picasso

Ten ostatni skrypt był uruchamiany dwa razy, dlatego FRST nic już nie znalazł. W ostatnich logach rozszerzenia RealPlayer nie było już w Chrome, ale ten wpis RealUpgrade 1.1 tak. W związku z tym: 1. Uruchom Zoek. W oknie wklej: RealUpgrade 1.1;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy rozszerzenia z *.log). 2. Upłynęło sporo czasu. Na wszelki wypadek zrób nowe logi FRST (z zaznaczonym polem Addition).

Nie zapisałeś pliku Fixlist.txt w UTF-8 jak instruowałam, a poznać to można po tym, że cyrylica w jednym wpisie została przerobiona na pytajniki. Wpis został przetworzony tylko przypadkowo, gdyż FRST zinterpretował pytajniki jako znaki wieloznaczne... A dostarczony log Addition.txt jest stary z poprzedniego uruchomienia, usuwam. Poproszę o wygenerowanie nowego pliku.

Brakuje głównego raportu FRST.txt. Dołącz. PS. Wykonanie wcześniej skryptu z innego forum nic nie wniosło do sprawy, tzn. brak uszkodzeń czy wykonanej naprawy. On prawie nic nie wykonał, gdyż w skrypcie są konkretne ścieżki dostępu nieobecne oczywiście u Ciebie.

Stosowałeś ComboFix i na ten temat: KLIK. Obecnie to nie jest nawet dobry program do czyszczenia adware. I to prawdopodobnie ComboFix uszkodził poniższą instalację usuwając plik deinstalacyjny, a nie widzę na dysku Qoobox z kwarantanną, by dało się plik odzyskać: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hager Tehalit\Semiolog\Odinstaluj.lnk -> C:\Windows\IsUn0415.exe (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hager Tehalit\Elektroniczny Magnetplaner\Odinstaluj.lnk -> C:\Windows\IsUn0415.exe (Brak pliku) Jeśli chodzi o problem reklam w Google Chrome, jedyne co tu budzi podejrzenia to rozszerzenie Video AdBlock for Chrome - zainstalowane "nienormalną" metodą na poziomie rejestru, co wskazuje, że wprowadzał je zewnętrzny instalator i nie była to instalacja z Chrome Web Store. Wstępnie: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Rozszerzenia > odinstaluj Video AdBlock for Chrome. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0EE16BFD-BA97-48AD-A384-B71CA1837667} - System32\Tasks\{9A533925-0E09-491C-A980-271CE4EA6998} => pcalua.exe -a C:\Users\Adam\Downloads\VGA_nVidia_NB9X_Vista64_Win7_64_816118757\setup.exe -d C:\Users\Adam\Downloads\VGA_nVidia_NB9X_Vista64_Win7_64_816118757 U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 Tosrfcom; Brak ImagePath S3 catchme; \??\C:\ComboFix\catchme.sys [X] HKU\S-1-5-21-2241876270-1104089119-2635419705-1001\...\Policies\Explorer: [] CHR HKU\S-1-5-21-2241876270-1104089119-2635419705-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-2241876270-1104089119-2635419705-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2241876270-1104089119-2635419705-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main RemoveDirectory: C:\ProgramData\bdch EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem reklam nadal występuje.

