picasso

Zmieniło się dużo, choć nie z Twojej perspektywy, wszystkie widoczne infekcje zostały usunięte, dlatego możesz teraz uruchomić skanery. Na szybko komentuję, ale potrzebuję czasu na rozpisanie dalszych instrukcji (zedytuję post): To przewij. Dr. Web będzie wykrywał rzeczy już usunięte, a przeniesione do kwarantanny FRST. Jesteśmy na innym etapie czyszczenia teraz. Jak mówiłam, przeglądarka nie jest skanowana przez FRST, więc ręcznie miałaś sprawdzić ustawienia i zainstalowane rozszerzenia. Porób mi zrzuty ekranu z tych miejsc konfiguracyjnych Maxthon. Problem Windows Update nie był tu w ogóle jeszcze adresowany. To jest problem innego typu, w ogóle nie związany z infekcjami. Efekt który opisujesz pasuje do scenariusza z RebootRequired: KLIK. Usuwanie tego klucza załączę w skrypcie FRST, podam też dodatkowe akcje do wykonania. To jest nadal problem z domyślną przeglądarką. W pierwszym logu żadna nie była ustawiona, obecnie niby jest Maxthon, co nie znaczy że asocjacje są poprawne. Nadal widoczny na liście zainstalowanych jeden z wpisów. Wnioski: deinstalacja była uprzednio niepełna.

Zabrakło:

Jego odpowiedź nie wniesie wiele do sprawy. Informację o źródłach tej szczególnej infekcji masz w podanym już opisie: A tu kwiatki z jego listy zainstalowanych: Adobe Flash Player 11 ActiveX (HKLM-x32\...\{F68D0307-2573-4BE7-9EFD-CB28D7E656E3}) (Version: 11.7.700.202 - Adobe Systems Incorporated) Adobe Reader 9.5.5 - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-A95000000001}) (Version: 9.5.5 - Adobe Systems Incorporated) Adobe Shockwave Player 11.5 (HKLM-x32\...\{9ECF7817-DB11-4FBA-9DF1-296A578D513A}) (Version: 11.5.7.609 - Adobe Systems, Inc) Java 8 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218051F0}) (Version: 8.0.510 - Oracle Corporation) Mówimy tu o szczególnej linii szyfratora. Jest ogromna ilość infekcji szyfrujących zachowujących się inaczej. W przypadku tego szczególnego wariantu: KLIK. Po to była tu próba ze zrzutem pamięci. I to już jest nieaktualne, infekcja została usunięta. A tak w ogóle to nie znam żadnego przypadku, by komuś się udało wyekstraktować te informacje z pamięci.

Wszystko w porządku, brak jakichkolwiek oznak infekcji. Te wielokrotne wystąpienia dllhost wyglądają więc na stricte systemowe wystąpienia. PS. Drobna kosmetyka wpisów odpadkowych po odinstalowanych aplikacjach i czyszczenie lokalizacji tymczasowych. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [HotKeysCmds] => C:\WINDOWS\system32\hkcmd.exe HKLM\...\Run: [Persistence] => C:\WINDOWS\system32\igfxpers.exe HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\Malwarebytes C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AbiWord Word Processor C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel\Intel® Graphics and Media Control Panel.lnk C:\Users\Tom\REACHit C:\Users\Tom\AppData\Local\Lenovo C:\Users\Tom\AppData\Local\Opera Software C:\Users\Tom\AppData\Roaming\DarkEra C:\Users\Tom\AppData\Roaming\Opera Software C:\Users\Tom\AppData\Roaming\Tibia C:\Users\Tom\AppData\Roaming\Tibiacast EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe logi FRST nie są mi potrzebne.

To stare warianty TeslaCrypt zapisywały na dysku klucz. Omawiany tu wariant *.ccc w ogóle nie tworzy klucza na dysku twardym, klucz jest tylko tymczasowo w pamięci podczas szyfrowania. Spis wszystkich wariantów tu: KLIK ("Location of data file on disk").

Akcja z synchronizacją to operacja jednorazowa mająca zapobiec ładowaniu z serwera Google ustawień adware, ale log FRST wskazuje, że nie wykonałeś tego drugiego punktu w Ustawieniach lokalnego Chrome. Ostatni log nadal pokazywał: CHR StartupUrls: Default -> "","hxxp://www.istartpageing.com/?type=hp&ts=1448949004&z=41406259e2c71c88d3c9f0cg5z5z2bft3z8t1efe2o&from=cor&uid=ADATAXSP600_7F3120000512","hxxp://www.istartsurf.com/?type=hp&ts=1448950690&z=31c3bcbb3e867ac79828153g7z0zab7t3w6e1c0wbw&from=corna&uid=ADATAXSP600_7F3120000512" Co cofnęło wersję do starej IE8 wbudowanej w system. Windows oraz zewnętrzne aplikacje i tak wykorzystują silnik IE. Aktualizacja nadal aktualna. DelFix wykonał robotę. Skasuj plik C:\delfix.txt z dysku.

