picasso

rocklee, zasady działu wyranie mówią, że należy przedstawić raporty ze skanerów, jeśli coś wykrywają. Zaprezentuj te raporty, które nadal coś pokazują, bo skąd mogę wiedzieć co i gdzie.

Temat czyszczę, posty łączę. punisher935, jest na forum opis tworzenia raportów FRST: KLIK. Wyraźnie jest napisane, że mają być podane trzy logi: FRST.txt, Addition.txt, Shortcut.txt. Podałeś tylko jeden. Temat nie jest skończony. Skoro coś robiłeś, to należy opisać co dokładnie oraz zrobić nowe logi FRST po tych działach (wszystkie trzy).

Brak oznak czynnej infekcji i nie jest ona na pewno przyczyną "spadku wydajności". Natomiast wspominasz problemy sprzętowe, które jak najbardziej mogą się wiązać. Rozwiń o co chodzi z płytą główną, a temat przenoszę do działu Hardware. Materiały dostarczane w dziale: KLIK. PS. Odinstaluj zbędny WebStorage ASUSa. W spoilerze zaś doczyszczanie szczątków adware i wpisów pustych, co nie ma żadnego związku z w/w problemami.

Wszystko pomyślnie zrobione. Kończymy: 1. Skasuj z Pulpitu folder FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Stan aktualizacji Windows fatalny. Brak SP1, IE11 i reszty łat. Do wykonania kompleksowa aktualizacja Windows. Do załadowania będzie prawdopodobnie kilkaset aktualizacji i może to długo trwać. Platform: Microsoft Windows 7 Ultimate (X86) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

Poprawki: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres yoursearching.com, przestaw na "Otwórz stronę nowej karty" 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Opisz problem, o jakie "wirusy" chodzi, gdzie wykryte, co się dzieje. W raportach nie widać żadnych "wirusów", są tylko drobne szczątki adware i wpisy puste, czym zajmę się po otrzymaniu informacji jaki konkretnie masz problem.

Zgłoszenia URL:Mal tworzy malware wykorzystujące następującą klasę użytkownika: CustomCLSID: HKU\S-1-5-21-2807787745-202846158-3995719364-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\ddrawex.dll (Brother Industries, Ltd.) Droga nabycia to exploity Adobe: KLIK. Posiadasz niebezpieczne stare wersje Adobe Flash. Malware na pewno nie zostało nabyte podczas aktualizacji KMPlayer. Działania do przeprowadzenia: 1. Odinstaluj stare wersje: Acrobat.com, Adobe AIR, Adobe Flash Player 17 ActiveX, Adobe Flash Player 18 NPAPI, Google Talk Plugin (już nie działa), Java SE Development Kit 8 Update 60 (64-bit), JavaFX 2.1.1, Spelling Dictionaries Support For Adobe Reader 9. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-2807787745-202846158-3995719364-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2807787745-202846158-3995719364-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\ddrawex.dll (Brother Industries, Ltd.) Task: {19008DFC-2C51-4C29-961F-A4865D9C9616} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {5CD7C4C3-2201-4F69-8872-BF51E298DAD8} - System32\Tasks\{AF732C50-561D-4080-B3DC-60CDBDD7CD53} => pcalua.exe -a E:\Steam\steam.exe -c steam://uninstall/570 Task: {70B4BDDE-0EB1-4E35-BBB2-1927D21CA235} - System32\Tasks\{043EEFC9-FCF7-4094-9B60-1677DADE5838} => pcalua.exe -a C:\Users\Jakub\AppData\Roaming\qone8\UninstallManager.exe -c -ptid=smt Task: {BE2F6CE4-44E9-427C-9026-E5E047B8A473} - System32\Tasks\{8DD4452B-73CD-4F2F-BD1E-3EDF51FE1CD8} => pcalua.exe -a H:\setup.exe -d H:\ Task: {FCEE956C-3717-4F8F-AC06-1701184D91AE} - System32\Tasks\{DFE44FA3-5F33-4403-A175-583420379A71} => pcalua.exe -a E:\carbon\EAUninstall.exe S3 cmudaxp; system32\drivers\cmudaxp.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 netr28ux; system32\DRIVERS\netr28ux.sys [X] HKU\S-1-5-21-2807787745-202846158-3995719364-1000\...\Run: [zASRockInstantBoot] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-21-2807787745-202846158-3995719364-1000 -> {C2741F95-FA91-481f-995A-BA628352CC41} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A4107735745&ie=UTF-8&q=&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4107735745&q={searchTerms} SearchScopes: HKU\S-1-5-21-2807787745-202846158-3995719364-1000 -> {D2D7B86C-C473-4f13-BF4F-59AB573AD9A3} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=PROTOSV Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxps://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeBridge DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASRockXTU DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ESL Wire DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightScribe Control Panel DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NBAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spotify Web Helper DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop Lightroom 3.4 64-bit.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DiRT Rally.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZ CD Audio Converter.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto V.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Project CARS.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codemasters C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ekierowca C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZ CD Audio Converter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Goat Simulator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line C:\Users\Jakub\AppData\Local\*.* C:\Users\Jakub\AppData\Local\Eclipse C:\Users\Jakub\AppData\Local\Ektion C:\Users\Jakub\AppData\Local\Mozilla C:\Users\Jakub\AppData\Local\MSfree Inc C:\Users\Jakub\AppData\Local\Microsoft\Windows\GameExplorer\{54A67A6E-9321-45A9-AEC9-F0B488C3B0B0} C:\Users\Jakub\AppData\Local\Microsoft\Windows\GameExplorer\{9299C7A8-7B49-416D-923F-3EB861435D92} C:\Users\Jakub\AppData\Roaming\*.* C:\Users\Jakub\AppData\Roaming\Scenography C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\GameExplorer\PlayTasks C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\GameExplorer\SupportTasks C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\SendTo\Znajomy Xfire.lnk C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Eclipse C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Rocksmith 2014 C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StarCraft II C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\War Thunder C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunderDev C:\Users\Jakub\AppData\Roaming\Mozilla C:\Users\Public\Desktop\Lightroom 3.4 64-bit.lnk C:\Users\Jakub\Downloads\*.crdownload CMD: netsh advfirewall reset CMD: SET EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), na następujących opcjach: zaznacz pola Lista BCD oraz Addition, Shortcut już nie jest potrzebny. Dołącz też plik fixlog.txt.