Tak, na pewno problemem było przeklejanie z poziomu tabletu. Ostatnie akcje pomyślnie wykonane. Na koniec: 1. Był uruchamiany GMER, toteż upewnij się, że nie wystąpiły skutki uboczne (o ile już tego nie korygowałeś): KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Niezbyt dużo tu widać, po prostu adware (BingSvc w starcie oraz inne w Firefox i Internet Explorer), żadnych oznak innego typu malware, więc nie widzę potrzeby wymiany haseł. Czyli: 1. Odinstaluj: Codecs for Windows 7 Pack 4.0.5 (uszkodzony, AdwCleaner wykrywa powiązane z nim komponenty), Google Chrome (strasznie stara wersja!), Java 7 Update 45 (wiadomo). Jeśli chodzi o programy integrowane z ASUS i inne dodatkowe, to można byłoby się pozbyć tego wszystkiego (wykluczając te z których użytkownik korzysta): ASUS FancyStart (HKLM-x32\...\{2B81872B-A054-48DA-BE3B-FA5C164C303A}) (Version: 1.0.8 - ASUSTeK Computer Inc.) ----> wymiana grafiki ekranu bootowania ASUS LifeFrame3 (HKLM-x32\...\{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}) (Version: 3.1.7 - ASUS) ----> zrzuter ekranu / edytor powiązany z kamerą ASUS Live Update (HKLM-x32\...\{FA540E67-095C-4A1B-97BA-4D547DEC9AF4}) (Version: 3.0.6 - ASUS) ----> autoaktualizacja sterowników i BIOS ASUS Power4Gear Hybrid (HKLM\...\{9B6239BF-4E85-4590-8D72-51E30DB1A9AA}) (Version: 1.1.43 - ASUS) ----> tweaker zasilania ASUS SmartLogon (HKLM-x32\...\{64452561-169F-4A36-A2FF-B5E118EC65F5}) (Version: 1.0.0008 - ASUS) ----> logowanie za pomocą rozpoznawania twarzy ASUS Splendid Video Enhancement Technology (HKLM-x32\...\{0969AF05-4FF6-4C00-9406-43599238DE0D}) (Version: 1.02.0030 - ASUS) ----> "polepszanie jakości" ekranu CyberLink LabelPrint (HKLM-x32\...\InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}) (Version: 2.5.1908 - CyberLink Corp.) CyberLink Power2Go (HKLM-x32\...\InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}) (Version: 6.1.3602c - CyberLink Corp.) Fast Boot (HKLM\...\{13F4A7F3-EABC-4261-AF6B-1317777F0755}) (Version: 1.0.8 - ASUS) ----> menedżer startu Nuance PDF Reader (HKLM-x32\...\{B480904D-F73F-4673-B034-8A5F492C9184}) (Version: 6.00.0041 - Nuance Communications, Inc.) NVIDIA GeForce Experience 2.1.2 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.GFExperience) (Version: 2.1.2 - NVIDIA Corporation) syncables desktop SE (HKLM-x32\...\{341697D8-9923-445E-B42A-529E5A99CB7A}) (Version: 5.5.746.11492 - syncables) ----> synchronizacja między urządzeniami Windows Live Essentials (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3502.0922 - Microsoft Corporation) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} HKU\S-1-5-21-729949790-563291647-4237402503-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=SL5M&ocid=SL5MDHP&osmkt=pl-pl HKU\S-1-5-21-729949790-563291647-4237402503-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKU\S-1-5-21-729949790-563291647-4237402503-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKU\S-1-5-21-729949790-563291647-4237402503-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKU\S-1-5-21-729949790-563291647-4237402503-1002 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = BHO: Partner BHO Class -> {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} -> C:\ProgramData\Partner\Partner64.dll [2011-03-01] (Google Inc.) BHO-x32: Partner BHO Class -> {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} -> C:\ProgramData\Partner\Partner.dll [2011-03-01] (Google Inc.) BHO-x32: PriceFountain -> {b608cc98-54de-4775-96c9-097de398500c} -> C:\Users\Ania\AppData\Local\PriceFountain\PriceFountainIE.dll [2015-01-11] () StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Ania\AppData\Roaming\Mozilla\Firefox\Profiles\nbsr4833.default\extensions\faststartff@gmail.com FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [Brak pliku] FF Plugin HKU\S-1-5-21-729949790-563291647-4237402503-1002: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [Brak pliku] HKLM\...\Run: [ASUS WebStorage] => C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe HKU\S-1-5-21-729949790-563291647-4237402503-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\Ania\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-729949790-563291647-4237402503-1002\...