picasso

Coldsearch jest zablokowane metodą polityk oprogramowania. Operacje do wdrożenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj starą wersję Adobe AIR + jeśli nie korzystasz, także program Lenovo REACHit. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [iccodbepgnkhafhjajchdjkadbflkijl] - C:\Users\Ewa\AppData\Local\Google\Chrome\User Data\Default\Extensions\iccodbepgnkhafhjajchdjkadbflkijl.crx CHR HKLM-x32\...\Chrome\Extension: [iccodbepgnkhafhjajchdjkadbflkijl] - C:\Users\Ewa\AppData\Local\Google\Chrome\User Data\Default\Extensions\iccodbepgnkhafhjajchdjkadbflkijl.crx HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku Task: {2D635888-E008-4098-AF79-CDDFC32AD613} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {DB27B406-ED80-4161-9BC8-E27F7A588735} - System32\Tasks\0215pitUpdateInfo => C:\ProgramData\Avg_Update_0215pit\0215pit_AVG-Secure-Search-Update.exe [2015-02-17] () HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKU\S-1-5-21-4238393516-3114630877-1348818795-1002\...\Run: [AdobeBridge] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku BootExecute: autocheck autochk * sh4native Sh4Removal S3 HWiNFO32; \??\C:\Users\Ewa\AppData\Local\Temp\HWiNFO64A.SYS [X] S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X] DisableService: PLAY ONLINE. RunOuc RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Ewa\AppData\Local\Opera Software RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Opera Software DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 CMD: netsh advfirewall reset Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Problem tytułowy jest generowany przez szkodliwe zadanie w Harmonoramie zadań. Ale tu nie tylko adware jest. Występuje też usterka Usług kryptograficznych (uszkodzenie bazy catroot lub catroot2), objawiona jako oznaczanie wszystkich usług i sterowników Microsoftu jako "niepodpisanych cyfrowo". Operacje do przeprowadzenia: 1. Pod kątem Usług kryptrograficznych: - Upewnij się, że nie masz zainstalowanej felernej aktualizacji KB3004394. Jeśli w zainstalowanych aktualizacjach ona występuje, odinstaluj. - Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, gdyż to on m.in. zawiera reset bazy catroot2. 2. Odinstaluj: SafeFinder, Splashtop Connect for Firefox, Splashtop Connect IE, Web Companion. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {B77B4E89-9D49-4A59-B737-B853360D1ACE} - System32\Tasks\PanciaBitterestNovember'sV2 => Rundll32.exe BozoFoddering.dll,main 7 1 HKLM-x32\...\Run: [sTCAgent] => "C:\Program Files (x86)\Splashtop\Splashtop Connect IE\STCAgent.exe" HKU\S-1-5-21-3224463139-3833252526-3731008980-1000\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize HKU\S-1-5-21-3224463139-3833252526-3731008980-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3224463139-3833252526-3731008980-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage/ HKU\S-1-5-21-3224463139-3833252526-3731008980-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-3224463139-3833252526-3731008980-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3224463139-3833252526-3731008980-1000 -> {0D2AA1A8-C969-45a1-B285-29E235359AAD} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=4183257091&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} SearchScopes: HKU\S-1-5-21-3224463139-3833252526-3731008980-1000 -> {8BED36EF-D682-4465-AA72-75E7670F5186} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV SearchScopes: HKU\S-1-5-21-3224463139-3833252526-3731008980-1000 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://pl.search.yahoo.com/search?fr=vmn&type=vmn__webcompa__1_0__ya__ch_WCYID10195_swoc_campaign_160217__yaie&p={searchTerms} DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\ProgramData\Lightzap RemoveDirectory: C:\ProgramData\Lightzaps RemoveDirectory: C:\Users\Administrator RemoveDirectory: C:\Users\Pancia\AppData\Local\BitterestNovember's C:\Users\Pancia\AppData\Roaming\*.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Logi FRST skonfigurowane niepoprawnie, nie tak jak jest to opisane w przyklejonym: opcje "Lista BCD", "MD5 sterowników" oraz "Pliki z 90 dni" nie miały być zaznaczone. Operacje do przeprowadzenia: 1. Odinstaluj stare niebezpieczne wersje: Adobe Flash Player 11 Plugin, Java 7 Update 67. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {371D2843-DE44-407E-B6E0-F8B15151B5CD} - System32\Tasks\{68B0CC68-3DFC-47F0-AB2C-683C22080321} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=6.5.0.158&LastError=404 Task: {8DB37737-79D3-4A00-B214-F1DD29326B91} - System32\Tasks\{75FE1FD9-3EC7-4DCA-AB6F-9066A53761F5} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=6.5.0.158&LastError=404 Task: {8F5A157F-2504-47F2-97F3-9506102FBF6F} - System32\Tasks\{F44D2FD4-02E0-4923-8BF6-9F0AED279E06} => Chrome.exe hxxp://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar Task: {955BE13D-C684-494B-94BC-2DEE1C613BBF} - System32\Tasks\{29E7BF39-289E-4352-832F-D01EE1B83C0E} => Chrome.exe hxxp://ui.skype.com/ui/0/6.21.0.104/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {EC54DD23-7227-4D47-AFAF-CDB9A78F36CE} - System32\Tasks\AlicjaSwarmerAntitheticalV2 => Rundll32.exe FilibusterHangnail.dll,main 7 1 S3 massfilter_lte; \??\C:\Windows\system32\drivers\massfilter_lte.sys [X] S3 zgdcat; system32\DRIVERS\zgdcat.sys [X] S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X] S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X] S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X] S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Alicja\AppData\Local\SwarmerAntithetical EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zresetuj cache wtyczek Google Chrome, by usunąć martwe wpisy: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan) skonfigurowany wg wytycznych forum, ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {C92BF439-CC7C-4323-9FD5-11D67E729288} - System32\Tasks\DawidUnratedSmotheredV2 => Rundll32.exe AnalysesLeverages.dll,main 7 1 Task: {AE5A9E18-5578-45BE-8783-E43F6B5AFA2F} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-02-11] (AVAST Software) ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software C:\AVScanner.ini RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\Users\Dawid\AppData\Local\UnratedSmothered RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Logi z przestarzałego OTL nie są tu już brane pod uwagę. Usuwam. W podanych tu raportach nie widać żadnych oznak infekcji. Te przekierowania wonderlandads.com wyglądają na infekcję routera a nie systemu, pomimo że w raporcie FRST widać tylko wewnętrzne adresy pobierane routera. Podaj czy masz dostęp do routera, a jeśli tak to jaki model konkretnie jest.