Wygląda na to, że jest tu infekcja routera, poniższy adres IP jest niemiecki i nie odpowiada IP dostawcy pod którym widzę Cię na forum (Netia): KLIK. Tcpip\Parameters: [DhcpNameServer] 46.101.178.39 8.8.8.8 Tcpip\..\Interfaces\{4AB7C7C4-B81A-4A67-8D63-8580570F9584}: [DhcpNameServer] 46.101.178.39 8.8.8.8 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: ipconfig /flushdns Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f R3 ALSysIO; \??\C:\Users\luq92\AppData\Local\Temp\ALSysIO64.sys [X] C:\Windows\SysWOW64\*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Na czas operacji wyłącz Comodo, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Zadanie w większości pomyślnie wykonane. Kończymy: 1. Nie wykonałeś akcji w Google Chrome, nadal widać szkodliwe adresy adware. Do wdrożenia: 2. Przez SHIFT+DEL (omija Kosz) usuń folder A:\FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji systemowy Internet Explorer, mimo że z niego nie korzystasz.

Wszystko zrobione, problem z adware rozwiązany. Na koniec: 1. Przez SHIFT+DEL (omija Kosz) dokasuj ten folder: C:\Users\Artur\Desktop\Stare dane programu Firefox 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Potrzebuję trochę czasu na przejrzenie tego ogromnego Fixlog.

Tak jak we wszystkich poprzednich przypadkach, winę ponosi szkodliwe zadanie w Harmonogramie (u Ciebie pod nazwą ElectrocardiographsDisposingV2), które "odświeża" modyfikację. Druga sprawa: są tu zainstalowane programy CPUID, HD Tune, Malwarebytes Anti-Malware i TeamSpeak 3 Client kierujące ścieżki i skróty na nieistniejący dysk E: - będę usuwać tylko niektóre elementy, ale programy należałoby przeinstalować od zera. Operacje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {C65EAC9B-09C9-4FF3-AF27-AC768A522176} - System32\Tasks\{BC36738D-2853-4990-BB04-C86FCA12EE12} => pcalua.exe -a C:\Users\User\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=corna Task: {C69EDA31-F198-4590-8F1F-E1B547C31412} - System32\Tasks\ElectrocardiographsDisposingV2 => Rundll32.exe SentinelsNowheres.dll,main 7 1 Task: {EC0509A7-71EE-44D8-9809-D2EDE7505B88} - System32\Tasks\{A711B3E8-95FF-4314-AEA5-3F217763BF4C} => pcalua.exe -a C:\Users\User\AppData\Roaming\istartpageing\UninstallManager.exe -c -ptid=cor S3 AsrSetupDrv; \??\C:\Windows\SysWOW64\Drivers\AsrSetupDrv.sys [X] S2 MBAMService; "E:\Programy\Malwarebytes Anti-Malware\mbamservice.exe" [X] C:\ProgramData\McAfee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CPUID C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HD Tune C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware C:\Users\User\AppData\Local\ElectrocardiographsDisposing C:\Users\User\AppData\Local\Opera Software C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client C:\Users\User\AppData\Roaming\Opera Software C:\Users\User\AppData\Roaming\Shortcut C:\Users\User\Desktop\HD Tune.lnk C:\Users\User\Desktop\HWMonitor.lnk C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy adware istartpageing.com, istartsurf.com, przestaw na "Otwórz stronę nowej karty" 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Wygląda na to, że Comodo wykrył jednak komponent swojej własnej instalacji GeekBuddy. Tak swoją drogą to ten program (w wersji trial) nie jest Ci potrzebny. Do przeprowadzenia tylko kosmetyczne czynności: 1. Odinstaluj zbędniki i stare wersje: Akamai NetSession Interface, Adobe AIR, Adobe Reader X (10.1.16) MUI, GeekBuddy, Java™ 6 Update 27 (64-bit), Java™ 6 Update 27. 2. Drobny błąd WMI numer 10 widoczny w Dzienniku skoryguje narzędzie Fix-it: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1090459358-1029853955-1922827071-1002\...\Policies\Explorer: [] HKU\S-1-5-21-1090459358-1029853955-1922827071-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://pl.yahoo.com?fr=fp-comodo SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SSearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1090459358-1029853955-1922827071-1002 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\Roxio Creator Starter.lnk C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\SyncUP.lnk C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\Zinio Reader 4.lnk C:\Users\Monika\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\Monika\AppData\Local\ms-drivers C:\Users\Monika\AppData\Local\Mozilla C:\Users\Monika\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCDSRVC{1E208CE0-FB7451FF-06020101}_0 /s File: C:\Program Files\Dell Support Center\pcdsrvc_x64.pkms EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Na czas operacji wyłącz Comodo, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Style Call zostanie usunięty z listy na siłę. Poprawki: 1. Skopiuj na Pulpit poniższy plik, shostuj gdzieś i podaj do niego link. C:\Program Files (x86)\Mozilla Firefox\46419D7AEC293DB000634C176D2287784641 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{4F78AD9B-B198-0548-CA31-36C51D9D3296} RemoveDirectory: C:\DrWeb Quarantine RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\DrWeb RemoveDirectory: C:\ProgramData\Doctor Web RemoveDirectory: C:\Users\olijacek\AppData\Local\Opera Software RemoveDirectory: C:\Users\olijacek\Doctor Web RemoveDirectory: C:\Users\olijacek\Desktop\Stare dane programu Firefox CMD: type "C:\Program Files (x86)\Mozilla Firefox\46419D7AEC293DB000634C176D2287784641" CMD: del /q "C:\Program Files (x86)\Mozilla Firefox\46419D7AEC293DB000634C176D2287784641" CMD: del /q C:\Users\olijacek\Downloads\b7ym2cdd.exe CMD: del /q C:\Users\olijacek\Downloads\ohoptgtr.exe CMD: del /q C:\Users\olijacek\Downloads\m2j7kytw.exe CMD: del /q C:\Windows\Minidump\*.dmp Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fix pomyślnie wykonany. Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Temat przenoszę do działu Windows. Brak oznak, by problemy powodowała infekcja. Drobne wpisy puste i sponsorowana wyszukiwarka Google wstawiona przez Avast do usunięcia w spoilerze, nie ma to żadnego związku ze zgłaszanymi problemami. Z raportów nic nie wynika. O której przeglądarce mowa? Upewnij się, że problemu nie tworzy osłona sieciowa Avast. Co to konkretnie oznacza? Widzę zainstalowane następujące wersje: Java 7 Update 80 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F03217080FF}) (Version: 7.0.800 - Oracle) Java 8 Update 51 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218051F0}) (Version: 8.0.510 - Oracle Corporation) JavaFX 2.1.0 (HKLM\...\{1111706F-666A-4037-7777-210328764D10}) (Version: 2.1.0 - Oracle Corporation) Ostatnia wersja oficjalnie obsługująca XP to Java 7. Java 8 może być wprawdzie instalowana na XP, ale nie jest oficjalnie obsługiwana, więc być może tu tkwi problem z autoaktualizacją Java 8 Update 51 > Java 8 Update 66. Przy okazji: czy ta Java jest w ogóle potrzebna? Google Chrome w ogóle nie obsługuje już wtyczek Java, a Firefox usunie obsługę do końca roku 2016.

