Skocz do zawartości

picasso

Administratorzy
  • Postów

    36 524
  • Dołączył

  • Ostatnia wizyta

Treść opublikowana przez picasso

  1. Ten ostatni skrypt był uruchamiany dwa razy, dlatego FRST nic już nie znalazł. W ostatnich logach rozszerzenia RealPlayer nie było już w Chrome, ale ten wpis RealUpgrade 1.1 tak. W związku z tym: 1. Uruchom Zoek. W oknie wklej: RealUpgrade 1.1;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy rozszerzenia z *.log). 2. Upłynęło sporo czasu. Na wszelki wypadek zrób nowe logi FRST (z zaznaczonym polem Addition).
  2. Nie zapisałeś pliku Fixlist.txt w UTF-8 jak instruowałam, a poznać to można po tym, że cyrylica w jednym wpisie została przerobiona na pytajniki. Wpis został przetworzony tylko przypadkowo, gdyż FRST zinterpretował pytajniki jako znaki wieloznaczne... A dostarczony log Addition.txt jest stary z poprzedniego uruchomienia, usuwam. Poproszę o wygenerowanie nowego pliku.
  3. Brakuje głównego raportu FRST.txt. Dołącz. PS. Wykonanie wcześniej skryptu z innego forum nic nie wniosło do sprawy, tzn. brak uszkodzeń czy wykonanej naprawy. On prawie nic nie wykonał, gdyż w skrypcie są konkretne ścieżki dostępu nieobecne oczywiście u Ciebie.
  4. Stosowałeś ComboFix i na ten temat: KLIK. Obecnie to nie jest nawet dobry program do czyszczenia adware. I to prawdopodobnie ComboFix uszkodził poniższą instalację usuwając plik deinstalacyjny, a nie widzę na dysku Qoobox z kwarantanną, by dało się plik odzyskać: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hager Tehalit\Semiolog\Odinstaluj.lnk -> C:\Windows\IsUn0415.exe (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hager Tehalit\Elektroniczny Magnetplaner\Odinstaluj.lnk -> C:\Windows\IsUn0415.exe (Brak pliku) Jeśli chodzi o problem reklam w Google Chrome, jedyne co tu budzi podejrzenia to rozszerzenie Video AdBlock for Chrome - zainstalowane "nienormalną" metodą na poziomie rejestru, co wskazuje, że wprowadzał je zewnętrzny instalator i nie była to instalacja z Chrome Web Store. Wstępnie: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Rozszerzenia > odinstaluj Video AdBlock for Chrome. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0EE16BFD-BA97-48AD-A384-B71CA1837667} - System32\Tasks\{9A533925-0E09-491C-A980-271CE4EA6998} => pcalua.exe -a C:\Users\Adam\Downloads\VGA_nVidia_NB9X_Vista64_Win7_64_816118757\setup.exe -d C:\Users\Adam\Downloads\VGA_nVidia_NB9X_Vista64_Win7_64_816118757 U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 Tosrfcom; Brak ImagePath S3 catchme; \??\C:\ComboFix\catchme.sys [X] HKU\S-1-5-21-2241876270-1104089119-2635419705-1001\...\Policies\Explorer: [] CHR HKU\S-1-5-21-2241876270-1104089119-2635419705-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-2241876270-1104089119-2635419705-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2241876270-1104089119-2635419705-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main RemoveDirectory: C:\ProgramData\bdch EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem reklam nadal występuje.
  5. Tak, na pewno problemem było przeklejanie z poziomu tabletu. Ostatnie akcje pomyślnie wykonane. Na koniec: 1. Był uruchamiany GMER, toteż upewnij się, że nie wystąpiły skutki uboczne (o ile już tego nie korygowałeś): KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.