\Run: [BingSvc] => C:\Users\Ania\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) HKU\S-1-5-21-729949790-563291647-4237402503-1002\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\BonanzaDealsLive DeleteKey: HKCU\Software\BrowseMark DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\ForumerIT DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\InstallCore DeleteKey: HKCU\Software\MaxiGet DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\PriceFountain DeleteKey: HKCU\Software\SupHpUISoft DeleteKey: HKCU\Software\UpdateStar DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B608CC98-54DE-4775-96C9-097DE398500C} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B608CC98-54DE-4775-96C9-097DE398500C} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DirectX Packages DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\V9Software DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{D0EC4142-5808-41D2-A4DC-6081CF1A9693} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\BrowseMark DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\mystartsearchSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\PriceMeterLiveUpdate DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupDp DeleteKey: HKLM\SOFTWARE\Wow6432Node\V9Software DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\kt_bho_dll.dll DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{28A88B70-D874-4F73-BBBA-9B2B222FB7D6} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{B608CC98-54DE-4775-96C9-097DE398500C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D0EC4142-5808-41D2-A4DC-6081CF1A9693} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{396ECD31-EDF7-489F-BDA1-83DBA4C36E81} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd deleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Partner Service RemoveDirectory: C:\Program Files\WinRAR RemoveDirectory: C:\Program Files (x86)\BrowseMark RemoveDirectory: C:\Program Files (x86)\Garmin RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\SupTab RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins RemoveDirectory: C:\Program Files (x86)\Mozilla Thunderbird RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\ProgramData\ALLPlayer RemoveDirectory: C:\ProgramData\BonanzaDealsLive RemoveDirectory: C:\ProgramData\Electronic Arts RemoveDirectory: C:\ProgramData\Garmin RemoveDirectory: C:\ProgramData\Origin RemoveDirectory: C:\ProgramData\Partner RemoveDirectory: C:\ProgramData\Skype RemoveDirectory: C:\ProgramData\WindowsMangerProtect RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avalon RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codecs for Windows 7 Pack RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra RemoveDirectory: C:\Users\Ania\AppData\Local\BonanzaDealsLive RemoveDirectory: C:\Users\Ania\AppData\Local\Facebook RemoveDirectory: C:\Users\Ania\AppData\Local\Garmin RemoveDirectory: C:\Users\Ania\AppData\Local\genienext RemoveDirectory: C:\Users\Ania\AppData\Local\Google RemoveDirectory: C:\Users\Ania\AppData\Local\Mobogenie RemoveDirectory: C:\Users\Ania\AppData\Local\PriceFountain RemoveDirectory: C:\Users\Ania\AppData\Local\PriceMeter RemoveDirectory: C:\Users\Ania\AppData\Local\Thunderbird RemoveDirectory: C:\Users\Ania\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\Ania\AppData\Local\Microsoft\Windows\GameExplorer\{F16DF3ED-1A45-4966-8A2A-ED2D02E279EE} RemoveDirectory; C:\Users\Ania\AppData\Roaming\BitComet RemoveDirectory: C:\Users\Ania\AppData\Roaming\Garmin RemoveDirectory: C:\Users\Ania\AppData\Roaming\mystartsearch RemoveDirectory: C:\Users\Ania\AppData\Roaming\newnext.me RemoveDirectory: C:\Users\Ania\AppData\Roaming\OpenCandy RemoveDirectory: C:\Users\Ania\AppData\Roaming\Systweak RemoveDirectory: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie RemoveDirectory: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain RemoveDirectory: C:\Windows\SysWOW64\AI_RecycleBin RemoveDirectory: C:\Windows\SysWOW64\C2MP C:\ProgramData\*.* C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS Utility\e-Driver.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS Utility\eManual.Lnk C:\Users\Ania\daemonprocess.txt C:\Users\Ania\AppData\Local\WebpageIcons.db C:\Users\Ania\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Windows\SIERRA.INI C:\Windows\system32\roboot64.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Wyczyść Dzienniki zdarzeń (gałęzie Aplikacja + System) i po tym zresetuj Windows, by się nagrały nowe błędy. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Otwórz załączony plik fixlog.txt - podczas przeklejania skryptu do Notatnika wystąpiły błędy, tzn. wszystkie linie zostały sklejone oraz pojawiły się artefakty (encje HTML, których w logu nie było). Skrypt wklejony do Notatnika musi mieć identyczne przejścia do nowej linii jak w moim poście. Konsekwencją jest, że skrypt FRST nie przetworzył wszystkich obiektów jak należy. Kolejne poprawki: Otwórz Notatnik i wklej w nim (6 linii): AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Lightzap\Viva-Ex.dll => Brak pliku SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-1993962763-1801674531-1606980848-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7Nzb7ygy76KzzgQdD78O06WAHxEZZWaDmfjnNwnoxijbVAG-WYSm4UEwTomhN43hbJEh-y6-ZMO0gNWamCTQ,, RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Wątpię. To co było w systemie to adware, a w tym typie Kaspersky nie jest aż tak specjalizowany.