To narzędzie Microsoftu służy tylko do usuwania rejestracji MSI produktu i nie jest dedykowane do usuwania SpyHunter. Działania do przeprowadzenia: 1. Nie odinstalowałeś adware QuickSearch. Jeśli pominąłeś to przez nieuwagę, to odinstaluj normalnie przez Panel sterowania. Jeśli natomiast był błąd deinstalacji, i tak zajmie się tym poniższy skrypt FRST. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 zcengine; C:\Program Files (x86)\QuickSearch\zcengine.exe [2435535 2016-01-28] (zcengine) [brak podpisu cyfrowego] R2 zcwfp; C:\Windows\system32\Drivers\zcwfp64.sys [46352 2016-01-11] (zcengine) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-01-28] () S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X] CMD: netsh winsock reset CMD: type C:\Windows\System32\Tasks\IBUpd2 Task: {0B7D668B-9982-4AB1-8510-5835D835A866} - System32\Tasks\IBUpd2 => C:\Users\Piotr [2016-02-08] () Task: {AC198095-E297-4C08-B1DC-5E204A63B4E4} - \egw3017 -> Brak pliku Task: {B7B36AFD-1A17-43E1-A6CD-0F68904DEA49} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {F10DCBBA-CF96-4F43-AF64-0465735D7CE1} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zcengine => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zcwfp => ""="Driver" HKLM-x32\...\Run: [DLLSuite2016] => C:\Program Files (x86)\DLL Suite\DLLSuite.exe HKU\S-1-5-18\...\Run: [ZoneAlarm Windows 10 Upgrader] => "C:\ProgramData\CheckPoint\ZoneAlarm\Data\Updates\unpacked==win10=update_win10.zip\upgrade.exe" /delay HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\QuickSearch C:\END C:\Program Files (x86)\DLL Suite C:\Program Files (x86)\QuickSearch C:\sh4ldr C:\Windows\system32\zcengine64.dll C:\Windows\system32\zcengineOff.ini C:\Windows\system32\log C:\Windows\system32\Drivers\*.tmp C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\sdfhgdf.sys C:\Windows\system32\Drivers\zcwfp64.sys C:\Windows\SysWOW64\zcengine.dll C:\Windows\SysWOW64\zcengineOff.ini E:\Users\Piotr\{3f38c82a-b751-460f-97f0-9a785e951b7e}.tmp E:\Users\Piotr Nalewajko\AppData\Local\svcxdcl32.dat E:\Users\Piotr.SadBanana\AppData\Local\Google E:\Users\Piotr.SadBanana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk E:\Users\Piotr.SadBanana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk E:\Users\SadB\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Do usunięcia SpyHunter wykorzystaj specjalizowane narzędzie SpyHunterCleaner. 4. Są tu aż trzy konta: ==================== Konta użytkowników: ============================= Piotr (S-1-5-21-2442656019-2658457348-799937204-1001 - Administrator - Enabled) => E:\Users\Piotr.SadBanana Piotr Nalewajko (S-1-5-21-2442656019-2658457348-799937204-1002 - Administrator - Enabled) => C:\Users\Piotr Nalewajko SadB (S-1-5-21-2442656019-2658457348-799937204-1003 - Limited - Enabled) => E:\Users\SadB Jeśli nie korzystasz z pozostałych, to je usuń przy udziale Panelu sterowania. Ale jeśli są używane, zaloguj się po kolei na każde z nich poprzez pełny restart komputera, a nie opcje Wyloguj / Przełącz użytkownika, i zrób na każdym po dwa nowe logi FRST z opcji Skanuj (Scan), wliczając Addition. Na koncie limitowanym FRST uruchom przez dwuklik a nie opcją "Uruchom jako Administrator", by nie zmienić kontekstu konta. Dołącz też plik fixlog.txt.