  6. Niezbyt dużo tu widać, po prostu adware (BingSvc w starcie oraz inne w Firefox i Internet Explorer), żadnych oznak innego typu malware, więc nie widzę potrzeby wymiany haseł. Czyli: 1. Odinstaluj: Codecs for Windows 7 Pack 4.0.5 (uszkodzony, AdwCleaner wykrywa powiązane z nim komponenty), Google Chrome (strasznie stara wersja!), Java 7 Update 45 (wiadomo). Jeśli chodzi o programy integrowane z ASUS i inne dodatkowe, to można byłoby się pozbyć tego wszystkiego (wykluczając te z których użytkownik korzysta): ASUS FancyStart (HKLM-x32\...\{2B81872B-A054-48DA-BE3B-FA5C164C303A}) (Version: 1.0.8 - ASUSTeK Computer Inc.) ----> wymiana grafiki ekranu bootowania ASUS LifeFrame3 (HKLM-x32\...\{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}) (Version: 3.1.7 - ASUS) ----> zrzuter ekranu / edytor powiązany z kamerą ASUS Live Update (HKLM-x32\...\{FA540E67-095C-4A1B-97BA-4D547DEC9AF4}) (Version: 3.0.6 - ASUS) ----> autoaktualizacja sterowników i BIOS ASUS Power4Gear Hybrid (HKLM\...\{9B6239BF-4E85-4590-8D72-51E30DB1A9AA}) (Version: 1.1.43 - ASUS) ----> tweaker zasilania ASUS SmartLogon (HKLM-x32\...\{64452561-169F-4A36-A2FF-B5E118EC65F5}) (Version: 1.0.0008 - ASUS) ----> logowanie za pomocą rozpoznawania twarzy ASUS Splendid Video Enhancement Technology (HKLM-x32\...\{0969AF05-4FF6-4C00-9406-43599238DE0D}) (Version: 1.02.0030 - ASUS) ----> "polepszanie jakości" ekranu CyberLink LabelPrint (HKLM-x32\...\InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}) (Version: 2.5.1908 - CyberLink Corp.) CyberLink Power2Go (HKLM-x32\...\InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}) (Version: 6.1.3602c - CyberLink Corp.) Fast Boot (HKLM\...\{13F4A7F3-EABC-4261-AF6B-1317777F0755}) (Version: 1.0.8 - ASUS) ----> menedżer startu Nuance PDF Reader (HKLM-x32\...\{B480904D-F73F-4673-B034-8A5F492C9184}) (Version: 6.00.0041 - Nuance Communications, Inc.) NVIDIA GeForce Experience 2.1.2 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.GFExperience) (Version: 2.1.2 - NVIDIA Corporation) syncables desktop SE (HKLM-x32\...\{341697D8-9923-445E-B42A-529E5A99CB7A}) (Version: 5.5.746.11492 - syncables) ----> synchronizacja między urządzeniami Windows Live Essentials (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3502.0922 - Microsoft Corporation) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} HKU\S-1-5-21-729949790-563291647-4237402503-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=SL5M&ocid=SL5MDHP&osmkt=pl-pl HKU\S-1-5-21-729949790-563291647-4237402503-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKU\S-1-5-21-729949790-563291647-4237402503-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKU\S-1-5-21-729949790-563291647-4237402503-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKU\S-1-5-21-729949790-563291647-4237402503-1002 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = BHO: Partner BHO Class -> {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} -> C:\ProgramData\Partner\Partner64.dll [2011-03-01] (Google Inc.) BHO-x32: Partner BHO Class -> {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} -> C:\ProgramData\Partner\Partner.dll [2011-03-01] (Google Inc.) BHO-x32: PriceFountain -> {b608cc98-54de-4775-96c9-097de398500c} -> C:\Users\Ania\AppData\Local\PriceFountain\PriceFountainIE.dll [2015-01-11] () StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Ania\AppData\Roaming\Mozilla\Firefox\Profiles\nbsr4833.default\extensions\faststartff@gmail.com FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [Brak pliku] FF Plugin HKU\S-1-5-21-729949790-563291647-4237402503-1002: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [Brak pliku] HKLM\...\Run: [ASUS WebStorage] => C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe HKU\S-1-5-21-729949790-563291647-4237402503-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\Ania\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-729949790-563291647-4237402503-1002\...\Run: [BingSvc] => C:\Users\Ania\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) HKU\S-1-5-21-729949790-563291647-4237402503-1002\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\BonanzaDealsLive DeleteKey: HKCU\Software\BrowseMark DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\ForumerIT DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\InstallCore DeleteKey: HKCU\Software\MaxiGet DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\PriceFountain DeleteKey: HKCU\Software\SupHpUISoft DeleteKey: HKCU\Software\UpdateStar DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B608CC98-54DE-4775-96C9-097DE398500C} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B608CC98-54DE-4775-96C9-097DE398500C} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DirectX Packages DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\V9Software DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{D0EC4142-5808-41D2-A4DC-6081CF1A9693} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\BrowseMark DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\mystartsearchSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\PriceMeterLiveUpdate DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupDp DeleteKey: HKLM\SOFTWARE\Wow6432Node\V9Software DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\kt_bho_dll.dll DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{28A88B70-D874-4F73-BBBA-9B2B222FB7D6} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{B608CC98-54DE-4775-96C9-097DE398500C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D0EC4142-5808-41D2-A4DC-6081CF1A9693} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{396ECD31-EDF7-489F-BDA1-83DBA4C36E81} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd deleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Partner Service RemoveDirectory: C:\Program Files\WinRAR RemoveDirectory: C:\Program Files (x86)\BrowseMark RemoveDirectory: C:\Program Files (x86)\Garmin RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\SupTab RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins RemoveDirectory: C:\Program Files (x86)\Mozilla Thunderbird RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\ProgramData\ALLPlayer RemoveDirectory: C:\ProgramData\BonanzaDealsLive RemoveDirectory: C:\ProgramData\Electronic Arts RemoveDirectory: C:\ProgramData\Garmin RemoveDirectory: C:\ProgramData\Origin RemoveDirectory: C:\ProgramData\Partner RemoveDirectory: C:\ProgramData\Skype RemoveDirectory: C:\ProgramData\WindowsMangerProtect RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avalon RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codecs for Windows 7 Pack RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra RemoveDirectory: C:\Users\Ania\AppData\Local\BonanzaDealsLive RemoveDirectory: C:\Users\Ania\AppData\Local\Facebook RemoveDirectory: C:\Users\Ania\AppData\Local\Garmin RemoveDirectory: C:\Users\Ania\AppData\Local\genienext RemoveDirectory: C:\Users\Ania\AppData\Local\Google RemoveDirectory: C:\Users\Ania\AppData\Local\Mobogenie RemoveDirectory: C:\Users\Ania\AppData\Local\PriceFountain RemoveDirectory: C:\Users\Ania\AppData\Local\PriceMeter RemoveDirectory: C:\Users\Ania\AppData\Local\Thunderbird RemoveDirectory: C:\Users\Ania\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\Ania\AppData\Local\Microsoft\Windows\GameExplorer\{F16DF3ED-1A45-4966-8A2A-ED2D02E279EE} RemoveDirectory; C:\Users\Ania\AppData\Roaming\BitComet RemoveDirectory: C:\Users\Ania\AppData\Roaming\Garmin RemoveDirectory: C:\Users\Ania\AppData\Roaming\mystartsearch RemoveDirectory: C:\Users\Ania\AppData\Roaming\newnext.me RemoveDirectory: C:\Users\Ania\AppData\Roaming\OpenCandy RemoveDirectory: C:\Users\Ania\AppData\Roaming\Systweak RemoveDirectory: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie RemoveDirectory: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain RemoveDirectory: C:\Windows\SysWOW64\AI_RecycleBin RemoveDirectory: C:\Windows\SysWOW64\C2MP C:\ProgramData\*.* C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS Utility\e-Driver.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS Utility\eManual.Lnk C:\Users\Ania\daemonprocess.txt C:\Users\Ania\AppData\Local\WebpageIcons.db C:\Users\Ania\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Windows\SIERRA.INI C:\Windows\system32\roboot64.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Wyczyść Dzienniki zdarzeń (gałęzie Aplikacja + System) i po tym zresetuj Windows, by się nagrały nowe błędy. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
  7. Otwórz załączony plik fixlog.txt - podczas przeklejania skryptu do Notatnika wystąpiły błędy, tzn. wszystkie linie zostały sklejone oraz pojawiły się artefakty (encje HTML, których w logu nie było). Skrypt wklejony do Notatnika musi mieć identyczne przejścia do nowej linii jak w moim poście. Konsekwencją jest, że skrypt FRST nie przetworzył wszystkich obiektów jak należy. Kolejne poprawki: Otwórz Notatnik i wklej w nim (6 linii): AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Lightzap\Viva-Ex.dll => Brak pliku SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-1993962763-1801674531-1606980848-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7Nzb7ygy76KzzgQdD78O06WAHxEZZWaDmfjnNwnoxijbVAG-WYSm4UEwTomhN43hbJEh-y6-ZMO0gNWamCTQ,, RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Wątpię. To co było w systemie to adware, a w tym typie Kaspersky nie jest aż tak specjalizowany.
  8. Wszystko pomyślnie wykonane. Kolejna porcja czynności: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Ustaw Google Chrome jako domyślną przeglądarkę. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2442656019-2658457348-799937204-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www-searching.com/?pid=s&s=G1Szamobl15047,5760a648-8657-4332-9046-87f354fc5f2b,&vp=ch&prd=set_ie SearchScopes: HKU\S-1-5-21-2442656019-2658457348-799937204-1002 -> {D781B30C-5460-4760-84E6-8193ED359A44} URL = hxxp://www-searching.com/s.ashx?prd=opensearch&q={searchTerms}&s=G1Szamobl15047,5760a648-8657-4332-9046-87f354fc5f2b, CHR HKU\S-1-5-21-2442656019-2658457348-799937204-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jlcgehabolcakkjhgmgpkagpolbjlhfa] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Users\Piotr Nalewajko\AppData\Local\svcxdcl32.dat RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: E:\Users\Piotr RemoveDirectory: E:\Users\Piotr.SadBanana RemoveDirectory: E:\Users\SadB Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu (ale nie jest wykluczony). Przedstaw wynikowy fixlog.txt. 3. Wykonaj polecenie sfc /scannow, przefiltruj CBS.log i przedstaw końcowy log: KLIK.