Wszystko pomyślnie wykonane. Kolejna porcja czynności: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Ustaw Google Chrome jako domyślną przeglądarkę. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2442656019-2658457348-799937204-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www-searching.com/?pid=s&s=G1Szamobl15047,5760a648-8657-4332-9046-87f354fc5f2b,&vp=ch&prd=set_ie SearchScopes: HKU\S-1-5-21-2442656019-2658457348-799937204-1002 -> {D781B30C-5460-4760-84E6-8193ED359A44} URL = hxxp://www-searching.com/s.ashx?prd=opensearch&q={searchTerms}&s=G1Szamobl15047,5760a648-8657-4332-9046-87f354fc5f2b, CHR HKU\S-1-5-21-2442656019-2658457348-799937204-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jlcgehabolcakkjhgmgpkagpolbjlhfa] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Users\Piotr Nalewajko\AppData\Local\svcxdcl32.dat RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: E:\Users\Piotr RemoveDirectory: E:\Users\Piotr.SadBanana RemoveDirectory: E:\Users\SadB Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu (ale nie jest wykluczony). Przedstaw wynikowy fixlog.txt. 3. Wykonaj polecenie sfc /scannow, przefiltruj CBS.log i przedstaw końcowy log: KLIK.

Wszystko zrobione. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. W Dzienniku zdarzeń są takie oto błędy: Dziennik System: ============= Error: (02/06/2016 09:56:36 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa HP CUE DeviceDiscovery Zawieszenia usługi Hewlett-Packard, które powinno mieć odbicie w dłuższym uruchamianiu systemu. Wyłącz usługę. Start > w polu szukania services.msc > z prawokliku Uruchom jako Administrator > dwuklik na w/w usługę i Typ uruchomienia przestaw na Wyłączony. Dziennik Aplikacja: ================== Error: (02/06/2016 09:55:42 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Błędzik natury kosmetycznej, ale można go zlikwidować posługując się wytycznymi z KB950375. Wklej do Notatnika skrypt podany na stronie, zapisz pod nazwą FIX.VBS, plik umieścić na C:\, następnie Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator > wklep C:\FIX.VBS i ENTER.

Wszystko pomyślnie wykonane. Teraz zrób skan za pomocą Hitman Pro i dostarcz wynikowy raport.

Operacje pomyślnie wykonane. Teraz: 1. Ostatnia drobna poprawka. Otwórz Notatnik i wklej w nim: Task: {B7FDD4C4-27FF-4DD4-89CA-DB3BC9D5EBA7} - System32\Tasks\Adobe Reader and Acrobat Manager => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Po jego pokazaniu: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Cały system do aktualizacji. Stan obecny to brak SP2, IE9 i reszty łat: Platform: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) Język: Polski (Polska) Internet Explorer Wersja 7 (Domyślna przeglądarka: FF) A na koniec zainstaluj Adobe Reader XI 11.0.14. Linki pobierania w w/w linku.

Wejdź w Tryb awaryjny Windows i ponów zadanie ze skryptem FRST.

Temat przenoszę do działu Windows. Nic tu nie wskazuje, by problemy nadal tworzyła infekcja, są jakieś mało istotne martwe szczątki adware. Natomiast problem może tworzyć: instalacja Panda (to świeży nabytek) i/lub uszkodzenia plików Windows (notuję przynajmniej jeden niepodpisany cyfrowo plik Microsoftu). S3 msiserver; C:\Windows\System32\msiexec.exe [65536 2015-09-10] (Microsoft Corporation) [brak podpisu cyfrowego] Wstępnie: 1. Szybkie doczyszczenie szczątków w spoilerze. 2. Wykonaj sprawdzanie sfc /scannow i dostarcz wynikowy przefiltrowany log: KLIK.

rocklee, zasady działu wyranie mówią, że należy przedstawić raporty ze skanerów, jeśli coś wykrywają. Zaprezentuj te raporty, które nadal coś pokazują, bo skąd mogę wiedzieć co i gdzie.

Temat czyszczę, posty łączę. punisher935, jest na forum opis tworzenia raportów FRST: KLIK. Wyraźnie jest napisane, że mają być podane trzy logi: FRST.txt, Addition.txt, Shortcut.txt. Podałeś tylko jeden. Temat nie jest skończony. Skoro coś robiłeś, to należy opisać co dokładnie oraz zrobić nowe logi FRST po tych działach (wszystkie trzy).

Brak oznak czynnej infekcji i nie jest ona na pewno przyczyną "spadku wydajności". Natomiast wspominasz problemy sprzętowe, które jak najbardziej mogą się wiązać. Rozwiń o co chodzi z płytą główną, a temat przenoszę do działu Hardware. Materiały dostarczane w dziale: KLIK. PS. Odinstaluj zbędny WebStorage ASUSa. W spoilerze zaś doczyszczanie szczątków adware i wpisów pustych, co nie ma żadnego związku z w/w problemami.

Wszystko pomyślnie zrobione. Kończymy: 1. Skasuj z Pulpitu folder FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Stan aktualizacji Windows fatalny. Brak SP1, IE11 i reszty łat. Do wykonania kompleksowa aktualizacja Windows. Do załadowania będzie prawdopodobnie kilkaset aktualizacji i może to długo trwać. Platform: Microsoft Windows 7 Ultimate (X86) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

Poprawki: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres yoursearching.com, przestaw na "Otwórz stronę nowej karty" 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Opisz problem, o jakie "wirusy" chodzi, gdzie wykryte, co się dzieje. W raportach nie widać żadnych "wirusów", są tylko drobne szczątki adware i wpisy puste, czym zajmę się po otrzymaniu informacji jaki konkretnie masz problem.