Zasady działu: KLIK. Tu nie można się dopisywać do cudzych wątków. Wydzielone w osobny temat. Przyczyną powiadomień jest szkodliwe proxy, nabyte prawdopodobnie z jakiegoś instalatora z adware. SpyHunter, pomimo że to program wątpliwej konduity, nie powinien mieć z tym nic wspólnego. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Anita\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1449195473&a=1003679&src=sh&uuid=01d89c35-c925-491e-8282-fe81eba2753b" ShortcutWithArgument: C:\Users\Anita\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1449195473&a=1003679&src=sh&uuid=01d89c35-c925-491e-8282-fe81eba2753b" Task: {0BCAA24C-2F4C-4438-B81A-80195EFFB455} - System32\Tasks\LuckyBrowse => C:\Program Files (x86)\LuckyBrowse\app\luckybrowse.exe Task: {0D3A082F-5B6D-4C48-9C09-7F3DC94C62AF} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {121BFC75-9B72-4B74-A27C-7F088DFD00A6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {20C9A58E-F58B-4CD0-BF75-DCEFE9349CBB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {2BD991B5-6155-406F-A4CE-2D6BD5ADBB93} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {377C165F-1890-4E7A-A150-263DB8668C9D} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {3B189213-FDBE-4DEC-8E30-567513B92E57} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {3CAA0CF0-4CA4-45C9-9650-CFE3B2DDBE4D} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {43859894-6211-4243-A8DB-5083C00E3F5E} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {4A96C5A0-1997-401F-B58A-6D5235776544} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {54EB781F-55A6-48F6-95FA-E825295C8510} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {5CC17FFD-7263-4B4F-98D3-49FA8C65CAEF} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {614FD8C8-F608-4D4A-9D7B-B5B81F077676} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {66817B0A-2C32-40D7-936F-EDF9F2468C3E} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {6889E787-2E12-422F-A218-224082B5B58D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {6BB853E4-0885-4B6B-8F43-E202F457D0AB} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {73A43B6E-070B-446B-926F-52B92FB381C3} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {786300AC-C99C-408A-8773-92914DA871EB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {7F2D2C01-9D10-446E-84F8-448340C00F1F} - System32\Tasks\KMSAutoNet => C:\ProgramData\KMSAutoS\KMSAuto Net.exe Task: {856E3E82-E8B1-433D-8744-D5DC2BF45B06} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {93E1D463-DEB6-4C80-973F-D8C61ABC35A2} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {948DABB3-644F-471A-9A1D-F5CE8EF15FD2} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {99DA50F0-F970-4496-AF66-D22F49D4A023} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {A65B2228-9D26-4681-A893-7F60C0082BC1} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {ABFFC970-5F79-4FDD-ADDF-C0AB011A5F2C} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {ACC802ED-43FE-4B10-BE90-D25963740BA5} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {AE514418-BC2E-46A3-BDC9-E22AFB33BDCA} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B9862925-55C6-4460-8530-7280586C2B0C} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {CA0DFB64-12FE-45A9-88E3-ED342570385C} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {CC62EB3F-5459-4550-988C-09208F1E992E} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {D82B310C-BBE6-4BB2-AFDF-3F0531F306FE} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {DBBF455E-33AE-4A4B-857F-FE8038A0DAF6} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {F2DC00B7-C34F-4FF0-A835-092FF78A3611} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {F6EE56A2-0580-4BA3-92AD-38870B91F615} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {F774F101-07AC-4C06-8CBD-01903733CE19} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe U3 idsvc; Brak ImagePath RemoveDirectory: C:\Program Files (x86)\D20F3BAE-1449195566-E111-965B-DC0EA165BF5B RemoveDirectory: C:\ProgramData\KMSAutoS RemoveDirectory: C:\Users\Anita\AppData\Local\D20F3BAE-1449199205-E111-965B-DC0EA165BF5B RemoveDirectory: C:\Users\Anita\AppData\Roaming\ASPackage RemoveDirectory: C:\Windows\ehome RemoveDirectory: C:\Windows\System32\Tasks\Microsoft\Windows\Media Center DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite Automount" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v IAStorIcon /f RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox ze starych preferencji: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Strzelczanin To jest komenda czyszczenia reguł Zapory systemu Windows - patrz na powiązaną sekcję w FRST Addition i wpisy autoryzacji adware LuckyBrowse + SimpleFiles. Czasem zamiast usuwać "linia po linii" w rejestrze za pomocą FRST robię po prostu ogólny reset usuwający wszystkie niedomyślne wpisy (po w/w komendzie sekcja w FRST Addition jest zupełnie pusta), poprawne istniejące aplikacje ponownie się samoczynnie autoryzują. Misiek87fm Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Post wydzielony w nowy temat: KLIK. Tutaj temat rozwiązany. Zamykam.

Na temat pobierania z KomputerŚwiat i podobnych: KLIK. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Adobe Updater Services; C:\Documents and Settings\All Users\Dane aplikacji\Adobe Roaming Service\adb_upds.exe [3613710 2014-07-29] () [brak podpisu cyfrowego] R2 Atheros Utilities Manager; C:\Documents and Settings\All Users\Dane aplikacji\Atheros Internal\ath_isvcs.exe [32256 2015-04-22] () [brak podpisu cyfrowego] R2 Lightzap; C:\Documents and Settings\All Users\Dane aplikacji\\Lightzap\\Lightzap.exe [669184 2016-02-07] () [brak podpisu cyfrowego] AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Lightzap\Viva-Ex.dll => C:\Documents and Settings\All Users\Dane aplikacji\Lightzap\Viva-Ex.dll [257536 2016-02-07] () HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAIL83ubztNowDRyGaYNvPAWVsfOJVQ3y4VukkbMhFvKFyW7DZxUmtFsj1UCG99bpEabh3_So7OOQv0wEd-4FiQ,, HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAIL83ubztNowDRyGaYNvPAWVsfOJVQ3y4VukkbMhFvKFyW7DZxUmtFsj1UCG99bpEabh3_So7OOQv0wEd-4FiQ,, HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAIL83ubztNowDRyGaYNvPAWVsfOJVQ3y4VukkbMhFvKFyW7DZxUmtFsj1UCG99bpEabh3_So7OOQv0wEd-4FiQ,, HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-1993962763-1801674531-1606980848-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7Nzb7ygy76KzzgQdD78O06WAHxEZZWaDmfjnNwnoxijbVAG-WYSm4UEwTomhN43hbJEh-y6-ZMO0gNWamCTQ,, CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7BIRm3864ovHW57qqCDyjWmJPkNXeDsCRIoLravAFL4fV6NSxZ8kL_SvabKN0gvgiymi1dJIsRhBIElpckAA,,&q={searchTerms} CHR DefaultSearchKeyword: Default -> feed.sonic-search.com CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms} FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Setup.msi C:\Documents and Settings\All Users\Dane aplikacji\Adobe Roaming Service C:\Documents and Settings\All Users\Dane aplikacji\Atheros Internal C:\Documents and Settings\All Users\Dane aplikacji\Lightzap C:\Documents and Settings\All Users\Dane aplikacji\Lightzaps C:\Documents and Settings\All Users\Dane aplikacji\Mobility Manager C:\Documents and Settings\LocalService\Dane aplikacji\tor C:\Documents and Settings\mlody\Pulpit\Kontynuuj instalację Rufus 2.6.810.lnk C:\Documents and Settings\mlody\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Program Files\Common Files\TempTam C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\komputerswiat.pl DeleteKey: HKCU\Software\Mozilla\Seamonkey DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Adddition i Shortcut. Dołącz też plik fixlog.txt.