Proszę dostosuj się do zasad działu i dostarcz obowiązkowe logi z FRST + GMER: KLIK. A sama obecność "COM Surrogate" w procesach nic nie oznacza: KLIK. Proces systemowy może być uruchamiany przez poprawne aplikacje, jak i trojany. Czy są infekcje to udowodnią logi, o które proszę.

Tu należy podejrzewać antywirusa. Podobny temat z forum: KLIK. Wieszanie GMER na określonym skanie nie oznacza, że ten obiekt jest uszkodzony lub coś z nim nie tak. Skan GMER nie zawsze się uda, jest wiele przyczyn dla tego zachowania, wliczając specyficzną konfigurację sprzętowo-systemową. To faza "sprzętowa", ładowanie sterowników Windows. Ten pasek jest normalny, u mnie był zawsze widoczny. Tym szybciej przelatuje, im szybciej ładowane komponenty systemu. Jeśli wcześniej tego paska nie widziałeś, to jedno z dwóch: - Miałeś wyłączone pokazywanie tego ekranu (msconfig > Rozruch > Rozruch bez interfejsu GUI). To nie przyśpiesza ładowania, tylko ukrywa ekran. - Wcześniej ładowanie było o wiele szybsze. Jedyne co tu się kojarzy z tym efektem, to te dwa błędy w Dzienniku zdarzeń: Dziennik System: ============= Error: (12/02/2015 00:38:14 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Hardlock z powodu następującego błędu: %%577 Error: (12/01/2015 04:28:35 PM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort0. Ten pierwszy błąd punktuje bardzo stary sterownik (załączyłam go do skryptu FRST). Ten drugi błąd, o ile to nie jest wynik skanu GMER, kwalifikuje się do działu Hardware. PS. Do wykonania tylko drobne kosmetyczne działania: 1. Błąd WMI numer 10 usunie narzędzie Fix-it: KLIK. 2. Usunięcie w/w sterownika oraz wpisów pustych i wybrakowanych skrótów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Hardlock; C:\Windows\system32\drivers\hardlock.sys [296448 2005-06-14] (Aladdin Knowledge Systems Ltd.) [brak podpisu cyfrowego] S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 cpuz137; \??\C:\Windows\TEMP\cpuz137\cpuz137_x64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S4 NVHDA; system32\drivers\nvhda64v.sys [X] S4 nvkflt; system32\DRIVERS\nvkflt.sys [X] S4 nvpciflt; \SystemRoot\system32\DRIVERS\nvpciflt.sys [X] HKU\S-1-5-21-3195291957-1564524796-3624665937-1000\...\Run: [GalaxyClient] => [X] HKU\S-1-5-21-3195291957-1564524796-3624665937-1000\...\Policies\Explorer: [HideSCAPower] 0 HKU\S-1-5-21-3195291957-1564524796-3624665937-1000\...\MountPoints2: {32447869-d061-11e3-aae9-028037ec0200} - G:\Setup.exe ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Brak pliku FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia Task: {ADA3679E-01DD-40A4-903D-663C6FE5E8F3} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {DEDD46EC-7EEB-431B-8832-7AB7C1A3EFDA} - System32\Tasks\{90A63E64-03D0-4032-9F1C-CF9323D0E39C} => pcalua.exe -a d:\Users\T9\Desktop\TagesSetup.exe -d d:\Users\T9\Desktop C:\ProgramData\Microsoft\Windows\GameExplorer\{D8FCD0C1-935E-4B49-9C72-AFD7C3F9C0C8} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Diablo III - Instrukcja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Pomoc techniczna Blizzard.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Zarządzanie kontem Battle.net.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Wars - The Old Republic\View License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAMB C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warcraft Public Test C:\Users\T9\AppData\Local\Microsoft\Windows\GameExplorer\{0C2590B5-AA23-40F7-98C2-37F8C56C42BE} C:\Users\T9\AppData\Local\Microsoft\Windows\GameExplorer\{3F9EDECB-9483-43C4-AA0A-DC8F3DCAC81F} C:\Users\T9\AppData\Local\Microsoft\Windows\GameExplorer\{C1F93E2D-B595-4B8A-9FA9-C5E677104916} C:\Users\T9\AppData\Local\Microsoft\Windows\GameExplorer\{F3F9A695-B175-484A-997C-22C69C3513F2} C:\Users\T9\AppData\Local\Shareaza C:\Users\T9\Desktop\Graj w Commandos3 - Destination Berlin.lnk C:\Users\T9\Desktop\Yamb.lnk C:\Users\T9\Desktop\ˢ»úרĽŇ(׿´óʦ).lnk C:\Windows\system32\drivers\hardlock.sys CMD: netsh advfirewall reset Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