  9. Wszystko zrobione. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. W Dzienniku zdarzeń są takie oto błędy: Dziennik System: ============= Error: (02/06/2016 09:56:36 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa HP CUE DeviceDiscovery Zawieszenia usługi Hewlett-Packard, które powinno mieć odbicie w dłuższym uruchamianiu systemu. Wyłącz usługę. Start > w polu szukania services.msc > z prawokliku Uruchom jako Administrator > dwuklik na w/w usługę i Typ uruchomienia przestaw na Wyłączony. Dziennik Aplikacja: ================== Error: (02/06/2016 09:55:42 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Błędzik natury kosmetycznej, ale można go zlikwidować posługując się wytycznymi z KB950375. Wklej do Notatnika skrypt podany na stronie, zapisz pod nazwą FIX.VBS, plik umieścić na C:\, następnie Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator > wklep C:\FIX.VBS i ENTER.
  10. Wszystko pomyślnie wykonane. Teraz zrób skan za pomocą Hitman Pro i dostarcz wynikowy raport.
  11. Operacje pomyślnie wykonane. Teraz: 1. Ostatnia drobna poprawka. Otwórz Notatnik i wklej w nim: Task: {B7FDD4C4-27FF-4DD4-89CA-DB3BC9D5EBA7} - System32\Tasks\Adobe Reader and Acrobat Manager => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Po jego pokazaniu: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Cały system do aktualizacji. Stan obecny to brak SP2, IE9 i reszty łat: Platform: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) Język: Polski (Polska) Internet Explorer Wersja 7 (Domyślna przeglądarka: FF) A na koniec zainstaluj Adobe Reader XI 11.0.14. Linki pobierania w w/w linku.
  12. Wejdź w Tryb awaryjny Windows i ponów zadanie ze skryptem FRST.
  13. Temat przenoszę do działu Windows. Nic tu nie wskazuje, by problemy nadal tworzyła infekcja, są jakieś mało istotne martwe szczątki adware. Natomiast problem może tworzyć: instalacja Panda (to świeży nabytek) i/lub uszkodzenia plików Windows (notuję przynajmniej jeden niepodpisany cyfrowo plik Microsoftu). S3 msiserver; C:\Windows\System32\msiexec.exe [65536 2015-09-10] (Microsoft Corporation) [brak podpisu cyfrowego] Wstępnie: 1. Szybkie doczyszczenie szczątków w spoilerze. 2. Wykonaj sprawdzanie sfc /scannow i dostarcz wynikowy przefiltrowany log: KLIK.
  14. rocklee, zasady działu wyranie mówią, że należy przedstawić raporty ze skanerów, jeśli coś wykrywają. Zaprezentuj te raporty, które nadal coś pokazują, bo skąd mogę wiedzieć co i gdzie.
  15. Temat czyszczę, posty łączę. punisher935, jest na forum opis tworzenia raportów FRST: KLIK. Wyraźnie jest napisane, że mają być podane trzy logi: FRST.txt, Addition.txt, Shortcut.txt. Podałeś tylko jeden. Temat nie jest skończony. Skoro coś robiłeś, to należy opisać co dokładnie oraz zrobić nowe logi FRST po tych działach (wszystkie trzy).
  16. Brak oznak czynnej infekcji i nie jest ona na pewno przyczyną "spadku wydajności". Natomiast wspominasz problemy sprzętowe, które jak najbardziej mogą się wiązać. Rozwiń o co chodzi z płytą główną, a temat przenoszę do działu Hardware. Materiały dostarczane w dziale: KLIK. PS. Odinstaluj zbędny WebStorage ASUSa. W spoilerze zaś doczyszczanie szczątków adware i wpisów pustych, co nie ma żadnego związku z w/w problemami.
  17. Wszystko pomyślnie zrobione. Kończymy: 1. Skasuj z Pulpitu folder FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Stan aktualizacji Windows fatalny. Brak SP1, IE11 i reszty łat. Do wykonania kompleksowa aktualizacja Windows. Do załadowania będzie prawdopodobnie kilkaset aktualizacji i może to długo trwać. Platform: Microsoft Windows 7 Ultimate (X86) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)
  18. Poprawki: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres yoursearching.com, przestaw na "Otwórz stronę nowej karty" 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.
