picasso

Wszystko zrobione. Teraz trzeba będzie przemyśleć sprawę Pauliny i Zbigniewa. Poproszę o pełne kopie rejestru tych kont. Konta nie mogą być zalogowane, by dało się przekopiować rejestr, czyli pełny restart kompa i logujesz się na Arka. Z jego poziomu skopiuj mi te pliki: C:\Users\Paulina\NTUSER.DAT C:\Users\Paulina\AppData\Local\Microsoft\Windows\UsrClass.dat C:\Users\Zbigniew\NTUSER.DAT C:\Users\Zbigniew\AppData\Local\Microsoft\Windows\UsrClass.dat Pliki spakuj do ZIP, shostuj gdzieś i prześlij mi na PW link. Analiza i ewentualna ręczna korekta tych plików zajmie mi sporo czasu.

Ale tu nie koniec! Wszystko musi być potwierdzone, bo w skrypcie mogło coś nie przetworzyć, a poza tym jeszcze będą inne działania do wdrożenia. Prosiłam wyraźnie:

Wszystko zrobione. Poprawki: 1. Uruchom ponownie ten specjalny deinstalator Microsoftu i tym razem za jego pomocą usuń ukryty odpadek Acrobat.com. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Ten rodzaj problemów ma taką oto przyczynę: KLIK. Tu na pewno była jakaś instalacja tego rodzaju. Na 100% korzystałeś też ze świńskiego "Asystenta pobierania" dobrychprogramów, bo w moim skrypcie zadałam usuwanie jego kluczy rejestru i zostały one znalezione, ten pierwszy klucz to rodzaj "śledzącego ciastka" powiązanego z Asystentem-przekrętem: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I => klucz pomyślnie usunięto HKCU\Software\dobreprogramy => klucz pomyślnie usunięto Adobe Reader 9.0.0 to stara niebezpieczna wersja z lukami, nie wspierana przez producenta (brak aktualizacji bezpieczeństwa). Mnóstwo wersji po zostało wydanych, tzn. linie X, XI, DC. Najnowsze wersje Adobe Reader to XI 11.0.13 (ostatnia załatana z tej standardowej linii, choć edycja też porzucona) lub najnowsza linia DC (to już aplikacja oparta na chmurze). Wszystko wyłożone w przyklejonym: KLIK.

Jaki błąd podczas instalacji Adobe Reader i którą wersję próbujesz instalować? Ponowne sprawdzanie czystości, czy coś Cię niepokoi konkretnie? Możesz dla świętego spokoju dodać świeże raporty z FRST. Tak swoją drogą to Windows 8 ma wbudowaną przeglądarkę PDF: KLIK / KLIK.

DelFix wykonał zadanie. Skasuj plik C:\delfix.txt. To tyle.

Nie widzę tu żadnych oznak czynnej infekcji, za wyjątkiem kilku rozszerzeń adware w Google Chrome: - W aktywnym profilu zestaw EasyDocMerge, MergeDocsOnline, PConverter. Należą one do tej grupy: KLIK. Wszystkie odinstalować. - W nieużywanym profilu Google Chrome z kolei V-bates. W Ustawienia > Ustawienia > Osoby > usuń ten cały nieużywany profil, o ile widoczny. Do usunięcia byłyby też drobne puste wpisy, ale to nie takie ważne i potem to można wdrożyć. Jaką etykietę miały te zagrożenia (nazwa zagrożenia) oraz jakie konkretnie ścieżki dostępu (kierunek na pliki systemowe czy programów trzecich)? "Chwilę po" czyli kiedy przestaje działać Wi-fi? I czy na pewno nie ma tu nic do rzeczy Norton Internet Security?

Na koniec: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu już zbędny folder Stare dane programu Firefox. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do aktualizacji Internet Explorer, nawet jeśli z niego nie korzystasz wcale.

