picasso

Proszę dostosować się do zasad działu i dostarczyć obowązkowe tu logi: KLIK. Logi z przestarzałeo OTL w ogóle nie są tu brane pod uwagę, usuwam. I na temat używania ComboFix: KLIK.

Spróbuj te wszystkie wejścia usunąć za pomocą Wise Program Uninstaller. Po tym zrób nowy log FRST, ale podaj tylko plik Addition. O tym jest w przyklejonym: KLIK.

Kończymy: 1. Usuń pobrane skanery i ich logi z folderu C:\delete. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Przeczytaj na co uważać: KLIK.

W związku z tym wykonaj reset routera do ustawień fabrycznych przyciskiem na obudowie, po tym spróbuj się zalogować i wykonać podane operacje.

Logi uzupełnione. Teraz już odpowiadaj mi w nowym poście, nie edytuj pierwszego. Operacje do przeprowadzenia: 1. Odinstaluj stare wersje: Ad-Aware Browsing Protection, Adobe Flash Player 10 ActiveX, Adobe Flash Player 12 Plugin, HP Customer Participation Program 13.0, Java 8 Update 40. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Paulina\Desktop\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449657144&z=1a734dfea5e2d3af09cbeb2g7z9z9t5q9w4m9g7z8m&from=ient07021&uid=ST3500418AS_9VM3RPCVXXXX9VM3RPCV ShortcutWithArgument: C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449657144&z=1a734dfea5e2d3af09cbeb2g7z9z9t5q9w4m9g7z8m&from=ient07021&uid=ST3500418AS_9VM3RPCVXXXX9VM3RPCV ShortcutWithArgument: C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449657144&z=1a734dfea5e2d3af09cbeb2g7z9z9t5q9w4m9g7z8m&from=ient07021&uid=ST3500418AS_9VM3RPCVXXXX9VM3RPCV ShortcutWithArgument: C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449657144&z=1a734dfea5e2d3af09cbeb2g7z9z9t5q9w4m9g7z8m&from=ient07021&uid=ST3500418AS_9VM3RPCVXXXX9VM3RPCV ShortcutWithArgument: C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449657144&z=1a734dfea5e2d3af09cbeb2g7z9z9t5q9w4m9g7z8m&from=ient07021&uid=ST3500418AS_9VM3RPCVXXXX9VM3RPCV ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449657144&z=1a734dfea5e2d3af09cbeb2g7z9z9t5q9w4m9g7z8m&from=ient07021&uid=ST3500418AS_9VM3RPCVXXXX9VM3RPCV ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449657144&z=1a734dfea5e2d3af09cbeb2g7z9z9t5q9w4m9g7z8m&from=ient07021&uid=ST3500418AS_9VM3RPCVXXXX9VM3RPCV CustomCLSID: HKU\S-1-5-21-2760027905-1824020503-3447031478-1001_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\Users\Paulina\Desktop\BESTplayer.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-2760027905-1824020503-3447031478-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Paulina\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: {7702505A-92E0-43C3-8EAE-26A00815A0E1} - \GoogleUpdateTaskMachineUA -> Brak pliku Task: {CE47A491-9F34-43C0-B048-744398264373} - System32\Tasks\Ad-Aware Antivirus Scheduled Scan => C:\PROGRA~1\AD-AWA~1\AdAwareLauncher.exe Task: {E3E5F466-E532-4996-8591-74B0D4AF675E} - System32\Tasks\{CCE99EED-5FAF-4370-A181-D8A3BC6D6457} => pcalua.exe -a E:\M135_6.0.18.08091501_Drv3.5.x.83_SwEncoder3.0.1.2_AVIN1.1.0.10._1.0.0.6_081030.exe -d E:\ BootExecute: autocheck autochk * sdnclean.exe SearchScopes: HKU\S-1-5-21-2760027905-1824020503-3447031478-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\yoursites123Software RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\JWdMJ RemoveDirectory: C:\ProgramData\tWdMt RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims 4.lnk" CMD: del /q "C:\Users\Paulina\Desktop\Różne\DAEMON Tools Pro.lnk" CMD: del /q "C:\Users\Paulina\Desktop\Różne\Origin.lnk" CMD: del /q "C:\Users\Paulina\Desktop\Różne\PIT Projekt 2013.lnk" CMD: del /q "C:\Users\Paulina\Desktop\Różne\PIT Projekt 2014.lnk" CMD: del /q "C:\Users\Paulina\Desktop\Różne\Spybot-S&D Start Center.lnk" CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Zapomniałeś podać log AdwCleaner z wynikami usuwania.