Zgłoszenia URL:Mal tworzy malware wykorzystujące następującą klasę użytkownika: CustomCLSID: HKU\S-1-5-21-2807787745-202846158-3995719364-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\ddrawex.dll (Brother Industries, Ltd.) Droga nabycia to exploity Adobe: KLIK. Posiadasz niebezpieczne stare wersje Adobe Flash. Malware na pewno nie zostało nabyte podczas aktualizacji KMPlayer. Działania do przeprowadzenia: 1. Odinstaluj stare wersje: Acrobat.com, Adobe AIR, Adobe Flash Player 17 ActiveX, Adobe Flash Player 18 NPAPI, Google Talk Plugin (już nie działa), Java SE Development Kit 8 Update 60 (64-bit), JavaFX 2.1.1, Spelling Dictionaries Support For Adobe Reader 9. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-2807787745-202846158-3995719364-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2807787745-202846158-3995719364-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\ddrawex.dll (Brother Industries, Ltd.) Task: {19008DFC-2C51-4C29-961F-A4865D9C9616} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {5CD7C4C3-2201-4F69-8872-BF51E298DAD8} - System32\Tasks\{AF732C50-561D-4080-B3DC-60CDBDD7CD53} => pcalua.exe -a E:\Steam\steam.exe -c steam://uninstall/570 Task: {70B4BDDE-0EB1-4E35-BBB2-1927D21CA235} - System32\Tasks\{043EEFC9-FCF7-4094-9B60-1677DADE5838} => pcalua.exe -a C:\Users\Jakub\AppData\Roaming\qone8\UninstallManager.exe -c -ptid=smt Task: {BE2F6CE4-44E9-427C-9026-E5E047B8A473} - System32\Tasks\{8DD4452B-73CD-4F2F-BD1E-3EDF51FE1CD8} => pcalua.exe -a H:\setup.exe -d H:\ Task: {FCEE956C-3717-4F8F-AC06-1701184D91AE} - System32\Tasks\{DFE44FA3-5F33-4403-A175-583420379A71} => pcalua.exe -a E:\carbon\EAUninstall.exe S3 cmudaxp; system32\drivers\cmudaxp.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 netr28ux; system32\DRIVERS\netr28ux.sys [X] HKU\S-1-5-21-2807787745-202846158-3995719364-1000\...\Run: [zASRockInstantBoot] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-21-2807787745-202846158-3995719364-1000 -> {C2741F95-FA91-481f-995A-BA628352CC41} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A4107735745&ie=UTF-8&q=&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4107735745&q={searchTerms} SearchScopes: HKU\S-1-5-21-2807787745-202846158-3995719364-1000 -> {D2D7B86C-C473-4f13-BF4F-59AB573AD9A3} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=PROTOSV Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxps://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeBridge DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASRockXTU DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ESL Wire DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightScribe Control Panel DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NBAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spotify Web Helper DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop Lightroom 3.4 64-bit.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DiRT Rally.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZ CD Audio Converter.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto V.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Project CARS.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codemasters C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ekierowca C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZ CD Audio Converter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Goat Simulator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line C:\Users\Jakub\AppData\Local\*.* C:\Users\Jakub\AppData\Local\Eclipse C:\Users\Jakub\AppData\Local\Ektion C:\Users\Jakub\AppData\Local\Mozilla C:\Users\Jakub\AppData\Local\MSfree Inc C:\Users\Jakub\AppData\Local\Microsoft\Windows\GameExplorer\{54A67A6E-9321-45A9-AEC9-F0B488C3B0B0} C:\Users\Jakub\AppData\Local\Microsoft\Windows\GameExplorer\{9299C7A8-7B49-416D-923F-3EB861435D92} C:\Users\Jakub\AppData\Roaming\*.* C:\Users\Jakub\AppData\Roaming\Scenography C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\GameExplorer\PlayTasks C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\GameExplorer\SupportTasks C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\SendTo\Znajomy Xfire.lnk C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Eclipse C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Rocksmith 2014 C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StarCraft II C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\War Thunder C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunderDev C:\Users\Jakub\AppData\Roaming\Mozilla C:\Users\Public\Desktop\Lightroom 3.4 64-bit.lnk C:\Users\Jakub\Downloads\*.crdownload CMD: netsh advfirewall reset CMD: SET EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), na następujących opcjach: zaznacz pola Lista BCD oraz Addition, Shortcut już nie jest potrzebny. Dołącz też plik fixlog.txt.