Wszystko zrobione. Drobniutkie poprawki końcowe, przy wyłączonym COMODO. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-4237668962-1813254712-1803451927-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Piotrek\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\1ognvtv4.default RemoveDirectory: C:\Users\Piotrek\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Wszystko zrobione. Kończymy: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Ad.Block Pro. Mocno podejrzane rozszerzenie, usunięte z Chrome Web Store. 2. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu zbędny już folder Stare dane programu Firefox. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Fix FRST pomyślnie wykonany. To są foldery utworzone przez Windows Update. Aktualizacje przed instalacją są rozpakowywane do losowych alfanumerycznych folderów na partycję z największą ilością wolnego miejsca, czyli niekoniecznie C:. Tu statystyki miejsca na dysku: ==================== Dyski ================================ Drive c: () (Fixed) (Total:45.46 GB) (Free:18.54 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] Drive d: () (Fixed) (Total:65.31 GB) (Free:49.54 GB) NTFS Drive e: () (Fixed) (Total:97.65 GB) (Free:56.51 GB) NTFS Drive f: () (Fixed) (Total:24.44 GB) (Free:4.46 GB) NTFS Folderów nie da się usunąć, gdyż mają uprawnienia poziomu konta SYSTEM (w takim kontekście działała instalacja aktualizacji). W skanie FRST ich nie widać, gdyż FRST jest orientowany tylko na partycję systemową. Jeśli chcesz je usunąć, to możesz użyć następujący skrypt FRST: RemoveDirectory: D:\NazwaFolderu RemoveDirectory: E:\NazwaFolderu