1. Czy masz na myśli aktualizację do Windows 10, która się nie udaje? 2 + 4 + 5: Widać w systemie liczne infekcje i rozmaite śmieci. Poza tym, w Google Chrome jest rozszerzenie "Google Quick Scroll" kojarzone z niechcianymi instalacjami. 3. Problemem jest brak ustawionej domyślnej przeglądarki. Wstępne akcje do przeprowadzenia: 1. Odinstaluj: - Adware i wątpliwe programy: pdfforge Toolbar v7.0, Reimage Protector, SpyHunter 4. - Stare wersje i zbędniki: Adobe AIR, DivX-Setup, Java 8 Update 31, JetClean, Microsoft Silverlight, MozBackup 1.4.6 PL, Mozilla Maintenance Service, OpenSource Flash Video Splitter 1.0.0.5, Opera 12.17, QuickTime, Real Alternative 2.0.2, RealPlayer, Spelling Dictionaries Support For Adobe Reader 9, Podstawowe programy Windows Live, Windows Live ID-Anmelde-Assistent, Windows Live Sync, Windows Live-Uploadtool, Xvid Video Codec. Deinstalacja starych wersji jest pod kątem nie wykonanej jeszcze aktualizacji do Windows 10. Jeśli coś nie będzie widoczne lub nie będzie się dało odinstalować, kontynuuj dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0073858B-0D38-48F4-BB85-46E20FBDC2FC} - \gtaUpt -> Keine Datei Task: {171CE39A-6D3B-426F-B54D-7F37F358C72E} - System32\Tasks\WinKit => C:\Users\Aneczka\AppData\Roaming\PlusN\GUP.exe [2015-11-09] (Don HO don.h@free.fr) Task: {1F22BC25-917B-42D7-8F1B-B12DAD36AD57} - System32\Tasks\PC Health Advisor => C:\Program Files (x86)\ParetoLogic\PCHA\PCHA.exe Task: {46F8B86B-9CC4-4F58-9457-9592F94A7BD7} - System32\Tasks\mdb01 => C:\Users\Aneczka\AppData\Roaming\orlando\Vipp\mbd.exe [2015-10-23] () Task: {4DE2ABB1-CCBD-4055-85E1-A27D4B61B0C2} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2014-12-08] () Task: {590B58E5-6895-4CF0-A2FD-BF31044938F0} - System32\Tasks\JetCleanLoginCheckUpdate => C:\Program Files (x86)\BlueSprig\JetClean\AutoUpdate.exe [2013-05-14] (BlueSprig) Task: {59F6E683-3E9F-4873-8BA7-A9CA0E1FFCB8} - \RocketTab -> Keine Datei Task: {613D5CE6-78C7-40EC-90E8-FFD35334A516} - \System Speedup_UPDATES -> Keine Datei Task: {675D4185-FB3A-4947-900C-5B92FAE9F316} - System32\Tasks\ParetoLogic Registration3 => Rundll32.exe "C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll" RunUns Task: {6EB773C7-FA3F-46EE-9E56-2398E47BE345} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2014-12-08] () Task: {712C6861-2B14-4E72-92BA-22B6921FE2B7} - System32\Tasks\Microsoft\Windows\Wired\GatherWiredInfo => C:\Windows\system32\gatherWiredInfo.vbs Task: {891315E1-D95A-42EC-8157-120EF99C0972} - System32\Tasks\mdb => C:\Users\Aneczka\AppData\Roaming\orlando\Vipp\mbd.exe [2015-10-23] () Task: {89771B10-8968-489F-B59B-7646B462895A} - \Desk 365 RunAsStdUser -> Keine Datei Task: {8982FEEC-1D23-4E78-8DB3-6D7D63E82E03} - \MySearchDial -> Keine Datei Task: {93E7D473-BA57-4D47-8A79-3E157EAEE576} - \RocketTab Update Task -> Keine Datei Task: {99D95E0B-E455-4405-A024-9DFCD656527D} - \System Speedup_DEFAULT -> Keine Datei Task: {9E179F6F-BECC-49F1-AAF0-1212957A5E18} - System32\Tasks\2pP => C:\ProgramData\Convertor\Convertor.exe [2015-11-09] (Don HO don.h@free.fr) Task: {AFB263F6-4394-44BF-B471-B042EA056835} - System32\Tasks\PC Health Advisor Defrag => C:\Program Files (x86)\ParetoLogic\PCHA\PCHA.exe Task: {B678A274-9B2C-4698-AFDB-190F66DDF4AD} - \ASP -> Keine Datei Task: {B7A1380D-B95B-4D0A-828B-1ABA98F349D4} - \avaavxvyex -> Keine Datei Task: {CE5CA601-2210-4F3D-BD28-5ADFEA0C1C48} - System32\Tasks\DriverMgr => C:\Users\Aneczka\AppData\Roaming\VETbdu2e2k\rinti.exe [2015-11-09] () Task: {DC4A6D1E-BD8E-4296-A073-59AAB7C3770C} - \YourFile DownloaderUpdate -> Keine Datei Task: {E91D6474-70CC-42BE-80FF-8BED8AF557ED} - System32\Tasks\Microsoft\Windows\Wireless\GatherWirelessInfo => C:\Windows\system32\gatherWirelessInfo.vbs Task: {EA9BC20D-226C-49CE-8CF9-BAB09CE73674} - \SomotoUpdateCheckerAutoStart -> Keine Datei Task: {EDD078BA-ADFC-4089-A2A3-2925D902C910} - \SmartWeb