W Firefox jest adware SmashDasboard. Operacje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Adobe Reader X (10.1.16) MUI, Java 8 Update 45. 2. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0E267AE3-AFC8-4695-8ABC-BDD1EE6C7FF6} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {1FDB69FC-614A-4B85-B863-2377E9F063EA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {243A8442-656A-4DC5-B37A-096BCD83D58E} - System32\Tasks\{6074CBD1-A732-4621-AADB-9A4962EC0C37} => pcalua.exe -a E:\SkinOnSkin.exe -d E:\ Task: {24DA14CD-0425-40B1-8198-738110CFFFDC} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe Task: {4D07948E-C629-4420-A248-A9CC0DDB8A38} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {53D9F1CD-ADEE-40D0-8F88-305374F58730} - System32\Tasks\Settings => C:\Program Files (x86)\Samsung\Settings\sSettings.exe Task: {659ADE0A-4963-4D6B-9F83-6BEFB9AFE088} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {8761D8DD-DB3A-476E-B26F-60D00E766EF4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {96E60D98-46B1-45E1-BE3D-530B96ABD57F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {9BA1E043-4CC2-449F-B4DC-F3F56CCBC9F7} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {A87DC23F-BD45-4B61-9571-C7A6F7328DCE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {DC64F5B9-BFFE-431A-822B-0F2148615948} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA Task: {F65DADB4-3353-460B-A98E-6CC7F58236F3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {FB98F029-25B6-4E09-81EA-8614D36728FE} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-4159141245-907251572-3825534944-1001\...\MountPoints2: {72b76f7b-d223-11e5-bf1b-1867b08a8c40} - "F:\AutoRun.exe" CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA SearchScopes: HKU\S-1-5-21-4159141245-907251572-3825534944-1001 -> DefaultScope {5FFC30EF-5AEF-4531-8B67-B95E1040DDCE} URL = SearchScopes: HKU\S-1-5-21-4159141245-907251572-3825534944-1001 -> {547039B8-31F1-40B3-A079-62680D846C39} URL = hxxp://www.search.ask.com/web?tpid=ORJ-ST-SPE&o=APN11467&pf=V7&p2=^BED^OSJ000^YY^PL&gct=&itbv=12.24.1.53&apn_uid=5A5FDCC3-9BBD-4B6B-A0B3-C8E51884B617&apn_ptnrs=BED&apn_dtid=^OSJ000^YY^PL&apn_dbr=cr_43.0.2357.10&doi=2015-04-12&trgb=CR&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-4159141245-907251572-3825534944-1001 -> {5FFC30EF-5AEF-4531-8B67-B95E1040DDCE} URL = C:\ProgramData\APN C:\ProgramData\Avg C:\ProgramData\MFAData C:\Users\Samsung\AppData\Local\Avg C:\Users\Samsung\AppData\Local\AvgSetupLog Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Reader Speed Launcher" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ApnTBMon /f CMD: netsh advfirewall reset CMD: type C:\ProgramData\MakeMarkerFile.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Ofensywne sterowniki to nie jedyny problem. Masz zainfekowane systemowe pliki dnsapi.dll (mają unikatowe sumy kontrolne). A jeśli chodzi o oporne sterowniki filtrujące dysk, początkowo były dwa: bsdriver oraz MPCKpt. Pierwszy wypięto, ale przy drugim zastosowano błędną składnię (nazwa instancji jest inna). Inne błędy w skrypcie: C:\found.00* = FRST nie umożliwia zbiorowego usuwania folderów. Przy okazji będę usuwać składniki odinstalowanego Firefoxa oraz szczątki po upgradzie do Windows 10 (martwe Media Center, instalator Windows 10 je usuwa niekompletnie). Działania do przeprowadzenia: 1. Uruchom RepairDNS. Na Pulpicie powstanie plik raportu RepairDNS.txt. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: fltmc detach MPCKpt C: "NPminifilter Instance" CMD: fltmc detach MPCKpt D: "NPminifilter Instance" CMD: fltmc detach MPCKpt \Device\Mup "NPminifilter Instance" CMD: fltmc instances CMD: netsh advfirewall reset CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-02-13] (DotC United Inc) U3 idsvc; Brak ImagePath HKLM-x32\...\Run: [blueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe Task: {044C685F-6EE2-4C05-887B-8503D2214936} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {19144C6E-F937-4C98-8C05-684E5C118C2A} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {1F4DA1A4-F22F-48EC-96C6-8988B50B5B77} - System32\Tasks\{6B250226-EABE-423A-B553-4ADEB88B93D5} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Blizzard Entertainment\StarCraft II\Uninstall.exe" Task: {2990FEBC-89A6-4848-BA04-FB44844AA8CA} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {29C53618-C170-4056-8C71-CA30DB716556} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {3425C917-799B-4395-8F67-E7DA95B7F138} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {34C33E55-66A2-4DFA-BDDC-6470C41CA5FE} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {4EBBFFBF-8D9A-4922-9012-E9644486D22F} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {5610C9A0-4124-4CA9-8477-C0FF863FB605} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {57318E7C-5870-466D-995F-D5CC5C1B55F4} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {5FC9B581-C4DC-4651-A8BA-A490613A5575} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {674016F9-0D3D-4994-9E4B-E0BB32DEFF8E} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {7C23D056-3271-4DFE-B2BE-3125307E33EA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {A4A6B07C-67B9-430D-8E10-606F6B252B5A} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {A61212AE-F9FF-438C-BE70-B0C63FB75588} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {AA442E2E-4360-4A35-A809-6EA401665427} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {AC27D541-6914-45F6-B1F7-07427CA75262} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {B254FBF5-8AFF-4AE9-B903-2F9EF66C3412} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {CD753530-E580-486D-B4D8-6821164D8A0A} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {D55837C8-6FA4-4321-9E4F-2EFCCFD995F3} - System32\Tasks\Opera scheduled Autoupdate 1441827031 => C:\Program Files (x86)\Opera\launcher.exe Task: {DAE58985-B39B-4E80-802A-F0B4FB68E4BF} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {E8D6B186-1441-4FA7-9B54-2134E0BB8A8C} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {E8E07C1B-9972-4551-93BC-3FB62E111AA6} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {F69831CA-C7EF-42CF-B613-BF9D7764AA51} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {FE8D10EB-8248-4D5F-BEB4-C841655B4C09} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130874913981609399&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com C:\Program Files\McAfee Security Scan C:\Program Files (x86)\IObit C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\IObit C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Windows\GameExplorer\{00000000-0000-0000-0000-000000000000} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JoWood C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Power Sound Editor Free C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4 C:\Users\Laptop\AppData\Local\{77876B24-835A-4536-B2D5-82F6930347AC} C:\Users\Laptop\AppData\Local\Mozilla C:\Users\Laptop\AppData\Roaming\HJMHKZ C:\Users\Laptop\AppData\Roaming\RMBKJW C:\Users\Laptop\AppData\Roaming\uninstall_temp.ico C:\Users\Laptop\AppData\Roaming\IObit C:\Users\DefaultAppPool\AppData\Roaming\Media Center Programs C:\Users\Laptop\AppData\Roaming\Mozilla C:\Users\Laptop\AppData\Roaming\ProductData C:\Users\Laptop\Desktop\gry\Borderlands GOTY Edition.lnk C:\Users\Laptop\Desktop\gry\Gothic II.lnk C:\Users\Laptop\Desktop\gry\MK LOL.lnk C:\Users\Laptop\Desktop\Wiciu\Advanced SystemCare 8.lnk C:\Users\Laptop\Desktop\Wiciu\Avast Premier.lnk C:\Users\Laptop\Desktop\Wiciu\Avast SafeZone.lnk C:\Users\Laptop\Desktop\Wiciu\Driver Booster 2.lnk C:\Users\Laptop\Desktop\Wiciu\Game Booster 3.lnk C:\Users\Laptop\Desktop\Wiciu\IObit Malware Fighter.lnk C:\Users\Laptop\Downloads\*.crdownload C:\Windows\ehome C:\WINDOWS\System32\Drivers\MPCKpt.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\system32\gus C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center Folder: C:\Users\Public\Documents\dmp DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BingSvc /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "CCleaner Monitoring" /f RemoveProxy: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 3. Wejdź w Tryb awaryjny Windows: Menu Start > Ustawienia > Aktualizacje i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > nastąpi restart > w menu które się pojawi wybierz Rozwiąż problemy > Zaawansowane opcje rozruchu i wybierz Tryb awaryjny. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Opuść Tryb awaryjny. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