Log FRST nadal nie skonfiurowany jak należy, opcje Lista BCD, MD5 sterowników, Pliki z 90 dni nie miały być zaznaczone. Masa zbędnych danych. I używałeś skaner-naciągacz SpyHunter - z daleka od teo dziadostwa. Operacje do przeprowadzenia: 1. Deinstalacje: - Odinstaluj stare wersje z groźnymi lukami: Acrobat.com, Adobe Reader 9. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. To odpadek po niechcianej instalacji Lenovo REACHit. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Tomasz\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-14] (tsvr.com) R2 WdMan; C:\ProgramData\FWdMF\WdMan.exe [333312 2015-12-14] (TFuns LIMITED) [brak podpisu cyfrowego] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-15] () ShortcutWithArgument: C:\Users\Tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM ShortcutWithArgument: C:\Users\Tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM ShortcutWithArgument: C:\Users\Tomasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM ShortcutWithArgument: C:\Users\Tomasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} HKU\S-1-5-21-3503408769-2592613405-2659285744-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM HKU\S-1-5-21-3503408769-2592613405-2659285744-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} SearchScopes: HKU\S-1-5-21-3503408769-2592613405-2659285744-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} SearchScopes: HKU\S-1-5-21-3503408769-2592613405-2659285744-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} BHO-x32: Discovery App -> {ba32987d-db80-4ccb-a8bb-f812b5421c0f} -> C:\Program Files (x86)\Discovery App\Extensions\ba32987d-db80-4ccb-a8bb-f812b5421c0f.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1449262300&z=9182f0468b0475cef1d3af8gbzfzet0ocq5o5oft9w&from=cor&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Tomasz\AppData\Roaming\Mozilla\Firefox\Profiles\jr793cve.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Tomasz\AppData\Roaming\Mozilla\Firefox\Profiles\jr793cve.default\extensions\yahooprotected@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Tomasz\AppData\Roaming\Mozilla\Firefox\Profiles\jr793cve.default\extensions\default_newtabff@gmail.com => nie znaleziono StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM HKLM-x32\...\Run: [V0700Mon.exe] => C:\Windows\V0700Mon.exe Task: {181E388A-1909-403F-A3C2-397B36A7EB7E} - System32\Tasks\{DC073188-8672-4605-A646-C5B5A96248CF} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.9.0.103&LastError=404 Task: {2BA7F70A-DF2A-4AC1-A5DD-988614A7C260} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe Task: {64FD3666-81B1-4882-A31B-DF067D4B7C98} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-12-06] (Lenovo) Task: {BF49DE5D-EDB1-4037-A18C-7D46FFCA130F} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\ProgramData\4WdM4 RemoveDirectory: C:\ProgramData\FWdMF RemoveDirectory: C:\ProgramData\HWMiniProH RemoveDirectory: C:\Users\Tomasz\AppData\Local\Lenovo RemoveDirectory: C:\Users\Tomasz\AppData\Roaming\Shortcut RemoveDirectory: C:\Users\Tomasz\AppData\Roaming\TSv RemoveDirectory: C:\Users\Tomasz\AppData\Roaming\yoursearching RemoveDirectory: C:\Users\Tomasz\REACHit RemoveDirectory: C:\Windows\System32\Tasks\Lenovo C:\Windows\system32\Drivers\EsgScanner.sys C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Ponadto FRST nie może działać w piaskownicy tego programu. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) skonfigurowany wg wytycznych tu na forum, ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Wydzieliłam post w osobny temat. I brakuje trzeciego obowiązkowego pliku FRST Shortcut. Uzupełnij. EDIT: Log uzupełniony, teraz już oczywiście odpowiadasz w nowym poście. Twój problem to kompletnie inna bajka, nie ma nic wspólnego z tematem do którego się podczepiłeś. Tu jest kupa instalacji adware nabyta w następujące sposoby: KLIK. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {cd63c300-b231-4a93-a479-5a1e96976d74}w64; C:\Windows\System32\drivers\{cd63c300-b231-4a93-a479-5a1e96976d74}w64.sys [48784 2015-05-22] (StdLib) S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-07-23] (globalUpdate) [brak podpisu cyfrowego] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-07-23] (globalUpdate) [brak podpisu cyfrowego] R2 Update Framed Display; C:\Program Files (x86)\Framed Display\updateFramedDisplay.exe [645344 2015-12-16] () R2 Util Framed Display; C:\Program Files (x86)\Framed Display\bin\utilFramedDisplay.exe [645344 2015-12-16] () S2 qksvc; "C:\Program Files (x86)\Quiknowledge\Service\qksvc.exe" [X] Task: {023BD4ED-4806-41CA-AA99-52C809E07BA4} - \BitGuard -> Brak pliku Task: {0A082D3C-AA3B-4347-BC0A-0138769A5679} - System32\Tasks\{3E4657DC-5519-4B56-A186-838CE1759C82} => pcalua.exe -a C:\Users\User\Desktop\opr\opr_setup.exe -d C:\Users\User\Desktop\opr Task: {0CFC469D-4021-447F-A8C1-805AEDCCE8B9} - System32\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-7 => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-7.exe [2015-06-29] (Cinema PlusV28.06) Task: {0FA0AE9A-95F7-422C-ABEE-25228A35A850} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {11D26B9F-57B9-4765-906E-8AF496AC2B05} - System32\Tasks\{FFFD19E9-F9B5-4FC2-8A73-9455F17BF8DA} => pcalua.exe -a c:\users\user\appdata\local\lollipop\lollipop.bat Task: {1A16EF89-E822-493F-8CD4-5B4BFAE8B46B} - \BonanzaDealsLiveUpdateTaskMachineCore -> Brak pliku Task: {1D903A07-74D5-4AB3-956D-E3CAD166C470} - System32\Tasks\{8FABE1D3-4B35-4FF9-B45D-7192248A21FC} => pcalua.exe -a c:\users\user\appdata\local\lollipop\lollipop.bat Task: {21A72E76-38B6-4BB4-8CC2-0E799DC34AB0} - \DSite -> Brak pliku Task: {2F193314-1A25-4C63-8AA8-1941DC2C13CA} - System32\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-11 => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-11.exe [2015-06-29] (Cinema PlusV28.06) Task: {32C267E7-22E8-49B9-8323-0456E62B702E} - System32\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-5 => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-5.exe [2015-07-23] (Cinema Plus v6V23.07) Task: {56DB4B16-97AC-4200-AF28-F2B972F7F72C} - \BonanzaDealsLiveUpdateTaskMachineUA -> Brak pliku Task: {5D1265E9-678B-4B50-BF1E-C60490EF8C23} - System32\Tasks\Yahoo! Search Updater => C:\Windows\system32\wscript.exe [2009-07-14] (Microsoft Corporation) Task: {6CC5AC04-CE39-4FF7-AE42-9856E1B7C7FF} - System32\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-11 => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-11.exe [2015-07-23] (Cinema Plus v6V23.07) Task: {92D5F525-7FB0-4943-BD4B-F727D9143A25} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-07-23] (globalUpdate) Task: {9880A265-ECA8-4DE2-A7E4-55C22A2C8E94} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-07-23] (globalUpdate) Task: {A1C0D792-194F-4815-B030-F8195F846E8D} - System32\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-1-6 => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-1-6.exe [2015-07-23] (Cinema Plus v6V23.07) Task: {A1C7FF68-35C6-466D-8CB3-9DD2ED644020} - System32\Tasks\Xmas Mix => Rundll32.exe "C:\Users\User\AppData\Local\Xmas Mix\Bin\XmasMix.dll",#3 Task: {B8B7A0DD-28A8-4EBC-97FD-AC9478993FC5} - System32\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-5_user => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-5.exe [2015-07-23] (Cinema Plus v6V23.07) Task: {BCF057A0-B1B0-4E0C-AEDC-B3B9E16566AF} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {C599CCAE-FCBA-497E-890D-C3C85E958940} - System32\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-5_user => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-5.exe [2015-06-29] (Cinema PlusV28.06) Task: {C673DF06-EC8C-499F-865A-33EAE2E584EE} - System32\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-6 => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-6.exe [2015-06-29] (Cinema PlusV28.06) Task: {DA9E16EE-214B-4C94-8191-CCCE816DAD8C} - System32\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-1-7 => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-1-7.exe [2015-06-29] (Cinema PlusV28.06) Task: {DC790705-9D70-4966-88E1-AF33E4D6FA0A} - System32\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-10_user => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-10.exe [2015-07-23] (Cinema Plus v6V23.07) Task: {E04D18FD-171C-4537-8B4B-36BF8F4D1E44} - System32\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-1-7 => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-1-7.exe [2015-07-23] (Cinema Plus v6V23.07) Task: {E1C0FEF0-82D5-4E06-A4A8-5161C8381BD1} - System32\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-1-6 => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-1-6.exe [2015-06-29] (Cinema PlusV28.06) Task: {E7E8B60C-F786-4AFC-982B-146E8EC029FD} - System32\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-5 => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-5.exe [2015-06-29] (Cinema PlusV28.06) Task: {EBA96E6D-6625-4829-AD68-C3F4B16963E1} - System32\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-3 => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-3.exe [2015-06-29] (Cinema PlusV28.06) Task: {EDCE4EB0-81DA-4E9C-9D4B-4EACA0CB2930} - System32\Tasks\Crossbrowse => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe Task: {F6B47B47-7742-4614-8064-F62F0B7E301C} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-1-6.job => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-1-6.exe Task: C:\Windows\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-1-7.job => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-1-7.exe Task: C:\Windows\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-10_user.job => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-10.exe Task: C:\Windows\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-11.job => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-11.exe Task: C:\Windows\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-5.job => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-5.exe Task: C:\Windows\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-5_user.job => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-5.exe Task: C:\Windows\Tasks\a2zLyrics-1-chromeinstaller.job => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-chromeinstaller.exȅ/installcrx /agentregpath='a2zLyrics-1' /extensionfilepath C:\Program Files (x86)\a2zLyrics-1\41554.crx' /appid=41554 /srcid='000378' /subid='0' /zdata='0' /bic=A15A3C3F800F44E6BE6D22F4E4816D19IE /verifier=cbc0d0cc84243f71c94998b8010a4d5b /installerversion=1_28_153 /installerfullversion=1.28.153.3 /installationtime=1379156979 /statsdomain=hxxp:/stats.ourstatssrv.com /errorsdomain=hxxp:/errors.ourstatssrv.com Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-1-6.job => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-1-6.exe Task: C:\Windows\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-1-7.job => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-1-7.exe Task: C:\Windows\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-10_user.job => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-10.exe Task: C:\Windows\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-11.job => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-11.exe Task: C:\Windows\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-3.job => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-3.exe Task: C:\Windows\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-5.job => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-5.exe Task: C:\Windows\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-5_user.job => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-5.exe Task: C:\Windows\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-6.job => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-6.exe Task: C:\Windows\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-7.job => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-7.exe Task: C:\Windows\Tasks\Crossbrowse.job => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\PJrCW74v5eI8y3ZcBXEzwht5cP.job => C:\Users\User\AppData\Roaming\PJrCW74v5eI8y3ZcBXEzwht5cP.exe HKU\S-1-5-21-1760844222-3365795311-1753932860-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1760844222-3365795311-1753932860-1000\...\Run: [GoogleChromeAutoLaunch_9BAB471B03D368FCB9DADC4CBCF42FCC] => "C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk [2015-06-29] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1435571244&z=a250b60ce1a9dd4b4fd1063g4z7c4w9wem0gbo1z9w&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1435571186&z=e667900ec25ae89496a1145gez1c0w9w6m0g4g3b1m&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1435571244&z=a250b60ce1a9dd4b4fd1063g4z7c4w9wem0gbo1z9w&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1435571186&z=e667900ec25ae89496a1145gez1c0w9w6m0g4g3b1m&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1760844222-3365795311-1753932860-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1760844222-3365795311-1753932860-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchsimple-a.akamaihd.net/?affID=mt-is HKU\S-1-5-21-1760844222-3365795311-1753932860-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> OldSearch URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250&ts=1435571252&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250&ts=1435571252&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250&ts=1435571252&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1435571244&z=a250b60ce1a9dd4b4fd1063g4z7c4w9wem0gbo1z9w&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250&q={searchTerms} SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> {395CF53C-16C1-42A2-BF53-ABBE14D1B75F} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250&ts=1435571252&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> {898F2057-F9E9-4BD7-890F-9F081FAF4F5B} URL = hxxp://searchsimple-a.akamaihd.net/?affID=mt-is&q={searchTerms}&r=587 SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250&ts=1435571252&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: Brak nazwy -> {05b5ef3f-4c6a-426e-b77e-48ebb3e721f1} -> Brak pliku BHO-x32: Brak nazwy -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> Brak pliku BHO-x32: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\PROGRA~2\ALLPLA~1\Iplex\IPLEXT~1.DLL => Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\globalUpdate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Neverwinter Nights 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NokiaFREE Calculator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WorldUnlock Calculator C:\Users\User\AppData\Local\*.tmp C:\Users\User\AppData\Local\GG C:\Users\User\AppData\Local\globalUpdate C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{A5651787-569E-4F86-BE51-B6E8BF1C1F69} C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{6842C4B4-0C22-4FF5-96C5-31D029B83D61} C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{50D9E01D-BC3D-488B-B786-03D726A912B1} C:\Users\User\AppData\Roaming\PJrCW74v5eI8y3ZcBXEzwht5cP C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\µTorrent.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\User\Desktop\Don't Starve v1.88173.lnk C:\Windows\System32\drivers\{cd63c300-b231-4a93-a479-5a1e96976d74}w64.sys C:\Windows\SysWOW64\*.tmp C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 CMD: netsh advfirewall reset CMD: type "C:\Windows\System32\Tasks\Yahoo! Search Updater" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware a2zLyrics-1, Cinema Plus v6V23.07, CinemaPlus-3.2cV28.06, Forum Terminal, Framed Display, Free Up Expand, GamesDesktop 008.005010016, GamesDesktop 008.005010017, Quiknowledge, Remote Desktop Access (VuuPC), Setup, SmartWeb, Xmas Mix, Yahoo! Search oraz zbędnik Samsunga MyFreeCodec i przestarzałą dziurawą przeglądarkę Safari. Jeśli coś będzie niewidoczne lub nie będzie się dało odinstalować, nie szkodzi, kontynuuj dalej. 3. Wyczyść Operę (najnowszą, a nie starą 12.17) z adware: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware Framed Display. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Preferuję logi jako załączniki forum a nie przeklejane na wklej.org, tylko oryginalne pliki mają oryginalne kodowanie.

