picasso
-
Postów
36 524 -
Dołączył
-
Ostatnia wizyta
Treść opublikowana przez picasso
-
Porywacz przeglądarki - yoursites123.com
picasso odpowiedział(a) na Posss temat w Dział pomocy doraźnej
Kolejność działań jest ścisła (każde działanie ma określone konsekwencje), nie wolno jej przestawiać. Jeśli podaję czyszczenie jako pierwsze, a raporty jako ostatnie, to jest oczywiste, że raporty mają być potwierdzeniem wykonanych wcześniej zmian. Po co mi raporty sprzed zmian... Kolejne działania do wykonania: 1. Uruchom AdwCleaner ponownie, wybierz zestaw opcji Skanuj + Usuń. Pokaż wynikowy log z czyszczenia. 2. W związku z tym, że przeglądarki były czyszczone później, poproszę o nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. -
michal1999r, podałam powyżej by ponowić łączenie konta z powiązanym katalogiem (czyli Assign).
-
Wszystko zrobione. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.
-
Proszę o pomoc z usunięciem Yoursite123
picasso odpowiedział(a) na maaarta92 temat w Dział pomocy doraźnej
Kierowałam przecież wcześniej do opisu z obrazkami. Teraz podałam wyraźnie zestaw opcji: Skanuj (Scan) + Usuń (Clean), a nie Odinstaluj (Uninstall). -
Reinstalacja Firefox była zbędna, problemem jest modyfikacja m.in skrótów LNK. Owszem, instalacja je przebija, ale jest to za duża wagowo akcja w stosunku do błahości modyfikacji. A problemy w Firefox i IE wystąpiły, bo coś zablokowało Fix FRST (przypuszczalnie COMODO). Prawie wszystko co pozornie było "usuwane" via FRST jest nadal w najnowszym logu. 1. Wyłącz COMODO. FRST nie może działać w piaskownicy tego programu. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\cWdMc\WdMan.exe [333312 2015-12-14] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Mariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N&q={searchTerms} HKU\S-1-5-21-2915783206-49812008-3396176740-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N&q={searchTerms} SearchScopes: HKU\S-1-5-21-2915783206-49812008-3396176740-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = IE Session Restore: HKU\S-1-5-21-2915783206-49812008-3396176740-1001 -> [funkcja włączona] Edge Session Restore: HKU\S-1-5-21-2915783206-49812008-3396176740-1001 -> [funkcja włączona] CHR Session Restore: Profile 1 -> [funkcja włączona] FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Mariusz\AppData\Roaming\Mozilla\Firefox\Profiles\ag4a6ebu.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Mariusz\AppData\Roaming\Mozilla\Firefox\Profiles\ag4a6ebu.default\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Mariusz\AppData\Roaming\Mozilla\Firefox\Profiles\ag4a6ebu.default\extensions\yahooprotected@gmail.com => nie znaleziono CHR HKU\S-1-5-21-2915783206-49812008-3396176740-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\ProgramData\cWdMc RemoveDirectory: C:\ProgramData\QWdMQ RemoveDirectory: C:\ProgramData\tWMiniProt RemoveDirectory: C:\Users\Mariusz\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\Mariusz\AppData\Roaming\TSv C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Windows\SysWOW64\data.bin C:\Windows\SysWOW64\pl.html EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie kolejny fixlog.txt. 2. W Google Chrome: menu Ustawienia > Ustawienia > Osoby > usuń poprzedni nieużywany profil. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, bez Shortcut. Dołącz też plik fixlog.txt.
-
Browser Modifier:Win32/SubTab i Istartpageing / Trojan RSCR
picasso odpowiedział(a) na Xebritas temat w Dział pomocy doraźnej
Niestety autor FileZilla się sprzedał i nie reaguje na żadne prośby użytkowników, by rozwiązać partnerstwo ze sponsorami... W przyklejonym kieruję użytkowników na czysty bezpośredni instalator FileZilla, a nie wrapper SourceFore: KLIK. Obecnie w systemie nie widać już żadnych aktywnych elementów adware. A ten odczyt "rootkit" w GMER to fałszywy alarm na tymczasowym sterowniku MBAM: U0 ncxingeu; C:\Windows\System32\drivers\tdojck.sys [79064 2015-12-15] (Malwarebytes) Do przeprowadzenia tylko kosmetyczne działania pod kątem wpisów pustych (w tym odpadków po aktualizacji z Windows 7) oraz czyszczenie lokalizacji tymczasowych. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [Brak pliku] Task: {01FBEA95-2571-459B-9894-5321BC470D50} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {54F629C1-EA74-48A3-9400-546A1CB0BDE9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {6C23790D-0051-4053-9C1B-CDCFC67D7B64} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA Task: {809A3E60-D8F5-4691-B1F4-5CA9E325E718} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {837EC922-8FF6-45F3-B53D-818415251E76} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {973497EB-722F-4748-B34E-6BCAD8999B69} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {AA5A57A4-A6E8-49AA-A39B-4559697AD9AE} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {B0375620-F2D0-422B-A768-772C24F30700} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe Task: {B0686C4F-96DB-412A-A4E8-3C56942BB6A4} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {CA3FF020-A4DB-4144-A4CE-D8108947F731} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {CD61F593-A25C-4ED5-AB5E-F1744167439C} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {D44DA883-9391-4387-9CC9-E035841C9452} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {D6C73850-5E20-43E1-A685-3312CBCE9AA0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA U0 ncxingeu; C:\Windows\System32\drivers\tdojck.sys [79064 2015-12-15] (Malwarebytes) DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Magiczne Bloczki 1.0 C:\Users\Sokep\AppData\Local\ACCCx3_4_2_187.zip.aamdownload C:\Users\Sokep\AppData\Local\ACCCx3_4_2_187.zip.aamdownload.aamd C:\Users\Sokep\Desktop\Nowy folder\Nowy folder (3)\DSC00103 — skrót.lnk C:\Users\Sokep\Desktop\wxDev-C++.lnk C:\Users\Sokep\Downloads\cbmfx.exe C:\Windows\System32\drivers\tdojck.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log. Nowe skany FRST nie są mi potrzebne. -
Czy na pewno problem nadal występuje? W raportach nie ma żadnych śladów tej infekcji "DNS Unlocker" (brak modyfikacji serwerów DNS, brak zadań w Harmonogramie oraz innych elementów). I poproszę o dostarczenie logów z już używanych narzędzi, czyli raporty z katalogu C:\AdwCleaner oraz plik C:\ComboFix.txt.