Upgrade Trigger Task -> Keine Datei Task: {FFC2D133-D052-4EBA-A513-D6F2212D769F} - System32\Tasks\recoveredfiles => C:\Users\Aneczka\AppData\Local\recoveredfiles\autochr.exe Task: C:\Windows\Tasks\ParetoLogic Registration3.job => C:\Windows\system32\rundll32.exeGC:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll Task: C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe Task: C:\Windows\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe Task: C:\Windows\Tasks\PC Health Advisor Defrag.job => C:\Program Files (x86)\ParetoLogic\PCHA\PCHA.exe Task: C:\Windows\Tasks\PC Health Advisor.job => C:\Program Files (x86)\ParetoLogic\PCHA\PCHA.exe AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC64Loader.dll => Keine Datei HKLM\...\AppCertDlls: [windows_service_for_control_application_23139093481232] -> C:\Users\Aneczka\AppData\Local\Hoffer\advapi.dll [104960 2015-10-30] () HKU\S-1-5-18\...\Run: [bitdefender-Geldbörse-Agent] => "C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe" HKU\S-1-5-18\...\Run: [bitdefender-Geldbörse] => "C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe" --hidden --nowizard HKU\S-1-5-18\...\Run: [bitdefender-Geldbörse-Anwendungs-Agent] => "C:\Program Files\Bitdefender\Bitdefender\antispam32\bdapppassmgr.exe" HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> R2 Printer Control; C:\Windows\system32\PrintCtrl.exe [121856 2012-10-21] (ActMask Co.,Ltd - hxxp://WWW.ALL2PDF.COM) [Datei ist nicht signiert] S0 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2010-04-14] (Duplex Secure Ltd.) U2 ccEvtMgr; kein ImagePath U2 ccSetMgr; kein ImagePath S3 cpuz134; \??\C:\Users\Aneczka\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 FLEXnet Licensing Service; "C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe" [X] S2 HPSLPSVC; C:\Users\Aneczka\AppData\Local\Temp\7zS4A97\hpslpsvc64.dll [X] S1 innfd_1_10_0_13; system32\drivers\innfd_1_10_0_13.sys [X] S3 LgBttPort; system32\DRIVERS\lgbtpt64.sys [X] S3 lgbusenum; system32\DRIVERS\lgbtbs64.sys [X] S3 LGVMODEM; system32\DRIVERS\lgvmdm64.sys [X] U3 navapsvc; kein ImagePath S2 nixikubi; C:\Users\Aneczka\AppData\Roaming\34323030-1427980481-4438-4133-4643FFFFFFFF\jnsj2B24.tmp [X] S1 SASDIFSV; \??\C:\Users\Aneczka\AppData\Local\Temp\SAS_SelfExtract\SASDIFSV64.SYS [X] S1 SASKUTIL; \??\C:\Users\Aneczka\AppData\Local\Temp\SAS_SelfExtract\SASKUTIL64.SYS [X] U3 SAVRT; kein ImagePath U1 SAVRTPEL; kein ImagePath U3 TlntSvr; kein ImagePath S3 usbbus; system32\DRIVERS\lgx64bus.sys [X] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [X] S3 USBModem; system32\DRIVERS\lgx64modem.sys [X] GroupPolicy: Beschränkung - Chrome CHR HKLM\SOFTWARE\Policies\Google: Beschränkung CHR HKU\S-1-5-21-1280836393-1798441447-3805755999-1000\SOFTWARE\Policies\Google: Beschränkung CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=de-de CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1428696794&from=cor&uid=395049983_1052514_243E1C7C" CHR Session Restore: Default -> ist aktiviert. HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130849489367794355&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130849489367794355&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1428696794&from=cor&uid=395049983_1052514_243E1C7C&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1428696794&from=cor&uid=395049983_1052514_243E1C7C HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1428696794&from=cor&uid=395049983_1052514_243E1C7C HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1428696794&from=cor&uid=395049983_1052514_243E1C7C&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1280836393-1798441447-3805755999-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1428696794&from=cor&uid=395049983_1052514_243E1C7C&q={searchTerms} HKU\S-1-5-21-1280836393-1798441447-3805755999-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130849489392130397&GUID=00000000-0000-0000-0000-000000000000 