Proszę przeczytaj zasady działu i dostarcz wymagane logi: KLIK.

Wszystko zrobione. Poprawki, w tym usunięcie wpisów Pokki. Otwórz Notatnik i wklej w nim: Task: {28F1964D-16EB-422D-AD62-67F8B3761DEF} - System32\Tasks\SweetLabs App Platform => C:\Users\Lukasz\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe [2015-10-30] (Pokki) DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\SweetLabs_Start_Menu S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X] RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\Lukasz\AppData\Local\SweetLabs App Platform RemoveDirectory: C:\WINDOWS\System32\Tasks\Safer-Networking RemoveDirectory: C:\zoek_backup CMD: del /q "C:\Users\Lukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\PC App Store.lnk" CMD: del /q "C:\Users\Lukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Start Menu.lnk" CMD: del /q "C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk" CMD: del /q "C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pokki Menu.lnk" CMD: del /q "C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk" CMD: del /q "C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk" CMD: del /q "C:\Users\Public\Desktop\Post Win10 Spybot-install.exe" CMD: del /q "C:\WINDOWS\System32\Tasks\SweetLabs App Platform" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. To tyle.

Problemem jest infekcja DNS routera. Poniższy adres nie jest polski: KLIK. Tcpip\Parameters: [DhcpNameServer] 80.243.191.66 8.8.8.8 Operacje do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. I podaj dokładny model routera.

Log krótki. Po prostu wklej jego treść do posta.

Nie wiem o co chodzi. Logi wyglądają jakby coś zablokowało modyfikacje rejestru lub zrzucono w międzyczasie starą wesję rejestru. W logach na liście zainstalowanych te same pozycje, tylko że programy są w szczątkach, podobnie z resztą wpisów... Poprawki: 1. Deinstalacje: - Wejdź w Tryb awaryjny i zastosuj ESET Uninstaller. Po jego użyciu opuść Tryb awaryjny. - Przez Panel sterowania odinstaluj: Adobe Flash Player 11 ActiveX, Adobe Flash Player 16 NPAPI, Adobe Reader XI (11.0.13) - Polish, Akamai NetSession Interface, Badanie mające na celu poprawę produktów HP Deskjet 2540 series, Bing Bar, Spybot - Search & Destroy, SpyHunter. To wszystko to uszkodzone wejścia, ale Windows powinien zapytać czy usunąć te puste wpisy z listy. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: S2 .EsetTrialReset; C:\Windows\system32\regedt32.exe /s C:\Windows\esettrialreset.reg S2 AdobeARMservice; "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe" [X] S2 BBSvc; C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\BBSvc.exe [X] S3 BBUpdate; C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\SeaPort.exe [X] S3 BITCOMET_HELPER_SERVICE; C:\Program Files (x86)\BitComet\tools\BitCometService.exe -service [X] S2 IhPul; C:\Users\Krzysiek\AppData\Roaming\TSv\TSvr.exe [X] S2 SDScannerService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe [X] S2 SDUpdateService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe [X] S2 SDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe [X] S2 SpyHunter 4 Service; C:\PROGRA~2\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [X] S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe -s [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] Task: {41772D7A-5289-4A0F-A680-24040A47EE75} - \Adobe Acrobat Update Task -> Brak pliku Task: {4EC41F23-303E-436B-A67D-6B5F308618FC} - \Safer-Networking\Spybot - Search and Destroy\Refresh immunization -> Brak pliku Task: {5D7DC37B-71F1-4093-98DD-DB0AAB8C087E} - \Safer-Networking\Spybot - Search and Destroy\Check for updates -> Brak pliku Task: {84BA99F9-8108-4E9D-8FA5-2EDA9ABB45B8} - \{F64E7904-D529-4E96-9F80-90AD75CEF134} -> Brak pliku Task: {8DC9890B-4D11-4ABC-BB5E-003F89EC68DC} - \Safer-Networking\Spybot - Search and Destroy\Scan the system -> Brak pliku Task: {93A48392-6E7F-4C4B-90F5-EAB8A4AD7D55} - \SpyHunter4Startup -> Brak pliku Task: {BAD8021B-6C60-4F1F-8AE0-389207B9F6AE} - \HPCustParticipation HP Deskjet 2540 series -> Brak pliku Task: {C9B119B5-54B6-4156-9130-9B7A55734F61} - \{B8D6475C-7981-4762-9459-6E2CF40F10AD} -> Brak pliku HKLM-x32\...\Run: [] => [X] Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Krzysiek\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\...\Run: [spybot-S&D Cleaning] => "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDCleaner.exe" /autoclean HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\...\Run: [Mobile Partner] => C:\Program Files (x86)\Huawei E5372\Huawei E5372 HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => "C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe" BootExecute: autocheck autochk * sdnclean64.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS&q={searchTerms} HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS&q={searchTerms} HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: BitComet Helper -> {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -> C:\Program Files (x86)\BitComet\tools\BitCometBHO_1.5.4.11.dll => Brak pliku BHO-x32: Spybot-S&D IE Protection -> {53707962-6F74-2D53-2644-206D7942484F} -> C:\Program Files (x86)\Spybot - Search & Destroy 2\SDHelper.dll => Brak pliku BHO-x32: Brak nazwy -> {d2ce3e00-f94a-4740-988e-03dc2f38c34f} -> Brak pliku Toolbar: HKLM-x32 - Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\BingExt.dll" Brak pliku DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446576877&z=2818ad731409dc09cb63051gfz1z0q4wdm4q5q5e7g&from=cor&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_16_0_0_305.dll [brak pliku] FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_16_0_0_305.dll [brak pliku] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] - C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Krzysiek\AppData\Roaming\Mozilla\Firefox\Profiles\6icqkcxr.default\extensions\default_newtabff@gmail.com DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\BitComet RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\Krzysiek\AppData\Roaming\BitComet RemoveDirectory: C:\Users\Krzysiek\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale Shortcut. Dołącz też plik fixlog.txt.