-
Ten typ adware powinien mieć jedno z tych źródeł: KLIK. Operacje do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj wersję naruszającą bezpieczeństwo: Java SE Runtime Environment 6. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\5WdM5\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S2 tor; "C:\Program Files\Tor\tor.exe" --nt-service "-ControlPort" "9051" [X] S4 vToolbarUpdater13.2.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [X] R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [26984 2012-11-05] (AVG Technologies) S3 catchme; \??\C:\DOCUME~1\user\USTAWI~1\Temp\catchme.sys [X] S3 cpuz134; \??\C:\DOCUME~1\user\USTAWI~1\Temp\cpuz134\cpuz134_x32.sys [X] S3 cpuz136; \??\C:\DOCUME~1\user\USTAWI~1\Temp\cpuz136\cpuz136_x32.sys [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S1 wafd_vt_1_10_0_20; system32\drivers\wafd_vt_1_10_0_20.sys [X] S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] ShortcutWithArgument: C:\Documents and Settings\user\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B ShortcutWithArgument: C:\Documents and Settings\user\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B ShortcutWithArgument: C:\Documents and Settings\user\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B ShortcutWithArgument: C:\Documents and Settings\user\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2937 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKU\S-1-5-21-1757981266-562591055-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1757981266-562591055-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://newtab.certified-toolbar.com/nie?si=41460&tid=2937&new=true" HKU\S-1-5-21-1757981266-562591055-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5b03bf19-4cf9-43b8-93d4-8e2cca96067b}_is1 DeleteKey: HKLM\SOFTWARE\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Photos Backup DeleteKey: HKU\S-1-5-18\Software\MozillaPlugins RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\2WMiniPro2 RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\5WdM5 RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\iWdMi RemoveDirectory: C:\Documents and Settings\user\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\Program Files\Mozilla Firefox\extensions RemoveDirectory: C:\Qoobox RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension RemoveDirectory: C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google RemoveDirectory: C:\WINDOWS\system32\drivers\avgtpx86.sys C:\Documents and Settings\user\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Apetito.lnk C:\Documents and Settings\user\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Wyszukiwarka.lnk C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18Core.job CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zainstaluj IE8, bo stary IE6 po prostu nie może zostać: KLIK. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
Wszystkie przeglądarki są poszkodowane, nie tylko Opera, a w tle chodzą procesy odnawiające modyfikację. I jest więcej obiektów adware, w tym inwazyjne sterowniki. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: - Adware: WindowsMangerProtect20.0.0.502, WinZipper - Stare wersje i zbędniki: Akamai NetSession Interface, Java 8 Update 31, Spybot - Search & Destroy 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {fef7f75c-f985-4250-96f9-8183cd04238b}Gw64; C:\Windows\System32\drivers\{fef7f75c-f985-4250-96f9-8183cd04238b}Gw64.sys [44696 2014-09-15] (StdLib) R1 {fef7f75c-f985-4250-96f9-8183cd04238b}w64; C:\Windows\System32\drivers\{fef7f75c-f985-4250-96f9-8183cd04238b}w64.sys [44696 2014-09-16] (StdLib) R2 IhPul; C:\Users\Ola\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\4WdM4\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 ShortcutWithArgument: C:\Users\Ola\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1448348101&z=523b69bf34d70293944c0e1g0zfzbbcc3zbb9gegee&from=ient07031&uid=KINGSTONXSV300S37A120G_50026B72410DB662 ShortcutWithArgument: C:\Users\Ola\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1448348101&z=523b69bf34d70293944c0e1g0zfzbbcc3zbb9gegee&from=ient07031&uid=KINGSTONXSV300S37A120G_50026B72410DB662 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1448348101&z=523b69bf34d70293944c0e1g0zfzbbcc3zbb9gegee&from=ient07031&uid=KINGSTONXSV300S37A120G_50026B72410DB662 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1418204911&from=wpm12103&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1418204911&from=wpm12103&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms} HKU\S-1-5-21-1119756383-1426237223-1916157764-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450162454&z=e841f9fab298aba217473aeg1zbwce4gfq9o7zfqco&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms} HKU\S-1-5-21-1119756383-1426237223-1916157764-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 HKU\S-1-5-21-1119756383-1426237223-1916157764-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 HKU\S-1-5-21-1119756383-1426237223-1916157764-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450162454&z=e841f9fab298aba217473aeg1zbwce4gfq9o7zfqco&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms} SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1418204911&from=wpm12103&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms} SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKU\.DEFAULT -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKU\.DEFAULT -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKU\S-1-5-19 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKU\S-1-5-19 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKU\S-1-5-20 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKU\S-1-5-20 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO-x32: Brak nazwy -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> Brak pliku BHO-x32: Middle Rush -> {d00ab4cc-662c-40b6-a85f-d53086f4bb16} -> C:\Program Files (x86)\Middle Rush\Extensions\d00ab4cc-662c-40b6-a85f-d53086f4bb16.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - c:\program files (x86)\internet explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1450162454&z=e841f9fab298aba217473aeg1zbwce4gfq9o7zfqco&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\ntn0gl8d.default\extensions\detgdp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\ntn0gl8d.default\extensions\quick_searchff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\ntn0gl8d.default\extensions\sweetsearch@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\ntn0gl8d.default\extensions\arthurj8283@gmail.com FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\ntn0gl8d.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\ntn0gl8d.default\extensions\yahooprotected@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1450162454&z=e841f9fab298aba217473aeg1zbwce4gfq9o7zfqco&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662" CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-05-22] StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450162454&z=e841f9fab298aba217473aeg1zbwce4gfq9o7zfqco&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1450162454&z=e841f9fab298aba217473aeg1zbwce4gfq9o7zfqco&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe CustomCLSID: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\AutoCAD Architecture 2010\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\AutoCAD Architecture 2010\acad.exe => Brak pliku Task: {2ECAA6AA-0C20-4928-81E0-78DBEEB99F1A} - System32\Tasks\{2CB8BBA1-D0D7-4BF9-A7BA-AC31584F796B} => pcalua.exe -a "C:\Program Files (x86)\Picexa\uninstall.exe" Task: {80EB4C99-1C6A-4534-852D-8B9515F1891B} - \AppCloudUpdater -> Brak pliku Task: {BC0744ED-5867-47C1-BB77-3289A93BC70D} - System32\Tasks\{CEB78C73-6D91-4B37-BF78-8A7181E8E962} => pcalua.exe -a D:\AC14-POL32\AC14-POL32.exe -d D:\AC14-POL32 Task: {F62E284D-4228-4FF0-A646-4C972C15A6BF} - System32\Tasks\{E584B8FC-FCCC-4FD8-855D-28AFA126A404} => pcalua.exe -a "C:\Program Files\AutoCAD Architecture 2010\acad.exe" -d "C:\Program Files\AutoCAD Architecture 2010\UserDataCache\" -c /ld "C:\Program Files\AutoCAD Architecture 2010\AecBase.dbx" /p "AutoCAD Architecture (jednostki metryczne)" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\4WdM4 RemoveDirectory: C:\ProgramData\9WMiniPro9 RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper RemoveDirectory: C:\Users\Ola\AppData\Roaming\TSv RemoveDirectory: C:\Users\Ola\AppData\Roaming\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Ola\Downloads\sh-remover.exe C:\Users\Ola\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Adobe Reader XI.lnk C:\Users\Ola\Desktop\PROGRAMY\Adobe Reader XI.lnk C:\Users\Ola\Desktop\PROGRAMY\AppSafe.lnk C:\Users\Ola\Desktop\PROGRAMY\Picexa.lnk C:\Users\Public\Desktop\Post Win10 Spybot-install.exe C:\Windows\System32\drivers\{fef7f75c-f985-4250-96f9-8183cd04238b}Gw64.sys C:\Windows\System32\drivers\{fef7f75c-f985-4250-96f9-8183cd04238b}w64.sys C:\Windows\SysWOW64\pl.html C:\Windows\SysWOW64\pl4.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Opera: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware Middle Rush 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.