System jest zainfekowany. Jest ustawione szkodliwe proxy stop-block.org, które jest przyczyną zgłaszanych komunikatów: AutoConfigURL: [s-1-5-21-51339240-3279045181-1421070313-1000] => hxxp://stop-block.org/wpad.dat?2bc5a776d3abece0393e95cfa4a993c36448220 ManualProxies: 0http://stop-block.org/wpad.dat?2bc5a776d3abece0393e95cfa4a993c36448220 Dodatkowo, są tu zmodyfikowane przez adware skróty Internet Explorer i inne drobne odpadki adware oraz nieprawidłowo odinstalowany Spybot - Search and Destroy. Tego SpyBota to już nie próbuj instalować w przyszłości, to przestarzały i mało dziś skuteczny program - obecnie to on raczej nie wykrywa niż wykrywa... Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1455892284&a=1003478&src=sh&uuid=c6caac1a-85f4-4675-89f2-7ac77a3cfec7" ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1455892284&a=1003478&src=sh&uuid=c6caac1a-85f4-4675-89f2-7ac77a3cfec7" ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1455892284&a=1003478&src=sh&uuid=c6caac1a-85f4-4675-89f2-7ac77a3cfec7" CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1438608766&z=be86496eeb6b95d5845bf38gez2c3b1q7e3b8m3e3c&from=cor&uid=WDCXWD10JPCX-24UE4T0_WD-WX41A54L7153L7153 R2 SDScannerService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe [1738168 2014-06-24] (Safer-Networking Ltd.) R2 SDUpdateService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe [2088408 2014-06-27] (Safer-Networking Ltd.) R2 SDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe [171928 2014-04-25] (Safer-Networking Ltd.) S3 AmUStor; system32\drivers\AmUStor.SYS [X] Task: {5B5A5195-B765-4D36-93BB-43C9296CE953} - System32\Tasks\{584F8B4E-ABE7-4196-B16F-7C50F182BAA5} => pcalua.exe -a D:\Pobrane\pobierz_Aimp_32-64-bit_wersja_stabilna_V3.cpl Task: {6F597132-BA49-4E58-BD28-B9E113378E9F} - System32\Tasks\LuckyBrowse => C:\Program Files (x86)\LuckyBrowse\app\luckybrowse.exe Task: {7F453DA8-7A86-4B05-9ABE-68CCF4532D04} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe Task: {A27A074F-2021-4B60-938C-15C1DFFFC717} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe Task: {CB71C107-8BD9-4506-BB86-308E4F2F0499} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe Task: {D0D218C6-17A2-48FA-9CEF-F3D1B2A42A8A} - System32\Tasks\{52DB4C0F-841B-4EF2-B8E2-CAC33A2FDD69} => Chrome.exe hxxp://ui.skype.com/ui/0/7.7.0.103/pl/abandoninstall?source=lightinstaller&page=tsBing HKLM-x32\...\Run: [331BigDog] => "C:\Program Files (x86)\USB Camera\VM331STI.EXE" HKLM-x32\...\Run: [sDTray] => "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe" Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-51339240-3279045181-1421070313-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) BootExecute: autocheck autochk * sdnclean64.exe GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia AS: Spybot - Search and Destroy (Enabled - Up to date) {9BC38DF1-3CCA-732D-A930-C1CA5F20A4B0} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EPLTarget DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Common Files\AV\Spybot - Search and Destroy C:\Program Files (x86)\LuckyBrowse C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\LuckyBrowse C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\Spybot-S&D Start Center.lnk C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\System Scan.lnk C:\ProgramData\Microsoft\Windows\Start Menu\LuckyBrowse C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy 2 C:\Windows\System32\Tasks\Safer-Networking CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Niestety z jakiś względów ostatni zestaw komend zwrócił błąd. Ponów ten sam skrypt z poziomu Trybu awaryjnego Windows. Wejście do Trybu awaryjnego na Windows 10: Menu Start > Ustawienia > Aktualizacje i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > nastąpi restart > w menu które się pojawi wybierz Rozwiąż problemy > Zaawansowane opcje rozruchu.