  19. Opisz problem, o jakie "wirusy" chodzi, gdzie wykryte, co się dzieje. W raportach nie widać żadnych "wirusów", są tylko drobne szczątki adware i wpisy puste, czym zajmę się po otrzymaniu informacji jaki konkretnie masz problem.
  20. Zgłoszenia URL:Mal tworzy malware wykorzystujące następującą klasę użytkownika: CustomCLSID: HKU\S-1-5-21-2807787745-202846158-3995719364-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\ddrawex.dll (Brother Industries, Ltd.) Droga nabycia to exploity Adobe: KLIK. Posiadasz niebezpieczne stare wersje Adobe Flash. Malware na pewno nie zostało nabyte podczas aktualizacji KMPlayer. Działania do przeprowadzenia: 1. Odinstaluj stare wersje: Acrobat.com, Adobe AIR, Adobe Flash Player 17 ActiveX, Adobe Flash Player 18 NPAPI, Google Talk Plugin (już nie działa), Java SE Development Kit 8 Update 60 (64-bit), JavaFX 2.1.1, Spelling Dictionaries Support For Adobe Reader 9. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-2807787745-202846158-3995719364-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2807787745-202846158-3995719364-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\ddrawex.dll (Brother Industries, Ltd.) Task: {19008DFC-2C51-4C29-961F-A4865D9C9616} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {5CD7C4C3-2201-4F69-8872-BF51E298DAD8} - System32\Tasks\{AF732C50-561D-4080-B3DC-60CDBDD7CD53} => pcalua.exe -a E:\Steam\steam.exe -c steam://uninstall/570 Task: {70B4BDDE-0EB1-4E35-BBB2-1927D21CA235} - System32\Tasks\{043EEFC9-FCF7-4094-9B60-1677DADE5838} => pcalua.exe -a C:\Users\Jakub\AppData\Roaming\qone8\UninstallManager.exe -c -ptid=smt Task: {BE2F6CE4-44E9-427C-9026-E5E047B8A473} - System32\Tasks\{8DD4452B-73CD-4F2F-BD1E-3EDF51FE1CD8} => pcalua.exe -a H:\setup.exe -d H:\ Task: {FCEE956C-3717-4F8F-AC06-1701184D91AE} - System32\Tasks\{DFE44FA3-5F33-4403-A175-583420379A71} => pcalua.exe -a E:\carbon\EAUninstall.exe S3 cmudaxp; system32\drivers\cmudaxp.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 netr28ux; system32\DRIVERS\netr28ux.sys [X] HKU\S-1-5-21-2807787745-202846158-3995719364-1000\...\Run: [zASRockInstantBoot] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-21-2807787745-202846158-3995719364-1000 -> {C2741F95-FA91-481f-995A-BA628352CC41} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A4107735745&ie=UTF-8&q=&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4107735745&q={searchTerms} SearchScopes: HKU\S-1-5-21-2807787745-202846158-3995719364-1000 -> {D2D7B86C-C473-4f13-BF4F-59AB573AD9A3} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=PROTOSV Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxps://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeBridge DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASRockXTU DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ESL Wire DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightScribe Control Panel DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NBAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spotify Web Helper DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop Lightroom 3.4 64-bit.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DiRT Rally.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZ CD Audio Converter.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto V.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Project CARS.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codemasters C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ekierowca C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZ CD Audio Converter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Goat Simulator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line C:\Users\Jakub\AppData\Local\*.* C:\Users\Jakub\AppData\Local\Eclipse C:\Users\Jakub\AppData\Local\Ektion C:\Users\Jakub\AppData\Local\Mozilla C:\Users\Jakub\AppData\Local\MSfree Inc C:\Users\Jakub\AppData\Local\Microsoft\Windows\GameExplorer\{54A67A6E-9321-45A9-AEC9-F0B488C3B0B0} C:\Users\Jakub\AppData\Local\Microsoft\Windows\GameExplorer\{9299C7A8-7B49-416D-923F-3EB861435D92} C:\Users\Jakub\AppData\Roaming\*.* C:\Users\Jakub\AppData\Roaming\Scenography C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\GameExplorer\PlayTasks C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\GameExplorer\SupportTasks C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\SendTo\Znajomy Xfire.lnk C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Eclipse C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Rocksmith 2014 C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StarCraft II C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\War Thunder C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunderDev C:\Users\Jakub\AppData\Roaming\Mozilla C:\Users\Public\Desktop\Lightroom 3.4 64-bit.lnk C:\Users\Jakub\Downloads\*.crdownload CMD: netsh advfirewall reset CMD: SET EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), na następujących opcjach: zaznacz pola Lista BCD oraz Addition, Shortcut już nie jest potrzebny. Dołącz też plik fixlog.txt.