HKU\S-1-5-21-1280836393-1798441447-3805755999-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1428696794&from=cor&uid=395049983_1052514_243E1C7C HKU\S-1-5-21-1280836393-1798441447-3805755999-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1428696794&from=cor&uid=395049983_1052514_243E1C7C&q={searchTerms} SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {13405F5E-08CD-815E-B115-74F3333C6226} URL = hxxp://dts.search-results.com/sr?src=ieb&appid=164&systemid=406&sr=0&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=tugumsd&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0Dzz0D0AtA0F0CtC0CyB0CtN0D0Tzu0CyCyEtCtN1L2XzutBtFtBtFyEtFyBtAtCtN1L1Czu2Z2Y1N2Y1H1B1Q&cr=527567552&ir= SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {2AD6CAF7-5D33-6D19-500C-703533C5DBD7} URL = hxxp://feed.snapdo.com/?publisher=Tuguu&dpid=Tuguu&co=DE&userid=33206d1d-5c13-0724-0f0d-bb11db49a596&searchtype=ds&q={searchTerms}&installDate=19/09/2013 SearchScopes: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> DefaultScope {015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> URL hxxp://search.conduit.com/Results.aspx?ctid=CT3326313&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=4&UP=SP23423F7D-6F47-4AF5-954C-A3E22F698EB7&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> {015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?FORM=SL5MDF&PC=SL5M&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> {13405F5E-08CD-815E-B115-74F3333C6226} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052514_243E1C7C&ts=1428066817&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052514_243E1C7C&ts=1428066817&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052514_243E1C7C&ts=1428066817&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> {F258B836-E083-4868-98D4-A1B262C64E34} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052514_243E1C7C&ts=1428066817&type=default&q={searchTerms} BHO: adTech Class -> {934B156A-3D17-3981-B78A-5C138F423AD6} -> C:\Users\Aneczka\AppData\Roaming\pdfie\PdfConv_64.dll [2015-11-09] () BHO-x32: Kein Name -> {02478D38-C3F9-4efb-9B51-7695ECA05670} -> Keine Datei BHO-x32: Kein Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> Keine Datei BHO-x32: adTech Class -> {934B156A-3D17-3981-B78A-5C138F423AD6} -> C:\Users\Aneczka\AppData\Roaming\pdfie\PdfConv_32.dll [2015-11-09] () BHO-x32: pdfforge Toolbar -> {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Keine Datei Toolbar: HKLM - Kein Name - !{95B7759C-8C7F-4BF1-B163-73684A933233} - Keine Datei Toolbar: HKLM - Kein Name - !{B922D405-6D13-4A2B-AE89-08A030DA4402} - Keine Datei Toolbar: HKLM-x32 - Kein Name - {98889811-442D-49dd-99D7-DC866BE87DBC} - Keine Datei Toolbar: HKLM-x32 - Kein Name - !{95B7759C-8C7F-4BF1-B163-73684A933233} - Keine Datei Toolbar: HKLM-x32 - Kein Name - !{B922D405-6D13-4A2B-AE89-08A030DA4402} - Keine Datei Toolbar: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> Kein Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - Keine Datei Toolbar: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> Kein Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Keine Datei DPF: HKLM-x32 {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab DPF: HKLM-x32 {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} hxxp://quickscan.bitdefender.com/qsax/qsax.cab DPF: HKLM-x32 {644E432F-49D3-41A1-8DD5-E099162EEEC5} hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} DPF: HKLM-x32 {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} hxxp://ax.emsisoft.com/emsisoft_webscan.cab DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DPF: HKLM-x32 {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab DPF: HKLM-x32 {E6BB2089-163F-466B-812A-748096614DFD} hxxp://cainternetsecurity.net/scanner/cascanner.cab StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\*.tmp C:\Program Files (x86)\Addons C:\Program Files (x86)\Application Updater C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\ParetoLogic C:\Program Files (x86)\Common Files\ParetoLogic C:\ProgramData\*.bdinstall.bin C:\ProgramData\Convertor C:\ProgramData\iolo C:\ProgramData\ParetoLogic C:\ProgramData\Reimage Protector C:\ProgramData\TEMP C:\Users\Aneczka\AppData\Local\*.vbs C:\Users\Aneczka\AppData\Local\ars.cache C:\Users\Aneczka\AppData\Local\census.cache C:\Users\Aneczka\AppData\Local\curl.zip C:\Users\Aneczka\AppData\Local\housecall.guid.cache C:\Users\Aneczka\AppData\Local\34323030-1427987883-4438-4133-4643FFFFFFFF C:\Users\Aneczka\AppData\Local\AppRunner C:\Users\Aneczka\AppData\Local\F-Secure C:\Users\Aneczka\AppData\Local\Hoffer C:\Users\Aneczka\AppData\Local\Mozilla C:\Users\Aneczka\AppData\Local\Pro_PC_Cleaner C:\Users\Aneczka\AppData\Local\recoveredfiles C:\Users\Aneczka\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Aneczka\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Aneczka\AppData\Local\Microsoft\BingSvc C:\Users\Aneczka\AppData\Local\Microsoft\Windows\GameExplorer\{AF89CA0B-0C23-404B-9FCC-8F90497A77BA} C:\Users\Aneczka\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\Aneczka\AppData\Roaming\5.exe C:\Users\Aneczka\AppData\Roaming\CRUNBHCI C:\Users\Aneczka\AppData\Roaming\1q3CK C:\Users\Aneczka\AppData\Roaming\34323030-1427980481-4438-4133-4643FFFFFFFF C:\Users\Aneczka\AppData\Roaming\34323030-1428070483-4438-4133-4643FFFFFFFF C:\Users\Aneczka\AppData\Roaming\4U0S C:\Users\Aneczka\AppData\Roaming\5wBdDex C:\Users\Aneczka\AppData\Roaming\9Xac9 C:\Users\Aneczka\AppData\Roaming\AgBTYyJek C:\Users\Aneczka\AppData\Roaming\cgqmdAei C:\Users\Aneczka\AppData\Roaming\charts C:\Users\Aneczka\AppData\Roaming\Convertor C:\Users\Aneczka\AppData\Roaming\Fbjiy C:\Users\Aneczka\AppData\Roaming\gkebH C:\Users\Aneczka\AppData\Roaming\h0j4sZIrb C:\Users\Aneczka\AppData\Roaming\iolo C:\Users\Aneczka\AppData\Roaming\izC0J5a C:\Users\Aneczka\AppData\Roaming\jellylam C:\Users\Aneczka\AppData\Roaming\Mozilla C:\Users\Aneczka\AppData\Roaming\NewNotepad C:\Users\Aneczka\AppData\Roaming\orlando C:\Users\Aneczka\AppData\Roaming\ParetoLogic C:\Users\Aneczka\AppData\Roaming\PBkG C:\Users\Aneczka\AppData\Roaming\pdfie C:\Users\Aneczka\AppData\Roaming\PEyLasK C:\Users\Aneczka\AppData\Roaming\PlusN C:\Users\Aneczka\AppData\Roaming\SoftAd C:\Users\Aneczka\AppData\Roaming\TINIM0rMk C:\Users\Aneczka\AppData\Roaming\UFatv9yZFkK C:\Users\Aneczka\AppData\Roaming\VETbdu2e2k C:\Users\Aneczka\AppData\Roaming\Winsta C:\Users\Aneczka\AppData\Roaming\WinKit C:\Users\Aneczka\AppData\Roaming\z1hMq C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\system32\PrintCtrl.exe C:\Windows\system32\Drivers\aebuwkpl.sys C:\Windows\system32\Drivers\bkydbujg.sys C:\Windows\system32\Drivers\sptd.sys C:\Windows\system32\Drivers\qeikxjrt.sys C:\Windows\system32\Drivers\ucxdzjdo.sys Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Aneczka\AppData\Local CMD: dir /a C:\Users\Aneczka\AppData\LocalLow CMD: dir /a C:\Users\Aneczka\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Entfernen (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Bing, Google Quick Scroll, Mehr Leistung und Videoformate für dein HTML5 , RealPlayer HTML5Video Downloader Extension, o ile nadal będą widoczne po przeprowadzonych akcjach. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. MaxthonNie jest skanowany przez FRST, więc sprawdź ręcznie co widać w ustawieniach i rozszerzeniach.Ustaw wybraną przeglądarkę jako domyślna z poziomu jej opcji. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Aneczka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Untersuchen (Scan), ponownie z Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się jakie problemy tu jeszcze występują.