To narzędzie Microsoftu służy tylko do usuwania rejestracji MSI produktu i nie jest dedykowane do usuwania SpyHunter. Działania do przeprowadzenia: 1. Nie odinstalowałeś adware QuickSearch. Jeśli pominąłeś to przez nieuwagę, to odinstaluj normalnie przez Panel sterowania. Jeśli natomiast był błąd deinstalacji, i tak zajmie się tym poniższy skrypt FRST. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 zcengine; C:\Program Files (x86)\QuickSearch\zcengine.exe [2435535 2016-01-28] (zcengine) [brak podpisu cyfrowego] R2 zcwfp; C:\Windows\system32\Drivers\zcwfp64.sys [46352 2016-01-11] (zcengine) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-01-28] () S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X] CMD: netsh winsock reset CMD: type C:\Windows\System32\Tasks\IBUpd2 Task: {0B7D668B-9982-4AB1-8510-5835D835A866} - System32\Tasks\IBUpd2 => C:\Users\Piotr [2016-02-08] () Task: {AC198095-E297-4C08-B1DC-5E204A63B4E4} - \egw3017 -> Brak pliku Task: {B7B36AFD-1A17-43E1-A6CD-0F68904DEA49} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {F10DCBBA-CF96-4F43-AF64-0465735D7CE1} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zcengine => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zcwfp => ""="Driver" HKLM-x32\...\Run: [DLLSuite2016] => C:\Program Files (x86)\DLL Suite\DLLSuite.exe HKU\S-1-5-18\...\Run: [ZoneAlarm Windows 10 Upgrader] => "C:\ProgramData\CheckPoint\ZoneAlarm\Data\Updates\unpacked==win10=update_win10.zip\upgrade.exe" /delay HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\QuickSearch C:\END C:\Program Files (x86)\DLL Suite C:\Program Files (x86)\QuickSearch C:\sh4ldr C:\Windows\system32\zcengine64.dll C:\Windows\system32\zcengineOff.ini C:\Windows\system32\log C:\Windows\system32\Drivers\*.tmp C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\sdfhgdf.sys C:\Windows\system32\Drivers\zcwfp64.sys C:\Windows\SysWOW64\zcengine.dll C:\Windows\SysWOW64\zcengineOff.ini E:\Users\Piotr\{3f38c82a-b751-460f-97f0-9a785e951b7e}.tmp E:\Users\Piotr Nalewajko\AppData\Local\svcxdcl32.dat E:\Users\Piotr.SadBanana\AppData\Local\Google E:\Users\Piotr.SadBanana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk E:\Users\Piotr.SadBanana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk E:\Users\SadB\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Do usunięcia SpyHunter wykorzystaj specjalizowane narzędzie SpyHunterCleaner. 4. Są tu aż trzy konta: ==================== Konta użytkowników: ============================= Piotr (S-1-5-21-2442656019-2658457348-799937204-1001 - Administrator - Enabled) => E:\Users\Piotr.SadBanana Piotr Nalewajko (S-1-5-21-2442656019-2658457348-799937204-1002 - Administrator - Enabled) => C:\Users\Piotr Nalewajko SadB (S-1-5-21-2442656019-2658457348-799937204-1003 - Limited - Enabled) => E:\Users\SadB Jeśli nie korzystasz z pozostałych, to je usuń przy udziale Panelu sterowania. Ale jeśli są używane, zaloguj się po kolei na każde z nich poprzez pełny restart komputera, a nie opcje Wyloguj / Przełącz użytkownika, i zrób na każdym po dwa nowe logi FRST z opcji Skanuj (Scan), wliczając Addition. Na koncie limitowanym FRST uruchom przez dwuklik a nie opcją "Uruchom jako Administrator", by nie zmienić kontekstu konta. Dołącz też plik fixlog.txt.