Problem pozostałych kont na razie odsuwam, muszę to przemyśleć, na pewno chodzi o odebrany dostęp gdzieś. Czy podczas prób tworzenia katalogów oraz wchodzenia przeglądarkę (mówimy oczywiście o IE, bo aktualnie brak innych) występuje ten sam błąd 0x80070003 co podany poprzednio? Jeśli chodzi o logi z Arka, to nie widać już jawnych oznak infekcji "DNS Unlocker". Skoro nadal jest problem tych reklam, to mocno mnie zastanawia Steam i jego świeże autoryzacje w Zaporze: ==================== Reguły Zapory systemu Windows (filtrowane) =============== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) FirewallRules: [{524BD553-8EB7-4B42-AB57-78DCD66C42B7}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe FirewallRules: [{BF78F688-0ECD-4A38-8345-00F926B569AF}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe FirewallRules: [{8F374DE2-B3B8-421C-B344-DE45040BAD29}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe FirewallRules: [{D1EBCC08-28B2-4812-821B-05D385E4C967}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe Otóż na forum był problem ze Steam w dokładnie tym kontekście: KLIK. W związku z tym proponuję następujące kroki: 1. Odinstaluj Steam. Po deinstalacji dokasuj przez SHIFT+DEL (omija Kosz) następujące foldery, o ile nadal będą: C:\Program Files (x86)\Steam C:\Users\AREK\AppData\Roaming\Steam 2. Ponów czyszczenie bufora DNS i Tempów. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 3. Usuń certyfikat dodany przez "DNS Unlocker". Start > w polu szukania wpisz certmgr.msc > z prawokliku Uruchom jako Administrator > rozwiń gałąź Zaufane główne urzędy certyfikacji > Certyfikaty > wyszukaj cloudguard.me lub www.cloudguard.me i usuń. 4. Jeśli problem reklam "DNS Unlocker" ustanie, zainstaluj wybraną przeglądarkę i zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Po pierwsze, by widzieć te katalogi, musisz mieć włączone pokazywanie ukrytych folderów w Opcjach folderów: zaznaczone Pokaż ukryte pliki i foldery + odznaczone Ukryj chronione pliki systemu operacyjnego. Po drugie, tych folderów tam może nie być wcale, jeśli folder "user" został zdewastowany. Tu właśnie nie jest pewne do jakiego stopnia jest uszkodzony ten "user", tam może nie być nic do kopiowania... Dla świętego spokoju możesz mi podać specjalny wyciąg całego folderu "user", to się dowiem na 100% jaka jest zawartość. Otwórz Notatnik i wklej w nim: Folder: C:\Users\user Jeśli jednak konto już usunąłeś i ten folder zniknął, to zamiennie zrób skrypt na przekopiowanej na Pulpit Ja zawartości: Folder: C:\Users\Ja\Desktop\user Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Jeśli "user" jest mało uszkodzony, log będzie monstrualny i nie wejdzie w załącznik. W takim przypadku po prostu shostuj go gdzieś i podaj link do niego.