Proszę dostosuj się do zasad działu i dostarcz obowiązkowe logi: KLIK.

Przecież w podanym przeze mnie opisie AdwCleaner jest napisane jakie oznaczenia mają logi... Zbędny usuwam. Wszystko zrobione. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania czego unikać: KLIK.

Kontynuuj z dalszymi czynnościami.

Kończymy: 1. Skasuj ręcznie z Pobranych MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania czego unikać: KLIK.

Drobna poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

1. Prawdopodobnie instalacje Pokki uszkodził AdwCleaner. Opuść Pokki, zajmę się tym ręcznie potem. 2. Ach, z rozpędu podałam to narzędzie. Oczywiście Windows 10 jeszcze nie jest obsługiwany. Zamiennie użyj tę procedurę: Uruchom Zoek. W oknie wklej: Metric Collection SDK 35;u Klik w Run Script. Powstanie plik zoek-results.log. W eksploratorze Windows menu Widok > Opcje > Zmień opcje folderów i wyszukiwania > Widok > odznacz Ukryj rozszerzenia znanych plików, i po tym zmień nazwę pliku na zoek-results.txt. Dostarcz plik.

Uruchom z poziomu środowiska "Napraw komputer" skrypt o zmodyfikowanej treści: Unlock: C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.1.7600.16385_none_579306edb982ae36\MpSvc.dll Unlock: C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.1.7601.17514_none_59c41ab5b67131d0\MpSvc.dll Unlock: C:\Program Files\Windows Defender\MpSvc.dll CMD: copy /y C:\Pliki\MpSvc.dll C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.1.7600.16385_none_579306edb982ae36\MpSvc.dll CMD: copy /y C:\Pliki\MpSvc.dll C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.1.7601.17514_none_59c41ab5b67131d0\MpSvc.dll CMD: copy /y C:\Pliki\MpSvc.dll "C:\Program Files\Windows Defender\MpSvc.dll" Przedstaw wynikowy Fixlog.txt.

Uruchom ponownie AdwCleaner, wybierz sekwencję opcji Skanuj + Usuń, dostarcz wynikowy log.

Zrób ponownie fixlist.txt o tej samej zawartości co poprzednio. Przenieś go razem z FRST wprost na C:\. F8 przy starcie komputera > Napraw komputer > Wiersz polecenia > uruchom FRST wg wskazówek: KLIK. Klik w Napraw (Fix). Na C:\ powstanie fixlog.txt. Zaloguj się ponownie do Windows i przedstaw ten plik.