Operacje do wykonania: 1. Deinstalacje: - Za dużo antywirusów. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj AVG Protection. Od razu usuń też Adobe Flash Player 20 PPAPI - obecnie w systemie brak przeglądarki korzystającej z tej wersji. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {036E1914-06D4-4B49-A5C0-74D6A4A4DCDB} - System32\Tasks\{F2F77055-7278-47FB-90B2-1971B979E715} => pcalua.exe -a "C:\Users\Marta\Desktop\Cywilizacja II (wersja PL).exe" -d C:\Users\Marta\Desktop Task: {0A45CF2E-6D61-4367-ADB5-54544661A0EA} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {7071A9E2-C462-4313-805E-6FA76735AE1F} - \Price Fountain -> Brak pliku Task: {A616975A-2272-4BB7-8B2F-F812F4613001} - \BeckedAcclaimerV2 -> Brak pliku Task: {D956DB4E-41E9-4F60-B5B3-532274184413} - System32\Tasks\NonporousPeweeV2 => Rundll32.exe OutfittersArchaism.dll,main 7 1 Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Marta\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE HKU\S-1-5-21-3119999886-1899336274-262433860-1001\...\Run: [bingSvc] => C:\Users\Marta\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445619408&z=f334a4984be851f475aea01g7zfz6w4qdg9t4g7z9m&from=cor&uid=ST500LM021-1KJ152_W62503JF FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\d5vwoniw.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\d5vwoniw.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF C:\ProgramData\exdqolnz.mby C:\Users\Marta\Desktop\Adobe Lightroom.lnk C:\Users\Marta\Desktop\Continue 3nity CD DVD BURNER installation.lnk C:\Users\Marta\Desktop\Continue Microsoft Silverlight Installation.lnk C:\Users\Marta\Desktop\F7ktury.lnk C:\Users\Marta\Desktop\Facebook.lnk C:\Users\Marta\Desktop\Trans.lnk C:\Users\Marta\Desktop\XMind 2012.lnk RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\Marta\AppData\Local\BeckedAcclaimer RemoveDirectory: C:\Users\Marta\AppData\Local\NonporousPewee RemoveDirectory: C:\Users\Marta\AppData\Local\Lenovo RemoveDirectory: C:\Users\Marta\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\Marta\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\System32\Tasks\Lenovo DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Sterownik bsdriver nakłada filtr na dysk twardy i jest konieczna specjalna komenda wypięcia tego filtra. Działanie to było prowadzone tu pomyślnie na forum w wielu tematach z tą infekcją i sterownik był usuwany "z palca". Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: fltmc detach bsdriver c: bsdriver R1 bsdriver; C:\Windows\system32\drivers\bsdriver.sys [34712 2016-02-06] () R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-02-06] (DotC United Inc) SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = C:\Program Files\Common Files\jvnqs0gz C:\ProgramData\Airtostrongs C:\ProgramData\ZWdMZ C:\Program Files (x86)\KMSPico 10.0.6 C:\Users\Sobie\AppData\Local\Tempfolder C:\Users\Sobie\AppData\LocalLow\Company C:\Users\Sobie\AppData\Roaming\gplyra C:\Users\Sobie\AppData\Roaming\IuwuoaFhgobj C:\Users\Sobie\Downloads\CCleaner_Setup.exe C:\uninst C:\Windows\system32\das C:\Windows\system32\gidi C:\Windows\system32\drivers\bsdriver.sys C:\Windows\system32\Drivers\cherimoya.sys C:\Windows\system32\Drivers\MPCKpt.sys C:\Windows\system32\Drivers\etc\hp.bak DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition ale z zaległym Shortcut. Dołącz też plik fixlog.txt.

RegmagiK Registry Editor (wersja 32-bit) Strona domowa Platforma: Windows XP do Windows 11 32-bit i 64-bit Licencja: freeware RegmagiK - Alternatywny szybki edytor rejestru udostępniający wygodną nawigację po rejestrze, wyszukiwanie oraz edycję rejestru. RegmagiK rozszerza funkcjonalność znaną z regedit kilkoma udogodnieniami i unikatowymi funkcjami. Z tej puli należy wyliczyć: pasek narzędziowy i pasek adresów z funkcją autouzupełniania, szybkie wyszukiwanie i prezentowanie wyników wyszukiwania w osobnym panelu na spodzie okna, tworzenie skrótów na Pulpicie otwierających klucze rejestru, automatyczne inteligentne rozpoznawanie ścieżek plików i folderów w danych wartości (z kliku można otworzyć konkretną ścieżkę bezpośrednio w Eksploratorze Windows), odnośniki identyfikatorów GUID ("Go to definition..." i specjalne klikalne oznaczenia uruchamiające wyszukiwanie tych instancji), powiązanie nawigacyjne z oryginalnym regedit.exe (wybrany w RegmagiK klucz może zostać automatycznie otworzony w regedit). Dodatkowo, menu kontekstowe posiada różne opcje nieobecne w regedit, np.: kopiowanie / wycinanie / wklejanie kluczy i wartości, przejmowanie klucza na własność, wyszukiwanie na Google. Jest także możliwy zapis wybranego klucza do surowej gałęzi rejestru. Program ma dość siermiężny i mało nowoczesny interfejs z ikonkami wyglądającymi jak wersje 16-bit, ale w gruncie rzeczy jest to sprawa podrzędna. Darmową edycją jest tylko wersja 32-bit, natywna kompilacja 64-bit niestety płatna. Niemniej wersja 32-bit działa na systemie 64-bit i poprawnie odczytuje 64-bitową część rejestru. Nie wymaga instalacji. Aktualizacja: Program odciął kompatybilność z XP, choć nadal można pobrać wersję zgodną z tym systemem. Ponadto, informacja o darmowej wersji 32-bit jest teraz nieźle zamaskowana i niespójna. Na stronie domowej wyłącznie wzmianka o zakupach. Aczkolwiek po pobraniu wersji 32-bit oznaczonej jako zgodna z Windows 11 i jej uruchomieniu na tym systemie w okienku o programie widnieje napis: "Version: 4.10.7 Freeware for Windows XP 32-bit" (i nie ma odliczania triala jak w przypadku wersji 64-bit).