1. AdwCleaner czepia się programu DriverAgent by eSupport.com. Odinstaluj go w poprawny sposób. Następnie uruchom AdwCleaner ponownie, wybierz po kolei opcje Skanuj + Usuń, pokaż log z czyszczenia. 2. W związku z tym, iż poprzednio były logi wykazujące brak akcji w Firefox, poproszę o dowód, że to rzeczywiście już wykonane. Tzn. zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition.

Dla porządku zróbmy to w drugim temacie. A na komputerze mogła być zainstalowana wersja DEAMON Tools Lite, która nie posługuje się się sterownikiem SPTD tylko własnym, narzędzie SPTDinst nie wykryje więc nic. W przypadku problemów log z GMER opuść. W raporcie widać wyraźnie, że rzeczywiście ziazi stało się w trakcie pobierania Defragglera (dfsetup216.exe), przy czym wymieniony instalator jest poprawny, musiał być użyty inny mostowy "downloader". Oceniając zestaw adware w raportach z usuwania, owszem sądzę że przyczyną był "Asystent pobierania" dobrychprogramów. I w systemie nadal są obiekty adware: usługa MustangService_2015_10_10, polityki blokujące coś w Google Chrome i przekierowania searchinterneat-a.akamaihd.net w IE. Doczyszczanie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer2241.exe [236816 2015-10-09] (MustangService) S3 ALSysIO; \??\C:\Users\KRZYSZ~1\AppData\Local\Temp\ALSysIO64.sys [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ4IA1wVQw0TbQENVF1cFQEadhQBUVtDDA1HcloNUAFDFQcVIR9aFQQTSEcFME0FCFwEURNNfWpdAEsSSX5NL04=&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ4IA1wVQw0TbQENVF1cFQEadhQBUVtDDA1HcloNUAFDFQcVIR9aFQQTSEcFME0FCFwEURNNfXRZD0AjREZWLE1LKUwT&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ4IA1wVQw0TbQENVF1cFQEadhQBUVtDDA1HcloNUAFDFQcVIR9aFQQTSEcFME0FCFwEURNNfWpdAEsSSX5NL04=&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-270605537-1721649966-1895909746-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130944528556762000&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\9a4b8b26-f4e0-4529-a5b4-93ec828f7e42 RemoveDirectory: C:\ProgramData\TempMoudleSet C:\Users\Krzysztof\Downloads\*-dp*.exe C:\Users\Krzysztof\Downloads\*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. AdwCleaner wykrywał śmieci w preferencjach Firefox. Dla pewności jeszcze go przeładuj: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Zacznij od posprzątania bałaganu z oprogramowaniem zabezpieczającym, duplikaty funkcyjne: ==================== Zainstalowane programy ====================== McAfee LiveSafe (HKLM-x32\...\MSC) (Version: - ) ZoneAlarm Antivirus (x32 Version: 14.1.011.000 - Check Point Software Technologies Ltd.) Hidden ZoneAlarm Firewall (x32 Version: 14.1.011.000 - Check Point Software Technologies Ltd.) Hidden ZoneAlarm Free Firewall (HKLM-x32\...\ZoneAlarm Free Firewall) (Version: 14.1.011.000 - Check Point) ZoneAlarm Security (x32 Version: 14.1.011.000 - Check Point Software Technologies Ltd.) Hidden W systemie na chodzie cały pakiet McAfee LiveSafe skombinowany z zestawem ZoneAlarm który również wygląda na cały pakiet, tylko częściowo niepoprawnie odinstalowany. Jedyna widoczna pozycja to ZoneAlarm Firewall, reszta wpisów ukryta, a w systemie na chodzie cała pula sterowników Kasperskiego które powinny być składową antywirusa Zone (używa silnika Kasperskiego). Przy okazji można się pozbyć kilku zbędnych programów Lenovo. 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Lenovo Experience Improvement, Lenovo SHAREit (jeśli nie korzystasz), ZoneAlarm Free Firewall. - Zastosuj z poziomu Trybu awaryjnego Windows narzędzie Kaspersky Remover. Po jego użyciu opuść tryb awaryny. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > o ile będą widoczne, zaznacz na liście wpisy Metric Collection SDK 35, ZoneAlarm Antivirus, ZoneAlarm Firewall, ZoneAlarm Security > Dalej. Narzędzie nie umożliwia akcji hurtowej, należy je uruchomić tyle razy ile wpisów. 2. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition. Opisz czy jest poprawa.