  21. To narzędzie Microsoftu służy tylko do usuwania rejestracji MSI produktu i nie jest dedykowane do usuwania SpyHunter. Działania do przeprowadzenia: 1. Nie odinstalowałeś adware QuickSearch. Jeśli pominąłeś to przez nieuwagę, to odinstaluj normalnie przez Panel sterowania. Jeśli natomiast był błąd deinstalacji, i tak zajmie się tym poniższy skrypt FRST. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 zcengine; C:\Program Files (x86)\QuickSearch\zcengine.exe [2435535 2016-01-28] (zcengine) [brak podpisu cyfrowego] R2 zcwfp; C:\Windows\system32\Drivers\zcwfp64.sys [46352 2016-01-11] (zcengine) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-01-28] () S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X] CMD: netsh winsock reset CMD: type C:\Windows\System32\Tasks\IBUpd2 Task: {0B7D668B-9982-4AB1-8510-5835D835A866} - System32\Tasks\IBUpd2 => C:\Users\Piotr [2016-02-08] () Task: {AC198095-E297-4C08-B1DC-5E204A63B4E4} - \egw3017 -> Brak pliku Task: {B7B36AFD-1A17-43E1-A6CD-0F68904DEA49} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {F10DCBBA-CF96-4F43-AF64-0465735D7CE1} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zcengine => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zcwfp => ""="Driver" HKLM-x32\...\Run: [DLLSuite2016] => C:\Program Files (x86)\DLL Suite\DLLSuite.exe HKU\S-1-5-18\...\Run: [ZoneAlarm Windows 10 Upgrader] => "C:\ProgramData\CheckPoint\ZoneAlarm\Data\Updates\unpacked==win10=update_win10.zip\upgrade.exe" /delay HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\QuickSearch C:\END C:\Program Files (x86)\DLL Suite C:\Program Files (x86)\QuickSearch C:\sh4ldr C:\Windows\system32\zcengine64.dll C:\Windows\system32\zcengineOff.ini C:\Windows\system32\log C:\Windows\system32\Drivers\*.tmp C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\sdfhgdf.sys C:\Windows\system32\Drivers\zcwfp64.sys C:\Windows\SysWOW64\zcengine.dll C:\Windows\SysWOW64\zcengineOff.ini E:\Users\Piotr\{3f38c82a-b751-460f-97f0-9a785e951b7e}.tmp E:\Users\Piotr Nalewajko\AppData\Local\svcxdcl32.dat E:\Users\Piotr.SadBanana\AppData\Local\Google E:\Users\Piotr.SadBanana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk E:\Users\Piotr.SadBanana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk E:\Users\SadB\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Do usunięcia SpyHunter wykorzystaj specjalizowane narzędzie SpyHunterCleaner. 4. Są tu aż trzy konta: ==================== Konta użytkowników: ============================= Piotr (S-1-5-21-2442656019-2658457348-799937204-1001 - Administrator - Enabled) => E:\Users\Piotr.SadBanana Piotr Nalewajko (S-1-5-21-2442656019-2658457348-799937204-1002 - Administrator - Enabled) => C:\Users\Piotr Nalewajko SadB (S-1-5-21-2442656019-2658457348-799937204-1003 - Limited - Enabled) => E:\Users\SadB Jeśli nie korzystasz z pozostałych, to je usuń przy udziale Panelu sterowania. Ale jeśli są używane, zaloguj się po kolei na każde z nich poprzez pełny restart komputera, a nie opcje Wyloguj / Przełącz użytkownika, i zrób na każdym po dwa nowe logi FRST z opcji Skanuj (Scan), wliczając Addition. Na koncie limitowanym FRST uruchom przez dwuklik a nie opcją "Uruchom jako Administrator", by nie zmienić kontekstu konta. Dołącz też plik fixlog.txt.