Zasady działu: KLIK. Tu nie można się dopisywać do cudzych wątków. Wydzielone w osobny temat. Przyczyną powiadomień jest szkodliwe proxy, nabyte prawdopodobnie z jakiegoś instalatora z adware. SpyHunter, pomimo że to program wątpliwej konduity, nie powinien mieć z tym nic wspólnego. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Anita\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1449195473&a=1003679&src=sh&uuid=01d89c35-c925-491e-8282-fe81eba2753b" ShortcutWithArgument: C:\Users\Anita\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1449195473&a=1003679&src=sh&uuid=01d89c35-c925-491e-8282-fe81eba2753b" Task: {0BCAA24C-2F4C-4438-B81A-80195EFFB455} - System32\Tasks\LuckyBrowse => C:\Program Files (x86)\LuckyBrowse\app\luckybrowse.exe Task: {0D3A082F-5B6D-4C48-9C09-7F3DC94C62AF} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {121BFC75-9B72-4B74-A27C-7F088DFD00A6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {20C9A58E-F58B-4CD0-BF75-DCEFE9349CBB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {2BD991B5-6155-406F-A4CE-2D6BD5ADBB93} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {377C165F-1890-4E7A-A150-263DB8668C9D} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {3B189213-FDBE-4DEC-8E30-567513B92E57} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {3CAA0CF0-4CA4-45C9-9650-CFE3B2DDBE4D} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {43859894-6211-4243-A8DB-5083C00E3F5E} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {4A96C5A0-1997-401F-B58A-6D5235776544} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {54EB781F-55A6-48F6-95FA-E825295C8510} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {5CC17FFD-7263-4B4F-98D3-49FA8C65CAEF} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {614FD8C8-F608-4D4A-9D7B-B5B81F077676} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {66817B0A-2C32-40D7-936F-EDF9F2468C3E} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {6889E787-2E12-422F-A218-224082B5B58D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {6BB853E4-0885-4B6B-8F43-E202F457D0AB} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {73A43B6E-070B-446B-926F-52B92FB381C3} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {786300AC-C99C-408A-8773-92914DA871EB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {7F2D2C01-9D10-446E-84F8-448340C00F1F} - System32\Tasks\KMSAutoNet => C:\ProgramData\KMSAutoS\KMSAuto Net.exe Task: {856E3E82-E8B1-433D-8744-D5DC2BF45B06} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {93E1D463-DEB6-4C80-973F-D8C61ABC35A2} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {948DABB3-644F-471A-9A1D-F5CE8EF15FD2} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {99DA50F0-F970-4496-AF66-D22F49D4A023} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {A65B2228-9D26-4681-A893-7F60C0082BC1} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {ABFFC970-5F79-4FDD-ADDF-C0AB011A5F2C} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {ACC802ED-43FE-4B10-BE90-D25963740BA5} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {AE514418-BC2E-46A3-BDC9-E22AFB33BDCA} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B9862925-55C6-4460-8530-7280586C2B0C} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {CA0DFB64-12FE-45A9-88E3-ED342570385C} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {CC62EB3F-5459-4550-988C-09208F1E992E} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {D82B310C-BBE6-4BB2-AFDF-3F0531F306FE} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {DBBF455E-33AE-4A4B-857F-FE8038A0DAF6} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {F2DC00B7-C34F-4FF0-A835-092FF78A3611} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {F6EE56A2-0580-4BA3-92AD-38870B91F615} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {F774F101-07AC-4C06-8CBD-01903733CE19} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe U3 idsvc; Brak ImagePath RemoveDirectory: C:\Program Files (x86)\D20F3BAE-1449195566-E111-965B-DC0EA165BF5B RemoveDirectory: C:\ProgramData\KMSAutoS RemoveDirectory: C:\Users\Anita\AppData\Local\D20F3BAE-1449199205-E111-965B-DC0EA165BF5B RemoveDirectory: C:\Users\Anita\AppData\Roaming\ASPackage RemoveDirectory: C:\Windows\ehome RemoveDirectory: C:\Windows\System32\Tasks\Microsoft\Windows\Media Center DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite Automount" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v IAStorIcon /f RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox ze starych preferencji: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Strzelczanin To jest komenda czyszczenia reguł Zapory systemu Windows - patrz na powiązaną sekcję w FRST Addition i wpisy autoryzacji adware LuckyBrowse + SimpleFiles. Czasem zamiast usuwać "linia po linii" w rejestrze za pomocą FRST robię po prostu ogólny reset usuwający wszystkie niedomyślne wpisy (po w/w komendzie sekcja w FRST Addition jest zupełnie pusta), poprawne istniejące aplikacje ponownie się samoczynnie autoryzują. Misiek87fm Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Post wydzielony w nowy temat: KLIK. Tutaj temat rozwiązany. Zamykam.