Chyba już tu nic więcej nie wymyślę. W raportach nie było oznak infekcji powiązanych ze zdarzeniem. Nie wiem w jaki sposób nastąpiło przejęcie danych.

Formatowanie raportów zepsute - proszę nie korzystaj z serwisu wklejto, zniekształca format i kodowanie raportów, ani nie uploaduj logów na zewnętrzny hosting (czekanie i reklamy). Skorzystaj z załączników forum. Proszę dołącz oryginalne pliki jakie powstały na dysku, a nie te już przeklejone treści zapisane ręcznie do nowych plików.

1. Uruchom AdwCleaner ponownie, tym razem wybierz po kolei opcje Skanuj + Usuń. Przedstaw wynikowy log z akcji czyszczenia. 2. W związku z tym, że poprzednio akcje Firefox nie zostały wykonane, a AdwCleaner tak jakby sugeruje że nie zrobiłeś resetu Firefox, poproszę o nowy log FRST z opcji Skanuj (Scan), włącznie z Addition, mający udowodnić, że wykonałeś zalecenia.

1. Uruchom AdwCleaner ponownie, wybierz po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Usuń pobrane skanery i ich logi z folderu C:\Users\Mariusz\Downloads\wir. Następnie zastosuj DelFix. W sygnaturce mam link do tematu podającego te dane. Z góry dzięki za ewentualne wsparcie.

Oczywiście możesz skopiować cały folder "user" na Pulpit konta "Ja". Ale tego folderu w całości właśnie nie można wstawić na świeżo założone konto, tylko wybrane elementy z niego. W folderach C:\Users\TEMP, C:\Users\TEMP.user-Komputer nie ma czego szukać. To są katalogi tymczasowe zrzucone przez system od zera gdy nie było możliwości zalogować poprawnie konta i tam nie ma poprzednich danych użytkownika. Usunięciem tych folderów zajmę się potem. Z żadnego z nich. To nie są poprawne magazyny, należą do tymczasowego konta. Interesuje Cię tylko i wyłącznie ścieżka C:\Users\user.

Skoro problem występuje we wszystkich komputerach sieci, to chodzi o któreś urządzenie sieciowe rozdzielające ruch i nie ma czego szukać w lokalnych ustawieniach systemu. Te wyniki w AdwCleaner są bez znaczenia, to tylko skutek przekierowań a nie ich przyczyna. To są rekordy z HTML5 Local Storage (rodzaj podobny do cookies / cache), tzn. otworzona została reklama > Chrome zapisało dane witryny > dane te nie powodują przekierowań. Skoro DNS są poprawne w obu sprawdzanych urządzeniach, to jeszcze posprawdzaj inne adresy IP w konfiguracji urządzeń.

To już sprawdzałam. Adresy DNS pobierane z routera zdają się być prawidłowe (Orange): Tcpip\Parameters: [DhcpNameServer] 194.204.159.1 194.204.152.34 Tcpip\..\Interfaces\{9355CF30-DD5B-4C3D-B90B-55B655DFBD70}: [DhcpNameServer] 194.204.159.1 194.204.152.34 W związku z powyższym zostaje kontakt z dostawcą sieciowym i zgłoszenie mu problemu infekcji sieciowej.

To już dawno zrobione. Poprzedni Fix FRST zawierał to: I wszystko zrobione. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder FRST. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Materiał do wglądu na co uważać: KLIK.