  22. Zasady działu: KLIK. Tu nie można się dopisywać do cudzych wątków. Wydzielone w osobny temat. Przyczyną powiadomień jest szkodliwe proxy, nabyte prawdopodobnie z jakiegoś instalatora z adware. SpyHunter, pomimo że to program wątpliwej konduity, nie powinien mieć z tym nic wspólnego. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Anita\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1449195473&a=1003679&src=sh&uuid=01d89c35-c925-491e-8282-fe81eba2753b" ShortcutWithArgument: C:\Users\Anita\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1449195473&a=1003679&src=sh&uuid=01d89c35-c925-491e-8282-fe81eba2753b" Task: {0BCAA24C-2F4C-4438-B81A-80195EFFB455} - System32\Tasks\LuckyBrowse => C:\Program Files (x86)\LuckyBrowse\app\luckybrowse.exe Task: {0D3A082F-5B6D-4C48-9C09-7F3DC94C62AF} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {121BFC75-9B72-4B74-A27C-7F088DFD00A6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {20C9A58E-F58B-4CD0-BF75-DCEFE9349CBB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {2BD991B5-6155-406F-A4CE-2D6BD5ADBB93} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {377C165F-1890-4E7A-A150-263DB8668C9D} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {3B189213-FDBE-4DEC-8E30-567513B92E57} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {3CAA0CF0-4CA4-45C9-9650-CFE3B2DDBE4D} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {43859894-6211-4243-A8DB-5083C00E3F5E} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {4A96C5A0-1997-401F-B58A-6D5235776544} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {54EB781F-55A6-48F6-95FA-E825295C8510} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {5CC17FFD-7263-4B4F-98D3-49FA8C65CAEF} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {614FD8C8-F608-4D4A-9D7B-B5B81F077676} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {66817B0A-2C32-40D7-936F-EDF9F2468C3E} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {6889E787-2E12-422F-A218-224082B5B58D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {6BB853E4-0885-4B6B-8F43-E202F457D0AB} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {73A43B6E-070B-446B-926F-52B92FB381C3} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {786300AC-C99C-408A-8773-92914DA871EB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {7F2D2C01-9D10-446E-84F8-448340C00F1F} - System32\Tasks\KMSAutoNet => C:\ProgramData\KMSAutoS\KMSAuto Net.exe Task: {856E3E82-E8B1-433D-8744-D5DC2BF45B06} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {93E1D463-DEB6-4C80-973F-D8C61ABC35A2} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {948DABB3-644F-471A-9A1D-F5CE8EF15FD2} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {99DA50F0-F970-4496-AF66-D22F49D4A023} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {A65B2228-9D26-4681-A893-7F60C0082BC1} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {ABFFC970-5F79-4FDD-ADDF-C0AB011A5F2C} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {ACC802ED-43FE-4B10-BE90-D25963740BA5} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {AE514418-BC2E-46A3-BDC9-E22AFB33BDCA} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B9862925-55C6-4460-8530-7280586C2B0C} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {CA0DFB64-12FE-45A9-88E3-ED342570385C} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {CC62EB3F-5459-4550-988C-09208F1E992E} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {D82B310C-BBE6-4BB2-AFDF-3F0531F306FE} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {DBBF455E-33AE-4A4B-857F-FE8038A0DAF6} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {F2DC00B7-C34F-4FF0-A835-092FF78A3611} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {F6EE56A2-0580-4BA3-92AD-38870B91F615} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {F774F101-07AC-4C06-8CBD-01903733CE19} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe U3 idsvc; Brak ImagePath RemoveDirectory: C:\Program Files (x86)\D20F3BAE-1449195566-E111-965B-DC0EA165BF5B RemoveDirectory: C:\ProgramData\KMSAutoS RemoveDirectory: C:\Users\Anita\AppData\Local\D20F3BAE-1449199205-E111-965B-DC0EA165BF5B RemoveDirectory: C:\Users\Anita\AppData\Roaming\ASPackage RemoveDirectory: C:\Windows\ehome RemoveDirectory: C:\Windows\System32\Tasks\Microsoft\Windows\Media Center DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite Automount" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v IAStorIcon /f RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox ze starych preferencji: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.
  23. Strzelczanin To jest komenda czyszczenia reguł Zapory systemu Windows - patrz na powiązaną sekcję w FRST Addition i wpisy autoryzacji adware LuckyBrowse + SimpleFiles. Czasem zamiast usuwać "linia po linii" w rejestrze za pomocą FRST robię po prostu ogólny reset usuwający wszystkie niedomyślne wpisy (po w/w komendzie sekcja w FRST Addition jest zupełnie pusta), poprawne istniejące aplikacje ponownie się samoczynnie autoryzują. Misiek87fm Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Post wydzielony w nowy temat: KLIK. Tutaj temat rozwiązany. Zamykam.