-
Wprawdzie skan SFC wykrył pewne uszkodzone pliki, niektóre naprawił, niektóre nie (część może nie mieć znaczenia), ale nie ma w ogóle rekordu o który mi chodziło. Na razie powtórz poprzednie zadanie: Ręcznie zresetuj komputer. Następnie otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Program Files\Bonjour CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.
-
DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. To jest prawdopodobnie problem sterowników karty hybrydowej. W Twoim raporcie FRST są następujące "sparowane" pozycje: ATI Catalyst Install Manager (HKLM\...\{9A11B072-9CE7-ABB9-2F65-EC971A7B839D}) (Version: 3.0.816.0 - ATI Technologies, Inc.) Intel® Display Audio Driver (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 6.14.00.3074 - Intel Corporation) Do porównania ten temat: KLIK. Z raportu wynika że Twój komputer jest modelem Hewlett-Packard. Sprawdź na w/w stronie Microsoftu sekcję HP systems czy jest pasujący do Twojego model i co jest na ten temat napisane. Poszukaj też bezpośrednio na stronie producenta HP aktualizacji sterowników do karty hybrydowej.
-
Bez zmian. Nadal widzę w Addition: Fotogalerija Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galeria fotografii usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galerie foto Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Junk Mail filter update (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Luxor 3 (HKLM-x32\...\Luxor 3) (Version: - Oberon Media Inc.) Mesh Runtime (x32 Version: 15.4.5722.2 - Microsoft Corporation) Hidden Poczta usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Podstawowe programy Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Pošta Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Essentials (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3508.1109 - Microsoft Corporation) Wszystkie wpisy z wyjątkiem ostatniego są ukryte - ten ostatni Windows Live Essentials powinien być widoczny normalnie w Programy i funkcje. A nawet jeśli nie, to i tak wszystkie pozycje powinno widzieć narzędzie Microsoftu. Pokaż mi zrzuty ekranu co sprawdzasz narędziem. PS. I przeczytaj PM.
-
kerpal, proszę bez idiotycznych "pytajników" podbijających temat. Usuwam ten post. Temat przenoszę, na razie do działu Software, bo nie wiem gdzie go dać. To nie jest problem infekcji. A z raportów nic kompletnie nie wynika pod kątem zgłoszonych problemów. Pytaniem jest czy problem tyczy tylko i wyłącznie Chrome, czy to samo występuje rówież na systemowym Internet Explorer. Jedyne co tu mi się rzuca w oczy, to poniższy błąd w Dzienniku zdarzeń. Tylko że usługi HiPatchService nie widać w głównym raporcie FRST (zakładając że nie jest filtrowana), więc błąd może być nieaktuany. Dziennik System: ============= Error: (12/10/2015 01:11:17 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa Hi-Rez Studios Authenticate and Update Service niespodziewanie zakończyła pracę. Wystąpiło to razy: 1.
-
- Proponowany darmowy skaner Malwarebytes Anti-Malware. Wersja darmowa jest pozbawiona rezydenta. - Bez wątpienia Firefox. IE8 to strasznie przestarzała przeglądarka, nie obsługująca już najnowocześniejszych specyfikacji (np. strona mojego forum w IE8 przedstawia wiele do życzenia, rendering nieprawidłowy), nie mająca żadnych widoków na aktualizację i całkowicie pozbawiona wsparcia. Niestety to dla XP jedyna dostępna wersja. Najnowszy IE11 jest tylko dla Windows 7 i nowszych systemów. Oczywiście, ale w nowym temacie. Nie obiecuję szybkiej odpowiedzi. W dziale jest gorąco, jestem jedyną osobą do pomocy i przez ostatnie dni padam tyle jest tematów z "yoursites123". Nie mam już sił.
-
Tzn. o których pozostałościach mowa? Przedstaw co masz na myśli, bo w raporcie FRST nic już nie widać od Aviry. Ostatni Fix FRST wykonany. Teraz jeszcze: 1. Skoryguj jeden z wyleczonych skrótów, by odpowiadał pierwotnej funkcji przed infekcją. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox Prawoklik na zlokalizowany tam skrót Mozilla Firefox (Safe Mode) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Mozilla Firefox\firefox.exe" dopisz spację i -safe-mode 2. Uruchom Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.
-
DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Temat infekcji rozwiązany. Zamykam. A jeśli chodzi o problem drukarki, to załóż nowy temat w dziale bardziej do tego dopasowanym, tzn. Windows 8 lub Hardware.