Tak, wszystko do instalacji, po każdej instalacji powtarzasz rundy z wyszukiwaniem. Może to długo trwać. Jest tak dużo do instalacji, gdyż system był golusieńki, w ogóle nie aktulizowany.

Tylko się upewnię: funkcjonowanie się poprawiło bez wykonywania operacji z czystym rozruchem? I na koniec: Skorzystaj z DelFix oraz zaktualizuj Adobe Reader XI (11.0.13) instalując najnowszą łatkę. Wszystko opisane tutaj: KLIK.

Fix FRST pomyślnie wykonany. Możesz przejść do dalszych kroków. I to koniec operacji.

1. Ostatni skrypt do FRST. Otwórz Notatnik i wklej: DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Wow6432Node\SimpleFiles Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Po jego pokazaniu: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Przeinstaluj Adobe Flash Player NPAPI Firefoxa, który naruszyłeś. Link do instalatora NPAPI także w w/w linku. To tyle.

Zasady działu: KLIK. Tu jest zakaz podpinania się. Wydzielone w osobny temat. Prócz problemu z PriceFountain, jest dodatkowy - w starcie powstało wiele obiektów wyglądających na jakieś inne malware. Operacje do przeprowadzenia: 1. Odinstaluj zbędny skaner Trojan Remover 6.9.3. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {3AD3F8B1-31D4-49E1-AAAA-0BECA743CA35} - System32\Tasks\KatiSpacesuitsGnarlingV2 => Rundll32.exe BruitsFirewater.dll,main 7 1 Task: {B0F666C8-98BC-4521-86A8-839E036C11BF} - System32\Tasks\Price Fountain => C:\Users\Kati\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Kati\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Startup: C:\Users\Kati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\serdes-5.lnk [2016-02-06] HKU\S-1-5-21-282247486-3544188475-3799147128-1000\...\Run: [milliamp-2] => C:\ProgramData\milliamp-57\milliamp-02.exe [487424 2016-02-06] (Oxygen Software) HKU\S-1-5-21-282247486-3544188475-3799147128-1000\...\RunOnce: [xmitter-0] => C:\Users\Kati\AppData\Roaming\xmitter-54\xmitter-0.exe [736256 2016-02-06] (RealNetworks, Inc.) HKU\S-1-5-21-282247486-3544188475-3799147128-1000\...\Winlogon: [shell] C:\ProgramData\maxton-9\maxton-0.exe -1i,explorer.exe HKU\S-1-5-21-282247486-3544188475-3799147128-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\id RemoveDirectory: C:\ProgramData\isotope-08 RemoveDirectory: C:\ProgramData\maxton-9 RemoveDirectory: C:\ProgramData\milliamp-57 RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\Users\Kati\AppData\Local\SpacesuitsGnarling RemoveDirectory: C:\Users\Kati\AppData\Roaming\PriceFountain RemoveDirectory: C:\Users\Kati\AppData\Roaming\fission-19 RemoveDirectory: C:\Users\Kati\AppData\Roaming\serdes-9 RemoveDirectory: C:\Users\Kati\AppData\Roaming\xmitter-54 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins CMD: del /q "C:\Users\Kati\AppData\Roaming\Canon\MP Navigator EX V30\history\sc\hstr_*.lnk" CMD: del /q C:\Users\Kati\Downloads\adwcleaner*.exe CMD: del /q C:\Users\Kati\Downloads\installer.exe CMD: del /q C:\Users\Kati\Downloads\sh-remover*.exe CMD: del /q C:\Users\Kati\Downloads\trjsetup693*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń stamtąd adresy istartsurf.com + interia.pl. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Operacja przeprowadzona pomyślnie, a ubytki zostały zrekonstruowane. Adobe Flash Player 20 NPAPI przeinstalujesz zaś potem. Teraz: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy CMD: del /q C:\Users\lukasz.niszcz\Desktop\export*.reg Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