W tych raportach jest już zmiana i w jakiś sposób wpis startowy został usunięty, natomiast nadal jest katalog malware na dysku. Druga sprawa: przeglądarka Google Chrome jest zainfekowana adware (zmodyfikowane biblioteki DLL) i jest wymagana jej reinstalacja. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędny Akamai NetSession Interface i starą wersję Java 8 Update 51. 2. Przeinstaluj Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki. Punkt 2: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą ponownie Google Chrome. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2015-03-31] (Microsoft Corporation) FF Plugin HKU\S-1-5-21-2329799690-3783243740-1929443932-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] Task: {07745E99-96DA-4987-AA69-6D646D8E4FDB} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-01] (Lenovo) Task: {12037A20-8EB6-4EF8-B0AB-272E1D5775E1} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-10-16] (Lenovo) Task: {1E5B8B65-5B90-44A6-89AB-3959A7141E9D} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Task: {2902E6BF-AACD-4732-886A-0CD4F1A9434D} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {29650D83-C657-4FCA-9310-51C6089859E0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {42EA1F98-5283-4E21-946F-3D814210F6D7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {71FAF717-4994-4434-B729-744518BC24CA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {97153065-3F20-43E0-AB62-B88ABC274764} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {B13A52B8-12AE-49B8-866A-F7BC120E7C12} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {B46ACD14-52B1-49BB-88E4-71EEAB9D47B3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B4F1D7CB-DCC5-4DB4-9625-A80A5F54F89A} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe Task: {BA31081A-35C0-46DE-ABDD-3F31E8D67AA5} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {CA2420D6-E5FF-4FD8-97D8-909B61BE313C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {D6273826-9AC2-4DAC-8739-A13F4CF9CFCB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {E8EF89C3-D0EF-47EE-BD82-FAC80F8E762D} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {F1A28706-AC49-42DD-9767-9735E51270A1} - System32\Tasks\{E2CCE2F8-B9B8-4BAD-B7EA-2D7E458A3AB5} => pcalua.exe -a "C:\Drivers\Synaptics Touchpad Driver\Setup.exe" -d "C:\Drivers\Synaptics Touchpad Driver" Task: C:\WINDOWS\Tasks\foodpairings.job => c:\programdata\{8d5315de-b038-456d-8d53-315deb03577a}\gtav-unpacked.exe Task: C:\WINDOWS\Tasks\matchfinder.job => c:\programdata\{e537c070-aab8-b1d9-e537-7c070aab01c2}\3070779362994228069b.exe S3 CnxtHdAudService; \SystemRoot\system32\drivers\CHDRT64.sys [X] C:\ProgramData\ererwerr C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico C:\Program Files (x86)\Mozilla Firefox\plugins C:\Users\pomyk_000\AppData\Local\Microsoft\Windows\GameExplorer\{BD3BB9A4-FA2B-4DB4-B5CF-997B1BB360E5} C:\Users\pomyk_000\Documents\Euro Truck Simulator 2\readme.rtf.lnk CMD: netsh advfirewall reset Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Dolby Advanced Audio v2" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v Bluetooth.lnk /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