Na temat pobierania z KomputerŚwiat i podobnych: KLIK. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Adobe Updater Services; C:\Documents and Settings\All Users\Dane aplikacji\Adobe Roaming Service\adb_upds.exe [3613710 2014-07-29] () [brak podpisu cyfrowego] R2 Atheros Utilities Manager; C:\Documents and Settings\All Users\Dane aplikacji\Atheros Internal\ath_isvcs.exe [32256 2015-04-22] () [brak podpisu cyfrowego] R2 Lightzap; C:\Documents and Settings\All Users\Dane aplikacji\\Lightzap\\Lightzap.exe [669184 2016-02-07] () [brak podpisu cyfrowego] AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Lightzap\Viva-Ex.dll => C:\Documents and Settings\All Users\Dane aplikacji\Lightzap\Viva-Ex.dll [257536 2016-02-07] () HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAIL83ubztNowDRyGaYNvPAWVsfOJVQ3y4VukkbMhFvKFyW7DZxUmtFsj1UCG99bpEabh3_So7OOQv0wEd-4FiQ,, HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAIL83ubztNowDRyGaYNvPAWVsfOJVQ3y4VukkbMhFvKFyW7DZxUmtFsj1UCG99bpEabh3_So7OOQv0wEd-4FiQ,, HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAIL83ubztNowDRyGaYNvPAWVsfOJVQ3y4VukkbMhFvKFyW7DZxUmtFsj1UCG99bpEabh3_So7OOQv0wEd-4FiQ,, HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-1993962763-1801674531-1606980848-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7Nzb7ygy76KzzgQdD78O06WAHxEZZWaDmfjnNwnoxijbVAG-WYSm4UEwTomhN43hbJEh-y6-ZMO0gNWamCTQ,, CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7BIRm3864ovHW57qqCDyjWmJPkNXeDsCRIoLravAFL4fV6NSxZ8kL_SvabKN0gvgiymi1dJIsRhBIElpckAA,,&q={searchTerms} CHR DefaultSearchKeyword: Default -> feed.sonic-search.com CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms} FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Setup.msi C:\Documents and Settings\All Users\Dane aplikacji\Adobe Roaming Service C:\Documents and Settings\All Users\Dane aplikacji\Atheros Internal C:\Documents and Settings\All Users\Dane aplikacji\Lightzap C:\Documents and Settings\All Users\Dane aplikacji\Lightzaps C:\Documents and Settings\All Users\Dane aplikacji\Mobility Manager C:\Documents and Settings\LocalService\Dane aplikacji\tor C:\Documents and Settings\mlody\Pulpit\Kontynuuj instalację Rufus 2.6.810.lnk C:\Documents and Settings\mlody\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Program Files\Common Files\TempTam C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\komputerswiat.pl DeleteKey: HKCU\Software\Mozilla\Seamonkey DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Adddition i Shortcut. Dołącz też plik fixlog.txt.

Operacje do wykonania: 1. Deinstalacje: - Za dużo antywirusów. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj AVG Protection. Od razu usuń też Adobe Flash Player 20 PPAPI - obecnie w systemie brak przeglądarki korzystającej z tej wersji. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {036E1914-06D4-4B49-A5C0-74D6A4A4DCDB} - System32\Tasks\{F2F77055-7278-47FB-90B2-1971B979E715} => pcalua.exe -a "C:\Users\Marta\Desktop\Cywilizacja II (wersja PL).exe" -d C:\Users\Marta\Desktop Task: {0A45CF2E-6D61-4367-ADB5-54544661A0EA} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {7071A9E2-C462-4313-805E-6FA76735AE1F} - \Price Fountain -> Brak pliku Task: {A616975A-2272-4BB7-8B2F-F812F4613001} - \BeckedAcclaimerV2 -> Brak pliku Task: {D956DB4E-41E9-4F60-B5B3-532274184413} - System32\Tasks\NonporousPeweeV2 => Rundll32.exe OutfittersArchaism.dll,main 7 1 Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Marta\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE HKU\S-1-5-21-3119999886-1899336274-262433860-1001\...\Run: [bingSvc] => C:\Users\Marta\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445619408&z=f334a4984be851f475aea01g7zfz6w4qdg9t4g7z9m&from=cor&uid=ST500LM021-1KJ152_W62503JF FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\d5vwoniw.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\d5vwoniw.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF C:\ProgramData\exdqolnz.mby C:\Users\Marta\Desktop\Adobe Lightroom.lnk C:\Users\Marta\Desktop\Continue 3nity CD DVD BURNER installation.lnk C:\Users\Marta\Desktop\Continue Microsoft Silverlight Installation.lnk C:\Users\Marta\Desktop\F7ktury.lnk C:\Users\Marta\Desktop\Facebook.lnk C:\Users\Marta\Desktop\Trans.lnk C:\Users\Marta\Desktop\XMind 2012.lnk RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\Marta\AppData\Local\BeckedAcclaimer RemoveDirectory: C:\Users\Marta\AppData\Local\NonporousPewee RemoveDirectory: C:\Users\Marta\AppData\Local\Lenovo RemoveDirectory: C:\Users\Marta\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\Marta\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\System32\Tasks\Lenovo DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.