Tak, to już wszystko. Temat rozwiązany. Zamykam.

Na zakończenie: 1. Dokasuj folder odpadkowy: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Essentials Codec Pack. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Nadal widzę starą instalację Java™ 7 Update 5 (64-bit), która miała być odinstalowana. To nadal do wykonania. Jeśli komunikat zapewniał, że dane już zostały wyczyszczone.

1. Skrypt FRST wprawdzie wykonany, ale nie odinstalowałeś sponsorowanego paska AVG SafeGuard toolbar oraz starego Adobe Shockwave Player 11.6. To do zrobienia w pierwszej kolejności, bo narzędzie zadane w kolejnym punkcie zacznie usuwać ten pasek na siłę i powstanie więcej śmieci. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Falstart, skrypt w ogóle nie wykonał się. Otwórz plik Fixlog i porównaj z formatowaniem w moim poście. Zapisałeś plik w taki sposób, że wszystkie linie zostały sklejone. Przejścia do nowej linii muszą być identyczne jak w moim poście. Powtarzaj zadanie.

Kończymy: Skasuj folder C:\Users\User\Downloads\frst. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

1. Ostatnia poprawka. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1657043038-3288557173-2309702434-1002\...\Run: [GameXN GO] => "C:\ProgramData\GameXN\GameXNGO.exe" /startup DeleteKey: HKCU\Software\Conduit DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\V9 DeleteKey: HKCU\Software\Classes\CLSID\{444785F1-DE89-4295-863A-D46C3A781394} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{444785F1-DE89-4295-863A-D46C3A781394} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{EAC7DE5C-9520-435D-91AA-4A02E4773CEA} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExd DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExi DeleteKey: HKLM\SOFTWARE\Wow6432Node\Conduit DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\omniboxesSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\supWindowsMangerProtect DeleteKey: HKLM\SOFTWARE\Wow6432Node\V9 DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\dream.capture.1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\dream.capture DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{117270FA-48AC-45BB-9171-B63D1B42A910} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{EAC7DE5C-9520-435D-91AA-4A02E4773CEA} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{B0660298-91AA-421F-BF0D-BFF6BB8BF3AE} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\iSafeKrnlMon RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\9WinManPro9 RemoveDirectory: C:\Users\Krzysiek\AppData\Local\13407 RemoveDirectory: C:\Users\Krzysiek\AppData\Local\vghd RemoveDirectory: C:\Users\Krzysiek\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Krzysiek\Downloads\tsggg7g3.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. I jeszcze na koniec pobierz najnowszą wersję FRST i zrób nowy log FRST (bez Addition + Shortcut).

Ostatnia poprawka. Otwórz Notatnik i wklej w nim: Task: {B2B679A8-EB4F-44B9-A813-6912DBC6ED47} - System32\Tasks\{EC8325B5-6AA4-4329-A017-954574DE9712} => pcalua.exe -a C:\Users\Damian\Desktop\Setup-TrojanKiller-DM.exe -d C:\Users\Damian\Desktop Task: {EF7E523F-B954-4E9F-8880-CBB7AD387AF9} - System32\Tasks\{BBBF2650-07A4-48A0-8176-087D5C28FCAC} => pcalua.exe -a C:\Users\Damian\Desktop\jre-8u66-windows-i586-iftw.exe -d C:\Users\Damian\Desktop DeleteKey: HKCU\Software\Classes\pokki DeleteKey: HKCU\Software\InstalledBrowserExtensions DeleteKey: HKCU\Software\Softonic DeleteKey: HKCU\Software\tstamptoken DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{444785F1-DE89-4295-863A-D46C3A781394} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{444785F1-DE89-4295-863A-D46C3A781394} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{3CCC052E-BDEE-408A-BEA7-90914EF2964B} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{61F47056-E400-43D3-AF1E-AB7DFFD4C4AD} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E2B98EEA-EE55-4E9B-A8C1-6E5288DF785A} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{444785F1-DE89-4295-863A-D46C3A781394} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExd DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExi DeleteKey: HKLM\SOFTWARE\InstalledBrowserExtensions DeleteKey: HKLM\SOFTWARE\Solvusoft DeleteKey: HKLM\SOFTWARE\SOUNDPLUS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{10ECCE17-29B5-4880-A8F5-EAD298611484} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{801B440B-1EE3-49B0-B05D-2AB076D4E8CB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BD51A48E-EB5F-4454-8774-EF962DF64546} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{EAC7DE5C-9520-435D-91AA-4A02E4773CEA} DeleteKey: HKLM\SOFTWARE\Wow6432Node\InstalledBrowserExtensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\ShopperPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\Reimage DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Reimage Repair DeleteKey: HKU\S-1-5-18\Software\GeekBuddyRSP DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Elex-tech RemoveDirectory: C:\Program Files\AdTrustMedia RemoveDirectory: C:\ProgramData\GridinSoft RemoveDirectory: C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\elicpjhcidhpjomhibiffojpinpmmpil RemoveDirectory: C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\jq1wfeqx.default RemoveDirectory: C:\Windows\system32\log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.