-
Dobrowolne pobranie FreeKeyloggera i sprawdzenie czy nie siedzi teraz w komputerze.
picasso odpowiedział(a) na SzymonB temat w Dział pomocy doraźnej
Jedyne co widać w raporcie głównym FRST.txt, to ten skrót na Pulpicie: 2015-12-13 18:50 - 2015-12-13 18:50 - 00001742 _____ C:\Users\Szymek\Desktop\FreeKeyl0gger.lnk Ale ten skrót nie jest z kolei widziany w pliku Shortcut.txt, więc może usunąłeś go w trakcie trwania skanu FRST. Nie, prędzej niedozwolona ingerencja w pamięci przeprowadzona przez sterownik GMER. PS. Do wykonania tylko drobne akcje: 1. W Google Chrome są jakieś śmieciarskie (prawdopodobnie uszkodzone) rozszerzenia. Ustawienia > karta Rozszerzenia > odinstaluj to wszystko co poniżej: CHR Extension: (http://darkwarez.pl/forum/) - C:\Users\Szymek\AppData\Local\Google\Chrome\User Data\Default\Extensions\bigefdfikodhdfbgmfnlibaolpjijkpo [2015-08-12] CHR Extension: (http://olx.pl/) - C:\Users\Szymek\AppData\Local\Google\Chrome\User Data\Default\Extensions\ighefdefallcdhffphgilnemgphpafpk [2015-08-12] CHR Extension: (http://allegro.pl/) - C:\Users\Szymek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jgdhjjnhpikfdmmhbgmgcnmadfoioafc [2015-08-12] CHR Extension: (http://www.dobreprogramy.pl/) - C:\Users\Szymek\AppData\Local\Google\Chrome\User Data\Default\Extensions\lfbbgbcegmmhcjbpaejejanbcjmhheep [2015-08-15] CHR Extension: (http://www.elektroda.pl/rtvforum/forum220.htm) - C:\Users\Szymek\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkkfkhkjjgglgpgcbjhlgmpppmongald [2015-09-09] 2. Otwórz Notatnik i wklej: CloseProcesses: HKLM-x32\...\Run: [] => [X] GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia Task: {D9110F40-E99B-4D4B-8BA7-8582E2185E61} - System32\Tasks\{3FFF7C70-E574-4169-9067-23333B2434DD} => launchwinapp.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.8.0.102&LastError=12002 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne. -
Trzeci plik się nie utworzył, bo nie skonfigurowałeś FRST, by go tworzył. Wracaj do instrukcji: KLIK.
-
Zatwierdź ten komunikat i mimo wszystko sprawdź czy da się połączyć user z katalogiem C:\Users\user, pomimo iż tak już widać w oknie.
-
Avast - Błąd: Plik Sieciowy - w chwili obecnej niedostępny (42006)
picasso odpowiedział(a) na Aranges temat w Dział pomocy doraźnej
Ten odczyt nic nie oznacza ciekawego, nie jest to infekcja i nic się nie dzieje. Avast próbował skanować strumienie ms-drive podpięte na katalogu OneDrive. To są poprawne strumienie zawsze występujące na tym katalogu. Nie widać ich w FRST Addition, bo całkiem niedawno zgłosiłam je do filtrowania (obecnie ukryte na białej liście). To częsty błąd GMER na nowszych systemach. Nie ma się czym przejmować. W raportach brak oznak czynnej infekcji. Tylko drobne odpadki adware (polityki Google Chrome + szczątki fałszywej przeglądarki BoBrowser i adware SwiftSearch) oraz poboczne działania do wykonania. Akcja: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędniki: Akamai NetSession Interface, WebStorage. Ten WebStorage integrowany na komputerach ASUS jest znany z tworzenia błędów explorer.exe. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Beschränkung - Chrome CHR HKLM\SOFTWARE\Policies\Google: Beschränkung HKU\S-1-5-21-2451408768-821268778-953564908-1001\...\Run: [CrashService] => "C:\Users\Czarek\AppData\Local\BoBrowser\Application\crash_service.exe" --max-reports=50 --no-window Task: {31765303-96E4-4528-8178-F85FE4FA2264} - System32\Tasks\AdobeAAMUpdater-1.0-MicrosoftAccount-czarkowski14@hotmail.com => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe Task: {41CE8123-4A72-49D6-B13D-F32CCFD915F0} - \SwiftSearch Auto Updater 1.10.0.25 Core -> Keine Datei Task: {618B8511-47CB-4E5D-9AE1-098D1B69E59B} - \SwiftSearch Auto Updater 1.10.0.25 Pending Update -> Keine Datei Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Keine Datei Task: {B36F2439-1BF7-4861-9830-0C9CA82A04FD} - \crash_service -> Keine Datei Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Keine Datei Task: {CD79F7F0-36BA-47B4-A999-ED92DABF0B4E} - \Run_Bobby_Browser -> Keine Datei HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" U0 msahci; system32\drivers\msahci.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GoogleChromeAutoLaunch_9C96C5D082A97E1EA21A795A67BBB42E /f C:\ProgramData\TEMP C:\ProgramData\TweakBit C:\Users\Czarek\AppData\Local剜捯獫慴慇敭屳呇⁁屖湥楴汴浥湥湩潦 CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Entfernen (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Suchlauf (Scan), log powstanie w folderze C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Untersuchen (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt oraz log AdwCleaner. -
Pliki how_recover, samoistne usuwanie sie programów, zablokowany menedżer zadań...