W instrukcji tworzenia raportu GMER jest wyraźnie zaznaczone jak zapisać raport, by powstało rozszerzenie *.txt a nie *.log (zabronione w załącznikach). Próbując rozwiązać problem pobierałeś program z czarnej listy - SpyHunter. Z daleka od niego. Do wykonania następujące działania: 1. Odinstaluj starsze wersje i zbędne programy: Adobe Flash Player 20 NPAPI (Firefox został odinstalowany), Adobe Shockwave Player 12.2 (starsza wersja), GeekBuddy (przemycony w instalacji COMODO), Java 8 Update 66 (64-bit) (starsza wersja), McAfee Security Scan Plus (przemycony sponsor instalacji Adobe). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B" CHR DefaultSearchURL: Default -> hxxp://yoursites123.com/web?type=ds&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 StartMenuInternet: (HKLM) OperaStable - Opera.exe StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-349823380-3586821361-4140115957-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Task: {409A204D-1164-453D-8844-208071EC8E02} - System32\Tasks\{B5C60C13-9C2F-45FE-8A6D-24052C3A44F8} => pcalua.exe -a C:\Users\Łukasz\AppData\Roaming\DarkEra\Uninstaller.exe -c /Run /ePN:0D1T1C1J0E1C1T Task: {49D4BB84-418A-4274-B90D-EDE2886B1FCD} - \Microsoft\Windows\Setup\gwx\runappraiser -> Brak pliku Task: {5F5FC5E5-2FE6-4D9B-A65A-657066944244} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Core => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe Task: {66BF1CD1-801C-432E-8D55-D7036017CE0B} - System32\Tasks\HPCeeScheduleForŁukasz => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe Task: {6B3F7AC7-E0E7-4B3A-A888-A5B3C31056DE} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6C81B1C9-1EDE-4785-B1AC-E8B32DF143AB} - \task Update -> Brak pliku Task: {6E9A3B45-07B9-4A3C-8207-1E66B0323619} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe Task: {D534EE4D-818D-4568-BE14-4B233F713CD2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {E2543A82-EA87-4588-AD0F-9D9DC065B22E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {E2DCDC8F-3294-403B-9CDF-0204BAED4E08} - System32\Tasks\{9FFD3CB4-5DE5-4475-B774-FD94FDB7AACF} => pcalua.exe -a F:\AutorunArcanum.exe -d F:\ Task: C:\WINDOWS\Tasks\HPCeeScheduleForŁukasz.job => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-01-23] () R2 svcp; C:\WINDOWS\system32\Drivers\svcp64.sys [43800 2015-12-01] (Kurupira.net) S3 ETDSMBus; \SystemRoot\system32\DRIVERS\ETDSMBus.sys [X] C:\Program Files (x86)\RayDld C:\Program Files (x86)\SFK C:\Program Files (x86)\TDataDld C:\Program Files (x86)\yessearches-bnd C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\5WdM5 C:\ProgramData\7WdM7 C:\ProgramData\cWdMc C:\ProgramData\Microsoft\Windows\GameExplorer\{F1AB869D-89BC-4FC9-B966-FE7B566543D0} C:\Users\Łukasz\AppData\Local\Mozilla C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\DarkEra.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkEra.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Łukasz\AppData\Roaming\Mozilla C:\Users\Łukasz\AppData\Roaming\TSv C:\Users\Łukasz\AppData\Roaming\WarThunder C:\Users\Łukasz\Downloads\SpyHunter_4 1 11 0_[ENG]_[Crack][Torrenty.org].torrent C:\Users\Łukasz\Downloads\SpyHunter-Installer.exe C:\WINDOWS\SysWOW64\data.bin C:\WINDOWS\SysWOW64\pl.html C:\WINDOWS\system32\Drivers\EsgScanner.sys C:\WINDOWS\system32\Drivers\svcp64.sys DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Adware nabyte przypuszczalnie z jakiegoś portalu (np. dobreprogramy.pl): KLIK. Obiekt działa globalnie poprzez Harmonogram zadań (zadanie CanningsCakewalkV2), reklamy będą widoczne w dowolnej przeglądarce. Operacje do przeprowadzenia: 1. Odinstaluj poprzez Panel sterowania bardzo stare wersje: Adobe Flash Player ActiveX, Adobe Reader X (10.1.0) - Polish, Google Desktop. Ponadto, z poziomu Menu Start wywołaj deinstalację IObit Malware Fighter - program wątpliwej reputacji. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {9C4BB0AD-D4BD-4B83-9DCF-8A6CE830DBA6} - System32\Tasks\CanningsCakewalkV2 => Rundll32.exe CurvettingPredict.dll,main 7 1 <==== UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = URLSearchHook: HKLM -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Szymek\AppData\Local\CanningsCakewalk RemoveDirectory: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Users\Szymek\Downloads\sh-remover.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Szymek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Problem powinien ustąpić.