NReg Strona domowa Platforma: Windows XP do Windows 11 32-bit i 64-bit Licencja: freeware Registry Finder to alternatywny graficzny edytor rejestru. W paczce Registry Finder jest także dodatkowe konsolowe narzędzie NReg (Native API Registry utility), które umożliwia usuwanie oraz tworzenie kluczy ukrytych techniką null, niewidzialnych dla systemowego edytora regedit i jego konsolowego odpowiednika reg.exe. NReg jest nowoczesną alternatywą dla bardzo starego narzędzia RegDelNull. Co istotne, narzędzie posiada natywną wersję 64-bit. Spis obsługiwanych poleceń: D:\Download\RegistryFinder>NReg -h Adds or deletes hidden registry keys. Usage: NReg Commands: [add | delete] Key: ROOTKEY\Subkey ROOTKEY: [HKLM | HKCU | HKCR | HKU | HKCC] Subkey: The full name of a registry key under the selected ROOTKEY. Keys with the null character in the name are not accessible by regedit and most other registry editors, that use Window API. Though such keys are visible, their content is not. To create a key with the null character, use the add command and specify '%00' as part of the key name. Examples: NReg add HKCU\Unmodifiable%00\Invisible Creates the Unmodifiable key and Invisible subkey. Regedit is able to display the HKCU\Unmodifiable key, but fails to open it. The Invisible subkey is invisible for regedit. NReg delete HKCU\Unmodifiable%00 This command deletes the Unmodifiable key. D:\Download\RegistryFinder>