  24. Na temat pobierania z KomputerŚwiat i podobnych: KLIK. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Adobe Updater Services; C:\Documents and Settings\All Users\Dane aplikacji\Adobe Roaming Service\adb_upds.exe [3613710 2014-07-29] () [brak podpisu cyfrowego] R2 Atheros Utilities Manager; C:\Documents and Settings\All Users\Dane aplikacji\Atheros Internal\ath_isvcs.exe [32256 2015-04-22] () [brak podpisu cyfrowego] R2 Lightzap; C:\Documents and Settings\All Users\Dane aplikacji\\Lightzap\\Lightzap.exe [669184 2016-02-07] () [brak podpisu cyfrowego] AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Lightzap\Viva-Ex.dll => C:\Documents and Settings\All Users\Dane aplikacji\Lightzap\Viva-Ex.dll [257536 2016-02-07] () HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAIL83ubztNowDRyGaYNvPAWVsfOJVQ3y4VukkbMhFvKFyW7DZxUmtFsj1UCG99bpEabh3_So7OOQv0wEd-4FiQ,, HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAIL83ubztNowDRyGaYNvPAWVsfOJVQ3y4VukkbMhFvKFyW7DZxUmtFsj1UCG99bpEabh3_So7OOQv0wEd-4FiQ,, HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAIL83ubztNowDRyGaYNvPAWVsfOJVQ3y4VukkbMhFvKFyW7DZxUmtFsj1UCG99bpEabh3_So7OOQv0wEd-4FiQ,, HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-1993962763-1801674531-1606980848-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7Nzb7ygy76KzzgQdD78O06WAHxEZZWaDmfjnNwnoxijbVAG-WYSm4UEwTomhN43hbJEh-y6-ZMO0gNWamCTQ,, CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7BIRm3864ovHW57qqCDyjWmJPkNXeDsCRIoLravAFL4fV6NSxZ8kL_SvabKN0gvgiymi1dJIsRhBIElpckAA,,&q={searchTerms} CHR DefaultSearchKeyword: Default -> feed.sonic-search.com CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms} FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Setup.msi C:\Documents and Settings\All Users\Dane aplikacji\Adobe Roaming Service C:\Documents and Settings\All Users\Dane aplikacji\Atheros Internal C:\Documents and Settings\All Users\Dane aplikacji\Lightzap C:\Documents and Settings\All Users\Dane aplikacji\Lightzaps C:\Documents and Settings\All Users\Dane aplikacji\Mobility Manager C:\Documents and Settings\LocalService\Dane aplikacji\tor C:\Documents and Settings\mlody\Pulpit\Kontynuuj instalację Rufus 2.6.810.lnk C:\Documents and Settings\mlody\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Program Files\Common Files\TempTam C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\komputerswiat.pl DeleteKey: HKCU\Software\Mozilla\Seamonkey DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Adddition i Shortcut. Dołącz też plik fixlog.txt.
  25. Operacje do wykonania: 1. Deinstalacje: - Za dużo antywirusów. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj AVG Protection. Od razu usuń też Adobe Flash Player 20 PPAPI - obecnie w systemie brak przeglądarki korzystającej z tej wersji. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {036E1914-06D4-4B49-A5C0-74D6A4A4DCDB} - System32\Tasks\{F2F77055-7278-47FB-90B2-1971B979E715} => pcalua.exe -a "C:\Users\Marta\Desktop\Cywilizacja II (wersja PL).exe" -d C:\Users\Marta\Desktop Task: {0A45CF2E-6D61-4367-ADB5-54544661A0EA} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {7071A9E2-C462-4313-805E-6FA76735AE1F} - \Price Fountain -> Brak pliku Task: {A616975A-2272-4BB7-8B2F-F812F4613001} - \BeckedAcclaimerV2 -> Brak pliku Task: {D956DB4E-41E9-4F60-B5B3-532274184413} - System32\Tasks\NonporousPeweeV2 => Rundll32.exe OutfittersArchaism.dll,main 7 1 Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Marta\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE HKU\S-1-5-21-3119999886-1899336274-262433860-1001\...\Run: [bingSvc] => C:\Users\Marta\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445619408&z=f334a4984be851f475aea01g7zfz6w4qdg9t4g7z9m&from=cor&uid=ST500LM021-1KJ152_W62503JF FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\d5vwoniw.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\d5vwoniw.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF C:\ProgramData\exdqolnz.mby C:\Users\Marta\Desktop\Adobe Lightroom.lnk C:\Users\Marta\Desktop\Continue 3nity CD DVD BURNER installation.lnk C:\Users\Marta\Desktop\Continue Microsoft Silverlight Installation.lnk C:\Users\Marta\Desktop\F7ktury.lnk C:\Users\Marta\Desktop\Facebook.lnk C:\Users\Marta\Desktop\Trans.lnk C:\Users\Marta\Desktop\XMind 2012.lnk RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\Marta\AppData\Local\BeckedAcclaimer RemoveDirectory: C:\Users\Marta\AppData\Local\NonporousPewee RemoveDirectory: C:\Users\Marta\AppData\Local\Lenovo RemoveDirectory: C:\Users\Marta\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\Marta\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\System32\Tasks\Lenovo DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
×
×
  • Dodaj nową pozycję...