Usunąłeś poprawne komponenty: HKLM\...\Run: [Apoint] => C:\Program Files\DellTPad\Apoint.exe [745288 2015-06-25] (Alps Electric Co., Ltd.) HKU\S-1-5-21-1659004503-920026266-725345543-24878\...\RunOnce: [uninstall C:\Users\lukasz.niszcz\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\lukasz.niszcz\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64" HKU\S-1-5-21-1659004503-920026266-725345543-24878\...\RunOnce: [uninstall C:\Users\lukasz.niszcz\AppData\Local\Microsoft\OneDrive\17.3.5892.0626] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\lukasz.niszcz\AppData\Local\Microsoft\OneDrive\17.3.5892.0626" ShortcutTarget: vpngui.exe.lnk -> C:\Windows\Installer\{5FDC06BF-3D3D-4367-8FFB-4FAFCB61972D}\Icon09DB8A851.exe () FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF64_20_0_0_286.dll [2016-01-21] () FF Plugin-x32: @adobe.com/FlashPlayer -> C:\WINDOWS\SysWOW64\Macromed\Flash\NPSWF32_20_0_0_286.dll [2016-01-21] () R2 MlPatch; C:\Windows\system32\MlPatch.exe [2244912 2014-08-22] () R3 MkBusFilter; C:\Windows\system32\DRIVERS\MbmDeviceFilter.sys [50912 2015-08-03] () - Instalację Adobe Flash w Firefox - Wpis startowy Cisco Systems VPN Client (vpngui.exe.lnk) - Wpis startowy Dell odpowiedzialny za uruchamianie touchpad (Apoint) - Sterownik Dell Mobile Broadband (MkBusFilter) - Składnik Trigger External Graphics Family 15.05.1124.0179 (MlPatch). Popatrz w raporcie na składniki "Magic Control": HKLM\...\Run: [TUCCDUtil] => C:\Program Files (x86)\Mct Corp\UVTP100\Driver\TUCCDUTIL\TUCCD.exe [1892560 2015-11-24] (Magic Control Technology Corporation) R3 mctkmd; C:\Windows\system32\drivers\mctkmd64.sys [166608 2015-11-20] (Magic Control Technology Corporation) R0 mctkmdldr; C:\Windows\System32\drivers\mctkmdldr64.sys [19584 2011-04-08] (Magic Control Technology Corporation) S3 t2usb64; C:\Windows\system32\drivers\t2usb64.sys [462632 2015-11-30] (Magic Control Technology Corp.) 2015-12-29 15:52 - 2015-11-20 18:26 - 00166608 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\Drivers\mctkmd64.sys 2015-12-29 15:52 - 2015-11-19 12:05 - 00251632 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\mctux.dll 2015-12-29 15:52 - 2015-11-19 12:05 - 00251632 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\igdumdmx.dll 2015-12-29 15:52 - 2015-11-19 12:05 - 00203216 _____ (Magic Control Technology Corporation) C:\WINDOWS\SysWOW64\MCTU.dll 2015-12-29 15:52 - 2015-11-19 12:05 - 00203216 _____ (Magic Control Technology Corporation) C:\WINDOWS\SysWOW64\Igdumdmu.dll 2015-12-29 15:52 - 2014-08-22 17:10 - 02244912 _____ C:\WINDOWS\system32\mlpatch.exe 2015-12-29 15:52 - 2013-12-27 12:17 - 02215704 _____ (Magic Control Corp.) C:\WINDOWS\system32\MctKmdSvrx.exe 2015-12-29 15:52 - 2012-08-28 14:20 - 00313432 _____ C:\WINDOWS\system32\GManager.exe 2015-12-29 15:52 - 2012-03-02 15:49 - 00013440 _____ C:\WINDOWS\system32\Drivers\u3hpatch64.sys 2015-12-29 15:52 - 2011-04-08 16:38 - 00019584 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\Drivers\mctKmdldr64.sys 2015-12-29 15:52 - 2010-08-20 14:03 - 00336248 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\mctsetup64.dll 2015-12-29 15:47 - 2015-12-31 01:43 - 00000000 ____D C:\Program Files (x86)\Mct Corp Adobe Flash da się przeinstalować, natomiast reszta wymaga rekonstrukcji (przywrócenie plików i odbudowa wpisów startowych, o ile nie usunąłeś folderu C:\FRST z kopią zapasową rejestru). Do usunięcia są także inne rzeczy, np. zmodyfikowany przez adware skrót przeglądarki, martwe zadania w Harmonogramie pozostawione po notyfikatorze darmowej aktualizacji do Windows 10 oraz Media Center odinstalowanym przy aktualizacji. Czyli: 1. Odinstaluj Spybot - Search & Destroy. To przestarzały program, dziś mało użyteczny. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\lukasz.niszcz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursearching.com/?type=sc&ts=1453129004&z=ebaf80af459dbc8bae475f8gfz9wec6g7o7teefe1z&from=exp1&uid=liteonitxlcm-256m3sx2x5xx7mmx256gb_tw0wkjr2550852c51502 U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath HKU\S-1-5-21-2387826781-902882918-947777316-500\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun Task: {02FC9FF5-8759-49FC-9CEB-686FC7FB5A4E} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {0CD6FF09-58A3-4B2C-927B-7528CED8B7A9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {0EC5C0BE-5CCC-4B19-ADE9-F00C2EA7A267} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {1259D7A2-134A-4A0B-908C-F038C08D8E12} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {1464FBD3-68B0-4567-B6EF-5EE5929FC180} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {1799C230-7D13-4C25-8026-F135FBC20A9E} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {334E3401-1738-40F6-8640-E30C76D98C3D} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {37491E6E-81B9-43CF-A4F9-0B054203ADC4} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {3832A5E1-E6BF-45A2-BE4B-D535C92939D1} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {3A61D3FB-1D1C-4F15-8D58-93B9E7778CC2} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {3AE0C5C2-9C2E-4BC7-B6CC-DF3D0425FE7D} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {424A2DC0-88C0-4442-9079-43527CC810FE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {51B3CCB5-CE4E-4B7D-A028-EE914860072C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {5649A0FA-B3B2-4067-B809-00EA4D7A255E} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {60D80493-221D-4FEE-8596-B67C84E6BD80} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {68F5A15E-57C5-4CA4-808A-B2F97A507886} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {71C3449B-4B84-4E11-8C49-84D6D84AA0F6} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {77591D06-86C6-4E4C-B6F2-46B5399D1082} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {88C0CB85-782F-4CA6-85E6-1136C50245DA} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {893EEC8C-003A-4C87-A0A9-F7869ACE79F7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {976FE15B-5248-4F51-8D5D-D8FF90FAFE65} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {97FA0725-3EEE-4BC3-8487-5BB07B2C9DB5} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {A305727A-EB4F-4751-8A99-43C9F27524C0} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {B108752F-F16E-4BD5-BF31-66DC182F7830} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {B6410507-ECA5-4F14-B9D8-C34CADC25BD1} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {BDD6B031-47CB-4D01-973F-A4FF0FB3EE3B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {C102FEE8-0B5E-43DF-A756-0F125A3B9555} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {C390023C-5579-4319-9CB5-B0ECF3022579} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {D738B853-C2B8-4FFC-B73E-84ACE112FD17} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {DE29C916-A03A-4B72-856C-4D3FB22D1685} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {E7BC4C15-A7BD-4D5B-A6BB-EFE10E2A37EE} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {EC9853A0-423E-4202-9F71-938F67F86BE4} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {EEB31A48-A641-4B29-BBD5-26CFF758BFF0} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {F26EDAED-07CA-4403-89EE-8A6914E0F48A} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center RemoveDirectory: C:\Windows\ehome RemoveDirectory: C:\Windows\System32\Tasks\Microsoft\Windows\Media Center RestoreQuarantine: C:\FRST\Quarantine\C\Windows\Installer\{5FDC06BF-3D3D-4367-8FFB-4FAFCB61972D}\Icon09DB8A851.exe.xBAD RestoreQuarantine: C:\FRST\Quarantine\C\Windows\system32\MlPatch.exe.xBAD RestoreQuarantine: C:\FRST\Quarantine\C\Windows\system32\DRIVERS\MbmDeviceFilter.sys.xBAD Reg: reg load HKLM\TEMP C:\FRST\Hives\SOFTWARE Reg: reg export HKLM\TEMP\Microsoft\Windows\CurrentVersion\Run C:\Users\lukasz.niszcz\Desktop\export1.reg Reg: reg unload HKLM\TEMP Reg: reg load HKLM\TEMP C:\FRST\Hives\SYSTEM Reg: reg export HKLM\TEMP\ControlSet001\Services\MlPatch C:\Users\lukasz.niszcz\Desktop\export2.reg Reg: reg export HKLM\TEMP\ControlSet001\Services\MkBusFilter C:\Users\lukasz.niszcz\Desktop\export3.reg Reg: reg unload HKLM\TEMP CMD: type C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202} CMD: type C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Na Pulpicie powstały trzy pliki export1.reg, export2.reg, export3.reg. Otwórz je do edycji w Notatniku. W pliku export1.reg zamień fragment w ścieżkach dostępu: HKEY_LOCAL_MACHINE\TEMP na HKEY_LOCAL_MACHINE\SOFTWARE W plikach export2.reg i export3.reg zamień: HKEY_LOCAL_MACHINE\TEMP na HKEY_LOCAL_MACHINE\SYSTEM Zapisz zmiany, następnie z prawokliku na wszystkie pliki opcja Scal. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Nie. Do interpretacji logów nie ma programów. Jest niemożliwym skonstruować taki automat. Jest zbyt wiele czynników, które są poddawane analizie i po prostu jest wymagana określona wiedza o Windows i infekcjach.