picasso odpowiedział(a) na pawb0 temat w Dział pomocy doraźnej
Skoro oporne pliki Windows Defender pomyślnie podstawione, to teraz ponów skan SFC i sprawdź czy się ukończy, poprzednio doszedł tylko do 79%. -
SpyHunter to skaner-naciągacz z czarnej listy, reklamowany mocno w fałszowanych "opisach usuwania infekcji", tylko po to by go zainstalować i płacić. Na dysku widać pliki "Asystenta pobierania" portalu dobreprogramy.pl. Więcej na ten temat: KLIK. Działania do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe Shockwave Player, J2SE Runtime Environment 5.0 Update 5, Macromedia Shockwave Player. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649921&z=053ca32e829ba658842a54dg7zfzft6q5z2t0tfg9t&from=ient07021&uid=WDCXWD3200BEVT-35ZCT0_WD-WXE908S6673066730 ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649921&z=053ca32e829ba658842a54dg7zfzft6q5z2t0tfg9t&from=ient07021&uid=WDCXWD3200BEVT-35ZCT0_WD-WXE908S6673066730 ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649921&z=053ca32e829ba658842a54dg7zfzft6q5z2t0tfg9t&from=ient07021&uid=WDCXWD3200BEVT-35ZCT0_WD-WXE908S6673066730 ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649921&z=053ca32e829ba658842a54dg7zfzft6q5z2t0tfg9t&from=ient07021&uid=WDCXWD3200BEVT-35ZCT0_WD-WXE908S6673066730 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649921&z=053ca32e829ba658842a54dg7zfzft6q5z2t0tfg9t&from=ient07021&uid=WDCXWD3200BEVT-35ZCT0_WD-WXE908S6673066730 ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649921&z=053ca32e829ba658842a54dg7zfzft6q5z2t0tfg9t&from=ient07021&uid=WDCXWD3200BEVT-35ZCT0_WD-WXE908S6673066730 HKU\S-1-5-21-2741921912-2865077762-2063661297-1000\...\Run: [] => [X] R1 {b7cdd446-d7a3-4f7e-97e8-ada05184647f}Gw64; C:\Windows\System32\drivers\{b7cdd446-d7a3-4f7e-97e8-ada05184647f}Gw64.sys [48784 2015-11-25] (StdLib) S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X] S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X] Task: {1E249AE6-5B9E-4984-9C2D-01318825894D} - System32\Tasks\{ABA0C5BA-9C98-485D-BDE7-240A7C2D83BA} => pcalua.exe -a "C:\Users\Tomek\Desktop\usun bez pytania\Adobe Flash Player\Adobe Flash Player\install_flash_player.exe" -d "C:\Users\Tomek\Desktop\usun bez pytania\Adobe Flash Player\Adobe Flash Player" Task: {6535420B-54A5-4CB5-B4E8-DF85CC29B11F} - System32\Tasks\{9E1D8059-E61B-4F92-BE7F-A34136722E99} => pcalua.exe -a C:\Users\Tomek\Downloads\Setup.exe -d C:\Users\Tomek\Downloads Task: {7C75324C-21FE-4BEC-847A-C4F2B5E48D28} - System32\Tasks\{78C60D2A-2540-49AF-A903-993E8D3F938E} => pcalua.exe -a "E:\instalki\ACDSee Photo Manager 10.0\ACDSee Photo Manager 10.0\ACDSee 10.0.exe" -d "E:\instalki\ACDSee Photo Manager 10.0\ACDSee Photo Manager 10.0" Task: {8E9C957B-BE90-47A9-8BFF-674932A98D73} - System32\Tasks\{70051BA3-011F-47E2-8909-984491783119} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Ontozap\uninstall.exe" -c -f "C:\Program Files (x86)\Common Files\Ontozap\uninstall.dat" -a uninstallme 599B52AA-40A4-496C-B1C1-09CCEA3B6E41 DeviceId=e61dcdb7-a9d4-8264-b533-43569c2ebb76 BarcodeId=50081003 ChannelId=3 DistributerName=APSFIMonetizer Task: {9F2122A7-FD75-42BE-B1D3-B6893A741B7A} - System32\Tasks\SpyHunter4Startup => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter4.exe Task: {ACA3961C-D4D2-4C7A-83D5-BEE7A6038D74} - System32\Tasks\{FB2D0967-6E6A-400C-8CB8-D98C1A9E9330} => C:\Users\Tomek\Downloads\Setup.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\360AP RemoveDirectory: C:\Program Files (x86)\Enigma Software Group RemoveDirectory: C:\ProgramData\1WMiniPro1 RemoveDirectory: C:\ProgramData\6WdM6 RemoveDirectory: C:\ProgramData\aWMiniProa RemoveDirectory: C:\ProgramData\UWdMU RemoveDirectory: C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{357E00CB-F87E-4C83-9865-644D6DA8ADFB} RemoveDirectory: C:\Users\Tomek\AppData\Roaming\eCyber RemoveDirectory: C:\Users\Tomek\Downloads\SpyHunter 4.12.13.4202 RemoveDirectory: C:\sh4ldr RemoveDirectory: C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP C:\shldr C:\shldr.mbr C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Infix PDF Editor 4\License.lnk C:\Users\Tomek\Desktop\stary dysk - pulpit\Tomek\auto\LCode.lnk C:\Users\Tomek\Desktop\stary dysk - pulpit\Tomek\auto\Polski VAG 2.5.lnk C:\Users\Tomek\Desktop\stary dysk - pulpit\Tomek\auto\Polski VAG 4.9.lnk C:\Users\Tomek\Desktop\stary dysk - pulpit\Tomek\auto\VCDS-PL 10.6.lnk C:\Users\Tomek\Desktop\stary dysk - pulpit\Natalia\rok szkolny 2011-2012\zebranie.docx.lnk C:\Users\Tomek\Desktop\stary dysk - pulpit\Natalia\przedszkole- karty pracy obrazki\zima\zimowo\Gdańsk herb.jpg — skrót.lnk C:\Users\Tomek\Desktop\stary dysk - pulpit\Natalia\przedszkole- karty pracy obrazki\dzień rodziny\Total Commander.lnk C:\Users\Tomek\Downloads\*-dp*.exe C:\Users\Tomek\Downloads\SpyHunter-Installer.exe C:\Users\Tomek\Downloads\SpyHunter 4.12.13.4202.rar C:\Windows\System32\Drivers\{b7cdd446-d7a3-4f7e-97e8-ada05184647f}Gw64.sys C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\System32\Tasks\SpyHunter4Startup EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
Yoursites123 wyskakuje jako pierwsza strona w Operze