Windows 10 release information Windows 10 update history Dla Windows 10 są dwie oficjalne strony, które umożliwiają pośrednie lub bezpośrednie pobranie plików ISO z instalacją systemu. Są one aktualizowane korespondująco do głównych nowych wersji Windows, czyli np. ktoś kto pobierał kilka miesięcy temu z tych stron posiada starszą wersję systemu. Obecnie linki serwują Windows 10 Wersja 22H2 (build 19045.x). Informacja "Wersja 22H2" jest ogólna i nie definiuje najbardziej aktualnych składników, istotny jest szczegółowy build tej linii, podbijany kolejnymi aktualizacjami z Windows Update. Bieżący z listą aktualizacji zawsze można sprawdzić na podanych powyżej stronach i po pobraniu obrazu ISO zweryfikować właściwości i daty plików w obrazie, by ocenić różnicę pomiędzy dostępnym obrazem a łatami z Windows Update (można je pobrać i np. ręcznie dointegrować do ISO). Przy pobieraniu pada pytanie o wybór edycji. Dostępna standardowa "Windows 10" oraz kastraty: N / KN (orientowane na rynki europejski i koreański) mają wycięte określone składniki multimedialne, a "Single language" blokuje wybrany język wyświetlania uniemożliwiając doinstalowanie alternatywnych pakietów językowych. Obrazy ISO zawierają dwie wersje systemu, czyli Home i Pro. Pobrany z wymienionych źródeł materiał nie jest tożsamy, różni się zastosowanym formatem obrazu instalacyjnego Windows, co ma znaczenie dla potencjalnych operacji edycji czy używania źródła Windows do naprawy. Pobierz Windows 10 (dynamicznie podmieniane) Pobieranie obrazu dysku systemu Windows 10 (pliku ISO) Główna strona pobierania reklamowana przez Microsoft, która dynamicznie podmienia linki w zależności od tego z poziomu jakiego systemu lub urządzenia jest oglądana. Dla systemów Windows 7 i nowszych pokazuje się tylko pierwszy link z Narzędziem do tworzenia nośników (Media Creation Tool) i nie ma możliwości pobrania bezpośrednio ISO (ten drugi link automatycznie przekierowuje na pierwszy). Natomiast dla pozostałych platform nie obsługujących kreatora (np. XP, Vista, Linux, urządzenia mobilne) pokazuje się drugi link umożliwiający pobranie ISO. Pierwszy link: Narzędzie do tworzenia nośników nie zawiera żadnych instalacyjnych plików Windows, ale umożliwia ich pobranie zgodnie z wybranymi w kreatorze opcjami i opcjonalne utworzenie obrazu ISO. Proces odbywa się w tle i nie ma nad nim żadnej kontroli. Wynikowy obraz ISO zawiera archiwum instalacyjne Windows w skompresowanym formacie ESD. Plik ten nie może być wykorzystany jako bezpośrednie źródło naprawcze w narzędziu DISM. Stanowi również utrudnienie przy obrabianiu materiału pod kątem tworzenia dostosowanego nośnika (wymagana konwersja na WIM). Materiał ten w formie nieprzerobionej najbardziej nadaje się do utworzenia zwyczajnego nośnika instalacyjnego Windows 10. Windows10.iso ---- sources -------- install.esd Drugi link: Na stronie z menu należy wybrać odpowiednią edycję systemu i język. Linki pobierania są generowane za każdym razem od nowa, z danej sesji są trwałe tylko przez 24 godziny. Pobrany obraz ISO zawiera archiwum instalacyjne Windows w standardowym formacie WIM, co jest przydatne dla procesów, które wspominałam. M.in. rozpakowane ISO jest dobrym źródłem naprawczym dla DISM. Win10_1607_Polish_x64.iso ---- sources -------- install.wim Strona Tech Bench (umożliwiająca wygodne pobranie obrazów ISO Windows 10 w formacie WIM bez przekierowań) oraz nieoficjalne narzędzie "Windows 10 ISO Download Tool" nie są już opcją. Skorzystaj ze skryptu Fido linkowanego w dalszej części tematu. Microsoft zlikwidował wszystkie sposoby pobierania. Uprzednio podane linki pobierania obecnie kierują na stronę komunikującą brak wsparcia (tak, komunikat o Windows 8 a nie Windows 8.1, ale chodzi o 8.1). Archiwalna postać strony - Pierwotnie metoda pobierania była realizowana tak jak dla Windows 10, poprzez dynamiczne przekierowanie na 2 różne adresy w zależności od tego z poziomu jakiego systemu oglądano stronę. Następnie zredukowano ofertę do bezpośredniego obrazu ISO z WIM (tzn. zawsze był ładowany tylko jeden link), a ostateczna likwidacja datuje się gdzieś na przełom 2024/2025. Był pobierany system w wersji "Windows 8.1 Update (build 6.3.9600.17415)", czyli ze zintegrowaną aktualizacją November 2014 Update Rollup (nieoficjalnie nazywaną "Update 3"). Dla porównania: Windows 8.1/Windows 2012 R2 update rollups. Microsoft zlikwidował możliwość pobierania plików ISO. Uprzednio podany link pobierania obecnie przekierowuje na stronę komunikującą brak wsparcia. Archiwalna postać strony - W odróżnieniu od pobierania Windows 10 oraz 8.1, było wymagane podanie klucza produktu i dopiero to działanie generowało link pobierania pasujący do danego klucza. Formatem wewnętrznym w ISO był WIM. ESD jest metodologią systemów Windows 8 i nowszych.

Legalne pobieranie obrazów Windows Windows 11, Windows 10, Windows 8.1, Windows 7 Poniżej publiczne oficjalne linki pobierania obrazów ISO, z wykluczeniem mechanizmów wymagający logowania i subskrypcji (np. MSDN) i wersji typu Enterprise / Education. Oryginalny niemodyfikowany obraz ISO z pełną instalacją systemu, prócz oczywistych zastosowań, może służyć także jako materiał wyjściowy do budowy własnej dostosowanej płyty, jako źródło naprawcze zainstalowanego Windows (np. operacje naprawy narzędziem DISM z przełącznikami kierujący na to źródło na dysku lub nakładkowa "aktualizacja" działająca jak naprawa z zachowaniem danych) oraz udostępnić środowisko WinRE w przypadku, gdy nie ma żadnej możliwości dostania się do tego interfejsu naprawy.

Pozytywna zmiana na Sourceforge: SourceForge Acquisition and Future Plans. Serwis został przejęty przez nowego właściciela, który próbuje odbudować reputację serwisu. Program sponsoringowy DevShare został usunięty, co oznacza likwidację "asystenta pobierania" na Sourceforge. Artykuł na forum został zaktualizowany w tej kwestii. Dodatkowa uwaga: uBlock ma zintegrowany filtr Badware risks‎, który nadal blokuje sourceforge, co jest już nieaktualne. Niestety, problemy w dziale Malware tu notowane na forum mają głównie inne źródła (np. dobreprogramy.pl).

