] FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\Dell\Dell Data Protection\Security Tools Authentication\Bin\FirefoxExt FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon => nie znaleziono DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Napisy24Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wwnotify DisableService: Internet Manager. RunOuc AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:12919 AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:12958 AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:13059 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Dell Latitude E6540\AppData\Local\FilthiestRubbed RemoveDirectory: C:\Users\Dell Latitude E6540\Desktop\Stare dane programu Firefox C:\Users\Dell Latitude E6540\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Dell Latitude E6540\Documents\Kruklanki\*.lnk C:\Users\Dell Latitude E6540\Documents\pliki_z_pulpitu\Ada (Ada).lnk C:\Users\Dell Latitude E6540\Documents\pliki_z_pulpitu\skany.lnk C:\Users\Dell Latitude E6540\Documents\pliki_z_pulpitu\Skrót do SPRZEDAŻ_WDT_EXP.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\C2NetCalendars.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\naturex kontrakt.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\UltraISO.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\z pulpitu\iTunes.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\z pulpitu\PDFCreator.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\z pulpitu\dok2\BlackBerry Desktop Software.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\z pulpitu\dok2\mkvmerge GUI.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\z pulpitu\dok2\Microsoft Office\*.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\z pulpitu\dok2\Microsoft Office\Narzędzia Microsoft Office\*.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Na koniec: 1. Usuń FRST z "Nowego folderu" na Pulpicie. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Te pliki FRST zostały wyciągnięte z katalogu C:\FRST\Logs - to archiwum, bieżące raporty są tam skąd uruchamiasz FRST. Ale to tylko uwaga na przyszłość. Ten szczątek po deinstalacji RealPlayer zniknął. Nic więcej tu nie widzę do roboty. Na koniec: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do aktualizacji poniższe programy. Linki również w w/w temacie. Internet Explorer Wersja 7 (Domyślna przeglądarka: FF) Adobe Reader XI (11.0.08) - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.08 - Adobe Systems Incorporated) O Javie już mówiłyśmy. Niestety na teraz musi być stara.