picasso odpowiedział(a) na Fikus112 temat w Dział pomocy doraźnej
Wspominasz o Operze, a tu ani śladu po niej. Proszę zacząć od dostarczenia poprawnych logów, bo tu podane nie wyglądają na takie, pochodzą z różnych komputerów: FRST: Załadowane profile: kubapapryka (Dostępne profile: UpdatusUser & kubapapryka) Platform: Windows 8.1 (X64) Język: Polski (Polska) Addition + Shortcut: Uruchomiony przez Krzysiek (2015-12-11 20:00:43) Windows 7 Home Premium Service Pack 1 (X64) (2013-02-10 23:09:10) -
Ze skanem GMER niestety tak już jest, że nie zawsze się uda. Jego sterownik może wykonać "nielegalną operację" w pamięci lub wejść w konflikt z innymi sterownikami. W podanych raportach widać instalacje adware (yoursites123.com, isearch.omiga-plus.com i wiele innych kwiatków). Na dysku widać też, że pobierałeś z portali ich "downloadery" a nie poprawne instalatory. Więcej na ten temat: KLIK. Poza tym, jest tu uszkodzony któryś profil użytkownika, Twój lub UpdatusUser aktualizatora nVidia: Error: (12/14/2015 09:37:54 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Nieokreślony błąd. Akcje do przeprowadzenia: 1. Odinstaluj: Adobe AIR (strasznie stary, luki!), Download Accelerator Plus (DAP) (mierna reputacja, konotacje z instalacjami adware), HP Deskjet Ink Adv 2060 K110 Badanie ulepszeń produktu (zbędnik), SpyHunter (skaner-naciągacz z czarnej listy!), Surfing Protection (odpadek po deinstalacji Advanced SystemCare IOBit), Trojan Killer (zbędnik), Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables (obie instalacje to odpadki po AVG), WinZipper (adware). 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: (TFuns LIMITED) C:\ProgramData\5WdM5\WdMan.exe R2 WdMan; C:\ProgramData\5WdM5\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wiedźmin 2 Zabójcy Królów Edycja Rozszerzona\Wiedźmin 2 Zabójcy Królów Edycja Rozszerzona.lnk -> D:\Program Files (x86)\GTX Box Team\Wiedźmin 2 Zabójcy Królów Edycja Rozszerzona\Launcher.exe (CD Projekt RED) -> hxxp://www.istartpageing.com/?type=sc&ts=1448999514&z=850773ff302d02196bf8352g7zaz6bft1tdt4w5g6z&from=cor&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Dishonored - Game of the Year Edition\Play Dishonored - Game of the Year Edition.lnk -> F:\Program Files (x86)\Dishonored - Game of the Year Edition\Binaries\Win32\Launcher.exe () -> hxxp://www.istartpageing.com/?type=sc&ts=1448999514&z=850773ff302d02196bf8352g7zaz6bft1tdt4w5g6z&from=cor&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Mafia II\Mafia II Launcher.lnk -> C:\Program Files (x86)\2K Games\Mafia II\launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\Users\Lenovo\Desktop\Gry\Dishonored - Game of the Year Edition.lnk -> F:\Program Files (x86)\Dishonored - Game of the Year Edition\Binaries\Win32\Launcher.exe () -> hxxp://www.istartpageing.com/?type=sc&ts=1448999514&z=850773ff302d02196bf8352g7zaz6bft1tdt4w5g6z&from=cor&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\Users\Lenovo\Desktop\Gry\Play Dying Light.lnk -> D:\Program Files (x86)\Dying Light\Launcher.exe () -> hxxp://www.istartpageing.com/?type=sc&ts=1448999514&z=850773ff302d02196bf8352g7zaz6bft1tdt4w5g6z&from=cor&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\Users\Lenovo\Desktop\Gry\Wiedźmin 2 Zabójcy Królów Edycja Rozszerzona.lnk -> D:\Program Files (x86)\GTX Box Team\Wiedźmin 2 Zabójcy Królów Edycja Rozszerzona\Launcher.exe (CD Projekt RED) -> hxxp://www.istartpageing.com/?type=sc&ts=1448999514&z=850773ff302d02196bf8352g7zaz6bft1tdt4w5g6z&from=cor&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420145755&from=cor&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420145755&from=cor&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH&q={searchTerms} HKU\S-1-5-21-583818649-3997608106-3267890143-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420145755&from=cor&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH&q={searchTerms} HKU\S-1-5-21-583818649-3997608106-3267890143-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH HKU\S-1-5-21-583818649-3997608106-3267890143-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH HKU\S-1-5-21-583818649-3997608106-3267890143-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420145755&from=cor&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files (x86)\T-Mobile\InternetManager_Z\Bin\addon FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\cn9btjkf.