Tak jest, ta sama historia. MPCKpt jest podmontowany na woluminach. Kolejne podejście: Otwórz Notatnik i wklej w nim: CMD: fltmc detach MPCKpt C: "NPminifilter Instance" CMD: fltmc detach MPCKpt D: "NPminifilter Instance" CMD: fltmc detach MPCKpt F: "NPminifilter Instance" CMD: fltmc detach MPCKpt \Device\HarddiskVolumeShadowCopy27 "NPminifilter Instance" CMD: fltmc detach MPCKpt \Device\HarddiskVolumeShadowCopy54 "NPminifilter Instance" CMD: fltmc detach MPCKpt \Device\Mup "NPminifilter Instance" CMD: fltmc instances R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-02-06] (DotC United Inc) C:\Windows\System32\drivers\MPCKpt.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Być może nastąpi restart. Przedstaw wynikowy fixlog.txt.

Tak, uruchom ponownie AdwCleaner, zastosuj kombinację opcji Skanuj + Usuń i przedstaw log z wynikami usuwania.

Skoro Autoruns nie widzi tego zadania, uruchom systemowe narzędzie: klawisz z flagą Windows + R > w polu Uruchom taskschd.msc > w menu Widok upewnij się, że jest zaznaczone Pokaż ukryte zadania > zadanie "ACC" powinno być w głównym widoku Biblioteki.

Jeśli chcesz usunąć tę aplikację, po prostu odinstaluj IMVU Avatar Chat Software. Po deinstalacji pousuwaj poniższe pliki i foldery (część już powinna zniknąć): 2016-01-26 11:18 - 2016-02-10 19:32 - 00000000 ____D C:\Users\Łukasz\AppData\Roaming\IMVU 2016-01-26 11:18 - 2016-01-26 11:18 - 00000000 ____D C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU 2016-01-26 11:18 - 2016-01-26 11:18 - 00000000 ____D C:\Users\Łukasz\AppData\Roaming\IMVUClient 2016-01-26 11:17 - 2016-01-26 11:17 - 00244304 _____ C:\Users\Łukasz\Downloads\InstallIMVU_523.0_st.exe 2016-01-26 11:17 - 2016-01-26 11:17 - 00244304 _____ C:\Users\Łukasz\Downloads\InstallIMVU_523.0_st (1).exe

bsdriver został usunięty pomyślnie, został tylko martwy wpis rejestru. Natomiast jest problem z usunięciem sterownika MPCKpt (odpadek po usunięciu MPC Cleaner). Prawdopodobnie jest tu podobna sprawa z filtrami i będę pobierać dodatkowe informacje. Otwórz Notatnik i wklej w nim: S1 bsdriver; \??\C:\Windows\system32\drivers\bsdriver.sys [X] CMD: fltmc instances Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Fix pomyślnie wykonany. Wejście "> Chrome Search" nie powinno być już widoczne na liście. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Brakuje trzeciego obowiązkowego raportu FRST Shortcut. Adware definitywnie nabyłeś podczas pobierania BESTPlayer z portalu dobreprogramy.pl. Załatwił Cię "Asystent pobierania" tego portalu: KLIK. PriceFountain działa poprzez Harmonogram zadań, więc tu nawet FRST nie byłby potrzebny ani żadne inne narzędzie zewnętrzne, by się tego pozbyć, wystarczyłoby otworzyć systemową przystawkę taskschd.msc. Oczywiście trzeba wiedzieć gdzie szukać, a to już bez raportu nie jest takie oczywiste. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {07C216B9-7F8F-4DD0-8C4B-6335588FDC4A} - System32\Tasks\ByteFence Scan => C:\Program Files\ByteFence\ByteFence.exe Task: {E0EEF62D-70DF-4B83-84AA-F864DEC1AF4F} - System32\Tasks\niestetytakPostfixesIsthmicV2 => Rundll32.exe MicropipetteConsorted.dll,main 7 1 <==== UWAGA HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2395041106-665369320-1206337860-1001\...\MountPoints2: {19c9b1e7-c859-11e5-8267-185e0f053425} - "D:\LaunchU3.exe" -a HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKU\S-1-5-21-2395041106-665369320-1206337860-1001 -> DefaultScope {F7D5FD05-173B-48A7-8E35-50CC80FC8BED} URL = SearchScopes: HKU\S-1-5-21-2395041106-665369320-1206337860-1001 -> {F7D5FD05-173B-48A7-8E35-50CC80FC8BED} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\extensions RemoveDirectory: C:\Users\Public\Pokki RemoveDirectory: C:\Users\niestetytak\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 RemoveDirectory: C:\Users\niestetytak\AppData\Local\PostfixesIsthmic C:\Users\niestetytak\Downloads\*-dp*.exe C:\Users\niestetytak\Downloads\AdwCleaner*.* C:\Users\niestetytak\Downloads\SpyHunter-Installer.exe Folder: C:\Users\Public\Documents\dmp Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonymi polami Addition i Shortcut - i tylko te dwa logi dostarcz, główny FRST.txt nie jest już potrzebny. Dołącz też plik fixlog.txt.