Jak mówiłam, wszystko w porządku, nie ma żadnych oznak instalacji śmieci. A ten tajemniczy "TODO" to jest proces WildTangent Games preinstalowany na laptopach Acer. Usługa jest ustawiona na Automatycznym, więc będzie się próbowała uruchamiać. S2 GamesAppIntegrationService; C:\Program Files (x86)\WildTangent Games\App\GamesAppIntegrationService.exe [235008 2013-07-16] (TODO: ) [brak podpisu cyfrowego] PS. Twój nośnik instalacyjny Windows nie jest oczywiście "czysty", w rozumieniu, że producent dointegrował masę własnych aplikacji i "format" oznacza zrzucenie Windows już mocno przetworzonego przez producenta. Niektóre aplikacje są niepotrzebne. Np. do deinstalacji stary McAfee. W podsumowaniu, to wszystko można odinstalować (pomijając te aplikacje z których rzeczywiście korzystasz): ==================== Zainstalowane programy ====================== Acer Docs (HKLM-x32\...\{CA4FE8B0-298C-4E5D-A486-F33B126D6A0A}) (Version: 1.01.3006 - Acer Incorporated) Acer Media (HKLM-x32\...\{E9AF1707-3F3A-49E2-8345-4F2D629D0876}) (Version: 2.02.3104.3 - Acer Incorporated) Acer Photo (HKLM-x32\...\{B5AD89F2-03D3-4206-8487-018298007DD0}) (Version: 2.02.3104.6 - Acer Incorporated) Acer Portal (HKLM-x32\...\{A5AD0B17-F34D-49BE-A157-C8B3D52ACD13}) (Version: 2.02.3104 - Acer Incorporated) Acer Remote Files (HKLM\...\{13885028-098C-4799-9B71-27DAC96502D5}) (Version: 1.00.3007 - Acer Incorporated) CyberLink PowerDVD 12 (HKLM-x32\...\InstallShield_{B46BEA36-0B71-4A4E-AE41-87241643FA0A}) (Version: 12.0.3323.57 - CyberLink Corp.) eBay Worldwide (HKLM-x32\...\{91589413-6675-4C27-8AFC-EFB9103B90A5}) (Version: 2.4.0105 - OEM) Identity Card (HKLM-x32\...\{3D9CB654-99AD-4301-89C6-0D12A790767C}) (Version: 2.00.8100 - Acer Incorporated) Live Updater (HKLM-x32\...\{EE26E302-876A-48D9-9058-3129E5B99999}) (Version: 2.00.8100 - Acer Incorporated) McAfee LiveSafe – Internet Security (HKLM-x32\...\MSC) (Version: 12.8.397 - McAfee, Inc.) Microsoft Office (HKLM-x32\...\{90150000-0138-0409-0000-0000000FF1CE}) (Version: 15.0.4454.1510 - Microsoft Corporation) Nero BackItUp 12 Essentials OEM.a01 (HKLM-x32\...\{551AC8F2-FEA2-4B45-ACF7-C98681233CC9}) (Version: 12.5.01200 - Nero AG) Norton Online Backup (HKLM-x32\...\{E625FCA0-E43E-4D3B-92FF-4851308A0366}) (Version: 2.8.0.44 - Symantec Corporation) Office Addin (HKLM-x32\...\{6D2BBE1D-E600-4695-BA37-0B0E605542CC}) (Version: 2.02.2009 - Acer) WildTangent Games (HKLM-x32\...\WildTangent wildgames Master Uninstall) (Version: 1.0.4.0 - WildTangent)