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\cn9btjkf.default\extensions\yahooprotected@gmail.com FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\cn9btjkf.default\extensions\default_newtabff@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku BootExecute: autocheck autochk * sh4native Sh4Removal Task: {3280A8FD-0004-47AF-B6DE-C51FF250720F} - System32\Tasks\{AB847C6D-29E6-4AA4-9146-68D335289A56} => pcalua.exe -a "F:\Torrentz\Neighbours from Hell\V. 2\Neighbours From Hell 2.exe" -d "F:\Torrentz\Neighbours from Hell\V. 2" Task: {67138E62-FD61-4FD4-BE7C-A22E16827CD0} - System32\Tasks\{7CD1E58D-370A-44E0-BBA8-AD75A64071CA} => pcalua.exe -a "C:\Program Files (x86)\blueconnect\uninst.exe" Task: {720D7694-AA19-4059-B01A-05CF1C2A6114} - System32\Tasks\Driver Robot => C:\Program Files (x86)\Driver Robot\Driver Robot.lnk Task: {84CDC4A9-627E-4602-A5E5-B5B1542287EE} - System32\Tasks\{B1FC8512-39AA-46C0-87E5-D93112AB03A4} => pcalua.exe -a "F:\Torrentz\V. 1\Neighbours From Hell.exe" -d "F:\Torrentz\V. 1" Task: {BEFDDD47-5E0F-4E5F-AF8F-F9B362DBC2FF} - \globalUpdateUpdateTaskMachineCore -> Brak pliku Task: {E64E0964-9EC0-4BD8-BB8E-B1323825C695} - \globalUpdateUpdateTaskMachineUA -> Brak pliku Task: C:\Windows\Tasks\Driver Robot.job => C:\Program Files (x86)\Driver Robot\Driver Robot.lnk U5 VirtFile; C:\Windows\System32\Drivers\VirtFile.sys [117552 2014-01-29] (Symantec Corporation) S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tiny download manager DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-21-583818649-3997608106-3267890143-1001\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-21-583818649-3997608106-3267890143-1001\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-21-583818649-3997608106-3267890143-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-21-583818649-3997608106-3267890143-1001\Software\Microsoft\Windows\CurrentVersion\Run RemoveDirectory: C:\Program Files (x86)\DAEMON Tools Pro RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} RemoveDirectory: C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98} RemoveDirectory: C:\ProgramData\2WdM2 RemoveDirectory: C:\ProgramData\5WdM5 RemoveDirectory: C:\ProgramData\JWMiniProJ RemoveDirectory: C:\ProgramData\Symantec RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper RemoveDirectory: C:\Users\Lenovo\AppData\Local\Gameo RemoveDirectory: C:\Users\Lenovo\AppData\Local\StormFall RemoveDirectory: C:\Users\Lenovo\AppData\Roaming\Apple Computer RemoveDirectory: C:\Users\Lenovo\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\Lenovo\AppData\Roaming\GoldenGate RemoveDirectory: C:\Users\Lenovo\AppData\Roaming\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Starcraft\Starcraft - Brood War Help.lnk C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Lenovo\Desktop\Nieużywane skróty\ALLPlayer.TV.lnk C:\Users\Lenovo\Downloads\SD1.4.0.608_Setup.exe C:\Users\Lenovo\Downloads\setup.exe C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\diskptex.dat C:\Windows\System32\Drivers\VirtFile.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Osoby > skasuj poprzedni nieużywany profil. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
Przenoszę do działu Windows. To nie jest problem infekcji. To co jest notowane jako "rootkit" w GMER to poprawna usługa Dziennik zdarzeń (Eventlog). Usługa ma stan "Wyłączono", co oznacza że nie działa część rzeczy zależnych. I nie tylko ta usługa nie działa, prawie wszystko w Windows padło - sam sobie zaszkodziłeś masowo wyłączając wszystkie usługi Windows i programów zewnętrznych via msconfig: MSCONFIG\Services: AdobeARMservice => 3 MSCONFIG\Services: AdobeFlashPlayerUpdateSvc => 3 MSCONFIG\Services: AJRouter => 3 MSCONFIG\Services: ALG => 3 MSCONFIG\Services: AppHostSvc => 2 MSCONFIG\Services: AppReadiness => 3 MSCONFIG\Services: AudioEndpointBuilder => 2 MSCONFIG\Services: Audiosrv => 2 MSCONFIG\Services: AxInstSV => 3 MSCONFIG\Services: BDESVC => 3 MSCONFIG\Services: BFE => 2 MSCONFIG\Services: BITS => 2 MSCONFIG\Services: BR.AS.VersionChangerService => 3 MSCONFIG\Services: BrAuthorizationSvcx => 2 MSCONFIG\Services: BrDiskImageSvcx => 3 MSCONFIG\Services: Browser => 3 MSCONFIG\Services: BthHFSrv => 3 MSCONFIG\Services: bthserv => 3 MSCONFIG\Services: CDPSvc => 3 MSCONFIG\Services: CertPropSvc => 3 MSCONFIG\Services: COMSysApp => 3 MSCONFIG\Services: CoordinatorServiceHost => 3 MSCONFIG\Services: cphs => 3 MSCONFIG\Services: CryptSvc => 2 MSCONFIG\Services: DcpSvc => 3 MSCONFIG\Services: defragsvc => 3 MSCONFIG\Services: DeviceAssociationService => 3 MSCONFIG\Services: DeviceInstall => 3 MSCONFIG\Services: DevQueryBroker => 3 MSCONFIG\Services: Dhcp => 2 MSCONFIG\Services: diagnosticshub.standardcollector.service => 3 MSCONFIG\Services: DiagTrack => 2 MSCONFIG\Services: DmEnrollmentSvc => 3 MSCONFIG\Services: dmwappushservice => 2 MSCONFIG\Services: Dnscache => 2 MSCONFIG\Services: DoSvc => 2 MSCONFIG\Services: dot3svc => 3 MSCONFIG\Services: DPS => 2 MSCONFIG\Services: DsmSvc => 3 MSCONFIG\Services: DsSvc => 3 MSCONFIG\Services: Eaphost => 3 MSCONFIG\Services: EFS => 3 MSCONFIG\Services: EventLog => 2 MSCONFIG\Services: EventSystem => 2 MSCONFIG\Services: Fax => 3 MSCONFIG\Services: fdPHost => 3 MSCONFIG\Services: FDResPub => 2 MSCONFIG\Services: fhsvc => 3 MSCONFIG\Services: FLEXnet Licensing Service => 3 MSCONFIG\Services: FLEXnet Licensing Service 64 => 3 MSCONFIG\Services: FontCache => 2 MSCONFIG\Services: FontCache3.0.0.0 => 3 MSCONFIG\Services: gusvc => 3 MSCONFIG\Services: hidserv => 3 MSCONFIG\Services: HomeGroupListener => 3 MSCONFIG\Services: HomeGroupProvider => 3 MSCONFIG\Services: IAStorDataMgrSvc => 2 MSCONFIG\Services: icssvc => 3 MSCONFIG\Services: IEEtwCollectorService => 3 MSCONFIG\Services: igfxCUIService1.0.0.0 => 2 MSCONFIG\Services: IKEEXT => 3 MSCONFIG\Services: Intel® Capability Licensing Service Interface => 2 MSCONFIG\Services: iphlpsvc => 2 MSCONFIG\Services: jhi_service => 2 MSCONFIG\Services: KeyIso => 3 MSCONFIG\Services: KtmRm => 3 MSCONFIG\Services: LanmanServer => 2 MSCONFIG\Services: LanmanWorkstation => 2 MSCONFIG\Services: lfsvc => 3 MSCONFIG\Services: LicenseManager => 3 MSCONFIG\Services: lltdsvc => 3 MSCONFIG\Services: lmhosts => 3 MSCONFIG\Services: LMS => 2 MSCONFIG\Services: MapsBroker => 2 MSCONFIG\Services: MpsSvc => 2 MSCONFIG\Services: MSDTC => 3 MSCONFIG\Services: MSiSCSI => 3 MSCONFIG\Services: MSMQ => 2 MSCONFIG\Services: MSSQL$SQLEXPRESS => 2 MSCONFIG\Services: NcaSvc => 3 MSCONFIG\Services: NcbService => 3 MSCONFIG\Services: NcdAutoSetup => 3 MSCONFIG\Services: Netlogon => 3 MSCONFIG\Services: Netman => 3 MSCONFIG\Services: NetMsmqActivator => 2 MSCONFIG\Services: NetPipeActivator => 2 MSCONFIG\Services: netprofm => 3 MSCONFIG\Services: NetSetupSvc => 3 MSCONFIG\Services: NetTcpActivator => 2 MSCONFIG\Services: NetTcpPortSharing => 3 MSCONFIG\Services: NlaSvc => 2 MSCONFIG\Services: nsi => 2 MSCONFIG\Services: nvsvc => 2 MSCONFIG\Services: nvUpdatusService => 2 MSCONFIG\Services: ODMV3 => 3 MSCONFIG\Services: ose64 => 3 MSCONFIG\Services: osppsvc => 3 MSCONFIG\Services: p2pimsvc => 3 MSCONFIG\Services: p2psvc => 3 MSCONFIG\Services: PcaSvc => 2 MSCONFIG\Services: PerfHost => 3 MSCONFIG\Services: pla => 3 MSCONFIG\Services: PlugPlay => 3 MSCONFIG\Services: PNRPAutoReg => 3 MSCONFIG\Services: PNRPsvc => 3 MSCONFIG\Services: PolicyAgent => 3 MSCONFIG\Services: Power => 2 MSCONFIG\Services: PrintNotify => 3 MSCONFIG\Services: QWAVE => 3 MSCONFIG\Services: RasAuto => 3 MSCONFIG\Services: RasMan => 3 MSCONFIG\Services: RealNetworks Downloader Resolver Service => 2 MSCONFIG\Services: RealPlayer Cloud Service => 2 MSCONFIG\Services: RealPlayerUpdateSvc => 2 MSCONFIG\Services: RetailDemo => 3 MSCONFIG\Services: RpcLocator => 3 MSCONFIG\Services: SamSs => 2 MSCONFIG\Services: ScDeviceEnum => 3 MSCONFIG\Services: SCPolicySvc => 3 MSCONFIG\Services: SDRSVC => 3 MSCONFIG\Services: seclogon => 3 MSCONFIG\Services: SENS => 2 MSCONFIG\Services: SensorDataService => 3 MSCONFIG\Services: SensorService => 3 MSCONFIG\Services: SensrSvc => 3 MSCONFIG\Services: SessionEnv => 3 MSCONFIG\Services: SharedAccess => 3 MSCONFIG\Services: ShellHWDetection => 2 MSCONFIG\Services: SkypeUpdate => 2 MSCONFIG\Services: smphost => 3 MSCONFIG\Services: SmsRouter => 3 MSCONFIG\Services: SNMPTRAP => 3 MSCONFIG\Services: SolidWorks Licensing Service => 3 MSCONFIG\Services: Spooler => 2 MSCONFIG\Services: SQLWriter => 2 MSCONFIG\Services: SSDPSRV => 3 MSCONFIG\Services: SstpSvc => 3 MSCONFIG\Services: Steam Client Service => 3 MSCONFIG\Services: stisvc => 2 MSCONFIG\Services: StorSvc => 3 MSCONFIG\Services: svsvc => 3 MSCONFIG\Services: swprv => 3 MSCONFIG\Services: SynTPEnhService => 2 MSCONFIG\Services: SysMain => 2 MSCONFIG\Services: TabletInputService => 3 MSCONFIG\Services: TapiSrv => 3 MSCONFIG\Services: TermService => 3 MSCONFIG\Services: Themes => 2 MSCONFIG\Services: TrkWks => 2 MSCONFIG\Services: TrustedInstaller => 3 MSCONFIG\Services: UI0Detect => 3 MSCONFIG\Services: UmRdpService => 3 MSCONFIG\Services: UNS => 2 MSCONFIG\Services: upnphost => 3 MSCONFIG\Services: UsoSvc => 3 MSCONFIG\Services: VaultSvc => 3 MSCONFIG\Services: vds => 3 MSCONFIG\Services: vmicguestinterface => 3 MSCONFIG\Services: vmicheartbeat => 3 MSCONFIG\Services: vmickvpexchange => 3 MSCONFIG\Services: vmicrdv => 3 MSCONFIG\Services: vmicshutdown => 3 MSCONFIG\Services: vmictimesync => 3 MSCONFIG\Services: vmicvmsession => 3 MSCONFIG\Services: vmicvss => 3 MSCONFIG\Services: vncserver => 3 MSCONFIG\Services: VSS => 3 MSCONFIG\Services: W32Time => 3 MSCONFIG\Services: w3logsvc => 3 MSCONFIG\Services: W3SVC => 2 MSCONFIG\Services: WalletService => 3 MSCONFIG\Services: WAS => 3 MSCONFIG\Services: wbengine => 3 MSCONFIG\Services: WbioSrvc => 2 MSCONFIG\Services: Wcmsvc => 2 MSCONFIG\Services: wcncsvc => 3 MSCONFIG\Services: WcsPlugInService => 3 MSCONFIG\Services: WdiServiceHost => 3 MSCONFIG\Services: WdiSystemHost => 3 MSCONFIG\Services: WebClient => 3 MSCONFIG\Services: Wecsvc => 3 MSCONFIG\Services: WEPHOSTSVC => 3 MSCONFIG\Services: wercplsupport => 3 MSCONFIG\Services: WerSvc => 3 MSCONFIG\Services: WiaRpc => 3 MSCONFIG\Services: WinHttpAutoProxySvc => 3 MSCONFIG\Services: Winmgmt => 2 MSCONFIG\Services: WinRM => 3 MSCONFIG\Services: WlanSvc => 2 MSCONFIG\Services: wlidsvc => 3 MSCONFIG\Services: wmiApSrv => 3 MSCONFIG\Services: WMPNetworkSvc => 3 MSCONFIG\Services: workfolderssvc => 3 MSCONFIG\Services: WPDBusEnum => 3 MSCONFIG\Services: wscsvc => 2 MSCONFIG\Services: WSearch => 2 MSCONFIG\Services: wuauserv => 3 MSCONFIG\Services: wudfsvc => 3 MSCONFIG\Services: WwanSvc => 3 MSCONFIG\Services: XblAuthManager => 3 MSCONFIG\Services: XblGameSave => 3 MSCONFIG\Services: XboxNetApiSvc => 3 MSCONFIG\Services: ZAtheros Bt&Wlan Coex Agent => 2 Uruchom msconfig ponownie, w karcie Usługi zaznacz wszystkie pozycje i zresetuj system. Windows powinien się ożywić. Potwierdź wykonanie zadania, a podam drobny skrypt czyszczący wpisy puste (nie powiązane w ogóle z problemami).