Wszystko wykonane. Poprawki pod kątem tego nieusuwalnego wejścia. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2AEF02C351594C81A6888D954F0DEE56}_NewSearch RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Skoro problem samoistnie ustąpił, to nie mam tu nic więcej do roboty. Jak mówiłam, nie notuję ani czynnej infekcji, ani jawnych uszkodzeń. Fix FRST pomyślnie wykonany. Na koniec drobne działania: 1. Odinstaluj stare wersje Adobe Flash Player 12 ActiveX, Java 8 Update 51 (64-bit), RealPlayer. 2. Skoryguj drobny błąd WMI: KLIK. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Raporty z przestarzałego OTL nie są w ogóle tu już brane pod uwagę, usuwam. FRST jest obecnie o wiele bardziej zaawansowany i skanuje więcej rzeczy niż OTL, np. Harmonogram zadań. I to właśnie w Harmonogramie masz uruchamianie BAT programu Acer. Wygląda na to, że aplikację DriverSetupUtility zainstalował SlimDrivers, gdyż wskazuje na to sekwencja czasowa. DriverSetupUtility (HKLM\...\{2B51C83A-465D-4EA9-9CDC-1ED95ED09AC6}) (Version: 1.00.3011 - Acer Incorporated) Task: {CF5CB2DA-06BC-496F-9DF8-8F361C33749D} - System32\Tasks\ACC => C:\Program Files\DriverSetupUtility\FUB\FUB_Send.bat [2015-06-22] () 2016-02-09 15:31 - 2016-02-09 16:52 - 00002798 _____ C:\WINDOWS\System32\Tasks\ACC 2016-02-09 15:31 - 2016-02-09 15:31 - 00000000 ____D C:\ProgramData\SlimWare Utilities, Inc 2016-02-09 15:31 - 2016-02-09 15:31 - 00000000 ____D C:\ProgramData\DriverSetupUtility 2016-02-09 15:31 - 2016-02-09 15:31 - 00000000 ____D C:\Program Files\DriverSetupUtility 2016-02-09 15:30 - 2016-02-12 14:52 - 00000444 _____ C:\WINDOWS\Tasks\SlimDrivers Startup.job 2016-02-09 15:30 - 2016-02-09 16:53 - 00002926 _____ C:\WINDOWS\System32\Tasks\SlimDrivers Startup 2016-02-09 15:30 - 2016-02-09 16:51 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SlimDrivers 2016-02-09 15:30 - 2016-02-09 15:30 - 00002499 _____ C:\Users\Public\Desktop\SlimDrivers.lnk 2016-02-09 15:30 - 2016-02-09 15:30 - 00000000 ____D C:\Users\Public\Documents\Downloaded Installers 2016-02-09 15:30 - 2016-02-09 15:30 - 00000000 ____D C:\Users\Lukasz\AppData\Local\SlimWare Utilities Inc 2016-02-09 15:30 - 2016-02-09 15:30 - 00000000 ____D C:\Program Files (x86)\SlimDrivers Uruchom Autoruns, w karcie Scheduled Tasks wyłącz zadanie ACC. Dodatkowo, możesz tu zaprezentować co robi ten BAT otwierając plik FUB_Send.bat w Notatniku i przeklejając jego treść do posta. Albo odinstaluj całkowicie DriverSetupUtility. Po deinstalacji upewnij się w Autoruns, że zniknęło w/w zadanie.

GetSearch jest zablokowane na bazie polityk oprogramowania Google. Działania do przeprowadzenia: 1. Odinstaluj adware > Chrome Search, bardzo starą wersję Adobe Flash Player 10 ActiveX oraz świeżo doinstalowany SuperCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run CMD: type C:\Windows\system32\GroupPolicy\Machine\Registry.pol HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCTray.exe" /regrun HKU\S-1-5-21-3075007989-97069618-3936532545-1000\...\Run: [C] => C:\Windows\system32\GroupPolicy\Machine\Registry.pol [782 2016-02-11] () GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com URLSearchHook: [s-1-5-21-3075007989-97069618-3936532545-1000] UWAGA => Brak domyślnego URLSearchHook URLSearchHook: HKU\S-1-5-21-3075007989-97069618-3936532545-1000 - (Brak nazwy) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - Brak pliku ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TsNetHlpX64.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\ProgramData\rxsmznjf.zcp C:\ProgramData\BANDISOFT C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bandicut C:\Users\Władca\AppData\Local\VirtualRouterPlus C:\Users\Władca\AppData\Roaming\GiftBag.db C:\Users\Władca\AppData\Roaming\BANDISOFT C:\Users\Władca\AppData\OICE_15_974FA576_32C1D314_363 C:\Users\Władca\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Bandicut.lnk C:\Users\Władca\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\强力卸载电脑上的软件 .lnk C:\Users\W砤dca C:\Windows\system32\--debugoff C:\Windows\system32\--traceoff C:\Windows\SysWOW64\L CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w tym samym folderze w którym jest FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Władca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.