Na przyszłość: nie pomijaj żadnych punktów z instrukcji. Bez znaczenia, że nie korzystasz z Opery skoro jest nadal zainstalowana, adware nie można było zostawić. Skoro na pewno teraz zadanie wykonane, to kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Zaktualizuj podane poniżej programy: ==================== Zainstalowane programy ====================== Adobe Shockwave Player 12.1 (HKLM-x32\...\Adobe Shockwave Player) (Version: 12.1.7.157 - Adobe Systems, Inc.) Java 8 Update 31 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218031F0}) (Version: 8.0.310 - Oracle Corporation) 3. I poczytaj na co uważać, by uniknąć podobnych problemów w przyszłości: KLIK.

Wszystko pomyślnie zrobione. Jeszcze poprawki na tym koncie: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [fst_pl_132] => [X] HKLM-x32\...\Run: [fst_pl_136] => [X] ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Ja\AppData\Local\MEGAsync\ShellExtX64.dll Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Ja\AppData\Local\MEGAsync\ShellExtX64.dll Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Ja\AppData\Local\MEGAsync\ShellExtX64.dll Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Ja\AppData\Local\MEGAsync\ShellExtX32.dll Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Ja\AppData\Local\MEGAsync\ShellExtX32.dll Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Ja\AppData\Local\MEGAsync\ShellExtX32.dll Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\predm RemoveDirectory: C:\ProgramData\MFAData RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims 2 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer RemoveDirectory: C:\Users\Ja\AppData\Roaming\systweak RemoveDirectory: C:\Users\Michał CMD: del /q C:\Windows\system32\roboot64.exe CMd: del /q C:\Users\Ja\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

To już drugi (niewłaściwy) log Zoek, bo ten nie przedstawia nic, a wejście "Metric Collection SDK 35" zniknęło. Zostaw już ten wątek. Prawie wszystko zrobione, za wyjątkiem Opery. Ja nadal widzę w niej te trzy podane rozszerzenia adware: Opera: ======= OPR Extension: (Sale Clipper) - C:\Users\Michał\AppData\Roaming\Opera Software\Opera Stable\Extensions\eahkihgggfjloadgcbakhekclipmenhc [2015-07-29] OPR Extension: (Crazy Score) - C:\Users\Michał\AppData\Roaming\Opera Software\Opera Stable\Extensions\hbodcokijpkmonfpjmgdknkodebiejol [2015-05-25] OPR Extension: (Jungle Net) - C:\Users\Michał\AppData\Roaming\Opera Software\Opera Stable\Extensions\ncpoabkajdanepplbicgbjeahpbkelhg [2015-06-14] Czy Ty ich nie widzisz na liście rozszerzeń Opery?

Na tym systemie nie ma żadnych oznak niepożądanych ingerencji. Przedstaw z dziennika AVG w czym były wykryte te infekcje (dokładne ścieżki dostępu). Możesz wykonać tylko skrypt kosmetyczny usuwający wpisy puste (nie powiązane z infekcjami) i czyszczący lokalizacje tymczasowe. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {16B5A3CC-DF7A-4DD7-8361-32354672F563} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {4FC72A11-60A2-4F88-A608-D35E67582763} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {51700EE0-56A7-4EFD-920C-7AC35A964E28} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {55630F10-5B7B-4795-94A7-0EF69EFDA052} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {81846745-5E69-415E-8151-B77C1CE240CB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {8C8ED6F5-E69C-49CA-8475-8713BDB739A4} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {917847A6-6242-49BA-B1E3-6A2EFDA9482F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {BF53046C-77CE-458C-9AF5-EA7E858D4B9D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {C21436D6-5EEE-4EBD-9D19-E7ADB4D191DF} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {CC300695-24CB-485D-848B-23727215D9D5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {F3DA8649-D61B-4758-92D7-B4791CAB17FC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Winlogon\Notify\igfxcui: igfxdev.dll [X] S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-4167164286-2800572000-69432135-1002\...\Policies\Explorer: [] HKU\S-1-5-21-4167164286-2800572000-69432135-1002\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => Brak pliku SearchScopes: HKU\S-1-5-21-4167164286-2800572000-69432135-1002 -> {392F592B-8806-4511-811E-92CF55F1A26F} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Wysyłanie do programu OneNote.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Apoint /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "ADSK DLMSession" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ADSKAppManager /f C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razor1911 C:\Users\Igor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\GG.lnk C:\Users\Igor\AppData\Roaming\Microsoft\Word\wyznaczanie-współczynnika-załamania304852234113660699\wyznaczanie-współczynnika-załamania.docx.lnk C:\Users\Igor\AppData\Roaming\Microsoft\Word\kolos304854292043535733\kolos.docx.lnk C:\WINDOWS\Tasks\*Info.job EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi już potrzebne.